Nos complace anunciar que Calico Enterprise , la soluci贸n l铆der para redes, seguridad y visibilidad de Kubernetes en entornos h铆bridos y de m煤ltiples nubes, ahora incluye cifrado de datos en tr谩nsito.
Calico Enterprise es conocida por su amplio conjunto de herramientas de seguridad de red para proteger las cargas de trabajo en contenedores limitando el tr谩fico hacia y OT de fuentes confiables. Estos incluyen, entre otros, la implementaci贸n de pr谩cticas de seguridad de Kubernetes existentes , el monitoreo de salida con pol铆ticas de DNS , la extensi贸n del firewall a Kubernetes y la detecci贸n de intrusiones y protecci贸n contra amenazas.... Sin embargo, a medida que Kubernetes evoluciona, vemos la necesidad de un enfoque a煤n m谩s profundo para proteger los datos confidenciales que se encuentran dentro de los requisitos de cumplimiento.
No todas las amenazas provienen de fuera de la empresa. Seg煤n Gartner, casi el 75% de las infracciones se deben a acciones de los empleados.dentro de la empresa: empleados, ex-empleados, contratistas o socios comerciales que tienen acceso a informaci贸n privilegiada sobre la seguridad, los datos y los sistemas inform谩ticos de la empresa. Este nivel de vulnerabilidad de los datos es inaceptable para organizaciones con estrictos requisitos de seguridad y cumplimiento. Independientemente de d贸nde provenga la amenaza, solo el propietario leg铆timo de la clave de cifrado tiene acceso a los datos cifrados, lo que protege los datos en caso de intentos de acceso no autorizados.
Varios est谩ndares regulatorios establecen requisitos de cumplimiento y protecci贸n de datos para las organizaciones y especifican el uso de herramientas de cifrado, incluidas SOX , HIPAA , GDPR y PCI . Por ejemplo, el Est谩ndar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se aplica a las organizaciones que manejan tarjetas de cr茅dito de marca y se cre贸 para fortalecer los controles sobre los datos de los titulares de tarjetas para reducir el fraude. PCI DSS requiere que las organizaciones cifren los n煤meros de cuentas de tarjetas de cr茅dito almacenados en sus bases de datos y mantengan los datos en tr谩nsito seguros. El cumplimiento se verifica anualmente o trimestralmente.
Calico Enterprise resuelve este problema usando WireGuardpara implementar el cifrado de los datos transmitidos. WireGuard se alinea con el enfoque de "bater铆as incluidas" de Tigera para las redes, la seguridad y la observabilidad de Kubernetes. WireGuard funciona como un m贸dulo del kernel de Linux y proporciona un mejor rendimiento y un menor uso de la CPU que los protocolos de t煤nel IPsec y OpenVPN. Los puntos de referencia independientes de Kubernetes CNI han demostrado que Calico con el cifrado habilitado es 6 veces m谩s r谩pido que cualquier otra soluci贸n en el mercado
WireGuardfunciona como un m贸dulo dentro del kernel de Linux y proporciona un mejor rendimiento y un menor uso de la CPU que los protocolos de t煤nel IPsec y OpenVPN. Habilitar el cifrado de datos en Calico Enterprise es f谩cil ... todo lo que necesita es un cl煤ster de Kubernetes implementado en el sistema operativo host con WireGuard. Para obtener una lista completa de los sistemas operativos compatibles e instrucciones de instalaci贸n, visite el sitio web de WireGuard.
Pruebas de rendimiento CNI
Calico, el est谩ndar de la industria para redes y seguridad de redes de Kubernetes, alimenta m谩s de un mill贸n de nodos de Kubernetes todos los d铆as. Calico es el 煤nico CNI capaz de admitir tres planos de datos desde un panel de control unificado . Independientemente de lo que est茅 utilizando: plano de datos eBPF, Linux o Windows; Calico ofrece un rendimiento incre铆ble y una escalabilidad excepcional, como se demuestra en los 煤ltimos puntos de referencia. Alexis Ducastel
public贸 el 煤ltimo punto de referencia de complementos de red de Kubernetes (CNI) en una red de 10 Gbps. , CKA / CKAD Kubernetes y fundador de InfraBuilder. La prueba se bas贸 en versiones de CNI que estaban actualizadas y actualizadas en agosto de 2020. Solo se han probado y comparado los CNI que se pueden configurar con un solo archivo yaml, que incluyen:
- Antrea V. 0. 9. 1
- Calico v3. diecis茅is
- Canal v3.16 (pol铆ticas de red de Flannel + Calico)
- Cilium 1.8.2
- Flanel 0.12.0
- Kube-router - 煤ltima versi贸n (2020-08-25)
- WeaveNet 2.7.0
Entre todos los probados por CNI, Calico fue el claro ganador, sobresaliendo en casi todas las categor铆as y logrando excelentes resultados, que se resumen en la siguiente tabla. De hecho, Calico es la opci贸n preferida de CNI para los casos de uso primarios presentados por el autor en el resumen del informe.
Consulte los resultados completos de los 煤ltimos puntos de referencia CNI de Kubernetes . Tambi茅n puede ejecutar el punto de referencia en su propio cl煤ster utilizando la herramienta de referencia de red Kubernetes de InfraBuilder .