Crear una arquitectura multiinquilino segura con F5 VELOS

Businesses are focusing on containing costs in their enterprise data centers while supporting increased demands on content delivery. As these organizations seek to maximize their utilization rates of existing infrastructure, ensuring data security and compliance has become a top priority. Because many organizations have workloads distributed across on-prem, colocation, and multi-cloud deployments, they need a consistent data-security strategy across all their deployments. F5’s new modern architecture enables organizations to accelerate digital transformation plans by deploying F5 software in a modular fashion, on both private and public clouds, while preserving their existing hardware acceleration capabilities. F5's microservices-based infrastructure supports application delivery and multi-tenancy functionality with comprehensive security isolating tenants – all a cornerstone of F5’s Adaptive Apps vision.

Los problemas de seguridad de los datos afectan a uno de cada tres proveedores de servicios. Dado el aumento de las filtraciones de datos y las multas por cuestiones de regulación y cumplimiento, los proveedores de servicios gestionados quieren garantizar a los clientes de la red que su tráfico de red no puede ser visto o manipulado por otros clientes alojados en el mismo dispositivo físico.

La moderna arquitectura de F5 combina las características de alto rendimiento que requieren los directores de sistemas de información (CIO) con la capacidad robusta y de alta seguridad que exigen los directores de seguridad (de la información) (CSO/CISO).

Los sistemas de la generación anterior, como VIPRION, ofrecían soluciones de virtualización a través de la tecnología vCMP. vCMP tenía dos componentes que proporcionaban multi-tenancy: la capa de host vCMP y la capa de invitado vCMP. La funcionalidad del host del vCMP era esencialmente un hipervisor personalizado que permitía a las plataformas de F5 ejecutar instancias virtuales de BIG-IP, que se denominaban invitados.

VELOS ofrece un modelo similar al de vCMP desde el punto de vista de la configuración y el despliegue, pero con una tecnología diferente. VELOS utiliza los términos «tenants» o «tenancy» para describir las capacidades de virtualización dentro del chasis. La capa de la plataforma F5OS en VELOS no es un hipervisor, sino una capa auténtica de microservicios con un marco subyacente de Kubernetes para la gestión. F5OS implementa el multi-tenancy utilizando la tecnología KubeVirt para permitir que las instancias BIG-IP se ejecuten como máquinas virtuales (VM) sobre la capa de microservicios. Esto permite a los clientes migrar las instancias BIG-IP existentes, o invitados, a los «tenants» o inquilinos de VELOS sin cambiar la forma de gestionar sus inquilinos.

The VELOS architecture also supports the next generation of BIG-IP software—BIG-IP Next. Instead of running BIG-IP instances as a VM on top of a containerized environment, BIG-IP Next runs as a collection of containers within the native container environment.  Supported tenants on a VELOS chassis can be BIG-IP with TMOS and BIG-IP Next in containers on F5OS for seamless testing and version migration on the same platform.

La configuración del «tenant» o inquilino en VELOS es casi idéntica a la del aprovisionamiento de un invitado vCMP. El administrador asigna un nombre al inquilino, selecciona una versión de software para que lo ejecute y asigna recursos de vCPU y memoria. Los inquilinos de VELOS utilizan recursos de CPU y memoria dedicados, al igual que los invitados de vCMP.

VELOS ofrece una capa adicional de aislamiento mediante una función de partición del chasis que permite a los administradores agrupar y aislar los blades entre sí. Cada blade puede ser su propia partición de chasis aislada, o puede agruparse con otros para formar particiones de chasis más grandes hasta el número máximo de blades dentro del chasis. La partición del chasis proporciona una capa adicional de aislamiento que incluye la red física. Con vCMP, la red física en la capa del host era accesible para todos los invitados, aunque podía estar restringida por la pertenencia a una VLAN. Con la arquitectura multi-tenancy y las particiones de chasis de VELOS, los inquilinos de una partición de chasis solo tienen acceso a la red física dentro de la partición de chasis en la que están alojados. No se les permite acceder a la red dentro de otras particiones de chasis. Siguen estando restringidos por VLAN, al igual que vCMP, pero la partición de chasis crea una mayor separación en las capas inferiores. VELOS aísla aún más las particiones de chasis segregando el acceso de los administradores, de modo que cada partición de chasis gestiona su propio acceso y autenticación de usuarios.

Los administradores de chasis pueden acceder a las interfaces de gestión fuera de banda de los controladores del sistema. También pueden configurar las particiones del chasis y asignar privilegios de usuario para acceder a estas particiones.

Los administradores de particiones de chasis configuran la infraestructura de red en banda para los blades de la partición, que incluirá interfaces, grupos de agregación de enlaces y VLAN. También pueden desplegar y gestionar los ciclos de vida de los inquilinos dentro de su partición de chasis asignada. Un administrador de partición de chasis no tendrá acceso a otras particiones de chasis del sistema, por lo que proporciona un aislamiento seguro no solo en la capa del inquilino, sino también en las capas de red inferiores.

