浏览控制台
仪表板
仪表板显示了 SUSE® Security 检测到的风险评分、安全事件和应用协议的摘要。它还显示了这些安全事件的一些详细信息。可以从仪表板生成PDF报告,其中包含详细的图表和说明。
在仪表板顶部,有集群中安全风险的摘要。整体风险评分旁边的扳手工具可以点击以打开向导,指导您采取推荐步骤以降低/改善风险评分。将鼠标悬停在每个风险仪表上,将在右侧提供其描述以及如何改善风险评分。另请参见单独的文档部分《改善安全风险评分》。
-
整体安全风险评分。这是对右侧总结的各个风险领域的加权摘要,包括服务暴露、入口/出口暴露和漏洞利用风险。点击扳手以改善评分。
-
服务暴露风险评分。这是一个指标,显示有多少服务受到白名单规则的保护,并在监控或保护模式下运行,此时风险最低。在发现模式下的服务比例较高意味着这些服务没有通过白名单规则进行分段或隔离。
-
入口/出口风险评分。这是对在入口或出口(集群外)连接上检测到的实际威胁或网络违规行为的加权总结,结合了允许的入口/出口连接。受到白名单规则保护的外部连接风险较低,但仍可能受到嵌入式网络攻击的攻击。注意:可以从入口/出口详细信息部分下载入口和出口 IP 列表,作为暴露报告。
-
漏洞利用风险评分。这是对正在运行的容器中漏洞被利用的风险。在发现模式下具有高危漏洞的服务将对评分产生最大影响,因为它们风险最高。如果服务处于监控或保护模式但仍具有高危漏洞,它们将受到网络和处理规则的保护,以识别(和阻止)可疑活动,因此在评分中权重较低。如果未启用自动扫描按钮以进行自动运行时扫描,将显示警告。
一些图表是交互式的,如下方绿色箭头所示。
仪表板中显示的一些事件数据有限制,如报告部分所述。
检测到的应用协议 此图表总结了在集群中实时连接中检测到的应用协议。类别 ‘Other’ 表示任何未识别的 HTTP 协议或原始 TCP 连接。您可以在应用程序覆盖率和应用程序流量级别之间切换。
-
应用程序覆盖率是检测到的应用程序服务之间唯一的 pod 到 pod 对话的数量。例如,如果服务 pod A 使用 HTTP 连接到服务 pod B,则这是一个唯一的 HTTP ‘conversation’,但 A 和 B 之间的所有连接都算作一个对话。
-
应用程序流量是使用该协议的所有服务的网络活动,以G字节为单位进行测量。
网络活动
这提供了一个图形化的容器地图以及容器之间的对话。它还显示与其他本地和外部资源的连接。在监控和保护模式下,违规行为用红色或黄色线条显示,以指示已检测到违规。
|
如果存在大量容器或服务,视图将自动默认为名称空间视图(折叠)。双击名称空间图标以展开。 |
|
此显示使用本地GPU(如果可用)以加快加载时间。某些Windows GPU存在已知问题,可以在高级过滤窗口中关闭GPU的使用(见下方工具)。 |
可能的操作包括:
-
查找功能帮助您快速按完整或准确名称定位特定对象。您可以前往策略 > 组以定位:
-
Pods或容器
-
节点
-
组
-
-
移动对象以更好地查看服务和对话
-
单击任何线条(箭头)以查看更多详细信息,例如协议/端口、最新时间戳,以及添加或编辑规则(注意:必须通过双击每个连接端点完全展开,以查看连接详细信息)
-
单击任何容器以查看详细信息,以及'`i’以获取实时连接。您还可以从这里隔离节点。右键单击容器以执行操作。
-
按协议过滤视图,或按名称空间、组、容器(右上角)搜索。您可以向选择框添加多个过滤器。
-
刷新地图以显示最新的对话
-
缩放以切换到逻辑视图(所有容器折叠为服务组)或物理视图(同一服务的所有容器显示)
-
切换显示编排组件,例如负载均衡器(例如,Kubernetes或Swarm内置)
-
(服务网格图标)双击以展开服务网格中的一个pod,例如Istio/Linkerd2,以显示pod内的边车和工作负载容器。
|
网络活动视图中的组名称已缩短以提高可读性。缩短的名称无法搜索。要找到一个组,请使用在策略 > 组下列出的全名。 例如: 只有全名, |
左上角的工具菜单具有以下功能,从左到右:
-
缩放
-
查找功能
-
重置图标显示(如果您已移动它们)
-
打开高级过滤器窗口(过滤器在用户登录会话中保持)
-
