Всем привет! В продолжение данной статьи хочу рассказать вам подробнее о функционале, который предлагает решение Sophos XG Firewall и познакомить с веб интерфейсом. Коммерческие статьи и документы это хорошо, но ведь всегда интересно, а как же решение выглядит в живую? Как все там устроено? Итак, приступим к обзору.

В данной статье будет показана первая часть функционала Sophos XG Firewall это Мониторинг и аналитика. Полный обзор выйдет как цикл статей. Идти мы будем, отталкиваясь от веб интерфейса Sophos XG Firewall и таблицы лицензирования

Центр управления безопасностью

И вот мы запустили браузер и открыли веб интерфейс нашего NGFW, мы видим приглашение ввести логин и пароль для входа в админку



Вводим логин и пароль, который мы задавали при первоначальной активации и попадаем в наш центр управления. Выглядит он так



Почти каждый из данных виджетов кликабелен. Можно провалиться в инцидент и посмотреть подробности.

Давайте разберем каждый из блоков, и начнем мы с блока System

Блок System

Данный блок отображает состояние машины в реальном времени. Если нажать на любую из иконок, то мы перейдем на страницу с более подробной информацией о состоянии системы



Если в системе есть проблемы, то данный виджет об этом просигнализирует, а на странице информации можно посмотреть причину



Переходя по вкладкам, можно получить больше информации о разных аспектах работы межсетевого экрана

Блок Traffic insight

Данный раздел дает нам представление о том, что происходит у нас в сети на данный момент и что происходило за последние 24 часа. Топ 5 веб категорий и приложений по трафику, сетевые атаки (срабатывание IPS модуля) и топ 5 заблокированных приложений.

Также, отдельно стоит выделить раздел Cloud Applications. В нем можно посмотреть наличие в локальной сети приложений, которые используют облачные сервисы. Общее их число, входящий и исходящий трафик. Если нажать на данный виджет, то мы провалимся на страницу информации по облачным приложениям, где сможем более подробнее посмотреть, какие облачные приложения есть в сети, кто ими пользуется и информацию о трафике

Блок User & device insights

В данном блоке показана информация о пользователях. Верхняя строчка показывает нам информацию о зараженных компьютерах пользователей, собирая информацию с антивируса от Sophos и передавая ее в Sophos XG Firewall. По этой информации Firewall может, при заражении, отключать компьютер пользователя от локальной сети или сегмента сети на L2 уровне блокируя все связи с ним. Более подробней о Security Heartbeat было в этой статье. Далее две строчки это контроль приложений и облачная песочница. Поскольку это отдельный функционал, в этой статье он не будет рассматриваться.

Стоит обратить внимание на два нижних виджета. Это ATP (Advanced Threat Protection) и UTQ (User Threat Quotient).

Модуль ATP блокирует соединения с C&C, управляющими серверами ботнет сетей. Если устройство в вашей локальной сети попало в ботнет сеть, то данный модуль сообщит об этом и не даст подключится к управляющему серверу. Выглядит это таким образом





Модуль UTQ присваивает каждому пользователю индекс безопасности. Чем больше пользователь старается перейти на запрещенные сайты или запустить запрещенные приложения, тем выше становится его рейтинг. Опираясь на эти данные, можно заранее провести обучение для таких пользователей не дожидаясь того, что, в конечном итоге, его компьютер будет заражен вредоносным ПО. Выглядит это так



Далее идет раздел общей информации об активных фаервольных правилах и горячие отчеты, которые можно быстро скачать в pdf формате



Перейдем к следующему разделу меню Current activities

Current activities

Начнем обзор с вкладки Live users. На данной странице мы можем посмотреть, кто из пользователей подключен на данный момент к Sophos XG Firewall, метод аутентификации, ip адрес машины, время подключения и объем трафика.

Live connections

На данной вкладке отображаются активные сессии в реальном времени. Данную таблицу можно фильтровать по приложениям, пользователям и IP адресам клиентских машин.

