Integración empresarial

Integración

SUSE® Security ofrece múltiples opciones de integración, incluyendo una API REST, CLI, Syslog, RBAC, SAML, LDAP y webhooks. Para ejemplos de automatización de tareas utilizando la API REST, consulta la sección Automatización.

SUSE® Security también se integra con socios del ecosistema como Sonatype (Nexus Lifecycle), IBM Cloud (QRadar y Security Advisor) y Prometheus/Grafana. Muchas integraciones están disponibles en el repositorio de GitHub de NeuVector.

Los siguientes ajustes de integración están disponibles en la interfaz de usuario de SUSE® Security bajo Ajustes.

RBAC de OpenShift y Kubernetes

Habilita esta opción si utilizas el control de acceso basado en funciones (RBAC) de Red Hat OpenShift y deseas que SUSE® Security lea y aplique esos permisos automáticamente.

Cuando está habilitado:

  • Los usuarios de OpenShift pueden iniciar sesión en la consola de SUSE® Security utilizando sus credenciales de OpenShift.

  • Los usuarios solo pueden acceder a los recursos (proyectos, contenedores, nodos, etc.) permitidos por su rol de OpenShift.

  • La autenticación utiliza el protocolo OAuth 2.0.

OpenShift

No utilices la configuración de OpenShift AllowAllPasswordIdentityProvider. Esta configuración permite a los usuarios iniciar sesión con cualquier contraseña, lo que también permite el acceso a SUSE® Security como usuario de solo lectura. También crea un nuevo usuario de OpenShift para cada inicio de sesión.

El usuario predeterminado SUSE® Security Admin y cualquier usuario creado directamente en SUSE® Security permanecen activos cuando está habilitado el RBAC de OpenShift.

Confiar en las CAs raíz externas con Helm

SUSE® Security puede confiar en las Autoridades de Certificación (CAs) raíz externas para conexiones seguras como LDAPS, OpenID Connect (OIDC) y escaneo de registros. Esta capacidad permite una comunicación de confianza con servicios de autenticación externos y registros de imágenes.

Cuando configuras las CAs raíz de confianza a través de la interfaz de usuario del SUSE® Security Manager, la información de la CA se almacena en la base de datos interna. No se crea automáticamente ningún Secret o ConfigMap de Kubernetes. Debido a que Helm gestiona la configuración a través de recursos de Kubernetes, esta configuración no se puede gestionar a través de Helm por defecto.

Para configurar las CAs raíz de confianza utilizando Helm, crea un ConfigMap personalizado que proporcione los certificados de CA y habilite la verificación TLS.

  1. Crea un archivo de anulación.

    Crea un archivo override.yaml que incluya el certificado de CA y la configuración TLS:

    controller:
  configmap:
    enabled: true
    data:
      sysinitcfg.yaml: |
        cacerts:
        - -----BEGIN CERTIFICATE-----
          MIID0zCCArugAwIBAgIU...
          -----END CERTIFICATE-----
        enable_tls_verification: true

  2. Despliega SUSE® Security con Helm.

    Despliega SUSE® Security utilizando el archivo de anulación:

    helm install neuvector neuvector/core \
  -n neuvector \
  --set manager.svc.type=NodePort,imagePullSecrets=regsecret \
  -f override.yaml

    Después del despliegue, Helm informa de una instalación exitosa.

  3. Verifica la configuración.

    Confirma que la configuración se aplica inspeccionando el ConfigMap neuvector-init:

    kubectl get cm neuvector-init -o yaml

    Verifica que el certificado de CA y la configuración enable_tls_verification aparezcan en la salida.

    Después de la instalación, verifica que SUSE® Security esté en funcionamiento y accesible:

    NODE_PORT=$(kubectl get -n neuvector -o jsonpath="{.spec.ports[0].nodePort}" svc neuvector-service-webui)
NODE_IP=$(kubectl get nodes -o jsonpath="{.items[0].status.addresses[0].address}")
echo https://$NODE_IP:$NODE_PORT

    Abre la URL mostrada en un navegador para acceder a la interfaz de usuario del SUSE® Security Manager.

Kubernetes RBAC

Para configurar manualmente Kubernetes RBAC para espacios de nombres específicos:

  1. Ve a ConfiguraciónUsuariosAñadir Usuario.

  2. Abre Ajustes Avanzados.

  3. Especifica los espacios de nombres a los que el usuario puede acceder en SUSE® Security.

Kubernetes

Syslog

Configura la integración de Syslog introduciendo la dirección del servidor Syslog y seleccionando el nivel de notificación. Puedes utilizar una dirección IP o un nombre DNS y elegir entre UDP o TCP.

Webhooks

SUSE® Security puede enviar notificaciones a un punto final externo utilizando webhooks. Especifica la URL del punto final del webhook para recibir notificaciones.

Puedes configurar notificaciones de webhook para eventos personalizados en DirectivaReglas de Respuesta.

Integración de Directorio y SSO

SUSE® Security admite integraciones de directorio y de inicio de sesión único (SSO), incluyendo LDAP, Microsoft Active Directory, SAML y OpenID Connect.

Para información sobre roles predefinidos y personalizados que pueden ser asignados durante la integración, consulta Usuarios y Roles.