Los administradores de inquilinos son responsables de la configuración de los servicios dentro del inquilino. Los administradores tienen acceso a toda la funcionalidad de gestión expuesta por un inquilino BIG-IP. Esto es similar al acceso a un invitado de vCMP. Es independiente del acceso a la capa inferior de la plataforma y se controla dentro de la instancia TMOS (o inquilino).

La arquitectura moderna basada en microservicios ayudará a las organizaciones que quieran transformar digitalmente sus centros de datos. La capacidad de innovar y reaccionar rápidamente es el objetivo de la transformación digital y la modernización del centro de datos. Con más proveedores de servicios y operadores de centros de datos empresariales que despliegan cargas de trabajo a través de modelos internos, de colocación y multinube para cumplir con los requisitos de entrega de aplicaciones en expansión, la mejora de las tasas de utilización y la seguridad de los datos son cada vez más importantes. La arquitectura basada en microservicios de F5 ofrece a las empresas una mejor utilización del CapEx, mientras que garantiza el cumplimiento normativo de seguridad de los datos.

Los tiempos de despliegue más lentos, las limitaciones de ampliación de la capacidad y las violaciones de la seguridad de los datos son los principales problemas a los que se enfrentan las empresas. Se invierte constantemente en tecnología de automatización y supervisión remota para reducir los errores humanos.

Para los proveedores de servicios, la preparación para el 5G y la mejora del rendimiento de los suscriptores y de la red son las prioridades. Además, necesitarán que sus recursos sean ampliables para hacer frente a la creciente carga, ahora y durante la migración del 3G o 4G LTE al 5G Edge, al tiempo que garantizan el aislamiento de aplicaciones y recursos.

F5 ha desarrollado el sistema de chasis VELOS para ayudar a las empresas a mejorar el rendimiento de las aplicaciones, la tolerancia a fallos y las capacidades de gestión de las API.

F5OS, junto con la plataforma VELOS, ofrece una mejor utilización de los recursos, capacidad de automatización y seguridad de defensa en profundidad. Para mejorar la utilización de los recursos, VELOS admite múltiples clústeres de inquilinos en un único dispositivo. La nueva metodología de partición de chasis, junto con la asignación gradual de recursos, proporciona un modelo operativo más sencillo. La arquitectura API-first ayuda a los clientes a automatizar el despliegue de su sistema BIG-IP, facilitando la gestión de aplicaciones y las actividades de automatización. VELOS admite múltiples capas de seguridad de aplicaciones para limitar el alcance de un exploit. VELOS también es compatible con una combinación de mecanismos de seguridad de defensa en profundidad basados en software y físicos para proteger los procesos, asegurar el control de acceso y aislar las redes.

Los proveedores de servicios gestionados también han descubierto que, para proteger a los inquilinos, es necesario que sus clientes descendentes puedan gestionar de forma independiente los segmentos aislados de sus propios servicios. Por ejemplo, un cliente descendente puede ejecutar F5 Advanced Web Application FirewallTM (WAF) o BIG-IP® Advanced Firewall ManagerTM (AFM) desde otra instancia de inquilino que se ejecuta en la misma partición para asegurar su aplicación, mientras que otro cliente puede estar ejecutando F5 BIG-IP Access Policy Manager (APM) para proporcionar control de acceso y autenticación a sus servicios de red.

La seguridad está integrada en todos los aspectos de VELOS. Durante el diseño y el desarrollo de VELOS, los equipos de desarrollo de productos y de seguridad de F5 examinaron y realizaron un modelo de amenazas en todas las superficies de ataque: la evaluación de seguridad más completa de la historia de F5.

El particionamiento de chasis es una de las soluciones multi-tenancy que ofrece F5. Permite a los clientes crear particiones a nivel de blade individual, agrupando los blades para ofrecer una única entidad gestionada. Cada partición de chasis tiene su propia pila de gestión y conectividad de red de datos, aislando así a los inquilinos alojados en cada una de estas particiones diferentes.

La capa de la plataforma F5OS proporciona aislamiento entre las aplicaciones que se ejecutan dentro de la partición del chasis y el hardware subyacente aprovechando los perfiles de restricción del contexto de seguridad (SCC) y el modo de computación segura (seccomp). Además, la configuración predeterminada de Security-Enhanced Linux (SELinux) restringirá el acceso de los servicios del inquilino a los recursos del host. La autenticación y la gestión de usuarios restringen el acceso a las aplicaciones mediante la creación de funciones separadas de administrador de chasis, administrador de particiones y administrador de inquilinos. La capa de host construida sobre un sistema de archivos de solo lectura evita aún más la fuga de cualquier inquilino.

