作者简介
万绍远,CNCF 基金会官方认证 Kubernetes CKA&CKS 工程师,云原生解决方案架构师。对 ceph、Openstack、Kubernetes、prometheus 技术和其他云原生相关技术有较深入的研究。参与设计并实施过多个金融、保险、制造业等多个行业 IaaS 和 PaaS 平台设计和应用云原生改造指导。
前 言
NeuVector 是业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全的解决方案。NeuVector 可以提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及容器内部安全,容器管理平台无缝集成并且实现应用级容器安全的自动化,适用于各种云环境、跨云或者本地部署等容器生产环境。
此前,我们介绍了 NeuVector 的安装部署、高可用架构设计和多云安全管理,本篇将演示 NeuVector 的基础功能,主要包括:
- 安全漏洞管理
- 合规性检查和机密性检查
- 策略管理
- 准入控制策略
- 动态安全响应
- 行为监控
项目地址:https://github.com/neuvector/neuvector
本文主要基于 NeuVector 首个开源版 NeuVector:5.0.0-preview.1 进行介绍。
1.安全漏洞管理
NeuVector 集成了 CVE 漏洞库,每天自动更新,支持对平台(Kubernetes)、主机、容器、镜像仓库进行安全漏洞扫描。
配置自动扫描,当平台漏洞库有更新,或有新的节点和容器加入时,会自动进行扫描。
针对不同漏洞,有不同的风险级别提示、对应的组件版本提示和修复版本提示。
针对每个漏洞,NeuVector 可以展示对应的漏洞发布时间、漏洞影响范围、对应的组件影响版本。
对漏洞进行过滤,检测是否已经修复,以及漏洞等级、发布时间等。
1.1. 配置对接镜像仓库漏洞扫描
支持对接多种镜像仓库如 docker-registry(harbor)、JFrog Artifactory、Nexus 等。
以对接 Harbor 为例。配置连接方式,填写连接方式和认证信息,过滤器表示需要扫描的范围,如扫描 uat 项目下全部镜像则 uat/*
,如果需要扫描整个 Harbor 内全部镜像则 * 。测试设置可以验证编写的表达式的关联情况。
2.合规性检查和机密性检查
NeuVector 的合规性审核