WHITE PAPER

Crear una arquitectura Multi-Tenant segura con F5 VELOS

Introducción

Las empresas se centran en la contención de los costes en sus centros de datos empresariales a la vez que soportan la creciente demanda de entrega de contenidos. A medida que estas organizaciones tratan de maximizar sus tasas de utilización de la infraestructura existente, garantizar la seguridad de los datos y el cumplimiento normativo se ha convertido en una prioridad absoluta. Debido a que muchas organizaciones tienen cargas de trabajo distribuidas en despliegues internos, externos y multinube, necesitan una estrategia de seguridad de datos consistente en todos sus despliegues. La nueva arquitectura moderna de F5 permite a las organizaciones acelerar los planes de transformación digital desplegando el software de F5 de forma modular, tanto en nubes privadas como públicas, al tiempo que conservan sus capacidades de aceleración por hardware existentes. La infraestructura basada en microservicios de F5 admite la entrega de aplicaciones y la funcionalidad de las arquitecturas multi-tenancy con una seguridad integral que aísla a los inquilinos. Todo ello es la piedra angular de la visión Aplicaciones adaptables de F5.

Los problemas de seguridad de los datos afectan a uno de cada tres proveedores de servicios. Dado el aumento de las filtraciones de datos y las multas por cuestiones de regulación y cumplimiento, los proveedores de servicios gestionados quieren garantizar a los clientes de la red que su tráfico de red no puede ser visto o manipulado por otros clientes alojados en el mismo dispositivo físico.

La moderna arquitectura de F5 combina las características de alto rendimiento que requieren los directores de sistemas de información (CIO) con la capacidad robusta y de alta seguridad que exigen los directores de seguridad (de la información) (CSO/CISO).

Componente

Definición

CMP

Arquitectura distribuida F5® Clustered MultiprocessingTM (CMP) para escalar CPU, núcleos y blades

VELOS

Solución de controlador de entrega de aplicaciones (ADC) de próxima generación, que se basa en la arquitectura a escala en la nube y ofrece una solución para ejecutar aplicaciones de gestión del tráfico en un sistema basado en chasis, en escenarios internos o de colocación.

Dispositivo

Una plataforma de hardware no modular con un número fijo de puertos y núcleos de CPU en la que también se pueden desplegar instancias de inquilinos

F5OS

F5OS es el nuevo software de capa de plataforma introducido con VELOS. F5OS aprovecha una arquitectura de microservicios que se abstrae del administrador. La capa de plataforma incluye la configuración básica del sistema, las licencias del chasis, la red y la configuración de las particiones del chasis.

Partición de chasis

Una partición de chasis es una agrupación de blades dentro de un chasis VELOS. Se trata de un nuevo concepto no disponible en VIPRION. Permite una completa separación y aislamiento para un grupo de blades dentro del chasis. Los inquilinos se crean dentro de las particiones del chasis y también proporcionan aislamiento. Las particiones del chasis no están relacionadas de ninguna manera con las particiones de administración de TMOS.

Usuario

Las generaciones anteriores de las plataformas BIG-IP, como VIPRION, admitían la virtualización y el multi-tenancy a través de la tecnología F5® Virtual Clustered MultiprocessingTM (vCMP). VELOS también admite la virtualización y el multi-tenancy, pero sin utilizar vCMP. VELOS utiliza un enfoque más moderno basado en microservicios, y el multi-tenancy está incorporado por defecto. Al igual que en vCMP, se pueden aprovisionar inquilinos individuales, cada uno de los cuales ejecuta su propia versión de software.

SuperVIP/Bare metal

SuperVIP es una configuración de tipo bare-metal en VIPRION en la que añadir más blades aumenta la capacidad de computación. La tecnología CMP se utiliza para distribuir la carga entrante entre todos los procesadores disponibles. VELOS es multiinquilino por defecto y consigue un caso de uso similar configurando un único gran inquilino que puede expandirse dinámicamente (al igual que VIPRION) cuando se añaden blades adicionales.