IPsec connections

На данной вкладке отображается информация о активных соединениях IPsec VPN

Вкладка Remote users

На вкладке Remote users находится информация о удаленных пользователях, которые подключились через SSL VPN



Также, на этой вкладке можно посмотреть трафик по пользователям в реальном времени и принудительно отключить любого пользователя.

Пропустим вкладку Reports, так как система отчетов в данном продукте очень объемна и требует отдельной статьи.

Diagnostics

Сразу открывается страница с разными утилитами поиска проблемы. В них входит Ping, Traceroute, Name lookup, Route lookup.

Далее идет вкладка с системными графиками загрузки железа и портов в реальном времени

System graphs

Затем вкладка, где можно проверить категорию веб ресурса

URL category lookup

Следующая вкладка Packet capture это, по сути, встроенный в веб интерфейс tcpdump. Можно также писать фильтры

Packet capture

Из интересного стоит отметить то, что пакеты преобразуются в таблицу, где можно отключать и включать дополнительные столбцы с информацией. Этот функционал очень удобен для поиска сетевых проблем, например можно быстро понять какие правила фильтрации применились на реальный трафик.



На вкладке Connection List можно посмотреть все существующие коннекты в реальном времени и информацию по ним

Connection List

Заключение

На этом мы закончим первую часть обзора. Мы рассмотрели только самую малую часть имеющегося функционала и вообще не касались модулей защиты. В следующей статье разберем встроенный функционал отчетности и фаервольные правила, их виды и назначения.

Спасибо за уделенное время.

Если у Вас будут вопросы по коммерческой версии XG Firewall, Вы можете обращаться к нам компанию Фактор груп, дистрибьютору Sophos. Достаточно написать в свободной форме на sophos@fgts.ru.

Всем привет! Данная статья будет посвящена обзору функционала VPN в продукте Sophos XG Firewall. В предыдущей статье мы разбирали, как получить бесплатно данное решение по защите домашней сети с полной лицензией. Сегодня мы поговорим о функционале VPN который встроен в Sophos XG. Я постараюсь рассказать, что умеет данный продукт, а также приведу примеры настройки IPSec Site-to-Site VPN и пользовательского SSL VPN. Итак, приступим к обзору.

Первым делом посмотрим на таблицу лицензирования:



Более подробно о том, как лицензируется Sophos XG Firewall можно прочитать тут:
Ссылка
Но в данной статье нас будут интересовать только те пункты, которые выделены красным.

Основной функционал VPN входит в базовую лицензию и приобретается только один раз. Это пожизненная лицензия и она не требует продления. В модуль Base VPN Options входит:

Site-to-Site:

• SSL VPN
• IPSec VPN

Remote Access (клиентский VPN):

• SSL VPN
• IPsec Clientless VPN (с бесплатным пользовательским приложением)
• L2TP
• PPTP

Как видим, поддерживаются все популярные протоколы и типы VPN соединений.

Также, в Sophos XG Firewall есть еще два типа VPN соединений, которые не включены в базовую подписку. Это RED VPN и HTML5 VPN. Данные VPN соединения входят в подписку Network Protection, а это значит, чтобы использовать данные типы необходимо иметь активную подписку, в которую, также входит и функционал защиты сети IPS и ATP модули.

RED VPN это проприетарный L2 VPN от компании Sophos. Данный тип VPN соединения имеет ряд преимуществ по сравнению с Site-to-site SSL или IPSec при настройке VPN между двумя XG. В отличии от IPSec, RED туннель создает виртуальный интерфейс на обоих концах туннеля, что помогает при траблшуте проблем, и в отличии от SSL, данный виртуальный интерфейс полностью настраиваемый. Администратор имеет полный контроль над подсетью внутри RED туннеля, что позволяет проще решать проблемы маршрутизации и конфликты подсетей.

HTML5 VPN или Clientless VPN Специфический тип VPN, позволяющий прокидывать сервисы через HTML5 прямо в браузере. Типы сервисов, которые можно настроить:

• RDP
• Telnet
• SSH
• VNC
• FTP
• FTPS
• SFTP
• SMB

Но стоит учесть, что данный тип VPN применяется, только, в особых случаях и рекомендуется, если есть возможность, использовать типы VPN из списков выше.

