Tech-Blog
Trevor_Pott , Visitor
Tech-Blog
Ausweitung der Sicherheit auf alle Netzwerkverbindungen: Containerisierte Sicherheit mit der cSRX
Aug 21, 2019

Wenn Container als ressourcenschonende Infrastruktur für Microservices genutzt werden, bedeutet das auch, dass die Infrastruktur nun eine weitere Ebene hat, die geschützt werden muss. Mit Juniper Connected Security sorgen Sie für branchenführende Sicherheit für die containerisierten Workloads in Ihrem Unternehmen, denn diese Lösung weitet die Transparenz und die Durchsetzung von Sicherheitsrichtlinien bis auf die Kommunikation zwischen den verschiedenen Microservices innerhalb einer Anwendung aus.

 

Genau wie alle anderen Komponenten einer IT-Infrastruktur müssen Container geschützt werden und Administratoren müssen die Datenflüsse nachverfolgen können, die in sie hinein und aus ihnen heraus fließen. Das ist natürlich aufwendig und wirft vielleicht die Frage auf, ob monolithische Anwendungen nicht doch die bessere Lösung wären. Diese lassen sich allerdings nur schwer skalieren und sind oft unglaublich ineffizient, wenn die Skalierung endlich gelungen ist. Genau das ist der Grund, warum Anwendungen in den letzten 20 Jahren in immer kleinere Bestandteile aufgespalten wurden und nun oft auf Microservices basieren. Das wiederum hat zur Nutzung von Containern geführt.

 

Seit es Controller für softwaredefinierte Netzwerke wie Contrail gibt, kann die Container-Firewall cSRX von Juniper in Serviceketten integriert werden, die aus Netzwerkfunktionen bestehen. Dort fungiert die cSRX sozusagen als „Schwelle“, die zwischen zwei Datenflüssen und dem Zielcontainer angeordnet ist, für die Durchsetzung von Sicherheitsrichtlinien sorgt und die umfassendste Netzwerksicherheit bietet, die derzeit für Docker-Container verfügbar ist. Mit Contrail sind die Sicherheitsfunktionen für Anwendungsentwickler transparent.

 

Darüber hinaus bietet die cSRX einen besseren Überblick über das Netzwerk, sodass aufkommende Bedrohungen schneller erkannt und abgewehrt werden können. Je nach Bedarf können einzelne containerisierte Anwendungen und Microservices mit eigenen Firewalls oder sogar mit ganzen Ketten von Netzwerksicherheits-Services ausgestattet werden.

 

 

Vorteile der Container-Firewall cSRX

 

  • Speziell für die Sicherung von Containern konzipiert: Die cSRX ist eine der branchenweit ersten containerisierten Firewalls. Bei ihrer Konstruktion hat Juniper bewusst auf die von der vSRX und hardwarebasierten SRX-Firewalls bekannten dynamischen Routing- und Netzwerkfunktionen verzichtet, um ihre Agilität nicht zu beeinträchtigen. Da in containerisierten Umgebungen blitzschnell Workloads erstellt und gelöscht werden können, kommt es auf jede Sekunde an, und die Entwickler hoffen, dass Kunden die durch den kleineren Funktionsumfang mögliche schnelle Instanziierung als wesentlichen Vorteil anerkennen werden.

 

  • Geringer Ressourcenbedarf, große Flexibilität: Instanzen der cSRX sind in Sekundenschnelle einsatzbereit und so ressourcenschonend, wie das in containerisierten Anwendungen erwartet wird. Das wird durch einen auf Microservices basierten Ansatz für die Bereitstellung der Container-Sicherheit erreicht.

 

  • Schutz vor immer gefährlicheren Bedrohungen: Die cSRX beinhaltet leistungsstarke Funktionen zur Bedrohungsabwehr und kann IP-Adressen und URLs blockieren, auf die in Bedrohungsdaten hingewiesen wird. Damit bietet sie deutlich mehr als die Firewalls mit minimalem Funktionsumfang, die derzeit für Container-Umgebungen typisch sind, und kann als Kernelement der Container-Infrastruktur beschrieben werden.

 

  • Unterstützung für neue Technologien: Der geringe Ressourcenbedarf und die schnelle Instanziierung verleihen der cSRX die Flexibilität, die zur Unterstützung aufkommender Technologien erforderlich ist. Sie sind beispielsweise perfekt für die Micro-Datencenter am Fuß von 5G-Funkmasten geeignet.

 

  • Klein genug für den Einbau in IoT-Geräte: Die cSRX packt UTM (Unified Threat Management) und branchenführende Firewall-Funktionen mit einer Instanziierungszeit im Sekundenbereich in eine kompakte, ressourcensparende Appliance, die perfekt für Umgebungen geeignet ist, wo die Ressourcen knapp sind und ein paar Megabyte RAM weniger pro Instanz ein entscheidender Vorteil sein können.

 

  • Implizite Zonen: Die cSRX unterstützt die Segmentierung von Datenverkehr in Zonen. Das bedeutet, dass ein einziger cSRX-Container mehrere containerisierte Anwendungen oder Microservices schützen kann, die jeweils eigene, individuell angepasste Sicherheitskonfigurationen haben. Dadurch wird der Ressourcenbedarf zusätzlich reduziert.

