Le document présente les défis liés à la sécurité des conteneurs et les fonctionnalités de la solution NeuVector, stipulant qu'une approche de type 'zero-trust' est essentielle. Il décrit les méthodes de détection d'intrusion, la sécurité de la chaîne d'approvisionnement et les contrôles basés sur les menaces pour renforcer la sécurité. Enfin, il fournit des instructions sur le déploiement et l'utilisation de NeuVector dans des environnements Kubernetes.

1. Copyright © SUSE 2023
Rodeo NeuVector
1
17 MARS 2023

2. Copyright © SUSE 2023
Date Sujet
24 Mars 2023 Coffee Break NeuVector #2
14 Avril 2023 Rancher Rodeo #13
20 Avril 2023 Coffee Break NeuVector #3
Contenu Lien
L'affaire CentOS https://youtu.be/DlSJWxa3mKc
Usine Logicielle https://youtu.be/_vItD1_DyRE
Présentation Neuvector https://youtu.be/UgfTuK8K-yk
Démo Neuvector https://youtu.be/b96yQCZ-I_Q

3. Copyright © SUSE 2023

4. Copyright © SUSE 2023 4
Préambule
Connaissances de base:
Conteneurisation
Kubernetes
Découverte de NeuVector
Sécurité des conteneurs
Quelques sujets avancés

5. Copyright © SUSE 2023
Copyright © SUSE 2022
Setup
Warnings
Objectives
Logistics & Goal
5

6. Copyright © SUSE 2023
Setup your desktop
Rodeo Web Page
Instructions & Web Shell
NeuVector Web UI
Practice
Your host shared screen
Follow, catch-up or learn

7. Copyright © SUSE 2023
Navigateur à jour
– Google Chrome
– Mozilla Firefox
– Autres navigateurs basés sur Chromium
Attention aux bloqueurs de pub
Le mode "incognito" peut être considéré
7
Prérequis

8. Copyright © SUSE 2023
Objectifs
8
1. Défis actuels liés à la sécurité des conteneurs
2. NeuVector
– Fonctionnalités
– Architecture
3. Pratique
– Déploiement
– Expérience utilisateur
– Contrôle
– Découverte des comportements
– Sécurisation
4. Bonus : scénario d’attaque ! 🎉

9. Copyright © SUSE 2023
Copyright © SUSE 2022
Container Security
Challenges
9

10. Copyright © SUSE 2023
10
Défis actuels liés à la sécurité des conteneurs
Fiables ? 🤷
Non
fiables
— Prolifération des conteneurs
– Environnements
– Clusters
– Workloads éphémères
— Complexité réseau masquée par K8S
— Sécurité interne (Est-Ouest)
aussi importante que
sécurité du trafic (Nord-Sud)
— Nécessité d’une approche automatisée

11. Copyright © SUSE 2023
11
Défis actuels liés à la sécurité des conteneurs
Non fiables
Non
fiables
— Repenser la limite de sécurité
— Traiter chaque conteneur comme
ayant sa propre limite de sécurité
— Tout automatiser
— Zero-Trust par défaut
— Sécurité de couche 4 (transport) insuffisante
– Inspection/détection de couche 7
(applications)
— Se contenter d'appliquer des correctifs n’est pas
une stratégie
– Risques, menaces et vulnérabilités
— Exploiter les abstractions
– Groupes, labels, annotations, etc.

12. Copyright © SUSE 2023
Copyright © SUSE 2022
Capabilities
Available Methods
12

13. Copyright © SUSE 2023
Règles de couche 4
Règles standard de trafic
Règles de couche 7
Avantage unique de NV
Sécurité nord-sud
Sécurité du périmètre
IDS
Intrusion Detection System
Détection et prévention d’intrusion
Gestion de la conformité
et des vulnérabilités
Normes PCI/SOC2/autres…
+ prévention de la perte de données
Chaîne
d’approvisionnement
et sécurité d’exécution
Sécurité de bout en bout
Visibilité et segmentation
du réseau
Visibilité est-ouest
Prévention d’attaques
Zero Day
Identifier, surveiller et bloquer
automatiquement tout trafic
présentant des anomalies

14. Copyright © SUSE 2023
Copyright © SUSE 2022
Presentation
NeuVector
14

15. Copyright © SUSE 2023
Layered Security : Defense in depth
Supply Chain Security
Vulnerability Scanning
Compliance Scanning
Admission Control
Runtime Security
Runtime Scanning
Threat Based Controls
Zero-Trust Controls

16. Copyright © SUSE 2023
Supply Chain Security
DEVELOPER
Commits
Code
PRIV/PUB
REGISTRY
Admission
Control
RUN-TIME
Supply Chain Security
Vulnerability Scanning
Compliance Scanning
Admission Control
CI/CD
PIPELINE
Pass
Build

