
Temos o prazer de anunciar que Calico Enterprise , a solução líder para rede Kubernetes, segurança e visibilidade em ambientes híbridos e com várias nuvens, agora inclui criptografia de dados em trânsito.
Calico empresa é conhecida por sua rica conjunto de ferramentas para proteger a segurança da rede de cargas de trabalho de contêineres, limitando o tráfego TO e DE uma fonte confiável. Isso inclui, mas não está limitado a, implementação de práticas de segurança existentes do Kubernetes , monitoramento de saída com políticas de DNS , extensão do firewall para o Kubernetes e detecção de intrusão e proteção contra ameaças.... No entanto, conforme o Kubernetes evolui, vemos a necessidade de uma abordagem ainda mais profunda para proteger os dados confidenciais que se enquadram no escopo dos requisitos de conformidade.
Nem todas as ameaças vêm de fora da empresa. De acordo com o Gartner, quase 75% das violações são devido a ações de funcionáriosdentro da empresa: funcionários, ex-funcionários, contratados ou parceiros de negócios que tenham acesso a informações privilegiadas sobre a segurança da empresa, dados e sistemas de informática. Esse nível de vulnerabilidade de dados é inaceitável para organizações com requisitos rígidos de segurança e conformidade. Independentemente da origem da ameaça, apenas o proprietário legítimo da chave de criptografia tem acesso aos dados criptografados, o que protege os dados em caso de tentativa de acesso não autorizado.
Vários padrões regulatórios estabelecem requisitos de conformidade e proteção de dados para organizações e especificam o uso de ferramentas de criptografia, incluindo SOX , HIPAA , GDPR e PCI . Por exemplo, o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) se aplica a organizações que lidam com cartões de crédito de marca e foi criado para fortalecer os controles sobre os dados do titular do cartão para reduzir a fraude. O PCI DSS exige que as organizações criptografem os números das contas de cartão de crédito armazenados em seus bancos de dados e mantenham os dados em trânsito seguros. A conformidade é verificada anualmente ou trimestralmente.

Calico Enterprise resolve este problema usando WireGuardpara implementar a criptografia dos dados transmitidos. O WireGuard se alinha com a abordagem "baterias incluídas" da Tigera para a rede, segurança e observabilidade do Kubernetes. O WireGuard opera como um módulo do kernel Linux e oferece melhor desempenho e menor utilização da CPU do que os protocolos de encapsulamento IPsec e OpenVPN. Os benchmarks independentes do Kubernetes CNI mostraram que Calico com criptografia habilitada é 6x mais rápido do que qualquer outra solução no mercado
WireGuardfunciona como um módulo dentro do kernel Linux e oferece melhor desempenho e menor uso de CPU do que os protocolos de encapsulamento IPsec e OpenVPN. Ativar a criptografia de dados no Calico Enterprise é fácil ... tudo que você precisa é de um cluster Kubernetes implantado no sistema operacional host com WireGuard. Para obter uma lista completa de sistemas operacionais suportados e instruções de instalação, visite o site da WireGuard.
Testes de desempenho CNI
Padrão do setor para rede e segurança de rede do Kubernetes, o Calico fornece energia para mais de um milhão de nós do Kubernetes todos os dias. Calico é o único CNI capaz de suportar três planos de dados de um painel de controle unificado . Independentemente do que você está usando - plano de dados eBPF, Linux ou Windows; Calico oferece desempenho incrível e escalabilidade excepcional, conforme comprovado nos últimos benchmarks.
O mais recente benchmark de plug-ins de rede Kubernetes (CNI) em uma rede de 10 Gbps foi publicado por Alexis Ducastel, CKA / CKAD Kubernetes e fundador do InfraBuilder. O teste foi baseado nas versões CNI atuais e atualizadas em agosto de 2020. Apenas CNIs que podem ser configurados com um único arquivo yaml foram testados e comparados, incluindo:
- Antrea V. 0. 9. 1
- Calico v3. 16
- Canal v3.16 (políticas de rede Flanela + Calico)
- Cilium 1.8.2
- Flanel 0.12.0
- Roteador Kube - versão mais recente (2020-08-25)
- WeaveNet 2.7.0
Entre todos os testados pela CNI, Calico foi o vencedor absoluto, se destacando em quase todas as categorias e alcançando excelentes resultados, que estão resumidos na tabela a seguir. Na verdade, Calico é a escolha preferencial da CNI para os casos de uso primários apresentados pelo autor no resumo do relatório.

Confira os resultados completos dos últimos benchmarks CNI do Kubernetes . Você também pode executar o benchmark em seu próprio cluster usando a ferramenta Kubernetes Network Benchmark do InfraBuilder .