Blog technique
Trevor_Pott , Visitor
Blog technique
Sécurité des containers avec cSRX, ou comment étendre la sécurité à tous les points de connexion
Aug 21, 2019

Si les containers offrent une solution légère pour exécuter les microservices, ils constituent aussi une nouvelle couche d'infrastructure à protéger. Avec Juniper Connected Security, les entreprises renforcent la sécurité des workloads containerisés, avec une visibilité et un contrôle qui s'étendent jusqu'aux communications entre microservices au sein d'une même application.

 

Comme n'importe quel autre composant informatique, les containers doivent être sécurisés et les administrateurs doivent disposer d'une visibilité sur les données entrantes et sortantes. Les applications monolithiques sont très difficiles à faire évoluer. Et lorsque l'on y parvient, elles sont extrêmement rigides et inefficaces. C'est pourquoi les entreprises ont passé ces 20 dernières années à découper leurs applications en microservices, qui eux-mêmes ont entraîné l'adoption des containers.

 

L'arrivée de contrôleurs SDN tels que Contrail a permis au Containerized SRX (cSRX) de Juniper d'entrer dans les chaînes de services de fonctions réseau. Point de passage obligé entre deux flux de données et un container cible, le cSRX installe des points de contrôle là où il n'y en avait aucun auparavant. Il s'impose ainsi comme l'offre de sécurité réseau la plus complète du marché pour les containers Docker. Contrail, c'est la promesse d'une sécurité transparente pour les développeurs d'applications.

 

Le cSRX élargit aussi la visibilité sur le réseau pour permettre aux entreprises de réagir plus rapidement face aux menaces émergentes. Selon les besoins, les applications ou microservices containerisés peuvent être fournis avec leur propre pare-feu nouvelle génération (NGFW), voire toute une chaîne de services de sécurité réseau.

 

 

Avantages du pare-feu de containers cSRX

 

  • Spécialement conçu pour sécuriser les containers : cSRX est le tout premier pare-feu containerisé du marché. Pour rester agile, il laisse volontairement de côté les fonctionnalités de réseau et de routage dynamique du vSRX ou des pare-feu SRX matériels. Dans les environnements containerisés, il est possible de créer et d'éliminer rapidement des workloads en fonction de la demande. Et parce qu'en matière de réseau, chaque seconde compte, le court délai d'instanciation est un avantage considérable pour les clients.

 

  • Encombrement minimal, agilité maximale : les instances de pare-feu cSRX peuvent être initialisées en quelques secondes et ont toute la légèreté nécessaire aux applications containerisées. Cette faible empreinte, on la doit à une approche microservices du provisionnement de la sécurité containerisée.

 

  • Protection contre des menaces de plus en plus sophistiquées : le cSRX intègre des fonctionnalités telles que la prévention des menaces avancées ou encore le blocage d'IP et d'URL basé sur des flux de Threat Intelligence. Il occupe donc une place centrale dans l'infrastructure de containerisation, contrairement aux pare-feu « barebone » que l'on trouve habituellement dans les déploiements de containers.

 

  • Protection des nouvelles technologies : de par sa compacité et son faible délai d'instanciation, le cSRX s'adapte facilement aux nouvelles technologies, comme par exemple les micro-datacenters à la base des tours de téléphonie mobile 5G.

 

  • Intégrable aux appareils IoT : gestion unifiée des menaces, pare-feu leader du marché, format léger adapté aux containers, instanciation rapide... le cSRX est capable de protéger les appareils aux ressources limitées et d'opérer là où la moindre économie de RAM peut faire toute la différence.

 

  • Découpage en zones : le cSRX segmente le trafic en zones, ce qui permet à chaque container cSRX de protéger une multitude d'applications ou de microservices containerisés en respectant leurs configurations de sécurité spécifiques, ce qui réduit d'autant plus l'empreinte de cSRX.

 

  • Chaînes de services des fonctions réseau : En participant aux chaînes de services des fonctions réseau, le cSRX assure à la fois une haute disponibilité et une sécurité containerisée qui évolue au rythme des fonctions réseau individuelles.

