02.neuvector之Enforcer容器功能介绍

最新推荐文章于 2024-09-27 20:07:43 发布
最新推荐文章于 2024-09-27 20:07:43 发布
阅读量462 收藏 11
点赞数 11
文章标签: 开发语言 安全 docker k8s golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42009262/article/details/135575492
版权
本文详细介绍了Enforcer容器在neuvector系统中的角色,包括网络策略执行、数据采集上报、与controller的通信机制,以及agent和dp进程间的socket通信过程。
摘要由CSDN通过智能技术生成

原文链接

一、功能介绍

Enforcer容器在neuvector中主要负责网络与DLP/WAF的规则策略的实现以及网络数据的采集上报;

以DaemonSet的方式运行,主要有三个进程monitor、agent、dp;进程分别主要职责如下:

  1. monitor:负责监控其他进程是否正常运行以及资源消耗等;
  2. agent:负责与controller容器进行交互,通过grpc与consul实现数据上报与策略下发,其中进程与文件的策略学习与防护由agent做,网络相关具体实现由dp进程实现;
  3. dp:负责网络的数据采集上报,网络拦截告警等相关功能;

二、进程间通信

dp/ctrl.c中的dp_ctrl_loop方法与agent/dp/dp.go中的listenDP和connectDP方法监(“/tmp/dp_listen.sock"和”/tmp/ctrl_listen.sock")两个socket以实现agent与dp侧数据通信。

相关的通信图如下:

image.png

具体代码如下:
1.agent侧

1.1通过listenDP方法监听socket = “/tmp/ctrl_listen.sock” 从ctrl.c:dp_ctrl_loop获取对应的信息,然后更新威胁日志、域名转换ip、网络连
接、应用的mac地址更新

image.png

1.2 通过monitorDP方法监听 DPServer string = “/tmp/dp_listen.sock”, agent侧在service.go中可以通过dp侧获取到相关数据转化成
CLUSDatapathCounter、CLUSMetry、CLUSSessionCounter、CLUSSession、CLUSMeter等数据, Controller侧通过grpc的方法调用
service的方法获取到上述数据信息。

image.png

2.dp侧

2.1.dp/ctrl.c中的dp_ctrl_loop方法通过与agent监听socket(/tmp/dp_listen.soc)实现从agent侧获取对应的数据。(agent侧最终会将对应key的数据通过dpSendMsgExSilent等方法传输给socket)。

image.png

2.2 dp_ctrl_loop方法收到socket侧的数据后调用dp_ctrl_handler(g_ctrl_fd)函数进行遍历处理,通过识别对应的key采取对应的措施。

