云原生安全解决方案NeuVector 5.X部署实践

于 2024-11-09 09:29:58 发布
阅读量1.3k 收藏 15
点赞数 11
CC 4.0 BY-SA版权
分类专栏: kubernetes 云计算 文章标签: 云原生 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/codelearning/article/details/143639776

云原生安全解决方案NeuVector 5.X部署实践

NeuVector 5.X支持部署到docker、Rancher、Openshift以及各种公有云平台的Kubernetes集群环境上,支持YAML、Operator、helm等安装方式。本文实践在本地Kubernetes集群上部署NeuVector 5.X。

1. 部署方式概述

YAML方式部署

使用 Kubernetes 来部署单独的管理器、控制器和执行器容器,并确保所有新节点都部署了执行器。NeuVector 需要并支持 Kubernetes 网络插件,例如 flannel、weave 或 calico。

示例文件将部署一个管理器和三个控制器。它将作为 DaemonSet 在每个节点上部署一个执行器。默认情况下,以下示例也会部署到 Master 节点。

有关使用节点标签指定专用的管理器或控制器节点的信息,请参见底部部分。

注意:

由于潜在的会话状态问题,不建议在负载均衡器后面部署(扩展)多个管理器。如果您计划使用 PersistentVolume 声明来存储 NeuVector 配置文件的备份,请参阅“部署 NeuVector 概述”中的“备份/持久数据”部分。

如果部署需要配置负载均衡器,请将下面 yaml 文件中控制台的类型从 NodePort 更改为 LoadBalancer。

NeuVector 镜像在 Docker Hub

镜像存储在 NeuVector Docker Hub registry 中。请使用适当的版本标签来标识管理器、控制器和执行器,而扫描器和更新器的版本则保持为“latest”。例如:

  • neuvector/manager:5.4.0
  • neuvector/controller:5.4.0
  • neuvector/enforcer:5.4.0
  • neuvector/scanner:latest
  • neuvector/updater:latest

请确保在相应的 YAML 文件中更新镜像引用。

可以从 Docker Hub 下载 NeuVector 镜像推送到私有镜像仓库,或直接从docker.io仓库拉取:

[root@harbor neuvector]# cat images.txt
neuvector/manager:5.4.0
neuvector/controller:5.4.0
neuvector/enforcer:5.4.0
neuvector/scanner:latest
neuvector/updater:latest
[root@harbor neuvector]# cat pull_push.sh
while IFS= read -r image; do
   docker pull "$image"
   new_tag="harbor.jdzx.com/${image}" # 请替换为私有镜像仓库地址
   docker tag "$image" "$new_tag"
   echo "$new_tag"
   docker push "$new_tag"
done < images.txt

Helm部署

NeuVector 支持基于 Helm 的部署,其 Helm chart 位于 https://github.com/neuvector/neuvector-helm。如果使用当前的 NeuVector Helm chart(v1.8.9 及以上版本),应对 values.yml 文件进行以下更改:

  • 将注册表更新为 docker.io
  • 将镜像名称/标签更新为上面所示的 Docker Hub 上的适当版本
  • imagePullSecrets 保持为空

Rancher部署

NeuVector 镜像也已镜像到 Rancher registry,以便从 Rancher 部署。有关更多信息,请参见 Rancher 部署部分。请在每次发布后等待几天,以便镜像能被镜像到 Rancher 注册表。

注意:

从 Rancher Manager 2.6.5 及以上版本部署 NeuVector chart时,将从 rancher-mirrored 仓库中拉取,并部署到 cattle-neuvector-system 命名空间。

2. 在Kubernetes上部署NeuVector

本节记录使用YAML方式在Kubernetes上部署NeuVector,使用K8S版本为v1.27.6。

Deploy NeuVector

  1. 创建NeuVector命名空间和必要的服务账户
kubectl create namespace neuvector
kubectl create sa controller -n neuvector
kubectl create sa enforcer -n neuvector
kubectl create sa basic -n neuvector
kubectl create sa updater -n neuvector
kubectl create sa scanner -n neuvector
kubectl create sa registry-adapter -n neuvector
kubectl create sa cert-upgrader -n neuvector
  1. (可选)创建 NeuVector Pod 安全准入(PSA)或 Pod 安全策略(PSP)。

