documentation.suse.com / Documentação do SUSE Edge / Componentes / SUSE Security

O SUSE Security é uma solução de segurança para Kubernetes que proporciona segurança de rede L7, de runtime e da cadeia de suprimento, e verificações de conformidade, em um pacote consistente.

O SUSE Security é um produto implantado como uma plataforma de vários contêineres, cada um se comunicando por diversas portas e interfaces. Internamente, ele usa o NeuVector como componente de segurança do contêiner subjacente. Os seguintes contêineres compõem a plataforma SUSE Security:

  • Gerenciador. Um contêiner sem estado com console baseado na web. Normalmente, apenas um é necessário e pode ser executado em qualquer local. Uma falha no gerenciador não afeta as operações do controlador ou do executor. No entanto, determinadas notificações (eventos) e dados de conexão recentes são armazenados em cache na memória pelo gerenciador, portanto, a visualização deles pode ser afetada.

  • Controlador. O "plano de controle" do SUSE Security deve ser implantado em uma configuração de alta disponibilidade, assim a configuração não se perde em caso de falha no nó. Ele pode ser executado em qualquer local, embora os clientes geralmente prefiram colocá-los em nós de "gerenciamento", mestre ou de infraestrutura devido à sua criticidade.

  • Executor. Esse contêiner é implantado como um DaemonSet para que haja um executor em cada nó que será protegido. Em geral, a implantação é feita em cada nó do worker, mas é possível permitir a programação para que os nós mestre e de infraestrutura também sejam implantados lá. Nota: Se o executor não estiver em um nó do cluster e as conexões vierem de um pod nesse nó, o SUSE Security os identificará como cargas de trabalho "não gerenciadas".

  • Verificador. Faz a verificação de vulnerabilidades usando o banco de dados CVE incorporado, conforme direcionado pelo controlador. É possível implantar vários verificadores para aumentar a capacidade de verificação. Os verificadores podem ser executados em qualquer local, mas costumam executar em nós onde os controladores são executados. Veja a seguir as considerações de dimensionamento dos nós do verificador. Também é possível invocar um verificador de forma independente, quando usado para verificação de fase de compilação, por exemplo, em um pipeline que aciona a verificação, recupera os resultados e interrompe o verificador. O verificador inclui o banco de dados CVE mais recente, portanto, ele deve ser atualizado diariamente.

  • Atualizador. Aciona uma atualização do verificador pelo cron job do Kubernetes quando uma atualização do banco de dados CVE é desejada. Faça essa configuração em seu ambiente.

Você encontra a documentação mais detalhada sobre a integração e as melhores práticas do SUSE Security aqui.

18.1 Como o SUSE Edge usa o SUSE Security?

 

O SUSE Edge oferece uma configuração mais simples do SUSE Security como ponto de partida para implantações de borda.

18.2 Observações importantes

 

  • O contêiner Scanner deve ter memória suficiente para extrair a imagem que será verificada na memória e expandi-la. Para verificar imagens com mais de 1 GB, aumente a memória do verificador um pouco acima do maior tamanho esperado da imagem.

  • O modo de proteção espera grandes volumes de conexões de rede. O Enforcer requer CPU e memória no modo de proteção (bloqueio de firewall integrado) para armazenar e inspecionar as conexões e a possível carga (DLP). Aumentar a memória e dedicar um núcleo de CPU ao Enforcer garantem a capacidade de filtragem de pacotes adequada.

18.3 Instalando com o Edge Image Builder

 

O SUSE Edge usa o Capítulo 11, Edge Image Builder para personalizar as imagens base do sistema operacional SUSE Linux Micro. Siga a Seção 27.7, “Instalação do SUSE Security” para uma instalação air-gapped do SUSE Security em clusters Kubernetes provisionados pelo EIB.

Documentation survey