セキュリティポリシーの概要

これにより、各サービスのモード（発見、監視、保護）を設定し、ルールを管理するためのサービスグループとカスタムグループの主要なビューが提供されます。グループはSUSE® Securityによって自動的に作成されますが、カスタムグループを追加することもできます。各グループのルールは、コンテナが実行を開始するときにSUSE® Securityによって自動的に作成されます。コンテナグループは、プロセス/ファイルルールがネットワークルールとは異なる強制モードにあるスプリットポリシーモードを持つことができ、詳細はこちらに記載されています。

表示または管理するグループを選択するには、その隣のチェックボックスを選択してください。ここでは、プロセスプロファイルルール、ファイルアクセスルール、DLP、およびカスタムコンプライアンスチェックが管理されます。ネットワークルールはここで表示できますが、別のメニューで管理されます。 SUSE® Securityのネットワークおよびレスポンスルールは、グループを入力として必要とする'`from’および'`to’フィールドを使用して作成されます。グループはアプリケーションであるか、イメージラベル、DNS名、またはその他のカスタマイズされたグルーピングから派生することができます。DNSサブドメインがサポートされています。例：*.foo.com。IPアドレスまたはサブネットも使用でき、これは非コンテナ化ワークロードからの進入および退出を制御するのに便利です。

SUSE® Securityによって自動的に作成された予約済みグループ名には以下が含まれます：

グループメニューは「グループポリシーのエクスポート」を実行できる場所でもあります。これは、選択したグループのセキュリティポリシー（ルール）を、SUSE® Security カスタムリソース定義（CRD）の形式で yaml ファイルとしてエクスポートし、レビューして他のクラスターにデプロイできるようにします。

グループのコンテナのステータスは、ポリシー → グループ → メンバーに表示され、SUSE® Security 保護モード（発見、監視、保護）を示します。コンテナが「終了」状態で表示されている場合、それはホスト上にありますが、停止しています。コンテナを削除すると、『Exit』状態から取り除かれます。

SUSE® Security に対して施行するホワイトリストおよびブラックリストルールのリスト。SUSE® Security は、発見モード中に自動的にホワイトリストルールのセットを発見して作成できます。必要に応じて、ルールを手動で追加できます。

SUSE® Security は、発見モード中にネットワーク接続を観察し、アプリケーションプロトコルを施行するルールを作成することにより、レイヤー 7（アプリケーション層）ホワイトリストルールを自動的に作成します。

SUSE® Security には、モード（発見、監視、保護）に関係なく常に有効なビルトインのネットワーク攻撃検出機能もあります。検出されたネットワーク脅威には、DDoS 攻撃、トンネリング、SQL インジェクションが含まれます。ビルトインの脅威検出の完全なリストについては、ネットワークルールのセクションを参照してください。

DLP（データ損失防止）ルールは、ネットワークペイロードを検査して、暗号化されていないクレジットカードデータなどの潜在的なデータ盗難やプライバシー侵害を検出するために、コンテナグループにも適用できます。違反はブロックできます。DLP フィルターの作成と適用方法の詳細については、DLP に関するセクションを参照してください。

SUSE® Security には、疑わしいプロセスおよびファイルアクティビティの検出機能と、コンテナ用のベースライン技術がビルトインで搭載されています。ビルトインの検出には、ポートスキャン（例：NMAP）、リバースシェル、さらにはルートへの特権昇格などのプロセスが含まれます。システムファイルとディレクトリは自動的に監視されます。SUSE® Securityによって発見された各サービスは、そのコンテナサービスの'`normal’プロセスおよびファイルの動作のベースラインを作成します。これらのルールは、必要に応じてカスタマイズできます。

応答ルールは、ユーザーがセキュリティイベントに応じてアクションを定義することを可能にします。イベントには、脅威、違反、インシデント、および脆弱性スキャンの結果が含まれます。アクションには、コンテナの隔離、ウェブフック、およびアラートの抑制が含まれます。

応答ルールは、重要なセキュリティイベントに対する応答を自動化するための柔軟でカスタマイズ可能なルールエンジンを提供します。

入場制御ルールは、デプロイメントを許可またはブロックします。詳細は、このセクションの入場制御の下にあります。

データ損失防止（データ漏洩防止）およびWAFルールは、選択したコンテナグループで有効にできます。これは、選択したコンテナグループに出入りするネットワークペイロードに正規表現ベースのマッチングを適用するために、ディープパケットインスペクションを利用します。クレジットカードおよび米国社会保障番号のためのビルトインセンサーが例として含まれており、カスタム正規表現を追加することもできます。

セキュリティポリシーの移行は、CRD、REST API、またはインポート/エクスポートによって実行できます。例えば、学習したルールとカスタムルールは、プロダクション環境へのデプロイのためにステージング環境でCRD yamlファイルを生成できます。

SUSE® Securityのセキュリティポリシーは、設定→の構成でエクスポートおよびインポートできます。SUSE® Securityの新しいバージョンへの更新の前に、すべての設定をバックアップすることをお勧めします。