Arquitectura moderna de F5

Los sistemas de la generación anterior, como VIPRION, ofrecían soluciones de virtualización a través de la tecnología vCMP. vCMP tenía dos componentes que proporcionaban multi-tenancy: la capa de host vCMP y la capa de invitado vCMP. La funcionalidad del host del vCMP era esencialmente un hipervisor personalizado que permitía a las plataformas de F5 ejecutar instancias virtuales de BIG-IP, que se denominaban invitados.

VELOS ofrece un modelo similar al de vCMP desde el punto de vista de la configuración y el despliegue, pero con una tecnología diferente. VELOS utiliza los términos «tenants» o «tenancy» para describir las capacidades de virtualización dentro del chasis. La capa de la plataforma F5OS en VELOS no es un hipervisor, sino una capa auténtica de microservicios con un marco subyacente de Kubernetes para la gestión. F5OS implementa el multi-tenancy utilizando la tecnología KubeVirt para permitir que las instancias BIG-IP se ejecuten como máquinas virtuales (VM) sobre la capa de microservicios. Esto permite a los clientes migrar las instancias BIG-IP existentes, o invitados, a los «tenants» o inquilinos de VELOS sin cambiar la forma de gestionar sus inquilinos.

Diagrama 1

En el futuro, la arquitectura VELOS también soportará la próxima generación de software BIG-IP. En lugar de ejecutar instancias de BIG-IP como una máquina virtual sobre un entorno de contenedores, en el futuro BIG-IP se ejecutará como una colección de contenedores dentro del entorno de contenedores nativo. Los inquilinos admitidos en un chasis VELOS pueden ser BIG-IP con TMOS y el software BIG-IP en contenedores de F5OS para realizar pruebas y migraciones de versión sin problemas en la misma plataforma.

Arquitectura multi-tenancy

La configuración del «tenant» o inquilino en VELOS es casi idéntica a la del aprovisionamiento de un invitado vCMP. El administrador asigna un nombre al inquilino, selecciona una versión de software para que lo ejecute y asigna recursos de vCPU y memoria. Los inquilinos de VELOS utilizan recursos de CPU y memoria dedicados, al igual que los invitados de vCMP.

Partición de chasis

VELOS ofrece una capa adicional de aislamiento mediante una función de partición del chasis que permite a los administradores agrupar y aislar los blades entre sí. Cada blade puede ser su propia partición de chasis aislada, o puede agruparse con otros para formar particiones de chasis más grandes hasta el número máximo de blades dentro del chasis. La partición del chasis proporciona una capa adicional de aislamiento que incluye la red física. Con vCMP, la red física en la capa del host era accesible para todos los invitados, aunque podía estar restringida por la pertenencia a una VLAN. Con la arquitectura multi-tenancy y las particiones de chasis de VELOS, los inquilinos de una partición de chasis solo tienen acceso a la red física dentro de la partición de chasis en la que están alojados. No se les permite acceder a la red dentro de otras particiones de chasis. Siguen estando restringidos por VLAN, al igual que vCMP, pero la partición de chasis crea una mayor separación en las capas inferiores. VELOS aísla aún más las particiones de chasis segregando el acceso de los administradores, de modo que cada partición de chasis gestiona su propio acceso y autenticación de usuarios.

Función de administrador de chasis

Los administradores de chasis pueden acceder a las interfaces de gestión fuera de banda de los controladores del sistema. También pueden configurar las particiones del chasis y asignar privilegios de usuario para acceder a estas particiones.

diagrama 3

Función de administrador de la partición del chasis

Los administradores de particiones de chasis configuran la infraestructura de red en banda para los blades de la partición, que incluirá interfaces, grupos de agregación de enlaces y VLAN. También pueden desplegar y gestionar los ciclos de vida de los inquilinos dentro de su partición de chasis asignada. Un administrador de partición de chasis no tendrá acceso a otras particiones de chasis del sistema, por lo que proporciona un aislamiento seguro no solo en la capa del inquilino, sino también en las capas de red inferiores.

diagrama 4

Función de administrador de inquilinos

Los administradores de inquilinos son responsables de la configuración de los servicios dentro del inquilino. Los administradores tienen acceso a toda la funcionalidad de gestión expuesta por un inquilino BIG-IP. Esto es similar al acceso a un invitado de vCMP. Es independiente del acceso a la capa inferior de la plataforma y se controla dentro de la instancia TMOS (o inquilino).

diagrama 5

Una capa de microservicios auténtica con un marco subyacente de Kubernetes para la gestión.