显示/隐藏图例
-
截取屏幕截图
-
刷新网络活动显示
右键单击容器显示以下操作:
您可以在此查看活动会话、开始数据包捕获录制和隔离。您还可以在此更改服务的整体保护模式(该服务的所有容器)。展开/折叠选项使您能够简化或展开对象。
地图中的数据可能在网络活动后需要几秒钟才能显示。
请参阅本页底部的图例图标说明。
资产
资产显示有关平台、节点、容器、注册表、Sigstore 验证器(用于入场控制规则)和系统组件(SUSE® Security 控制器、扫描器和执行器)的信息。
SUSE® Security 包含一个端到端的漏洞管理平台,可以集成到您的自动化 CI/CD 过程中。扫描注册表、镜像、正在运行的容器和主机节点以查找漏洞。单个注册表、节点和容器的结果可以在此找到,而组合结果和高级报告可以在安全风险菜单中找到。
SUSE® Security 还会在每个主机和正在运行的容器上自动运行 Docker Bench 安全报告和 Kubernetes CIS 基准(如适用)。
请注意,所有容器的状态显示在资产 → 容器中,指示 SUSE® Security 保护模式(发现、监控、保护)。如果容器显示为“退出”状态,则它仍在主机上,但已停止。删除容器将使其从退出状态中移除。
有关更多详细信息,包括如何使用 Jenkins 插件 SUSE® Security 漏洞扫描器,请参阅扫描与合规部分。
策略
这显示和管理运行时安全策略,决定容器网络、进程和文件系统应用行为的允许和拒绝。任何未明确允许的对话和活动都将被 SUSE® Security 记录为违规。这也是可以创建入场控制规则的地方。
有关规则行为的详细说明以及如何编辑或创建规则,请参阅这些文档的安全策略部分。
安全风险
这使得可定制的漏洞和合规管理调查、分类和报告成为可能。轻松分析镜像漏洞,找出哪些节点或容器包含这些漏洞。高级过滤功能使得审查扫描和合规检查结果变得更加便捷,并提供定制报告。
这些菜单结合了来自注册表(图像)、节点和容器的漏洞扫描和合规检查结果,以实现端到端的漏洞管理和报告。
通知
在这里,您可以查看安全事件、风险报告(例如扫描)和一般事件的日志。SUSE® Security 还支持 SYSLOG,以便与 SPLUNK 等工具集成,以及 webhook 通知。
安全事件
使用搜索或高级过滤器来定位特定事件。顶部的时间线小部件也可以通过左右圆圈进行调整,以更改时间窗口。您还可以轻松添加规则(安全策略),通过选择审查规则按钮来允许或拒绝检测到的事件,并部署新规则。
SUSE® Security 持续监控所有容器,以防止已知攻击,如 DNS、DDoS、HTTP 走私、隧道等。当检测到攻击时,会在此记录并阻止(如果容器/服务设置为保护),并自动捕获数据包。您可以查看数据包详细信息,例如:
隐式拒绝规则被违反
违规是指违反白名单规则或匹配黑名单规则的连接。详细的违规记录被捕获,源 IP 可以进一步调查。
其他安全事件包括特权提升、可疑进程或在容器或主机上检测到的异常文件系统活动。
风险报告
注册表扫描、运行时扫描、准入控制事件将在此显示。此外,CIS 基准和合规检查结果也将显示。
请参阅报告部分以获取控制台中事件显示的更多详细信息和限制。
设置
设置 → 用户与角色
在这里添加其他用户。用户可以被分配管理员角色、只读角色或自定义角色。在Kubernetes中,用户可以被分配一个或多个名称空间以进行访问。在这里也可以为用户和组(例如LDAP/AD)配置自定义角色,以便映射到角色。请参见用户部分以获取配置详细信息。
设置 → 配置
在这里配置唯一的集群名称、新服务模式和其他设置。
如果在Rancher或OpenShift集群上部署,可以启用身份验证,以便Rancher用户或OpenShift用户可以使用相关的RBAC登录到SUSE® Security控制台。对于Rancher用户,Rancher控制台中的连接按钮/链接允许Rancher管理员直接打开和访问SUSE® Security控制台。
新服务模式设置任何在SUSE® Security中之前未知或未定义的新服务(应用程序)的默认保护模式。对于生产环境,不建议将此设置为发现模式。
