Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

SUSE Security Admission Controller

Kubewarden é um motor de políticas que protege e ajuda a gerenciar os recursos do seu cluster. Ele permite a validação e mutação de solicitações de recursos por meio de políticas, incluindo políticas cientes do contexto e verificação de assinaturas de imagens. Ele pode executar políticas em modo de monitoramento ou de aplicação e fornece uma visão geral do estado do cluster.

Kubewarden tem como objetivo ser o Motor de Políticas Universal, permitindo e simplificando Políticas como Código. As políticas do Kubewarden são compiladas em WebAssembly: elas são pequenas (400KB ~ 2MB), executadas em área de segurança, seguras e portáteis. Ele visa ser universal atendendo a cada persona em sua organização:

  • Usuário de Políticas: gerenciar e declarar políticas usando Recursos Personalizados do Kubernetes, reutilizar políticas existentes escritas em Rego (OPA e Gatekeeper). Teste as políticas fora do cluster em CI/CD.

  • Desenvolvedor de Políticas: escreva políticas na sua linguagem preferida que compila para Wasm (Rego, Go, Rust, C#, Swift, Typescript e mais por vir). Reutilize o ecossistema de ferramentas, bibliotecas e fluxos de trabalho que você já conhece.

  • Distribuidor de Políticas: as políticas são artefatos OCI, sirva-as através do seu repositório OCI e use padrões da indústria em sua infraestrutura, como Software-Bill-Of-Materials e assinaturas de artefatos.

  • Operador de Cluster: Kubewarden é modular (registro OCI, PolicyServers, Scanner de Auditoria, Controlador). Configure sua implantação para atender às suas necessidades, segregando diferentes inquilinos. Obtenha uma visão geral de violações passadas, atuais e possíveis em todo o cluster com o Scanner de Auditoria e os Relatórios de Políticas.

  • Integrador do Kubewarden: use-o como uma plataforma para escrever novos módulos do Kubewarden e políticas personalizadas.

SUSE Security Admission Controller com o Rancher

Os Helm charts upstream do Kubewarden estão totalmente integrados como apps do Rancher, fornecendo uma interface para as opções de instalação. Os charts também vêm com configurações padrão que respeitam a stack do Rancher (por exemplo: não aplicar políticas aos namespaces do sistema Rancher), bem como com o PolicyServer e políticas padrão. Os usuários têm acesso a todos os recursos do Kubewarden e podem implantar PolicyServers e Políticas manualmente interagindo com a API do Kubernetes (por exemplo: usando kubectl).

O Kubewarden fornece uma substituição completa para as Políticas de Segurança de Pods do Kubernetes que foram removidas. O Kubewarden também se integra ao novo recurso de Admissão de Segurança de Pod introduzido por uma versão recente do Kubernetes, ampliando suas capacidades de segurança.

SUSE Security Admission Controller com Cloud Native

A Extensão da UI do Rancher para o Kubewarden o integra na UI do Rancher. A Extensão da UI automatiza a instalação e configuração da pilha do Kubewarden e configura o acesso às políticas mantidas pela SUSE. A Extensão da UI fornece acesso a um catálogo selecionado de políticas prontas para uso. Usando a Extensão da UI, é possível navegar, instalar e configurar essas políticas.

A Extensão da UI fornece uma visão geral dos componentes da pilha do Kubewarden e de seu comportamento. Isso inclui acesso às métricas do Kubewarden e eventos de rastreamento. Um operador pode entender o impacto das políticas no cluster e solucionar problemas.

Além disso, a extensão da UI fornece a UI do Policy Reporter, que oferece uma visão visual do status de conformidade do cluster Kubernetes. Com esta UI, um operador pode rapidamente identificar todos os recursos Kubernetes não conformes, entender as razões para as violações e agir de acordo. Tudo isso com a oferta de suporte do Rancher Prime.