WHITE PAPER

使用 F5 VELOS 创建安全的多租户架构

简介

如今,企业正专注于控制自己数据中心的成本,同时还要支持对内容交付不断增加的需求。伴随对最大限度提高现有基础设施的利用率的要求,确保数据安全和合规已成为这些企业/机构的当务之急。由于许多企业/机构的工作负载分布在本地、托管和多云部署中,因此在所有部署中制定一致的数据安全战略成为必需。F5 全新现代化架构可赋能企业加快数字化转型计划,在私有云和公有云上均能以模块化方式部署 F5 软件,同时保持其现有的硬件加速能力。F5 支持基于微服务架构的应用交付和多租户功能,可全面的安全隔离租户。 F5 自适应应用愿景的重要根基。

三分之一的服务运营商都面临着数据安全问题。鉴于数据泄露事件的增多,及监管和合规问题罚款的增加,托管服务提供商希望向下游客户保证,在同一物理设备上托管的其他客户无法发现或操作其网络流量。

F5 的现代架构结合了首席信息官 (CIO) 所需的高性能特征和首席安全官 (CSO) 或首席信息安全官 (CISO) 所需的稳健、高安全性态势。

组件

定义

下一代应用交付控制器 (ADC) 解决方案构建在 “云弹性架构” 上,可在基于机箱型系统、本地或托管场景中运行流量管理应用。

F5® Clustered MultiprocessingTM (CMP) 分布式架构用于扩容 CPU、内核和刀片

VELOS

机箱分区

设备

具有固定数量端口和 CPU 内核的非模块化硬件平台,也可以在其中部署租户实例

F5的现代架构

VELOS 从配置和部署的角度来看,提供类似于 vCMP 的模型,但技术不同。VELOS 使用“租户”或“租赁”一词来描述机箱中的虚拟化功能。VELOS 中的 F5OS 平台层并非虚拟机监控程序,而是具有基础 Kubernetes 管理框架的真正的微服务层。F5OS 使用 KubeVirt 技术实现多租户,允许 BIG-IP 实例在微服务层顶部以虚拟机 (VM) 的身份运行。这使客户能够将现有的 BIG-IP 实例或来宾迁移到 VELOS 租户,而无需更改其租户管理方式。

机箱分区

机箱分区是 VELOS 机箱中的刀片组合。这是 VIPRION 中并未涉及的新概念。它允许机箱内的一组刀片完全分离和隔离。租户在机箱分区内创建,并提供隔离。机箱分区与 TMOS 管理分区没有任何关联。

租户

VELOS 通过机箱分区功能提供额外的隔离层,允许管理员对刀片进行分组和隔离。每个刀片可以是各自的孤立机箱分区,也可以与其他刀片分组,形成更大的机箱分区,直到达到机箱内的最大刀片数量。机箱分区提供了额外的隔离层,包括物理网络。使用 vCMP,所有来宾都可以访问主机层的物理网络(尽管它可能受到 VLAN 会员资格的限制)。使用 VELOS 多租户和机箱分区,机箱分区内的租户只能访问其托管的机架分区内的物理网络,而不允许访问其他机箱分区内的网络。它们仍然受到 VLAN 的限制,就像 vCMP 一样,但机箱分区会在较低层创建进一步的分离。VELOS 通过隔离管理员访问进一步隔离机箱分区,以便每个机箱分区独立管理各自的用户访问和身份验证。

机箱管理员可以访问系统控制器的带外管理接口。管理员还可以配置机箱分区并分配用户权限以访问这些分区。

SuperVIP 是指 VIPRION 中的裸机配置类型,其中添加更多刀片以提升计算能力。CMP 技术用于在所有可用处理器中分配传入负载。VELOS 默认情况下为多租户,通过配置一个大型租户来完成类似的使用案例,该租户可以在添加额外的刀片时动态扩展(如同 VIPRION 一样)。

机箱分区管理员角色

机箱分区管理员为分区中的刀片配置带内网络基础结构,其中包括接口、链接聚合组和 VLAN。他们还可以在其分配的机箱分区内部署和管理租户生命周期。机箱分区管理员将无法访问系统中的其他机箱分区,这样不仅在租户层,还可以在较低的网络层提供安全隔离。

