Créez une architecture multi-locataire sécurisée avec F5 VELOS

Les entreprises s’efforcent de maîtriser les coûts dans leurs centres de données d’entreprise tout en répondant aux demandes accrues en matière de diffusion de contenu. Alors que ces organisations cherchent à maximiser leurs taux d’utilisation de l’infrastructure existante, garantir la sécurité et la conformité des données est devenue une priorité absolue. Étant donné que de nombreuses organisations ont des charges de travail réparties sur des déploiements sur site, en colocation et multicloud, elles ont besoin d'une stratégie de sécurité des données cohérente sur tous leurs déploiements. La nouvelle architecture moderne de F5 permet aux organisations d'accélérer leurs plans de transformation numérique en déployant le logiciel F5 de manière modulaire, sur des clouds privés et publics, tout en préservant leurs capacités d'accélération matérielle existantes. L'infrastructure basée sur les microservices de F5 prend en charge la distribution d'applications et la fonctionnalité multi-locataire avec une sécurité complète isolant les locataires - toutes pierres angulaires de la vision des applications adaptatives de F5 .

Les problèmes de sécurité des données affectent un fournisseur de services sur trois. Compte tenu de l’augmentation des violations de données et des amendes pour problèmes de réglementation et de conformité, les fournisseurs de services gérés souhaitent garantir aux clients en aval que leur trafic réseau ne peut pas être vu ou manipulé par d’autres clients hébergés sur le même appareil physique.

L’architecture moderne de F5 combine les caractéristiques de haute performance dont les directeurs des systèmes d’information (DSI) ont besoin avec la posture robuste et de haute sécurité qu’exigent les directeurs de la sécurité (des systèmes d’information) (CSO/CISO).

Les systèmes de génération précédente comme VIPRION offraient des solutions de virtualisation via la technologie vCMP. vCMP comportait deux composants qui assuraient la multilocation : la couche hôte vCMP et la couche invitée vCMP. La fonctionnalité hôte vCMP était essentiellement un hyperviseur personnalisé qui permettait aux plates-formes F5 d’exécuter des instances virtuelles de BIG-IP, appelées invités.

VELOS fournit un modèle similaire à vCMP du point de vue de la configuration et du déploiement, mais avec une technologie différente. VELOS utilise les termes « locataires » ou « location » pour décrire les capacités de virtualisation au sein du châssis. La couche de plate-forme F5OS dans VELOS n'est pas un hyperviseur, mais une véritable couche de microservices avec un framework Kubernetes sous-jacent pour la gestion. F5OS implémente la multilocation en utilisant la technologie KubeVirt pour permettre aux instances BIG-IP de s'exécuter en tant que machines virtuelles (VM) au-dessus de la couche de microservices. Cela permet aux clients de migrer des instances BIG-IP existantes, ou des invités, vers des locataires VELOS sans modifier la façon dont ils gèrent leurs locataires.

L'architecture VELOS prend également en charge la nouvelle génération de logiciels BIG-IP : BIG-IP Next. Au lieu d'exécuter des instances BIG-IP en tant que machine virtuelle sur un environnement conteneurisé, BIG-IP Next s'exécute en tant que collection de conteneurs au sein de l'environnement de conteneur natif.  Les locataires pris en charge sur un châssis VELOS peuvent être BIG-IP avec TMOS et BIG-IP Next dans des conteneurs sur F5OS pour des tests transparents et une migration de version sur la même plate-forme.

La configuration du locataire dans VELOS est presque identique à la mise en service d’un invité vCMP. L'administrateur attribue un nom au locataire, sélectionne une version du logiciel à exécuter et attribue des ressources vCPU et mémoire. Les locataires VELOS utilisent des ressources CPU et mémoire dédiées, tout comme les invités vCMP.

