Aller au contenu principal
Sommaire de la formation

Les Policies rules: Groups, Process Profile Rules et Response Rules

coolibra116 vues

3. Les Policies rules

  • Groups

  • Process Profile Rules
  • Response Rules


Un Group est un regroupement logique de conteneurs, pods, services ou adresses IP/hostnames. Ces groupes servent de cibles ou sources pour définir des politiques de sécurité (réseau, processus, fichiers, DLP/WAF).

En pratique : plutôt que de gérer des règles sur chaque conteneur individuellement, on applique les règles à un Group, ce qui simplifie et centralise la sécurité.

  • Création automatique : NeuVector crée automatiquement des groupes (préfixés nv.) en fonction des images de conteneurs ou des workloads en cours d’exécution.
    Exemple : tous les pods issus de l’image wordpress seront dans un même groupe.

  • Création manuelle : On peut aussi définir des Custom Groups à partir de critères :

    • image (ex: image=redis)

    • node (ex: node=node1)

    • conteneur spécifique

    • service (ex: service=nginx)

    • labels Kubernetes

    • adresse IP ou DNS (ex: address=10.0.0.0/24 ou address=*.google.com)

  • Modes : un groupe peut être mis en mode

    • Discover : NeuVector observe et apprend les comportements normaux.

    • Monitor : NeuVector alerte sur les écarts.

    • Protect : NeuVector bloque activement les écarts. (Process/File rules et Network rules peuvent être gérés indépendamment.)

  • Utilité :

    • Appliquer des règles réseau (firewall distribué).

    • Définir des règles de processus/fichiers autorisés.

    • Définir des règles de compliance et DLP/WAF.

    • Exporter/Importer en YAML (CRD → Policy as Code).

    • Contribuer au Security Risk Score dans le dashboard.

  • Auto-cleanup : Les groupes automatiques (nv.) sont supprimés s’ils n’ont plus de conteneurs associés (configurable).

  • Group spécial : nodes

    • Représente les hôtes Kubernetes.

    • Permet la protection des nœuds (process monitoring, détection de scans/privilege escalation, blocage de processus suspects en Protect mode).

    • Mais : les violations réseau sur nodes ne sont jamais bloquées, seules les violations de processus le sont.

Dans le namespace demo, les groupes suivants ont été automatiquement créés.

 

  • Process Profile Rules

NeuVector propose deux modes de protection des processus et des fichiers :

    • Zero-drift : impose une adhésion stricte à l'image du conteneur d'origine en autorisant uniquement les fichiers et les processus provenant du processus parent présent dans l'image du conteneur d'origine et observés pendant la phase d'apprentissage.
    • Basic : fournit un apprentissage de protection plus large et est utilisé pour autoriser tous les processus en cours d'exécution à l'intérieur du conteneur.

Pour bloquer un process: Policy -> Groups -> Process Profile Rules.

    • Activer d'abord Process profile mode sur protect et Baseline prifile settigns sur basic. Le mode Zero drift est plus stricte et bloque l'ouverture de shell dans le conteneur.

 

    • Si on veut interdire la commande cut par exemple: Clic sur le process > actions > edit > deny et * dans le path puis deloy
      • Si on va dans le conteneur la commande cut ne passera plus.

 

    • Si on ouvre un shell dans le conteneur, la commande cut n'est plus diponible.

 

  • Response Rules

La Response Rules lève les alertes aux événements de sécurité importants. Les Triggers peuvent inclure des événements de sécurité, des risk reports, des benchmarks CIS, des événements de contrôle d'admission et d'autres événements. Les actions incluent la mise en quarantaine des conteneurs, les webhooks et la suppression des alertes.

    • Les responses rules par defaut existent on peut les activer et les modifier ou en créer un custom.

 

    • Créer une response rule pour appeler un webhook si un admission control est violé.

 

Dans Notifications > Security events, on voit toutes les alertes qui ont été levées.

 

  • Mettre une app en quarantaine

Commentaires

Connectez-vous pour rejoindre la discussion.

Aucun commentaire pour le moment.