Phiên bản >>

Dùng thử >>

HDSD >>

Yêu cầu hệ thống >>

Xuất xứ >>

Mô tả: NeuVector là nền tảng bảo mật vùng chứa container Zero Trust 100% mã nguồn mở duy nhất. Quét liên tục trong suốt vòng đời của container. Loại bỏ các rào cản an ninh. Áp dụng các chính sách bảo mật ngay từ đầu để tối đa hóa tính linh hoạt của nhà phát triển.

Tổng quan về phần mềm

Overview - Tổng quan

NeuVector cung cấp nền tảng bảo mật container đầu cuối mạnh mẽ. Điều này bao gồm quét lỗ hổng từ đầu đến cuối và bảo vệ toàn diện trong thời gian chạy cho containers, pods và máy chủ hosts, bao gồm:

1. Kiểm soát tiếp nhận và quản lý lỗ hổng CI/CD (CI/CD Vulnerability Management & Admission Control). Quét hình ảnh bằng plugin Jenkins, quét các registry và thực thi các quy tắc kiểm soát tiếp nhận “Admission control rules” để triển khai vào sản xuất.
2. Bảo vệ vi phạm (Violation Protection). Phát hiện hành vi và tạo chính sách dựa trên danh sách trắng để phát hiện các hành vi vi phạm hành vi thông thường.
3. Phát hiện mối đe dọa (Threat Detection). Phát hiện các cuộc tấn công ứng dụng phổ biến như tấn công DDoS và DNS trên vùng chứa.
4. Cảm biến DLP và WAF (DLP and WAF Sensors). Kiểm tra lưu lượng truy cập mạng để ngăn chặn mất dữ liệu đối với dữ liệu nhạy cảm và phát hiện các cuộc tấn công OWASP Top10 WAF phổ biến.
5. Quét lỗ hổng trong thời gian chạy (Run-time Vulnerability Scanning). Quét các registry, hình ảnh và các nền tảng và máy chủ điều phối bộ chứa đang chạy để tìm các lỗ hổng phổ biến (CVE) cũng như các lỗ hổng cụ thể của ứng dụng.
6. Tuân thủ & Kiểm toán (Compliance & Auditing). Tự động chạy các bài kiểm tra Docker Bench và Kubernetes CIS Benchmarks.
7. Bảo mật điểm cuối/máy chủ (Endpoint/Host Security). Phát hiện sự leo thang đặc quyền, giám sát các quy trình và hoạt động tệp trên máy chủ và trong vùng chứa, đồng thời giám sát hệ thống tệp vùng chứa để phát hiện hoạt động đáng ngờ.
8. Quản lý đa cụm (Multi-cluster Management). Giám sát và quản lý nhiều cụm Kubernetes từ một bảng điều khiển duy nhất.

Các tính năng khác của NeuVector bao gồm khả năng cách ly các vùng chứa và xuất nhật ký thông qua SYSLOG và webhooks, bắt đầu chụp gói “packet capture” để điều tra và tích hợp với OpenShift RBAC, LDAP, Microsoft AD và SSO với SAML. Lưu ý: Cách ly có nghĩa là tất cả lưu lượng truy cập mạng đều bị chặn. Vùng chứa container sẽ vẫn còn và tiếp tục chạy - chỉ cần không có bất kỳ kết nối mạng nào. Kubernetes sẽ không khởi động vùng chứa container để thay thế vùng chứa bị cách ly vì máy chủ api vẫn có thể truy cập vùng chứa.

Vùng chứa bảo mật (Security Containers)

Giải pháp bảo mật vùng chứa container trong thời gian chạy NeuVector chứa bốn loại vùng chứa bảo mật: Bộ điều khiển (Controllers), Bộ thực thi (Enforcers), Trình quản lý (Managers) và Bộ quét (Scanners). Một vùng chứa đặc biệt có tên Allinone cũng được cung cấp để kết hợp tất cả các chức năng của Bộ điều khiển (Controllers), Bộ thực thi (Enforcers) và Trình quản lý (Managers) trong một vùng chứa, chủ yếu dành cho việc triển khai gốc docker.

NeuVector có thể được triển khai trên các máy ảo hoặc trên các hệ thống máy chủ vật lý Bare Metal Systems với một hệ điều hành duy nhất.

Bộ điều khiển (Controller)

Bộ điều khiển (Controller) quản lý cụm NeuVector Enforcer container cluster. Nó cũng cung cấp API REST cho bảng điều khiển quản lý. Mặc dù việc triển khai thử nghiệm thông thường có một Bộ điều khiển (Controller) nhưng nên sử dụng nhiều Bộ điều khiển (Controller) trong cấu hình có tính sẵn sàng cao. 3 Bộ điều khiển (Controller) là mặc định trong mẫu triển khai Kubernetes Production yaml.

