|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
5.x 概述
完整生命周期容器安全平台
|
这些文档描述了 5.x(开源)版本。5.x 镜像可以通过 Docker Hub 访问,使用适当的标签,例如 |
SUSE® Security 提供了强大的端到端容器安全平台。这包括对容器、Pod 和主机的全链路漏洞扫描和完整运行时保护,包括:
-
CI/CD 漏洞管理与准入控制。使用 Jenkins 插件扫描镜像,扫描注册表,并对生产环境中的部署执行准入控制规则。
-
违规保护。发现行为并创建基于白名单的策略,以检测正常行为的违规。
-
威胁检测。检测常见的应用攻击,例如对容器的 DDoS 和 DNS 攻击。
-
数据丢失防护和 WAF 传感器。检查网络流量以防止敏感数据丢失,并检测常见的 OWASP Top10 WAF 攻击。
-
运行时漏洞扫描。扫描注册表、镜像和运行中的容器编排平台及主机,以查找常见的(CVE)以及特定于应用程序的漏洞。
-
合规性与审计。自动运行 Docker Bench 测试和 Kubernetes CIS 基准。
-
终端/主机安全。检测特权提升,监控主机和容器内的进程和文件活动,并监控容器文件系统中的可疑活动。
-
多集群管理。从单一控制台监控和管理多个 Kubernetes 集群。
SUSE® Security的其他功能包括隔离容器、通过 SYSLOG 和 webhooks 导出日志、启动数据包捕获以进行调查,以及与 OpenShift RBAC、LDAP、Microsoft AD 和 SAML 的 SSO 集成。注意:隔离意味着所有网络流量被阻止。 容器将保持运行 - 只是没有任何网络连接。 Kubernetes不会启动一个容器来替代被隔离的容器,因为api-server仍然能够访问该容器。
安全容器
SUSE® Security运行时容器安全解决方案包含四种类型的安全容器:控制器、执行者、管理者*和*扫描器。还提供一个名为*All-in-One*的特殊容器,将控制器、执行者和管理器功能合并在一个容器中,主要用于 Docker 原生部署。
SUSE® Security可以在虚拟机或单一操作系统的裸机系统上部署。
控制器
控制器管理SUSE® Security执行者容器集群。它还为管理控制台提供REST API。尽管典型的测试部署只有一个控制器,但建议在高可用性配置中使用多个控制器。在Kubernetes生产部署示例yaml中,3个控制器是默认配置。
Enforcer
执行者是一个轻量级容器,执行安全策略。每个节点(主机)上应部署一个执行者,例如作为守护进程集。
|
对于Docker原生(非Kubernetes)部署,执行者容器和控制器不能部署在同一节点上(除非在下面的全合一情况下)。 |
部署示例
有关常见部署模式和最佳实践,请参见入门/最佳实践部分。