Navegando por la consola
Acceso a la Consola
El usuario y la contraseña por defecto son admin.
Por favor, consulta la primera sección Fundamentos → Conectar al Gestor para opciones de configuración como desactivar https, acceder a la consola a través de un firewall corporativo que no permite el puerto 8443, o reemplazar el certificado autofirmado.
Menús y Navegación
Utiliza el menú del lado izquierdo para navegar en tu SUSE® Security consola. Ten en cuenta que hay configuraciones adicionales en la parte superior derecha para el Perfil de Usuario y la configuración de Multi-Clúster.
Consola
El panel de control muestra un resumen de las puntuaciones de riesgo, eventos de seguridad y protocolos de aplicación detectados por SUSE® Security. También muestra detalles de algunos de estos eventos de seguridad. Se pueden generar informes en PDF desde el panel de control que contienen gráficos detallados y explicaciones.
En la parte superior del panel hay un resumen de los riesgos de seguridad en el clúster. La herramienta de llave inglesa junto a la puntuación de riesgo general se puede hacer clic para abrir un asistente que te guiará a través de los pasos recomendados para reducir/mejorar la puntuación de riesgo. Pasar el ratón sobre cada medidor de riesgo proporcionará una descripción a la derecha y cómo mejorar la puntuación de riesgo. También consulta la sección de documentación separada Mejorando la Puntuación de Riesgo de Seguridad.
-
Puntuación de Riesgo de Seguridad General. Este es un resumen ponderado de las áreas de riesgo individuales resumidas a la derecha, incluyendo la exposición del Servicio, la exposición de Ingreso/Salida y los riesgos de explotación de Vulnerabilidades. Haz clic en la llave inglesa para mejorar la puntuación.
-
Puntuación de Riesgo de Exposición del Servicio. Este es un indicador de cuántos servicios están protegidos por reglas de lista blanca y funcionando en modo Monitor o Proteger, donde el riesgo es más bajo. Una alta proporción de servicios en modo Descubrir significa que estos servicios no están segmentados o aislados por reglas de lista blanca.
-
Puntuación de Riesgo de Ingreso/Egreso. Este es un resumen ponderado de amenazas reales o violaciones de red detectadas en conexiones de ingreso o egreso (fuera del clúster), combinado con conexiones de ingreso/egreso permitidas. Las conexiones externas que están protegidas por reglas de lista blanca tienen un riesgo menor, pero aún pueden ser atacadas por ataques de red incrustados. Nota: Una lista de IPs de ingreso y egreso se puede descargar desde la sección de detalles de Ingreso/Egreso como un Informe de Exposición.
-
Puntuación de Riesgo de Explotación de Vulnerabilidades. Este es el riesgo de explotación de vulnerabilidades en contenedores en ejecución. Los servicios en modo Descubrir con vulnerabilidades de alta criticidad tendrán el mayor impacto en la puntuación, ya que son de mayor riesgo. Si los servicios están en Monitor o Proteger pero aún tienen vulnerabilidades altas, están protegidos por reglas de red y de proceso para identificar (y bloquear) actividades sospechosas, por lo que tendrán un menor peso en la puntuación. Se mostrará una advertencia si el botón de Auto-escaneo no está habilitado para el escaneo automático en tiempo de ejecución.
Algunos de los gráficos son interactivos, como se muestra a continuación con las flechas verdes.
Algunos de los datos de eventos mostrados en el panel de control tienen límites, como se describe en la sección de Informes.
Protocolos de Aplicación Detectados Este gráfico resume los protocolos de aplicación detectados en conexiones en vivo en el clúster. La categoría ‘Other’ significa cualquier protocolo HTTP no reconocido o conexiones TCP en bruto. Puedes alternar entre los niveles de Cobertura de Aplicación y Volumen de Aplicación.
-
La Cobertura de Aplicación es el número de conversaciones únicas de pod a pod detectadas entre servicios de aplicación. Por ejemplo, si el pod de servicio A se conecta al pod de servicio B utilizando HTTP, eso es una única HTTP ‘conversation’, pero todas las conexiones entre A y B cuentan como una conversación.
