SUSE NeuVector 是业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全的解决方案。SUSE NeuVector 致力于保障企业级容器平台安全,可以提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及容器内部安全,容器管理平台无缝集成并且实现应用级容器安全的自动化,适用于各种云环境、跨云或者本地部署等容器生产环境。
2022年,SUSE NeuVector通过测试,获得了由中国信息通信研究院、中国泰尔实验室和网络安全卓越验证示范中心联合颁发的云(原生)安全产品检验证书。
产品优势:
基于行为的零信任容器分割
动化安全策略创建与执行
7 层完整容器网络可视化
全面的合规评估与报告
威胁缓解和零日防护
SUSE NeuVector特性包括:
网络安全容器防火墙
l 7 层 – 应用层 – 网络检测
l 使用容器 DLP 进行进行深度包检测 (DPI)
l 包括加密服务网格在内的应用分割和威胁防护,例如 Istio、Linked2
l 检测威胁:DDoS、DNS、SQL Injection、SlowLoris 等
隧道检测 – 根据 DNS 名称或 IP 强制执行的ICMP、DNS 入口和出口规则
包捕获:自动和手动 pcap 文件
基于自动行为学习的白名单规则
实时显示容器、连接、违规和威胁,并带有网络详情
基于名称空间、标签、IP 地址、DNS 名称等的自定义白名单/ 黑名单规则
DLP: 信用卡、PII、账户、其他正则表达式匹配
l 3 种模式:发现、监视、保护服务,以分流/ 镜像或内联(阻塞)模式运行
l 应用和协议检测:HTTP/S、SSL、SSH、DNS、DNCP、NTP、TFTP、ECHO、RTSP、SIP、ICMP、MySQL、Oracle SQL、MS SQL、Redis、Zookeeper、Cassandra、
l MongoDB、PostgresSQL、Kafka、Couchbase、ActiveMQ、ElasticSearch、RabbitMQ、Radius、VoltDB、Consul、Syslog、Etcd、Spark、Apache、Nginx、Jetty、NodeJS、gRPC 等
容器运行时事件检测与预防
容器流程基线、监视、阻止(包括未授权)、端口扫描、反向shell
根权限提升和越权检测
容器文件系统监测、阻止和自动重新扫描
告警、日志和响应
自动事件响应规则 - 可定制
按源、目标、容器和其他事件数据进行告警和日志记录,并通过 SYSLOG 或 webhook 发送
阻止所有连接的违规和威胁,并进行隔离
l 启动数据包捕获并下载 PCAP 文件
漏洞管理、合规和审计
l 完整生命周期漏洞 (CVE) 和合规扫描 – 构建扫描、仓库扫描和运行时扫描。完整的Jenkins、CircleCI、Bamboo 的插件,以及 REST API
l 语言扫描,包括 java、ruby、python、nodejs
l Docker、AWS ECR、Azure ACR、GCR、jFrog、RedHat/OpenShift、Gitlab、Nexus、IBM 等的镜像仓库扫描
l Kubernetes、GKE、OpenShift CIS 安全基准
l 20 多种密钥类型的的密钥审核和扫描
l 许可控制规则阻止易受攻击的镜像
l PCI、GDPR、HIPAA、NIST 等的合规模板
主机与平台安全
l 漏洞扫描 – 针对主机和编排平台的运行实时扫描,例如 Kubernetes
l 可疑进程、文件系统活动和权限提升检测,带有主机进程阻止能力
l Kubernetes、OpenShift、Docker CIS 基准测试
云原生自动化与集成
l 与编排和管理平台集成:Kubernetes、Rancher(应用商店)、Red Hat OpenShift(经认证的容器和operator)、AWS ECS/EKS、Mesos,Google GCP/GKE、Azure/AKS、IBM Cloud、OKE、PKS、Diamanti、VMWareTanzu、PKS
l 与网络插件和overlay 网络兼容,包括 Calico、Flannel、Weave、OpenShift 等
l SYSLOG / SIEM 支持高级关联/ 告警
l 可定制的 webhook 通知
l 支持LDAP/Active Directory、OIDC 和SAML,以实现角色/ 群组映射和单一登录 (SSO),并支持自动化 OpenShift RBAC、定制角色
l 对于云原生“策略即代码”部署,通过ConfigMaps、CRD、REST API 和 CLI 实现自动化
l 支持的运行时:docker containerd、CRI-O
l 支持的平台:所有运行 Docker engine CE 或EE 的主要 linux 版本,包括 SuSE、Ubuntu、Debian、CentOS、CoreOS、RHEL
资源监控、可视化与报告
l 利用包含应用协议分析和使用数据的风险评分仪表板 – 可下载的 PDF 和 CSV 报告,包括PCI、HIPAA、NIST、GDPR
l 用于联合策略管理和风险监控的单集群和多集群管理控制台
l 检测容器标签、端口和卷映射、进程、服务和名称空间
l 监控容器资源消耗,包括 CPU、内存、进程历史记录和网络数据包
性能、高可用性和安全性
l 每个主机上的轻量级 “Enforcer” 容器支持多 Gb/s 网络过滤吞吐量
l 并行Scanner Pod 可实现全面的扫描伸缩
l 经客户在 1000 个节点群集上验证和测试
l CPU 和内存可以分配给 NeuVector 容器,以保证可扩展的性能
l 利用多个 “Controller” 容器实现高可用性
l NeuVector 容器由 Docker 和 SUSE、Red Hat 进行加固、监控和认证
l 建议的 Controller 和 Enforcer 内存:1GB
年度优秀安全产品
SUSE NeuVector
登陆即可获得 8 次投票机会