VELOS 从配置和部署的角度来看,提供类似于 vCMP 的模型,但技术不同。VELOS 使用“租户”或“租赁”一词来描述机箱中的虚拟化功能。VELOS 中的 F5OS 平台层并非虚拟机监控程序,而是具有基础 Kubernetes 管理框架的真正的微服务层。F5OS 使用 KubeVirt 技术实现多租户,允许 BIG-IP 实例在微服务层顶部以虚拟机 (VM) 的身份运行。这使客户能够将现有的 BIG-IP 实例或来宾迁移到 VELOS 租户,而无需更改其租户管理方式。

图 1

VELOS 架构还将在日后支持下一代 BIG-IP 软件。BIG-IP 将作为原生容器环境中的容器集合运行,而不是在容器化环境顶层以 VM 运行 BIG-IP 实例。VELOS 机箱上支持的租户日后可作为 F5OS 容器中含 TMOS 的 BIG-IP 和现代 BIG-IP 软件,以便在同一平台上进行无缝测试和版本迁移。

多租户架构

VELOS 中的租户配置几乎与预配 vCMP 来宾无异。管理员为租户分配名称,选择软件版本供其运行,并分配 vCPU 和内存资源。VELOS 租户会使用专用的 CPU 和内存资源,如同 vCMP 来宾。

机箱分区

基于微服务的现代架构将帮助希望以数字方式转换数据中心的企业。数字化转型和数据中心现代化主要围绕能否具备创新能力和迅速应对。随着越来越多的服务运营商和企业数据中心运营商选择跨本地、托管和多云模型部署工作负载,以满足不断扩大的应用交付要求,提高利用率和数据安全性变得愈加重要。F5 基于微服务的架构为企业提供了更高效的 CapEx 利用率,并可确保符合数据安全标准。

机箱管理员角色

对于服务运营商来说,对5G 是否准备就绪和能否提高用户及网络性能是重中之重。此外,不仅是现在,在 3G 或 4G LTE 迁移到 5G 边缘期间,都需要资源可扩展性来满足不断增加的负载需求,同时确保应用和资源隔离。

F5OS 结合 VELOS 平台,提供更好的资源利用率、自动化能力和防御深度安全性。为了提高资源利用率,VELOS 支持单个设备上的多个租户群。新的机箱分区方法及精细资源配置提供了更简单的操作模型。API 优先架构可帮助客户实现 BIG-IP 系统部署自动化,简化应用管理和自动化活动。VELOS 支持多个应用层安全保护,以限制漏洞利用范围。VELOS 还支持基于物理和软件的深入防御安全机制的组合,以保护进程、安全访问控制和隔离网络。

机箱分区管理员角色

机箱分区管理员为分区中的刀片配置带内网络基础结构,其中包括接口、链接聚合组和 VLAN。他们还可以在其分配的机箱分区内部署和管理租户生命周期。机箱分区管理员将无法访问系统中的其他机箱分区,这样不仅在租户层,还可以在较低的网络层提供安全隔离。

VELOS 系统安全

租户管理员负责租户内服务的配置。租户管理器可以访问 BIG-IP 租户可用的所有管理功能。这类似于访问 vCMP 来宾。它独立于较低的平台层访问,并在 TMOS 实例(或租户)内进行控制。

机箱分区是 F5 提供的多租户解决方案之一。机箱分区允许客户以单个刀片级别创建分区,将刀片组合在一起,以提供单个托管实体。每个机箱分区都有自己的管理堆栈和数据网络连接,从而隔离了每个不同分区托管的租户。

F5OS 平台层利用安全上下文约束 (SCC) 配置文件和安全计算 (seccomp) 模式,在机箱分区内运行应用与基础硬件之间提供隔离。此外,默认的安全增强 Linux (SELinux) 设置将限制租户服务访问主机资源。身份验证和用户管理通过创建单独的机箱管理员、分区管理员和租户管理员角色来限制应用程序访问。构建在只读文件系统的主机层进一步防止了任何租户越过限制。

