Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Übersicht

NeuVector 5.x ist eine Open-Source-Sicherheitsplattform, die containerzentriert ist und mit Rancher integriert ist. NeuVector bietet Echtzeit-Compliance, Sichtbarkeit und Schutz für kritische Anwendungen und Daten während der Laufzeit. NeuVector stellt eine Firewall, eine Überwachung der Container-Prozesse und des Dateisystems, Sicherheitsaudits mit CIS-Benchmarks sowie Schwachstellenscans bereit. Für weitere Informationen zur Sicherheit von Rancher siehe bitte die Sicherheitsdokumentation.

NeuVector kann über ein Helm-Chart aktiviert werden, das entweder über Apps oder über die Schaltfläche Cluster-Tools in der Rancher-Benutzeroberfläche installiert werden kann. Sobald das Helm-Chart installiert ist, können Benutzer einfach NeuVector-Cluster innerhalb von Rancher bereitstellen und verwalten.

Installation von SUSE Security mit Rancher

Das Harvester Helm-Chart wird verwendet, um den Zugriff auf die NeuVector-Benutzeroberfläche in Rancher zu verwalten, wo Benutzer direkt navigieren können, um ihre NeuVector-Cluster bereitzustellen und zu verwalten.

Um zum NeuVector-Chart über Apps zu navigieren und es zu installieren:

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Gehen Sie auf die Cluster-Seite, wählen Sie den Cluster, in dem Sie NeuVector bereitstellen möchten, und klicken Sie auf Erforschen.

  3. Gehen Sie zu Apps  Charts und installieren Sie NeuVector aus dem Chart-Repo.

  4. Verschiedene Cluster-Typen erfordern unterschiedliche Container-Laufzeiten. Beim Konfigurieren der Helm-Chart-Werte gehen Sie zum Abschnitt Container-Laufzeit und wählen Sie Ihre Laufzeit entsprechend dem Cluster-Typ aus. Klicken Sie schließlich erneut auf Installieren.

Einige Beispiele sind wie folgt:

  • K3s und RKE2: k3scontainerd

  • AKS: containerd für v1.19 und höher

  • EKS: docker für v1.22 und darunter; containerd für v1.23 und höher

  • GKE: containerd (siehe die Google-Dokumentation für mehr)

Es kann während der Installation jeweils nur eine Container-Laufzeit ausgewählt werden.

Um über Cluster-Tools zum NeuVector-Chart zu gelangen und es zu installieren:

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Gehen Sie auf die Cluster-Seite, wählen Sie den Cluster, in dem Sie NeuVector bereitstellen möchten, und klicken Sie auf Erforschen.

  3. Klicken Sie auf Cluster-Tools am unteren Ende der linken Navigationsleiste.

  4. Wiederholen Sie Schritt 4 oben, um Ihre Container-Laufzeit entsprechend auszuwählen, und klicken Sie dann erneut auf Installieren.

Zugriff auf SUSE Security über die Rancher-Benutzeroberfläche

  1. Navigieren Sie zum Cluster-Explorer des Clusters, in dem NeuVector installiert ist. Klicken Sie in der linken Navigationsleiste auf NeuVector.

  2. Klicken Sie auf den externen Link, um zur NeuVector-Benutzeroberfläche zu gelangen. Sobald der Link ausgewählt ist, müssen die Benutzer die END USER LICENSE AGREEMENT akzeptieren, um auf die NeuVector-Benutzeroberfläche zuzugreifen.

Deinstallation von SUSE Security über die Rancher-Benutzeroberfläche

Um von Apps zu deinstallieren:

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Unter Apps klicken Sie auf Installierte Apps.

  3. Unter cattle-neuvector-system wählen Sie sowohl die NeuVector-App (und die zugehörige CRD, falls gewünscht) aus und klicken Sie dann auf Löschen.

Um von Cluster-Tools zu deinstallieren:

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf Cluster-Tools unten links auf dem Bildschirm und dann auf das Papierkorb-Symbol unter dem NeuVector-Chart. Wählen Sie Delete the CRD associated with this app nach Wunsch aus und klicken Sie dann auf Löschen.

GitHub-Repository

Das NeuVector-Projekt ist hier verfügbar.

Dokumentation

Die NeuVector-Dokumentation ist hier verfügbar.

Architektur

Die NeuVector-Sicherheitslösung enthält vier Arten von Sicherheitscontainern: Controller, Enforcer, Manager und Scanner. Ein spezieller Container namens All-in-One wird ebenfalls bereitgestellt, um die Funktionen von Controller, Enforcer und Manager in einem einzigen Container zu kombinieren, hauptsächlich für Docker-native Implementierungen. Es gibt auch einen Updater, der, wenn er ausgeführt wird, die CVE-Datenbank aktualisiert.

  • Controller: Verwaltet den NeuVector Enforcer-Container; bietet REST-APIs für die Verwaltungs-Konsole.

  • Enforcer: Durchsetzen von Sicherheitsrichtlinien.

  • Manager: Bietet eine Web-UI und CLI-Konsole zur Verwaltung der NeuVector-Plattform.

  • All-in-One: Beinhaltet den Controller, Enforcer und Manager.

