Crie uma arquitetura multilocatária segura com F5 VELOS

As empresas estão se concentrando em conter custos em seus data centers corporativos e, ao mesmo tempo, dar suporte às crescentes demandas de entrega de conteúdo. À medida que essas organizações buscam maximizar suas taxas de utilização da infraestrutura existente, garantir a segurança e a conformidade dos dados se tornou uma prioridade máxima. Como muitas organizações têm cargas de trabalho distribuídas em implantações locais, de colocation e multinuvem, elas precisam de uma estratégia de segurança de dados consistente em todas as suas implantações. A nova arquitetura moderna da F5 permite que as organizações acelerem os planos de transformação digital implantando o software F5 de forma modular, em nuvens privadas e públicas, preservando seus recursos de aceleração de hardware existentes. A infraestrutura baseada em microsserviços da F5 oferece suporte à entrega de aplicativos e à funcionalidade de multilocação com segurança abrangente isolando locatários — tudo isso é um pilar fundamental da visão de aplicativos adaptáveis da F5 .

Problemas de segurança de dados afetam um em cada três provedores de serviços. Dado o aumento de violações de dados e multas por questões regulatórias e de conformidade, os provedores de serviços gerenciados querem garantir aos clientes downstream que seu tráfego de rede não pode ser visto ou manipulado por outros clientes hospedados no mesmo dispositivo físico.

A arquitetura moderna do F5 combina as características de alto desempenho que os diretores de informação (CIOs) exigem com a postura robusta e de alta segurança que os diretores de segurança (da informação) (CSOs/CISOs) exigem.

Sistemas de geração anterior, como o VIPRION, ofereciam soluções de virtualização por meio da tecnologia vCMP. O vCMP tinha dois componentes que forneciam multilocação: a camada de host vCMP e a camada de convidado vCMP. A funcionalidade do host vCMP era essencialmente um hipervisor personalizado que permitia que plataformas F5 executassem instâncias virtuais do BIG-IP, chamadas de convidados.

O VELOS fornece um modelo semelhante ao vCMP do ponto de vista de configuração e implantação, mas com tecnologia diferente. A VELOS usa os termos “inquilinos” ou “locação” para descrever os recursos de virtualização dentro do chassi. A camada de plataforma F5OS no VELOS não é um hipervisor, mas uma camada de microsserviços real com uma estrutura Kubernetes subjacente para gerenciamento. O F5OS implementa multilocação usando a tecnologia KubeVirt para permitir que instâncias BIG-IP sejam executadas como máquinas virtuais (VMs) sobre a camada de microsserviços. Isso permite que os clientes migrem instâncias BIG-IP existentes, ou convidados, para locatários VELOS sem alterar a forma como gerenciam seus locatários.

A arquitetura VELOS também suporta a próxima geração de software BIG-IP — BIG-IP Next. Em vez de executar instâncias do BIG-IP como uma VM em um ambiente em contêiner, o BIG-IP Next é executado como uma coleção de contêineres dentro do ambiente de contêiner nativo.  Os locatários suportados em um chassi VELOS podem ser BIG-IP com TMOS e BIG-IP Next em contêineres no F5OS para testes e migração de versão perfeitos na mesma plataforma.

A configuração do locatário no VELOS é quase idêntica ao provisionamento de um convidado vCMP. O administrador atribui um nome ao locatário, seleciona uma versão de software para ele executar e atribui recursos de vCPU e memória. Os locatários do VELOS usam recursos dedicados de CPU e memória, assim como os convidados vCMP.

O VELOS oferece uma camada adicional de isolamento por meio de um recurso de particionamento de chassi que permite aos administradores agrupar e isolar blades uns dos outros. Cada lâmina pode ser sua própria partição de chassi isolada ou pode ser agrupada com outras lâminas para formar partições de chassi maiores até o número máximo de lâminas dentro do chassi. O particionamento do chassi fornece uma camada adicional de isolamento que inclui a rede física. Com o vCMP, a rede física na camada do host era acessível a todos os convidados, embora pudesse ser restringida pela associação à VLAN. Com a multilocação e partições de chassi do VELOS, os locatários dentro de uma partição de chassi só têm acesso à rede física dentro da partição de chassi na qual estão hospedados. Eles não têm permissão para acessar a rede dentro de outras partições do chassi. Eles ainda são restritos por VLANs, assim como o vCMP, mas a partição do chassi cria uma separação maior nas camadas inferiores.  O VELOS isola ainda mais as partições do chassi segregando o acesso do administrador para que cada partição do chassi gerencie seu próprio acesso e autenticação de usuário.

Os administradores do chassi podem acessar as interfaces de gerenciamento fora de banda dos controladores do sistema. Eles também podem configurar partições de chassi e atribuir privilégios de usuário para acessar essas partições.

