Aller au contenu principal

Sécuriser les environnements Kubernetes avec SUSE Security (NeuVector) : du déploiement standalone et fédéré à la mise en pratique

1. Présentation de NeuVector Security Platform SUSE Sécurity ou NeuVector (CNCF project, 100% open source) Cas d’usage principaux : Sécurité réseau (Zero-Trust, pare-feu applicatif, détection…

coolibra08 juil. 20261044 vues

1. Présentation de NeuVector Security Platform

  • SUSE Sécurity ou NeuVector (CNCF project, 100% open source)

  • Cas d’usage principaux :

    • Sécurité réseau (Zero-Trust, pare-feu applicatif, détection d’anomalies)

    • Détection des vulnérabilités (images, conteneurs, runtime)

    • Conformité et audit (PCI-DSS, HIPAA, GDPR, NIST, CIS Benchmarks)

  • Architecture

    • Controller : orchestration, configuration et politiques de sécurité

    • Enforcer : appliqué en DaemonSet sur chaque nœud, contrôle trafic/process

    • Scanner : analyse des images et du runtime

    • Manager/Console : interface utilisateur et API

2. Déploiement de NeuVector

  • Pré-requis :

    • Cluster Kubernetes (3vcpu et 6Go Ram par node) et Helm

  • Modes de déploiement :

    • Standalone (sans fédération)

    • Fédéré (multi-clusters, central management voir le ch7)

  • Configuration initiale :

    • Dashboard

    • Activation de l'auto scan

    • Network activity

    • Création des comptes et rôles (RBAC NeuVector)

    • Intégration SSO (OIDC, LDAP, SAML)

3. Les Policies rules

  • Admission control

  • Groups

  • Security modes

  • Response Rules

  • Network Rules

  • DLP Sensors

  • WAF Sensors

4. Scanning et assets

  • Plateform

  • Namespaces

  • Nodes

  • Containers

  • Scanner les OS ubuntu, debian, flatcar, opensuse, almalinux et rockylinux
  • Registries

  • Sigstore Verifiers

5. Security et Risks

  • Vulnerabilities

  • Vulnerability Profile

  • Compliance

  • Compliance Profile

6. API Doc et Settings

  • Dashboard

  • Network activity

    • packet capture

  • Users, API Keys, Roles

7. Federation et Central management

  • Deployer 3 clusters féderés

    • cert-manage, let's encrypt et dns challenge

  • Configuration

  • SSO OpenID connect

  • Fed management

  • Api doc
  • Automatisation terraform et k8s provider

  • Webhook Python script to send mail alerts

Chapitres

  1. 1.Présentation de NeuVector Security Platform
  2. 2.Déploiement de NeuVector Standalone (sans fédération)
  3. 3.Configuration initiale dashboard, Network activity, user accounts
  4. 4.Configuration initiale Intégration SSO (OIDC, LDAP, SAML)
  5. 5.Les Policies rules: Admission control
  6. 6.Les Policies rules: Groups, Process Profile Rules et Response Rules
  7. 7.Les Policies rules: Security modes dicover, monitor, protect, basic and zero drift
  8. 8.Les Policies rules: Network Rules, DLP Sensors
  9. 9.Les Policies rules: WAF Sensors
  10. 10.Scanning et assets: Plateform, Namespaces, Nodes et Containers
  11. 11.Scanning et assets: Scanner les OS ubuntu, debian, flatcar, opensuse, almalinux et rockylinux
  12. 12.Scanning et assets: Scanning de Registries
  13. 13.Scanning et assets: Sigstore Verifiers avec cosign keyless et vault transit