Viernes de F5: Container Ingress Services son nativos de K8s
El mundo de los contenedores continúa madurando a un ritmo asombroso. La adopción de servicios de aplicação relacionados con contenedores, tanto locales como en la nube, es un buen indicador de que esta tecnología ha pasado de ser una tecnología naciente a un ecosistema maduro en poco tiempo.
A medida que madura, también lo hace la integración de la tecnología de clase empresarial necesaria para respaldarla. Vemos una continua maduración y ajuste de la otra economía API : la que permite la rápida integración y expansión del ecosistema de contenedores.
Uno de los aspectos interesantes de esta maduración es que alienta a las ofertas tradicionalmente de clase empresarial a avanzar en la dirección de entornos de orquestación de contenedores como Kubernetes. Cuando digo "avanzar en la dirección" me refiero a adoptar rápidamente ideas como los modelos de API declarativos que abstraen la experiencia del dominio. En otras palabras, simplificar la integración e inclusión de sistemas y servicios como BIG-IP para permitir que un conjunto más amplio de roles configure, implemente y opere la tecnología.
Esto es importante porque algunos servicios de aplicação (como un firewall de aplicação web) son más eficientes y efectivos a la hora de abordar ataques y sus consecuencias indeseables cuando se implementan aguas arriba de los contenedores en el ingreso de NS. Pero eso a menudo requiere un amplio conocimiento del dominio tanto en terminología como en conceptos de BIG-IP y WAF. Abordar ese obstáculo es un objetivo principal de nuestros esfuerzos de automatización y orquestación, lo que se puede ver en la rápida evolución de nuestra cadena de herramientas de automatización F5 .
Dentro de esa cadena de herramientas se encuentra AS3, la extensión F5 Aplicação Services 3 . AS3 proporciona una interfaz moderna (node.js) para BIG-IP que permite el consumo de configuraciones declarativas para aprovisionar y operar servicios de aplicação entregados por BIG-IP. Cuando se combina con la última versión de nuestros Servicios de ingreso de contenedores (CIS) , los operadores de entornos de contenedores pueden emplear los servicios de aplicação entregados por BIG-IP para proteger y acelerar las API y las aplicações.
Container Ingress Services, si no está familiarizado, es un servicio nativo de Kubernetes que proporciona el vínculo entre los servicios de contenedores y BIG-IP. Observa los cambios y los comunica a los servicios de aplicação entregados por BIG-IP. Estos, a su vez, se mantienen al día con los cambios rápidos en los entornos de contenedores y permiten la aplicación de políticas de seguridad.
Esta última revisión (Container Ingress Services 1.9) es interesante porque introduce soporte nativo de Kubernetes para la integración al pasar del uso de anotaciones a ConfigMaps . Esto significa que puede utilizar el lenguaje familiar de Kubernetes para integrar los servicios de aplicação F5 insertando una declaración AS3 en el campo de datos del ConfigMap. Esto incluye la incorporación de certificados y la selección de algoritmos de equilibrio de carga, además de implementar las protecciones mínimas OWASP Top 10 para una API o aplicação.
La declaración moderna, compatible con Kubernetes, también permite la recuperación de la declaración de política de un repositorio. Esto permite que SecDevOps (o DevSecOps o simplemente SecOps, cualquiera sea su preferencia) cambie la seguridad a la izquierda de una manera que no sobrecargue a DevOps al requerir experiencia en seguridad o WAF.
amable: Mapa de configuración
Versión de API: v1
Metadatos:
Nombre: f5-waf
Espacio de nombres: predeterminado
Etiquetas:
Tipo f5: servidor virtual
AS3: "true"
Datos:
Plantilla: |
{
# Declaraciones de servicio, grupo y registro aquí
"policyWAF": {
"use: "owaspautotune" }
# Declaraciones de monitores y miembros del grupo aquí
"owaspautotune": { "clase": "Política WAF",
"url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml",
"ignoreChanges": true
}
Este soporte nativo permite a DevOps y DevSecOps implementar de manera fácil y rápida un firewall de aplicação web para las API, aplicações y servicios que operan estos equipos. Hoy en día, no existe un lenguaje Kubernetes similar para el ingreso o los balanceadores de carga que habilite específicamente servicios relacionados con la seguridad. Al admitir el uso de ConfigMaps, Container Ingress Services ofrece un medio simplificado de integrar la seguridad de las aplicação con Kubernetes utilizando un mecanismo más natural y familiar.
Recursos
Obtenga la última versión de F5 AS3 desde Github
Los últimos servicios de ingreso de contenedores (v1.9) de Docker Hub