Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

SUSE Security Admission Controller

Kubewarden est un moteur de stratégie qui sécurise et aide à gérer les ressources de votre cluster. Il permet la validation et la mutation des demandes de ressources via des stratégies, y compris des stratégies contextuelles et la vérification des signatures d’image. Il peut exécuter des stratégies en mode de surveillance ou d’application et fournit un aperçu de l’état du cluster.

Kubewarden vise à être le moteur de stratégie universel en permettant et en simplifiant la stratégie en tant que code. Les stratégies de Kubewarden sont compilées en WebAssembly : elles sont petites (400 Ko ~ 2 Mo), sandboxées, sécurisées et portables. Il vise à être universel en répondant à chaque persona de votre organisation :

  • Utilisateur de stratégie : gérer et déclarer des stratégies en utilisant des ressources personnalisées Kubernetes, réutiliser des stratégies existantes écrites en Rego (OPA et Gatekeeper). Tester les stratégies en dehors du cluster dans CI/CD.

  • Développeur de stratégie : écrire des stratégies dans votre langage de compilation Wasm préféré (Rego, Go, Rust, C#, Swift, Typescript, et d’autres à venir). Réutiliser l’écosystème d’outils, de bibliothèques et de flux de travail que vous connaissez déjà.

  • Distributeur de stratégie : les stratégies sont des artefacts OCI, servez-les via votre dépôt OCI et utilisez des normes industrielles dans votre infrastructure, comme le Software-Bill-Of-Materials et les signatures d’artefacts.

  • Opérateur de cluster : Kubewarden est modulaire (registre OCI, PolicyServers, Audit Scanner, Controller). Configurez votre déploiement pour répondre à vos besoins, en séparant différents locataires. Obtenez un aperçu des violations passées, présentes et possibles à travers le cluster avec l’Audit Scanner et les PolicyReports.

  • Intégrateur de Kubewarden : utilisez-le comme une plateforme pour écrire de nouveaux modules Kubewarden et des stratégies personnalisées.

SUSE Security Admission Controller avec Rancher

Les charts Helm en amont de Kubewarden sont entièrement intégrés en tant qu’applis Rancher, fournissant une interface utilisateur pour les options d’installation. Les charts viennent également avec des valeurs par défaut qui respectent la pile Rancher (par exemple : ne pas appliquer de politiques aux espaces de noms système de Rancher), et le PolicyServer et les stratégies par défaut. Les utilisateurs ont accès à toutes les fonctionnalités de Kubewarden et peuvent déployer des PolicyServers et des stratégies manuellement en interagissant avec l’API Kubernetes (par exemple : en utilisant kubectl).

Kubewarden fournit un remplacement complet des stratégies de sécurité des pods Kubernetes supprimées. Kubewarden s’intègre également à la nouvelle fonctionnalité d’admission de sécurité des pods introduite par une version récente de Kubernetes en augmentant ses capacités de sécurité.

SUSE Security Admission Controller avec Cloud Native

L’extension d’interface utilisateur Rancher disponible pour Kubewarden l’intègre dans l’interface utilisateur de Rancher. L’extension d’interface utilisateur automatise l’installation et la configuration de la pile Kubewarden et configure l’accès aux stratégies maintenues par SUSE. L’extension d’interface utilisateur fournit un accès à un catalogue sélectionné de stratégies prêtes à l’emploi. En utilisant l’extension d’interface utilisateur, on peut parcourir, installer et configurer ces stratégies.

L’extension d’interface utilisateur fournit un aperçu des composants de la pile Kubewarden et de leur comportement. Cela inclut l’accès aux métriques Kubewarden et aux événements de trace. Un opérateur peut comprendre l’impact des stratégies sur le cluster et résoudre les problèmes.

De plus, l’extension d’interface utilisateur fournit l’interface utilisateur du rapporteur de stratégies, qui donne un aperçu visuel de l’état de conformité du cluster Kubernetes. Avec cette interface, un opérateur peut rapidement identifier toutes les ressources Kubernetes non conformes, comprendre les raisons des violations et agir en conséquence. Tout cela avec l’offre de support de Rancher Prime.