使用 F5 VELOS 创建安全的多租户架构

企业正致力于控制企业数据中心的成本，同时支持日益增长的内容交付需求。 由于这些组织寻求最大限度地提高现有基础设施的利用率，确保数据安全和合规性已成为首要任务。 由于许多组织的工作负载分布在本地、主机托管和多云部署中，因此他们需要在所有部署中采用一致的数据安全策略。 F5 的全新现代架构使企业能够以模块化方式在私有云和公共云上部署 F5 软件，同时保留现有的硬件加速功能，从而加速数字化转型计划。 F5 基于微服务的基础架构支持应用交付和多租户功能，并具有全面的安全隔离租户 - 所有这些都是F5 自适应应用程序愿景的基石。

数据安全问题影响到三分之一的服务提供商。 鉴于数据泄露以及监管和合规问题罚款的增加，托管服务提供商希望向下游客户保证，他们的网络流量不会被托管在同一物理设备上的其他客户看到或操纵。

F5 的现代架构将首席信息官 (CIO) 所需的高性能特性与首席（信息）安全官 (CSO/CISO) 要求的稳健、高安全态势相结合。

像 VIPRION 这样的上一代系统通过 vCMP 技术提供虚拟化解决方案。vCMP 有两个提供多租户的组件：vCMP 主机层和 vCMP 客户层。 vCMP 主机功能本质上是一个自定义的虚拟机管理程序，允许 F5 平台运行 BIG-IP 的虚拟实例（称为客户机）。

VELOS 从配置和部署的角度提供了与 vCMP 类似的模型，但技术不同。 VELOS 使用术语“租户”或“租赁”来描述机箱内的虚拟化功能。 VELOS 中的 F5OS 平台层不是一个虚拟机管理程序，而是一个真正的微服务层，其底层采用 Kubernetes 框架进行管理。 F5OS 利用 KubeVirt 技术实现多租户，允许 BIG-IP 实例作为虚拟机 (VM) 在微服务层之上运行。 这使得客户能够将现有的 BIG-IP 实例或访客迁移到 VELOS 租户，而无需改变他们管理租户的方式。

VELOS 架构还支持下一代 BIG-IP 软件——BIG-IP Next。 BIG-IP Next 不是在容器化环境之上以虚拟机的形式运行 BIG-IP 实例，而是在本容器环境中以容器集合的形式运行。  VELOS 机箱上支持的租户可以是 F5OS 容器中的 BIG-IP 与 TMOS 和 BIG-IP Next，以便在同一平台上进行无缝测试和版本迁移。

VELOS 中的租户配置与配置 vCMP 客户机几乎相同。 管理员为租户分配名称、选择其运行的软件版本以及分配vCPU和内存资源。 VELOS 租户使用专用的 CPU 和内存资源，就像 vCMP 客户一样。

VELOS 通过机箱分区功能提供额外的隔离层，允许管理员对刀片进行分组和隔离。 每个刀片都可以是其自己的独立机箱分区，也可以与其他刀片组合以形成更大的机箱分区，直至达到机箱内刀片的最大数量。 机箱分区提供了包含物理网络的额外隔离层。 使用 vCMP，所有客户机都可以访问主机层的物理网络，尽管它可能受到 VLAN 成员资格的限制。 通过 VELOS 多租户和机箱分区，机箱分区内的租户只能访问其所在机箱分区内的物理网络。 它们不允许访问其他机箱分区内的网络。 它们仍然受到 VLAN 的限制，就像 vCMP 一样，但是机箱分区在较低层创建了进一步的分离。  VELOS 通过隔离管理员访问进一步隔离机箱分区，以便每个机箱分区管理自己的用户访问和身份验证。

机箱管理员可以访问系统控制器的带外管理接口。 他们还可以配置机箱分区并分配用户访问这些分区的权限。

机箱分区管理员为分区中的刀片配置带内网络基础设施，其中包括接口、链路聚合组和 VLAN。 他们还可以在指定的机箱分区内部署和管理租户生命周期。 机箱分区管理员将无法访问系统中的其他机箱分区，因此它不仅在租户层提供安全隔离，而且在较低的网络层提供安全隔离。

租户管理员负责租户内服务的配置。 租户管理员可以访问 BIG-IP 租户公开的所有管理功能。 这类似于访问 vCMP 客户机。 它独立于下层平台层访问，并在TMOS实例（或租户）内进行控制。

基于微服务的现代架构将帮助想要对其数据中心进行数字化转型的组织。 创新和快速反应的能力是数字化转型和数据中心现代化的目标。 随着越来越多的服务提供商和企业数据中心运营商在本地、主机托管和多云模型中部署工作负载以满足不断增长的应用交付需求，提高利用率和数据安全变得越来越重要。 F5 基于微服务的架构为企业提供了更好的资本支出利用率，同时确保符合数据安全标准。