Seguridad y escalado de aplicaciones con arquitectura moderna

La arquitectura moderna basada en microservicios ayudará a las organizaciones que quieran transformar digitalmente sus centros de datos. La capacidad de innovar y reaccionar rápidamente es el objetivo de la transformación digital y la modernización del centro de datos. Con más proveedores de servicios y operadores de centros de datos empresariales que despliegan cargas de trabajo a través de modelos internos, de colocación y multinube para cumplir con los requisitos de entrega de aplicaciones en expansión, la mejora de las tasas de utilización y la seguridad de los datos son cada vez más importantes. La arquitectura basada en microservicios de F5 ofrece a las empresas una mejor utilización del CapEx, mientras que garantiza el cumplimiento normativo de seguridad de los datos.

Los tiempos de despliegue más lentos, las limitaciones de ampliación de la capacidad y las violaciones de la seguridad de los datos son los principales problemas a los que se enfrentan las empresas. Se invierte constantemente en tecnología de automatización y supervisión remota para reducir los errores humanos.

Para los proveedores de servicios, la preparación para el 5G y la mejora del rendimiento de los suscriptores y de la red son las prioridades. Además, necesitarán que sus recursos sean ampliables para hacer frente a la creciente carga, ahora y durante la migración del 3G o 4G LTE al 5G Edge, al tiempo que garantizan el aislamiento de aplicaciones y recursos.

F5 ha desarrollado el sistema de chasis VELOS para ayudar a las empresas a mejorar el rendimiento de las aplicaciones, la tolerancia a fallos y las capacidades de gestión de las API.

F5OS, junto con la plataforma VELOS, ofrece una mejor utilización de los recursos, capacidad de automatización y seguridad de defensa en profundidad. Para mejorar la utilización de los recursos, VELOS admite múltiples clústeres de inquilinos en un único dispositivo. La nueva metodología de partición de chasis, junto con la asignación gradual de recursos, proporciona un modelo operativo más sencillo. La arquitectura API-first ayuda a los clientes a automatizar el despliegue de su sistema BIG-IP, facilitando la gestión de aplicaciones y las actividades de automatización. VELOS admite múltiples capas de seguridad de aplicaciones para limitar el alcance de un exploit. VELOS también es compatible con una combinación de mecanismos de seguridad de defensa en profundidad basados en software y físicos para proteger los procesos, asegurar el control de acceso y aislar las redes.

diagrama 6

Los proveedores de servicios gestionados también han descubierto que, para proteger a los inquilinos, es necesario que sus clientes descendentes puedan gestionar de forma independiente los segmentos aislados de sus propios servicios. Por ejemplo, un cliente descendente puede ejecutar F5 Advanced Web Application FirewallTM (WAF) o BIG-IP® Advanced Firewall ManagerTM (AFM) desde otra instancia de inquilino que se ejecuta en la misma partición para asegurar su aplicación, mientras que otro cliente puede estar ejecutando F5 BIG-IP Access Policy Manager (APM) para proporcionar control de acceso y autenticación a sus servicios de red.

La plataforma VELOS ofrece una mejor utilización de los recursos, capacidad de automatización y seguridad en profundidad.

Seguridad del sistema VELOS

La seguridad está integrada en todos los aspectos de VELOS. Durante el diseño y el desarrollo de VELOS, los equipos de desarrollo de productos y de seguridad de F5 examinaron y realizaron un modelo de amenazas en todas las superficies de ataque: la evaluación de seguridad más completa de la historia de F5.

Seguridad en un entorno Multi-Tenant

El particionamiento de chasis es una de las soluciones multi-tenancy que ofrece F5. Permite a los clientes crear particiones a nivel de blade individual, agrupando los blades para ofrecer una única entidad gestionada. Cada partición de chasis tiene su propia pila de gestión y conectividad de red de datos, aislando así a los inquilinos alojados en cada una de estas particiones diferentes.

