【本文來自neuvector公司的投稿】
通過阿裡雲市場購買和部署neuvector容器安全解決方案是非常友善快捷的。阿裡雲提供強大靈活的容器部署服務,可以根據編排模闆自動伸縮服務容器的部署,可以在編排模闆中調節各種部署條件,提供dns服務,讓使用者可以通過容器名字來通路容器,并且允許服務商使用自帶的許可證控制。這些優點使neuvector産品在阿裡雲平台上輕松的實作了一鍵部署,無需任何使用者設定。下面我們就詳細介紹一下neuvector容器安全解決方案的購買和部署流程。
在雲市場搜尋neuvector,根據搜尋結果找到neuvector容器安全解決方案的産品購買界面,點選購買。購買完成後,在已購買的服務裡,就可以看到我們的産品了。
點選 “neuvector容器安全解決方案” 右側的建立應用,輸入應用名稱,選擇部署的叢集
點選使用編排模闆建立, 進入編排模闆頁面。無需對編排模闆進行任何修改,點選建立并部署,阿裡雲背景就會自動把neuvector 産品部署到容器服務的指定叢集上去。在服務頁面上可以看到neuvector 産品的兩個服務子產品allinone 和enforcer。
點選頁面上的allinone,我們可以看到如下關于allinone的具體資訊
預設的使用者協定和界面語言是英文。使用者登入後可以在設定(settings) 頁面更改語言和密碼。
更改完語言和密碼,重新登陸後,界面就變成中文的了。
控制台顯示隻有一台主機。這是因為使用neuvector的産品需要許可證,右上角的紅色警告顯示現在的許可證是無效的。點選設定-〉許可證,進入許可證申請頁面。
點選申請授權碼,彈出資訊框
在資訊框裡填入所需資訊, 點選生成,産生如下系統id
使用者用電子郵件發送系統id到[email protected]。我們稽核後會發給使用者授權碼。使用者拿到授權碼後,在設定-〉許可證頁面激活授權碼後,就可以正常使用neuvector産品了。
如果使用者需要對叢集擴容,阿裡雲會自動把neuvector的enforcer容器部署在新加的節點上。這樣我們的服務可以自動伸縮,覆寫整個叢集(在許可證允許的節點數範圍内)。
關于neuvector的産品功能和使用,下面是一個客戶的示例:
《一個資料中心系統管理者的日志》
過去幾個月我的工作更多的專注在docker容器,共享的dockerfiles等等方面,我們建立的容器以前總是碰到各種各樣的問題,不過這一次我建立使用的容器都能夠順利的使用。共享社群裡的技術人員花了很多時間和精力并且共享了他們的dockerfiles,這改變了我對與docker的看法,主要是開放平台和共享的方式達到了我原來對于容器使用的期望,這個更接近并且友善了我使用的實際狀況。
一點題外話,記得很多年來發生在安卓系統上面的一個問題是,跟蘋果ios比,安卓很酷,上面有非常多的應用程式。但是存在一個問題,開放平台意味着上面會有很多無用的東西甚至惡意的程式存在。
在我測試使用開放平台的容器的時候,我開始有些擔心容器裡面會有惡意軟體存在,這對于我們客戶使用的資料中心會是一個很大的威脅。即使是完全内部自己編譯的容器也有可以帶入外面開源軟體的庫以及底層容器。
容器本身的隔離特性和設計是可以帶來一定安全方面的好處,運作一個完全隔離的應用可以幫助減少可能的被攻擊面積。但是如果我們在容器中使用或者重用大量其他陌生的代碼,不幸的是我的容器會變得更容易被攻擊而不是更安全,它會存在潛在的風險比如隐藏的木馬,dos漏洞等等。随着docker的使用者快速增長,越來愈多的應用商甚至開始用容器來傳遞他們的程式,那麼我們能有多相信第三方的容器提供者?我們可以怎樣保護自己的環境以及應用?
是以neuvector的産品可以幫到我們!
neuvector安全軟體本身也是容器,一個叫做enforcer的容器運作在每一個用戶端或者伺服器上面,這個安全容器可以做實時的容器内容掃描,找到并且報告已知的安全漏洞,執行容器的網絡安全政策以及實時保護針對容器的網絡攻擊。另外一個叫controller的容器用來管理這些enforcer容器的叢集。還有一個獨立的管理容器提供了管理界面,安全日志,配置界面,安全政策定義等等。
neuvector的主界面提供了系統的安全狀态資訊,目前運作的容器環境,已經定位和發現的網絡攻擊等等。配合第三方或者已有的管理平台,也可以實作對發現的安全問題及時用手機短信,slack等等方式報警和通知管理者。
如果系統檢測到了一個攻擊,可以通過網絡拓撲圖看到這個事件,可以點選找到詳細的攻擊源頭,目的地以及端口,這對外面進來的攻擊和内部攻擊甚至僞裝的外部連結都可以很好的防範。這不僅僅是一個好看的圖示,它提供了容器在我們真實環境下的實時運作狀态和變化,使我們專注于應用容器的工作狀态,這是我最喜歡的産品功能之一。
當然如果産品隻是提供容器環境可視化是不夠的,我們可以針對可視化的容器網絡實作更多更深入的功能,設定成監視模式可以讓我們驗證系統自動學習出來的安全政策或者我們手動制定的安全政策,設定成保護模式可以立刻開始檢測異常并且保護我們的應用。
上圖所示我們可以很容易的修改制定容器的安全政策,例如:如果我們看到某個容器被監測到它試圖連去接外部網路,系統可以自動的禁止這個行為。這是很棒的設計,因為我不需要修改容器鏡像,不需要改動任何腳本,不需要重新開機容器,甚至不需要任何手動改動,neuvector可以在第一時間自動完成保護動作!
當然我也可以用政策給所有容器配置白名單和黑名單,比如對于某一種連接配接總是阻擋,再比如從容器x到容器y僅允許也隻允許某種特定的網絡連接配接。
neuvector産品本身非常的穩定可靠,如果容器網絡出了問題或者一台容器主機下線而不能繼續和其他容器聯系的時候,管理者不需要做任何動作,在斷網,恢複,重新連接配接上來的時候neuvector會自動報告,掃描并且繼續保護這些容器。
可以從阿裡雲雲市場購買并且部署測試使用neuvector的産品,如果有任何問題歡迎聯系neuvector公司。