-
El volumen de la aplicación es la actividad de red medida en Gbytes para todos los servicios que utilizan ese protocolo.
Actividad de red
Esto proporciona un mapa gráfico de tus contenedores y las conversaciones entre contenedores. También muestra conexiones con otros recursos locales y externos. En los modos Monitor y Proteger, las violaciones se muestran con líneas rojas o amarillas para indicar que se ha detectado una violación.
|
Si hay un gran número de contenedores o servicios presentes, la vista se ajustará automáticamente a una vista de espacio de nombres (colapsada). Haz doble clic en un icono de espacio de nombres para expandirlo. |
|
Esta visualización utiliza una GPU local si está disponible para acelerar los tiempos de carga. Algunas GPU de Windows tienen problemas conocidos, y el uso de la GPU se puede desactivar en la ventana de Filtro Avanzado (ver más abajo para Herramientas). |
Algunas de las acciones posibles son:
-
Función de búsqueda para ayudarte a localizar rápidamente objetos específicos por su nombre completo o exacto. Puedes ir a Directiva > Grupos para localizar:
-
Pods o contenedores
-
Nodos
-
Grupos
-
-
Mover objetos para ver mejor los servicios y las conversaciones
-
Haz clic en cualquier línea (flecha) para ver más detalles como protocolo/puerto, la última marca de tiempo, y para añadir o editar una regla (NOTA: ambos puntos finales de conexión deben estar completamente expandidos haciendo doble clic en cada uno para ver los detalles de la conexión)
-
Haz clic en cualquier contenedor para ver detalles, y el ‘i’ para conexiones en tiempo real. También puedes poner en cuarentena un nodo desde aquí. Haz clic derecho en un contenedor para realizar acciones.
-
Filtra la vista por protocolo, o busca por espacio de nombres, grupo, contenedor (parte superior derecha). Puedes añadir múltiples filtros a la caja de selección.
-
Actualiza el mapa para mostrar las últimas conversaciones.
-
Acércate/aleja para alternar entre una vista lógica (todos los contenedores colapsados en un grupo de servicio) o una vista física (todos los contenedores del mismo servicio mostrados)
-
Activa/desactiva la visualización de componentes de orquestación como equilibradores de carga (por ejemplo, integrados para Kubernetes o Swarm)
-
(Icono de Service Mesh) Haz doble clic para expandir un pod en un service mesh como Istio/Linkerd2 para mostrar el contenedor sidecar y los contenedores de carga de trabajo dentro del pod.
|
Los nombres de grupo en la vista de Actividad de Red están acortados para facilitar la lectura. Los nombres acortados no son buscables. Para encontrar un grupo, utiliza el nombre completo que aparece bajo Directiva > Grupos. Por ejemplo:
* Mostrado en Actividad de Red: Solo el nombre completo, |
El menú Herramientas en la parte superior izquierda tiene estas funciones, de izquierda a derecha:
-
Acercar/alejar
-
Buscar característica
-
Restablecer las visualizaciones de iconos (si los has movido)
-
Abrir la ventana de Filtro Avanzado (los filtros permanecen para la sesión de inicio de usuario)
-
Mostrar/Ocultar la Leyenda
-
Tomar una captura de pantalla
-
Actualizar la visualización de Actividad de Red
Hacer clic derecho en un contenedor muestra las siguientes acciones:
Puedes ver las sesiones activas, iniciar grabaciones de captura de paquetes y poner en cuarentena desde aquí. También puedes cambiar el modo de protección general para el servicio (todos los contenedores de ese servicio) aquí. Las opciones de expandir/colapsar te permiten simplificar o expandir los objetos.
Los datos en el mapa pueden tardar unos segundos después de la actividad de red en mostrarse.
Consulta la explicación de los iconos de la Leyenda al final de esta página.
Activos
Activos muestra información sobre Plataformas, Nodos, Contenedores, Registros, Verificadores de Sigstore (utilizados en las reglas de Control de Admisión) y Componentes del Sistema (SUSE® Security Controladores, Escáneres y Ejecutores).
