Sécuriser les environnements Kubernetes avec SUSE Security (NeuVector) : du déploiement standalone et fédéré à la mise en pratique
1. Présentation de NeuVector Security Platform SUSE Sécurity ou NeuVector (CNCF project, 100% open source) Cas d’usage principaux : Sécurité réseau (Zero-Trust, pare-feu applicatif, détection…

1. Présentation de NeuVector Security Platform
-
SUSE Sécurity ou NeuVector (CNCF project, 100% open source)
-
Cas d’usage principaux :
-
Sécurité réseau (Zero-Trust, pare-feu applicatif, détection d’anomalies)
-
Détection des vulnérabilités (images, conteneurs, runtime)
-
Conformité et audit (PCI-DSS, HIPAA, GDPR, NIST, CIS Benchmarks)
-
-
Architecture
-
Controller : orchestration, configuration et politiques de sécurité
-
Enforcer : appliqué en DaemonSet sur chaque nœud, contrôle trafic/process
-
Scanner : analyse des images et du runtime
-
Manager/Console : interface utilisateur et API
-
2. Déploiement de NeuVector
-
Pré-requis :
-
Cluster Kubernetes (3vcpu et 6Go Ram par node) et Helm
-
-
Modes de déploiement :
-
Standalone (sans fédération)
-
Fédéré (multi-clusters, central management voir le ch7)
-
-
Configuration initiale :
-
Dashboard
-
Activation de l'auto scan
-
Network activity
-
Création des comptes et rôles (RBAC NeuVector)
-
Intégration SSO (OIDC, LDAP, SAML)
-
3. Les Policies rules
-
Admission control
-
Groups
-
Security modes
-
Response Rules
-
Network Rules
-
DLP Sensors
-
WAF Sensors
4. Scanning et assets
-
Plateform
-
Namespaces
-
Nodes
-
Containers
- Scanner les OS ubuntu, debian, flatcar, opensuse, almalinux et rockylinux
-
Registries
-
Sigstore Verifiers
5. Security et Risks
-
Vulnerabilities
-
Vulnerability Profile
-
Compliance
-
Compliance Profile
6. API Doc et Settings
-
Dashboard
-
Network activity
-
packet capture
-
-
Users, API Keys, Roles
7. Federation et Central management
-
Deployer 3 clusters féderés
-
cert-manage, let's encrypt et dns challenge
-
-
Configuration
-
SSO OpenID connect
-
Fed management
- Api doc
-
Automatisation terraform et k8s provider
-
Webhook Python script to send mail alerts
Chapitres
- 1.Présentation de NeuVector Security Platform
- 2.Déploiement de NeuVector Standalone (sans fédération)
- 3.Configuration initiale dashboard, Network activity, user accounts
- 4.Configuration initiale Intégration SSO (OIDC, LDAP, SAML)
- 5.Les Policies rules: Admission control
- 6.Les Policies rules: Groups, Process Profile Rules et Response Rules
- 7.Les Policies rules: Security modes dicover, monitor, protect, basic and zero drift
- 8.Les Policies rules: Network Rules, DLP Sensors
- 9.Les Policies rules: WAF Sensors
- 10.Scanning et assets: Plateform, Namespaces, Nodes et Containers
- 11.Scanning et assets: Scanner les OS ubuntu, debian, flatcar, opensuse, almalinux et rockylinux
- 12.Scanning et assets: Scanning de Registries
- 13.Scanning et assets: Sigstore Verifiers avec cosign keyless et vault transit