用紅帽OpenShift實現集裝箱安全自動化

標籤：重要   地方   程式   hat   web應用   實現   名稱   標識符   沒有   

隨著企業越來越多地受益於紅帽OpenShift而容器要在其應用程式部署中實現自動化，同時引入自動化容器安全是很重要的。OpenShift平台本身包含了許多非常有能力的內建安全自動化功能，絕對應該使用這些特性。但是，考慮到自動化運行時安全以防止***和***的關鍵性質，許多組織和用例也希望使用先進的Kubernetes容器安全特性，這些特性為生產環境提供了更深層次的可見度和安全性。事實上，容器部署與傳統環境一樣容易受到******和內部威脅。並且，必須執行安全措施來保護全CI/CD容器部署生命週期貫穿構建、發布和運行時階段。

容器化環境帶來了相對獨特的安全挑戰，包括在所有吊艙和容器在(和跨)節點內上下移動時跟蹤它們。這些吊艙產生了大量的東西網路流量-而且它的流量尤其難以被看到(因此，要確保串連在利用或***中不起積極作用，這是一個挑戰)。與此同時，許多企業都在使用開源軟體，漏洞不斷被發現.由於集裝箱化環境的動態性，人工安全方法無法滿足要求，必須制定自動化的安全規則。

傳統安全工具，如主機安全和Web應用程式防火牆(WAFS)也對集裝箱運輸視而不見，對集裝箱***沒有什麼好處。OpenShift和Kubernetes在運行時面臨許多類型的漏洞的風險，這些漏洞需要在第7層(查看資料包和協議以提供驗證)或在POD和主機處理序中檢測。為了滿足這些需求，NeuVector構建了一個集裝箱防火牆這是一個容器本身，因此，可以像應用程式容器一樣使用OpenShift自動部署和更新，並適合於CI/CD過程。當部署到每個OpenShift工作者節點時，NeuVector工具可以檢查容器流量，尋找正在啟動並執行容器，並構建經過審核的通訊量的白名單，以保護這些容器。這包括針對常見***、***和基於第7層網路的應用程式隔離的自動威脅檢測.Image title

NeuVector與RedHatOpenShift平台整合，簡化了OpenShift這些進階自動化安全特性的實現。這還包含了幾個具體和有用的特性，包括：

映像漏洞掃描，通過OpenShift啟用強制執行
使用Jenkins外掛程式，NeuVector工具可以在構建過程中掃描映像，然後在檢測到漏洞的地方分配標記。OpenShift具有基於這些標記控制容器部署的功能。因此，OpenShift能夠聰明地識別和防止部署易受***的容器，同時允許那些安全的容器通過NeuVector的掃描和標記進行部署。

自動本地註冊表映像掃描
當映像被推送到本地OpenShift註冊中心時，NeuVector會執行自動掃描，以確定這些映像是否包含任何漏洞。這些掃描可以定製以滿足某些喜好設定，例如只檢查特定選擇的目錄。

角色型存取控制(RBAC)
Image title

OpenShift中配置的RBAC將被自動讀取並映射到NeuVector中。可以利用現有使用者及其角色和許可權輕鬆地控制對NeuVector控制台和API的訪問。通過這種方式，可以設定和限制訪問，使特定使用者能夠根據需要瞭解網路連接和安全事件，從而使其具有所需的範圍。例如，具有項目存取權限的開發人員可以獲得這種可見度的唯讀訪問權，而叢集管理員則可以訪問NeuVector中的每個項目，以便他們能夠正確地管理和檢查安全性原則。

運行時安全性原則規則
使用NeuVector，可以自動建立有效隔離應用程式網路通訊量和容器進程的策略規則。使用NeuVectorRESTAPI，規則可以通過編程方式設定並與OpenShift部署管道整合。NeuVector策略規則集還可以使用OpenShift標識符，例如項目名稱(名稱空間)、標籤等。

通過將NeuVectorandOpenShift整合，OpenShift平台提供的內建安全特性也可以擴充到無縫地自動化運行時安全性，從而在基於容器的部署的整個生命週期內實現有效保護。

用紅帽OpenShift實現集裝箱安全自動化