Практика

Разберем на практике, как настроить несколько из данных типов туннелей, а именно: Site-to-Site IPSec и SSL VPN Remote Access.

Site-to-Site IPSec VPN

Начнем с того, как настроить Site-to-Site IPSec VPN туннель между двумя Sophos XG Firewall. Под капотом используется strongSwan, что позволяет подключиться к любому маршрутизатору с поддержкой IPSec.

Можно использовать удобный и быстрый wizard настройки, но мы пойдем общим путем, чтобы на основе данной инструкции можно было совместить Sophos XG с любым оборудованием по IPSec.

Откроем окно настроек политик:



Как мы видим, существуют уже предустановленные настройки, но мы будем создавать свою.





Настроим параметры шифрования для первой и второй фазы и сохраним политику. По аналогии, делаем такие же действия на втором Sophos XG и переходим к настройке самого IPSec туннеля



Вводим название, режим работы и настраиваем параметры шифрования. Для примера будем использовать Preshared Key



и укажем локальные и удаленные подсети.



Наше соединение создано



По аналогии, делаем такие же настройки на втором Sophos XG, за исключением режима работы, там поставим Initiate the connection



Теперь у нас есть два настроенных туннеля. Далее, нам надо их активировать и запустить. Делается это очень просто, надо нажать на красный кружок под словом Active чтобы активировать и на красный кружок под Connection, чтобы запустить коннект.
Если мы видим такую картинку:


Значит наш туннель работает корректно. Если второй индикатор горит красным или желтым, значит что-то неправильно настроили в политиках шифрования или локальных и удаленных подсетях. Напомню, что настройки должны быть зеркальными.

Отдельно хочу выделить, что можно из IPSec туннелей создавать Failover группы для отказоустойчивости:

Remote Access SSL VPN

Перейдем к Remote Access SSL VPN для пользователей. Под капотом крутится стандартный OpenVPN. Это позволяет пользователям подключаться через любой клиент, который поддерживает .ovpn конфигурационные файлы (например, стандартный клиент подключения).

Для начала, надо настроить политики OpenVPN сервера:



Указать транспорт для подключения, настроить порт, диапазон ip адресов для подключения удаленных пользователей



Также, можно указать настройки шифрования.

После настройки сервера, приступаем к настройке клиентских подключений.



Каждое правило подключения к SSL VPN создается для группы или для отдельного пользователя. У каждого пользователя может быть только одна политика подключения. По настройкам, из интересного, для каждого такого правила можно указать, как отдельных пользователей, кто будет использовать данную настройку или группу из AD, можно включить галочку, чтобы весь трафик заворачивался в VPN туннель или указать доступные для пользователей ip адреса, подсети или FQDN имена. На основе данных политик будет автоматически создан .ovpn профайл с настройками для клиента.



Используя пользовательский портал, пользователь может скачать как .ovpn файл с настройками для VPN клиента, так и установочный файл VPN клиента со встроенным файлом настроек подключения.

Заключение

В данной статье мы вкратце пробежались по функционалу VPN в продукте Sophos XG Firewall. Посмотрели, как можно настроить IPSec VPN и SSL VPN. Это далеко не полный список того, что умеет данное решение. В следующих статьях постараюсь сделать обзор на RED VPN и показать, как это выглядит в самом решении.

Спасибо за уделенное время.

Если у Вас будут вопросы по коммерческой версии XG Firewall, Вы можете обращаться к нам компанию Фактор груп, дистрибьютору Sophos. Достаточно написать в свободной форме на sophos@fgts.ru.

28-30 сентября пройдёт конференция Graph+AI World 2020 для людей, не равнодушных к графовым технологиям и машинному обучению. Мероприятие будет проходить онлайн в течение трех дней, участие бесплатное.

Организатором выступила компания TigerGraph, создатель одноименной Графовой БД, а в программе будут доклады от спикеров из различных компаний: Intel, KPMG, AT&T, Forbes, Intuit, UnitedHealth Group, Jaguar Land Rover, Xilinx, Xandr, Futurist Academy и др.

Зачем участвовать Руководителю или Инженеру и присоединиться к одному из 3000 участников из 110 Fortune 500 компаний? Добро пожаловать под кат.

