Restaurando SUSE® Security la configuración

Restaurando SUSE® Security la configuración

Puedes restaurar SUSE® Security la configuración anterior aplicando un archivo de configuración de copia de seguridad. Puedes generar una copia de seguridad manualmente o exportar una desde la consola de SUSE® Security navegando a Ajustes > Configuración y seleccionando una de las siguientes opciones:

  • Toda la configuración: Incluye configuraciones de registro, integraciones, ajustes del sistema y políticas.

  • Sólo directiva: Incluye reglas y directivas de seguridad.

También puedes automatizar copias de seguridad utilizando la API REST. Para un ejemplo, consulta Exportar e importar archivos de configuración.

Si todos los controladores dejan de funcionar y se pierde el estado de configuración en tiempo real, SUSE® Security puede restaurar automáticamente la configuración cuando el almacenamiento persistente está correctamente configurado.

A partir de SUSE® Security v5.4.7, los datos de configuración sensibles se cifran utilizando un Secreto de Kubernetes llamado neuvector-store-secret en el espacio de nombres neuvector.

Las versiones 5.3.0 a 5.4.6 utilizaban una clave de cifrado fija y codificada. Durante una actualización o restauración, SUSE® Security detecta automáticamente los datos cifrados con la clave heredada y los vuelve a cifrar utilizando una nueva clave derivada de neuvector-store-secret.

Siempre actualiza a v5.4.7 o posterior antes de restaurar los datos de configuración.

Para más detalles, consulta el aviso de seguridad: https://github.com/neuvector/neuvector/security/advisories/GHSA-h773-7gf7-9m2x

SUSE® Security no soporta restauraciones parciales (por ejemplo, restaurar solo reglas de red) ni restauraciones en un momento específico. Utiliza guiones de automatización para hacer copias de seguridad de los archivos de configuración regularmente y gestionar copias de seguridad con marcas de tiempo.

Para más información, consulta Exportar e importar archivos de configuración.

No modifiques los archivos de configuración de copia de seguridad. Editar un archivo de copia de seguridad después de la exportación puede causar fallos en la restauración o resultar en un estado del sistema impredecible.

Utiliza los archivos de configuración de copia de seguridad solo para restaurar SUSE® Security en el mismo clúster del que fueron exportados. Restaurar una copia de seguridad en un clúster diferente puede resultar en un comportamiento impredecible.

Gestión de claves de cifrado

El neuvector-store-secret contiene la Clave de Cifrado de Clave (KEK). SUSE® Security utiliza la KEK para generar Claves de Cifrado de Datos (DEKs), que cifran datos de configuración sensibles.

Comportamiento de la clave:

  • Debes mantener y hacer una copia de seguridad del neuvector-store-secret.

  • Si falta el secreto o el valor de la clave no cumple con los requisitos de longitud, SUSE® Security lo crea o actualiza automáticamente.

  • Cuando SUSE® Security crea o actualiza el secreto, genera una alerta recordándote que lo respaldes.

  • Si la KEK cambia o se pierde, los datos cifrados anteriormente no pueden ser descifrados.

Durante actualizaciones o restauraciones en curso:

  1. Los datos cifrados con la clave heredada codificada se vuelven a cifrar utilizando un DEK derivado de la KEK.

  2. Los datos cifrados con un DEK derivado de la KEK solo pueden ser descifrados por SUSE® Security utilizando la misma KEK.

Evento de recifrado de actualización en curso

Cuando ocurre el recifrado, SUSE® Security registra la acción y genera un evento.

Datos sensibles protegidos por cifrado

SUSE® Security cifra datos sensibles almacenados bajo las siguientes rutas de clave-valor:

  • object/config/server/ldap1

  • object/config/server/oidc1

  • object/config/server/saml1

  • object/config/system

  • object/config/registry

  • object/config/federation/membership

  • object/config/federation/clusters/…​

  • object/cert/…​

Secreto de almacenamiento de NeuVector

Siempre haz una copia de seguridad del neuvector-store-secret junto con los datos de configuración de SUSE® Security.

Al restaurar SUSE® Security después de una pérdida de datos o a un nuevo clúster, debes restaurar el mismo secreto. Las copias de seguridad de configuración sin el secreto correspondiente no pueden ser descifradas.

Configuraciones recomendadas de Alta Disponibilidad

La copia de seguridad y restauración manual deben considerarse como una opción de recuperación de último recurso. Para alta disponibilidad, sigue estas recomendaciones:

  1. Despliega SUSE® Security utilizando Helm con un ConfigMap para la configuración inicial.

  2. Utiliza CRD para definir directivas, tales como reglas de red, perfiles de proceso, control de admisión y otras directivas.

  3. Ejecuta múltiples controladores (un mínimo de tres) para sincronizar la configuración entre pods y programarlos en diferentes hosts.

  4. Configura almacenamiento persistente para recuperarte de fallos a nivel de clúster donde todos los controladores dejan de funcionar.

  5. Realiza copias de seguridad de la configuración regularmente en archivos de copia de seguridad con marca de tiempo.

  6. Restaura la configuración de SUSE® Security desde un archivo de copia de seguridad solo como último recurso, y reaplica cualquier CRD que haya cambiado después de que se creó la copia de seguridad.