Aperçu de la stratégie de sécurité

Cela fournit la vue principale des groupes de services et des groupes personnalisés pour définir le mode (Découvrir, Surveiller, Protéger) pour chaque service et gérer les règles. Les groupes sont automatiquement créés par SUSE® Security, mais des groupes personnalisés peuvent être ajoutés. Les règles pour chaque groupe sont automatiquement créées par SUSE® Security lorsque les conteneurs commencent à s’exécuter. Les groupes de conteneurs peuvent avoir un mode de stratégie fractionnée où les règles de processus/fichier se trouvent dans un mode d’imposition différent de celui des règles réseau, comme décrit ici.

Pour sélectionner un groupe à afficher ou à gérer, cochez la case à côté de celui-ci. C’est ici que les règles de profil de processus, les règles d’accès aux fichiers, DLP et les vérifications de conformité personnalisées sont gérées. Les règles réseau peuvent être consultées ici mais sont gérées dans un menu séparé. Les règles réseau et de réponse dans SUSE® Security sont créées à l’aide d’un champ ‘from’ et ‘to’, qui nécessite un groupe comme entrée. Un groupe peut être une application, dérivée des étiquettes d’image, du nom DNS ou d’un autre regroupement personnalisé. Les sous-domaines DNS sont pris en charge, par exemple *.foo.com. Les adresses IP ou les sous-réseaux peuvent également être utilisés, ce qui est utile pour contrôler l’entrée et la sortie des charges de travail non conteneurisées.

Les noms de groupes réservés créés automatiquement par SUSE® Security incluent :

Le menu Groupes est également l’endroit où l'"Exportation de la stratégie de groupe" peut être effectuée. Cela exporte la stratégie de sécurité (règles) pour les groupes sélectionnés sous forme de fichier yaml au format de la définition de ressource personnalisée SUSE® Security (CRD) qui peut être examinée puis déployée dans d’autres clusters.

Notez que le statut des conteneurs d’un Groupe est affiché dans Stratégie → Groupes → Membres, ce qui indique le mode de protection SUSE® Security (Découvrir, Surveiller, Protéger). Si le conteneur est affiché dans un état 'abandonner', il est toujours sur l’hôte mais est arrêté. La suppression du conteneur le retirera d’un état 'abandonner'.

Une liste de règles de liste blanche et de liste noire pour SUSE® Security à appliquer. SUSE® Security peut auto-découvrir et créer un ensemble de règles de liste blanche en mode Découverte. Des règles peuvent être ajoutées manuellement si désiré.

SUSE® Security crée automatiquement des règles de liste blanche de couche 7 (couche Application) lorsqu’il est en mode Découvrir, en observant les connexions réseau et en créant des règles qui appliquent les protocoles d’application.

SUSE® Security dispose également d’une détection intégrée des attaques réseau qui est activée tout le temps, quel que soit le mode (Découvrir, Surveiller, Protéger). Les menaces réseau détectées incluent les attaques DDoS, le tunneling et l’injection SQL. Veuillez consulter la section Règles Réseau pour une liste complète des menaces détectées par le système intégré.

Des règles DLP (Prévention de la Perte de Données) peuvent également être appliquées aux Groupes de conteneurs pour inspecter la charge utile réseau à la recherche de vols de données potentiels ou de violations de la vie privée telles que des données de carte de crédit non chiffrées. Les violations peuvent être bloquées. Veuillez consulter la section sur DLP pour des détails sur la façon de créer et d’appliquer des filtres DLP.

SUSE® Security dispose d’une détection intégrée des processus suspects et de l’activité des fichiers ainsi que d’une technologie de baselining pour les conteneurs. La détection intégrée comprend des processus tels que le scan de ports (par exemple, NMAP), le shell inversé et même les escalades de privilèges vers le root. Les fichiers et répertoires système sont automatiquement surveillés. Chaque service découvert par SUSE® Security créera une base de référence du comportement des processus et des fichiers ‘normal’ pour ce service de conteneur. Ces règles peuvent être personnalisées si désiré.

Les règles de réponse permettent aux utilisateurs de définir des actions pour répondre aux événements de sécurité. Les événements incluent les menaces, les violations, les incidents et les résultats des scans de vulnérabilité. Les actions incluent la mise en quarantaine des conteneurs, les webhooks et la suppression des alertes.

Les règles de réponse fournissent un moteur de règles flexible et personnalisable pour automatiser les réponses aux événements de sécurité importants.

Les règles de contrôle d’admission permettent ou bloquent les déploiements. Plus de détails peuvent être trouvés dans cette section sous Contrôles d’admission.

La prévention des pertes de données (Data Leak Protection) et les règles WAF peuvent être activées sur tout groupe de conteneurs sélectionné. Cela utilise l’inspection approfondie des paquets pour appliquer un appariement basé sur des expressions régulières à la charge utile réseau entrant ou sortant du groupe de conteneurs sélectionné. Des capteurs intégrés pour les cartes de crédit et les numéros de sécurité sociale américains sont inclus à titre d’exemple, et des expressions régulières personnalisées peuvent être ajoutées.

La migration de la stratégie de sécurité peut être réalisée par CRD, API REST ou import/export. Par exemple, les règles apprises et personnalisées peuvent générer un ou plusieurs fichiers yaml CRD dans un environnement de staging pour déploiement dans l’environnement de production.

La stratégie de sécurité pour SUSE® Security peut être exportée et importée dans les paramètres → Configuration. Il est recommandé de sauvegarder toute la configuration avant toute mise à jour de SUSE® Security vers une nouvelle version.