Для тех, кто сразу хочет принять участие, ссылка на регистрацию.


Конференция Graph +AI World направлена на повышение эффективности проектов AI и машинного обучения через использование Графовых алгоритмов.

Почему Графовые алгоритмы?

Мы используем графовые базы данных каждый день и, вероятно, не догадываемся об этом. Facebook, Instagram и Twitter используют графовые базы данных и аналитику, чтобы понять, как пользователи связаны друг с другом, и связать их с нужным контентом. Каждый раз, когда вы выполняете поиск в Google, вы используете knowledge graph от Google. Рекомендации продуктов на Amazon люди, которые купили этот товар, также купили или эти товары часто покупают вместе? Всё это также связано с аналитическими запросами к графовым базам данных.

Если сравнивать различные типы баз данных, можно выделить основные тенденции:



Таким образом, если Ваши данные имеют множество связей между собой, логично использовать Графовые базы данных вместо множественных Join запросов, которые на больших объемах будут не настолько эффективны. Кроме того, никто не отменял Теорию графов для Data Science ;)

Ключевые спикеры

• UnitedHealth Group создали крупнейшую Графовую БД в индустрии здравоохранения для связи, анализа и предоставления рекомендаций в реальном времени о траектории лечения для 50 миллионов пациентов.
• Jaguar Land Rover сократили время запросов по своей сложной модели цепочек поставок с 3-х недель до 45 минут, что позволило им точно планировать и быстро реагировать на неопределенность спроса и предложения в связи с пандемией Covid-19.
• Intuit используют knowledge graph как фундаментальную технологию для экспертной платформы, управляемой AI.

Программа

У конференции звездная повестка дня, наполненная учебными и сертификационными сессиями 28 сентября (предварительный день) и бизнес-кейсами, вариантами использования и техническими сессиями 29 и 30 сентября. Некоторые сессии выделил ниже.

28 Сентября

Introduction to Graph Algorithms for Machine Learning Certification
Графовые алгоритмы являются важными строительными блоками для анализа связанных данных и машинного обучения, чтобы получить более глубокое понимание этих данных. Графовые алгоритмы могут использоваться непосредственно для обучение без учителя или для обогащения обучающих выборок для обучения с учителем. На этом занятии будет представлена новая программа обучения и сертификации TigerGraph для применения Графовых алгоритмов для машинного обучения: обзор контента, видео, демонстрация и процесс сертификации.


Hands-on Workshop: Accelerating Machine Learning with Graph Algorithms
На этом семинаре вы сможете применить несколько различных подходов к машинному обучению с данными на базе графов.

После настройки вашей графовой БД (в облаке и бесплатно) мы сделаем следующее:

• Обучение без учителя с помощью графовых алгоритмов
• Извлечение признаков и обогащение графов
• Внешнее обучение и интеграция с notebooks
• In-database ML техники для графов

У нас будет несколько наборов данных для разных случаев.

29 Сентября

Application of Graph Model in Fintech and Risk Management
FinTell построила граф с десятками миллиардов ребер и узлов на основе 1,5 миллиардов активных мобильных устройств в месяц. Графовая модель помогает FinTell предоставлять превосходное качество услуг по управлению рисками финансовых институтов.


Building a State of the Art Fraud Detection System with Graph + AI

Пошаговое руководство и демонстрация того, какие аналитические функции можно быстро создать с помощью графовой аналитики на скромных вычислительных ресурсах и как улучшаются показатели борьбы с мошенничеством, сокращая количество пропущенных случаев мошенничества И уменьшая количество ложных срабатываний в стандартном пайплайне машинного обучения.



Executive Roundtable Transforming Media & Entertainment With Graph + AI

Графовые базы данных используются для идентификации, связывания и объединения повторяющихся сущностей клиентов и для построения проницательный 360 взгляд на клиентов. Обычно это приводит к более высоким доходам в результате более точных и эффективных рекомендаций по продуктам и услугам. Присоединяйтесь к руководителям Ippen Digital и Xandr (входит в состав AT&T), чтобы узнать, как графы и машинное обучение меняют медиа и сферу развлечений.

