在雲端原生與軟體快速開發部署領域當中,容器與Kubernetes是熱門應用,隨著許多網路攻擊鎖定軟體供應鏈的上游,相關的安全性強化功能的提供,也成為各家公有雲服務與系統軟體廠商積極發展的目標。

以紅帽為例,手握企業級Linux作業系統RHEL,以及容器即服務平臺OpenShift之餘,2021年1月併購Kubernetes資安新創廠商StackRox,5月推出Advanced Cluster Security for Kubernetes 3.0.60。無獨有偶,同樣擁有企業級Linux作業系統SLE與容器即服務平臺的廠商SUSE,在同年10月宣布併購另一家容器安全新創公司NeuVector。

當時SUSE表示,他們打算將NeuVector完全整合到企業級容器管理平臺SUSE Rancher,針對關鍵業務環境當中使用的容器化應用程式,無論其處於組建、部署、執行的狀態,均可提供全面防護,同時也承諾將會開放NeuVector平臺的程式原始碼,提供具備高度互通性的解決方案。

在此之前,NeuVector已與SUSE合作多年,透過SUSE Rancher應用程式型錄也能部署NeuVector。以發行的軟體版本而言,NeuVector於2018年7月推出2.0版,2019年3月發布3.0版,2020年9月推出4.0版,今年1月,SUSE宣布NeuVector的程式碼基礎已公開在GitHub網站(NeuVector 5.0第一個開放原始碼版本的技術預覽版本),

到了5月,適逢KubeCon + CloudNativeCon Europe 2022大會舉行,終於以SUSE NeuVector為名釋出5.0版,並與SUSE Rancher 2.6.5一起發表。

5.0版SUSE NeuVector首先主打的特色,自然是與SUSE Rancher整合,可簡化NeuVector安全功能的部署、監控、管理,也能搭配其他企業級容器管理平臺,像是Amazon EKS、Google GKE、Microsoft AKS。

由於它本身也是SUSE Rancher 2.6.5的一部分,因此,Rancher用戶能憑藉Rancher主控臺登入的身分、直接管理SUSE NeuVector,對於大型、分散在全球各地的Kubernetes環境的資安管理,以及容器生命週期的管理,能予以整併、簡化。

這一版也提供即時組建高韌性容器系統的多種特色,例如,網站應用程式防火牆的偵測、自動化的容器防護機制、CVE資安漏洞的調查與分類,以及法規遵循度的檢查與產生統計報告,針對容器的工作負載,增添自動化執行時期保護機制。

強化零信任與零飄移的工作負載安全控制

對於資安威脅的無孔不入,SUSE NeuVector新版提供零信任工作負載控制(zero trust workload controls)的系列特色,大幅擴充偵測能力之餘,也提升自動化處理機制,減輕手動設定的負擔。

舉例來說,這裡透過NeuVector本身特製的深度封包檢測(DPI)引擎,提供網站應用程式防火牆與資料外洩預防(DLP)等兩種保護;基於原有的容器映像,NeuVector能夠自動偵測經過合法授權的處理程序與檔案存取活動,以此阻擋非法的處理程序啟動或安裝惡意執行檔,實現所謂的零飄移工作負載防護(zero-drift workload protections)。

SUSE在此還提供防護模式的自動切換(protection mode auto-switch),此特色又稱為自動化的保護模式遷移(Automated protection mode migration),可根據特定的條件與行為的學習,促使應用程式工作負載的狀態,從探查(學習)模式切換至監控(警告)模式,以及保護(阻擋)模式;

  

為了進行許可控制、網站應用程式防火牆、資料外洩預防等防護處理,能讓用戶經由自定資源定義(Custom Resource Definitions,CRDs),實現資安政策即程式碼(security policy as code)的自動化處理,為其提供強化支援。

能夠整合Rancher最新版

針對Rancher的多叢集管理功能,與其密切整合的NeuVector 5.0亦新增多叢集資安管理功能。在實際應用上,企業可透過Rancher Apps and Marketplace的功能,輕鬆部署NeuVector,而且,在Rancher管理主控臺即可如同管理其他工作負載,能同時監督與管理容器安全狀態。

若Rancher的管理者要控管NeuVector時,可在原本的網頁主控臺進行相關的操作,不需要個別登入,達到單一登入整合(SSO)的效果。

除此之外,NeuVector 5.0在作業系統映像的部分,已可涵蓋到SUSE企業級Linux作業系統,如SUSE Linux Enterprise Server、SUSE Linux Enterprise Base Container Images(SLE BCI),以及微軟維護的CBL-Mariner映像。

而在部署環境上,NeuVector 5.0支援Rancher的Kubernetes版本RKE2,以及輕量Kubernetes版本K3s。事實上,除了上述可透過Rancher來進行部署,企業也能運用Kubernetes的套件管理員Helm、Kubernetes自動化管理框架Operators,以及標準kubectl指令來進行。

產品資訊

SUSE NeuVector 5.0
●原廠:SUSE
●建議售價:廠商未提供
●架構組成元件:controller、scanner、manager、enforcer、updater
●系統資源需求:各元件需配置1GB以上記憶體
●支援Linux作業系統版本:Ubuntu、Red Hat CentOS/RHEL、Debian、Rancher OS、CoreOS、AWS Bottlerocket、SUSE Linux、Photon OS
●支援Docker版本:Docker runtime 1.9.0以上、Docker API版本1.2.1,並涵蓋Docker CE與Docker EE
●支援容器管理系統:Kubernetes、Docker、Docker Swarm、Docker UCP/DataCenter、Docker Cloud、SUSE Rancher(RKE、RKE2、K3s)、Google GKE、Amazon EKS、Microsoft Azure AKS、VMware Photon、RedHat OpenShift 3與4、IBM IKS、SUSE CaaS、Mirantis Kubernetes Engine

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement