NeuVector简介
NeuVector是一款开源容器网络安全平台,其主要功能如下:
-
安全扫描包括镜像扫描、主机扫描、平台扫描、基线扫描、合规检查
-
网络防火墙:可视化网络连接接图,支持一键隔离
-
容器运行时安全:基于学习规则、自定义规则对容器运行时进行安全保护
部署要求(注意:部署前请设置好最高使用资源限制):
Component |
# of Instances |
Recommended vCPU |
Minimum Memory |
Notes |
Controller |
min. 1 |
1 |
1GB |
vCPU core may be shared |
Enforcer |
1 per node/VM |
1+ |
1GB |
One or more dedicated vCPU for higher network throughput in Protect mode |
Scanner |
min. 1 |
1 |
1GB |
CPU core may be shared for standard workloads. |
Manager |
min 12+ for HA |
1 |
1GB |
vCPU may be shared |
利用Rancher单集群部署NeuVector
备注:rancher搭建可以参考官方文档https://rancher.com/docs/rancher/latest/zh/
1.创建命名空间neuvector
实验环境为4nodes,设置命名空间资源最高限制,(8C8GB)
类型 |
vCPU |
内存 |
pod数量 |
控制器Controller |
1C |
1GB |
1 |
执行器Enforcer |
1C*4 |
1GB*4 |
4 |
扫描器Scanner |
1*2 |
1GB*2 |
2 |
管理器Manager |
1C |
1GB |
1 |
rancher创建命名空间neuvector,并做好资源限制
2.打开rancher应用商店,搜索neuvector 直接启动
3.稍等片刻,启动完成
功能介绍
1 概览
包括风险评分、暴露pod统计、安全事件统计、漏洞统计、流量统计:
2.网络活动
可视化网络连接图
可设置pod防护策略(学习、观察、保护),支持一键网络隔离
支持网络流量抓包,pcap格式下载
3.资产管理
提供平台、命名空间、主机、容器、就镜像库、系统组件维度的资产管理
在资产管理模块中支持相对应的安全扫描,如镜像扫描、宿主机扫描、容器平台扫描等
4 策略
策略模块主要提供策略配置、资产组管理(组)、网络规则、应对规则、DLP、WAF。
a.准入控制:可依据镜像漏洞情况、镜像仓库来源、容器启动权限等要求,设置容器部署准入权限,限制或监控不符合要求的pod部署启动
b.组:系统默认生成不同维度的组:nodes、containers等,我们可以根据需求创建组,组内统一应用安全策略
c.网络规则:此处可针对上述的组(可以是pod、ns、contains等)配置网络防火墙规则
d.应对规则:针对安全事件、合规事件、注入控制等设置,应对处理规则,包括断网、告警、隔离
e.DLP检测器:自定义规则检测网络流量中是否存在敏感数据
f.WAF检测器:自定义规则检测网络流量中是否存在web攻击
5 安全隐患
此模块记录各类安全扫描结果,包括漏洞、合规扫描等。
6 通知
通知主要有安全事件、风险报告、事件,其中安全事件为容器运行时事件;风险报告为安全扫描报告以及基础监控告警;事件为NeuVector平台日志。
7 设置
设置包括用户角色管理、第三方登录设置、系统配置
系统配置:可对默认策略进行配置、系统日志收集配置、以及多集群使用配置等
多集群统一管理
1.多集群配置
a.集群管理可选择接入主机群、也可以成为主集群
b.升级主集群,对外提供11443端口通信
c.生成令牌
d.子集群加入到集群管理
加入成功
2.多集群管理功能
a.支持切换集群,实现统一入口管理多个集群NuaVector控制台
b.集群全局策略管理
事件统一订阅案例
下面举例如何统一订阅所有集群安全事件
1.编写测试webhook,接受事件推送
from flask import Flask, request
app = Flask(__name__)
@app.route('/webhook', methods=['POST'])
def webhook():
body = request.get_data().decode('utf-8')
print('Received webhook body:', body)
return 'Webhook received successfully'if __name__ == '__main__':
app.run(host='0.0.0.0', port=5000)
2.通过配置webhook获取全集群事件
3.指定监听事件
4.配置事件推送
5.启动webhook脚本,完成事件监听
以上是NeuVector集群事件推送的方法,在日常运营中我们可以推送到SIEM等安全平台,进行统一事件管理。
总结
-
安装和配置:NeuVector的安装和配置相对简单。如果是Rancher管理的集群支持应用市场一键部署。
-
安全扫描:NeuVector提个不同维度安全扫描,包括k8s平台、node节点、pod、镜像等
-
容器运行时保护:NeuVector使用行为学习和行为分析技术来识别并阻止恶意容器活动,如未经授权的网络通信、异常进程、文件篡改和攻击行为。
-
安全策略和规则:NeuVector自带多种安全规则,同事允许用户自定义规则,使用体验十分灵活。
原文始发于微信公众号(德斯克安全小课堂):容器安全之NeuVector初体验
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论