VELOS offre une couche d’isolation supplémentaire grâce à une fonction de partitionnement du châssis qui permet aux administrateurs de regrouper et d’isoler les lames les unes des autres. Chaque lame peut être sa propre partition de châssis isolée, ou elle peut être regroupée avec d'autres lames pour former des partitions de châssis plus grandes jusqu'au nombre maximal de lames dans le châssis. Le partitionnement du châssis fournit une couche d’isolation supplémentaire qui inclut la mise en réseau physique. Avec vCMP, le réseau physique au niveau de la couche hôte était accessible à tous les invités, même s'il pouvait être restreint par l'appartenance au VLAN. Avec la multilocation VELOS et les partitions de châssis, les locataires d'une partition de châssis ont uniquement accès au réseau physique de la partition de châssis sur laquelle ils sont hébergés. Ils ne sont pas autorisés à accéder au réseau dans d’autres partitions du châssis. Ils sont toujours limités par les VLAN, tout comme vCMP, mais la partition du châssis crée une séparation supplémentaire au niveau des couches inférieures.  VELOS isole davantage les partitions du châssis en séparant l'accès administrateur afin que chaque partition du châssis gère son propre accès utilisateur et sa propre authentification.

Les administrateurs de châssis peuvent accéder aux interfaces de gestion hors bande des contrôleurs système. Ils peuvent également configurer des partitions de châssis et attribuer des privilèges utilisateur pour accéder à ces partitions.

Les administrateurs de partition de châssis configurent l’infrastructure réseau en bande pour les lames de la partition, qui comprendra des interfaces, des groupes d’agrégation de liens et des VLAN. Ils peuvent également déployer et gérer les cycles de vie des locataires au sein de leur partition de châssis attribuée. Un administrateur de partition de châssis n'aura pas accès aux autres partitions de châssis du système, ce qui garantit une isolation sécurisée non seulement au niveau de la couche locataire, mais également au niveau des couches réseau inférieures.

Les administrateurs locataires sont responsables de la configuration des services au sein du locataire. Les gestionnaires de locataires ont accès à toutes les fonctionnalités de gestion exposées par un locataire BIG-IP. Ceci est similaire à l’accès à un invité vCMP. Il est indépendant de l'accès à la couche de plate-forme inférieure et est contrôlé au sein de l'instance TMOS (ou locataire).

L'architecture moderne basée sur les microservices aidera les organisations qui souhaitent transformer numériquement leurs centres de données. La capacité d’innover et de réagir rapidement est l’objectif de la transformation numérique et de la modernisation des centres de données. Avec de plus en plus de fournisseurs de services et d'opérateurs de centres de données d'entreprise déployant des charges de travail sur des modèles sur site, en colocation et multicloud pour répondre aux exigences croissantes de diffusion d'applications, l'amélioration des taux d'utilisation et de la sécurité des données devient de plus en plus importante. L’architecture basée sur les microservices de F5 offre aux entreprises une meilleure utilisation des dépenses d’investissement tout en garantissant la conformité aux normes de sécurité des données.

Les délais de déploiement plus lents, les contraintes d’extension de capacité et les failles de sécurité des données sont les principaux problèmes auxquels les entreprises sont confrontées. Des investissements constants sont réalisés dans l’automatisation et la technologie de surveillance à distance pour réduire les erreurs humaines.

Pour les fournisseurs de services, la préparation à la 5G et l’amélioration des performances des abonnés et du réseau sont des priorités absolues. En outre, ils auront besoin d’une évolutivité des ressources pour répondre à la charge croissante, maintenant et pendant la migration 3G ou 4G LTE vers le 5G Edge, tout en garantissant l’isolation des applications et des ressources.

F5 a développé le système de châssis VELOS pour aider les entreprises à améliorer les performances des applications, la tolérance aux pannes et les capacités de gestion des API.

F5OS, associé à la plateforme VELOS, offre une meilleure utilisation des ressources, une capacité d'automatisation et une sécurité de défense en profondeur. Pour améliorer l’utilisation des ressources, VELOS prend en charge plusieurs clusters de locataires sur un seul appareil. La nouvelle méthodologie de partitionnement du châssis, associée à une allocation granulaire des ressources, fournit un modèle opérationnel plus simple. L'architecture API-first aide les clients à automatiser le déploiement de leur système BIG-IP, facilitant ainsi la gestion des applications et les activités d'automatisation. VELOS prend en charge plusieurs couches de sécurité des applications pour limiter la portée d'un exploit. VELOS prend également en charge une combinaison de mécanismes de sécurité de défense en profondeur physiques et logiciels pour protéger les processus, sécuriser le contrôle d'accès et isoler les réseaux.

Les fournisseurs de services gérés ont également constaté que la sécurité des locataires signifie que leurs clients en aval peuvent gérer de manière indépendante les segments isolés de leurs propres services. Par exemple, un client en aval peut exécuter F5 Advanced Web Application FirewallTM (WAF) ou BIG-IP® Advanced Firewall ManagerTM (AFM) à partir d'une autre instance de locataire exécutée dans la même partition pour sécuriser son application, tandis qu'un autre client peut exécuter F5 BIG-IP Access Policy Manager (APM) pour fournir un contrôle d'accès et une authentification à ses services réseau.

La sécurité est intégrée à chaque aspect de VELOS. Lors de la conception et du développement de VELOS, les équipes de développement de produits et de sécurité F5 ont examiné et réalisé une modélisation des menaces sur toutes les surfaces d'attaque, l'évaluation de sécurité la plus complète de l'histoire de F5.

Le partitionnement du châssis est l’une des solutions multi-locataires proposées par F5. Le partitionnement du châssis permet aux clients de créer des partitions à des niveaux de lame individuels, en regroupant les lames pour offrir une seule entité gérée. Chaque partition de châssis possède sa propre pile de gestion et sa propre connectivité réseau de données, isolant ainsi les locataires hébergés sur chacune de ces différentes partitions.

La couche de plate-forme F5OS fournit une isolation entre les applications exécutées dans la partition du châssis et le matériel sous-jacent en exploitant les profils de contrainte de contexte de sécurité (SCC) et le mode de calcul sécurisé (seccomp). De plus, les paramètres par défaut de Security-Enhanced Linux (SELinux) restreindront l'accès du service locataire aux ressources de l'hôte. L'authentification et la gestion des utilisateurs limitent l'accès aux applications en créant des rôles distincts d'administrateur de châssis, d'administrateur de partition et d'administrateur de locataire. La couche hôte construite sur un système de fichiers en lecture seule empêche en outre l'évasion de tout locataire.

Trusted Platform Module (TPM) (ISO/IEC 11889) est une norme internationale pour un processeur cryptographique sécurisé, un microcontrôleur dédié conçu pour sécuriser le matériel via des clés cryptographiques intégrées. F5 implémente la chaîne de traçabilité et l'attestation TPM à l'aide du chipset TPM 2.0, de Linux Trusted Boot (tboot) et de la technologie Intel TXT. La puce TPM effectue certaines mesures à chaque démarrage du système. Ces mesures incluent la prise de hachages de la plupart du code du BIOS, des paramètres du BIOS, des paramètres TPM, de tboot, du disque RAM initial Linux (initrd) et du noyau Linux (la version initiale de VELOS valide uniquement le BIOS), de sorte que les versions alternatives des modules mesurés ne peuvent pas être facilement produites et que les hachages conduisent à des mesures identiques. Vous pouvez utiliser ces mesures pour valider par rapport à des valeurs connues et fiables.

Les deux contrôleurs système, ainsi que toutes les lames (BX110), disposent d'un chipset TPM 2.0. Pour la version initiale de VELOS, l'attestation locale est effectuée automatiquement au démarrage et peut être affichée dans l'interface de ligne de commande (CLI). À l’avenir, F5 ajoutera l’attestation à distance et l’attestation pour le noyau Linux et initrd.

Les administrateurs peuvent verrouiller davantage le système VELOS en activant le mode appareil. Le mode appareil est un modèle de sécurité conçu spécifiquement pour les exigences de sécurité fédérales et financières. Le mode Appliance supprime l'accès au shell système sous-jacent, ce qui rend l'exécution du script beaucoup plus difficile. L'accès au compte racine du système sous-jacent est également supprimé pour forcer tous les utilisateurs à passer par le système d'authentification.  Dans VELOS, le mode appliance peut être activé pour la couche de plate-forme F5OS et également au sein de chaque locataire provisionné.  Un administrateur peut activer le mode appliance au niveau du contrôleur système, pour chaque partition de châssis et pour chaque locataire. Ce mode est contrôlé par des options de configuration à chaque niveau plutôt que par une licence, comme c'est le cas dans certains environnements VIPRION.

Pour résumer, les fonctionnalités de sécurité les plus importantes de la plateforme sont :

• Séparation et ségrégation au sein du châssis à l'aide de cloisons de châssis
• Isolation de partition de châssis, restreignant l'accès à un groupe spécifique d'utilisateurs
• Sécurité matérielle via Trusted Platform Module (TPM)
• Mode appareil, qui empêche l'exécution de scripts et l'exploitation root
• Vérification de la signature, autorisant uniquement les images logicielles signées F5

Ces fonctionnalités sécurisent la couche de plate-forme contre les vecteurs de menaces externes. Les locataires eux-mêmes disposent de leurs propres sous-systèmes de sécurité.

Avec la fonctionnalité multi-location, assurer l’isolement entre les locataires devient une préoccupation majeure. Les fournisseurs de services et les clients d’entreprise qui hébergent plusieurs locataires sur le même appareil ont besoin d’une isolation entre les ressources appartenant à différents locataires. F5 garantit la sécurité entre locataires en fournissant plusieurs couches de configurations de sécurité.

Seuls les services locataires approuvés F5 tels que BIG-IP Local Traffic ManagerTM (LTM), BIG-IP DNS (GTM) et BIG-IP Advanced WAF peuvent être déployés, minimisant ainsi la surface de menace. La vérification de la signature permet d'autoriser le téléchargement et l'installation de l'image des services F5. Si la vérification de la signature échoue, l’installation du logiciel est interrompue, éliminant ainsi le risque d’activité malveillante tentant de mal configurer les ressources.

L'isolation entre les locataires et les ressources de la couche hôte telles que le processus, le réseau et le système de fichiers est assurée en exploitant divers mécanismes de sécurité tels que les profils SCC et le mode seccomp. Les locataires disposent d'identifiants de locataire uniques pour l'isolement du trafic. L'adressage des locataires, les configurations de table IP et l'isolement des domaines de diffusion fonctionnent ensemble pour renforcer l'isolement des locataires.

Chaque locataire propose un système de contrôle d'accès basé sur les rôles (RBAC) pour contrôler l'accès des utilisateurs aux clés, aux applications, aux politiques de sécurité, aux journaux d'audit, aux règles de pare-feu, etc. Cela signifie que des locataires spécifiques peuvent être attribués à des clients en aval ou à des unités commerciales distincts dont les informations d'identification restent également distinctes. Lorsque les locataires sont déployés de cette manière, un compte d’utilisateur compromis restera isolé dans un seul locataire spécifique. Chaque locataire exécute une instance du système d'exploitation TMOS sur un environnement conteneurisé, le plaçant ainsi devant l'invité vCMP en termes de sécurité. Les points clés incluent :

• La vérification de la signature autorise uniquement les images logicielles signées F5
• Les interfaces MACVLAN encapsulent le trafic entre les locataires de la lame, limitant ainsi la visibilité du trafic entre les différents locataires de la même lame
• Accès distinct à l'administrateur de partition et à l'administrateur de locataire via la couche de plate-forme isolant les locataires
• Sécurité des conteneurs Seccomp
• Application des politiques SELinux à tous les services d'application

Ces contrôles de sécurité se combinent pour fournir plusieurs niveaux de sécurité aux locataires.

La nouvelle couche de plate-forme F5OS est complètement isolée du trafic réseau en bande et des VLAN. Il est volontairement isolé afin qu'il ne soit accessible que via le réseau de gestion hors bande. En fait, aucune adresse IP en bande n'est attribuée aux contrôleurs système ou aux partitions du châssis ; seuls les locataires disposeront d'adresses IP et d'accès de gestion en bande.

