Groupes

Les groupes appris (non réservés ou groupes personnalisés) peuvent être automatiquement supprimés par SUSE® Security s’il n’y a pas de membres (conteneurs) dans le groupe. La période de temps pour cela est configurable dans les Paramètres → Configuration.

SUSE® Security crée automatiquement un groupe appelé 'nodes' qui représente chaque nœud (hôte) dans le cluster. SUSE® Security fournit une surveillance de base automatisée des hôtes pour des processus suspects (tels que des analyses de ports, des shells inversés, etc.) et des escalades de privilèges. De plus, SUSE® Security apprendra le comportement des processus de chaque nœud pendant qu’il est en mode Découverte pour mettre sur liste blanche ces processus, de manière similaire à ce qui est fait avec les processus de conteneurs. La liste des règles de processus 'locale' (apprises) est une combinaison de tous les processus de tous les nœuds dans le cluster pendant le mode Découverte.

Les nœuds peuvent ensuite être mis en mode Surveillance ou Protection, où SUSE® Security alertera si un processus démarre en mode Surveillance, et bloquera ce processus en mode Protection.

Pour activer la protection des hôtes avec des règles de profil de processus, sélectionnez le groupe 'nodes' et examinez les processus appris sur le nœud. Personnalisez si nécessaire en ajoutant, supprimant ou modifiant des règles de processus. Puis passez le mode à Surveillance ou Protection.

Les groupes peuvent être ajoutés manuellement en saisissant les critères pour le groupe. Remarque : Les groupes créés sur mesure n’ont pas de mode de Protection. C’est parce qu’ils peuvent contenir des conteneurs provenant de différents groupes sous-jacents, chacun pouvant être dans un mode différent, ce qui entraîne une confusion sur le comportement.

Les groupes peuvent être créés par :

Un groupe peut être créé avec des types de critères mixtes, sauf le type 'adresse', qui ne peut pas être utilisé avec d’autres critères. Les critères mixtes imposent une opération ‘AND’ entre les critères, par exemple label service_type=data ET image=mysql. Les entrées multiples pour un ou plusieurs critères sont traitées comme un OU, par exemple address=google.com OU address=yahoo.com. Remarque : Pour aider à analyser les connexions d’entrée/sortie, une liste des IPs d’entrée et de sortie peut être téléchargée depuis le tableau de bord → section Détails d’entrée/sortie sous forme de rapport d’exposition.

La correspondance partielle est prise en charge pour les critères d’image, de nœud, de conteneur, de service et d’étiquette. Par exemple, image@redis sélectionne les conteneurs dont le nom d’image contient le sous-ensemble 'redis'; image^redis sélectionne les conteneurs dont le nom d’image commence par 'redis'.

Il n’est pas recommandé d’utiliser des critères d’adresse pour faire correspondre des IP internes ou des sous-réseaux, en particulier ceux protégés par des enforceurs, il est plutôt recommandé d’utiliser leurs métadonnées, telles que l’image, le service ou les étiquettes. Les cas d’utilisation typiques pour le groupe d’adresses sont de définir des stratégies entre des conteneurs gérés et des sous-réseaux IP externes, par exemple, des services fonctionnant sur Internet ou dans un autre centre de données. Le groupe d’adresses n’a pas de membres de groupe.

Les jokers '' peuvent être utilisés dans les critères, par exemple 'address=.google.com'. Pour une correspondance plus flexible, utilisez le tilde '~' pour indiquer qu’une correspondance regex est souhaitée. Par exemple, pour faire correspondre les étiquettes 'policy~public.*-ext1' pour l’étiquette policy.

Après avoir enregistré un nouveau groupe, SUSE® Security affichera les membres de ce groupe. Des règles peuvent ensuite être créées en utilisant ces groupes.