如果您在 Kubernetes 1.25+ 中启用了 Pod 安全准入(PSA,即 Pod 安全标准),或者在 1.25 之前的 Kubernetes 集群中启用了 Pod 安全策略(PSP),请为 NeuVector 添加以下内容(例如,nv_psp.yaml)。

**注意1:**PSP 在 Kubernetes 1.21 中被弃用,并将在 1.25 中完全移除。

**注意2:**Manager 和 Scanner pods 以无用户 ID 运行。如果您的 PSP 规则中包含 Run As User: Rule: MustRunAsNonRoot,请在下面的示例 yaml 中添加以下内容(并使用合适的值替换 ###):

securityContext:
    runAsUser: ###

对于 Kubernetes 1.25+ 中的 PSA,在启用了 PSA 的集群上部署时,请为 NeuVector 命名空间标记具有特权配置文件。

kubectl label  namespace neuvector "pod-security.kubernetes.io/enforce=privileged"
  1. 为 NeuVector 安全规则创建自定义资源(CRD)。适用于 Kubernetes 1.19+:
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/crd-k8s-1.19.yaml
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/waf-crd-k8s-1.19.yaml
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/dlp-crd-k8s-1.19.yaml
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/com-crd-k8s-1.19.yaml
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/vul-crd-k8s-1.19.yaml
kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/admission-crd-k8s-1.19.yaml
  1. 添加读取权限以访问 Kubernetes API。

重要提示

标准的 NeuVector 5.2+ 部署使用的是最低权限的服务账户,而不是默认服务账户。如果您从 5.3 之前的版本进行升级,请参见下文。

注意

如果您正在升级到 5.3.0 及以上版本,请根据您当前的版本运行以下命令:

# 对于5.2.0版本
kubectl delete clusterrole neuvector-binding-nvsecurityrules neuvector-binding-nvadmissioncontrolsecurityrules neuvector-binding-nvdlpsecurityrules neuvector-binding-nvwafsecurityrules

# 对于5.2.0之前的版本
kubectl delete clusterrolebinding neuvector-binding-app neuvector-binding-rbac neuvector-binding-admission neuvector-binding-customresourcedefinition neuvector-binding-nvsecurityrules neuvector-binding-view neuvector-binding-nvwafsecurityrules neuvector-binding-nvadmissioncontrolsecurityrules neuvector-binding-nvdlpsecurityrules
kubectl delete rolebinding neuvector-admin -n neuvector

通过以下“创建 clusterrole”命令应用读取权限:

