随着企业越来越多地受益于红帽OpenShift而容器要在其应用程序部署中实现自动化,同时引入自动化容器安全是很重要的。OpenShift平台本身包含了许多非常有能力的内置安全自动化功能,绝对应该使用这些特性。但是,考虑到自动化运行时安全以防止***和***的关键性质,许多组织和用例也希望使用先进的Kubernetes容器安全特性,这些特性为生产环境提供了更深层次的可见性和安全性。事实上,容器部署与传统环境一样容易受到******和内部威胁。并且,必须执行安全措施来保护全CI/CD容器部署生命周期贯穿构建、发布和运行时阶段。
容器化环境带来了相对独特的安全挑战,包括在所有吊舱和容器在(和跨)节点内上下移动时跟踪它们。这些吊舱产生了大量的东西网络流量-而且它的流量尤其难以被看到(因此,要确保连接在利用或***中不起积极作用,这是一个挑战)。与此同时,许多企业都在使用开源软件,漏洞不断被发现.由于集装箱化环境的动态性,人工安全方法无法满足要求,必须制定自动化的安全规则。
传统安全工具,如主机安全和Web应用程序防火墙(WAFS)也对集装箱运输视而不见,对集装箱***没有什么好处。OpenShift和Kubernetes在运行时面临许多类型的漏洞的风险,这些漏洞需要在第7层(查看数据包和协议以提供验证)或在POD和主机进程中检测。为了满足这些需求,NeuVector构建了一个集装箱防火墙这是一个容器本身,因此,可以像应用程序容器一样使用OpenShift自动部署和更新,并适合于CI/CD过程。当部署到每个OpenShift工作者节点时,NeuVector工具可以检查容器流量,查找正在运行的容器,并构建经过审核的通信量的白名单,以保护这些容器。这包括针对常见***、***和基于第7层网络的应用程序隔离的自动威胁检测.Image title
NeuVector与RedHatOpenShift平台集成,简化了OpenShift这些高级自动化安全特性的实现。这还包含了几个具体和有用的特性,包括:
图像漏洞扫描,通过OpenShift启用强制执行
使用Jenkins插件,NeuVector工具可以在构建过程中扫描图像,然后在检测到漏洞的地方分配标记。OpenShift具有基于这些标记控制容器部署的功能。因此,OpenShift能够聪明地识别和防止部署易受***的容器,同时允许那些安全的容器通过NeuVector的扫描和标记进行部署。
自动本地注册表图像扫描
当图像被推送到本地OpenShift注册中心时,NeuVector会执行自动扫描,以确定这些图像是否包含任何漏洞。这些扫描可以定制以满足某些首选项,例如只检查特定选择的目录。
基于角色的访问控制(RBAC)
Image title
OpenShift中配置的RBAC将被自动读取并映射到NeuVector中。可以利用现有用户及其角色和权限轻松地控制对NeuVector控制台和API的访问。通过这种方式,可以设置和限制访问,使特定用户能够根据需要了解网络连接和安全事件,从而使其具有所需的范围。例如,具有项目访问权限的开发人员可以获得这种可见性的只读访问权,而集群管理员则可以访问NeuVector中的每个项目,以便他们能够正确地管理和检查安全策略。
运行时安全策略规则
使用NeuVector,可以自动创建有效隔离应用程序网络通信量和容器进程的策略规则。使用NeuVectorRESTAPI,规则可以通过编程方式设置并与OpenShift部署管道集成。NeuVector策略规则集还可以使用OpenShift标识符,例如项目名称(名称空间)、标签等。
通过将NeuVectorandOpenShift集成,OpenShift平台提供的内置安全特性也可以扩展到无缝地自动化运行时安全性,从而在基于容器的部署的整个生命周期内实现有效的保护。