17. Copyright © SUSE 2023
Run Time Security: Defense in Depth
CVEs
Data Loss Prevention (DLP)
Network Attacks
Web App Firewall (WAF)
Admission Control
Threat Based
Controls
Automated Learning
Network
Process
File Access
Security as Code
Zero-Trust
Controls
Runtime Security
Runtime Scanning
Threat Based Controls
Zero-Trust Controls

18. Copyright © SUSE 2023
Runtime - Analyse comportementale
Kubernetes Cluster
Internet to Kubernetes
Pod to Pod
INTERNET
Kubernetes Networking Model
Container to
Container
Pod
Container to
Container
Pod

19. Copyright © SUSE 2023
Kubernetes Cluster
Internet to Kubernetes
Pod to Pod
INTERNET
Kubernetes Networking Model
Container to
Container
Pod
Container to
Container
Pod
Deep Packet Inspection
• Ports - layer 3/4
• Protocoles - layer 7
+
• Processus & Fichiers
Runtime - Analyse comportementale

20. Copyright © SUSE 2023
Kubernetes Cluster
Internet to Kubernetes
Pod to Pod
INTERNET
Kubernetes Networking Model
Container to
Container
Pod
Container to
Container
Pod
DPI enables
• Automated Behavioral Learning
• Auto-Gen Security Policy
• Security as Code
• Zero-Day Countermeasures
• Unknown CVE Countermeasures
• Packet Capture
• Data Loss Prevention
Runtime - Analyse comportementale

21. Copyright © SUSE 2023
Alerte en cas d’anomalies dans le comportement de l’application
Bloque tout comportement anormal de l’application
Identifie le comportement de l’application (mode apprentissage)
CLUSTER
Node
Pod
Node
Pod
Node
Pod
Pod Pod Pod
ZERO TRUST BEHAVIOR LEARNING
Pod Pod Pod
Discover Discover Discover
Pod Pod Pod
ZERO TRUST SEGMENTATION
Monitor Monitor Monitor
Pod
Pod
Pod
Pod
Pod
Pod
ZERO TRUST SEGMENTATION
Pod
Protect
Pod
Pod
Pod
Protect
Pod
Pod
Pod
Protect
Pod
Pod
Zero-Trust basée sur l’analyse comportementale

22. Copyright © SUSE 2023
Pod Pod Pod
Node Node Node
Pod
Node
Pod
Node
Virtual Switch Virtual Switch Virtual Switch Virtual Switch Virtual Switch
Pod Pod Pod Pod
Pod Pod Pod Pod Pod
Controller Controller Controller
Manage Policies
REST API
Scanner Scanner
Parallel scanning
FAST
Scales for large repositories
Web UI
Manager User Interface
CLI Console
Enforcer Enforcer Enforcer Enforcer Enforcer
Enforce Security Policies
Inspect Network Traffic
Deploy as Daemonset
NeuVector Architecture / Deploiement

23. Copyright © SUSE 2023
• 100% Open Source
• Network Visibility in Production
• Zero Trust Protections
• Network, process and file access
• Data Loss Prevention for Compliance
• Easy to deploy – K8s native
• Designed for any Kubernetes environments
• Support for Air-Gapped Environments
SUSE NeuVector is unique

24. Copyright © SUSE 2023
Copyright © SUSE 2022
Get your lab running
Warm-up
24

25. Copyright © SUSE 2023
− Navigate to learn.eu.hobbyfarm.io
− Register with your e-mail and password
− Access Code: nv-fr-4
− Refresh your browser page
− If no scenario shows up, check access code
− Click on "Start Scenario" to ignite the instances provisioning
− Please Wait for the provisioning to complete :)
HobbyFarm

26. Copyright © SUSE 2023
Préparation de l'environnement

27. Copyright © SUSE 2023
Copyright © SUSE 2022
Rodeo Web Page
Instructions & Web Shell
NeuVector Web UI
Practice
Your host shared screen
Follow, catch-up or learn
Having a short break? 28

28. Copyright © SUSE 2023
Copyright © SUSE 2022
Deploy a Kubernetes Cluster
Deploy NeuVector
We need engines
29

29. Copyright © SUSE 2023
− Déploiement d’un cluster Kubernetes
− Installation des prérequis
− Installation de NeuVector
Programme du scénario HobbyFarm

30. Copyright © SUSE 2023 31
Introduction

31. Copyright © SUSE 2023 32
Déploiement d'un cluster K8S: moteur RKE2

32. Copyright © SUSE 2023 33
K8S Cluster test: tooling & interaction

33. Copyright © SUSE 2023 34
K8S Operator : HELM !

34. Copyright © SUSE 2023 35
Component: cert-manager to issue TLS Certs

35. Copyright © SUSE 2023 36
NeuVector deployment using HELM !

36. Copyright © SUSE 2023 37
Accessing NeuVector (1/4)

37. Copyright © SUSE 2023 38
Login page (2/4)
Login: admin
Password: admin

38. Copyright © SUSE 2023 39
EULA agreement (3/4)

39. Copyright © SUSE 2023 40
Tuning your experience: edit your profile (4/4)

40. Copyright © SUSE 2023
Copyright © SUSE 2022
Rodeo Web Page
Instructions & Web Shell
NeuVector Web UI
Practice
Your host shared screen
Follow, catch-up or learn
Having a short break? 41

