Modes:発見、監視、保護
SUSE® Security モード
SUSE® Security 違反検出モジュールには、3つのモードがあります:発見、監視、保護。いつでも、'nv’で始まるグループや’ノード’グループは、これらのモードのいずれかにいることができます。モードは、グループメニュー、ネットワークアクティビティビュー、またはダッシュボードから切り替えることができます。コンテナグループは、ネットワークルールとは異なるモードでプロセス/ファイルルールを持つことができます。詳細はこちらを参照してください。
|
カスタム作成されたグループには、プロテクトモードがありません。これは、異なる基盤グループからのコンテナを含む可能性があり、それぞれが異なるモードにあるため、動作についての混乱を引き起こす可能性があるからです。 |
検出
デフォルトでは、SUSE® Securityはディスカバーモードで開始します。このモードでは、SUSE® Security:
-
コンテナ、ノード、ホストを含むコンテナインフラストラクチャを発見します。
-
コンテナ間の会話(ネットワーク接続)を観察することで、アプリケーションとその動作を学習します。
-
実行中の別々のサービスとアプリケーションを特定します。
-
通常のアプリケーションネットワーク動作を保護するために、ネットワークルールのホワイトリストを自動的に構築します。
-
各サービスのコンテナで実行されているプロセスのベースラインを設定し、ホワイトリストプロセスプロファイルルールを作成します。
|
ディスカバーモードでサービスをどのくらいの時間実行するかを決定するには、アプリケーションを通じてテストトラフィックを実行し、すべてのルールの完全性を確認します。数時間で十分ですが、一部のアプリケーションは完全に動作させるために数日を要する場合があります。疑問がある場合は、モニターモードに切り替えて違反を確認し、それをホワイトリストルールに変換してからプロテクトモードに移行してください。 |
モニタ
モニターモードでは、SUSE® Securityが会話を監視し、セキュリティポリシーの実行時違反を検出します。このモードでは、SUSE® Securityによって新しいルールは作成されませんが、ルールはいつでも手動で追加できます。
違反が検出されると、ネットワークアクティビティマップに赤い線で視覚的に表示されます。違反はログに記録され、通知タブに表示されます。プロセスプロファイルルールとファイルアクセスの違反は、通知→セキュリティイベントに記録されます。
ネットワークマップでは、任意の会話(緑、黄、赤の線)をクリックして、最後に監視された接続の種類とプロトコルの詳細を表示できます。右下のグループによる検索とフィルターボタンを使用して、コンテナの表示を絞り込むこともできます。
モード間の切り替え
SUSE® Securityグループを簡単に一つのモードから別のモードに切り替えることができます。ディスカバーモードでは、SUSE® Securityが許可された通常のコンテナ動作のためのセキュリティポリシーを構築していることを忘れないでください。これらのルールは、ポリシー→グループタブまたはポリシー→ネットワークルールメニューの詳細で確認できます。
ディスカバーモードからモニターモードに切り替えると、SUSE® Securityは明示的に許可されていない通常の動作のすべての違反にフラグを立てます。SUSE® Securityは、類似の属性を持つアプリケーションとグループに基づいてポリシーを強制するため、コンテナのスケールアップやスケールダウン時にルールを追加または編集する必要は通常ありません。
新しい接続タイプを持つ新しい更新を導入する前に、影響を受けるサービスをディスカバーモードに切り替えて、これらの新しい動作を学習することを確認してください。また、任意のモードで新しいルールを手動で追加したり、ルールを作成するために使用されるCRDを編集して新しい動作を追加することもできます。
新しいサービスモード
新しいサービスがSUSE® Securityによって発見された場合、例えば以前は知られていなかったコンテナが実行を開始した場合、デフォルトモードに設定できます。ディスカバーモードでは、SUSE® Securityがその動作を学習し、ルールを構築し始めます。モニターモードでは、新しいサービスへの接続が検出されると違反が生成されます。プロテクトモードでは、ルールが事前に作成されていない限り、新しいサービスへのすべての接続がブロックされます。
ネットワークサービスポリシーモード
設定→の設定にグローバル設定があり、ネットワークルールの施行のためにネットワーク保護モードを別々に設定できます。これを有効にすると(デフォルトは無効)、すべてのネットワークルールが選択された保護モード(ディスカバーモード、モニターモード、プロテクトモード)になりますが、プロセス/ファイルルールはそのグループの保護モードのままとなります。これはポリシー→グループ画面に表示されます。このようにして、ネットワークルールをプロテクト(ブロック)に設定し、プロセス/ファイルポリシーをモニターモードに設定することができます。
グループモードの自動昇格
経過時間と基準に基づいてグループのプロテクトモードを昇格させます。この自動化は、CRDで作成されたグループには適用されません。この機能により、新しいアプリケーションがしばらくの間ディスカバーモードで実行され、その動作を学習し、ネットワークとプロセスのための許可リストルールをSUSE® Security作成し、自動的にモニターモード、次にプロテクトモードに移行します。
ディスカバーモードからモニターモードに移行する基準は、グループ内の少なくとも1つのライブポッドのすべてのネットワークおよびプロセス活動を学習するための経過時間です。例えば、これが7日間に設定されている場合、グループの実行中のポッドが検出されてから7日後に、モードは自動的にモニターモードに昇格します。
モニターモードからプロテクトモードに移行する基準は、グループのために設定された期間内にセキュリティイベント(ネットワーク、プロセスなど)がないことです。例えば、これが14日間に設定されている場合、14日間(例えば静かな期間)に違反(ネットワーク、プロセス、ファイル)がトリガーされない場合、モードは自動的にプロテクトモードに昇格します。グループ内に実行中のポッドがない場合、昇格は行われません。
