SUSE NeuVector — бұл контейнерлер мен Kubernetes қауіпсіздігін қамтамасыз ететін қуатты шешім, ол ұйымдарға контейнерлік орталарын әртүрлі қауіптерден қорғауға көмектеседі.
Бұл мақалада біз SUSE NeuVector орнату және баптау қадамдарын, жүйені дайындаудан бастап негізгі қауіпсіздік функцияларын іске асыруға дейін қарастырамыз.
Талаптар
SUSE NeuVector орнатпас бұрын жүйеңіздің келесі талаптарға сай екеніне көз жеткізіңіз:
- Kubernetes нұсқасы 1.16 немесе жоғары.
- Docker нұсқасы 1.13 немесе жоғары.
- Бейнелер мен жаңартуларды жүктеп алу үшін интернетке қолжетімділік.
- Әкімші құқықтарымен Kubernetes кластеріне қолжетімділік (мысалы,
kubectlарқылы).
1-қадам: Kubernetes кластерін дайындау
SUSE NeuVector орнатпас бұрын, Kubernetes кластеріңіз дұрыс конфигурацияланғанына және жұмыс істеп тұрғанына көз жеткізіңіз. Түйіндер мен подтардың күйін тексеріңіз:
# Түйіндердің күйін тексеру
kubectl get nodes
# Кластердегі барлық подтардың күйін тексеру
kubectl get pods --all-namespaces
Барлық түйіндер мен подтардың күйі Ready екеніне көз жеткізіңіз.
2-қадам: NeuVector орнату
2.1 Helm орнату
Helm — бұл Kubernetes үшін пакет менеджері, ол қолданбаларды орнату мен басқаруды жеңілдетеді. Егер Helm әлі орнатылмаған болса, келесі командаларды орындаңыз:
# Helm жүктеп орнату
curl https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3 | bash
# Helm орнатуын тексеру
helm version
2.2 NeuVector репозиторийін қосу
Helm үшін NeuVector репозиторийін қосып, оны жаңартыңыз:
# NeuVector репозиторийін қосу
helm repo add neuvector https://neuvector.github.io/neuvector-helm/
# Репозиторийлер тізімін жаңарту
helm repo update
2.3 NeuVector орнату
Енді NeuVector-ді neuvector namespace-ке орнатамыз. Егер namespace әлі жасалмаған болса, оны жасаңыз:
# neuvector namespace жасау
kubectl create namespace neuvector
Helm пайдаланып NeuVector орнатыңыз:
# Helm арқылы NeuVector орнату
helm install neuvector neuvector/core --namespace neuvector
# NeuVector орнатуын тексеру
kubectl get pods -n neuvector
3-қадам: NeuVector баптау
NeuVector орнатылғаннан кейін оны контейнерлік ортаның қауіпсіздігін қамтамасыз ету үшін баптау қажет.
3.1 NeuVector басқару панеліне қолжетімділік
NeuVector басқару панеліне қол жеткізу үшін LoadBalancer немесе NodePort типіндегі қызметті жасау керек. Бұл мысалда NodePort қолданамыз:
# NeuVector басқару панеліне қолжетімділік үшін NodePort қызметін жасау
kubectl expose deployment neuvector-svc-controller --type=NodePort --name=neuvector-gui -n neuvector
# Қызмет туралы ақпарат алу
kubectl get svc neuvector-gui -n neuvector
Команда нәтижесінде қызметке тағайындалған портты тауып, веб-шолғышта http://<NODE_IP>:<NODE_PORT> мекенжайына өтіңіз.
3.2 Алғашқы баптау
Басқару панеліне кіріңіз, әдепкі тіркелгі деректерін пайдаланыңыз:
- Логин:
admin - Құпиясөз:
admin
Алғашқы кіру кезінде сізден құпиясөзді өзгертуді сұрайды. Қауіпсіз құпиясөзді таңдап, өзгертулерді сақтаңыз.
3.3 Қауіпсіздік саясатын баптау
NeuVector желілік трафикті және ресурстарға қол жеткізуді басқару үшін қауіпсіздік саясатын жасау және қолдану мүмкіндігін береді.
-
Желілік сегменттерді жасау: Қолданбаның әртүрлі бөліктері үшін желілік сегменттерді бөліп, олардың арасындағы қолжетімділікті шектеу. Мұны NeuVector басқару панелі арқылы жасауға болады.
Желілік сегментті жасау мысалы:
sh# Front-end контейнерлері үшін желілік сегмент жасау kubectl label namespace frontend neuvector.com/segment=frontend # Back-end контейнерлері үшін желілік сегмент жасау kubectl label namespace backend neuvector.com/segment=backend -
Қолжетімділік ережелерін анықтау: Желілік сегменттер арасындағы трафикті рұқсат ету немесе тыйым салу үшін қолжетімділік ережелерін баптаңыз.