El Módulo de plataforma de confianza (TPM) (ISO/IEC 11889) es un estándar internacional para un procesador criptográfico seguro, un microcontrolador dedicado diseñado para asegurar el hardware mediante claves criptográficas integradas. F5 implementa la cadena de custodia y atestación de la TPM utilizando el chipset TPM 2.0, Linux Trusted Boot (tboot) y la tecnología Intel TXT. El chip TPM realiza ciertas mediciones cada vez que se inicia el sistema. Estas mediciones incluyen la toma de hashes de la mayor parte del código de la BIOS, la configuración de la BIOS, la configuración de la TPM, el tboot, el disco RAM inicial de Linux (initrd) y el kernel de Linux (la versión inicial de VELOS solo valida la BIOS), de modo que no se puedan producir fácilmente versiones alternativas de los módulos medidos y que los hashes den lugar a mediciones idénticas. Puede utilizar estas mediciones para validarlas según otros valores conocidos.

Ambos controladores del sistema, así como todos los blades (BX110), tienen un chipset TPM 2.0. Para la versión inicial de VELOS, la atestación local se realiza automáticamente en el momento del arranque y puede mostrarse en la interfaz de línea de comandos (CLI). En el futuro, F5 añadirá la atestación remota y la atestación para el kernel de Linux y el initrd.

Los administradores pueden bloquear aún más el sistema VELOS habilitando el modo dispositivo. Este modo es un modelo de seguridad diseñado específicamente para los requisitos de seguridad federales y financieros. El modo dispositivo elimina el acceso al shell del sistema subyacente, lo que dificulta la ejecución de scripts. También se elimina el acceso a la cuenta raíz del sistema subyacente para forzar a todos los usuarios a pasar por el sistema de autenticación. En VELOS, el modo dispositivo puede habilitarse para la capa de la plataforma F5OS y también dentro de cada inquilino que se aprovisione. Un administrador puede habilitar el modo dispositivo en el nivel del controlador del sistema, para cada partición del chasis y para cada inquilino. Este modo se controla mediante opciones de configuración en cada nivel y no mediante una licencia, como ocurre en algunos entornos VIPRION.

Para repasar, las características de seguridad más destacadas de la plataforma son:

• Separación y segregación dentro del chasis mediante particiones de chasis
• Aislamiento de la partición del chasis, restringiendo el acceso a un grupo específico de usuarios
• Seguridad del hardware mediante el Módulo de plataforma de confianza (TPM)
• Modo dispositivo, que impide la ejecución de scripts y las vulnerabilidades de raíz
• Verificación de firmas, que solo permite imágenes de software firmadas por F5

Estas características protegen la capa de la plataforma contra vectores de amenaza externos. Los propios inquilinos tienen sus propios subsistemas de seguridad.

Con la funcionalidad del multi-tenancy, proporcionar aislamiento entre los inquilinos se convierte en una preocupación principal. Tanto los proveedores de servicios como los clientes empresariales, que alojan a varios inquilinos en el mismo dispositivo, necesitan aislamiento entre los recursos que pertenecen a diferentes inquilinos. F5 garantiza la seguridad entre inquilinos proporcionando múltiples capas de configuraciones de seguridad.

Only F5 trusted tenant services like BIG-IP Local Traffic ManagerTM (LTM), BIG-IP DNS (GTM), and BIG-IP Advanced WAF may be deployed, minimizing the threat surface. The signature verification helps to authorize the download and installation of the F5 services image. If the signature verification fails, the software installation is terminated, eliminating the risk of malicious activity trying to misconfigure resources.

El aislamiento entre los inquilinos y los recursos de la capa de host, como los procesos, la red y el sistema de archivos, se proporciona aprovechando varios mecanismos de seguridad, como los perfiles SCC y el modo seccomp. Los inquilinos tienen ID de inquilinos únicos para aislar el tráfico. El direccionamiento de los inquilinos, las configuraciones de las tablas IP y el aislamiento de los dominios de difusión funcionan conjuntamente para reforzar el aislamiento de los inquilinos.

Cada inquilino ofrece un sistema de control de acceso basado en funciones (RBAC) para controlar el acceso de los usuarios a las claves, las aplicaciones, las políticas de seguridad, los registros de auditoría, las reglas del cortafuegos, etc. Esto significa que se pueden asignar inquilinos específicos a clientes o unidades de negocio separados cuyas credenciales también permanecen separadas. Cuando los inquilinos se despliegan de esta manera, una cuenta de usuario comprometida permanecerá aislada en un único inquilino específico. Cada inquilino ejecuta una instancia del sistema operativo TMOS sobre un entorno de contenedores, lo que lo sitúa por delante del invitado de vCMP en términos de seguridad. Los puntos clave son:

• La verificación de firmas solo permite imágenes de software firmadas por F5
• Las interfaces MACVLAN encapsulan el tráfico de inquilinos entre blades, restringiendo la visibilidad del tráfico entre diferentes inquilinos en el mismo blade
• Acceso diferenciado al administrador de la partición y al administrador del inquilino a través de la capa de la plataforma que aísla a los inquilinos
• Seguridad de los contenedores Seccomp
• Aplicación de las políticas de SELinux a todos los servicios de aplicación

Estos controles de seguridad se combinan para proporcionar múltiples capas de seguridad para el inquilino.

