Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

cSRX dans le pare-feu Contrail basé sur l’hôte

Le SRX conteneurisé (Pare-feu de conteneur cSRX) est une solution de sécurité virtuelle intégrée à un service Contrail Networking en tant que pare-feu distribué basé sur l’hôte (HBF). cSRX est basé sur le conteneur Docker pour fournir des services de sécurité agiles, élastiques et économiques.

Pare-feu de conteneur cSRX sur pare-feu Contrail basé sur l’hôte Présentation

Le cSRX se déploie sous la forme d’un conteneur unique sur un nœud de calcul Docker Engine s’exécutant dans un cluster Contrail. Le cSRX s’exécute sur un serveur bare metal Linux en tant que plate-forme d’hébergement pour l’environnement de conteneurs Docker. Le conteneur cSRX empaquette tous les processus et bibliothèques dépendants pour prendre en charge les différentes méthodes de distribution hôte Linux (Ubuntu, Red Hat Enterprise Linux ou CentOS).

Plusieurs processus à l’intérieur du conteneur Docker se lancent automatiquement lorsque le cSRX devient actif. Certains processus prennent en charge les fonctionnalités Linux, fournissant le même service que lorsqu’ils s’exécutent sur un hôte Linux (par exemple, sshd, rsyslogd et monit). D’autres processus sont compilés et portés à partir de Junos OS pour exécuter des tâches de configuration et de contrôle pour le service de sécurité. Par exemple, MGD, NSD, Content Security, IDP et AppID). srxpfe est le démon de plan de données qui reçoit et envoie les paquets à partir des ports commerciaux d’un conteneur cSRX. cSRX utilise srxpfe pour les fonctions de transfert de couche 2 (L2) à couche 3 (L3), ainsi que pour les services de sécurité réseau de couche 4 à 7.

La solution de sécurité logicielle distribuée s’appuie sur Contrail Networking à l’aide de Contrail Controller et de Contrail vRouter pour prévenir les menaces dans l’environnement multicloud d’un client.

Lorsque cSRX agit en tant que service de pare-feu distribué sur Contrail, Kubernetes est utilisé pour orchestrer les instances cSRX sur les nœuds de calcul. Le serveur d’API Kubernetes peut répondre au contrôleur Contrail une fois que vous avez configuré les stratégies de pare-feu basé sur l’hôte (HBF) sur l’interface utilisateur de Contrail. Une image cSRX est extraite du registre Docker pour les nœuds de calcul une fois les instances provisionnées.

Vous pouvez déployer le cSRX en tant que microsegmentation Contrail. Dans un environnement Contrail exécutant des charges de travail mixtes de machines virtuelles et de conteneurs, le cSRX peut assurer la sécurité du trafic des couches 4 à 7, géré par Security Director.

Figure 1 : Pare-feu de conteneur cSRX sur le pare-feu cSRX Container Firewall on Contrail Host-Based Firewall Contrail basé sur l’hôte

Cette figure illustre l’intégration de cSRX avec l’adaptateur HBF Contrail à l’aide d’un conteneur Docker. Contrail Security comprend un routeur virtuel intégré (vRouter) qui agit comme un élément distribué sur chaque hôte sur lequel une application cSRX est créée. Le vRouter applique la sécurité au niveau des couches 4 à 7 en surveillant les flux de trafic et en redirigeant le trafic suspect vers des pare-feu de nouvelle génération.

Une fois que vous avez provisionné les instances cSRX :

  • Trois interfaces vRouter (VIS) connectent l’instance cSRX au vRouter.

    • L’interface de gestion est connectée au réseau virtuel de gestion.

    • Deux interfaces de données sécurisées sont connectées aux réseaux virtuels gauche et droit, recevant les paquets dirigés depuis le vRouter et envoyant les paquets au vRouter après vérification de sécurité.

  • Security Director met à jour les stratégies de sécurité L7 et les adresses dynamiques sur les instances cSRX.

  • Les instances cSRX envoient des journaux de sécurité à Security Director.

  • Chaque locataire qui a besoin du service HBF démarre une instance cSRX privée sur le nœud de calcul.

Avec Contrail Security, vous pouvez définir des stratégies et les distribuer automatiquement dans tous les déploiements. Vous pouvez également surveiller et dépanner les flux de trafic à l’intérieur de chaque instance cSRX et entre les instances cSRX.

Contrail HBF prend en charge le cSRX uniquement en mode Secure-Wire. Le mode Secure-wire permet une sécurité avancée à la périphérie du réseau dans un environnement virtualisé mutualisé. Le cSRX offre des fonctionnalités de sécurité avancées de couche 4 à 7 telles que le pare-feu, l’IPS et AppSecure. Le conteneur cSRX fournit également une interface supplémentaire pour gérer le cSRX. Lorsque le cSRX fonctionne en mode de couche 2, les trames de couche 2 entrantes d’une interface sont traitées de couche 4 à couche 7 en fonction des services cSRX configurés. Le cSRX envoie ensuite les trames hors de l’autre interface. Le conteneur cSRX permet aux trames de passer telles quelles ou les supprime, en fonction des stratégies de sécurité configurées.

La Figure 2 illustre le fonctionnement du cSRX en mode Secure-Wire.

Figure 2 : Pare-feu de conteneur cSRX en mode cSRX Container Firewall in Secure-Wire Mode Secure-Wire

Modes de déploiement du pare-feu de conteneur cSRX

Sécuriser le trafic à l’intérieur du nœud de calcul

Lorsque le cSRX sécurise le trafic à l’intérieur d’un nœud de calcul, le vRouter dirige le trafic correspondant au filtre HBF vers le cSRX. Des sessions de flux sont créées pour le trafic envoyé du vRouter au cSRX. Une fois que le cSRX a terminé le contrôle de sécurité L7, il renvoie le trafic au vRouter, qui le transmet ensuite vers la destination, comme illustré à la Figure 3.

Figure 3 : Trafic sécurisé à l’intérieur d’un nœud de Secure Traffic Inside Compute Node calcul

Sécurisez le trafic entre les nœuds de calcul

Dans ce mode, le cSRX fonctionne de la même manière que lorsqu’il sécurise le trafic à l’intérieur du nœud de calcul. Cependant, dans ce cas, la différence est que vRouter doit garantir que le trafic est dirigé vers la même instance cSRX lorsque le trafic traverse différents nœuds de calcul. Ce mode garantit que les sessions de flux cSRX sont créées et mises en correspondance dans la même instance cSRX dans les deux sens.

Figure 4 : nœuds de calcul inter-nœuds de trafic sécurisés Secure Traffic Cross Compute Nodes

Prise en charge multi-utilisateur

Pour la prise en charge de la mutualisation, une instance cSRX distincte est démarrée pour chaque locataire sur le même nœud de calcul.

La figure 5 illustre la prise en charge de la multilocation.

Figure 5 : prise en charge Multitenancy Support multi-utilisateur

Licence pour Pare-feu de conteneur cSRX

Vous avez besoin d’une licence pour activer les fonctionnalités du logiciel cSRX. Pour en savoir plus sur les licences de fonctionnalités logicielles cSRX, consultez Modèle d’abonnement logiciel cSRX Flex.