image.png

每天一个秃顶小技巧
关注
通过 Rancher 实现 NeuVector 安全事件监控和告警
Rancher
02-14 1077
NeuVector 是 SUSE 开源的端到端的全生命周期容器安全管理平台,目前 NeuVector 默认只在平台内对安全事件进行提示,并没有直观的对外输出口,本文将介绍如何通过 Rancher 的监控功能实现 NeuVector 安全事件的监控和告警。
实用教程 | 云原生安全平台 NeuVector 部署
Rancher
03-07 1186
作者简介 万绍远,CNCF 基金会官方认证 Kubernetes CKA&CKS 工程师,云原生解决方案架构师。对 ceph、Openstack、Kubernetes、prometheus 技术和其他云原生相关技术有较深入的研究。参与设计并实施过多个金融、保险、制造业等多个行业 IaaS 和 PaaS 平台设计和应用云原生改造指导。 前 言 NeuVector 是业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全的解决方案。本文将从以下 5 个方面详细介绍如何部署 Neu.
01.neuvector防护平台功能实现设计
qq_42009262的博客
01-13 1235
本篇文章主要讲neuvector大概的设计与实现,功能实现细节可查看后续文章,
开源容器安全平台 NeuVector
mccruixi的博客
05-23 1433
NeuVector 本身包含 Controller、Enforcer、Manager、Scanner 和 Updater 模块。Controller :整个 NeuVector 的控制模块,API 入口,包括配置下发,高可用主要考虑 Controller 的 HA ,通常建议部署 3 个 Controller 模块组成集群。Enforcer :主要用于安全策略部署下发和执行,DaemonSet 类型会在每个节点部署。
推荐文章:NeuVector - 容器全生命周期安全防护平台
gitblog_00088的博客
05-16 452
推荐文章:NeuVector - 容器全生命周期安全防护平台 neuvector项目地址:https://gitcode.com/gh_mirrors/ne/neuvector 1、项目介绍 NeuVector 是一款强大的容器全生命周期安全平台,它提供了一种云原生的解决方案,从DevOps阶段的漏洞保护到自动化的运行时安全,都能提供无妥协的端到端保护。这款解决方案还包括了一个真正实现第7层(L...
Rainbond结合NeuVector实践容器安全管理
Mrex326428的博客
05-10 636
前言 Rainbond 是一个云原生应用管理平台,使用简单,不需要懂容器、Kubernetes和底层复杂技术,支持管理多个Kubernetes集群,和管理企业应用全生命周期。但是随着云原生时代的一点点进步,层出不穷的网络容器安全事件的出现,也是让大家对于容器安全,网络安全的重要性,有了更进一步的想法,Rainbond 为了保证用户在使用的过程中不出现类似的容器安全事件,特别适配整合了 NeuVectorNeuVector 是业界首个端到端的开源容器安全平台,为容器化工作负载提供企业级零信任安全的解决方案
K8S部署NeuVector云原生安全平台
shirtarm123的博客
08-15 562
NeuVector 是业界首个端到端的开源容器安全平台,也是唯一为容器化工作负载提供企业级零信任安全的解决方案。- **Kubernetes 原生**:提供端到端的漏洞管理、自动化 CI/CD 渠道安全、全面的运行时安全,以及对零日漏洞和内部威胁的防御。- **零信任**:安全策略即代码模型允许在应用程序流程的一开始就限制对网络、应用程序和环境的访问控制,优化性能和用户体验。
05.neuvector网络学习与管控实现
qq_42009262的博客
01-13 1238
dp侧收到ctrl_add_tap_port数据后,执行路径如下dp_ctrl_handler->dp_ctrl_add_tap_port->dp_data_add_tap->dp_alloc_context->dp_open_socket(创建AF_PACKET的socket并绑定容器的网络接口eth0)->dp_ring_v1(通过setsockopt创建的接收的环形缓冲区-)
implementation-enforcer:自动从code.google.compimplementation-enforcer导出
05-08
#Implementation Enforcer提供一种方法来定义如何强制其标准Java代码无法实施其...import ordiel.enforcer.MethodRequester; import ordiel.enforcer.Types.Void; @MethodRequester( identifier = "aMethod", type =
GetDataPrivacy.com - Privacy Enforcer-crx插件
04-03
语言:English 您的隐私是正确的。 您的数据是一种风险。 GetPrivacyData.com授权您接收对两者的控制。 https://getdataprivacy.com ... 新的隐私法授予您在请求中删除您收集的请求数据的权利 - 我们使其变得简单。
maven冲突解决-enforcer插件介绍
热门推荐
elricboa的专栏
11-22 1万+
项目使用maven管理jar依赖时有时候会有一些jar之间冲突和类冲突的情况,需要人肉排查。 maven插件enforcer正是解决此问题排查的工具 enforcer插件基本配置及规则列表 enforcer配置示例 org.apache.maven.plugins maven-enforcer-plugin
网站建设中常见的网站后台开发语言有哪几种,各自优缺点都是什么?
2301_80154636的博客
09-24 1626
总的来说,每种语言都有其特定的优势和局限,选择哪种语言取决于项目需求、团队技能和预期的维护成本等多种因素。理解这些语言的核心特性和适用场景可以帮助开发者做出更明智的选择,从而有效提升项目的成功率和开发效率。这些语言各有其独特的优缺点,适用于不同的开发场景和需求。市场上常见的网站后台开发语言有。
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 629
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1475
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
个人计算机与网络的安全
nn_84的博客
09-24 433
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 509
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1178
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1285
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
enforcer.enforce
09-01
"enforcer.enforce"通常是指在一个权限管理框架或访问控制系统中,用于强制执行特定规则或策略的功能。它通常涉及到软件系统中的角色、权限和策略定义,比如OAuth、RBAC (Role-Based Access Control) 或者一些自定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

每天一个秃顶小技巧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值