30 Сентября

Supply Chain & Logistics Management with Graph DB & AI
Промышленное производство сталкивается с серьезными проблемами, связанными с огромным количеством деталей, компонентов и материалов, которые необходимо закупать у множества глобально распределенных поставщиков, а затем обрабатывать и собирать на множестве этапов, что значительно затрудняет отслеживание от поставщика до конечного продукта. Это также включает в себя логистику, то есть типы транспорта, местоположения, продолжительность, стоимость и т. д.
Используя Графовые БД для обеспечения прозрачности сложных и распределенных данных, в сочетании с прогнозной аналитикой, производители могут эффективно решать эти проблемы. Одновременно оптимизируя планирование производства: обеспечение доступности деталей, минимизация потери качества, улучшение сборки и доставки в целом.



Recommendation Engine with In-Database Machine Learning
Рекомендательные системы используются в различных сервисах, таких как потоковое видео, интернет-магазины и социальные сети. В промышленном применении база данных может содержать сотни миллионов пользователей и элементов. Обучение модели в базе данных также позволяет избежать экспорта данных графа из СУБД на другие платформы машинного обучения и, таким образом, лучше поддерживать непрерывное обновление модели рекомендаций по изменяющимся обучающим данным.

Также на конференции будут подведены итоги хакатона Graphathon 2020.

Регистрация

Для участия в бесплатной конференции необходимо зарегистрироваться на официальной странице мероприятия по ссылке.

Присоединяйтесь к Graph + AI World!

До встречи на конференции)

Сеть является основой для распределенных приложений. Распределенное приложение имеет несколько микросервисов, каждый из которых работает в наборе Подов, часто расположенных на разных Нодах. Проблемные области в распределенном приложении могут быть на уровне сети (Flow, сетевые журналы), или на уровне недоступности ресурсов приложения (Метрики) или недоступности компонентов (трассировка).

На связанность на сетевом уровне могут влиять различные факторы, такие как настройки маршрутизации, пула IP-адресов, сетевые политики и т.д. Когда сервис А не может общаться с сервисом В по сети или внешнее приложение не может подключиться к сервису А, сетевые журналы становятся важным источником данных, необходимых для устранения неполадок, связанных с подключениями. Как и в традиционной сети, сетевые журналы позволяют администраторам кластеров мониторить сеть микросервисов Kubernetes.

Сетевые Журналы Имеют Несколько Сценариев Использования

Сетевые журналы могут использоваться для выполнения уникальных требований различных команд (DevOps, SecOps, Platform, Network). Ценность сетевых журналов Kubernetes заключается в собранной информации, такой как подробный контекст о конечной точке / endpoint (например, поды, метки, пространства имен) и сетевые политики, развернутые при настройке соединения. В ИТ-среде команды DevOps, SecOps, Network и Platform могут использовать сетевые журналы для своих сценариев использования, которые полезны в их домене знаний. Ниже мы покажем несколько примеров.

Генерирование Политик и Обнаружение Угроз с Помощью Журналов Потоков Данных в Calico Enterprise.

Calico Enterprise генерирует контекстные журналы сетевых потоков при каждом подключении к поду. Журнал сохраняется в файл на ноде, который затем обрабатывается агентом fluentd и отправляется в настроенное место назначения.



Как показано на приведенной выше диаграмме, журналы по умолчанию отправляются в движок Elasticsearch, который поставляется с Calico Enterprise. Вы можете настроить пересылку журналов потоков на вашу SOC платформу. Мы рекомендуем Вам иметь единую платформу для всех ваших журналов. Журналы это важнейший инструмент мониторинга и анализа для команды эксплуатации, которая уже имеет четко определенные процессы, построенные на централизованной платформе журналирования. Это важно для вашего планирования.

Характеристики Журнала Потока Данных

Журналы потоков имеют много накладных расходов на хранение. По умолчанию, Calico Enterprise хранит только данные за последние семь дней. Это позволяет Calico Enterprise предоставлять функции, специально предназначенные для упрощения разработки политик и устранения неполадок подключения практически в режиме реального времени.

