전체 라이프사이클 컨테이너 보안 플랫폼
참고: 이 문서에서는 5.x(오픈 소스) 버전에 대해 설명합니다. 5.x 이미지는 적절한 태그(예: 신경 벡터/컨트롤러:(버전)로 도커 허브에서 액세스할 수 있습니다. 4.x 버전의 경우 4.x 문서를 참조하십시오.
NeuVector는 강력한 엔드 투 엔드 컨테이너 보안 플랫폼을 제공합니다. 여기에는 다음과 같은 컨테이너, 포드 및 호스트에 대한 엔드 투 엔드 취약성 검색 및 완전한 런타임 보호가 포함됩니다:
- CI/CD 취약성 관리 및 승인 제어. Jenkins 플러그인을 사용하여 이미지를 검색하고 레지스트리를 검색하며 프로덕션 배포에 대한 승인 제어 규칙을 적용합니다.
- 위반 방지. 동작을 검색하고 화이트리스트 기반 정책을 만들어 일반 동작의 위반을 탐지합니다.
- 위협 탐지. 컨테이너에 대한 DDoS 및 DNS 공격과 같은 일반적인 응용 프로그램 공격을 탐지합니다.
- DLP 및 WAF 센서. 네트워크 트래픽에서 중요한 데이터의 데이터 손실 방지를 검사하고 일반적인 OWASP Top 10 WAF 공격을 탐지합니다.
- 런타임 취약성 검색입니다. 레지스트리, 이미지 및 실행 중인 컨테이너 오케스트레이션 플랫폼 및 호스트에서 공통(CVE) 및 응용프로그램별 취약성을 검색합니다.
- 컴플라이언스 및 감사. 도커 벤치 테스트 및 쿠버네티스 CIS 벤치마크를 자동으로 실행합니다.
- 엔드포인트/호스트 보안. 권한 상승을 탐지하고, 호스트 및 컨테이너 내의 프로세스 및 파일 작업을 모니터링하며, 컨테이너 파일 시스템에서 의심스러운 작업을 모니터링합니다.
- 다중 클러스터 관리. 단일 콘솔에서 여러 Kubernetes 클러스터를 모니터링하고 관리합니다.
NeuVector의 다른 기능으로는 컨테이너 검역 및 SYSLOG 및 웹 훅을 통한 로그 내보내기, 조사를 위한 패킷 캡처 시작, OpenShift RBAC, LDAP, Microsoft AD 및 SSO와의 SAML 통합 등이 있습니다. 참고: 검역(Quarantine)은 모든 네트워크 트래픽이 차단되었음을 의미합니다. 컨테이너는 네트워크 연결 없이 그대로 유지되고 계속 실행됩니다. api-server가 여전히 컨테이너에 도달할 수 있기 때문에 Kubernetes는 검역된 컨테이너를 대체하기 위해 컨테이너를 시작하지 않습니다.
컨테이너 보안
NeuVector 런타임 컨테이너 보안 솔루션에는 Controllers, Enforcers, Managers, Scanners의 네 가지 유형의 보안 컨테이너가 포함되어 있습니다. Allinone이라는 특수 컨테이너도 제공되어 Controllers, Enforcer, Manager 기능을 하나의 컨테이너에 모두 결합할 수 있습니다(주로 도커 네이티브 배포용).
NeuVector는 단일 OS를 사용하여 가상 머신이나 베어 메탈 시스템에 배포할 수 있습니다.
Controller
Controller는 NeuVector Enforcer 컨테이너 클러스터를 관리합니다. 또한 관리 콘솔용 REST API도 제공합니다. 일반적인 테스트 배포에는 컨트롤러가 하나 있지만 고가용성 구성의 컨트롤러가 여러 개 있는 것이 좋습니다. 3개의 컨트롤러는 Kubernetes 프로덕션 배포 샘플 yaml의 기본값입니다.
Enforcer
Enforcer는 보안 정책을 적용하는 경량 컨테이너입니다. 각 노드(호스트)에 하나의 Enforcer를 배치해야 합니다(예: 데몬 세트).
