Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Descripción general

NeuVector 5.x es una plataforma de seguridad centrada en contenedores de código abierto que está integrada con Rancher. NeuVector ofrece cumplimiento en tiempo real, visibilidad y protección para aplicaciones y datos críticos durante el tiempo de ejecución. NeuVector proporciona un firewall, monitorización de procesos/sistema de archivos de contenedores, auditoría de seguridad con benchmarks CIS y escaneo de vulnerabilidades. Para más información sobre la seguridad de Rancher, por favor consulta la documentación de seguridad.

NeuVector se puede habilitar a través de un gráfico de Helm que puede ser instalado ya sea a través de Apps o mediante el botón Herramientas de Clúster en la interfaz de usuario de Rancher. Una vez que el gráfico de Helm está instalado, los usuarios pueden fácilmente desplegar y gestionar clústeres de NeuVector dentro de Rancher.

Instalando SUSE Security con Rancher

El gráfico de Helm de Harvester se utiliza para gestionar el acceso a la interfaz de usuario de NeuVector en Rancher, donde los usuarios pueden navegar directamente para desplegar y gestionar sus clústeres de NeuVector.

Para navegar e instalar el gráfico de NeuVector a través de Apps:

  1. Haz clic en ☰ > Gestión de Clústeres.

  2. En la página de Clusters, ve al clúster donde deseas desplegar NeuVector y haz clic en Explorar.

  3. Ve a Apps  Charts e instala NeuVector desde el repositorio de gráficos.

  4. Diferentes tipos de clústeres requieren diferentes entornos de ejecución de contenedor. Al configurar los valores del gráfico de Helm, ve a la sección Container Runtime y selecciona tu entorno de ejecución de contenedor de acuerdo con el tipo de clúster. Finalmente, haz clic en Instalar de nuevo.

Algunos ejemplos son los siguientes:

  • K3s y RKE2: k3scontainerd

  • AKS: containerd para v1.19 y superior

  • EKS: docker para v1.22 y inferior; containerd para v1.23 y superior

  • GKE: containerd (consulta la documentación de Google para más información)

Solo se puede seleccionar un entorno de ejecución de contenedor a la vez durante la instalación.

Para navegar e instalar el gráfico de NeuVector a través de Herramientas de Clúster:

  1. Haz clic en ☰ > Gestión de Clústeres.

  2. En la página de Clusters, ve al clúster donde deseas desplegar NeuVector y haz clic en Explorar.

  3. Haz clic en Herramientas de Clúster en la parte inferior de la barra de navegación izquierda.

  4. Repite el paso 4 anterior para seleccionar tu entorno de ejecución de contenedor en consecuencia, luego haz clic en Instalar de nuevo.

Accediendo a SUSE Security desde la interfaz de usuario de Rancher

  1. Navega hasta el explorador de clústeres del clúster donde está instalado NeuVector. En la barra de navegación izquierda, haz clic en NeuVector.

  2. Haz clic en el enlace externo para ir a la interfaz de usuario de NeuVector. Una vez que se seleccione el enlace, los usuarios deben aceptar el END USER LICENSE AGREEMENT para acceder a la interfaz de usuario de NeuVector.

Desinstalando SUSE Security desde la interfaz de usuario de Rancher

Para desinstalar desde Aplicaciones:

  1. Haz clic en ☰ > Gestión de Clústeres.

  2. Bajo Apps, haz clic en Installed Apps.

  3. Bajo cattle-neuvector-system, selecciona tanto la app de NeuVector (y el CRD asociado si lo deseas), luego haz clic en Eliminar.

Para desinstalar desde Herramientas de Clúster:

  1. Haz clic en ☰ > Gestión de Clústeres.

  2. Haz clic en Herramientas de Clúster en la parte inferior izquierda de la pantalla, luego haz clic en el icono de la papelera bajo el gráfico de NeuVector. Selecciona Delete the CRD associated with this app si lo deseas, luego haz clic en Eliminar.

Repositorio de GitHub

El proyecto NeuVector está disponible aquí.

Documentación

La documentación de NeuVector está aquí.

Arquitectura

La solución de seguridad de NeuVector contiene cuatro tipos de contenedores de seguridad: Controladores, Enforcer, Gestores y Escáneres. También se proporciona un contenedor especial llamado All-in-One para combinar las funciones de Controlador, Enforcer y Gestor en un solo contenedor, principalmente para implementaciones nativas de Docker. También se incluye un Updater que, al ejecutarse, actualizará la base de datos CVE.

  • Controlador: Gestiona el contenedor NeuVector Enforcer; proporciona APIs REST para la consola de gestión.

  • Enforcer: Aplica políticas de seguridad.

  • Gestor: Proporciona una interfaz web y una consola CLI para gestionar la plataforma NeuVector.

