用紅帽OpenShift實現集裝箱安全自動化
容器化環境帶來了相對獨特的安全挑戰,包括在所有吊艙和容器在(和跨)節點內上下移動時跟蹤它們。這些吊艙產生了大量的東西網絡流量-而且它的流量尤其難以被看到(因此,要確保連接在利用或***中不起積極作用,這是一個挑戰)。與此同時,許多企業都在使用開源軟件,漏洞不斷被發現.由於集裝箱化環境的動態性,人工安全方法無法滿足要求,必須制定自動化的安全規則。
傳統安全工具,如主機安全和Web應用程序防火墻(WAFS)也對集裝箱運輸視而不見,對集裝箱***沒有什麽好處。OpenShift和Kubernetes在運行時面臨許多類型的漏洞的風險,這些漏洞需要在第7層(查看數據包和協議以提供驗證)或在POD和主機進程中檢測。為了滿足這些需求,NeuVector構建了一個集裝箱防火墻這是一個容器本身,因此,可以像應用程序容器一樣使用OpenShift自動部署和更新,並適合於CI/CD過程。當部署到每個OpenShift工作者節點時,NeuVector工具可以檢查容器流量,查找正在運行的容器,並構建經過審核的通信量的白名單,以保護這些容器。這包括針對常見***、***和基於第7層網絡的應用程序隔離的自動威脅檢測.Image title
NeuVector與RedHatOpenShift平臺集成,簡化了OpenShift這些高級自動化安全特性的實現。這還包含了幾個具體和有用的特性,包括:
圖像漏洞掃描,通過OpenShift啟用強制執行
使用Jenkins插件,NeuVector工具可以在構建過程中掃描圖像,然後在檢測到漏洞的地方分配標記。OpenShift具有基於這些標記控制容器部署的功能。因此,OpenShift能夠聰明地識別和防止部署易受***的容器,同時允許那些安全的容器通過NeuVector的掃描和標記進行部署。
自動本地註冊表圖像掃描
當圖像被推送到本地OpenShift註冊中心時,NeuVector會執行自動掃描,以確定這些圖像是否包含任何漏洞。這些掃描可以定制以滿足某些首選項,例如只檢查特定選擇的目錄。
基於角色的訪問控制(RBAC)
Image title
OpenShift中配置的RBAC將被自動讀取並映射到NeuVector中。可以利用現有用戶及其角色和權限輕松地控制對NeuVector控制臺和API的訪問。通過這種方式,可以設置和限制訪問,使特定用戶能夠根據需要了解網絡連接和安全事件,從而使其具有所需的範圍。例如,具有項目訪問權限的開發人員可以獲得這種可見性的只讀訪問權,而集群管理員則可以訪問NeuVector中的每個項目,以便他們能夠正確地管理和檢查安全策略。
運行時安全策略規則
使用NeuVector,可以自動創建有效隔離應用程序網絡通信量和容器進程的策略規則。使用NeuVectorRESTAPI,規則可以通過編程方式設置並與OpenShift部署管道集成。NeuVector策略規則集還可以使用OpenShift標識符,例如項目名稱(名稱空間)、標簽等。
通過將NeuVectorandOpenShift集成,OpenShift平臺提供的內置安全特性也可以擴展到無縫地自動化運行時安全性,從而在基於容器的部署的整個生命周期內實現有效的保護。
用紅帽OpenShift實現集裝箱安全自動化