• Предлагаемые рекомендации для создания политик позволяют разработчикам автоматически генерировать сетевые политики для защиты своих сервисов
• Рабочий процесс для политик (рекомендации, предварительный просмотр, поэтапные политики) позволяет командам SecOps и DevOps эффективно создавать политики и развертывать их ненавязчивым образом
• Обнаружение угроз позволяет командам SecOps отследить каждый flow по определенному IP-адресу или домену и выявить угрозы

Стандартный журнал потока в Calico Enterprise содержит в себе всю необходимую контекстную информацию:

• Контекст Kubernetes (под, пространство имен, метки, политики)
• IP-адрес отправителя для внешних источников, если он доступен через ingress
• Start_time, end_time, action, bytes_in, bytes_out, dest_ip, dest_name, dest_name_aggr, dest_namespace, dest_port, dest_type, dest_labels, reporter, num_flows, num_flows_completed, num_flows_started, http_requests_allowed_in, http_requests_denied_in, packets_in, packets_out, proto, policies, source_ip, source_name, source_name_aggr, source_namespace, source_port, source_type, source_labels, original_source_ips, num_original_source_ips

Журнал DNS агрегируется для каждого пода с течением времени и содержит следующую информацию:

• Start_time, end_time, type, count, client_ip, client_name, client_name_aggr, client_namespace, client_labels, qname, qtype, qclass, rcode, rrsets, servers

Записи журналов доступны в Kibana в виде индексов Elasticsearch. Вы полностью контролируете параметры индексации, время хранения и хранилище. Сохранение настроек по умолчанию хорошо подходит для большинства развертываний.

Сократите операционные расходы за счет оптимизации хранилища журнала потоков

Calico Enterprise собирает различные журналы (network / flow, audit, DNS). Журналы потоков являются самыми дорогими с точки зрения хранения, занимая более 95% общего объема хранилища. Нередко на каждую полностью загруженную ноду приходится 5k flow в секунду При скромных 200 байтах на flow это превращается в 1 МБ/с (мегабайт). Суточная потребность в хранилище для каждой ноды составляет 86 ГБ для журналов потоков. Для кластера из 100 узлов ежедневное требование к журналу потоков становится 8 ТБ+!!! Очевидно, что это не масштабируется. И что еще более важно, действительно ли вам нужно хранить так много данных? Как правило, ценность данных, содержащихся в журналах, экспоненциально уменьшается с течением времени и имеет значение только для устранения неполадок и обеспечения соответствия требованиям.

По этой причине Calico Enterprise имеет по умолчанию агрегацию, которая снижает требования к хранению журнала потоков более чем в 100 раз! Мы делаем это без ущерба для данных (видимость, мониторинг, поиск и устранение неисправностей), которые получают наши клиенты из журналов потоков. Журналы агрегируются по порту назначения в течение определенного периода времени. Таким образом, вам не нужно беспокоиться о стоимости хранения журналов потоков при использовании настроек по умолчанию в Calico Enterprise. Еще один способ, которым Calico Enterprise может помочь вам снизить требования к объему хранилища, это исключение. Вы можете легко настроить определенные пространства имен или инсталляции, которые будут исключены из создания журналов потоков.

Заинтересованы в детальном изучении журналов потоков?

Журналы потоков включены по умолчанию. Обратитесь к следующей документации для детальной настройки:

• Формат журналов потоков
• Формат журналов DNS
• Исключить определенные пространства имен
• Срок хранения журнала
• Отправка журналов в другие системы

Мы рады сообщить, что Calico Enterprise, ведущее решение для сетей Kubernetes, безопасности и видимости в гибридных и мультиоблачных средах, теперь включает в себя шифрование передаваемых данных.

Calico Enterprise известен своим богатым набором средств сетевой безопасности для защиты контейнерных рабочих нагрузок путем ограничения трафика К и ОТ доверенных источников. Они включают в себя, но не ограничиваются, внедрением существующих практик контроля безопасности в Kubernetes, контролем egress с помощью DNS политик, расширением межсетевого экрана на Kubernetes, а также обнаружением вторжений и защитой от угроз. Однако по мере развития Kubernetes мы наблюдаем потребность в еще более глубоком подходе к защите конфиденциальных данных, который подпадает под требования нормативно-правового соответствия / compliance.

