Utiliser les conteneurs comme infrastructure légère pour l’exploitation des microservices équivaut à introduire au sein des systèmes une nouvelle couche d’infrastructure à sécuriser.

Les conteneurs doivent en effet - au même titre que les autres composants des infrastructures informatiques - être sécurisés.
Les administrateurs doivent être en mesure de visualiser les flux de données qui entrent et sortent de ces conteneurs.
Or, les applications monolithiques sont difficiles à faire évoluer et peuvent même s’avérer inefficaces en cas de montée en charge.

Pour pallier cette limite, de nombreuses applications ont été migrées vers les microservices et ces derniers mènent naturellement à l’adoption des conteneurs.

Avec la mise sur le marché de contrôleurs SDN (Software-Defined Networking) tels que Contrail, il est devenu possible de participer aux chaînes de service des fonctions réseau avec le Containerized SRX (cSRX) de Juniper.
Agissant comme un "point de passage" à faible impact entre deux flux de données et un conteneur cible, cSRX ajoute des points de sécurité là où il n’en existait pas auparavant et offre la sécurité réseau la plus complète à ce jour pour les conteneurs Docker.
Avec Contrail, l’ajout de la sécurité est maintenant transparent pour les développeurs d’applications.

cSRX offre également une meilleure visibilité du réseau, permettant aux organisations de réagir plus rapidement face aux nouvelles menaces.
En fonction des besoins, les applications conteneurisées ou les microservices peuvent être dotés de leur propre pare-feu de nouvelle génération, ou même d’une chaîne complète de services de sécurité réseau.

Avantages du pare-feu cSRX Container Firewall

• Est spécialement conçu pour la sécurisation des conteneurs : cSRX exclut délibérément les capacités de routage dynamique ou de mise en réseau des pare-feu virtuels vSRX ou matériel SRX matériel afin de conserver le maximum d’agilité. Les environnements conteneurisés permettent de créer et de détruire rapidement les charges de travail en fonction de la demande. Chaque seconde compte et le temps d’instanciation extrêmement court de cSRX est un avantage certain pour les clients.
• Est léger, très agile : les instances de pare-feu cSRX peuvent être instanciées en quelques secondes et ont l’impact faible que l’on attend pour les applications conteneurisées. Pour y parvenir, une approche de micro-services est adoptée pour l’approvisionnement de la sécurité conteneurisée.
• Fournit une défense contre les menaces de plus en plus sophistiquées : cSRX intègre des fonctionnalités telles que la prévention avancée des menaces (ATP), ainsi que le blocage d’IP et d’URL basé sur les flux de menaces. Plus qu’un pare-feu minimaliste qui est devenu le standard dans les déploiements de conteneurisation, cSRX s’impose comme un élément central de l’infrastructure de conteneurisation.
• Prend en charge les technologies émergentes : La légèreté et l’instanciation rapide de cSRX lui permettent de servir les technologies émergentes, telles que les micro-centres de données au sein des tours de téléphonie mobile 5G.
• Est suffisamment petit pour être embarqué dans des dispositifs IoT : cSRX permet de protéger les dispositifs à ressources limitées et de fonctionner à des échelles où l’économie de quelques mégaoctets de RAM par instance fait une réelle différence.
• Utilise des zones implicites : cSRX prend en charge la segmentation du trafic en zones, ce qui permet à un seul conteneur cSRX de protéger plusieurs applications conteneurisées ou microservices, ayant chacun sa propre configuration de sécurité personnalisée.
• Participe aux chaînes de services de la fonction réseau : cSRX offre ainsi une haute disponibilité ainsi qu’une sécurité conteneurisée susceptible de faire évoluer les fonctions réseau individuelles selon les besoins.