部署时间变慢、容量扩展限制以及数据安全漏洞是企业面临的最大问题。 人们不断投资于自动化和远程监控技术，以减少人为错误。

对于服务提供商来说，5G准备以及提高用户和网络性能是首要任务。 此外，他们需要资源可扩展性来满足现在以及在 3G 或 4G LTE 迁移到 5G Edge 期间不断增加的负载，同时确保应用和资源隔离。

F5 开发了 VELOS 底盘系统，帮助企业提高应用性能、容错能力和 API 管理能力。

F5OS 与 VELOS 平台一起提供了更好的资源利用率、自动化能力和纵深防御安全性。 为了提高资源利用率，VELOS 支持单个设备上的多个租户集群。 新的机箱分区方法以及细粒度的资源分配提供了更简单的操作模型。 API-first 架构可帮助客户实现 BIG-IP 系统部署自动化，简化应用管理和自动化活动。 VELOS 支持多层应用安全性，以限制漏洞的范围。 VELOS 还支持物理和基于软件的纵深防御安全机制相结合，以保护流程、安全访问控制和隔离网络。

托管服务提供商还发现，租户的安全性意味着其下游客户可以独立管理其自身服务的隔离部分。 例如，一个下游客户可以从在同一分区中运行的另一个租户实例运行 F5 高级 Web应用防火墙TM (WAF) 或 BIG-IP® 高级防火墙管理器TM (AFM) 来保护其应用，而另一个客户可能正在运行 F5 BIG-IP 访问策略管理器 (APM) 来为其网络服务提供访问控制和身份验证。

安全性融入了 VELOS 的各个方面。 在 VELOS 设计和开发期间，F5 产品开发和安全团队检查并执行了所有攻击面的威胁建模——这是 F5 历史上最全面的安全评估。

机箱分区是 F5 提供的多租户解决方案之一。 机箱分区允许客户在单个刀片级别创建分区，将刀片组合在一起以提供单一管理实体。 每个机箱分区都有自己的管理堆栈和数据网络连接，从而隔离托管在每个不同分区上的租户。

F5OS 平台层通过利用安全上下文约束 (SCC) 配置文件和安全计算 (seccomp) 模式，在机箱分区内运行的应用与底层硬件之间提供隔离。 此外，默认的安全增强型 Linux (SELinux) 设置将限制租户服务对主机资源的访问。 身份验证和用户管理通过创建单独的机箱管理员、分区管理员和租户管理员角色来限制应用访问。 建立在只读文件系统上的主机层进一步防止了任何租户的突破。

可信平台模块 (TPM) (ISO/IEC 11889) 是安全加密处理器的国际标准，它是一种专用微控制器，旨在通过集成加密密钥来保护硬件。 F5 使用 TPM 2.0 芯片组、Linux 可信启动 (tboot) 和 Intel TXT 技术实现 TPM 保管链和证明。 每次系统启动时，TPM 芯片都会执行某些测量。 这些测量包括对大多数 BIOS 代码、BIOS 设置、TPM 设置、tboot、Linux 初始 RAM 磁盘 (initrd) 和 Linux 内核（初始 VELOS 版本仅验证 BIOS）进行哈希计算，以便无法轻易生成被测模块的替代版本，并且哈希计算会导致相同的测量结果。 您可以使用这些测量值来验证已知的良好值。

两个系统控制器以及所有刀片（BX110）均配有 TPM 2.0 芯片组。 对于初始 VELOS 版本，本地证明在启动时自动完成，并可在命令行界面 (CLI) 中显示。 未来F5将增加远程证明以及Linux内核和initrd的证明功能。

管理员可以通过启用设备模式进一步锁定 VELOS 系统。 设备模式是专门针对联邦和金融安全要求设计的安全模型。 设备模式删除了对底层系统 shell 的访问，使得脚本执行更加困难。 对底层系统根帐户的访问权限也被删除，以强制所有用户通过身份验证系统。  在 VELOS 中，可以为 F5OS 平台层以及所配置的每个租户启用设备模式。  管理员可以在系统控制器级别、为每个机箱分区和每个租户启用设备模式。 此模式由每个级别的配置选项控制，而不是由许可证控制，就像某些 VIPRION 环境中的情况一样。

回顾一下，最突出的平台安全功能是：

• 使用底盘隔板在底盘内进行分离和隔离
• 机箱分区隔离，限制特定用户组访问
• 通过可信平台模块 (TPM) 实现硬件安全
• 设备模式，可防止脚本执行和 root 攻击
• 签名验证，仅允许使用 F5 签名的软件映像

这些功能可保护平台层免受外部威胁。 租户本身有自己的安全子系统。

对于多租户功能来说，在租户之间提供隔离就成为首要关注的问题。 在同一设备上托管多个租户的服务提供商和企业客户都需要隔离不同租户拥有的资源。 F5 通过提供多层安全配置来确保租户到租户的安全。

