documentation.suse.com / Documentación de SUSE Edge / Componentes / SUSE Security

SUSE Security es una solución de seguridad para Kubernetes que proporciona seguridad de red L7, seguridad en el entorno de ejecución, seguridad en la cadena de suministro y comprobaciones de cumplimiento en un paquete cohesionado.

SUSE Security es un producto que se despliega como una plataforma de múltiples contenedores, que se comunican entre sí a través de varios puertos e interfaces. En segundo plano, utiliza NeuVector como componente de seguridad de contenedores subyacente. La plataforma SUSE Security está formada por siguientes contenedores:

  • Manager (Administrador). Un contenedor sin estado que presenta el panel de control basado en web. Normalmente, solo se necesita uno y puede ejecutarse en cualquier lugar. Si el administrador falla, ninguna de las operaciones del controlador o del ejecutor se ven afectadas. Sin embargo, el administrador almacena en la memoria caché ciertas notificaciones (eventos) y datos de conexiones recientes, por lo que su visualización sí se vería afectada.

  • Controller (Controlador). El "plano de control" de SUSE Security debe desplegarse en una configuración HA (de alta disponibilidad), de modo que la configuración no se pierda en caso de fallo de un nodo. Los controladores se pueden ejecutar en cualquier lugar, aunque se suele optar por colocarlos en nodos de "gestión", maestros o de infraestructura debido a su importancia crítica.

  • Enforcer (Aplicador). Este contenedor se despliega como conjunto de daemons, por lo que hay un aplicador en cada nodo que se vaya a proteger. Normalmente, se despliega en todos los nodos de trabajador, pero es posible programar que también se despliegue en los nodos maestros y de infraestructura. Nota: si el aplicador no está en un nodo del clúster y las conexiones provienen de un pod en ese nodo, SUSE Security las etiqueta como cargas de trabajo "no gestionadas".

  • Scanner (Escáner). Realiza el análisis de vulnerabilidades utilizando la base de datos de CVE integrada, según las instrucciones del controlador. Se pueden desplegar varios escáneres para aumentar la capacidad de análisis. Los escáneres pueden ejecutarse en cualquier lugar, pero es habitual que sea en los nodos donde se ejecutan los controladores. Tenga en cuenta las consideraciones sobre el tamaño de los nodos del escáner expuestas a continuación. También es posible invocar un escáner de forma independiente para el análisis de la fase de creación, por ejemplo, dentro de un canal que activa un análisis, recupera los resultados y detiene el escáner. El escáner contiene la base de datos de CVE más reciente, por lo que debe actualizarse a diario.

  • Updater (Actualizador). El actualizador activa una actualización del escáner mediante una tarea programada de Kubernetes cuando se desea actualizar la base de datos de CVE. Asegúrese de adaptarlo a su entorno.

Encontrará documentación más detallada sobre la incorporación de SUSE Security y las prácticas recomendadas aquí.

18.1 ¿Cómo se usa SUSE Security en SUSE Edge?

 

SUSE Edge proporciona una configuración más ágil de SUSE Security como punto de partida para despliegues periféricos.

18.2 Notas importantes

 

  • El contenedor Scanner debe tener suficiente memoria para cargar la imagen que se va a escanear en la memoria y ampliarla. Para escanear imágenes de más de 1 GB, aumente la memoria del escáner hasta un poco más del tamaño máximo previsto de la imagen.

  • En el modo de protección, se espera un gran número de conexiones de red. El contenedor Enforcer requiere CPU y memoria cuando se encuentra en ese modo (bloqueo de firewall en línea) para conservar e inspeccionar las conexiones y la posible carga útil (DLP). Aumentar la memoria y dedicar un núcleo de CPU a Enforcer puede garantizar una capacidad de filtrado de paquetes adecuada.

18.3 Instalación con Edge Image Builder

 

SUSE Edge utiliza Capítulo 11, Edge Image Builder para personalizar las imágenes del sistema operativo SUSE Linux Micro base. Siga las instrucciones de la Sección 27.7, “Instalación de SUSE Security” para realizar una instalación en entornos aislados de SUSE Security sobre clústeres de Kubernetes aprovisionados por EIB.

Documentation survey