 

  • Integration in Serviceketten aus Netzwerkfunktionen: Die cSRX kann in Serviceketten aus mehreren Netzwerkfunktionen genutzt werden, um für eine hohe Verfügbarkeit und bedarfsgerecht skalierbare, containerisierte Sicherheit der einzelnen Netzwerkfunktionen zu sorgen.

 

Juniper Connected Security

 

Die besten Orte, um den Netzwerkverkehr auf gefährliche Pakete zu prüfen und die Sicherheitsrichtlinien durchzusetzen, sind die Verbindungspunkte.

    

Juniper Connected Security integriert Produkte für die Netzwerk- und Informationssicherheit und unterstützt so die Erkennung von Bedrohungen und die Durchsetzung von Richtlinien an mehreren Stellen innerhalb eines Netzwerks. Juniper Connected Security bietet Schutz an der Netzwerkgrenze und in der Cloud, Netzwerksegmentierung, virtualisierte, containerisierte Sicherheit und sogar Schutz für das Edge-Computing.

 

So wird Mikrosegmentierung zur Realität

 

Contrail bietet bereits seit einiger Zeit erweiterte Mikrosegmentierungsfunktionen an. In der Praxis erweist die Mikrosegmentierung sich jedoch oft als recht teurer Ansatz. Jedes Mikrosegment ist ein virtuelles Netzwerksegment oder eine regelbasiert verkapselte Gruppe und wird idealerweise genutzt, um alle Microservices für eine Anwendung oder eine Ebene vom Rest des Netzwerks zu isolieren. Bei richtiger Implementierung wird jedes Mikrosegment also zu einem eigenen kleinen Netzwerk und Datenflüsse zwischen verschiedenen Mikrosegmenten müssen einen Router passieren. In Contrail ist dieser Router der verteilte vRouter, der auf jedem Host mit CPU-Ressourcen installiert ist.

 

Da der gesamte Datenverkehr, der in die Mikrosegmente hinein und aus ihnen heraus fließt, diese Router passieren muss, sind sie der perfekte Ort für die Implementierung von Netzwerkfunktionen. In konventionellen Architekturen können diese Netzwerkfunktionen nur auf relativ teurer Hardware ausgeführt werden. Deshalb musste jeder Datenfluss den containerisierten Host verlassen und einen Umweg über diverse andere Hardwarekomponenten nehmen, bevor er sein eigentliches Ziel erreichte.

 

Mit der Servicekette für Container in Contrail und cSRX ist das nun nicht mehr erforderlich. Die folgenden Netzwerkfunktionen können in eine Servicekette eingegliedert werden:

    

  • Anwendungs-Firewall (AppFW)
  • Anwendungs-ID (AppID)
  • Intrusion-Prevention-Systeme (IPS)
  • Network Address Translation (NAT)
  • Unified Threat Management (UTM)
  • Erweiterte Webfilter (EFW)
  • Screens

    

Mit der cSRX können in Contrail sehr kleine Mikrosegmente mit sehr starken Grenzen und schnell instanziierten Serviceketten aus Netzwerkfunktionen zum Schutz dieser Mikrosegmente erstellt werden. Ganze Serviceketten können in wenigen Sekunden aktiviert werden, sodass Mikrosegmente und alle dazugehörigen Netzwerkfunktionen schneller einsatzbereit sind als die Container oder virtuellen Maschinen, in denen die Anwendungen laufen, die sie schützen sollen.

 

In Kombination mit Contrail Enterprise Multicloud ist die cSRX die erste für den Einsatz in Produktionsumgebungen geeignete Lösung, die eine umfassende Suite von Orchestrierungs-, Automatisierungs-, Sicherheits- und Analysefunktionen für die kosten- und ressourceneffiziente Unterstützung dynamischer, containerisierter Verbraucher- und Unternehmensdienstleistungen anbietet. Für containerisierte Plattformen wie OpenShift oder Kubernetes hat Juniper Networks Contrail Enterprise Multicloud im Angebot. Diese Lösung umfasst Contrail Networking und den Contrail Security Controller, Contrail vRouter mit L4-Sicherheit, cSRX bzw. vSRX mit L7-Sicherheit, den AppFormix Analytics Agent und das Kubernetes CNI-Plug-in.

 

1DE1.PNG

 

Juniper Connected Security weitet die Sicherheit bis dorthin aus, wo die cloud-nativen Anwendungen gehostet werden, und sorgt so für konsistente Richtlinien in privaten und öffentlichen Clouds und IoT-Infrastrukturen. Die Container-Firewall cSRX von Juniper bietet eine leistungsstarke und speziell für virtualisierte Umgebungen zusammengestellte Auswahl modernster Sicherheitsdienste für den Schutz containerisierter Anwendungen und Microservices und ist klein genug, um vom Hersteller in IoT-Geräte eingebaut zu werden.

 

Die cSRX ist eine funktionsreiche Lösung mit Features und einer Managementoberfläche, die Administratoren bereits von der vSRX und hardwarebasierten SRX-Firewalls bekannt sind. Sie schützt einzelne Geräte und Workloads in Umgebungen mit knappen Ressourcen und erfüllt damit eine unverzichtbare Funktion in Juniper Connected Security.

 

Für den effektiven Schutz moderner Netzwerke sind mehrere, im gesamten Netzwerk verteilte Sicherheitspunkte und Transparenz zur frühen Erkennung und Abwehr von Bedrohungen erforderlich. Transparenz, Automatisierung und Schutz mit Juniper Connected Security.

0 Kudos