Calico brei eBPF -datavliegtuig uit om gasheerbeskerming te bied

Blog

Calico brei eBPF -datavliegtuig uit om gasheerbeskerming te bied

Calico is die mees gebruikte netwerk- en veiligheidsoplossing vir Kubernetes. In die jongste weergawe v3.18.0 het die Calico -span sy span uitgebrei eBPF data -vliegtuig om ondersteuning vir te bied gasheerbeskerming . Dit bring dit in pas met die strydverharde standaard Linux-datavliegtuig. In kombinasie met Calico's outomatiese gasheer -eindpunte Dit bied 'n robuuste manier om Kubernetes -peule en gashere saam te beveilig deur 'n verenigde beleidsmodel te gebruik.



node js ajax -pos

In die vinnige veiligheidsomgewing van vandag is aanvalle outomaties en is dit belangrik om die straalradius van 'n gekompromitteerde werklas tot 'n minimum te beperk. 'N Belangrike verweer is om 'n model met die minste bevoorregting aan te neem: gebruik veiligheidsbeleid om elke werklas te beperk, sodat dit slegs toegang kan kry tot wat dit nodig het. Maar as u werklading Kubernetes -peule is wat ook toegang tot eksterne gashere benodig, hoe beperk u die toegang tot 'n gasheer tot slegs peule in die prod -naamruimte wat die analitiese span besit?

Met 'n tradisionele IP-en-poort-firewall, is daar geen manier om tred te hou met 'n veranderende stel kortstondige Kubernetes-peule nie-'n IP wat tans aan een pod behoort, behoort binne 'n paar sekondes aan 'n ander pod. Slegs 'n inheemse oplossing in die wolk kan intydse verskuiwing van peulidentiteit, etikette en keurders verstaan. Daarom het die span van Calico lank gelede sy veiligheidsbeleid uitgebrei tot gashere sowel as werklading. Deur Calico te implementeer vir gasheerbeskerming sowel as vir beveiliging van peule, word u gasheerbeskermingsbeleid net so dinamies as u werkbelastingbeleid. Dit pas nie by 'n statiese IP -adres of CIDR -blok adresse nie, maar eerder by die identiteit van die werklading (in sy metadata -etikette gedra).



#kubernetes

thenewstack.io

Calico brei eBPF -datavliegtuig uit om gasheerbeskerming te bied

Calico se eBPF -dataplaat maak gebruik van die ingebedde virtuele eBPF -masjien van die Linux -kern om 'n buigsame en kragtige datapad te implementeer. Die Calico -span het sy eBPF -datavliegtuig uitgebrei om ondersteuning vir gasheerbeskerming te bied.