以现代架构进行安全保护和应用扩展

基于微服务的现代架构将帮助希望以数字方式转换数据中心的企业。数字化转型和数据中心现代化主要围绕能否具备创新能力和迅速应对。随着越来越多的服务运营商和企业数据中心运营商选择跨本地、托管和多云模型部署工作负载,以满足不断扩大的应用交付要求,提高利用率和数据安全性变得愈加重要。F5 基于微服务的架构为企业提供了更高效的 CapEx 利用率,并可确保符合数据安全标准。

部署时间变慢、容量扩展限制和数据安全漏洞是企业面临的首要问题。为减少人为错误,在自动化和远程监控技术方面的投资却从未间断。

对于服务运营商来说,对5G 是否准备就绪和能否提高用户及网络性能是重中之重。此外,不仅是现在,在 3G 或 4G LTE 迁移到 5G 边缘期间,都需要资源可扩展性来满足不断增加的负载需求,同时确保应用和资源隔离。

F5 开发了 VELOS 机箱系统,以帮助企业提高应用性能、故障容差和 API 管理能力。

F5OS 结合 VELOS 平台,提供更好的资源利用率、自动化能力和防御深度安全性。为了提高资源利用率,VELOS 支持单个设备上的多个租户群。新的机箱分区方法及精细资源配置提供了更简单的操作模型。API 优先架构可帮助客户实现 BIG-IP 系统部署自动化,简化应用管理和自动化活动。VELOS 支持多个应用层安全保护,以限制漏洞利用范围。VELOS 还支持基于物理和软件的深入防御安全机制的组合,以保护进程、安全访问控制和隔离网络。

机箱分区隔离,限制特定用户组的访问

托管服务提供商还发现,租户的安全性意味着其下游客户可以独立管理自己服务的隔离部分。例如,一个下游客户可以从在同一分区运行的另一个租户实例运行 F5 Advanced WAF(API安全-新一代WAF) 或 BIG-IP® Advanced Firewall Manager (AFM),保护应用安全,而另一个客户可能正在运行 F5 BIG-IP Access Policy Manager (APM),以对其网络服务进行访问控制和身份验证。

VELOS 平台提供更好的资源利用率、自动化能力和防御深度安全性。

VELOS 系统安全

安全性已内置于 VELOS 的各个方面。在 VELOS 设计和开发过程中,F5 产品开发和安全团队检查并执行了所有攻击面的威胁建模,这是 F5 从未有过的最全面安全评估。

平台安全性

机箱分区是 F5 提供的多租户解决方案之一。机箱分区允许客户以单个刀片级别创建分区,将刀片组合在一起,以提供单个托管实体。每个机箱分区都有自己的管理堆栈和数据网络连接,从而隔离了每个不同分区托管的租户。

只能部署 F5 信任的租户服务,如 BIG-IP Local Traffic ManagerTM (LTM)、BIG-IP DNSTM 和 BIG-IP Advanced WAF(API安全-新一代WAF),最大限度地减少威胁面。签名验证有助于授权下载和安装 F5 服务映像。如果签名验证失败,软件安装将终止,从而消除恶意活动试图错误配置资源的风险。

可信平台模块

可信平台模块 (TPM) (ISO/IEC 11889) 是安全加密处理器的国际标准,是一种专用微控制器,旨在通过集成加密密钥来保护硬件。F5 使用 TPM 2.0 芯片组、Linux Trusted Boot (tboot) 和 Intel TXT 技术实施 TPM 托管和证明链。TPM 芯片在每次启动系统时都会执行某些测量。这些测量包括对大多数 BIOS 代码、BIOS 设置、TPM 设置、tboot、Linux 初始 RAM 磁盘 (initrd) 和 Linux 内核(初始 VELOS 版本仅验证 BIOS)进行哈希,以便无法轻松生成测量模块的替代版本,从而使哈希导致相同的测量结果。您可以使用这些测量结果来验证已知的良好状态值。

两个系统控制器以及所有的刀片 (BX110) 都有一个 TPM 2.0 芯片组。对于初始 VELOS 版本,本地证明会在启动时自动完成,并可显示在命令行接口 (CLI) 中。在未来,F5 将增加远程证明用于 Linux 内核和 initrd 的证明。