Bộ thực thi (Enforcer)

Bộ thực thi (Enforcer) là một vùng chứa container nhẹ để thực thi các chính sách bảo mật. Một bộ thực thi (Enforcer) phải được triển khai trên mỗi nút (máy chủ), ví dụ: như một Daemon set.

GHI CHÚ

Đối với các triển khai Docker gốc (không phải Kubernetes), không thể triển khai bộ chứa Enforcer và Bộ điều khiển trên cùng một nút (ngoại trừ trường hợp Tất cả trong một bên dưới).

Trình quản lý (Manager)

Trình quản lý (Manager) là một vùng chứa container không trạng thái cung cấp bảng điều khiển giao diện người dùng web (chỉ HTTPS) để người dùng quản lý giải pháp bảo mật NeuVector. Có thể triển khai nhiều vùng chứa trình quản lý Manager container  khi cần thiết.

Vùng chứa hợp thành (All-in-One)

Bộ chứa Tất cả trong (All-in-One container) Một bao gồm Bộ điều khiển (Controller), Bộ thực thi (Enforcer) và Trình quản lý (Manager) trong một gói. Nó rất hữu ích để dễ dàng cài đặt trong triển khai một nút hoặc quy mô nhỏ.

Bộ quét (Scanner)

Bộ quét (Scanner) là một vùng chứa container thực hiện quét lỗ hổng và tuân thủ đối với hình ảnh, vùng chứa và nút. Nó thường được triển khai dưới dạng bản sao và có thể mở rộng quy mô lên bao nhiêu bộ quét song song tùy thích để tăng hiệu suất quét. Bộ điều khiển (Controller) chỉ định công việc quét cho từng bộ quét có sẵn theo kiểu quét vòng tròn cho đến khi tất cả các lần quét được hoàn thành. Bộ quét (Scanner) cũng chứa cơ sở dữ liệu CVE mới nhất và được NeuVector cập nhật thường xuyên.

Trình cập nhật (Updater)

Trình cập nhật (Updater) là một vùng chứa container mà khi chạy sẽ cập nhật cơ sở dữ liệu CVE cho NeuVector. NeuVector thường xuyên xuất bản các hình ảnh quét mới để bao gồm CVE mới nhất để quét lỗ hổng. Trình cập nhật (Updater) sẽ triển khai lại tất cả các nhóm máy quét bằng cách triển khai về 0 và tăng tỷ lệ sao lưu, buộc phải kéo hình ảnh máy quét đã cập nhật.

Kiến ​​​​trúc (Architecture)
 

Dưới đây là tổng quan về kiến trúc chung của NeuVector. Không hiển thị hộp chứa bộ quét riêng biệt, cũng có thể chạy như một bộ quét đường ống độc lập.

Ví dụ triển khai

Để biết các mô hình triển khai phổ biến và các phương pháp hay nhất, hãy tham khảo bài viết Triển khai/Các phương pháp thực hành tốt nhất.

All-in-One và Enforcers
 

Việc triển khai này lý tưởng cho các môi trường một nút hoặc quy mô nhỏ, chẳng hạn như để đánh giá, thử nghiệm và triển khai nhỏ. Bộ chứa tất cả trong một “All-in-One container” được triển khai trên một nút, nút này cũng có thể là nút có bộ chứa ứng dụng đang chạy. Một bộ thực thi (Enforcer) có thể được triển khai trên tất cả các nút khác, với một bộ thực thi (Enforcer) được yêu cầu trên mỗi nút mà bạn muốn bảo vệ bằng NeuVector. Điều này cũng hữu ích cho việc triển khai Docker gốc nơi bộ điều khiển và trình thực thi không thể chạy trên cùng một máy chủ.

Controller, Manager và Enforcer Containers
 

Đây là trường hợp sử dụng triển khai chung hơn, bao gồm một hoặc nhiều Bộ điều khiển (Controllers), một Trình quản lý (Manager) và một bộ bộ thực thi (Enforcers). Bộ điều khiển (Controllers) và Trình quản lý (Manager) có thể được triển khai trên cùng một nút hoặc trên các nút khác với Trình thực thi.

All-in-One Only
 

Bạn có thể triển khai chỉ vùng chứa allinone container để quét sổ đăng ký registry, sử dụng plugin Jenkins hoặc thử nghiệm một nút đơn giản của NeuVector.

