Teilen über

FQDN-Filterung für verbesserte Sicherheit bei erweiterten Container-Netzwerkdiensten

  • Artikel

Übersicht über die FQDN-Filterung

Erweiterte Container-Netzwerkdienste (Advanced Container Networking Services, ACNS) bieten erweiterte Einblicke und Sicherheitsfeatures, um die Komplexität der Wartung der Microserviceinfrastruktur für Benutzer zu verringern, die diese Probleme im großen Stil beheben möchten.

Containerisierte Umgebungen bringen besondere Sicherheitsprobleme mit sich. Herkömmliche Netzwerksicherheitsmethoden, die häufig auf IP-basierte Filterung angewiesen sind, können umständlich und weniger effektiv werden, da sich die IP-Adressen häufig ändern. Darüber hinaus können das Verständnis von Netzwerkdatenverkehrsmustern und die Identifizierung potenzieller Bedrohungen komplex sein.

Die FQDN-Filterung bietet einen effizienten und benutzerfreundlichen Ansatz für die Verwaltung von Netzwerkrichtlinien. Durch Definieren dieser Richtlinien, die auf Domänennamen und nicht auf IP-Adressen basieren, können Organisationen den Prozess der Richtlinienverwaltung erheblich vereinfachen. Dieser Ansatz beseitigt die Notwendigkeit häufiger Aktualisierungen, die in der Regel erforderlich sind, wenn IP-Adressen geändert werden. Dadurch wird der Verwaltungsaufwand verringert, und das Risiko von Konfigurationsfehlern wird minimiert.

In einem Kubernetes-Cluster können sich Pod-IP-Adressen häufig ändern, was es schwierig macht, die Pods mit Sicherheitsrichtlinien mithilfe von IP-Adressen zu sichern. Über die FQDN-Filterung können Sie Richtlinien auf Podebene mithilfe von Domänennamen anstelle von IP-Adressen erstellen, sodass die Notwendigkeit beseitigt wird, Richtlinien zu aktualisieren, wenn sich eine IP-Adresse ändert.

Hinweis

Azure CNI Powered by Cilium und die Kubernetes-Version 1.29 oder höher sind erforderlich, um die Sicherheitsfeatures von erweiterten Container-Netzwerkdiensten wie FQDN-Filterung verwenden zu können.

Komponenten der FQDN-Filterung

Cilium Agent: Der Cilium-Agent ist eine wichtige Netzwerkkomponente, die als DaemonSet in Azure CNI Powered by Cilium-Clustern ausgeführt wird. Er behandelt Netzwerkverkehr, Lastenausgleich und Netzwerkrichtlinien für Pods im Cluster. Für Pods mit erzwungenen FQDN-Richtlinien leitet der Cilium-Agent Pakete an den DNS-Proxy für die DNS-Auflösung um und aktualisiert die Netzwerkrichtlinie mithilfe der FQDN-IP-Zuordnungen, die vom DNS-Proxy abgerufen wurden.

ACNS-DNS-Proxy: Der ACNS-DNS-Proxy wird als DaemonSet in Azure CNI Powered by Cilium-Cluster ausgeführt, wobei erweiterte Containernetzwerkdienste aktiviert sind. Er verarbeitet die DNS-Auflösung für Pods und aktualisiert bei erfolgreicher DNS-Auflösung den Cilium-Agent mit FQDN für IP-Zuordnungen.

So stellt der ACNS-DNS-Proxy eine hohe Verfügbarkeit sicher

Der ACNS-DNS-Proxy, der separat vom Cilium-Agent ausgeführt wird, stellt sicher, dass Pods weiterhin über DNS-Auflösung verfügen, auch wenn der Cilium-Agent ausfällt oder ein Upgrade durchläuft. Durch die Verwendung des maxSurge-Upgradefeatures von Kubernetes bleibt der DNS-Proxy während Upgrades betriebsbereit. Diese Komponente garantiert, dass die Netzwerkkonnektivität für wichtige Kundenworkloads nicht durch Probleme mit der DNS-Auflösung gestört wird.

Hinweis

Hochverfügbarkeit gilt für die DNS-Namensauflösung und nicht für die Richtlinienerzwingung. Wenn der Cilium-Agent heruntergefahren wird, werden vorhandene Richtlinien, die auf den letzten aufgelösten IP-Adressen basieren, weiterhin erzwungen. IP-Adressänderungen werden derzeit jedoch, auch wenn sie durch DNS aufgelöst werden, nicht in den Richtlinien aktualisiert, bis der Cilium-Agent wieder im Dienst ist.

Funktionsweise der FQDN-Filterung

Wenn die FQDN-Filterung aktiviert ist, werden DNS-Anforderungen zuerst ausgewertet, um festzustellen, ob sie zugelassen werden sollen. Anschließen können Pods nur auf angegebene Domänennamen basierend auf der Netzwerkrichtlinie zugreifen. Der Cilium-Agent kennzeichnet DNS-Anforderungspakete, die von den Pods stammen, und leitet sie an den DNS-Proxy um. Diese Umleitung erfolgt nur für Pods, die FQDN-Richtlinien erzwingen.

Der DNS-Proxy entscheidet dann, ob eine DNS-Anforderung basierend auf den Richtlinienkriterien an den DNS-Server weitergeleitet werden soll. Wenn dies zulässig ist, wird die Anforderung an den DNS-Server gesendet, und beim Empfang der Antwort aktualisiert der DNS-Proxy den Cilium-Agent mit FQDN-Zuordnungen. Dadurch kann der Cilium-Agent die Netzwerkrichtlinie innerhalb der Richtlinien-Engine aktualisieren. Die folgende Abbildung zeigt den allgemeinen Fluss der FQDN-Filterung.

Screenshot der Funktionsweise des DNS-Proxy bei der FQDN-Filterung.

Hauptvorteile

Skalierbare Sicherheitsrichtlinienverwaltung: Cluster- und Sicherheitsadministratoren müssen Sicherheitsrichtlinien nicht jedes Mal aktualisieren, wenn eine IP-Adresse geändert wird, sodass Vorgänge effizienter ablaufen.

Verbesserte Sicherheitscompliance: Die FQDN-Filterung unterstützt ein Zero Trust-Sicherheitsmodell. Der Netzwerkdatenverkehr ist nur auf vertrauenswürdige Domänen beschränkt, sodass Risiken durch nicht autorisierten Zugriff verringert werden.

Resiliente Richtlinienerzwingung: Der mit FQDN-Filterung implementierte DNS-Proxy stellt sicher, dass die DNS-Auflösung nahtlos fortgesetzt wird, auch wenn der Cilium-Agent ausfällt, und Richtlinien weiterhin erzwungen werden. Diese Implementierung stellt kritisch sicher, dass Sicherheit und Stabilität in dynamischen und verteilten Umgebungen beibehalten werden.

Nächste Schritte

Hinweis

Cilium unterstützt weitere Netzwerkrichtlinienoptionen, die derzeit nicht für AKS unterstützt werden. Nicht unterstützte Netzwerkrichtlinien, die auf den Cluster angewendet werden, werden blockiert. Blockierte Netzwerkrichtlinien können auf den Cluster angewendet werden, werden jedoch nicht vom Cilium-Agent erzwungen.