设备模式

管理员可以通过启用设备模式进一步锁定 VELOS 系统。设备模式是专门针对联邦和金融安全要求设计的安全模型。设备模式可删除对底层系统外壳的访问,使脚本执行更加困难;并且还删除了对底层系统根帐户的访问,以强制所有用户通过身份验证系统。在 VELOS 中,F5OS 平台层以及每个已预配的租户均可启用设备模式。管理员可按系统控制器级别、每个机架分区和每个租户启用设备模式。此模式由每个级别的配置选项控制,而不是由许可证控制,如同某些 VIPRION 环境中的情况。

作为回顾,最突出的平台安全功能有:

  • 使用机箱分区在机架内分离和隔离
  • 机箱分区隔离,限制特定用户组的访问
  • 通过可信平台模块 (TPM) 提供硬件安全性
  • 防止脚本执行和根漏洞利用的设备模式
  • 全新 F5OS 平台层与带内流量网络和 VLAN 完全隔离。这是故意为之,以便只能通过带外管理网络进行访问。实际上并不存在分配给系统控制器或机箱分区的带内 IP 地址:只有租户才会有带内管理 IP 地址和访问权限。

这允许客户运行一个安全、锁定的带外管理网络,其中访问受到严格限制。下图显示了通过系统控制器进入机箱的带外管理访问,这些通道为机箱分区和租户提供连接。然后,出于管理目的,该带外网络会在机箱内扩展。请注意,所有带内寻址均在租户中发生,而非 F5OS 平台层。

多租户环境中的安全性

随着多租户功能的出现,在租户之间提供隔离成为首要问题。服务提供商和企业客户都需要隔离不同租户拥有的资源。F5 通过提供多层安全配置来确保租户对租户的安全。

机箱分区隔离

每个机箱分区都是一个独特的实体,拥有自己的一组(本地/远程)用户和身份验证。它通过专用的带外 IP 地址进行管理,并具有自己的 CLI、GUI 和 API 访问权限。机箱分区可以专用于特定组,该组的成员只能访问其分区。他们将无法访问系统中的其他机箱分区。这种隔离程度是 VIPRION 所不具备的。下面是一些示例。您可以在不同的机箱分区之间设置服务链,但它们在机箱中仍是隔离状态,因此您需要提供外部连接才能将其链接在一起。

每个租户都提供基于角色的访问控制 (RBAC) 系统,以控制用户访问密钥、应用、安全策略、审核日志、防火墙规则等。这意味着,特定租户可以分配给单独的下游客户或业务单位,其凭据不会受到影响。以这种方式部署租户时,遭入侵的用户帐户将保持隔离给单个特定租户。各租户在容器化环境顶层运行 TMOS 操作系统的实例,因此在安全性方面优于 vCMP 来宾。要点包括:

  • 签名验证仅允许 F5 签名软件映像
  • 除了管理访问完全隔离并具备独特性外,带内网络还配置并完全包含在机架分区中。每个机箱分区将有自己的一组网络组件,如端口组、VLAN、链接聚合组 (LAG) 和接口。这意味着,从另一个机箱分区无法访问或查看一个机箱分区内的网络。
  • 通过平台层隔离租户,区分分区管理员和租户管理员的访问
  • Seccomp 容器安全
  • 强制对所有应用服务执行 SELinux 策略

创建机箱分区时,管理员将分配一个或多个刀片,然后从机箱中的所有其他刀片中分离出来。集中式交换结构自动配置基于端口的 VLAN 和 VLAN 标记,以强制在机箱分区之间隔离。下图以视觉化方式呈现了执行此操作的方法步骤。

网络安全与隔离

平台层隔离

全新 F5OS 平台层与带内流量网络和 VLAN 完全隔离。这是故意为之,以便只能通过带外管理网络进行访问。实际上并不存在分配给系统控制器或机箱分区的带内 IP 地址:只有租户才会有带内管理 IP 地址和访问权限。

为了说明机箱分区的隔离程度,下图显示了两个 VELOS 机箱,每个机箱有多个机箱分区。由于没有共享带内网络资源,因此每个机箱分区必须具有自己的网络连接,连接至带内网络以及用于两个机箱之间的高可用性互连。无法在机箱分区之间访问接口、VLAN 或 LAG。