  • Scanner: Führt die Schwachstellen- und Compliance-Scans für Images, Container und Knoten durch.

  • Updater: Aktualisiert die CVE-Datenbank für NeuVector (wenn ausgeführt); stellt Scanner-Pods neu bereit.

NeuVector Sicherheitscontainer
Figure 1. NeuVector Sicherheitscontainer
NeuVector Architecture
Figure 2. NeuVector Architektur

Um mehr über die Architektur von NeuVector zu erfahren, lesen Sie bitte hier.

CPU- und Speicherzuweisungen

Im Folgenden sind die minimal empfohlenen Rechenressourcen für die NeuVector-Chart-Installation in einer Standardimplementierung aufgeführt. Beachten Sie, dass das Ressourcenlimit nicht festgelegt ist.

Container CPU - Anfrage Speicher - Anfrage

Controller

3 (1GB 1vCPU pro Controller benötigt)

*

Enforcer

Auf allen Knoten (500MB .5vCPU)

1GB

manager

1 (500MB .5vCPU)

*

Scanner

3 (100MB .5vCPU)

*

  • Mindestens 1GB Gesamtspeicher für Controller, Manager und Scanner-Container erforderlich.

Gehärtete Clusterunterstützung - Calico und Canal

RKE2

  • NeuVector-Komponenten Controller und Enforcer können bereitgestellt werden, wenn PSP auf true gesetzt ist.

Gilt nur für NeuVector-Chart-Version 100.0.0+up2.2.0:

  • Für Manager-, Scanner- und Updater-Komponenten sind zusätzliche Konfigurationen erforderlich, wie unten gezeigt:

    kubectl patch deploy neuvector-manager-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch deploy neuvector-scanner-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch cronjob neuvector-updater-pod -n cattle-neuvector-system --patch '{"spec":{"jobTemplate":{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}}}'

    Sie müssen zusätzliche Konfigurationen für Ihre gehärtete Cluster-Umgebung festlegen.

    Sie müssen Ihre Konfiguration sowohl in RKE2 als auch in K3s gehärteten Clustern wie unten gezeigt aktualisieren.

    1. Klicken Sie auf ☰ > Clusterverwaltung.

    2. Gehen Sie zu dem Cluster, das Sie erstellt haben, und klicken Sie auf Erforschen.

    3. Klicken Sie in der linken Navigationsleiste auf Apps.

    4. Installieren (oder aktualisieren auf) NeuVector-Version 100.0.1+up2.2.2.

      1. Unter Optionen bearbeiten > Weitere Konfiguration aktivieren Sie Pod-Sicherheitsrichtlinie, indem Sie das Kästchen ankreuzen. Beachten Sie, dass Sie auch einen Wert größer als zero für Manager runAsUser ID, Scanner runAsUser ID und Updater runAsUser ID eingeben müssen:

        PSP für RKE2 und K3s gehärtete Cluster aktivieren

    5. Klicken Sie auf Installieren unten rechts, um abzuschließen.

SELinux-aktivierte Clusterunterstützung – Calico und Canal

Um SELinux in RKE2-Clustern zu aktivieren, befolgen Sie die folgenden Schritte:

  • NeuVector-Komponenten Controller und Enforcer können bereitgestellt werden, wenn PSP auf true gesetzt ist.

Gilt nur für NeuVector-Chart-Version 100.0.0+up2.2.0:

  • Für Manager-, Scanner- und Updater-Komponenten sind zusätzliche Konfigurationen erforderlich, wie unten gezeigt:

kubectl patch deploy neuvector-manager-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch deploy neuvector-scanner-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch cronjob neuvector-updater-pod -n cattle-neuvector-system --patch '{"spec":{"jobTemplate":{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}}}'

Clusterunterstützung in einer Air-Gapped-Umgebung

  • Alle NeuVector-Komponenten sind in einem Cluster in einer Air-Gapped-Umgebung ohne zusätzliche Konfiguration einsetzbar.

Unterstützungsbeschränkungen

  • Derzeit werden nur Administratoren und Clusterbesitzer unterstützt.

  • Die Bereitstellung von Fleet in mehreren Clustern wird nicht unterstützt.

  • NeuVector wird in einem Windows-Cluster nicht unterstützt.

Weitere Einschränkungen

  • Derzeit schlägt die Bereitstellung des NeuVector-Feature-Charts fehl, wenn bereits ein NeuVector-Partner-Chart vorhanden ist. Um dieses Problem zu umgehen, deinstallieren Sie das NeuVector-Partner-Chart und installieren Sie das NeuVector-Feature-Chart erneut.

  • Manchmal ist die NeuVector-Benutzeroberfläche nicht über die Rancher-Benutzeroberfläche zugänglich, wenn die Controller nicht bereit sind. In dieser Zeit versuchen die Controller, neu zu starten, und es dauert einige Minuten, bis die Controller aktiv sind.

  • Die Container-Laufzeit wird beim Installieren des NeuVector-Charts für verschiedene Clusterarten nicht automatisch erkannt. Um dies zu umgehen, können Sie die Laufzeit manuell angeben.