Upravljanje in analitika infrastrukturnih rešitev v okolju API vmesnikov in mikrostoritevSRC

Bojan Bunić, sistemski inženir (odprtokodne rešitve)

Simon Simčič, arhitekt IT rešitev (analitika in varnost)Cisco Connect Slovenija 2019

Prehod v svet mikrostoritev, vsebnikov in orkestracije pred varnostne centre postavlja nekaj

novih izzivov upravljanja identitete in varnega dostopa.

SRC JE IT PODJETJE, KI DIGITALNO TRANSFORMIRA KORPORACIJE, FINANČNE

INSTITUCIJE IN JAVNO UPRAVO.

Mikrostoritve in obvladovanja varnosti v okoljih dostopnih preko API vmesnikov

Prehod iz monolitnih aplikacij na mikrostoritve, API vmesnike in vsebnike.

#1

Vsi moduli v eni aplikaciji

Izpad celotne aplikacije pri nadgradnjah

Težje vzdrževanje

Razširljivost celotne aplikacije

Iz monolitnih aplikacij do mikrostoritev

Mikrostoritve in API vmesniki

Posamezni moduli celotne storitve

Moduli komunicirajo med sabo z API vmesniki

Vsak modul svoj API vmesnik, „API gateway“

Razširljivost posameznega modula

API vmesniki v mrežnem okolju

*API v transportnih različicah REST / NETCONF standardizira komunikacijo.

API programabilni vmesnik („Application Programming Interface“)

Skupek funkcijskih klicev in programabilnih blokov

Spreminja se način upravljanja, ki preko programskih mehanizmov komunicira z ravnmi infrastrukture.

Machine-to-Machine (Instance of Services )

Non-programmableelements:

Access ProtocolsCommand (Line) Parser

Device Features & Protocols, Virtualized Services, Interpreters

Programmable elements:Access Protocols / API Interfaces

Object Data Models Engine(Open/Native – Configiration/Operation)

Datastores

SSH/Telnet, GUI-http,… API REST function JSON http(s)API NETCONF object XML rpc/ssh

API RESTCONF object XML/JSON http(s)

Human-to-Machine(Command Lines)

API programabilni vmesnik

Namesto obravnave posameznih naprav „collection of devices«, obdelava transakcij modeliranih storitev »infrastructure as a model«.

Ukaz CLI/SSH vrne odziv v obliki teksta, API-klic v formatu XML/JSON –ni konsistence, vrnjeni zapis je odvisen od programske opreme in proizvajalca.

Modelirane storitve („data object“) za standardizirajo interpretacijo YANG „language“ kot template za generiranje konsistentnih (Open-IETF/Openconfig; Native/Vendor) XML/JSON zapisov storitev.

SNMP

MIB

Yang

XML/JSON

Data Model:StructureSyntaxSemantics

InformationModel:RelationshipsAbstractAPI system

HTTP/RPC „client-server /stateless ortransactions“

API

GET

PUT

POST

DELETE

GET

GET_CONF

EDIT-CONF

Retrive

Update

Create

Delete COPY, DELETE ..etc

Aplikacije v virtualiziranih okoljih / v vsebnikih (Docker)

Vsebniki („Containers“)

Vsebniki („containers“) so po naravi izolirani in brez stanja („stateless“).

Minimalne verzije vsega – okolja, aplikacijskega strežnika, aplikacije, …

Prednosti:• Hitrejši in poenostavljen „deploy“, „upgrade“• V vsebnik zapakiramo vse potrebno za poganjanje aplikacij• Neodvisnost od verzije OS, podpornih knjižnic• Lažji „scaling“

Vsebniki in orkestracija

Vsebniki in orkestracija

Vsebniki in orkestracija

Vsebniki in orkestracija

Vsebniki in orkestracija

Kubernetes

„Service discovery“, „load balancing“Orkestracija diskovnega prostora„Self-healing“Upravljanje konfiguracij in poverilnic

Avtomatizacija „rollouts“ in „rollbacks“Hkratno izvajanje opravilHorizontalni „scaling“

„Open source“ sistem za avtomatiziranje „deploymentov“, „scaling“ in upravljanje aplikacij v vsebnikih.

Kubernetes

Enota je pod, lahko je en ali več vsebnikovEnoten API vmesnik za „deploy“ aplikacij, opravil in baz podatkovUpravlja in spremlja globalen pogled celotnega „cluster“-aPodpira „multi-cloud“ in „bare-metal“ postavitveBogat ekosistem dodatkov za upravljanje diskovnega prostora, omrežja, …

Orkestrira poganjanje in upravljanje vsebnikov

Worker node kube-proxy

docker

kubelet

pod

containerpod

containerpod

container

pod

cadvisor

pod

containerpod

container

Kubernetes cluster

Kubernetes "Cluster" arhitekturaMaster node:„Upravljalski node za cluster

scheduling, replikacija & kontrola

več master node za HA“

Worker nodes:„Node, kjer tečejo podi

docker engine

kubelet agent sprejme & izvede ukaze iz master node za upravljanje podov

cadvisor – Container Advisor sporoča uporabo resursov in performančnestatistike

kube-proxy – routa vhoden ali ingress promet“

Master node

APIs

schedulingactuator REST

authenticationauthorization

controllermanager Distributed

watchablestorage(etcd)

firewallkubectl

internet

Worker node kube-proxy

docker

kubelet

pod

containerpod

containerpod

container

pod

cadvisor

pod

containerpod

container

Kubernetes postavitev v IBM Cloud Private

Programabilnost, Devnet, DevOps, Cloud Native, Microservices, API

Operativni model delovanja v okoljih API & mikrostoritvah

„Upravljanje in analitika je (tudi) „software““

Primer rabe: Regulativa PSD2

PSD2 nalaga dostopnost bančnih storitev preko odprtih vmesnikov API.