Controller Only
 

Có thể triển khai một bộ chứa bộ điều khiển Controller container và/hoặc bộ quét duy nhất để quản lý việc quét lỗ hổng bên ngoài một cụm, chẳng hạn như để sử dụng với trình cắm thêm Jenkins plugin. Việc quét sổ đăng ký registry cũng có thể được Bộ điều khiển (Controllers) thực hiện bằng cách sử dụng riêng API REST, nhưng thông thường, bộ chứa trình quản lý Manager container cũng được yêu cầu để cung cấp cấu hình dựa trên bảng điều khiển và xem kết quả để quét sổ đăng ký.

Tại sao nên sử dụng NeuVector để bảo mật container?

Bảo mật container cấp doanh nghiệp

• Bảo vệ các ứng dụng gốc trên nền tảng đám mây của bạn từ khi xây dựng đến khi triển khai bằng tính năng quét lỗ hổng, đảm bảo hình ảnh, bảo mật thời gian chạy và phân đoạn mạng.​

Zero trust protection

• Đảm bảo tính toàn vẹn của môi trường của bạn bằng các chính sách nghiêm ngặt nhằm bảo vệ tài sản, kiểm soát quyền truy cập và thực hiện xác minh liên tục.​

Tuân thủ rõ ràng

• Đạt được sự tuân thủ quy định và quản trị bằng tính năng kiểm tra và báo cáo tích hợp. Đơn giản hóa việc điều tra sự cố với khả năng hiển thị theo thời gian thực trên các nhật ký và báo cáo chi tiết.​

Tích hợp dễ dàng với DevOps​

• Kết hợp liền mạch khả năng bảo mật mạnh mẽ vào quy trình làm việc DevOps hiện có bằng các chính sách bảo mật tự động và tích hợp quy trình CI/CD.

Key features - Các tính năng chính

Tường lửa bảo mật mạng Network Security Container Firewall

• Layer 7 – lớp ứng dụng “Application layer” – kiểm tra mạng
• Kiểm tra gói sâu (DPI - Deep Packet Inspection) với Container DLP
• Phân đoạn ứng dụng và bảo vệ khỏi mối đe dọa ngay cả với các lưới dịch vụ được mã hóa, ví dụ: Istio, Linkerd2
• Phát hiện các mối đe dọa “Detect threats”: DDoS, DNS, SQL Insert, SlowLoris…
• Phát hiện đường hầm “Tunneling detection” – ICMP, quy tắc xâm nhập và đầu ra DNS được thực thi theo tên DNS hoặc IP
• Chụp gói “Packet capture”: tập tin pcap tự động và thủ công
• Quy tắc danh sách trắng “whitelist rules” dựa trên học tập hành vi tự động
• Trực quan hóa thời gian thực các vùng chứa, kết nối, vi phạm, mối đe dọa với chi tiết mạng
• Quy tắc danh sách trắng / danh sách đen có thể tùy chỉnh dựa trên namespace, label, IP address, DNS name, v.v.
• DLP: credit card, PII, accounts, kết hợp biểu thức chính quy khác
• 3 – chế độ: Khám phá “Discover”, Giám sát “Monitor”, Bảo vệ “Protect” cho các dịch vụ, chạy ở chế độ tap/mirror hoặc nội tuyến (chặn)
• Phát hiện ứng dụng và giao thức “Application & protocol detection”: HTTP/S, SSL, SSH, DNS, DNCP, NTP, TFTP, ECHO, RTSP, SIP, ICMP, MySQL, Oracle SQL, MS SQL, Redis, Zookeeper, Cassandra, MongoDB, PostgresSQL, Kafka, Couchbase , ActiveMQ, ElasticSearch, RabbitMQ, Radius, VoltDB, Consul, Syslog, Etcd, Spark, Apache, Nginx, Jetty, NodeJS, gRPC, v.v.

Phát hiện và ngăn ngừa sự cố vùng chứa trong thời gian chạy (Run-Time Container Incident Detection & Prevention)

• Đường cơ sở của quy trình container, giám sát, chặn bao gồm trái phép, quét cổng, đảo ngược shell
• Leo thang đặc quyền gốc và phát hiện đột phá
• Giám sát, chặn và tự động quét lại hệ thống tệp vùng chứa

Cảnh báo, ghi nhật ký và phản hồi (Alerting, Logging & Response)

• Quy tắc ứng phó sự cố tự động - có thể tùy chỉnh
• Cảnh báo và ghi nhật ký theo nguồn, đích, vùng chứa, dữ liệu sự cố khác và được gửi qua SYSLOG hoặc webhooks
• Chặn các vi phạm và mối đe dọa trên mỗi kết nối, cách ly
• Bắt đầu chụp gói và tải xuống các tệp PCAP