Қолжетімділік ережесін жасау мысалы:
sh# Front-end-ден back-end-ке трафикке рұқсат беретін ереже жасау kubectl apply -f - <<EOF apiVersion: neuvector.com/v1 kind: NetworkRule metadata: name: allow-frontend-to-backend spec: sourceSegment: frontend destinationSegment: backend protocol: tcp port: 80 action: allow EOF -
Мониторинг және ескертулер: Күдікті белсенділікті уақытында анықтау және оған жауап беру үшін мониторингті қосып, хабарландыруларды баптаңыз.
4-қадам: Осалдықтарды басқару
NeuVector контейнерлік образдар мен конфигурацияларда осалдықтарды анықтап, оларды жоюға көмектеседі.
-
Образдарды сканерлеу: Белгілі осалдықтарды анықтау үшін контейнерлік образдарды үнемі сканерлеңіз.
Образды сканерлеу мысалы:
sh# NeuVector CLI пайдаланып Docker образын сканерлеу neuvector-cli image scan myregistry/myimage:latest -
Конфигурацияларды талдау: Kubernetes және Docker конфигурацияларын қауіпсіздік үздік тәжірибелеріне сәйкестігін тексеріңіз.
Конфигурацияларды талдау мысалы:
sh# Kubernetes конфигурацияларын талдау kubectl describe pod <POD_NAME> -n <NAMESPACE> -
Образдарды жаңарту: Барлық контейнерлік образдардың осалдықтары жойылған соңғы нұсқаларға жаңартылғанына көз жеткізіңіз.
Образды жаңарту мысалы:
sh# Docker образын жаңарту docker pull myregistry/myimage:latest docker tag myregistry/myimage:latest myapp:latest kubectl set image deployment/myapp myapp=myregistry/myimage:latest -n <NAMESPACE>
SUSE NeuVector қолданудың үздік тәжірибелері
- Контейнерлік образдарды үнемі сканерлеу — контейнерлік образдарды орналастырмас бұрын осалдықтарды анықтау және жою үшін үнемі сканерлеңіз.
- Қауіпсіздік саясатын жасау және қолдау — желілік трафик пен ресурстарға қолжетімділікті басқару үшін қатаң қауіпсіздік саясатын әзірлеңіз және қолданыңыз.
- Контейнерлердің орындау уақытын бақылау — қауіптерді уақытында анықтау және бұғаттау үшін контейнерлердің орындау уақытындағы мінез-құлқын белсенді бақылаңыз.
- Минималды құқықтарды қамтамасыз ету — барлық пайдаланушылар мен құрылғыларға қажетті минималды құқықтарды тағайындаңыз, бұл ықтимал шабуыл векторларын шектеуге көмектеседі.
- CI/CD процестерімен интеграция — барлық әзірлеу кезеңдерінде қауіпсіздікті қамтамасыз ету үшін қауіпсіздікті сканерлеу және осалдықтарды басқаруды үзіліссіз интеграция және орналастыру процестеріне енгізіңіз.
Қорытынды
SUSE NeuVector орнату және баптау контейнерлік ортаның қауіпсіздігін қамтамасыз ету үшін маңызды қадам болып табылады. Жоғарыда сипатталған қадамдарды және үздік тәжірибелерді ұстана отырып, сіз контейнерлер мен Kubernetes-ті әртүрлі қауіптерден қорғай аласыз және Zero Trust принциптерін жүзеге асыра аласыз.
Тұрақты жаңартулар мен мониторинг динамикалық контейнерлік инфрақұрылымда жоғары деңгейдегі қауіпсіздікті сақтауға көмектеседі.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- oVirt гипервизорын қорғау — терең талдау
- oVirt жүйесінен Proxmox жүйесіне виртуалды машинаны көшіру
- Proxmox-тан oVirt-ке виртуалды машинаны көшіру
- Kubernetes контейнерлерін қорғау — терең талдау
- Proxmox гипервизорын бұзудан қалай қорғауға болады - Терең талдау
- Fail2Ban-ды oVirt жүйесін қорғауда қолдану - Терең талдау
- oVirt гипервизорын сақтандыруды ұйымдастыру — Терең талдау
- Виртуалды машинаны гипервизорлар арасында Proxmox арқылы көшіру
- Proxmox гипервизорын виртуалды машиналардың оңтайлы жұмысын қамтамасыз ету үшін конфигурациялау
- Proxmox-те SSH арқылы root құқықтарының бұзылуынан қорғау: терең талдау