Os administradores de partição do chassi configuram a infraestrutura de rede em banda para os blades na partição, que incluirá interfaces, grupos de agregação de links e VLANs. Eles também podem implantar e gerenciar ciclos de vida de locatários dentro da partição de chassi atribuída. Um administrador de partição de chassi não terá acesso a outras partições de chassi no sistema, portanto, ele fornece isolamento seguro não apenas na camada de locatário, mas também nas camadas de rede inferiores.

Os administradores de locatários são responsáveis pela configuração dos serviços dentro do locatário. Os gerentes de locatários têm acesso a todas as funcionalidades de gerenciamento expostas por um locatário BIG-IP. Isso é semelhante ao acesso a um convidado vCMP. Ele é independente do acesso da camada de plataforma inferior e é controlado dentro da instância do TMOS (ou locatário).

A arquitetura moderna baseada em microsserviços ajudará organizações que desejam transformar digitalmente seus data centers. A capacidade de inovar e reagir rapidamente é o objetivo da transformação digital e da modernização do data center. Com mais provedores de serviços e operadores de data centers corporativos implantando cargas de trabalho em modelos locais, de colocation e multinuvem para atender aos crescentes requisitos de entrega de aplicativos, melhorar as taxas de utilização e a segurança dos dados está se tornando cada vez mais importante. A arquitetura baseada em microsserviços da F5 oferece às empresas melhor utilização de CapEx, ao mesmo tempo em que garante a conformidade com os padrões de segurança de dados.

Tempos de implantação mais lentos, restrições de expansão de capacidade e violações de segurança de dados são os principais problemas que as empresas enfrentam. Há um investimento constante em automação e tecnologia de monitoramento remoto para reduzir erros humanos.

Para os provedores de serviços, a prontidão para o 5G e a melhoria do desempenho dos assinantes e da rede são as principais prioridades. Além disso, eles precisarão de escalabilidade de recursos para atender à carga crescente, agora e durante a migração do 3G ou 4G LTE para o 5G Edge, garantindo ao mesmo tempo o isolamento de aplicativos e recursos.

A F5 desenvolveu o sistema de chassi VELOS para ajudar as empresas a melhorar o desempenho dos aplicativos, a tolerância a falhas e os recursos de gerenciamento de API.

O F5OS, juntamente com a plataforma VELOS, oferece melhor utilização de recursos, capacidade de automação e segurança de defesa em profundidade. Para melhorar a utilização de recursos, o VELOS oferece suporte a vários clusters de locatários em um único dispositivo. A nova metodologia de particionamento de chassis, juntamente com a alocação granular de recursos, fornece um modelo operacional mais simples. A arquitetura API-first ajuda os clientes a automatizar a implantação do sistema BIG-IP, facilitando o gerenciamento de aplicativos e as atividades de automação. O VELOS oferece suporte a diversas camadas de segurança de aplicativos para limitar o escopo de uma exploração. O VELOS também oferece suporte a uma combinação de mecanismos de segurança de defesa em profundidade, físicos e baseados em software, para proteger processos, proteger o controle de acesso e isolar redes.

Os provedores de serviços gerenciados também descobriram que a segurança dos inquilinos significa que seus clientes downstream podem gerenciar de forma independente os segmentos isolados de seus próprios serviços. Por exemplo, um cliente downstream pode executar o F5 Advanced Web Application FirewallTM (WAF) ou o BIG-IP® Advanced Firewall ManagerTM (AFM) de outra instância de locatário em execução na mesma partição para proteger seu aplicativo, enquanto outro cliente pode executar o F5 BIG-IP Access Policy Manager (APM) para fornecer controle de acesso e autenticação aos seus serviços de rede.

A segurança está incorporada em todos os aspectos do VELOS. Durante o design e desenvolvimento do VELOS, as equipes de desenvolvimento de produtos e segurança da F5 examinaram e executaram modelagem de ameaças em todas as superfícies de ataque — a avaliação de segurança mais abrangente da história da F5.

O particionamento de chassi é uma das soluções de multilocação oferecidas pela F5. O particionamento de chassi permite que os clientes criem partições em níveis de blade individuais, agrupando os blades para oferecer uma única entidade gerenciada. Cada partição de chassi tem sua própria pilha de gerenciamento e conectividade de rede de dados, isolando assim os locatários hospedados em cada uma dessas diferentes partições.

A camada de plataforma F5OS fornece isolamento entre os aplicativos em execução na partição do chassi e o hardware subjacente, aproveitando perfis de restrição de contexto de segurança (SCC) e modo de computação segura (seccomp). Além disso, as configurações padrão do Security-Enhanced Linux (SELinux) restringirão o acesso do serviço do locatário aos recursos do host. A autenticação e o gerenciamento de usuários restringem o acesso ao aplicativo criando funções separadas de administrador de chassi, administrador de partição e administrador de locatário. A camada de host construída em um sistema de arquivos somente leitura evita ainda mais a fuga de quaisquer inquilinos.