kubectl create clusterrole neuvector-binding-app --verb=get,list,watch,update --resource=nodes,pods,services,namespaces
kubectl create clusterrole neuvector-binding-rbac --verb=get,list,watch --resource=rolebindings.rbac.authorization.k8s.io,roles.rbac.authorization.k8s.io,clusterrolebindings.rbac.authorization.k8s.io,clusterroles.rbac.authorization.k8s.io
kubectl create clusterrolebinding neuvector-binding-app --clusterrole=neuvector-binding-app --serviceaccount=neuvector:controller
kubectl create clusterrolebinding neuvector-binding-rbac --clusterrole=neuvector-binding-rbac --serviceaccount=neuvector:controller
kubectl create clusterrole neuvector-binding-admission --verb=get,list,watch,create,update,delete --resource=validatingwebhookconfigurations,mutatingwebhookconfigurations
kubectl create clusterrolebinding neuvector-binding-admission --clusterrole=neuvector-binding-admission --serviceaccount=neuvector:controller
kubectl create clusterrole neuvector-binding-customresourcedefinition --verb=watch,create,get,update --resource=customresourcedefinitions
kubectl create clusterrolebinding neuvector-binding-customresourcedefinition --clusterrole=neuvector-binding-customresourcedefinition --serviceaccount=neuvector:controller
kubectl create clusterrole neuvector-binding-nvsecurityrules --verb=get,list,delete --resource=nvsecurityrules,nvclustersecurityrules
kubectl create clusterrole neuvector-binding-nvadmissioncontrolsecurityrules --verb=get,list,delete --resource=nvadmissioncontrolsecurityrules
kubectl create clusterrole neuvector-binding-nvdlpsecurityrules --verb=get,list,delete --resource=nvdlpsecurityrules
kubectl create clusterrole neuvector-binding-nvwafsecurityrules --verb=get,list,delete --resource=nvwafsecurityrules
kubectl create clusterrolebinding neuvector-binding-nvsecurityrules --clusterrole=neuvector-binding-nvsecurityrules --serviceaccount=neuvector:controller
kubectl create clusterrolebinding neuvector-binding-view --clusterrole=view --serviceaccount=neuvector:controller
kubectl create clusterrolebinding neuvector-binding-nvwafsecurityrules --clusterrole=neuvector-binding-nvwafsecurityrules --serviceaccount=neuvector:controller
kubectl create clusterrolebinding neuvector-binding-nvadmissioncontrolsecurityrules --clusterrole=neuvector-binding-nvadmissioncontrolsecurityrules --serviceaccount=neuvector:controller
kubectl create clusterrolebinding neuvector-binding-nvdlpsecurityrules --clusterrole=neuvector-binding-nvdlpsecurityrules --serviceaccount=neuvector:controller
kubectl create role neuvector-binding-scanner --verb=get,patch,update,watch --resource=deployments -n neuvector
kubectl create rolebinding neuvector-binding-scanner --role=neuvector-binding-scanner --serviceaccount=neuvector:updater --serviceaccount=neuvector:controller -n neuvector
kubectl create role neuvector-binding-secret --verb=get,list,watch --resource=secrets -n neuvector
kubectl create rolebinding neuvector-binding-secret --role=neuvector-binding-secret --serviceaccount=neuvector:controller --serviceaccount=neuvector:enforcer --serviceaccount=neuvector:scanner --serviceaccount=neuvector:registry-adapter -n neuvector
kubectl create clusterrole neuvector-binding-nvcomplianceprofiles --verb=get,list,delete --resource=nvcomplianceprofiles
kubectl create clusterrolebinding neuvector-binding-nvcomplianceprofiles --clusterrole=neuvector-binding-nvcomplianceprofiles --serviceaccount=neuvector:controller
kubectl create clusterrole neuvector-binding-nvvulnerabilityprofiles --verb=get,list,delete --resource=nvvulnerabilityprofiles
kubectl create clusterrolebinding neuvector-binding-nvvulnerabilityprofiles --clusterrole=neuvector-binding-nvvulnerabilityprofiles --serviceaccount=neuvector:controller

kubectl apply -f https://raw.githubusercontent.com/neuvector/manifests/main/kubernetes/5.4.0/neuvector-roles-k8s.yaml

kubectl create role neuvector-binding-lease --verb=create,get,update --resource=leases -n neuvector
kubectl create rolebinding neuvector-binding-cert-upgrader --role=neuvector-binding-cert-upgrader --serviceaccount=neuvector:cert-upgrader -n neuvector
kubectl create rolebinding neuvector-binding-job-creation --role=neuvector-binding-job-creation --serviceaccount=neuvector:controller -n neuvector
kubectl create rolebinding neuvector-binding-lease --role=neuvector-binding-lease --serviceaccount=neuvector:controller --serviceaccount=neuvector:cert-upgrader -n neuvector
  1. 运行以下命令检查 neuvector/controllerneuvector/updater 服务账户是否已成功添加。
kubectl get ClusterRoleBinding neuvector-binding-app neuvector-binding-rbac neuvector-binding-admission neuvector-binding-customresourcedefinition neuvector-binding-nvsecurityrules neuvector-binding-view neuvector-binding-nvwafsecurityrules neuvector-binding-nvadmissioncontrolsecurityrules neuvector-binding-nvdlpsecurityrules -o wide

示例输出:

NAME                                                ROLE                                                            AGE   USERS   GROUPS   SERVICEACCOUNTS
neuvector-binding-app                               ClusterRole/neuvector-binding-app                               56d                    neuvector/controller
neuvector-binding-rbac                              ClusterRole/neuvector-binding-rbac                              3
最低0.47元/天 解锁文章
Neuvector 搭建
SHELLCODE_8BIT的博客
11-17 892
即可访问,之后输入默认账号密码,admin,admin即可。当完成安装后,我们输入。
云原生安全专家观察:容器云安全现状和发展趋势
m0_73257876的博客
08-31 2381
另一种比较有意思的是无Agent部署方式,Orca是其中的代表厂商,Orca的方案里,云主机上不会安装Agent,但会对云环境中的块存储进行快照,然后通过快照重建完整的“上下文”,对其进行安全扫描和分析。​刘斌,清华大学工程管理硕士,中移信息云原生安全专家,信通院容器云原生安全规范主要编写者之一,云安全联盟(CSA)专家会员,曾在小佑科技担任产品总监。未来,随着越来越多人了解容器云安全,以及真实的增长的安全需求,会促使人们关注点回归问题本质——是否能检测和拦截大多数容器攻击,保护容器云上的数据安全...
k8s部署NeuVector指南
测试0901-1
03-24 687
开源云原生安全产品现状开源项目列表项目厂商链接Star类型开源时间clairQuayhttps://github.com/quay/clair8.4k镜像扫描2015-11-13trivyAquahttps://github.com/aquasecurity/trivy10.1k镜像扫描2019-04-11kube-h...
NeuVector:一款开源的零信任容器安全平台,扫描、检查、通知,一站式全面消除安全隐患...
easylife206的专栏
10-19 4608
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !NeuVector 是唯一的 100% 开放源代码、零信任容器安全平台。在整个容器生命周期中持续扫描。消除安全障碍。在一开始就制定安全性策略,最大限度地提高开发人员的灵活性。NeuVector 介绍Neuvector 是像 Sysdig 一样的 Kubernetes 安全容器平台之一,但Neuvector 是一个云...
开源容器安全平台NeuVector初探
程序员阿飘 的博客
02-03 1066
NeuVector 提供强大的端到端容器安全平台。这包括对容器、Pod 和主机的端到端漏洞扫描和完整的运行时保护,包括:CI/CD 漏洞管理和准入控制,使用 Jenkins 插件扫描镜像、扫描注册表并强制实施准入控制规则以将其部署到生产环境中。违规保护,发现行为并创建基于白名单的策略来检测违反正常行为的行为。威胁检测,检测容器上的常见应用程序攻击,例如 DDoS 和 DNS 攻击。DLP 和 WAF 传感器。检查网络流量以防止敏感数据丢失,并检测常见的 OWASP Top10 WAF 攻击。
NeuVector 会是下一个爆款云原生安全神器吗?
KubeSphere
02-18 614
近日一则《SUSE 发布 NeuVector:业内首个开源容器安全平台》的文章被转载于各大 IT 新闻网站。作为 SUSE 家族的新进成员,在 3 个月后便履行了开源承诺,着实让人赞叹。那么 NeuVector 究竟有哪些过人之处能得到 SUSE 的青睐?而对比各安全厂商的开源安全产品又有哪些突破?接下来,我会以一个 SecDevOps 的视角对 NeuVector 进行简要分析。 开源云原生安全产品现状 NeuVector 此次开源的并非某个组件或者安全工具,而是一套完整的容器安全平台。这与其他各大云原生
Rancher Labs联手NeuVector,提供容器管理与安全解决方案
Rancher
03-30 1554
根据ClusterHQ与DevOps.com的调研报告,对于在生产环境中使用容器,企业最关心的问题中排名第三位的,是容器安全。近日,美国两大容器领域独角兽达成战略合作,合力应对这一需求与挑战。
CNCF 云原生容器生态系统概要
Docker的专栏
12-31 6717
CNCF(Cloud Native Compute Foundation) 是 Linux 基金会旗下的一个组织,旨在推动以容器为中心的云原生系统。从 2016 年 11 月,CNCF 开始维护了一个名为 Cloud Native Landscape [1]的 repo,汇总目前比较流行的云原生技术,并加以分类,希望能为企业构建云原生体系提供参考。2017 年 12 月 06 日,Landscap
容器安全最佳实践与漏洞修复
容器技术的快速发展为应用程序的部署和管理带来了前所未有的便利性,然而,随之而来的安全挑战也日益增多。本章将介绍容器安全的概念、重要性以及面临的挑战。 ## 1.1 什么是容器安全 容器安全是指在容器化环境中...