La nueva capa de la plataforma F5OS está completamente aislada de la red de tráfico en banda y de las VLAN. Está aislada a propósito para que solo sea accesible a través de la red de gestión fuera de banda. De hecho, no hay direcciones IP en banda asignadas ni a los controladores del sistema ni a las particiones del chasis; solo los inquilinos tendrán direcciones IP de gestión en banda y acceso.

Esto permite a los clientes ejecutar una red de gestión fuera de banda segura y bloqueada en la que el acceso está estrictamente restringido. El diagrama siguiente muestra el acceso de gestión fuera de banda que entra en el chasis a través de los controladores del sistema, donde proporcionan conectividad a las particiones del chasis y a los inquilinos. Esa red fuera de banda se extiende luego dentro del chasis para fines de gestión. Tenga en cuenta que todo el direccionamiento en banda está en los propios inquilinos y no en la capa de la plataforma F5OS.

Cada partición del chasis es una entidad única que tiene su propio conjunto de usuarios (locales/remotos) y autenticación. Se gestiona a través de una dirección IP dedicada fuera de banda con su propia CLI, GUI y acceso API. Una partición del chasis puede estar dedicada a un grupo específico, y los miembros de ese grupo solo podrán acceder a su partición. No podrán acceder a otras particiones de chasis en el sistema. Este es un nivel de aislamiento que VIPRION no tenía. A continuación se muestran algunos ejemplos. Puede configurar el encadenamiento de servicios entre diferentes particiones del chasis, pero están tan aisladas dentro del chasis que necesitará proporcionar conectividad externa para enlazarlas.

Además de que el acceso a la gestión está completamente aislado y es único, la red en banda está configurada y completamente contenida dentro de la partición del chasis. Cada partición del chasis tendrá su propio conjunto de componentes de red como PortGroups, VLAN, Link Aggregation Groups (LAG) e interfaces. Esto significa que la red dentro de una partición de chasis no es accesible o visible desde otra partición de chasis.

El aislamiento a nivel de red también se aplica a través de los tejidos de conmutación centralizados que residen en los controladores del sistema dual. En el sistema VELOS, cada blade tiene múltiples conexiones en los tejidos de conmutación centralizados para la redundancia y el ancho de banda añadido. Cada blade BX110 tiene dos conexiones de backplane de 100 Gb (una en cada controlador del sistema), que están unidas en un LAG. Esta topología de cableado en estrella proporciona conexiones de backplane rápidas y fiables entre todos los blades y también permite un aislamiento completo en la capa de red.

Cuando se crean las particiones del chasis, el administrador asigna uno o más blades, que luego se aíslan de todos los demás blades del chasis. Los tejidos de conmutación centralizados se configuran automáticamente con VLAN basadas en puertos y etiquetado VLAN para reforzar el aislamiento entre las particiones del chasis. El diagrama que se muestra a continuación ofrece una visión de cómo se aplica esto.

Para ilustrar cómo están aisladas las particiones de chasis, el diagrama de abajo muestra dos chasis VELOS con múltiples particiones de chasis en cada uno. Dado que no se comparten los recursos de red en banda, cada partición de chasis debe tener su propia conectividad de red a las redes en banda y para las interconexiones de alta disponibilidad entre los dos chasis. No hay forma de acceder a interfaces, VLAN o LAG entre las particiones de chasis.

A medida que las organizaciones adoptan estrategias de despliegue de aplicaciones basadas en microservicios para una mejor utilización de los recursos y una automatización y orquestación de extremo a extremo, tendrán que evaluar cómo se combinan esas estrategias con los requisitos de multi-tenancy, así como la forma de mantener la seguridad total. La moderna arquitectura de F5 ofrece una solución única, de alto rendimiento y basada en microservicios que satisface las necesidades de seguridad y multi-tenancy.

F5 comprende la importancia de la seguridad en un entorno basado en microservicios. Las exhaustivas evaluaciones del modelo de amenazas de F5 sobre la plataforma y la conectividad de la red han dado como resultado un modelo de seguridad basado en una estrategia de defensa profunda y una postura de seguridad proactiva. VELOS combina el aislamiento de la capa de la plataforma, la partición del chasis y las metodologías de tejido de conmutación centralizado para ofrecer aislamiento entre las aplicaciones en un entorno multiinquilino.