SUSE NeuVector 是业界首个端到端的开源容器安全平台，唯一为容器化工作负载提供企业级零信任安全的解决方案。SUSE NeuVector 致力于保障企业级容器平台安全，可以提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及容器内部安全，容器管理平台无缝集成并且实现应用级容器安全的自动化，适用于各种云环境、跨云或者本地部署等容器生产环境。

2022年，SUSE NeuVector通过测试，获得了由中国信息通信研究院、中国泰尔实验室和网络安全卓越验证示范中心联合颁发的云（原生）安全产品检验证书。

产品优势：

基于行为的零信任容器分割

动化安全策略创建与执行

7 层完整容器网络可视化

全面的合规评估与报告

威胁缓解和零日防护

SUSE NeuVector特性包括：

网络安全容器防火墙

l  7 层 – 应用层 – 网络检测

l  使用容器 DLP 进行进行深度包检测 (DPI)

l  包括加密服务网格在内的应用分割和威胁防护，例如 Istio、Linked2

l  检测威胁：DDoS、DNS、SQL Injection、SlowLoris 等

隧道检测 – 根据 DNS 名称或 IP 强制执行的ICMP、DNS 入口和出口规则

包捕获：自动和手动 pcap 文件

基于自动行为学习的白名单规则

实时显示容器、连接、违规和威胁，并带有网络详情

基于名称空间、标签、IP 地址、DNS 名称等的自定义白名单/ 黑名单规则

DLP: 信用卡、PII、账户、其他正则表达式匹配

l  3 种模式：发现、监视、保护服务，以分流/ 镜像或内联（阻塞）模式运行

l  应用和协议检测：HTTP/S、SSL、SSH、DNS、DNCP、NTP、TFTP、ECHO、RTSP、SIP、ICMP、MySQL、Oracle SQL、MS SQL、Redis、Zookeeper、Cassandra、

l  MongoDB、PostgresSQL、Kafka、Couchbase、ActiveMQ、ElasticSearch、RabbitMQ、Radius、VoltDB、Consul、Syslog、Etcd、Spark、Apache、Nginx、Jetty、NodeJS、gRPC 等

容器运行时事件检测与预防

容器流程基线、监视、阻止（包括未授权）、端口扫描、反向shell

根权限提升和越权检测

容器文件系统监测、阻止和自动重新扫描

告警、日志和响应

自动事件响应规则 - 可定制

按源、目标、容器和其他事件数据进行告警和日志记录，并通过 SYSLOG 或 webhook 发送

阻止所有连接的违规和威胁，并进行隔离

l  启动数据包捕获并下载 PCAP 文件

漏洞管理、合规和审计

l  完整生命周期漏洞 (CVE) 和合规扫描 – 构建扫描、仓库扫描和运行时扫描。完整的Jenkins、CircleCI、Bamboo 的插件，以及 REST API

l  语言扫描，包括 java、ruby、python、nodejs

l  Docker、AWS ECR、Azure ACR、GCR、jFrog、RedHat/OpenShift、Gitlab、Nexus、IBM 等的镜像仓库扫描

l  Kubernetes、GKE、OpenShift CIS 安全基准

l  20 多种密钥类型的的密钥审核和扫描

l  许可控制规则阻止易受攻击的镜像

l  PCI、GDPR、HIPAA、NIST 等的合规模板

 主机与平台安全

l  漏洞扫描 – 针对主机和编排平台的运行实时扫描，例如 Kubernetes

l  可疑进程、文件系统活动和权限提升检测，带有主机进程阻止能力

l  Kubernetes、OpenShift、Docker CIS 基准测试

云原生自动化与集成

l  与编排和管理平台集成：Kubernetes、Rancher（应用商店）、Red Hat OpenShift（经认证的容器和operator）、AWS ECS/EKS、Mesos，Google GCP/GKE、Azure/AKS、IBM Cloud、OKE、PKS、Diamanti、VMWareTanzu、PKS

l  与网络插件和overlay 网络兼容，包括 Calico、Flannel、Weave、OpenShift 等

l  SYSLOG / SIEM 支持高级关联/ 告警

l  可定制的 webhook 通知

l  支持LDAP/Active Directory、OIDC 和SAML，以实现角色/ 群组映射和单一登录 (SSO)，并支持自动化 OpenShift RBAC、定制角色

l  对于云原生“策略即代码”部署，通过ConfigMaps、CRD、REST API 和 CLI 实现自动化

l  支持的运行时：docker containerd、CRI-O

l  支持的平台：所有运行 Docker engine CE 或EE 的主要 linux 版本，包括 SuSE、Ubuntu、Debian、CentOS、CoreOS、RHEL

资源监控、可视化与报告

l  利用包含应用协议分析和使用数据的风险评分仪表板 – 可下载的 PDF 和 CSV 报告，包括PCI、HIPAA、NIST、GDPR

l  用于联合策略管理和风险监控的单集群和多集群管理控制台

l  检测容器标签、端口和卷映射、进程、服务和名称空间

l  监控容器资源消耗，包括 CPU、内存、进程历史记录和网络数据包

性能、高可用性和安全性

l  每个主机上的轻量级 “Enforcer” 容器支持多 Gb/s 网络过滤吞吐量

l  并行Scanner Pod 可实现全面的扫描伸缩

l  经客户在 1000 个节点群集上验证和测试

l  CPU 和内存可以分配给 NeuVector 容器，以保证可扩展的性能

l  利用多个 “Controller” 容器实现高可用性

l  NeuVector 容器由 Docker 和 SUSE、Red Hat 进行加固、监控和认证

l  建议的 Controller 和 Enforcer 内存：1GB