概覽
傳統的新世代防火牆只能部署在Kubernetes 環境的邊緣,因此無法判斷流量源自哪個特定 Pod。為了克服這個挑戰,CN-Series 容器新世代防火牆部署在 Kubernetes 叢集的每個節點上,以提供其對於容器流量的準確可視性。CN-Series 容器防火牆提供第 7 層的可視性和控制,並可執行進階的安全服務。此一防護可在周遊於 Pod 之間的命名空間邊界的流量 (無論是傳出、傳入或東西向) 中執行,甚至可在如虛擬機器 (VM)和裸機伺服器等容器化應用程式和舊型工作負載之間執行。
您可以使用Kubernetes 協調輕鬆地部署CN-Series 防火牆,以簡化將網路安全整合至持續整合/持續開發(CI/CD) 的程序。CN-Series 防火牆的持續管理會集中於與所有Palo Alto Networks 防火牆相同的管理主控台中,使網路安全團隊能夠透過單一管理平台來管理組織的整體網路安全狀況。
CN-Series 容器防火牆提供
威脅防禦和進階網路安全服務,保護Kubernetes 命名空間邊界
透過Kubernetes 進行的自動化部署和設定,提供流暢的網路安全性
對原生Kubernetes 中繼數據 (例如命名空間) 的可視性,制定以脈絡為基礎的安全政策
透過 Panorama 進行集中管理
CN-Series 的主要功能
無論您的容器環境安全需求為何,CN-Series 都能幫助您解決問題。eNote(ePaper)電子紙筆記本的應用廣泛:
內嵌網路安全可視性與控制
威脅防禦與沙箱:Threat Prevention 和WildFire 服務可在 CN-Series 防火牆上啟用以封鎖入侵、防禦惡意軟體,並阻止任何已知和未知的進階威脅。
外洩防禦和 URL 篩選:CN-Series 可啟用內容檢驗和SSL 解密,防止敏感資訊從您的網路外洩出去。URL Filtering 使用機器學習來分類 URL,並阻止存取傳遞惡意軟體或竊取憑證的惡意網站。自動化可確保隨時保持最新的防禦狀態。
具彈性的標籤式政策模型:包括應用程式、使用者、內容、原生Kubernetes 標籤和其他中繼數據都可定義 CN-Series 防火牆政策,提供具彈性的政策以滿足業務需求。
Kubernetes 的自動化部署與設定
Kubernetes 協調部署:CN-Series 防火牆會以一組系統精靈的形式執行,可從Kubernetes 內部發出單一命令,將防火牆一次部署在叢集的所有節點上。
DevOps 友善的設定:使用者可以在YAML 檔案中指定CN-Series 防火牆的所有設定,並可輕鬆地將其整合至基礎結構部署檔案以進行快速、可重複的部署。
具彈性且一致的 CNI 整合
CN-Series 支援多個容器網路介面(CNI)外掛程式,可在不同的Kubernetes部署類型中使用。
Kubernetes 內部部署和雲端支援
公有雲:CN-Series 防火牆可部署在託管的容器環境中,例如GKE、AKS、Amazon EKS 和 Red Hat OpenShift®。
內部部署:CN-Series 防火牆也可部署至Kubernetes 環境託管的內部部署中。
Panorama 中的集中管理
一致的管理:從Panorama 管理 CN-Series 是針對硬體和虛擬規格 Palo Alto Networks 防火牆所使用的相同管理主控台。
外掛程式架構:用於GKE、AKS、Amazon EKS 和 OpenShift 的Panorama 外掛程式可讓您通過 Panorama 管理各種環境的網路安全。
集中日誌記錄:Panorama 集中日誌記錄可簡化稽核與合規性工作。
CN-Series 使用案例
預防 Kubernetes 環境中的數據外洩
CN-Series 防火牆可提供多種安全功能,防止 Kubernetes 環境中的敏感數據外洩。流量內容檢驗 (包括偵測加密的 SSL 流量) 可確保系統能識別並補救包含惡意承載的封包。URL Filtering 可阻止外傳的連線連接至疑似不法的網站,包括惡意程式碼儲存庫。
防止威脅橫向擴散至 Kubernetes 命名空間邊界
應用程式之間的信任邊界是一種邏輯位置,可執行區隔政策以防止威脅的橫向擴散。在許多的 Kubernetes 環境中,Kubernetes 命名空間就是信任邊界。CN-Series 防火牆可在 Kubernetes 命名空間之間,以及 Kubernetes 命名空間與其他工作負載類型 (例如 VM 和裸機伺服器) 之間執行 Threat Prevention 政策,以阻止威脅在雲端原生應用程式與您的舊型基礎結構之間擴散。
預防已知和未知的傳入威脅
就像許多的應用程式一樣,攻擊者也會使用連接埠來限制以連接埠為基礎的網路安全控制。透過以應用程式為中心的安全政策, CN-Series 防火牆可增強基本的連接埠式存取控制並檢驗網路流量,以確保只有允許的應用程式才能通過開啟的連接埠。
在啟用Paloalto Networks的整合式雲端交付訂閱服務之後,就可以增強安全功能而不會降低生產力。在 CN-Series 防火牆上開啟Threat Prevention 和 WildFire惡意軟體防禦服務,可保護Kubernetes 環境防止任何以檔案為基礎的威脅,包括入侵、惡意軟體、間諜軟體和之前未知的威脅等各種嘗試潛入開啟之連接埠的威脅。此外,可以在部署URL Filtering 和 DNS Security 服務可保護環境不受到 Web 式威脅,包括網路釣魚、命令與控制和數據竊取。


CN-Series 支援表


CN-Series 效能指標


CN-Series CPU&記憶體需求


CN-Series 元件的擴充能力