Razvijalci pričakujejo infrastrukturne funkcije „on demand“, „compute-storage-networking for continuous delivery“; odprte API vmesnike za dostop do infrastrukture in funkcij aplikacij („microservices“).

Idealna priložnost za uporabo novih tehnologij, kot je Kubernetes v „cloudnative“ okoljih.

„Cloud-native“ v podatkovnih centrih pomeni arhitekturo mikrostoritev s prehodom na »serverless containers“ ekosistem

funkcij odprtih preko API vmesnikov.

Podlaga za „cloud-native“ okolja so avtomatizacijo/orkestracija, analitika in „container“-ska ponudbo oz. novo razvojno ter

produkcijsko okolje („DevOps)“.

DevOps „Programmability“Razvojna API platforma za „software“ inženirje

Programabilnost ne govori o tehnologijah, temveč o tem kako se spreminja industrija oz. „software development“.

DevOps - avtomatizacija in monitoring v vseh fazah od razvoja storitve, integracije testiranja postavitve, upravljanja infrastrukturnih rešitev.

Organizacija dela sledi paradigmi „kaj se zgodi, ko programer dobi nalogo dizajnirati operativni proces v infrastrukturi“.

Avtomatizacija/okrestracija kot proces pretoka podatkov skozi sisteme, ki sprejemajo odločitve in ne nadomeščanja nabora CLI ukazov s „script“-ami.

• Development EnviromentDevelopers

• Delivery Pipeline• Scheduling & Container Layer• Application & Middleware• Cloud Managment & Automation

DevOps Engineers

• Operating System• Infrastructure

InfrastructureArchitects & Operations

Developers - DevOps - Infrastructure Engineering

GitHub

Continuous Integration / Development

Arhitektura upravljanja mikrostoritev/vsebnikov

Varnostni izzivi in kako jih naslavljamo -Mikrostoritve

#2

Vsebniki

Varnost

Privzeto na izolirani mreži

Minimalne verzije aplikacijskih strežnikov – manj nastavitev

Novi izzivi varovanja zaradi novih konceptov delovanja

„Multicloud clustri“

Potrebno poskrbeti za varnost „clustra“ in vsebnikov

Varnost nove infrastrukture

Varovanje na večih ravneh

• Večja kompleksnost rešitve• Virtualiziran je le en process• Nove grožnje• Novi varnostni mehanizmi

Varnost nove infrastrukture - Aplikacije in Dockerji

Izolacija:• “Načeloma” je vsak kontejner ločen• Komunikacija je možna preko omrežja

Varnost nove infrastrukture - Aplikacije in Dockerji

Izolacija:• Nameščanje zaupanja vrednih aplikacij• Ustrezno zmanjševanje pravic na gostitelju

Varovanje nove infrastrukture - Docker

Če so okolja večja, moramo nasloviti lažje upravljanje z varnostjo• „Auditing, Auditing, Auditing“• Zbiranje spletnih dnevnikov• Centralizacija dogodkov

Varovanje nove infrastrukture - Docker

Če so okolja večja, moramo nasloviti lažje upravljanje z varnostjo• Izolacija• Doslednost skozi orkestracijo

Varovanje nove infrastrukture - Docker in API

Če so okolja večja, moramo nasloviti lažje upravljanje z varnostjo• Uporaba Application Delivery Controller (zWAF funkcionalnostjo, aplikativnimi

zlorabami – buffer overflow napadi, SQL injection napadi)• Zaščita pred aplikativnimi DoS napadi• Uporaba API Gateway mehanizma

Varnostni izzivi in kako jih naslavljamo – API vmesniki

#3

Varnost nove infrastrukture

API vmesniki

Delujejo kot spletne storitve oz. Web Services• Vsekakor vpeljava avtentikacijskih mehanizmov• Vsekakor HTTPS kot zaščita transporta

Varnost nove infrastrukture - API vmesniki

Delujejo kot spletne storitve oz. Web Services• Dodajanje preverjanja časovnih žigov• Skrivanje skrivnih podatkov v URL-ju

Varovanje nove infrastrukture - API

Če so okolja večja, moramo nasloviti lažje upravljanje z varnostjo• Zagotavljanje zaupnosti povezav• Spremljanje vsebine zahtevkov

Varovanje nove infrastrukture - API Gateway• Deluje kot posrednik• Opravlja funkcije varnosti• Optimizacije• Spremljanje delovanja

Varovanje nove infrastrukture - API Gateway• Deluje kot posrednik• Opravlja funkcije varnosti

• Zaključevanje SSL sej• Avtentikacija• IP naslovi• Rate Limiting• Web Application Firewall

Varovanje nove infrastrukture - API Gateway• Deluje kot posrednik• Optimizacija

• Pomnjenje zahtevkov – caching• Agregacija zahtevkov• Izvajanje (de)kompresije zahtevkov• Nudenje statične vsebine

• Spremljanje delovanja• Beleženje dogodkov• Monitoring

Naprednejše spremljanje v okoljumikrostoritev - App Dynamics

• Rešitev za spremljanje delovanja aplikacij• Spremljanje zdravja sistema• Spremljanje zdravja poslovne logike in procesov

Bojan Bunić - sistemski inženir

Simon Simčič - arhitekt IT rešitev

SRC JE IT PODJETJE, KI DIGITALNO TRANSFORMIRA KORPORACIJE, FINANČNE

INSTITUCIJE IN JAVNO UPRAVO.

Hvala za pozornost!