安全策略概述

这提供了服务组和自定义组的主要视图，以设置每个服务的模式（发现、监控、保护）并管理规则。组由 SUSE® Security 自动创建，但可以添加自定义组。当容器开始运行时，SUSE® Security 会自动为每个组创建规则。容器组可以具有拆分策略模式，其中进程/文件规则与网络规则的强制模式不同，如 这里 所述。

要选择一个组进行查看或管理，请选择其旁边的复选框。这是管理进程控制文件规则、文件访问规则、数据丢失防护（DLP）和自定义合规检查的地方。网络规则可以在这里查看，但在单独的菜单中管理。 在 SUSE® Security 中，网络和响应规则是使用 ‘from’ 和 ‘to’ 字段创建的，这需要一个组作为输入。一个组可以是应用程序，源自镜像标签、DNS 名称或其他自定义分组。支持 DNS 子域，例如 *.foo.com。也可以使用 IP 地址或子网，这对于控制非容器化工作负载的入站和出站流量非常有用。

由 SUSE® Security 自动创建的保留组名称包括：

组菜单也是可以执行 "导出组策略" 的地方。这将选定组的安全策略（规则）导出为 yaml 文件，格式为 SUSE® Security 自定义资源定义（CRD），可以进行审查，然后部署到其他集群中。

请注意，组的容器状态显示在策略 → 组 → 成员中，指示 SUSE® Security 保护模式（发现、监控、保护）。如果容器显示为 '退出' 状态，它仍在主机上，但已停止。移除容器将使其从退出状态中移除。

用于 SUSE® Security 强制执行的白名单和黑名单规则列表。SUSE® Security 可以在发现模式下自动发现并创建一组白名单规则。如果需要，可以手动添加规则。

SUSE® Security 在发现模式下会自动创建第七层（应用程序层）白名单规则，通过观察网络连接并创建强制应用协议的规则。

SUSE® Security 还具有内置的网络攻击检测，无论模式（发现、监控、保护）如何，始终启用。检测到的网络威胁包括 DDoS 攻击、隧道和 SQL 注入。请参见网络规则部分以获取内置威胁检测的完整列表。

DLP（数据丢失防护）规则也可以应用于容器组，以检查网络负载中潜在的数据窃取或隐私违规，例如未加密的信用卡数据。可以阻止违规行为。请参见 DLP 部分以获取有关如何创建和应用 DLP 过滤器的详细信息。

SUSE® Security 具有内置的可疑进程和文件活动检测，以及容器的基线技术。内置检测包括端口扫描（例如 NMAP）、反向 shell，甚至特权提升到 root。系统文件和目录会自动监控。通过 SUSE® Security 发现的每个服务将为该容器服务创建 ‘normal’ 进程和文件行为的基线。如果需要，这些规则可以自定义。

响应规则使用户能够定义对安全事件的响应行动。事件包括威胁、违规、事件和漏洞扫描结果。行动包括容器隔离、网络钩子和警报抑制。

响应规则提供灵活的可定制规则引擎，以自动响应重要的安全事件。

准入控制规则允许或阻止部署。更多详细信息可以在此部分的准入控制下找到。

数据丢失防护（数据泄露保护）和 WAF 规则可以在任何选定的容器组上启用。这利用深度包检测对进入或离开选定容器组的网络负载应用基于正则表达式的匹配。内置的信用卡和美国社会安全号码传感器作为示例，且可以添加自定义正则表达式。

安全策略的迁移可以通过 CRD、REST API 或导入/导出完成。例如，学习和自定义规则可以在暂存环境中生成 CRD yaml 文件，以便部署到生产环境。

SUSE® Security 的安全策略可以在设置 → 配置中导出和导入。建议在将 SUSE® Security 更新到新版本之前备份所有配置。