Unternehmensintegration

Integration

SUSE® Security bietet mehrere Integrationsoptionen, einschließlich einer REST-API, CLI, Syslog, RBAC, SAML, LDAP und Webhooks. Für Beispiele zur Automatisierung von Aufgaben mit der REST-API siehe den Automatisierung Abschnitt.

SUSE® Security integriert sich auch mit Partnern im Ökosystem wie Sonatype (Nexus Lifecycle), IBM Cloud (QRadar und Security Advisor) und Prometheus/Grafana. Viele Integrationen sind im NeuVector GitHub-Repository verfügbar.

Die folgenden Integrationseinstellungen sind in der SUSE® Security Benutzeroberfläche unter Einstellungen verfügbar.

OpenShift und Kubernetes RBAC

Aktivieren Sie diese Option, wenn Sie die rollenbasierte Zugriffskontrolle (RBAC) von Red Hat OpenShift verwenden und möchten, dass SUSE® Security diese Berechtigungen automatisch liest und durchsetzt.

Wenn aktiviert:

  • OpenShift-Benutzer können sich mit ihren OpenShift-Anmeldeinformationen in die SUSE® Security Konsole anmelden.

  • Benutzer können nur auf die Ressourcen (Projekte, Container, Knoten usw.) zugreifen, die durch ihre OpenShift-Rolle erlaubt sind.

  • Die Authentifizierung verwendet das OAuth 2.0-Protokoll.

OpenShift

Verwenden Sie nicht die OpenShift AllowAllPasswordIdentityProvider Einstellung. Diese Konfiguration ermöglicht es Benutzern, sich mit jedem Passwort anzumelden, was auch den Zugriff auf SUSE® Security als schreibgeschützter Benutzer erlaubt. Es wird auch ein neuer OpenShift-Benutzer für jede Anmeldung erstellt.

Der Standardbenutzer SUSE® Security Admin und alle direkt in SUSE® Security erstellten Benutzer bleiben aktiv, wenn OpenShift RBAC aktiviert ist.

Vertrauen Sie externen Root-CAs mit Helm.

SUSE® Security kann externen Root-CAs für sichere Verbindungen wie LDAPS, OpenID Connect (OIDC) und Registry-Scanning vertrauen. Diese Funktion ermöglicht eine vertrauenswürdige Kommunikation mit externen Authentifizierungsdiensten und Image-Registries.

Wenn Sie vertrauenswürdige Root-CAs über die SUSE® Security Manager-Benutzeroberfläche konfigurieren, werden die CA-Informationen in der internen Datenbank gespeichert. Es wird kein Kubernetes Secret oder ConfigMap automatisch erstellt. Da Helm die Konfiguration über Kubernetes-Ressourcen verwaltet, kann diese Einstellung standardmäßig nicht über Helm verwaltet werden.

Um vertrauenswürdige Root-CAs mit Helm zu konfigurieren, erstellen Sie ein benutzerdefiniertes ConfigMap, das die CA-Zertifikate bereitstellt und die TLS-Überprüfung aktiviert.

  1. Erstellen Sie eine Überschreibungsdatei.

    Erstellen Sie eine override.yaml Datei, die das CA-Zertifikat und die TLS-Einstellungen enthält:

    controller:
  configmap:
    enabled: true
    data:
      sysinitcfg.yaml: |
        cacerts:
        - -----BEGIN CERTIFICATE-----
          MIID0zCCArugAwIBAgIU...
          -----END CERTIFICATE-----
        enable_tls_verification: true

  2. Stellen Sie SUSE® Security mit Helm bereit.

    Stellen Sie SUSE® Security mit der Überschreibungsdatei bereit.

    helm install neuvector neuvector/core \
  -n neuvector \
  --set manager.svc.type=NodePort,imagePullSecrets=regsecret \
  -f override.yaml

    Nach der Bereitstellung meldet Helm eine erfolgreiche Installation.

  3. Überprüfen Sie die Konfiguration.

    Bestätigen Sie, dass die Konfiguration angewendet wurde, indem Sie das neuvector-init ConfigMap inspizieren:

    kubectl get cm neuvector-init -o yaml

    Überprüfen Sie, ob das CA-Zertifikat und die enable_tls_verification Einstellung in der Ausgabe erscheinen.

    Überprüfen Sie nach der Installation, ob SUSE® Security läuft und zugänglich ist:

    NODE_PORT=$(kubectl get -n neuvector -o jsonpath="{.spec.ports[0].nodePort}" svc neuvector-service-webui)
NODE_IP=$(kubectl get nodes -o jsonpath="{.items[0].status.addresses[0].address}")
echo https://$NODE_IP:$NODE_PORT

    Öffnen Sie die angezeigte URL in einem Browser, um auf die SUSE® Security Manager-Benutzeroberfläche zuzugreifen.

Kubernetes RBAC

Um Kubernetes RBAC manuell für bestimmte Namespaces zu konfigurieren:

  1. Gehen Sie zu EinstellungenBenutzerBenutzer hinzufügen.

  2. Öffnen Sie Erweiterte Einstellungen.

  3. Geben Sie die Namespaces an, auf die der Benutzer in SUSE® Security zugreifen kann.

Kubernetes

Syslog

Konfigurieren Sie die Syslog-Integration, indem Sie die Adresse des Syslog-Servers eingeben und die Benachrichtigungsstufe auswählen. Sie können eine IP-Adresse oder einen DNS-Namen verwenden und entweder UDP oder TCP wählen.

Webhooks

SUSE® Security kann Benachrichtigungen an einen externen Endpunkt über Webhooks senden. Geben Sie die URL des Webhook-Endpunkts an, um Benachrichtigungen zu empfangen.

Sie können Webhook-Benachrichtigungen für benutzerdefinierte Ereignisse unter RichtlinieReaktionsregeln konfigurieren.

Verzeichnis- und SSO-Integration

SUSE® Security unterstützt Verzeichnis- und Single Sign-On (SSO)-Integrationen, einschließlich LDAP, Microsoft Active Directory, SAML und OpenID Connect.

Für Informationen über vordefinierte und benutzerdefinierte Rollen, die während der Integration zugeordnet werden können, siehe Benutzer und Rollen.