SUSE® Security incluye una plataforma de gestión de vulnerabilidades de extremo a extremo que puede integrarse en tu proceso automatizado de CI/CD. Escanea registros, imágenes y contenedores en ejecución y nodos anfitriones en busca de vulnerabilidades. Los resultados para registros, nodos y contenedores individuales se pueden encontrar aquí, mientras que los resultados combinados y los informes avanzados se pueden encontrar en el menú Riesgos de Seguridad.
SUSE® Security también ejecuta automáticamente el informe de seguridad de Docker Bench y el Benchmark de Kubernetes CIS (si corresponde) en cada host y contenedores en ejecución.
Ten en cuenta que el estado de todos los contenedores se muestra en Activos → Contenedores, lo que indica el modo de protección SUSE® Security (Descubrir, Monitor, Proteger). Si el contenedor se muestra en un estado de 'Salida', todavía está en el host pero está detenido. Eliminar el contenedor lo sacará de un estado de Salida.
Consulta la sección Escaneo y Cumplimiento para obtener detalles adicionales, incluyendo cómo usar el complemento de Jenkins SUSE® Security Escáner de Vulnerabilidades.
Directiva
Esto muestra y gestiona la Directiva de Seguridad en tiempo de ejecución que determina qué comportamiento de red de contenedores, procesos y aplicaciones del sistema de archivos está PERMITIDO y DENEGADO. Cualquier conversación y actividad que no esté explícitamente permitida se registra como violaciones por SUSE® Security. Este es también el lugar donde se pueden crear reglas de Control de Admisión.
Consulta la sección de Directiva de Seguridad de esta documentación para una explicación detallada del comportamiento de las reglas y cómo editar o crear reglas.
Riesgos de Seguridad
Esto permite una investigación, triaje e informe de gestión de vulnerabilidades y cumplimiento personalizables. Investiga fácilmente las vulnerabilidades de las imágenes y descubre qué nodos o contenedores contienen esas vulnerabilidades. El filtrado avanzado facilita la revisión de los resultados de los escaneos y las comprobaciones de cumplimiento, y proporciona informes personalizados.
Estos menús combinan los resultados de los escaneos de vulnerabilidades y comprobaciones de cumplimiento de registro (imagen), nodo y contenedor para permitir una gestión e informe de vulnerabilidades de extremo a extremo.
Notificaciones
Aquí es donde puedes ver los registros de Eventos de Seguridad, Informes de Riesgo (por ejemplo, Escaneos) y Eventos generales. SUSE® Security también soporta SYSLOG para la integración con herramientas como SPLUNK, así como notificaciones por webhook.
Security Events
Utiliza la búsqueda o el Filtro Avanzado para localizar eventos específicos. El widget de línea de tiempo en la parte superior también se puede ajustar utilizando los círculos izquierdo y derecho para cambiar la ventana de tiempo. También puedes añadir fácilmente reglas (Política de Seguridad) para permitir o denegar el evento detectado seleccionando el botón Revisar Regla y desplegando una nueva regla.
SUSE® Security monitoriza continuamente todos los contenedores en busca de ataques conocidos como DNS, DDoS, HTTP-smuggling, tunneling, etc. Cuando se detecta un ataque, se registra aquí y se bloquea (si el contenedor/servicio está configurado para proteger), y el paquete se captura automáticamente. Puedes ver los detalles del paquete, por ejemplo:
Se ha violado la Regla de Denegación Implícita
Las violaciones son conexiones que violan las Reglas de lista blanca o coinciden con una Regla de lista negra. Las violaciones detalladas son capturadas y las IPs de origen pueden ser investigadas más a fondo.
Otros eventos de seguridad incluyen escaladas de privilegios, procesos sospechosos o actividad anormal del sistema de archivos detectada en contenedores o hosts.
Informes de Riesgo
Los escaneos de registro, escaneos en tiempo de ejecución y eventos de control de admisión se mostrarán aquí. Además, se mostrarán los resultados de los benchmarks CIS y las comprobaciones de cumplimiento.
Por favor, consulta la sección de Informes para más detalles y límites de la visualización de eventos en la consola.