  • All-in-One: Incluye el Controlador, Enforcer y Gestor.

  • Scanner: Realiza el escaneo de vulnerabilidades y cumplimiento para imágenes, contenedores y nodos.

  • Updater: Actualiza la base de datos CVE para NeuVector (cuando se ejecuta); vuelve a desplegar los pods del escáner.

Contenedores de Seguridad NeuVector
Figure 1. Contenedores de Seguridad NeuVector
Arquitectura de NeuVector
Figure 2. Arquitectura de NeuVector

Para aprender más sobre la arquitectura de NeuVector, por favor consulta aquí.

Asignaciones de CPU y Memoria

A continuación se presentan los recursos informáticos mínimos recomendados para la instalación del gráfico de NeuVector en un despliegue predeterminado. Ten en cuenta que el límite de recursos no está establecido.

Contenedor CPU - Solicitud Memoria - Solicitud

Controlador

3 (1GB 1vCPU necesario por controlador)

*

Enforcer

En todos los nodos (500MB .5vCPU)

1GB

Manager

1 (500MB .5vCPU)

*

Escáner

3 (100MB .5vCPU)

*

  • Se requiere un mínimo de 1GB de memoria total para los contenedores de Controlador, Gestor y Escáner combinados.

Soporte de Clúster Endurecido - Calico y Canal

RKE2

  • Los componentes de NeuVector Controller y Enforcer son desplegables si PSP está configurado como verdadero.

Aplicable solo a la versión del gráfico de NeuVector 100.0.0+up2.2.0:

  • Para los componentes Gestor, Escáner y Actualizador, se requiere configuración adicional como se muestra a continuación:

    kubectl patch deploy neuvector-manager-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch deploy neuvector-scanner-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch cronjob neuvector-updater-pod -n cattle-neuvector-system --patch '{"spec":{"jobTemplate":{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}}}'

    Necesitarás establecer configuración adicional para tu entorno de clúster endurecido.

    Debes actualizar tu configuración en ambos clústeres endurecidos RKE2 y K3s como se muestra a continuación.

    1. Haz clic en ☰ > Gestión de Clústeres.

    2. Ve al clúster que creaste y haz clic en Explorar.

    3. En la barra de navegación izquierda, haz clic en Apps.

    4. Instala (o actualiza a) la versión de NeuVector 100.0.1+up2.2.2.

      1. Bajo Editar Opciones > Otra Configuración, habilita Política de Seguridad de Pods marcando la casilla. Ten en cuenta que también debes ingresar un valor mayor que zero para Manager runAsUser ID, Scanner runAsUser ID y Updater runAsUser ID:

        Habilitar PSP para Clústeres Endurecidos RKE2 y K3s

    5. Haz clic en Instalar en la parte inferior derecha para completar.

Soporte de Clúster con SELinux habilitado - Calico y Canal

Para habilitar SELinux en clústeres RKE2, sigue los pasos a continuación:

  • Los componentes de NeuVector Controller y Enforcer son desplegables si PSP está configurado como verdadero.

Aplicable solo a la versión del gráfico de NeuVector 100.0.0+up2.2.0:

  • Para los componentes Gestor, Escáner y Actualizador, se requiere configuración adicional como se muestra a continuación:

kubectl patch deploy neuvector-manager-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch deploy neuvector-scanner-pod -n cattle-neuvector-system --patch '{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}'
kubectl patch cronjob neuvector-updater-pod -n cattle-neuvector-system --patch '{"spec":{"jobTemplate":{"spec":{"template":{"spec":{"securityContext":{"runAsUser": 5400}}}}}}}'

Soporte de clúster en un entorno aislado

  • Todos los componentes de NeuVector son desplegables en un clúster en un entorno aislado sin necesidad de configuración adicional.

Limitaciones de soporte

  • Actualmente, solo se admite a administradores y propietarios de clústeres.

  • El despliegue de múltiples clústeres de Fleet no está soportado.

  • NeuVector no es compatible en un clúster de Windows.

Otras limitaciones

  • Actualmente, la instalación del gráfico de características de NeuVector falla cuando ya existe un gráfico de socio de NeuVector. Para solucionar este problema, desinstale el gráfico de socio de NeuVector y reinstale el gráfico de características de NeuVector.

  • A veces, cuando los controladores no están listos, la interfaz de usuario de NeuVector no es accesible desde la interfaz de usuario de Rancher. Durante este tiempo, los controladores intentarán reiniciarse, y tardará unos minutos en que los controladores estén activos.

  • El tiempo de ejecución del contenedor no se detecta automáticamente para diferentes tipos de clústeres al instalar el gráfico de NeuVector. Para solucionar esto, puedes especificar el tiempo de ejecución manualmente.