41. Copyright © SUSE 2023
Copyright © SUSE 2021
Activate auto-scan
Deploy an app
Start the engine
42

42. Copyright © SUSE 2023 43
Auto-scanning your nodes: activated!

43. Copyright © SUSE 2023 45
We need an application: Wordpress !

44. Copyright © SUSE 2023
Copyright © SUSE 2021
Scan
Registries
Global view
Notifications
Get to know your cluster
46

45. Copyright © SUSE 2023 47
Scan results (1/2)

46. Copyright © SUSE 2023
48
Scan results (2/2)

47. Copyright © SUSE 2023 49
Registries (1/3)

48. Copyright © SUSE 2023 50
Registries (2/3)
Click to explore !

49. Copyright © SUSE 2023 51
Registries (3/3)

50. Copyright © SUSE 2023 52
Global view: Security & Compliance (1/3)

51. Copyright © SUSE 2023 53
Global view: Security & Compliance (2/3)
Sometimes this page needs a refresh to display correctly?

52. Copyright © SUSE 2023 55
Global view: Security & Compliance (3/3)

53. Copyright © SUSE 2023 56
Notifications

54. Copyright © SUSE 2023
Copyright © SUSE 2021
Admission Control
House Rules
57

55. Copyright © SUSE 2023 58
Admission Control (1/3)
Monitor mode
by default

56. Copyright © SUSE 2023 59
Admission Control - Trying to create a pod (2/3)

57. Copyright © SUSE 2023 60
Admission Control - Testing protect mode (3/3)

58. Copyright © SUSE 2023
Copyright © SUSE 2021
Learning rules
- Discover
- Monitor
- Protect
Learning &
Conformity
62

59. Copyright © SUSE 2023 63
Learning Rules

60. Copyright © SUSE 2023 64
Learning rules - curl

61. Copyright © SUSE 2023 65
Monitor

62. Copyright © SUSE 2023 66
Protect 1/3

63. Copyright © SUSE 2023 67
Protect but allow execution on the fly 2/3

64. Copyright © SUSE 2023 68
Protect - Remove a network rule 3/3

65. Copyright © SUSE 2023
Copyright © SUSE 2022
Export-Import your rules
… and let's do some cleanup
Security as Code
70

66. Copyright © SUSE 2023 71
Export-Import your rules (1/3)

67. Copyright © SUSE 2023 72
Export-Import your rules (2/3)

68. Copyright © SUSE 2023 73
Clean-up and reset (3/3)

69. Copyright © SUSE 2023
Copyright © SUSE 2022
Response rules
Punish a pod
Capture traffic
Reactions
74

70. Copyright © SUSE 2023 75
Response Rules (1/2)

71. Copyright © SUSE 2023 76
Response Rules (2/2)

72. Copyright © SUSE 2023 77
Network Graphs

73. Copyright © SUSE 2023 78
Network Graphs - Interactions

74. Copyright © SUSE 2023 79
Packet Capture

75. Copyright © SUSE 2023 80

76. Copyright © SUSE 2023
Copyright © SUSE 2022
Web Application Firewall
Attack with Log4j
Sneak Attack!
81

77. Copyright © SUSE 2023 82
Web Application Firewall (1/4)

78. Copyright © SUSE 2023 83
Web Application Firewall (2/4)

79. Copyright © SUSE 2023 85
Web Application Firewall (3/4)

80. Copyright © SUSE 2023 86
Web Application Firewall (4/4)

81. Copyright © SUSE 2023
Nos félicitations
Contenu Lien
L'affaire CentOS https://youtu.be/DlSJWxa3mKc
Usine Logicielle https://youtu.be/_vItD1_DyRE
Présentation Neuvector https://youtu.be/UgfTuK8K-yk
Démo Neuvector https://youtu.be/b96yQCZ-I_Q
Date Sujet
24 Mars 2023 Coffee Break NeuVector #2
14 Avril 2023 Rancher Rodeo #13
20 Avril 2023 Coffee Break NeuVector #3

82. Copyright © SUSE 2023 88
Bravo !

83. Copyright © SUSE 2023
© 2022 SUSE LLC. Tous droits réservés. SUSE et
le logo SUSE sont des marques déposées de
SUSE LLC aux États-Unis et dans d’autres pays.
Toutes les marques commerciales de fabricants
tiers appartiennent à leur propriétaire respectif.
Pour en savoir plus, contactez SUSE aux numéros suivants :
+1 800 796 3700 (États-Unis/Canada)
+49 (0)911-740 53-0 (International)
Maxfeldstrasse 5
90409 Nuremberg
www.suse.com
Merci