NeuVector: The Full Life-Cycle Container Security Platform

NeuVector proporciona una plataforma de seguridad de contenedores de extremo a extremo. Esto incluye escaneo de vulnerabilidades y protección completa en tiempo de ejecución para contenedores, pods y hosts, que incluyen:

• Gestión de vulnerabilidades CI/CD y control de admisión: Escanee imágenes con un complemento de Jenkins, escanee Image Registries y aplique reglas de control de admisión para despliegues en producción.
• Protección contra violaciones: Descubre el comportamiento y crea una política basada en una lista blanca para detectar violaciones del comportamiento normal.
• Detección de amenazas: Detecta ataques comunes a aplicaciones, como ataques DDoS y DNS en contenedores.
• Sensores DLP y WAF: Inspeccione el tráfico de red para prevenir la pérdida de datos confidenciales y detecte los 10 ataques WAF más comunes de OWASP.
• Escaneo de vulnerabilidades en tiempo de ejecución: Analiza registros, imágenes y hosts y plataformas de orquestación de contenedores en ejecución en busca de vulnerabilidades comunes (CVE), así como específicas de aplicaciones.
• Cumplimiento y Auditoría: Ejecuta pruebas de Docker Bench y Kubernetes CIS Benchmarks automáticamente.
• Seguridad del host: Detecta escaladas de privilegios, monitorea procesos y actividad de archivos en hosts y dentro de contenedores, y monitorea los sistemas de archivos de contenedores en busca de actividad sospechosa.
• Gestión de multiclúster: Supervise y administre varios clústeres de Kubernetes desde una única consola.

Arquitectura

Aquí tienes una visión general de la arquitectura de NeuVector. No se muestra el contenedor de escaneo separado, el cual también puede ejecutarse como un escáner de pipeline independiente.

Componentes

• Controller: El Controller gestiona el clúster de contenedores NeuVector Enforcer. También proporciona APIs REST para la consola de gestión. Aunque los despliegues de prueba típicos tienen un solo Controller, se recomienda tener múltiples Controllers en una configuración de alta disponibilidad. El valor predeterminado en el ejemplo de despliegue de producción en Kubernetes es 3 controllers.
• Enforcer: El Enforcer es un contenedor liviano que aplica las políticas de seguridad. Se debe desplegar un enforcer en cada nodo (host), por ejemplo, como un Daemon set.
• Manager: El Manager es un contenedor sin estado que proporciona una consola web-UI (solo HTTPS) para que los usuarios gestionen la solución de seguridad de NeuVector. Se pueden desplegar múltiples contenedores Manager según sea necesario.
• Scanner: El Scanner es un contenedor que realiza escaneos de vulnerabilidades y cumplimiento para imágenes, contenedores y nodos. Generalmente se despliega como un replicaset y se puede escalar para tener tantos escáneres paralelos como se desee, con el fin de aumentar el rendimiento del escaneo. El Controller asigna trabajos de escaneo a cada escáner disponible de manera rotativa hasta que todos los escaneos se completen. El escáner también contiene la base de datos de CVE más reciente y se actualiza regularmente por NeuVector.
• Updater: El Updater es un contenedor que, cuando se ejecuta, actualiza la base de datos de CVE para NeuVector. NeuVector publica regularmente nuevas imágenes de escaneo que incluyen las últimas CVE para los análisis de vulnerabilidades. El Updater reimplementa todos los pods de escaneo reduciendo el despliegue a cero y luego escalándolo nuevamente, forzando así la obtención de una imagen de escaneo actualizada.

Guía Practica de Laboratorio: Instalando NeuVector en Rancher Manager Server

NeuVector se puede implementar fácilmente a través de Rancher Extensions para clientes Prime o Rancher Apps and Marketplace. La implementación predeterminada de NeuVector (basada en Helm) implementará contenedores NeuVector en el Namespace llamado cattle-neuvector-system.

Los clientes de Rancher Prime pueden implementar fácilmente NeuVector y la extensión NeuVector UI para Rancher. Esto permitirá a los usuarios Prime monitorear y administrar ciertas funciones y eventos de NeuVector directamente a través de la interfaz de usuario de Rancher.

1. El primer paso es habilitar la capacidad de Rancher Extensions globalmente si aún no está habilitada.
2. Posteriormente en la pantalla de Rancher Extensions, debes dar click en el botón install de NeuVector UI Extension:
3. Te pediará confirmación para llevar a cabo la instalación, por lo que debes volver a dar click en el botón install:

4. A continuación en la pantalla de Rancher Extensions, debes refrescar la pestaña Installed y veras que aparece la NeuVector UI Extension, también observarás el mensaje siguiente: Extensions changed - reload required, por lo que debes dar click en el botón Reload

   DEBE INSTALAR NEUVECTOR EN CLUSTER1

5. Debes regresar a la ventana de exploración de nuestro cluster de Kubernetes como se muestra a continuación. Asegurese de seleccionar el CLUSTER1.

6. En la ventana de exploración del cluster de Kubernetes verás un nuevo menú llamado NeuVector, al cual debes darle click:
7. En esta pantalla te solicitará la instalación de NeuVector: NeuVector Full Lifecycle Container Security Platform, por lo que debes dar click en el botón Install NeuVector
8. Luego debes dar click en el botón Next de la ventana de Instalación:
9. En la siguiente pantalla, dejaremos todas las opciones por defecto y daremos click en el botón install y esperaremos que la instalación finalice correctamente. Deberá obervar un mensaje como el siguiente:

   SUCCESS: helm upgrade --install=true --namespace=cattle-neuvector-system --timeout=10m0s --values=/home/shell/helm/values-neuvector-103.0.3-up2.7.6.yaml --version=103.0.3+up2.7.6 --wait=true neuvector /home/shell/helm/neuvector-103.0.3-up2.7.6.tgz
   

   
10. El panel de NeuVector ahora debería mostrarse desde el menú de NeuVector para ese clúster. Desde este panel, se puede monitorear un resumen del estado de seguridad del clúster. Hay elementos interactivos en el panel, como invocar un asistente para mejorar su puntuación (riesgo de seguridad), incluida la posibilidad de activar el escaneo automático en busca de vulnerabilidades si no está habilitado. Además, los enlaces en la parte superior derecha del panel brindan convenientes enlaces de inicio de sesión único (SSO) a la consola NeuVector completa para un análisis y una configuración más detallados.
11. En la ventana de exploración del cluster de Kubernetes verás el menú llamado NeuVector, al cual debes darle click:
12. En la siguiente pantalla puedes revisar las pestañas que muestran diferente información:
13. Puedes abrir la consola de NeuVector en una ventana nueva del Navegar, para lo cual deberás dar click en el enlave Security Events:
14. En la pantalla siguiente debes dar click en el botón Accept Luego estarás dentro del UI de NeuVector en la primera pantalla Dashboard
15. Puedes explorar cada una de las opciones del menú principal sin hacer ningún cambio en este momento: Network Activity: Assets/Containers: