Obejrzyj serię filmów na temat bezpieczeństwa Cisco Cloud Native.

Kobieta Technologia

W tym blogu przedstawiamy serię filmów demonstracyjnych Cisco Cloud Native Security SPOT-On. W tej serii pokażemy, jak zapewnić natywną infrastrukturę chmury do uruchamiania aplikacji. Przyjrzymy się, jakie narzędzia są potrzebne, aby to osiągnąć i, co najważniejsze, jak możemy zabezpieczyć te środowiska za pomocą portfolio Cisco Secure.

W tej części 1 serii, przedstawimy:

  • co będziemy budować
  • jakie rodzaje technologii zabezpieczeń będziemy wdrażać
  • w jaki sposób portfolio Cisco Secure zapewnia widoczność i politykę bezpieczeństwa w środowisku cloud native.

Każdy blog z tej serii będzie zawierał film demonstracyjny! Więcej informacji można znaleźć również na stronie Cisco Application-First Security.

Co i gdzie będziemy budować?

Po pierwsze, potrzebujemy miejsca, w którym będziemy mogli wdrożyć naszą infrastrukturę. Będziemy rozmieszczać naszą infrastrukturę w Amazon Web Services (AWS). W AWS stworzymy wirtualną chmurę prywatną (VPC) ze wszystkimi potrzebnymi podsieciami, grupami bezpieczeństwa, interfejsami, tablicami tras, bramami internetowymi, elastycznymi adresami IP i instancjami elastycznych obliczeń (EC2). Będziemy również wdrażać klaster Elastic Kubernetes Service (EKS) do zarządzania i orkiestracji naszych natywnych aplikacji w chmurze. Będą dwie instancje EC2, pierwsza z nich będzie hostować nasz Next Generation Firewall. Druga będzie hostować węzeł roboczy EKS, który będzie hostował nasze aplikacje mikroserwisowe.

Jakie narzędzia są nam potrzebne?

Potrzebujemy również kilku narzędzi, które pomogą nam w provisioningu i konfiguracji naszego środowiska. Zbudowaliśmy DevBox z wszystkimi niezbędnymi narzędziami DevOps, aby to osiągnąć. Na tym DevBoxie zainstalujemy najnowsze wersje Terraforma, Ansible, Jenkinsa i AWS CLI. Będziemy używać Terraform i AWS CLI do dostarczania infrastruktury chmury i aplikacji. Ansible posłuży nam do skonfigurowania polityki Next Generation Firewall. Jenkins zautomatyzuje i zaaranżuje proces budowania i wdrażania środowiska. Inne narzędzia, których będziemy używać to GitHub do zarządzania kodem źródłowym i kontroli wersji, Docker do wdrażania playbooków Ansible i skryptów Pythona w naszym potoku CI/CD oraz Kubernetes CLI (kubectl) do monitorowania i zarządzania samym klastrem.

Jak zabezpieczyć środowiska natywne w chmurze?

Zabezpieczenie natywnego środowiska chmury może stać się nieco skomplikowane. Co dokładnie próbujemy zabezpieczyć? Jest tak wiele pytań, które mogą się pojawić podczas wdrażania aplikacji cloud-native w AWS (lub u innego dostawcy IaaS):

  • Czy zabezpieczamy infrastrukturę chmury publicznej? czy klaster Kubernetes? czy mikroserwisy działające w klastrze? czy może kontenery i aplikacje działające wewnątrz kontenerów?
  • Co z interfejsami API (Application Programming Interfaces), które są przez nie eksponowane? Co z uwierzytelnianiem i autoryzacją API?
  • Jak są szyfrowane dane w tranzycie i w spoczynku?
  • Jak wiele połączeń lub żądań może obsłużyć aplikacja?
  • Czy w tych aplikacjach używane są jakieś podatne na ataki biblioteki?

Na szczęście dla nas, portfolio Cisco Secure dostarcza rozwiązań na wszystkie te pytania.

Różne rozwiązania dla różnych przypadków użycia

W tej serii zaczniemy od infrastruktury i będziemy podążać w górę stosu, aż do aplikacji i użytkowników. W zależności od wdrożenia, niektóre z warstw infrastruktury mogą nie być kontrolowane (np. w przypadku wdrożeń serverless computing). Therefore, ważne jest, aby pamiętać, że nie wszystkie te rozwiązania będą potrzebne dla każdego wdrożenia cloud-native. Podczas tej serii blogów wyjaśnimy różne przypadki użycia i kiedy potrzebne jest które rozwiązanie. Sprawdź poniższy diagram, aby zobaczyć, jak różne rozwiązania odgrywają rolę w stosie aplikacji.

