この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

5.x 概要

フルライフサイクルコンテナセキュリティプラットフォーム

これらのドキュメントは、5.x(オープンソース)バージョンについて説明しています。5.x イメージは、適切なタグを使用して Docker Hub からアクセスできます。例えば、neuvector/controller:(version)

SUSE® Security は、強力なエンドツーエンドのコンテナセキュリティプラットフォームを提供します。これには、コンテナ、ポッド、ホストを対象としたエンドツーエンドの脆弱性スキャンと全面的なランタイム保護が含まれます。

  1. CI/CD 脆弱性管理と入場制御。Jenkins プラグインを使用してイメージをスキャンし、レジストリをスキャンし、プロダクションへのデプロイメントに対する入場制御ルールを強制します。

  2. 違反保護。行動を発見し、通常の行動の違反を検出するためのホワイトリストベースのポリシーを作成します。

  3. 脅威検出。DDoS や DNS 攻撃などの一般的なアプリケーション攻撃をコンテナ上で検出します。

  4. DLP および WAF センサー。機密データのデータ損失防止のためにネットワークトラフィックを検査し、一般的な OWASP Top10 WAF 攻撃を検出します。

  5. ランタイム脆弱性スキャン。レジストリ、イメージ、実行中のコンテナオーケストレーションプラットフォームおよびホストをスキャンし、一般的な (CVE) およびアプリケーション特有の脆弱性を検出します。

  6. コンプライアンスと監査。Docker ベンチテストと Kubernetes CIS ベンチマークを自動的に実行します。

  7. エンドポイント/ホストセキュリティ。特権昇格を検出し、ホストおよびコンテナ内のプロセスとファイルアクティビティを監視し、コンテナファイルシステムの疑わしいアクティビティを監視します。

  8. マルチクラスター管理。単一のコンソールから複数の Kubernetes クラスターを監視および管理します。

SUSE® Securityのその他の機能には、コンテナを隔離し、SYSLOG および Webhook を通じてログをエクスポートし、調査のためにパケットキャプチャを開始し、OpenShift RBAC、LDAP、Microsoft AD、および SAML による SSO との統合が含まれます。注意:隔離とは、すべてのネットワークトラフィックがブロックされることを意味します。 コンテナはそのまま残り実行を続けますが、ネットワーク接続はありません。 Kubernetesは、隔離されたコンテナを置き換えるために新たなコンテナを起動しません。APIサーバーは依然としてコンテナに到達できるためです。

セキュリティコンテナ

SUSE® Securityのランタイムコンテナセキュリティソリューションには、4種類のセキュリティコンテナが含まれています:コントローラーエンフォーサーマネージャー、および*スキャナー*。コントローラー、エンフォーサー、マネージャーの機能をすべて1つのコンテナに統合する特別なコンテナである*All-in-One*も提供され、主にDockerネイティブデプロイメント用です。

SUSE® Securityは、仮想マシンまたは単一のOSを持つベアメタルシステムにデプロイできます。

デプロイメント

コントローラ

コントローラーはSUSE® Security エンフォーサーコンテナクラスターを管理します。また、管理コンソール用のREST APIも提供します。通常のテストデプロイメントには1つのコントローラーがありますが、高可用性構成では複数のコントローラーを推奨します。Kubernetesの本番デプロイメントサンプル YAML では、3つのコントローラーがデフォルトです。

Enforcer

エンフォーサーは、セキュリティポリシーを強制する軽量コンテナです。各ノード(ホスト)に1つのエンフォーサーをデプロイする必要があります。例えば、デーモンセットとして。

Dockerネイティブ(非Kubernetes)デプロイメントの場合、エンフォーサーコンテナとコントローラーは同じノードにデプロイできません(以下のAll-in-Oneの場合を除く)。

マネージャ

マネージャーは、ユーザーがSUSE® Security セキュリティソリューションを管理するためのウェブUI(HTTPSのみ)コンソールを提供するステートレスコンテナです。必要に応じて、複数のマネージャーコンテナを展開できます。

All-in-One

All-in-Oneコンテナには、コントローラー、エンフォーサー、マネージャーが1つのパッケージに含まれています。単一ノードまたは小規模な展開での簡単なインストールに便利です。

Scanner (スキャナ)

スキャナーは、イメージ、コンテナ、ノードの脆弱性およびコンプライアンススキャンを実行するコンテナです。通常、レプリカセットとして展開され、スキャンパフォーマンスを向上させるために、必要に応じて並行スキャナーの数を増やすことができます。コントローラーは、すべてのスキャンが完了するまで、ラウンドロビン方式で各利用可能なスキャナーにスキャンジョブを割り当てます。スキャナーには最新のCVEデータベースが含まれており、SUSE® Securityによって定期的に更新されます。

アップデーター

アップデーターは、実行時にSUSE® SecurityのCVEデータベースを更新するコンテナです。SUSE® Securityは、脆弱性スキャンのために最新のCVEを含む新しいスキャナーイメージを定期的に公開します。アップデーターは、デプロイメントをゼロにしてから再スケーリングすることで、すべてのスキャナーポッドを再展開し、更新されたスキャナーイメージのプルを強制します。

アーキテクチャ

こちらはSUSE® Securityの一般的なアーキテクチャ概要です。別のスキャナーコンテナは表示されていませんが、スタンドアロンパイプラインスキャナーとしても実行できます。

アーキテクチャ

デプロイメント例

一般的なデプロイメントパターンとベストプラクティスについては、オンボーディング/ベストプラクティスセクションを参照してください。

All-in-Oneとエンフォーサー

このデプロイメントは、評価、テスト、小規模なデプロイメントなどのために、単一ノードまたは小規模な環境に最適です。All-in-Oneコンテナは1つのノードに展開され、アプリケーションコンテナが実行されているノードでもあります。エンフォーサーは、SUSE® Securityで保護する各ノードに1つずつ必要で、他のすべてのノードに展開できます。これは、コントローラーとエンフォーサーが同じホスト上で実行できないネイティブDockerデプロイメントにも役立ちます。

コントローラー、マネージャー、エンフォーサーコンテナ

これは、1つ以上のコントローラー、1つのマネージャー、および一連のエンフォーサーで構成される、より一般的なデプロイメントのユースケースです。コントローラーとマネージャーは、エンフォーサーとは異なるノードまたは同じノードに展開できます。

All-in-Oneのみ

Jenkins プラグインを使用して、レジストリスキャンのために All-in-One コンテナを展開するか、SUSE® Security のシンプルな1ノードテストを行うことができます。

コントローラーのみ

クラスターの外で脆弱性スキャンを管理するために、単一のコントローラーコンテナおよび/またはスキャナーを展開することが可能です。例えば、Jenkins プラグインと一緒に使用するためです。レジストリスキャンは、コントローラーがREST APIを使用して専用に実行することもできますが、通常はコンソールベースの設定とレジストリスキャンの結果表示を提供するためにマネージャーコンテナも必要です。