图 7

机箱分区隔离

每个机箱分区都是一个独特的实体,拥有自己的一组(本地/远程)用户和身份验证。它通过专用的带外 IP 地址进行管理,并具有自己的 CLI、GUI 和 API 访问权限。机箱分区可以专用于特定组,该组的成员只能访问其分区。他们将无法访问系统中的其他机箱分区。这种隔离程度是 VIPRION 所不具备的。下面是一些示例。您可以在不同的机箱分区之间设置服务链,但它们在机箱中仍是隔离状态,因此您需要提供外部连接才能将其链接在一起。

除了管理访问完全隔离并具备独特性外,带内网络还配置并完全包含在机架分区中。每个机箱分区将有自己的一组网络组件,如端口组、VLAN、链接聚合组 (LAG) 和接口。这意味着,从另一个机箱分区无法访问或查看一个机箱分区内的网络。

网络级别的隔离也通过位于双系统控制器中的集中交换机结构执行。在 VELOS 系统中,每个刀片都与集中交换结构具有多个连接,用于冗余合添加的带宽。每个 BX110 刀片都有 2 个 100Gb 的背板连接(每个系统控制器各一个),这些连接在 LAG 中绑定在一起。这种星型拓扑技术提供所有刀片之间快速可靠的背板连接,也允许在网络层实现完全隔离。

使用机箱分区在机箱内分离和隔离

创建机箱分区时,管理员将分配一个或多个刀片,然后从机箱中的所有其他刀片中分离出来。集中式交换结构自动配置基于端口的 VLAN 和 VLAN 标记,以强制在机箱分区之间隔离。下图以视觉化方式呈现了执行此操作的方法步骤。

图 10

网络安全和隔离

为了说明机箱分区的隔离程度,下图显示了两个 VELOS 机箱,每个机箱有多个机箱分区。由于没有共享带内网络资源,因此每个机箱分区必须具有自己的网络连接,连接至带内网络以及用于两个机箱之间的高可用性互连。无法在机箱分区之间访问接口、VLAN 或 LAG。

图 11

F5 检查并执行了所有攻击面的威胁建模,这是 F5 从未有过的最全面安全评估。

结论

企业采用基于微服务的应用部署战略是为了更好地利用资源以及端到端的自动化和编排,因此,评估这些战略如何与多业务需求相结合、如何保持总体安全性便势在必行。F5 的现代架构提供独特、高性能、基于微服务的解决方案,可同时满足安全和多租户需求。

机箱分区具有基于用户的身份验证系统,并通过专用带外 IP 地址进行管理

F5 了解基于微服务环境安全的重要性。F5 在平台和网络连接上进行了广泛的威胁模型评估,形成了建立在防御深度战略和主动安全态势基础上的安全模型。VELOS 结合平台层隔离、机箱分区和集中式交换结构方法,可以在多租户环境中提供应用间的隔离。

平台层安全性

  • 使用机箱分区在机箱内分离和隔离
  • 通过可信平台模块 (TPM) 提供硬件安全性
  • 设备模式可防止脚本执行和根漏洞利用
  • 默认 SELinux 模式可限制租户服务访问主机资源
  • 主机层在容器内以 VM 运行,限制租户在主机层越过限制

租户安全性

  • 签名验证,仅允许 F5 签名软件映像
  • MACVLAN 接口封装了刀片间租户流量,限制了同一刀片上不同租户之间的流量可见性
  • 通过平台层隔离租户,区分分区管理员和租户管理员的访问
  • Seccomp 容器安全
  • 强制对所有应用服务执行 SELinux 策略

网络安全和隔离

  • 平台层与带内流量隔离,只能通过带外管理网络访问
  • 机箱分区具有基于用户的身份验证系统,并通过专用带外 IP 地址进行管理
  • 机箱分区与其带内网络连接属隔离状态

F5 了解基于微服务环境安全的重要性。F5 在平台和网络连接上进行了广泛的威胁模型评估,形成了建立在防御深度战略和主动安全态势基础上的安全模型。VELOS 结合平台层隔离、机箱分区和集中式交换结构方法,可以在多租户环境中提供应用间的隔离。

Published July 30, 2021
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.