Le monde des conteneurs continue de mûrir à un rythme effréné. L’adoption de services application liés aux conteneurs, à la fois sur site et dans le cloud, est un bon indicateur que cette technologie est passée d’une technologie naissante à un écosystème en pleine maturité en peu de temps.
À mesure que le système évolue, l’intégration de la technologie de classe entreprise nécessaire pour le prendre en charge évolue également. Nous assistons à une maturation et un perfectionnement continus de l’autre économie des API ; celle qui permet l’intégration et l’expansion rapides de l’écosystème des conteneurs.
L’un des aspects passionnants de cette maturation est qu’elle encourage les offres traditionnellement destinées aux entreprises à évoluer vers des environnements d’orchestration de conteneurs comme Kubernetes. Par « avancer dans cette direction », j’entends adopter rapidement des idées telles que des modèles d’API déclaratifs qui font abstraction de l’expertise du domaine. En d’autres termes, simplifiez l’intégration et l’inclusion de systèmes et de services comme BIG-IP pour permettre à un ensemble plus large de rôles de configurer, de déployer et d’exploiter la technologie.
C'est important car certains services application , comme un pare-feu application Web, sont plus efficaces et plus efficients pour répondre aux attaques et à leurs conséquences indésirables lorsqu'ils sont déployés en amont des conteneurs dans l'entrée NS. Mais cela nécessite souvent une expertise approfondie du domaine, tant en termes qu’en concepts, de BIG-IP et de WAF. La résolution de cet obstacle est l’un des principaux objectifs de nos efforts d’automatisation et d’orchestration, comme en témoigne l’évolution rapide de notre chaîne d’outils d’automatisation F5 .
Au sein de cette chaîne d’outils se trouve AS3, l’ extension F5 Application Services 3 . AS3 fournit une interface moderne (node.js) à BIG-IP qui permet la consommation de configurations déclaratives pour provisionner et exploiter les services application fournis par BIG-IP. Associés à la dernière version de nos services Container Ingress (CIS) , les opérateurs d'environnements de conteneurs peuvent utiliser les services application fournis par BIG-IP pour sécuriser et accélérer les API et les applications.
Container Ingress Services, si vous ne le connaissez pas, est un service natif de Kubernetes qui fournit le lien entre les services de conteneurs et BIG-IP. Il surveille les changements et les communique aux services application fournis par BIG-IP. Ceux-ci, à leur tour, suivent les changements rapides dans les environnements de conteneurs et permettent l'application des politiques de sécurité.
Cette dernière révision (Container Ingress Services 1.9) est intéressante car elle introduit le support natif de Kubernetes pour l'intégration en passant de l'utilisation d'annotations à ConfigMaps . Cela signifie que vous pouvez utiliser le langage Kubernetes familier pour intégrer les services application F5 en insérant une déclaration AS3 dans le champ de données du ConfigMap. Cela inclut l'intégration de certificats et la sélection d'algorithmes d'équilibrage de charge ainsi que le déploiement des 10 meilleures protections OWASP minimales pour une API ou une application.
La déclaration moderne et compatible avec Kubernetes permet également de récupérer la déclaration de politique à partir d'un référentiel. Cela permet à SecDevOps (ou DevSecOps ou simplement SecOps, selon votre préférence) de déplacer la sécurité vers la gauche d'une manière qui ne surcharge pas DevOps en nécessitant une expertise en sécurité ou en WAF.
gentil: ConfigMap apiVersion : v1 métadonnées : nom : f5-waf espace de noms : par défaut étiquettes : f5type : serveur virtuel as3 : « true » données : modèle : | {
# déclarations de service, de pool et de journalisation ici
"policyWAF": { "utilisation : "owaspautotune" }
# moniteurs et déclarations des membres du pool ici
"owaspautotune": { "classe": "Politique WAF", "url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml", "ignoreChanges": true }
Cette prise en charge native permet à DevOps et DevSecOps de déployer facilement et rapidement un pare-feu application Web pour les API, les applications et les services que ces équipes exploitent. Aujourd'hui, il n'existe pas de langage Kubernetes de ce type pour les équilibreurs d'entrée ou de charge, qui permette spécifiquement les services liés à la sécurité. En prenant en charge l'utilisation de ConfigMaps, Container Ingress Services offre un moyen simplifié d'intégrer la sécurité des application à Kubernetes à l'aide d'un mécanisme plus naturel et plus familier.
Obtenez la dernière version de F5 AS3 depuis Github
Les derniers services Container Ingress (v1.9) de Docker Hub