如果启用,网络服务策略模式将所选策略模式全局应用于所有组的网络规则,每个组的单独策略模式仅适用于进程和文件规则。
组模式的自动提升根据经过的时间和标准自动提升组的保护模式(从发现到监控再到保护)。
未使用组的自动删除对于自动“清理”不再使用的发现(和自动创建规则的)组非常有用,特别是在高变动的开发环境中。请参见策略 → 组以获取 SUSE® Security 中的组列表。删除未使用的组将清理组列表及其所有相关规则。
X-FORWARDED-FOR用于启用或禁用在执行 SUSE® Security 网络规则时对这些头的使用。这对于保留入站连接的原始源IP非常有用,以便可以用于网络规则的执行。启用意味着源IP将被保留。请参见下面的详细说明。
可以配置多个webhook在响应规则中用于自定义通知。Webhook格式选项包括Slack、JSON和键值对。
如果您的注册表扫描连接必须通过代理才能在控制器和注册表之间通信,可以配置注册表代理。
通过SYSLOG配置SIEM集成,包括事件类型、端口等。您还可以选择将事件发送到控制器pod日志,而不是或除了syslog之外。请注意,这些事件将仅发送到主控制器pod的日志(而不是多控制器部署中的所有控制器pod日志)。
可以与IBM Security Advisor和QRadar建立集成。
导入/导出安全策略文件。您还可以在此处为 SAML 和 LDAP/AD 配置 SSO。有关配置详细信息,请参见企业集成部分。*重要!*导入配置文件时,请小心。导入将覆盖现有设置。如果您导入一个 ‘policy only’ 文件,策略的组和规则将被覆盖。如果您导入一个带有 ‘all’ 设置的文件,则策略、用户和配置将被覆盖。请注意,您当前控制器中的原始 ‘admin’ 用户密码也会被导入文件中原始管理员的密码覆盖。
使用报告和收集日志导出可能由您的SUSE® Security支持团队请求。
X-FORWARDED-FOR 行为详细信息
在 Kubernetes 集群中,应用程序可以通过 NodePort、LoadBalancer 或 Ingress 服务暴露到集群外部。这些服务在对数据包进行源 NAT (SNAT) 时通常会替换源 IP。由于原始源IP被伪装,这阻止了SUSE® Security识别连接实际上来自于“外部”。
为了保留原始源IP地址,用户需要在外部负载均衡器或入口控制器的“spec”部分向暴露的服务添加以下行。(参考: https://kubernetes.io/docs/tutorials/services/source-ip/))
"externalTrafficPolicy":"Local"许多负载均衡服务和入口控制器的实现会在HTTP请求头中添加X-FORWARDED-FOR行,以将真实源IP传达给后端应用程序。该产品可以识别这一组HTTP头,识别原始源IP并根据该策略进行处理。
这一改进在某些设置中产生了一些意想不到的问题。如果上述行已添加到暴露的服务中,并且 SUSE® Security 网络策略是根据预期网络连接来自内部代理/入口服务的方式创建的,由于我们现在将连接识别为来自集群的“外部”,正常的应用流量可能会触发警报或被阻止,尤其是在应用程序处于“保护”模式时。
可以使用开关来禁用此功能。禁用它会告诉SUSE® Security不要使用X-FORWARDED-FOR头识别连接来自“外部”。默认情况下,此功能是启用的,X-FORWARDED-FOR头在策略执行中被使用。要禁用它,请转到设置→配置,并禁用“基于X-Forwarded-For的策略匹配”设置。
设置 → LDAP/AD、SAML 和 OpenID Connect
SUSE® Security支持与LDAP/AD、SAML和OpenID Connect的集成,以实现SSO和用户组映射。有关配置详细信息,请参见企业集成部分。
多个集群管理
您可以通过选择主集群,并将远程集群加入主集群,从而管理多个SUSE® Security集群(例如,在不同云或本地运行SUSE® Security的多个 Kubernetes 集群)。每个远程集群也可以单独管理。安全规则可以通过使用联邦策略设置传播到多个集群。