La capa de la plataforma F5OS proporciona aislamiento entre las aplicaciones que se ejecutan dentro de la partición del chasis y el hardware subyacente aprovechando los perfiles de restricción del contexto de seguridad (SCC) y el modo de computación segura (seccomp). Además, la configuración predeterminada de Security-Enhanced Linux (SELinux) restringirá el acceso de los servicios del inquilino a los recursos del host. La autenticación y la gestión de usuarios restringen el acceso a las aplicaciones mediante la creación de funciones separadas de administrador de chasis, administrador de particiones y administrador de inquilinos. La capa de host construida sobre un sistema de archivos de solo lectura evita aún más la fuga de cualquier inquilino.

Módulo de plataforma de confianza

El Módulo de plataforma de confianza (TPM) (ISO/IEC 11889) es un estándar internacional para un procesador criptográfico seguro, un microcontrolador dedicado diseñado para asegurar el hardware mediante claves criptográficas integradas. F5 implementa la cadena de custodia y atestación de la TPM utilizando el chipset TPM 2.0, Linux Trusted Boot (tboot) y la tecnología Intel TXT. El chip TPM realiza ciertas mediciones cada vez que se inicia el sistema. Estas mediciones incluyen la toma de hashes de la mayor parte del código de la BIOS, la configuración de la BIOS, la configuración de la TPM, el tboot, el disco RAM inicial de Linux (initrd) y el kernel de Linux (la versión inicial de VELOS solo valida la BIOS), de modo que no se puedan producir fácilmente versiones alternativas de los módulos medidos y que los hashes den lugar a mediciones idénticas. Puede utilizar estas mediciones para validarlas según otros valores conocidos.

Ambos controladores del sistema, así como todos los blades (BX110), tienen un chipset TPM 2.0. Para la versión inicial de VELOS, la atestación local se realiza automáticamente en el momento del arranque y puede mostrarse en la interfaz de línea de comandos (CLI). En el futuro, F5 añadirá la atestación remota y la atestación para el kernel de Linux y el initrd.

Modo dispositivo

Los administradores pueden bloquear aún más el sistema VELOS habilitando el modo dispositivo. Este modo es un modelo de seguridad diseñado específicamente para los requisitos de seguridad federales y financieros. El modo dispositivo elimina el acceso al shell del sistema subyacente, lo que dificulta la ejecución de scripts. También se elimina el acceso a la cuenta raíz del sistema subyacente para forzar a todos los usuarios a pasar por el sistema de autenticación. En VELOS, el modo dispositivo puede habilitarse para la capa de la plataforma F5OS y también dentro de cada inquilino que se aprovisione. Un administrador puede habilitar el modo dispositivo en el nivel del controlador del sistema, para cada partición del chasis y para cada inquilino. Este modo se controla mediante opciones de configuración en cada nivel y no mediante una licencia, como ocurre en algunos entornos VIPRION.

Para repasar, las características de seguridad más destacadas de la plataforma son:

  • Separación y segregación dentro del chasis mediante particiones de chasis
  • Aislamiento de la partición del chasis, restringiendo el acceso a un grupo específico de usuarios
  • Seguridad del hardware mediante el Módulo de plataforma de confianza (TPM)
  • Modo dispositivo, que impide la ejecución de scripts y las vulnerabilidades de raíz
  • Verificación de firmas, que solo permite imágenes de software firmadas por F5

Estas características protegen la capa de la plataforma contra vectores de amenaza externos. Los propios inquilinos tienen sus propios subsistemas de seguridad.

Seguridad en un entorno Multi-Tenant

Con la funcionalidad del multi-tenancy, proporcionar aislamiento entre los inquilinos se convierte en una preocupación principal. Tanto los proveedores de servicios como los clientes empresariales, que alojan a varios inquilinos en el mismo dispositivo, necesitan aislamiento entre los recursos que pertenecen a diferentes inquilinos. F5 garantiza la seguridad entre inquilinos proporcionando múltiples capas de configuraciones de seguridad.