仅可部署 F5 可信租户服务，例如 BIG-IP Local Traffic ManagerTM (LTM)、BIG-IP DNS (GTM) 和 BIG-IP Advanced WAF（API 安全 - 新一代 WAF） ，从而最大限度地减少威胁面。 签名验证有助于授权F5服务映像的下载和安装。 如果签名验证失败，软件安装将终止，从而消除了恶意活动试图错误配置资源的风险。

通过利用各种安全机制（例如 SCC 配置文件和 seccomp 模式）实现租户与主机层资源（例如进程、网络和文件系统）之间的隔离。 每个租户都有唯一的租户ID，用于流量隔离。 租户寻址、IP 表配置和广播域隔离共同作用，强制实施租户隔离。

每个租户提供基于角色的访问控制 (RBAC) 系统来控制用户对密钥、应用、安全策略、审计日志、防火墙规则等的访问。 这意味着可以将特定租户分配给单独的下游客户或业务部门，他们的凭证也保持独立。 当以这种方式部署租户时，受损的用户帐户将只与单个特定租户隔离。 每个租户在容器化环境中运行 TMOS 操作系统的一个实例，因此在安全性方面领先于 vCMP 客户机。 要点包括：

• 签名验证仅允许 F5 签名的软件映像
• MACVLAN 接口封装刀片间租户流量，限制同一刀片上不同租户之间的流量可见性
• 通过平台层隔离租户，实现对分区管理员和租户管理员的不同访问
• Seccomp 容器安全
• 对所有应用服务实施 SELinux 政策

这些安全控制措施结合起来，为租户提供多层次的安全保障。

新的 F5OS 平台层与带内流量网络和 VLAN 完全隔离。 它是故意隔离的，以便只能通过带外管理网络访问。 事实上，系统控制器或机箱分区都没有分配带内 IP 地址；只有租户才拥有带内管理 IP 地址和访问权限。

这使得客户可以运行安全、锁定的带外管理网络，并且访问受到严格限制。 下图显示了通过系统控制器进入机箱的带外管理访问，它们为机箱分区和租户提供连接。 然后，该带外网络在机箱内进行扩展，以用于管理目的。 请注意，所有带内寻址都在租户本身上，而不是在 F5OS 平台层上。

每个机箱分区都是一个独特的实体，拥有自己的一组（本地/远程）用户和身份验证。 它通过专用的带外 IP 地址进行管理，具有自己的 CLI、GUI 和 API 访问权限。 机箱分区可以专用于特定组，并且该组的成员只能访问他们的分区。 他们将无法访问系统中的其他机箱分区。 这是 VIPRION 所不具备的隔离级别。 以下是一些示例。 您可以在不同的机箱分区之间设置服务链，但它们在机箱内是如此隔离，因此您需要提供外部连接才能将它们链接在一起。

除了管理访问完全隔离且唯一之外，带内网络也配置并完全包含在机箱分区内。 每个机箱分区都有自己的一组网络组件，例如端口组、VLAN、链路聚合组 (LAG) 和接口。 这意味着一个机箱分区内的网络无法从另一个机箱分区访问或查看。

网络层的隔离也是通过位于双系统控制器中的集中式交换结构来强制实施的。 在 VELOS 系统中，每个刀片都有多个连接到集中式交换结构，以实现冗余和增加带宽。 每个 BX110 刀片有 2 个 100Gb 背板连接（每个系统控制器一个），它们在 LAG 中绑定在一起。 这种星型拓扑结构在所有刀片之间提供了快速、可靠的背板连接，同时还允许在网络层实现完全隔离。

创建机箱分区时，管理员将分配一个或多个刀片，然后将其与机箱中的所有其他刀片隔离。 集中式交换结构自动配置基于端口的 VLAN 和 VLAN 标记，以强制机箱分区之间的隔离。 下图直观地展示了这一机制是如何实施的。

为了说明机箱分区是如何隔离的，下图显示了两个 VELOS 机箱，每个机箱都有多个机箱分区。 由于没有带内网络资源共享，每个机箱分区必须具有自己的到带内网络的网络连接，并实现两个机箱之间的高可用性互连。 无法访问机箱分区之间的接口、VLAN 或 LAG。

随着组织采用基于微服务的应用部署策略来更好地利用资源和实现端到端自动化和编排，他们将必须评估这些策略如何与多租户要求相结合以及如何维护总体安全性。 F5 的现代架构提供了独特的、高性能的、基于微服务的解决方案，可满足安全性和多租户的需求。

F5 了解基于微服务的环境中安全性的重要性。 F5 对平台和网络连接进行了广泛的威胁模型评估，形成了基于纵深防御策略和主动安全态势的安全模型。 VELOS 结合平台层隔离、机箱分区和集中式交换结构方法，在多租户环境中提供应用之间的隔离。