容器安全之NeuVector初体验

NeuVector简介

NeuVector是一款开源容器网络安全平台，其主要功能如下：

部署要求（注意：部署前请设置好最高使用资源限制）：

利用Rancher单集群部署NeuVector

备注：rancher搭建可以参考官方文档https://rancher.com/docs/rancher/latest/zh/

1.创建命名空间neuvector

实验环境为4nodes，设置命名空间资源最高限制，（8C8GB）

rancher创建命名空间neuvector，并做好资源限制

2.打开rancher应用商店，搜索neuvector 直接启动

3.稍等片刻，启动完成

功能介绍

1 概览

包括风险评分、暴露pod统计、安全事件统计、漏洞统计、流量统计：

2.网络活动

可视化网络连接图

可设置pod防护策略（学习、观察、保护），支持一键网络隔离

支持网络流量抓包，pcap格式下载

3.资产管理

提供平台、命名空间、主机、容器、就镜像库、系统组件维度的资产管理

在资产管理模块中支持相对应的安全扫描，如镜像扫描、宿主机扫描、容器平台扫描等

4 策略

策略模块主要提供策略配置、资产组管理（组）、网络规则、应对规则、DLP、WAF。

a.准入控制：可依据镜像漏洞情况、镜像仓库来源、容器启动权限等要求，设置容器部署准入权限，限制或监控不符合要求的pod部署启动

b.组：系统默认生成不同维度的组：nodes、containers等，我们可以根据需求创建组，组内统一应用安全策略

c.网络规则：此处可针对上述的组（可以是pod、ns、contains等）配置网络防火墙规则

d.应对规则:针对安全事件、合规事件、注入控制等设置，应对处理规则，包括断网、告警、隔离

e.DLP检测器：自定义规则检测网络流量中是否存在敏感数据

f.WAF检测器：自定义规则检测网络流量中是否存在web攻击

5 安全隐患

此模块记录各类安全扫描结果，包括漏洞、合规扫描等。

6 通知

通知主要有安全事件、风险报告、事件，其中安全事件为容器运行时事件；风险报告为安全扫描报告以及基础监控告警；事件为NeuVector平台日志。

7 设置

设置包括用户角色管理、第三方登录设置、系统配置

系统配置：可对默认策略进行配置、系统日志收集配置、以及多集群使用配置等

多集群统一管理

1.多集群配置

a.集群管理可选择接入主机群、也可以成为主集群

b.升级主集群，对外提供11443端口通信

c.生成令牌

d.子集群加入到集群管理

加入成功

2.多集群管理功能

a.支持切换集群，实现统一入口管理多个集群NuaVector控制台

b.集群全局策略管理

事件统一订阅案例

下面举例如何统一订阅所有集群安全事件

1.编写测试webhook，接受事件推送

from flask import Flask, request

app = Flask(__name__)

@app.route('/webhook', methods=['POST'])
def webhook():
body = request.get_data().decode('utf-8')
print('Received webhook body:', body)
return 'Webhook received successfully'

if __name__ == '__main__':
app.run(host='0.0.0.0', port=5000)

2.通过配置webhook获取全集群事件

3.指定监听事件

4.配置事件推送

5.启动webhook脚本，完成事件监听

以上是NeuVector集群事件推送的方法，在日常运营中我们可以推送到SIEM等安全平台，进行统一事件管理。

总结