Не все угрозы исходят снаружи компании. По данным Gartner, почти 75% нарушений происходят из-за действий персонала внутри компании: сотрудников, бывших сотрудников, подрядчиков или деловых партнеров, которые имеют доступ к внутренней информации о средствах безопасности компании, данных и компьютерных системах. Такой уровень уязвимости данных неприемлем для организаций, которые имеют строгие требования к их защите и соблюдению нормативных требований. Независимо от того, откуда исходит угроза, доступ к зашифрованным данным есть только у законного владельца ключа шифрования, что обеспечивает защиту данных в случае попытки несанкционированного доступа.

Некоторые нормативные стандарты устанавливают требования к защите данных и соблюдению требований к организациям и указывают на использование средств шифрования, в том числе SOX, HIPAA, GDPR и PCI. Например, стандарт безопасности данных индустрии платежных карт (PCI DSS) применяется к организациям, которые работают с фирменными кредитными картами, и был создан для усиления контроля за данными держателей карт с целью сокращения случаев мошенничества. PCI DSS требует от организаций шифрования номеров счетов кредитных карт, хранящихся в их базах данных, и обеспечения безопасности данных при передаче. Проверка соответствия проводится ежегодно или ежеквартально.



Calico Enterprise решает эту проблему, используя WireGuard для внедрения шифрования передаваемых данных. WireGuard согласуется с подходом Tigera batteries-included" к сетям Kubernetes, безопасности и наблюдаемости. WireGuard работает в качестве модуля ядра Linux и обеспечивает лучшую производительность и более низкую загрузку процессора, чем протоколы туннелирования IPsec и OpenVPN. Независимые тесты производительности Kubernetes CNI показали, что Calico с включенной функцией шифрования работает в 6 раз быстрее, чем любое другое решение на рынке.

WireGuard работает как модуль внутри ядра Linux и обеспечивает лучшую производительность и более низкую загрузку процессора, чем протоколы туннелирования IPsec и OpenVPN. Включить шифрование передаваемых данных на Calico Enterprise очень просто все, что вам нужно это развернутый на операционной системе хоста кластер Kubernetes с WireGuard. Полный список поддерживаемых операционных систем и инструкции по установке вы найдете на веб-сайте WireGuard.

Тесты производительности CNI

Являясь отраслевым стандартом для сетей Kubernetes и сетевой безопасности, Calico обеспечивает работу более миллиона нод Kubernetes каждый день. Calico единственный CNI, имеющий возможность поддерживать три data plane из одной, унифицированой контрольной панели. Независимо от того, что вы используете eBPF, Linux или Windows data plane; Calico обеспечивает невероятно высокую производительность и исключительную масштабируемость, что подтверждают последние бенчмарк-тесты.

Последний бенчмарк сетевых плагинов Kubernetes (CNI) по сети 10 Гбит/с опубликовал Алексис Дюкастель, CKA/CKAD Kubernetes и основатель InfraBuilder. Тест основывался на версиях CNI, которые были актуальны и обновлены по состоянию на август 2020 года. Были протестированы и сравнены только те CNI, которые можно настроить с помощью одного yaml-файла, включая:

• Antrea V. 0. 9. 1
• Calico v3. 16
• Canal v3.16 (сетевые политики Flannel + Calico)
• Cilium 1.8.2
• Flanel 0.12.0
• Kube-router последняя версия (2020-08-25)
• WeaveNet 2.7.0

Среди всех протестированных CNI Calico стал явным победителем, продемонстрировав превосходство практически во всех категориях и получив превосходные результаты, которые приведены в таблице ниже. Фактически, Calico является предпочтительным выбором CNI в случаях первичного использования, представленных автором в резюме отчета.



Ознакомьтесь с полными результатами последних бенчмарк-тестов Kubernetes CNI. Вы также можете запустить бенчмарк на собственном кластере, с помощью инструмента Kubernetes Network Benchmark Tool от InfraBuilder.