Übersicht über die Sicherheitsrichtlinie

Dies bietet die primäre Ansicht von Dienstgruppen und benutzerdefinierten Gruppen, um den Modus (Entdecken, Überwachen, Schützen) für jeden Dienst festzulegen und Regeln zu verwalten. Gruppen werden automatisch von SUSE® Security erstellt, aber benutzerdefinierte Gruppen können hinzugefügt werden. Regeln für jede Gruppe werden automatisch von SUSE® Security erstellt, wenn Container gestartet werden. Containergruppen können einen "Split Policy Mode" haben, bei dem die Prozess-/Dateiregeln in einem anderen Durchsetzungsmodus als die Netzwerkregeln sind, wie hier beschrieben.

Um eine Gruppe auszuwählen, die angezeigt oder verwaltet werden soll, wählen Sie das Kontrollkästchen daneben aus. Hier werden Prozessprofilregeln, Dateizugriffsregeln, DLP und benutzerdefinierte Compliance-Prüfungen verwaltet. Netzwerkregeln können hier angezeigt werden, werden jedoch in einem separaten Menü verwaltet. Netzwerk- und Reaktionsregeln in SUSE® Security werden unter Verwendung eines ‘from’ und ‘to’ Feldes erstellt, das eine Gruppe als Eingabe erfordert. Eine Gruppe kann eine Anwendung sein, die aus Image-Labels, DNS-Name oder anderen benutzerdefinierten Gruppierungen abgeleitet ist. DNS-Subdomains werden unterstützt, z. B. *.foo.com. IP-Adressen oder Subnetze können ebenfalls verwendet werden, was nützlich ist, um den Ein- und Ausgang von nicht-containerisierten Arbeitslasten zu steuern.

Reservierte Gruppennamen, die automatisch von SUSE® Security erstellt werden, umfassen:

Im Menü Gruppen kann auch die "Gruppenrichtlinie exportieren" durchgeführt werden. Dies exportiert die Sicherheitsrichtlinie (Regeln) für die ausgewählten Gruppen als yaml-Datei im Format der SUSE® Security benutzerdefinierten Ressourcen-Definition (CRD), die überprüft und dann in andere Cluster bereitgestellt werden kann.

Beachten Sie, dass der Status der Container einer Gruppe in den Richtlinien → Gruppen → Mitglieder angezeigt wird, was den SUSE® Security Schutzmodus (Entdecken, Überwachen, Schützen) anzeigt. Wenn der Container im Status 'Exit' angezeigt wird, befindet er sich noch auf dem Host, ist jedoch gestoppt. Das Entfernen des Containers entfernt ihn aus dem Exit-Zustand.

Eine Liste von Whitelist- und Blacklist-Regeln für SUSE® Security, die durchgesetzt werden sollen. SUSE® Security kann im Erkennungsmodus automatisch eine Reihe von Whitelist-Regeln entdecken und erstellen. Regeln können bei Bedarf manuell hinzugefügt werden.

SUSE® Security erstellt automatisch Layer 7 (Anwendungsschicht) Whitelist-Regeln im Erkennungsmodus, indem es die Netzwerkverbindungen beobachtet und Regeln erstellt, die Anwendungsprotokolle durchsetzen.

SUSE® Security verfügt auch über eine integrierte Netzwerkangriffserkennung, die jederzeit aktiviert ist, unabhängig vom Modus (Entdecken, Überwachen, Schützen). Die erkannten Netzwerkbedrohungen umfassen DDoS-Angriffe, Tunneling und SQL-Injection. Bitte siehe den Abschnitt Netzwerkregeln für eine vollständige Liste der integrierten Bedrohungserkennung.

DLP (Data Loss Prevention) Regeln können auch auf Containergruppen angewendet werden, um den Netzwerkdatenverkehr auf potenziellen Datendiebstahl oder Datenschutzverletzungen wie unverschlüsselte Kreditkartendaten zu überprüfen. Verstöße können blockiert werden. Bitte siehe den Abschnitt zu DLP für Details zur Erstellung und Anwendung von DLP-Filtern.

SUSE® Security verfügt über eine integrierte Erkennung von verdächtigen Prozessen und Dateiaktivitäten sowie über eine Basistechnologie für Container. Die integrierte Erkennung umfasst Prozesse wie Port-Scanning (z.B. NMAP), Reverse Shell und sogar Privilegieneskalationen zu Root. Systemdateien und -verzeichnisse werden automatisch überwacht. Jeder Dienst, der von SUSE® Security entdeckt wird, erstellt eine Basislinie für das ‘normal’ Prozess- und Dateiverhalten dieses Container-Dienstes. Diese Regeln können bei Bedarf angepasst werden.

Reaktionsregeln ermöglichen es Benutzern, Aktionen zur Reaktion auf Sicherheitsereignisse zu definieren. Ereignisse umfassen Bedrohungen, Verstöße, Vorfälle und Ergebnisse von Schwachstellenscans. Aktionen umfassen Container-Quarantäne, Webhooks und Unterdrückung von Warnungen.

Reaktionsregeln bieten eine flexible, anpassbare Regel-Engine zur Automatisierung von Reaktionen auf wichtige Sicherheitsereignisse.

Zugangssteuerungsregeln erlauben oder blockieren Bereitstellungen. Weitere Details finden Sie in diesem Abschnitt unter Zugangssteuerungsregeln.

Data Loss Prevention (Datenleckschutz) und WAF-Regeln können für jede ausgewählte Containergruppe aktiviert werden. Dies nutzt Deep Packet Inspection, um eine auf regulären Ausdrücken basierende Übereinstimmung auf den Netzwerkdatenverkehr anzuwenden, der die ausgewählte Containergruppe betritt oder verlässt. Integrierte Sensoren für Kreditkarten und US-Sozialversicherungsnummern sind als Beispiele enthalten, und benutzerdefinierte reguläre Ausdrücke können hinzugefügt werden.

Die Migration der Sicherheitsrichtlinie kann durch CRD, REST API oder Import/Export erfolgen. Zum Beispiel können erlernte und benutzerdefinierte Regeln eine CRD-YAML-Datei(en) in einer Staging-Umgebung zur Bereitstellung in der Produktionsumgebung generieren.

Die Sicherheitsrichtlinie für SUSE® Security kann in Einstellungen → Konfiguration exportiert und importiert werden. Es wird empfohlen, alle Konfigurationen vor einem Update von SUSE® Security auf eine neue Version zu sichern.