Trusted Platform Module (TPM) (ISO/IEC 11889) é um padrão internacional para um processador de criptografia seguro, um microcontrolador dedicado projetado para proteger hardware por meio de chaves criptográficas integradas. O F5 implementa a cadeia de custódia e atestado do TPM usando o chipset TPM 2.0, Linux Trusted Boot (tboot) e tecnologia Intel TXT. O chip TPM realiza determinadas medições cada vez que o sistema é iniciado. Essas medições incluem a obtenção de hashes da maior parte do código do BIOS, configurações do BIOS, configurações do TPM, tboot, disco RAM inicial do Linux (initrd) e kernel do Linux (a versão inicial do VELOS valida apenas o BIOS), para que versões alternativas dos módulos medidos não possam ser facilmente produzidas e para que os hashes levem a medições idênticas. Você pode usar essas medições para validar em relação a valores conhecidos.

Ambos os controladores do sistema, assim como todas as lâminas (BX110), têm um chipset TPM 2.0. Para a versão inicial do VELOS, a atestação local é feita automaticamente no momento da inicialização e pode ser exibida na interface de linha de comando (CLI). No futuro, o F5 adicionará atestado remoto e atestado para o kernel Linux e initrd.

Os administradores podem bloquear ainda mais o sistema VELOS ativando o modo de dispositivo. O modo de dispositivo é um modelo de segurança projetado especificamente para requisitos de segurança federais e financeiros. O modo de dispositivo remove o acesso ao shell do sistema subjacente, tornando a execução do script muito mais difícil. O acesso à conta raiz do sistema subjacente também é removido para forçar todos os usuários a passarem pelo sistema de autenticação.  No VELOS, o modo de dispositivo pode ser habilitado para a camada de plataforma F5OS e também dentro de cada locatário provisionado.  Um administrador pode habilitar o modo de dispositivo no nível do controlador do sistema, para cada partição do chassi e para cada locatário. Este modo é controlado por opções de configuração em cada nível, e não por uma licença, como é o caso em alguns ambientes VIPRION.

Para revisar, os recursos de segurança de plataforma mais importantes são:

• Separação e segregação dentro do chassi usando partições de chassi
• Isolamento de partição do chassi, restringindo o acesso a um grupo específico de usuários
• Segurança de hardware através do Trusted Platform Module (TPM)
• Modo de dispositivo, que impede a execução de scripts e exploração de root
• Verificação de assinatura, permitindo apenas imagens de software assinadas por F5

Esses recursos protegem a camada da plataforma contra vetores de ameaças externas. Os próprios inquilinos têm seus próprios subsistemas de segurança.

Com a funcionalidade de multilocação, fornecer isolamento entre os locatários se torna uma das principais preocupações. Tanto provedores de serviços quanto clientes empresariais, que hospedam vários locatários no mesmo dispositivo, precisam de isolamento entre recursos de propriedade de locatários diferentes. O F5 garante a segurança entre locatários fornecendo diversas camadas de configurações de segurança.

Somente serviços de locatário confiáveis da F5, como BIG-IP Local Traffic ManagerTM (LTM), BIG-IP DNS (GTM) e BIG-IP Advanced WAF podem ser implantados, minimizando a superfície de ameaça. A verificação de assinatura ajuda a autorizar o download e a instalação da imagem dos serviços F5. Se a verificação da assinatura falhar, a instalação do software será encerrada, eliminando o risco de atividades maliciosas tentando configurar incorretamente os recursos.

O isolamento entre os inquilinos e os recursos da camada de host, como processo, rede e sistema de arquivos, é fornecido pela utilização de vários mecanismos de segurança, como perfis SCC e modo seccomp. Os inquilinos têm IDs exclusivos para isolamento de tráfego. O endereçamento de locatários, as configurações da tabela IP e o isolamento de domínios de transmissão trabalham juntos para impor o isolamento de locatários.

Cada locatário oferece um sistema de controle de acesso baseado em função (RBAC) para controlar o acesso do usuário a chaves, aplicativos, políticas de segurança, logs de auditoria, regras de firewall e muito mais. Isso significa que locatários específicos podem ser atribuídos a clientes downstream separados ou unidades de negócios cujas credenciais também permanecem separadas. Quando os locatários são implantados dessa maneira, uma conta de usuário comprometida permanecerá isolada em um único locatário específico. Cada locatário executa uma instância do sistema operacional TMOS em um ambiente em contêiner, o que o coloca à frente do convidado vCMP em termos de segurança. Os pontos principais incluem:

• A verificação de assinatura permite apenas imagens de software assinadas por F5
• As interfaces MACVLAN encapsulam o tráfego de locatários entre lâminas, restringindo a visibilidade do tráfego entre diferentes locatários na mesma lâmina
• Acesso distinto ao administrador de partição e ao administrador de locatário por meio da camada de plataforma isolando locatários
• Segurança de contêiner Seccomp
• Aplicação de políticas SELinux a todos os serviços de aplicação

Esses controles de segurança se combinam para fornecer várias camadas de segurança aos locatários.