Quản lý lỗ hổng, tuân thủ và kiểm tra (Vulnerability Management, Compliance & Auditing)

• Quét toàn bộ lỗ hổng trong vòng đời (CVE - Full life-cycle vulnerability) và tuân thủ – trong quá trình xây dựng, quét sổ đăng ký và thời gian chạy. Các plug-in cho Jenkins, CircleCI, Bamboo… cộng với API REST
• Quét ngôn ngữ bao gồm java, ruby, python, nodejs
• Quét sổ đăng ký registry để tìm Docker, AWS ECR, Azure ACR, GCR, jFrog, RedHat/OpenShift, Gitlab, Nexus, IBM, v.v.
• Điểm chuẩn bảo mật Kubernetes, GKE, OpenShift CIS
• Kiểm tra và quét bí mật để tìm hơn 20 loại bí mật
• Quy tắc kiểm soát truy cập chặn hình ảnh dễ bị tấn công
• Các mẫu tuân thủ PCI, GDPR, HIPAA, NIST, v.v.

Bảo mật máy chủ và nền tảng (Host & Platform Security)

• Quét lỗ hổng bảo mật – trực tiếp trong thời gian chạy, dành cho máy chủ và nền tảng điều phối như Kubernetes
• Quá trình đáng ngờ, hoạt động hệ thống tệp và phát hiện leo thang đặc quyền, với tính năng chặn quy trình máy chủ
• Kiểm tra điểm chuẩn Kubernetes, OpenShift, Docker CIS benchmark tests

Tự động hóa và tích hợp trên nền tảng đám mây (Cloud-Native Automation and Integration)

• Tích hợp với các nền tảng điều phối và quản lý: Kubernetes, Red Hat OpenShift (bộ chứa và nhà điều hành được chứng nhận), Rancher (danh mục được liệt kê), AWS ECS/EKS, Mesos, v.v., Google GCP/GKE, Azure/AKS, IBM Cloud, OKE, PKS , Diamanti, VMWare Tanzu, PKS
• Tương thích với các plug-in và lớp phủ mạng bao gồm Calico, Flannel, Weave, OpenShift, v.v. Cảnh báo/tương quan nâng cao hỗ trợ SYSLOG / SIEM
• Thông báo webhook có thể tùy chỉnh
• Hỗ trợ LDAP/Active Directory, OIDC và SAML để ánh xạ vai trò/nhóm và đăng nhập một lần (SSO), RBAC OpenShift tự động, hỗ trợ vai trò tùy chỉnh
• Tự động hóa thông qua ConfigMaps, CRD, REST API và CLI để triển khai Chính sách dưới dạng mã “‘Policy as Code’” trên nền tảng đám mây
• Hỗ trợ thời gian chạy: docker, containerd, CRI-O
• Nền tảng được hỗ trợ: tất cả các bản phân phối linux chính chạy Docker engine CE hoặc EE, bao gồm RHEL, Ubuntu, Debian, CentOS, CoreOS, SuSE

Giám sát, trực quan hóa và báo cáo tài nguyên (Resource Monitoring, Visualization & Reporting)

• Khai thác bảng thông tin chấm điểm rủi ro bằng cách sử dụng và phân tích giao thức ứng dụng – các báo cáo PDF & CSV có thể tải xuống bao gồm PCI, HIPAA, NIST, GDPR
• Bảng điều khiển quản lý đơn và đa cụm để quản lý chính sách liên kết và giám sát rủi ro
• Kiểm tra container labels, port và volume mappings, processes, service và namespaces
• Giám sát mức tiêu thụ tài nguyên vùng chứa bao gồm CPU, bộ nhớ, lịch sử quy trình và các gói mạng

Hiệu suất, tính sẵn sàng cao và bảo mật (Performance, High Availability & Security)

• Bộ chứa 'Enforcer' nhẹ trên mỗi máy chủ hỗ trợ thông lượng lọc mạng nhiều Gb/s
• Nhóm bộ quét song song “Parallel scanner pods” cho khả năng mở rộng quét lớn
• Khách hàng đã chứng minh và thử nghiệm tới 1000 cụm nút
• CPU và bộ nhớ có thể được phân bổ cho các vùng chứa NeuVector containers để đảm bảo hiệu suất và có thể mở rộng
• Nhiều bộ chứa Bộ điều khiển (Controller) để có tính sẵn sàng cao
• Vùng chứa NeuVector containers được tăng cường, giám sát và chứng nhận bởi Docker và Red Hat OpenShift
• Bộ nhớ dành cho Bộ điều khiển (Controller) và Bộ thực thi (Enforcer) được đề xuất: 1GB

Nguồn: https://www.suse.com/products/neuvector/