Wydanie NeuVector w wersji 5.3.0: Zwiększenie bezpieczeństwa sieci i automatyzacja

NeuVector w wersji 5.3.0 już jest! To wydanie wprowadza nowe funkcje do zabezpieczeń sieci kontenerów, a także wsparcie dla bezpieczeństwa GitOps jako automatyzacji kodu. Rozszerza również zakres kompatybilności platformy z Arm64 i wsparciem dla rynku chmury publicznej.

Nowa wersja zapewnia wartościowy wgląd w połączenia zewnętrzne z klastra Kubernetes. Deweloperzy często wymagają zewnętrznych połączeń dla usług API, zewnętrznych źródeł danych, a nawet internetowych aktualizacji open source. Te zewnętrzne połączenia mogą dotyczyć wewnętrznych sieci prywatnych lub usług internetowych, a zespoły operacyjne i bezpieczeństwa mogą mieć trudności z ustaleniem, które z nich powinny być dozwolone, a które podejrzane. Wraz z rozpowszechnieniem wbudowanego złośliwego oprogramowania, backdoorów i wydobywania kryptowalut, niezwykle ważne jest, aby połączenia zewnętrzne z klastra były odpowiednio identyfikowane i zabezpieczane. W wersji 5.3.0 NeuVector wykorzystuje inspekcję warstwy 7 (aplikacji) całego ruchu, w tym rozdzielczości DNS dla w pełni kwalifikowanych nazw domen (FQDN), do adresów IP, aby najpierw poznać zewnętrzne nazwy hostów / adresy URL i raportować połączenia zewnętrzne. Dzięki tej wiedzy zespoły ds. bezpieczeństwa i operacji mogą określić, które połączenia powinny być dozwolone, które podejrzane, a które zablokowane. Dozwolone połączenia są następnie kodyfikowane w regułach zerowego zaufania dla dostępu zewnętrznego. Ponadto NeuVector można teraz skonfigurować tak, aby zezwalał na ruch ICMP w celu monitorowania lub blokowania ataków opartych na ICMP.

Automatyzacja GitOps dla bezpieczeństwa jako kodu

Pipeline’y Kubernetes są wysoce dynamiczne i zautomatyzowane, a polityka bezpieczeństwa Kubernetes musi być również zautomatyzowana, aby wspierać te pipeline’y. NeuVector 5.3.0 rozszerza obsługę “Security as Code”, umożliwiając eksport polityk bezpieczeństwa (manifestów opartych na języku yaml) do repozytoriów git (GitHub) w postaci niestandardowych definicji zasobów NeuVector (CRD). Stanowi to rozszerzenie działań rozpoczętych kilka lat temu w celu umożliwienia zarządzania wszystkimi politykami bezpieczeństwa NeuVector za pośrednictwem CRD. Wykorzystanie przepływu pracy GitOps do zarządzania manifestami bezpieczeństwa będzie nadal rozszerzane w przyszłości poprzez import z repozytoriów git.

Rozszerzone wsparcie dla platform sprzętowych dostęp w marketplace’ach w chmurze publicznej

Nowa wersja dodaje obsługę architektur opartych na Arm64 z kontenerami Linux i rozszerza wsparcie dla Amazon EKS, Microsoft Azure i Google Marketplaces. Ściśle współpracując z zespołem technicznym firmy Arm, inżynierowie NeuVector z powodzeniem przeportowali nasze oprogramowanie i przetestowali pod kątem działania na platformie Arm64. Jako projekt bezpieczeństwa typu open source, NeuVector umożliwia zespołom wnoszenie znaczącego wkładu w projekt. Zapewnia to pełne bezpieczeństwo kontenerów działających na Arm, w tym bare metal i chmurach publicznych, takich jak Amazon EKS Graviton.

Aby zobaczyć wszystkie ulepszenia, warto zapoznać się z informacjami o wersji NeuVector 5.3.0 w Release Notes.

Treść wpisu na blogu przygotowana na podstawie postu Glena Kosaka