F5 Freitag: Container-Ingress-Dienste werden K8s-nativ
Die Welt der Container reift weiterhin in erstaunlichem Tempo. Die Einführung containerbezogener Application sowohl vor Ort als auch in der Cloud ist ein guter Indikator dafür, dass sich diese Technologie in kurzer Zeit von einer aufkommenden Technologie zu einem ausgereiften Ökosystem entwickelt hat.
Mit zunehmender Reife verbessert sich auch die Integration der zur Unterstützung erforderlichen Enterprise-Technologie. Wir beobachten eine fortschreitende Reifung und Feinabstimmung der sonstigen API-Ökonomie , die eine schnelle Integration und Erweiterung des Container-Ökosystems ermöglicht.
Das Spannende an dieser Reifung ist, dass sie herkömmliche Angebote der Enterprise-Klasse dazu ermutigt, sich in Richtung Container-Orchestrierungsumgebungen wie Kubernetes zu bewegen. Mit „in die richtige Richtung gehen“ meine ich die schnelle Übernahme von Ideen wie deklarativen API-Modellen, die Fachwissen abstrahieren. Mit anderen Worten: Vereinfachen Sie die Integration und Einbindung von Systemen und Diensten wie BIG-IP, um einem breiteren Rollenspektrum die Konfiguration, Bereitstellung und Bedienung der Technologie zu ermöglichen.
Das ist wichtig, weil einige Application – wie etwa eine Web Application Firewall – am effizientesten und effektivsten auf Angriffe und deren unerwünschte Folgen reagieren, wenn sie vor den Containern im NS-Eingang bereitgestellt werden. Dies erfordert jedoch häufig umfassende Fachkenntnisse sowohl der BIG-IP- als auch der WAF-Terminologie und -Konzepte. Die Beseitigung dieses Hindernisses ist ein Hauptziel unserer Automatisierungs- und Orchestrierungsbemühungen, was sich in der raschen Weiterentwicklung unserer F5 Automation Toolchain zeigt.
Innerhalb dieser Toolchain befindet sich AS3, die F5 Application Services 3 Extension . AS3 bietet eine moderne (node.js) Schnittstelle zu BIG-IP, die die Nutzung deklarativer Konfigurationen zum Bereitstellen und Betreiben von von BIG-IP bereitgestellten Application ermöglicht. In Kombination mit der neuesten Version unserer Container Ingress Services (CIS) können Betreiber von Containerumgebungen von BIG-IP bereitgestellte Application nutzen, um APIs und Applications zu sichern und zu beschleunigen.
Falls Sie Container Ingress Services nicht kennen: Es handelt sich um einen nativen Kubernetes-Dienst, der als Bindeglied zwischen Containerdiensten und BIG-IP dient. Es überwacht Änderungen und kommuniziert diese mit den von BIG-IP bereitgestellten Application . Diese wiederum halten mit den schnellen Änderungen in Containerumgebungen Schritt und ermöglichen die Durchsetzung von Sicherheitsrichtlinien.
Diese neueste Revision (Container Ingress Services 1.9) ist spannend, weil sie native Kubernetes-Unterstützung für die Integration einführt, indem sie von der Verwendung von Annotationen zu ConfigMaps übergeht. Das bedeutet, dass Sie die vertraute Kubernetes-Sprache verwenden können, um F5- Application zu integrieren, indem Sie eine AS3-Deklaration in das Datenfeld der ConfigMap einfügen. Hierzu gehört das Einbetten von Zertifikaten und Auswählen von Lastausgleichsalgorithmen sowie die Bereitstellung der unbedingt erforderlichen OWASP Top 10-Schutzmaßnahmen für eine API oder Application.
Die moderne, Kubernetes-freundliche Deklaration ermöglicht auch den Abruf der Richtliniendeklaration aus einem Repository. Dadurch kann SecDevOps (oder DevSecOps oder einfach nur SecOps, je nach Wunsch) die Sicherheit nach links verlagern, ohne DevOps durch die Anforderung von Sicherheits- oder WAF-Expertise zu belasten.
Art: ConfigMap
apiVersion: v1
metadata:
Name: f5-waf
Namespace: Standard
Labels:
f5type: virtueller Server
as3: „true“
data:
Vorlage: |
{
# Service-, Pool- und Protokollierungsdeklarationen hier
"policyWAF": {
"Verwendung: "owaspautotune"
}
# Monitore und Poolmitgliedsdeklarationen hier
"owaspautotune": {
"Klasse": "WAF-Richtlinie",
"url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml",
"ignoreChanges": true
}
Diese native Unterstützung ermöglicht DevOps und DevSecOps die einfache und schnelle Bereitstellung einer Web Application Firewall für die APIs, Applications und Dienste, die diese Teams betreiben. Heute gibt es keine vergleichbare Kubernetes-Sprache für Ingress oder Load Balancer, die speziell sicherheitsrelevante Dienste ermöglicht. Durch die Unterstützung der Verwendung von ConfigMaps bieten Container Ingress Services eine vereinfachte Möglichkeit, Application mit Kubernetes über einen natürlicheren und vertrauteren Mechanismus zu integrieren.
RESSOURCEN
Holen Sie sich das neueste F5 AS3 von Github
Die neuesten (v1.9) Container Ingress Services von Docker Hub