Różne rozwiązania odgrywają różne role w stosie aplikacji

Od infrastruktury do aplikacji – w górę stosu

Na wysokim poziomie, przechodząc w górę stosu od infrastruktury do aplikacji, wygląda to następująco:

  1. Krawędź chmury zabezpieczymy za pomocą Cisco Secure Firewall (NGFW), który zostanie dostarczony na instancji EC2, która będzie punktem wejścia do VPC. NGFW zapewni kontrolę dostępu w warstwie 3-7 północ/południe, zapobieganie włamaniom oraz ochronę przed złośliwym oprogramowaniem do i z naszych aplikacji. To rozwiązanie zapewnia opcję zabezpieczenia samej infrastruktury chmury (AWS VPC). Drugą opcją jest wdrożenie Cisco Secure Firewall Cloud Native (SFCN) bezpośrednio do klastra Kubernetes. SFCN jest pełnym NGFW, zbudowanym do działania w zarządzanym środowisku Kubernetes w chmurze publicznej. Zapewnia to zautomatyzowane funkcje skalowania usług bezpieczeństwa w zależności od zapotrzebowania.
  2. Zanurzymy się również w inne nowe technologie, takie jak Cloud Security Posture Management (CSPM) przy użyciu Cisco Secure Cloud Insights. Secure Cloud Insights daje nam pełny wgląd w postawę bezpieczeństwa w chmurze, jednocześnie stale monitorując i wykrywając naruszenia polityk i błędne konfiguracje oraz mapując relacje między wszystkimi zasobami, aby zrozumieć całą powierzchnię ataku.
  3. Następnie zapewnimy widoczność i analizę bezpieczeństwa infrastruktury chmury i klastra Kubernetes za pomocą Cisco Secure Cloud Analytics (SCA). SCA wykrywa oznaki kompromitacji, takie jak aktywność insider threat i złośliwe oprogramowanie w środowisku mikroserwisów. Rozwiązanie to daje nam możliwość zabezpieczenia infrastruktur chmury publicznej (AWS VPC) oraz natywnej chmury (Kubernetes). SCA posiada również integrację z platformami serverless computing, takimi jak AWS Lambda.
  4. Cisco Secure Workload może zapewnić mikrosegmentację wewnątrz infrastruktury chmurowej i aplikacji mikrousługowych. Secure Workload można wdrożyć za pomocą agenta na instancjach chmury (EC2) lub daemonsetu na klastrze Kubernetes. Rozwiązanie to zapewnia opcje segmentacji instancji chmurowych i mikroaplikacji na poziomie warstwy 3-4, co oznacza, że polityka jest nadal egzekwowana na podstawie adresu IP i portu usługi.
  5. Cisco Secure Application for cloud native zapewni bezpieczeństwo Kubernetes i kontenerów, integrację z potokiem CI/CD oraz widoczność API i wykrywanie zagrożeń. Ponieważ rozwiązanie to jest rozwiązaniem zabezpieczającym kontenery, może być używane z klastrem Kubernetes.
  6. Teraz zajmiemy się zabezpieczeniem samej aplikacji poprzez wykrywanie zależności kodu, ciągłe monitorowanie podatności i blokowanie exploitów w czasie działania aplikacji za pomocą Cisco Secure Application for AppD. Cisco Secure Application jest częścią pakietu AppDynamics i działa na jego Application Performance Monitor (APM), który jest wdrożony wewnątrz kodu aplikacji. Ponieważ rozwiązanie to jest wbudowane w runtime aplikacji poprzez agenta, może być wykorzystywane wszędzie tam, gdzie aplikacja jest uruchomiona.
  7. Użycie Cisco Secure Access by Duo ustanowi zaufanie do urządzenia użytkownika i wysoce bezpieczny dostęp do aplikacji, aby pomóc w identyfikacji urządzeń firmowych i osobistych z łatwym wdrożeniem certyfikatów.W ten sposób można zablokować niezaufane punkty końcowe i zapewnić użytkownikom bezpieczny dostęp do wewnętrznych aplikacji bez konieczności korzystania z VPN. Ponadto, Duo Network Gateway zapewnia granularną kontrolę dostępu użytkowników i punktów końcowych do aplikacji i infrastruktury CI/CD poprzez HTTPS, SSH i RDP.

Śledź serię

To jest pierwszy blog z mojej 3-częściowej serii Cisco Cloud Native Security. Każdy blog będzie przedstawiał następny film demonstracyjny. Zapoznaj się z pierwszym filmem, Cisco Secure Cloud Native Security – Część 1 – Wprowadzenie, aby uzyskać więcej szczegółowych informacji i obejrzeć demonstrację. Zapraszamy również do odwiedzenia strony Cisco Application-First Security, gdzie można uzyskać dostęp do narzędzi, laboratoriów edukacyjnych oraz uzyskać więcej informacji. Masz pytania lub chciałbyś o czymś porozmawiać?… dołącz do nas w społeczności Security Developer Community


Cisco Secure Cloud Native Security – Część 1 – Wprowadzenie

Chętnie dowiemy się, co myślisz. Zadaj pytanie lub zostaw komentarz poniżej.
I bądź na bieżąco z Cisco DevNet na portalach społecznościowych!

LinkedIn | Twitter @CiscoDevNet | Facebook | Developer Video Channel

Share

:

Czytaj dalej: https://blogs.cisco.com/developer/cloudnativesecurity01

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.