【BELLHOP安全防护指南】:10个最佳实践保护系统免受攻击
[【BELLHOP安全防护指南】:10个最佳实践保护系统免受攻击](https://excellence-it.co.uk/wp-content/uploads/2023/01/patching-jpg-1024x576.jpg) 参考资源链接:[BELLHOP中文使用指南及MATLAB操作详解]...
neuvector-meetup
03-05
NeuVector舵图 Helm图表的集合,用于在Kubernetes和Openshift集群中部署NeuVector产品。 安装图表 添加图表回购 $ helm repo add neuvector https://neuvector.github.io/neuvector-helm/ $ helm search neuvector/core Kubernetes 创建NeuVector命名空间。 $ kubectl create namespace neuvector 如果您不想使用“默认”,请创建一个新的服务帐户。 在图表的values.yaml文件中指定服务帐户名称。 $ kubectl create serviceaccount neuvector -n neuvector 配置Kubernetes以从Docker Hub上的私有NeuVector注册表中提取。 $
SUSE 发布业内首个开源容器安全平台:NeuVector
GitCode
01-19 409
不久前,全球企业级开源解决方案领导者 SUSE 曾以 1.3 亿美元收购容器公司 NeuVector,而现在 SUSE 宣布,NeuVector 代码库已在 GitHub 上向开源社区开放。基于本次发布,NeuVector 成为了业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全解决方案。 GitHub地址:https://gitcode.net/csdn_codechina/neuvector ...
K8S部署NeuVector云原生安全平台
shirtarm123的博客
08-15 907
NeuVector 是业界首个端到端的开源容器安全平台,也是唯一为容器化工作负载提供企业级零信任安全解决方案。- **Kubernetes 原生**:提供端到端的漏洞管理、自动化 CI/CD 渠道安全、全面的运行时安全,以及对零日漏洞和内部威胁的防御。- **零信任**:安全策略即代码模型允许在应用程序流程的一开始就限制对网络、应用程序和环境的访问控制,优化性能和用户体验。
SUSE 发布 NeuVector 5.0,从数据中心、云端到边缘全面拓展云原生安全能力
开源吞噬世界。
05-17 1002
5 月 17 日,企业级开源解决方案领导者 SUSE 在 KubeCon Europe 上发布了容器安全平台NeuVector 5.0,这是 NeuVector 自 1 月份开源以来的首个版本,该版本已经集成到刚刚发布的 SUSE Rancher 2.6.5 中。NeuVector 新版本的发布进一步实现了 SUSE 全面整合云原生平台的愿景,将助力用户构建和部署 Kubernetes 应用程序,并轻松实施安全防护,加速数字化转型。此外,SUSE 还宣布将 NeuVector 的开源项目 Open Zero
开源容器安全平台 NeuVector 中文入门指南
easylife206的专栏
01-20 3600
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !1. 背景NeuVector业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全解决方案NeuVector 是业界领先的安全和合规解决方案,已被全球知名企业广泛采用;其代码库的开源不仅使 NeuVector 成为开源社区的首选技术,还为受严格监管的客户(包括政企、金融)提供了更可靠的保证。N...
NeuVector部署、使用与原理分析
最新发布
IronmanJay
10-09 1983
本博客的主要内容为NeuVector部署、使用与原理分析。本博文内容较长,因为涵盖了NeuVector的几乎全部内容,从部署的详细过程到如何使用NeuVector进行漏洞检测,以及对NeuVector进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对NeuVector有更深的了解。以下就是本篇博客的全部内容了。
实用教程 | 云原生安全平台 NeuVector 部署
Rancher
03-07 1306
作者简介 万绍远,CNCF 基金会官方认证 Kubernetes CKA&CKS 工程师,云原生解决方案架构师。对 ceph、Openstack、Kubernetes、prometheus 技术和其他云原生相关技术有较深入的研究。参与设计并实施过多个金融、保险、制造业等多个行业 IaaS 和 PaaS 平台设计和应用云原生改造指导。 前 言 NeuVector 是业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全解决方案。本文将从以下 5 个方面详细介绍如何部署 Neu.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lldhsds

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值