참고: 도커 네이티브(Kubernetes가 아닌) 배포의 경우 Enforcer 컨테이너와 컨트롤러를 동일한 노드에 배포할 수 없습니다(아래의 All-in-One의 경우는 제외).
Manager
관리자는 사용자가 NeuVector 보안 솔루션을 관리할 수 있는 웹 UI(HTTPS 전용) 콘솔을 제공하는 상태 비저장 컨테이너입니다. 필요에 따라 둘 이상의 Manager 컨테이너를 배포할 수 있습니다.
All-in-One
All-in-One 컨테이너에는 Controller, Enforcer, Manager가 하나의 패키지에 포함되어 있습니다. 단일 노드 또는 소규모 배포 환경에서 쉽게 설치할 수 있습니다.
Scanner
스캐너는 이미지, 컨테이너 및 노드에 대한 취약성 및 규정 준수 검색을 수행하는 컨테이너입니다. 일반적으로 복제 세트로 배포되며 검색 성능을 높이기 위해 원하는 만큼 병렬 스캐너를 확장할 수 있습니다. 컨트롤러는 모든 검색이 완료될 때까지 사용 가능한 각 스캐너에 검색 작업을 라운드 로빈 방식으로 할당합니다. 스캐너에는 최신 CVE 데이터베이스도 포함되어 있으며 NeuVector에 의해 정기적으로 업데이트됩니다.
Updater
업데이터는 실행 시 NeuVector의 CVE 데이터베이스를 업데이트하는 컨테이너입니다. NeuVector는 취약성 검색을 위한 최신 CVE를 포함하기 위해 새 스캐너 이미지를 정기적으로 게시합니다. 업데이트 프로그램은 배포를 0으로 설정하고 다시 확장하여 업데이트된 스캐너 이미지를 강제로 끌어 올려 모든 스캐너 포드를 다시 배포합니다.
구조
다음은 NeuVector의 일반적인 아키텍처 개요입니다. 독립 실행형 파이프라인 스캐너로도 실행할 수 있는 별도의 스캐너 컨테이너는 표시되지 않습니다.
배포 예
일반적인 배포 패턴 및 모범 사례는 Onboarding/Best Practices section을 참조하십시오.
All-in-One과 Enforcer
이 배포는 평가, 테스트 및 소규모 배포와 같은 단일 노드 또는 소규모 환경에 이상적입니다. All-in-One 컨테이너는 실행 중인 애플리케이션 컨테이너가 있는 노드일 수도 있는 하나의 노드에 배포됩니다. NeuVector로 보호할 각 노드에 Enforcer가 하나씩 필요한 다른 모든 노드에 Enforcer를 배포할 수 있습니다. 이는 Controller와 Enforcer가 동일한 호스트에서 실행될 수 없는 기본 도커 배포에도 유용합니다.
Controller, Manager, Enforcer 컨테이너
이는 하나 이상의 컨트롤러, 하나의 관리자 및 시행자 집합으로 구성된 보다 일반적인 배포 사용 사례입니다. 컨트롤러 및 관리자는 시행자와 동일한 노드 또는 다른 노드에 배포할 수 있습니다.
All-in-One 전용
Jenkins 플러그인을 사용하여 레지스트리 검색을 위해 All-in-one 컨테이너만 배포하거나 NeuVector의 간단한 단일 노드 테스트를 사용할 수 있습니다.
Controller 전용
단일 컨트롤러 컨테이너 및/또는 스캐너를 배포하여 Jenkins 플러그인과 함께 사용하는 등 클러스터 외부의 취약성 검색을 관리할 수 있습니다. REST API를 사용하여 컨트롤러에서 레지스트리 검색을 수행할 수도 있지만 일반적으로 레지스트리 검색을 위한 콘솔 기반 구성 및 결과 보기를 제공하기 위해 Manager 컨테이너가 필요합니다.
출처 : https://open-docs.neuvector.com/basics/overview