 

Juniper Connected Security

 

Pour renforcer les dispositifs de sécurité et inspecter le trafic à la recherche de signes de compromission, il n'y a pas de meilleur endroit que les points de connexion.

    

Juniper Connected Security intègre des produits de réseau et de sécurité qui permettent de détecter des menaces et d'appliquer des politiques sur tous les points du réseau. Juniper Connected Security sécurise le périmètre et le cloud, segmente le réseau et protège les environnements virtuels et containerisés, ainsi que l'Edge Computing.

 

Faire de la microsegmentation une réalité

 

Cela fait déjà un certain temps que Contrail propose ses services de microsegmentation avancée. Une microsegmentation qui, cependant, revient souvent cher. Les microsegments sont des portions du réseau virtuel ou des groupes de confinement à base de règles, idéalement utilisés pour regrouper les microservices qui composent une même application ou qui occupent un même tier. Chaque microsegment est, en quelque sorte, son propre petit réseau. Pour communiquer au-delà de ce segment, les flux de données doivent passer par un routeur. C'est le rôle du vRouter de Contrail, distribué sur chaque hôte de calcul.

 

Cette nécessité de faire transiter les données entrantes et sortantes du segment par un routeur offre un point de passage naturel sur lequel implémenter des fonctions réseau. Auparavant, ces fonctions réseau exigeaient la mise en place de matériels coûteux. Avant d'atteindre leur destination, les flux de données devaient sortir de l'hôte de containerisation et traverser les différents éléments matériels.

 

cSRX et les chaînes de services Contrail pour containers changent la donne. Voici quelques-unes des fonctions réseau pouvant être appliquées à une chaîne de services :

    

  • Pare-feu applicatif (AppFW)
  • Identifiant applicatif (AppID)
  • Systèmes de prévention des intrusions (IPS)
  • Traduction d'adresse réseau (NAT)
  • Gestion unifiée des menaces (UTM)
  • Enhanced Web Filtering (EFW)
  • Tests et contrôles

    

Avec cSRX, Contrail peut créer de tout petits microsegments aux périmètres renforcés et instancier rapidement les chaînes de services des fonctions réseau pour protéger chaque microsegment. Des chaînes de service entières peuvent ainsi être créées en l'espace de quelques secondes, ce qui permet au microsegment et aux fonctions réseau concernées d'être plus vite opérationnels que les containers ou les machines virtuelles qui composent l'application protégée.

 

Associé à Contrail Enterprise Multicloud, cSRX devient la seule solution de production capable d'élargir les capacités d'orchestration, d'automatisation, de sécurité et d'analyse pour déployer des services grand public et professionnels dynamiques au sein d'un container, avec un impact minime sur les coûts et les ressources. Pour les plateformes d'applications containerisées de type OpenShift ou Kubernetes, Contrail Enterprise Multicloud comprend Contrail Networking et le contrôleur Contrail Security, Contrail vRouter avec sécurité L4 (Layer 4), cSRX et/ou vSRX avec sécurité L7 (Layer 7), AppFormix Analytics Agent et le plugin CNI Kubernetes.

 

1FR1.PNG

 

En sécurisant les applications cloud-native là où elles résident, Juniper Connected Security assure la cohérence des politiques de sécurité à travers les infrastructures IoT et de cloud privé et public. Le pare-feu de containers Juniper cSRX propose des services de sécurité avancée adaptés aux environnements virtuels et conçus pour sécuriser les applications et microservices containerisés. Sa faible empreinte lui permet même d'être intégré en usine aux appareils IoT.

 

Côté gestion, les administrateurs bénéficient d'une multitude de fonctionnalités et d'une interface qu'ils connaissent bien puisque c'est la même que sur les pare-feu vSRX et SRX. En protégeant les appareils et les workloads des environnements contraints en ressources, le cSRX joue un rôle clé au sein de Juniper Connected Security.

 

Aujourd'hui, la sécurisation des réseaux passe par deux impératifs : la présence de multiples contrôles de sécurité et la visibilité nécessaire pour contrer les menaces dès leur apparition. Observez, automatisez et protégez avec Juniper Connected Security.

0 Compliments