Solo pueden desplegarse servicios de inquilinos de confianza de F5, como BIG-IP Local Traffic ManagerTM (LTM), BIG-IP DNSTM y BIG-IP Advanced WAF, lo que minimiza la superficie de amenaza. La verificación de firmas ayuda a autorizar la descarga e instalación de la imagen de los servicios F5. Si la verificación de la firma falla, la instalación del software se interrumpe, lo que acaba con el riesgo de que una actividad maliciosa intente desconfigurar los recursos.

El aislamiento entre los inquilinos y los recursos de la capa de host, como los procesos, la red y el sistema de archivos, se proporciona aprovechando varios mecanismos de seguridad, como los perfiles SCC y el modo seccomp. Los inquilinos tienen ID de inquilinos únicos para aislar el tráfico. El direccionamiento de los inquilinos, las configuraciones de las tablas IP y el aislamiento de los dominios de difusión funcionan conjuntamente para reforzar el aislamiento de los inquilinos.

Cada inquilino ofrece un sistema de control de acceso basado en funciones (RBAC) para controlar el acceso de los usuarios a las claves, las aplicaciones, las políticas de seguridad, los registros de auditoría, las reglas del cortafuegos, etc. Esto significa que se pueden asignar inquilinos específicos a clientes o unidades de negocio separados cuyas credenciales también permanecen separadas. Cuando los inquilinos se despliegan de esta manera, una cuenta de usuario comprometida permanecerá aislada en un único inquilino específico. Cada inquilino ejecuta una instancia del sistema operativo TMOS sobre un entorno de contenedores, lo que lo sitúa por delante del invitado de vCMP en términos de seguridad. Los puntos clave son:

  • La verificación de firmas solo permite imágenes de software firmadas por F5
  • Las interfaces MACVLAN encapsulan el tráfico de inquilinos entre blades, restringiendo la visibilidad del tráfico entre diferentes inquilinos en el mismo blade
  • Acceso diferenciado al administrador de la partición y al administrador del inquilino a través de la capa de la plataforma que aísla a los inquilinos
  • Seguridad de los contenedores Seccomp
  • Aplicación de las políticas de SELinux a todos los servicios de aplicación

Estos controles de seguridad se combinan para proporcionar múltiples capas de seguridad para el inquilino.

Seguridad de la red y aislamiento

Aislamiento de la capa de la plataforma

La nueva capa de la plataforma F5OS está completamente aislada de la red de tráfico en banda y de las VLAN. Está aislada a propósito para que solo sea accesible a través de la red de gestión fuera de banda. De hecho, no hay direcciones IP en banda asignadas ni a los controladores del sistema ni a las particiones del chasis; solo los inquilinos tendrán direcciones IP de gestión en banda y acceso.

Esto permite a los clientes ejecutar una red de gestión fuera de banda segura y bloqueada en la que el acceso está estrictamente restringido. El diagrama siguiente muestra el acceso de gestión fuera de banda que entra en el chasis a través de los controladores del sistema, donde proporcionan conectividad a las particiones del chasis y a los inquilinos. Esa red fuera de banda se extiende luego dentro del chasis para fines de gestión. Tenga en cuenta que todo el direccionamiento en banda está en los propios inquilinos y no en la capa de la plataforma F5OS.

diagrama 7

Aislamiento de la partición del chasis

Cada partición del chasis es una entidad única que tiene su propio conjunto de usuarios (locales/remotos) y autenticación. Se gestiona a través de una dirección IP dedicada fuera de banda con su propia CLI, GUI y acceso API. Una partición del chasis puede estar dedicada a un grupo específico, y los miembros de ese grupo solo podrán acceder a su partición. No podrán acceder a otras particiones de chasis en el sistema. Este es un nivel de aislamiento que VIPRION no tenía. A continuación se muestran algunos ejemplos. Puede configurar el encadenamiento de servicios entre diferentes particiones del chasis, pero están tan aisladas dentro del chasis que necesitará proporcionar conectividad externa para enlazarlas.

diagrama 8

Además de que el acceso a la gestión está completamente aislado y es único, la red en banda está configurada y completamente contenida dentro de la partición del chasis. Cada partición del chasis tendrá su propio conjunto de componentes de red como PortGroups, VLAN, Link Aggregation Groups (LAG) e interfaces. Esto significa que la red dentro de una partición de chasis no es accesible o visible desde otra partición de chasis.

