Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

SUSE Security Admission Controller

Kubewarden ist eine Richtlinien-Engine, die Ihre Cluster-Ressourcen sichert und verwaltet. Es ermöglicht die Validierung und Mutation von Ressourcenanforderungen über Richtlinien, einschließlich kontextsensitiver Richtlinien und der Überprüfung von Bildsignaturen. Es kann Richtlinien im Überwachungs- oder Durchsetzungsmodus ausführen und bietet einen Überblick über den Zustand des Clusters.

Kubewarden hat das Ziel, die universelle Policy-Engine zu sein, indem es Policy as Code ermöglicht und vereinfacht. Kubewarden-Richtlinien werden in WebAssembly kompiliert: Sie sind klein (400 KB bis 2 MB), werden in einer Sandbox ausgeführt, sicher und portabel. Es zielt darauf ab, universell zu sein, indem es jede Persona in Ihrer Organisation anspricht:

  • Policy-Nutzer: Verwalten und deklarieren Sie Richtlinien mithilfe von Kubernetes Custom Resources, wiederverwenden Sie vorhandene Richtlinien, die in Rego (OPA und Gatekeeper) geschrieben sind. Testen Sie die Richtlinien außerhalb des Clusters in CI/CD.

  • Policy-Entwickler: Schreiben Sie Richtlinien in Ihrer bevorzugten Wasm-kompilierenden Sprache (Rego, Go, Rust, C#, Swift, Typescript und mehr werden folgen). Wiederverwenden Sie das Ökosystem von Tools, Bibliotheken und Workflows, die Sie bereits kennen.

  • Policy-Distributor: Richtlinien sind OCI-Artefakte, stellen Sie sie über Ihr OCI-Repository bereit und verwenden Sie Industriestandards in Ihrer Infrastruktur, wie Software-Bill-Of-Materials und Artefaktsignaturen.

  • Cluster-Operator: Kubewarden ist modular (OCI-Registry, PolicyServer, Audit-Scanner, Controller). Konfigurieren Sie Ihre Implementierung, um Ihren Bedürfnissen gerecht zu werden, und trennen Sie verschiedene Mandanten. Erhalten Sie einen Überblick über vergangene, aktuelle und mögliche Verstöße im gesamten Cluster mit dem Audit-Scanner und den PolicyReports.

  • Kubewarden-Integrator: Verwenden Sie es als Plattform, um neue Kubewarden-Module und benutzerdefinierte Richtlinien zu schreiben.

SUSE Security Admission Controller mit Rancher

Die Upstream-Helm-Charts von Kubewarden sind vollständig als Rancher-Apps integriert und bieten eine Benutzeroberfläche für die Installationsoptionen. Die Charts kommen auch mit Voreinstellungen, die den Rancher-Stack respektieren (zum Beispiel: keine Überwachung der Rancher-System-Namensräume) und Standard-PolicyServer und Richtlinien. Benutzer haben Zugriff auf alle Kubewarden-Funktionen und können PolicyServer und Richtlinien manuell bereitstellen, indem sie mit der Kubernetes-API interagieren (z. B. mit kubectl).

Kubewarden bietet einen vollständigen Ersatz für die entfernten Kubernetes Pod-Sicherheitsrichtlinien. Kubewarden integriert sich auch mit der neuen Pod-Sicherheitszulassungsfunktion, die von einer aktuellen Version von Kubernetes eingeführt wurde, und erweitert deren Sicherheitsfunktionen.

SUSE Security Admission Controller mit Cloud Native

Die verfügbare Rancher UI-Erweiterung für Kubewarden integriert es in die Rancher UI. Die UI-Erweiterung automatisiert die Installation und Konfiguration des Kubewarden-Stacks und konfiguriert den Zugriff auf die von SUSE verwalteten Richtlinien. Die UI-Erweiterung bietet Zugriff auf einen kuratierten Katalog von einsatzbereiten Richtlinien. Mit der UI-Erweiterung kann man diese Richtlinien durchsuchen, installieren und konfigurieren.

Die UI-Erweiterung bietet einen Überblick über die Komponenten des Kubewarden-Stacks und deren Verhalten. Dies umfasst den Zugriff auf die Kubewarden-Metriken und Trace-Events. Ein Operator kann die Auswirkungen der Richtlinien auf den Cluster verstehen und Probleme beheben.

Darüber hinaus bietet die UI-Erweiterung die Policy Reporter UI, die einen visuellen Überblick über den Compliance-Status des Kubernetes-Clusters gibt. Mit dieser UI kann ein Operator schnell alle nicht konformen Kubernetes-Ressourcen identifizieren, die Gründe für Verstöße verstehen und entsprechend handeln. All dies mit dem Unterstützungsangebot von Rancher Prime.