NeuVector 概述
背景介绍
随着云原生技术的快速发展、创新,加速了企业数字化转型的同时,也带了新的安全风险,风险涉及到容器网络、组件编排、镜像、镜像仓库、容器运行时等方面。
借助云原生进行数字化转型的企业,在利用云原生敏捷、高效、可拓展等优势快速交付、扩展、创新业务时,不得不面对诸多的安全风险和挑战。
为了避免安全问题影响企业用户开发业务应用时的敏捷性和技术创新性,本平台结合 NeuVector 打造了一款 容器安全 产品,能够帮助用户有效地预防、抵御容器安全风险,快速检测、应对安全问题。
NeuVector 简介
NeuVector 是一款端到端的开源容器安全平台产品,能够为容器化计算组件提供企业级零信任安全解决方案。能够助力企业强化对任意环境的安全防护,抵御日渐增强的安全威胁,同时避免影响开发者的敏捷性和技术创新。
核心功能简介
NeuVector 提供了一个强大的端到端容器安全平台。它提供了端到端的漏洞扫描以及针对容器、Pods 、节点的完整运行时保护机制,主要功能包括:
-
CI/CD 漏洞管理和准入控制。使用 Jenkins 插件扫描镜像,扫描制品仓库,并对进入生产环境的部署进行准入控制。
-
违规保护。基于创建的白名单策略,检测违反正常行为的违规行为。
-
威胁检测。检测常见的应用攻击,如针对容器的 DDoS 和 DNS 攻击。
-
DLP 和 WAF 传感器。检查网络流量以防止敏感数据丢失,并检测常见的 OWASP Top10 WAF 攻击。
-
运行时漏洞扫描。日常扫描注册表、镜像、运行中容器的编排平台和主机以查找常见 CVE 漏洞以及针对应用的特定漏洞。
-
合规和审计。自动运行 Docker Bench 测试和 Kubernetes CIS Benchmarks。
-
端点/节点安全。检测权限升级,监测节点和容器内进程、文件活动,并监测容器文件系统的可疑活动。
-
多集群管理。从一个控制台监控和管理多个 Kubernetes 集群。
NeuVector 从操作系统、运行时/Kubernetes、容器应用三个层面提供安全防护。
特点
-
开放:100% 开源。
-
灵活:可灵活部署在各类 Kubernetes 发行版、Rancher、Openshift、EKS(Amazon Elastic Kubernetes Service)、TKE(Tencent Kubernetes Engine)等产品中。
-
可靠:经过 7 年迭代,产品成熟稳定。
-
专业:提供专业的安全服务,保障业务安全可靠地持续运行。
组件介绍
NeuVector 包含 4 个组件:Controllers、Enforcers、Managers、Scanners。
| 组件名称(中/英) | 功能描述 |
|---|---|
| 控制器/Controller | - 管理执行器(Enforcer)集群。 - 为管理控制台提供 REST API。 |
| 执行器/Enforcers | 执行安全策略。 |
| 管理控制台/Manager | 提供 Web- UI。 |
| 扫描器/Scanner | - 镜像、容器、节点漏洞扫描。 - 镜像、容器、节点合规性扫描。 - 包含 CVE 漏洞库。 |
架构
NeuVector 的架构如下图所示。
提示:Scanner 能够单独作为一个流水线扫描器运行,架构图中没有展示单独的扫描器组件。