Cela permet aux clients d’exécuter un réseau de gestion hors bande sécurisé et verrouillé où l’accès est étroitement restreint. Le diagramme ci-dessous montre l'accès de gestion hors bande entrant dans le châssis via les contrôleurs système, où ils fournissent une connectivité aux partitions et aux locataires du châssis. Ce réseau hors bande est ensuite étendu au sein du châssis à des fins de gestion. Notez que tout l’adressage en bande se trouve sur les locataires eux-mêmes et non sur la couche de la plate-forme F5OS.

Chaque partition de châssis est une entité unique qui possède son propre ensemble d'utilisateurs (locaux/distants) et d'authentification. Il est géré via une adresse IP hors bande dédiée avec son propre accès CLI, GUI et API. Une partition de châssis peut être dédiée à un groupe spécifique, et les membres de ce groupe pourront uniquement accéder à leur partition. Ils ne pourront pas accéder aux autres partitions du châssis du système. C’est un niveau d’isolement que VIPRION n’avait pas. Voici quelques exemples ci-dessous. Vous pouvez configurer un chaînage de services entre différentes partitions de châssis, mais elles sont tellement isolées dans le châssis que vous devrez fournir une connectivité externe pour les relier entre elles.

En plus de l'accès de gestion complètement isolé et unique, la mise en réseau en bande est configurée et entièrement contenue dans la partition du châssis. Chaque partition de châssis aura son propre ensemble de composants réseau tels que des groupes de ports, des VLAN, des groupes d'agrégation de liens (LAG) et des interfaces. Cela signifie que la mise en réseau au sein d'une partition de châssis n'est pas accessible ou visible à partir d'une autre partition de châssis.

L'isolement au niveau du réseau est également assuré via les matrices de commutation centralisées qui résident dans les contrôleurs système doubles. Dans le système VELOS, chaque lame dispose de plusieurs connexions aux matrices de commutation centralisées pour plus de redondance et une bande passante supplémentaire. Chaque lame BX110 dispose de 2 connexions de fond de panier de 100 Go (une pour chaque contrôleur système), qui sont liées ensemble dans un LAG. Cette topologie câblée en étoile fournit des connexions de fond de panier rapides et fiables entre toutes les lames et permet également une isolation complète au niveau de la couche réseau.

Lorsque des partitions de châssis sont créées, l'administrateur attribue une ou plusieurs lames, qui sont ensuite isolées de toutes les autres lames du châssis. Les matrices de commutation centralisées sont automatiquement configurées avec des VLAN basés sur les ports et un balisage VLAN pour renforcer l'isolation entre les partitions du châssis. Le diagramme ci-dessous fournit un aperçu visuel de la manière dont cette mesure est appliquée.

Pour illustrer le caractère isolé des partitions de châssis, le diagramme ci-dessous montre deux châssis VELOS avec plusieurs partitions de châssis dans chacun. Comme il n’y a pas de partage des ressources réseau en bande, chaque partition de châssis doit avoir sa propre connectivité réseau aux réseaux en bande et pour des interconnexions haute disponibilité entre les deux châssis. Il n’existe aucun moyen d’accéder aux interfaces, aux VLAN ou aux LAG entre les partitions du châssis.

À mesure que les organisations adoptent des stratégies de déploiement d’applications basées sur des microservices pour une meilleure utilisation des ressources et une automatisation et une orchestration de bout en bout, elles devront évaluer comment ces stratégies se combinent avec les exigences de multilocation ainsi que comment maintenir une sécurité totale. L'architecture moderne de F5 offre une solution unique, hautes performances, basée sur des microservices qui répond aux besoins de sécurité et de multilocation.

F5 comprend l’importance de la sécurité dans un environnement basé sur les microservices. Les évaluations approfondies du modèle de menace de F5 sur la plateforme et la connectivité réseau ont abouti à un modèle de sécurité basé sur une stratégie de défense en profondeur et une posture de sécurité proactive. VELOS combine l'isolation de la couche de plate-forme, le partitionnement du châssis et les méthodologies de structure de commutation centralisée pour offrir une isolation entre les applications dans un environnement multilocataire.