Settings (Configuración posterior al failback)
Configuraciones → Usuarios y Roles
Añadir otros usuarios aquí. A los usuarios se les puede asignar un rol de Administrador, un rol de Solo lectura o un rol personalizado. En Kubernetes, se pueden asignar a los usuarios uno o más espacios de nombres para acceder. Los roles personalizados también se pueden configurar aquí para que los usuarios y Grupos (por ejemplo, LDAP/AD) se asignen a los roles. Consulta la sección usuarios para detalles de configuración.
Configuraciones → Configuración
Configura un nombre de clúster único, un nuevo modo de servicios y otras configuraciones aquí.
Si se despliega en un clúster de Rancher u OpenShift, se puede habilitar la autenticación para que los usuarios de Rancher o OpenShift puedan iniciar sesión en la consola SUSE® Security con los RBAC asociados. Para los usuarios de Rancher, un botón/enlace de conexión desde la consola de Rancher permite a los administradores de Rancher abrir y acceder directamente a la consola SUSE® Security.
El Nuevo Modo de Servicio establece qué modo de protección se asignará por defecto a cualquier nuevo servicio (aplicaciones) previamente desconocido o no definido en SUSE® Security. Para entornos de producción, no se recomienda establecer esto en Descubrir.
El Modo de Política de Servicio de Red, si se habilita, aplica el modo de política seleccionado globalmente a las reglas de red para todos los grupos, y el modo de política individual de cada Grupo solo se aplicará a las reglas de proceso y archivo.
El Promoción Automatizada de Modos de Grupo promueve automáticamente el Modo de protección de un Grupo (de Descubrir a Monitorizar a Proteger) basado en el tiempo transcurrido y criterios.
La Eliminación Automática de Grupos No Utilizados es útil para la 'limpieza' automatizada de los grupos descubiertos (y las reglas auto-creadas para) que ya no están en uso, especialmente en entornos de desarrollo de alta rotación. Consulta la Política → Grupos para la lista de grupos en SUSE® Security. Eliminar Grupos no utilizados limpiará la lista de Grupos y todas las reglas asociadas a esos grupos.
El X-FORWARDED-FOR habilita/deshabilita el uso de estos encabezados en la aplicación de las reglas de red SUSE® Security. Esto es útil para retener la IP de origen original de una conexión de ingreso para que pueda ser utilizada en la aplicación de reglas de red. Habilitar significa que la IP de origen será retenida. Vea a continuación una explicación detallada.
Se pueden configurar múltiples webhooks para ser utilizados en Reglas de Respuesta para notificaciones personalizadas. Las opciones de formato de webhook incluyen Slack, JSON y pares clave-valor.
Se puede configurar un Proxy de Registro si la conexión de escaneo de su registro entre el controlador y el registro debe pasar a través de un proxy.
Configure la integración de SIEM a través de SYSLOG, incluyendo tipos de eventos, puerto, etc. También puede elegir enviar eventos a los registros del pod del controlador en lugar de o además de syslog. Tenga en cuenta que estos eventos solo se enviarán al registro del pod del controlador principal (no a todos los registros de pods de controladores en un despliegue de múltiples controladores).
Se puede establecer una integración con IBM Security Advisor y QRadar.
Importar/Exportar el archivo de Política de Seguridad. También puede configurar SSO para SAML y LDAP/AD aquí. Consulte la sección de Integración Empresarial para detalles de configuración. ¡Importante! Tenga cuidado al importar el archivo de configuración. La importación sobrescribirá la configuración existente. Si importa un archivo ‘policy only’, los grupos y reglas de la política se sobrescribirán. Si importa un archivo con configuraciones ‘all’, entonces la política, usuarios y configuraciones se sobrescribirán. Tenga en cuenta que la contraseña original del usuario ‘admin’ de su Controlador actual también será sobrescrita con la contraseña del administrador original en el archivo importado.
El Informe de Uso y las exportaciones de Registro de Recopilación pueden ser solicitados por su equipo de soporte SUSE® Security.
