Clever Geek Handbook

CalicoEnterpriseで送信されたデータの暗号化





ハイブリッドおよびマルチクラウド環境でのKubernetesネットワーキング、セキュリティ、および可視性の主要なソリューションであるCalico Enterpriseに、転送中のデータの暗号化が含まれるようになったことをお知らせ します。



Calico Enterpriseは、信頼できるソースからのToトラフィックOTトラフィック制限することにより、コンテナ化されたワークロードを保護する豊富なネットワークセキュリティツールのセットで有名です 。これらは、これらに限定されないが、 既存のKubernetesのセキュリティ対策を実施し出口はDNSポリシーを監視ファイアウォールKubernetesを拡張し、 侵入検知および脅威に対する保護。..。ただし、Kubernetesが進化するにつれて、コンプライアンス要件の範囲内にある機密データを保護するためのさらに深いアプローチの必要性が見られます。



すべての脅威が社外から来るわけではありません。ガートナーによると、違反のほぼ75%は従業員の行動によるものです 社内:会社のセキュリティ、データ、およびコンピューターシステムに関する内部情報にアクセスできる従業員、元従業員、請負業者、またはビジネスパートナー。このレベルのデータの脆弱性は、厳格なデータ保護とコンプライアンス要件を持つ組織には受け入れられません。脅威の発生元に関係なく、暗号化キーの正当な所有者のみが暗号化されたデータにアクセスできます。これにより、不正アクセスが試みられた場合にデータが保護されます。



いくつかの規制基準は、組織のデータ保護とコンプライアンスの要件を確立し、SOXHIPAAなどの暗号化ツールの使用を指定しています GDPRおよび PCI。たとえば、Payment Card Industry Data Security Standard(PCI DSS)は、ブランドのクレジットカードを扱う組織に適用され、カード会員データの管理を強化して不正を減らすために作成されました。 PCI DSSでは、組織がデータベースに保存されているクレジットカードのアカウント番号を暗号化し、転送中のデータを安全に保つ必要があります。コンプライアンスは、毎年または四半期ごとにチェックされます。







Calico Enterpriseは、WireGuardを使用してこの問題を解決し ます送信データの暗号化を実装します。 WireGuardは、Kubernetesネットワーキング、セキュリティ、および可観測性に対するTigeraの「バッテリーを含む」アプローチと整合しています。WireGuardはLinuxカーネルモジュールとして動作し、IPsecおよびOpenVPNトンネリングプロトコルよりも優れたパフォーマンスと低いCPU使用率を提供します。KubernetesCNIに 依存しないベンチマークは、暗号化が有効になっているCalicoは 、市場に出回っている他のどのソリューションより6倍高速です



WireGuardLinuxカーネル内のモジュールとして機能し、IPsecおよびOpenVPNトンネリングプロトコルよりも優れたパフォーマンスと低いCPU使用率を提供します。Calico Enterpriseでデータ暗号化を有効にするのは簡単です...必要なのは、WireGuardを使用してホストオペレーティングシステムにデプロイされたKubernetesクラスターだけです。サポートされているオペレーティングシステムとインストール手順の完全なリストについては、WireGuardのWebサイトにアクセスしてください。



CNIパフォーマンステスト



Kubernetesネットワーキングとネットワークセキュリティの業界標準であるCalicoは、毎日100万を超えるKubernetesノードに電力を供給しています。 Calicoは、1つの統合コントロールパネルから3つのデータプレーンをサポートできる唯一のCNIです。使用しているものに関係なく、eBPF、Linux、またはWindowsデータプレーン。 Calicoは、最新のベンチマークで証明されているように、信じられないほどのパフォーマンスと卓越したスケーラビリティを提供します。



10 Gbpsネットワーク上のKubernetesネットワークプラグイン(CNI)の最新のベンチマークが、AlexisDucastelによって公開され ました。、CKA / CKADKubernetesおよびInfraBuilderの創設者。このテストは、2020年8月の時点で最新で更新されたCNIバージョンに基づいています。以下を含め、単一のyamlファイルで構成できるCNIのみがテストおよび比較されています。



  • Antrea V. 0. 9. 1
  • Calicov3。16
  • Canal v3.16(Flannel + Calicoネットワークポリシー)
  • シリウム1.8.2
  • フラネル0.12.0
  • Kube-router-最新バージョン(2020-08-25)
  • WeaveNet 2.7.0


CNIによってテストされたすべての中で、Calicoが明確な勝者であり、ほぼすべてのカテゴリで優れており、以下の表に要約されている優れた結果を達成しました。実際、Calicoは、レポートの要約で著者が提示した主な使用例に対してCNIが推奨する選択肢です。 最新のKubernetesCNIベンチマーク







完全な結果を確認してください InfraBuilderのKubernetesNetwork Benchmark Toolを使用して、独自のクラスターでベンチマークを実行することもできます


More articles:


All Articles