快速入门

平台以 集群插件 的形式集成了 NeuVector。

在集群上部署 NeuVector 插件后，即可为集群中容器化的计算组件提供 漏洞扫描、合规性扫描、运行时安全防护、准入控制 等安全防护能力；同时，您可在 容器安全 产品界面中单击 集群名称 打开 NeuVector 的 Web UI，查看针对集群的安全统计数据，并执行相关的安全管理操作。

如果您是首次使用 容器安全 平台，您可参考本文快速开始。

打开产品的显示入口开关

1. 在 平台管理 视图的左侧导航栏中，单击 产品管理。

2. 单击 容器安全 产品右侧的 显示入口 开关。

   说明：打开该开关后，容器安全 产品入口会在 产品切换入口 或 Portal 页面中显示。

在集群中部署 NeuVector 插件

1. 在顶部导航栏中，单击 产品切换入口 > 容器安全。

2. 单击待部署插件集群名称右侧 去部署。

3. 在集群的 插件 页签下，参考 部署 NeuVector 部署插件。

访问 NeuVector 的 Web UI

1. 在 容器安全 视图中，单击已成功部署 NeuVector 插件的 集群名称 打开 NeuVector 登录页面。

   提示：仅当 控制器、扫描器、代理端 均处于 运行中 状态时，表明插件部署成功。

2. 单击 Sign In with OpenID。

   提示：

   • 若 NeuVector 登录失败，请退出并重新登录全栈云原生开放平台后再次尝试登录 NeuVector。

   • 在顶部导航栏中，单击 ? 可打开 NeuVector 的在线帮助。

NeuVector 基础功能简介

安全漏洞管理

NeuVector 集成了 CVE 漏洞库，可对平台（Kubernetes）、主机、容器、镜像仓库进行安全漏洞扫描。

• 会实时扫描平台上的资源以检测漏洞，有新的节点和容器加入时，自动进行扫描。

• 针对漏洞提供丰富的参考信息，包括：严重程度、对应的组件版本、修正版本、漏洞发布时间、漏洞影响范围、对应的组件的影响版本。

• 支持对接多种镜像仓库如 docker-registry（harbor）、JFrog Artifactory、Nexus 等，并对对接的镜像仓库进行漏洞扫描。

  例如：对接 Harbor。过滤器表示需要扫描的范围，如需扫描 test 项目下全部镜像则输入 test/* ，如需扫描整个 Harbor 内全部镜像则输入 *。

合规性、机密性检查

NeuVector 的合规性检查包括 CIS 基线测试、自定义检查、机密审核以及 PCI（Peripheral Component Interconnect，外设组件互联标准）、GDPR（General Data Protection Regulation，通用数据保护条例）和其他法规的行业标准模板扫描。

说明：类型 表示对应的基线标准，如 K.4.1.1 对应 Kubernetes CIS 基线测试；容器对应的基线标准为 D 开头，镜像对应的基线标准以 I 开头。

在合规性检查中也会检查是否存在密文泄漏情况。

策略管理

NeuVector 通过组的方式对容器和主机进行管理，对组进行合规性检查、网络规则、进程和文件访问规则、DLP/WAF 的检测配置。

NeuVector 会自动将当前集群主机加入到 nodes 组，并自动创建以 nv. 开头的组管理集群内容器。

NeuVector 的组支持 3 种模式：

• 学习模式

  • 学习和记录容器、主机间网络连接情况和进程执行信息。

  • 自动构建网络规则白名单，保护应用网络的正常行为。

  • 为每个服务的容器中运行的进程设定安全基线，并创建进程配置文件规则白名单。

• 监视模式

  NeuVector 监视容器和主机的网络和进程运行情况，遇到非学习模式下记录的行为将在 NeuVector 中进行告警。

• 保护模式

  NeuVector 监视容器和主机的网络和进程运行情况，遇到非学习模式下记录的行为直接拒绝。

新建的容器业务被自动发现后会默认为其模式为学习模式，也可以通过设置将默认模式设置为监视模式或保护模式。

其他使用场景：

• 动态微隔离

  可通过为 Pod 添加网络规则实现 Pod 间互相隔离。

• 进程管理

  NeuVector 支持对容器和主机内进程进行管理，在学习模式下，运行的进程和命令会自动添加到规则中。

准入策略控制

NeuVector 支持与 Kubernetes 准入控制（admission-control）功能对接，通过 UI 配置准入控制规则，对请求进行拦截，对请求的资源对象进行校验。

NeuVector 支持多种准入控制策率配置，如镜像 CVE 漏洞情况限制、部署特权模式、镜像内使用 root 用户、特定标签等。

可在 策略 > 准入控制 页面启用此功能。

说明：NeuVector 准入策略控制支持 监视 和 保护 2 种模式，对应的含义和组的模式一样的。

动态安全响应

可通过为 NeuVector 事件设置应对规则，让其根据安全事件情况进行动态响应，包括以下事件：漏洞扫描结果、CIS 基准测试、准入控制事件等。

响应动作包括：

• 隔离：对应的容器网络进出流量将全部被切断。

• 网络挂接：触发信息通过 Webhook 方式进行告警。

• 取缔日志：对触发的告警信息进行抑制。

网络可视化

可清晰地展现了集群内的网络连接关系、当前容器连接会话，并且过滤了网络连接信息，方便快速进行网络问题定位。