El aislamiento a nivel de red también se aplica a través de los tejidos de conmutación centralizados que residen en los controladores del sistema dual. En el sistema VELOS, cada blade tiene múltiples conexiones en los tejidos de conmutación centralizados para la redundancia y el ancho de banda añadido. Cada blade BX110 tiene dos conexiones de backplane de 100 Gb (una en cada controlador del sistema), que están unidas en un LAG. Esta topología de cableado en estrella proporciona conexiones de backplane rápidas y fiables entre todos los blades y también permite un aislamiento completo en la capa de red.

diagrama 9

Cuando se crean las particiones del chasis, el administrador asigna uno o más blades, que luego se aíslan de todos los demás blades del chasis. Los tejidos de conmutación centralizados se configuran automáticamente con VLAN basadas en puertos y etiquetado VLAN para reforzar el aislamiento entre las particiones del chasis. El diagrama que se muestra a continuación ofrece una visión de cómo se aplica esto.

diagrama 10

Seguridad y aislamiento de la red

Para ilustrar cómo están aisladas las particiones de chasis, el diagrama de abajo muestra dos chasis VELOS con múltiples particiones de chasis en cada uno. Dado que no se comparten los recursos de red en banda, cada partición de chasis debe tener su propia conectividad de red a las redes en banda y para las interconexiones de alta disponibilidad entre los dos chasis. No hay forma de acceder a interfaces, VLAN o LAG entre las particiones de chasis.

diagrama 11

F5 examinó y realizó un modelo de amenazas en todas las superficies de ataque: la evaluación de seguridad más completa de la historia de F5.

Conclusión

A medida que las organizaciones adoptan estrategias de despliegue de aplicaciones basadas en microservicios para una mejor utilización de los recursos y una automatización y orquestación de extremo a extremo, tendrán que evaluar cómo se combinan esas estrategias con los requisitos de multi-tenancy, así como la forma de mantener la seguridad total. La moderna arquitectura de F5 ofrece una solución única, de alto rendimiento y basada en microservicios que satisface las necesidades de seguridad y multi-tenancy.

Grupo de seguridad

Características de seguridad de VELOS

Seguridad de la capa de plataforma

  • Separación y segregación dentro del chasis mediante particiones de chasis
  • Seguridad del hardware mediante el Módulo de plataforma de confianza (TPM)
  • El modo dispositivo impide la ejecución de scripts y las vulnerabilidades de raíz
  • El modo SELinux predeterminado restringe el acceso de los servicios de inquilinos a los recursos del host
  • La capa de host se ejecuta como una máquina virtual dentro de un contenedor, lo que restringe el acceso de los inquilinos a la capa de host

Seguridad de inquilino

  • Verificación de firmas, que solo permite imágenes de software firmadas por F5
  • Las interfaces MACVLAN encapsulan el tráfico de inquilinos entre blades, restringiendo la visibilidad del tráfico entre diferentes inquilinos en el mismo blade
  • Acceso diferenciado al administrador de la partición y al administrador del inquilino a través de la capa de la plataforma que aísla a los inquilinos
  • Seguridad de los contenedores Seccomp
  • Aplicación de las políticas de SELinux a todos los servicios de aplicación

Seguridad y aislamiento de la red

  • La capa de la plataforma está aislada del tráfico en banda y solo es accesible a través de la red de gestión fuera de banda
  • La partición de chasis tiene un sistema de autenticación basado en el usuario y se gestiona a través de una dirección IP dedicada fuera de banda
  • Las particiones del chasis están aisladas con su propia conectividad de red a las redes en banda

F5 comprende la importancia de la seguridad en un entorno basado en microservicios. Las exhaustivas evaluaciones del modelo de amenazas de F5 sobre la plataforma y la conectividad de la red han dado como resultado un modelo de seguridad basado en una estrategia de defensa profunda y una postura de seguridad proactiva. VELOS combina el aislamiento de la capa de la plataforma, la partición del chasis y las metodologías de tejido de conmutación centralizado para ofrecer aislamiento entre las aplicaciones en un entorno multiinquilino.

Published July 30, 2021
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.