Detalles del Comportamiento de X-FORWARDED-FOR
En un clúster de Kubernetes, una aplicación puede ser expuesta al exterior del clúster mediante servicios NodePort, LoadBalancer o Ingress. Estos servicios suelen reemplazar la IP de origen mientras realizan el NAT de origen (SNAT) en los paquetes. Como la IP de origen original está enmascarada, esto impide que SUSE® Security reconozca que la conexión proviene realmente de 'externo'.
Para preservar la dirección IP de origen original, el usuario necesita añadir la siguiente línea a los servicios expuestos, en la sección 'spec' del balanceador de carga o controlador de ingreso que enfrenta al exterior. (Ref: https://kubernetes.io/docs/tutorials/services/source-ip/)
"externalTrafficPolicy":"Local"Muchas implementaciones de servicios LoadBalancer y controladores de ingreso añadirán la línea X-FORWARDED-FOR al encabezado de la solicitud HTTP para comunicar la verdadera IP de origen a las aplicaciones de backend. Este producto puede reconocer este conjunto de encabezados HTTP, identificar la IP de origen original y hacer cumplir la política de acuerdo con ello.
Esta mejora creó algunos problemas inesperados en algunas configuraciones. Si la línea anterior ha sido añadida a los servicios expuestos y las políticas de red de SUSE® Security han sido creadas de tal manera que esperan que las conexiones de red provengan de servicios de proxy/ingreso internos, dado que ahora identificamos que las conexiones son de "externo" al clúster, el tráfico normal de la aplicación podría activar alertas o ser bloqueado si las aplicaciones están en modo "Proteger".
Hay un interruptor disponible para desactivar esta función. Desactivarlo indica a SUSE® Security que no identifique que la conexión es de "externo" utilizando encabezados X-FORWARDED-FOR. Por defecto, esto está habilitado, y el encabezado X-FORWARDED-FOR se utiliza en la aplicación de políticas. Para desactivarlo, ve a Configuración → Configuración, y desactiva la opción "Coincidencia de políticas basada en X-Forwarded-For".
Configuración → LDAP/AD, SAML y OpenID Connect
SUSE® Security admite la integración con LDAP/AD, SAML y OpenID Connect para SSO y mapeo de grupos de usuarios. Consulta la sección Integración Empresarial para detalles de configuración.
Gestión de Múltiples Clústeres
Puedes gestionar múltiples SUSE® Security clústeres (por ejemplo, múltiples clústeres de Kubernetes ejecutando SUSE® Security en diferentes nubes o en local) seleccionando un clúster Maestro y uniendo clústeres remotos a ellos. Cada clúster remoto también puede ser gestionado individualmente. Las reglas de seguridad pueden ser propagadas a múltiples clústeres mediante el uso de configuraciones de Políticas Federadas.
Descripciones de iconos en la Leyenda > Actividad de Red
Puedes activar/desactivar la leyenda en la caja de herramientas del mapa de actividad de red.
Aquí está lo que significan los iconos:
Red externa
Esto es cualquier red fuera del clúster SUSE® Security. Esto podría incluir acceso público a internet u otras redes internas.
Grupo/Contenedor/Malla de Servicios en descubrimiento
Este contenedor está en modo Descubrimiento, donde se aprenden las conexiones hacia/desde él y se crearán automáticamente reglas de lista blanca.
Grupo/Contenedor/Malla de Servicios siendo monitorizados
Este contenedor está en modo Monitor, donde se registrarán las violaciones pero no se bloquearán.
Grupo/Contenedor/Malla de Servicios siendo protegidos
Este contenedor está en modo Protección, donde se bloquearán las violaciones.
Grupo de Contenedores
Esto representa un grupo de contenedores en un servicio. Utiliza esto para proporcionar una vista más abstracta si hay muchas instancias de contenedores para un servicio/aplicación (es decir, de la misma imagen).
Contenedor no gestionado
Este contenedor ha sido detectado pero no está en un nodo con un SUSE® Security aplicador en él. Esto también podría representar algunos servicios del sistema.
Conversación con advertencia
Una conexión que ha generado una alerta de violación se muestra en rojo más claro.