A nova camada da plataforma F5OS é completamente isolada do tráfego de rede em banda e das VLANs. Ele é propositalmente isolado para que seja acessível somente por meio da rede de gerenciamento fora de banda. Na verdade, não há endereços IP em banda atribuídos aos controladores do sistema ou às partições do chassi; somente os locatários terão endereços IP de gerenciamento em banda e acesso.

Isso permite que os clientes executem uma rede de gerenciamento fora de banda segura e bloqueada, onde o acesso é rigorosamente restrito. O diagrama abaixo mostra o acesso de gerenciamento fora de banda entrando no chassi por meio dos controladores do sistema, onde eles fornecem conectividade às partições e locatários do chassi. Essa rede fora de banda é então estendida dentro do chassi para fins de gerenciamento. Observe que todo o endereçamento em banda está nos próprios locatários e não na camada da plataforma F5OS.

Cada partição do chassi é uma entidade única que tem seu próprio conjunto de usuários (locais/remotos) e autenticação. Ele é gerenciado por meio de um endereço IP dedicado fora de banda com seu próprio acesso CLI, GUI e API. Uma partição de chassi pode ser dedicada a um grupo específico, e os membros desse grupo só poderão acessar sua partição. Eles não poderão acessar outras partições do chassi no sistema. Este é um nível de isolamento que o VIPRION não tinha. Abaixo estão alguns exemplos. Você pode configurar o encadeamento de serviços entre diferentes partições do chassi, mas elas ficam tão isoladas dentro do chassi que você precisará fornecer conectividade externa para vinculá-las.

Além do acesso de gerenciamento ser completamente isolado e exclusivo, a rede em banda é configurada e completamente contida na partição do chassi. Cada partição do chassi terá seu próprio conjunto de componentes de rede, como PortGroups, VLANs, Link Aggregation Groups (LAGs) e interfaces. Isso significa que a rede dentro de uma partição do chassi não é acessível ou visível de outra partição do chassi.

O isolamento no nível da rede também é imposto por meio de estruturas de comutação centralizadas que residem nos controladores de sistema duplo. No sistema VELOS, cada lâmina tem múltiplas conexões nas malhas de comutação centralizadas para redundância e largura de banda adicional. Cada lâmina BX110 tem 2 conexões de backplane de 100 Gb (uma para cada controlador de sistema), que são unidas em um LAG. Essa topologia com fiação em estrela fornece conexões de backplane rápidas e confiáveis entre todos os blades e também permite isolamento completo na camada de rede.

Quando as partições do chassi são criadas, o administrador atribui um ou mais blades, que são então isolados de todos os outros blades no chassi. As malhas de comutação centralizadas são configuradas automaticamente com VLANs baseadas em portas e marcação de VLAN para impor o isolamento entre partições de chassi. O diagrama abaixo fornece uma visão visual de como isso é aplicado.

Para ilustrar o quão isoladas são as partições de chassi, o diagrama abaixo mostra dois chassis VELOS com múltiplas partições de chassi em cada um. Como não há compartilhamento de recursos de rede em banda, cada partição de chassi deve ter sua própria conectividade de rede com as redes em banda e, para interconexões de alta disponibilidade entre os dois chassis. Não há como acessar interfaces, VLANs ou LAGs entre partições de chassi.

À medida que as organizações adotam estratégias de implantação de aplicativos baseadas em microsserviços para melhor utilização de recursos e automação e orquestração de ponta a ponta, elas terão que avaliar como essas estratégias se combinam com os requisitos de multilocação, bem como como manter a segurança total. A arquitetura moderna da F5 oferece uma solução exclusiva, de alto desempenho, baseada em microsserviços, que atende às necessidades de segurança e multilocação.

A F5 entende a importância da segurança em um ambiente baseado em microsserviços. As extensas avaliações do modelo de ameaças da F5 na plataforma e na conectividade de rede resultaram em um modelo de segurança baseado em uma estratégia de defesa em profundidade e uma postura de segurança proativa. O VELOS combina isolamento de camada de plataforma, particionamento de chassi e metodologias de malha de comutação centralizada para oferecer isolamento entre aplicativos em um ambiente multilocatário.