譯註:文中所稱之「我們」、「DBS」、「星展銀行」或「星展」皆係指新加坡星展銀行,所提及之金融服務亦為新加坡國內之服務。
原文出處:https://medium.com/dbs-tech-blog/accessing-internet-for-application-hosted-in-a-container-platform-a2078f463b93

隨著容器技術的日益普及,許多企業正在建構基礎架構來支援容器管理平台。在這篇文章中,將會介紹星展銀行如何克服容器化技術的動態 IP 特性所造成的網際網路存取限制。

但首先必須瞭解:什麼是容器技術?

「容器化」(Containerisation) 是一種流程,用來將應用程式、必要相依性或其他所需檔案共同封裝為映像檔(image)。這有助於開發人員在不同環境中以更輕鬆、一致的方式,將應用程式從開發階段轉移到正式作業階段。容器也具有輕量化的特徵,多個容器可以共享同一台電腦的作業系統核心。

為了補強容器技術的優點,容器管理平台可以編排容器的執行階段,並將特定部署流程自動化,以利減輕開發人員的工作量。

使用防火牆控制網際網路存取的傳統方法,帶來容器平台託管型應用系統的挑戰。

Kubernetes 是一款受歡迎的容器平台,可部署的最小單元稱為「pod」,每個 pod 可執行至少一個容器。Kubernetes 透過以下方式提高應用程式的可靠性:

1. 在特定部署組態上設定多個複本,藉此增強容器應用程式的擴充能力。

2. 通過使用“服務”實現副本間的負載平衡。

3. 當 Pod 因故 (例如記憶體不足) 而關閉時,會自動重新啟動,進而自我修復。

在使用容器管理平台對應用程式進行容器化並加以管理時,應用程式 Pod 的對外(outgoing) IP 位址將由 Pod 所在的節點決定。若因自動修復或擴充等因素,而在叢集內建立或重新建立 Pod 時,系統可能會在另一個不同的節點中重新建立該 Pod,進而間接變更了出站 IP 位址。

不同應用程式所用的 Pod也可能部署在同一個節點內,這會導致不同的應用程式共用相同的對外IP 位址。

但是在這類行為下,對外 IP 位址將以動態方式分配。如此一來,採用來源和目標 IP 位址的傳統防火牆控制概念將變得無效,因為依現有的防火牆規則將無法再準確識別應阻止或允許哪些流量。

例如,多個應用程式的容器可以排程在同一個節點中,如下圖所示。在伺服器 4 和伺服器 5 中傳出的「App 1」的Pod 可以存取 www.google.com,所以,在防火牆規則允許這兩個伺服器的 IP 位址存取端點。但這就會產生一種不良的狀況,也就是這個規則也等同允許了與「App1」1」位於同一節點 (伺服器 4)中的「App 2」也有權限來存取可能非它權限的網址。

對於上述挑戰,現有的一些因應措施並不理想,包括:

1. 將分配給容器平台的全部 IP 位址範圍列入白名單。但是如此一來,無論制定什麼防火牆政策,平台中位於同一 IP 位址範圍內的所有 pod 都將共用相同的網際網路存取權限。

2. 為命名空間分配靜態 IP,以滿足其網際網路存取的需求。但是,IP 位址是一項限制因素。當有更多應用程式加入平台時,最終將沒有足夠的 IP 位址可供分配。此外,命名空間的靜態 IP 位址可能會重新分配給另一個命名空間,在操作不當的情況下,可能會產生不必要的後門。

上述因應措施中的這項限制,是促使星展開發出閘道即服務 (GaaS) 的關鍵驅動因素,旨在支援容器平台的網際網路存取,而不影響(防火牆)安全需求。

什麼是閘道即服務 (GaaS)?

閘道即服務 (GaaS) 是一種位於企業系統和網際網路之間的代理裝置,具有閘道的功能,用於控制進出組織的所有流量。其如同公司守門人,可以對流量進行額外檢查,以執行組織所需的安全政策。

GaaS 的主要概念是不再使用來源 IP 位址作為識別符來控制應用程式連線。相反,GaaS 改用應用程式帳戶當作一種身分驗證形式 (該帳戶不必專屬於特定 GaaS,只需「加入」GaaS 即可),並確認連線發起方是否獲授權存取網際網路網址。

GaaS 代理解決方案組成要素解析

GaaS 代理設備的關鍵元件是:

1. LDAP 身分驗證管理程式 — 適用於 LDAP 身分驗證,使用 F5 存取政策管理程式 (APM)。

2. F5 BIG-IP SSL 編排程式 — 檢查入站和出站流量,可用於實現防毒掃描功能,並防止機密資料傳送至組織外部。

3. ICAP 組態 — 用來對外部元件進行遠端程序呼叫,例如透過 ICAP 協定來實現防毒功能。

4. 資料群組 — GaaS 採用 F5 BIG-IP 本機流量管理程式元件「資料群組」,依照應用程式帳戶 ID 來對 URL 的「白名單」和「黑名單」進行分組。

5. iRules、TCL 指令碼 — 主要的邏輯,其中使用 GaaS 作為代理程式,來對所有 HTTP 流量執行檢查。此元件也來自 F5 BIG-IP 本機流量管理程式。

對於所有透過 GaaS 存取網際網路的應用程式帳戶,系統都會分配其各自專屬的「白名單」和「黑名單」。預設情況下,所有應用程式 HTTPS 請求都設定為「全部拒絕」政策。這些規則是使用代理裝置中的「資料群組」來加以管理。

「白名單」、「黑名單」和「全部拒絕」政策之間有什麼區別?

· 白名單 — 經過審查核准,可供應用程式帳戶存取的 URL。

· 全部拒絕 — 無論應用程式帳戶為何,一律依預設拒絕未經核准的 URL。

黑名單 — 系統會先對此進行驗證。先前經過核准但日後成為惡意網頁的 URL,將被列入黑名單,而黑名單政策將會取代白名單政策。


這是黑名單資料群組的一個範例,其中被遮蓋的部分是根據公司政策列出的黑名單 URL。


取自應用程式帳戶「gaaslvuser」的使用者白名單範例

藉由採用應用程式帳戶作為識別碼,並搭配白名單和黑名單的機制,GaaS 也解決了傳統防火牆的運作方式所面臨的一些問題。

1. 由於防火牆採用 IP 位址作為識別碼,因此一旦發生變更或進行審查,IP 位址都不足以識別變更會影響到哪些應用程式。

2. 管理防火牆規則的複雜度會隨著組織的發展而提高。這會使防火牆系統管理員更難以決定是否該刪除或變更規則,因為他們不知道哪些應用程式可能會受到影響。

有了 GaaS,防火牆系統管理員就可以在政策審查/變更的同時查看哪些應用程式會立即受到影響,進而解決上述問題。可以將這種情況想像為:假設您的孩子參加畢業典禮,接待者(在此用來比喻 GaaS) 會依照畢業生名冊來驗證孩子的姓名 (帳戶 ID),如果孩子的姓名登記在名冊中,就允許他進入畢業典禮會場 (網址)。


依照帳戶 ID 建立政策分組的自動化工作流程範例

GaaS 會使用由代理裝置公開的 API,來自動建立並管理上述規則。如此可間接減少防火牆系統管理員的工作量,而在星展內部實施規則/政策的周轉時間亦可從 3 到 5 天縮短到幾分鐘。

GaaS 會使用代理裝置中的 iRules 自訂不同的規則組合,可用於在接收流量時立即進行檢查以決定「允許」或「拒絕」。


用於政策檢查的 F5 iRule 範例

代理裝置中的 iRules 還有助於擷取所有流量日誌,並有效率地將其傳送到日誌分析伺服器。

藉由將日誌傳送到分析伺服器後,GaaS 即可使用這些日誌來掃描過時的政策,並在此過程中予以刪除。如此可避免因人為疏失或複雜的防火牆規則變更作業而衍生不必要的後門存取途徑。
在這每一項要求當中,都必須成功通過身分驗證,才能依據存取控制政策,動態地驗證代理裝置上的流量。以此方式,GaaS 無需犧牲安全性和合規性,就能透過託管在容器平台上的應用程式實現網際網路存取機制。


存取政策圖解 — 使用 F5 BIG-IP 視覺化政策編輯程式

改善安全性

GaaS 也支援 SSL/TLS 加密流量適用的防毒掃描功能。通常,流量加密之後就無法加以掃描。GaaS 解決此問題的方法是添加一層額外的工作流程,可執行 SSL 校驗以解密和加密入站和出站流量。

在對請求或回應酬載 (response payload) 進行解密後,就可以偵測資料遺失和進行防毒掃描。

防毒伺服器也會每天更新簽章檔,持續掌握最新的病毒趨勢。

相應的挑戰及克服之道

由於防毒整合功能,GaaS 對於特定的連線類型 (例如伺服器傳送事件 (SSE) 和 雙向 SSL) 會遭遇其他限制。

這 2 種連線類型有何特別之處,是否會導致防毒軟體無法運作?

伺服器傳送事件

· 這是一種十分類似 Web 通訊端的 HTTP 連線類型,可建立持續連線,用於將資訊從伺服器串流到用戶端。

· 當連線正在串流時,防毒軟體不知道何時該「停止掃描」或已到「EOF」(檔案結尾),因此無法確定連線是否已關閉。這樣會造成防毒軟體持續等待。

雙向 SSL (相互 SSL/TLS)

· 有些應用程式會要求信任伺服器傳回的特定憑證,而伺服器必須信任從用戶端傳送的憑證。
方法之一是在由不同通訊埠號所定義的代理裝置內建立不同的存取點。這項新的存取點將需要以不同方式處理上述連線類型。

結論

GaaS 會移除網際網路存取控制政策中來源 IP 位址的相依性,使容器技術能夠輕鬆安全地連接到網際網路。此外,採用應用程式帳戶作為識別符,也可以更輕鬆管理網際網路存取的控管政策。如此可讓系統管理員放心地管理這些政策。

免責聲明和重要通知

本文章(英文)係由DBS LTD提供並經星展銀行(台灣)(下稱「本行」)翻譯為中文,僅供參考,本行及DBS LTD不對使用本文章所引起之任何損失或損害負任何責任。如您有任何疑問或欲參考本文章而為行事之依據,本行建議您諮詢您的專業顧問之意見,以保障您的權益。非經本行之事前書面同意,任何人不得對本文章為複製、轉載、引用、抄襲、修改、散佈或為任何其他方式之使用

作者簡介


熱門新聞

Advertisement