33+ Kubernetes-sekuriteitsinstrumente

Let wel. vertaal.: As jy wonder oor sekuriteitskwessies in 'n Kubernetes-gebaseerde infrastruktuur, is hierdie uitstekende oorsig van Sysdig 'n goeie beginpunt vir 'n vinnige inleiding tot die oplossings wat vandag relevant is. Dit sluit beide komplekse stelsels van bekende markspelers in, en baie meer beskeie nutsdienste wat 'n spesifieke probleem dek. En in die kommentaar, sal ons, soos altyd, bly wees om te leer oor jou ervaring in die gebruik van hierdie instrumente en skakels na ander projekte te sien.

Kubernetes-sekuriteitsagtewareprodukte ... daar is so baie, en elkeen het sy eie doel, omvang en lisensies.

Daarom het ons besluit om hierdie lys te skep en het beide oopbronprojekte en kommersiële platforms van verskeie verskaffers ingesluit. Ons hoop dit help jou om die een te kies wat die meeste interessant is en wys jou in die regte rigting op grond van jou spesifieke Kubernetes-sekuriteitsbehoeftes.

Категории

Om dit makliker te maak om deur die lys te navigeer, word die gereedskap volgens hooffunksie en toepassing gekategoriseer. Die gevolglike afdelings is:

• Kubernetes beeldskandering en statiese analise;
• runtime sekuriteit;
• Kubernetes netwerk sekuriteit;
• Verspreiding van beelde en bestuur van geheime;
• Kubernetes sekuriteitsoudit;
• Komplekse kommersiële produkte.

Kom ons kom by besigheid:

Skandeer Kubernetes-beelde

Anker

• Website: anchore.com
• Lisensie: gratis (Apache) en kommersiële aanbod

Die Anchore-pakket ontleed houerbeelde en laat sekuriteitskontroles toe gebaseer op gebruikergedefinieerde beleide.

Benewens die gewone skandering van houerbeelde vir bekende kwesbaarhede vanaf die CVE-databasis, voer Anchore baie bykomende kontroles uit as deel van die skanderingsbeleid: kontroleer Dockerfile, uitgelekte geloofsbriewe, pakkette met programmeertale wat gebruik word (npm, maven, ens.) , sagteware lisensies en nog baie meer.

duidelik

• Website: coreos.com/clair (nou onder leiding van Red Hat)
• Lisensie: Gratis (Apache)

Clair was een van die eerste oopbronprojekte vir beeldskandering. Dit is wyd bekend as die sekuriteitskandeerder agter die Quay Image Registry. (ook van CoreOS - ongeveer. vertaal.). Clair is in staat om inligting oor CVE's van 'n wye verskeidenheid bronne in te samel, insluitend lyste van Linux-verspreiding-spesifieke kwesbaarhede wat deur die Debian-, Red Hat- of Ubuntu-sekuriteitspanne onderhou word.

Anders as Anchore, is Clair hoofsaaklik daarop gefokus om kwesbaarhede te vind en data met CVE te pas. Die produk bied egter aan gebruikers 'n paar opsies om funksionaliteit uit te brei deur inpropbestuurders.

dagda

• Website: github.com/eliasgranderubio/dagda
• Lisensie: Gratis (Apache)

Dagda ontleed houerbeelde staties vir bekende kwesbaarhede, Trojans, virusse, wanware en ander bedreigings.

Die Dagda-pakket verskil op twee noemenswaardige maniere van ander soortgelyke instrumente:

• Dit integreer goed met ClamAV, wat nie net optree as 'n instrument om houerbeelde te skandeer nie, maar ook as 'n antivirus.
• Bied ook hardlooptydbeskerming deur intydse gebeure van die Docker-demon te ontvang en met Falco te integreer (sien onder) om sekuriteitsgebeurtenisse te versamel terwyl die houer loop.

KubeXray

• Website: github.com/jfrog/kubexray
• Lisensie: gratis (Apache), maar vereis data van JFrog Xray (kommersiële produk)

KubeXray luister vir gebeure vanaf die Kubernetes API-bediener en gebruik metadata van JFrog Xray om te verseker dat slegs peule begin wat by die huidige beleid pas.

KubeXray oudit nie net nuwe of opgedateerde houers in ontplooiings nie (soortgelyk aan die toelatingsbeheerder in Kubernetes), maar kontroleer ook dinamies lopende houers vir voldoening aan nuwe sekuriteitsbeleide, en verwyder hulpbronne wat na kwesbare beelde verwys.

Snyk

• Website: snyk.io
• Lisensie: gratis (Apache) en kommersiële weergawes

Snyk is 'n ongewone kwesbaarheidskandeerder in die sin dat dit spesifiek die ontwikkelingsproses teiken en as 'n "noodsaaklike oplossing" vir ontwikkelaars bevorder word.

Snyk koppel direk aan kodebewaarplekke, ontleed die projekmanifes en ontleed ingevoerde kode saam met direkte en indirekte afhanklikhede. Snyk ondersteun baie gewilde programmeertale en kan verborge lisensierisiko's opspoor.

Trivy

• Website: github.com/knqyf263/trivy
• Lisensie: Gratis (AGPL)

Trivy is 'n eenvoudige dog kragtige houerkwesbaarheidskandeerder wat maklik in 'n CI/CD-pyplyn integreer. Die merkwaardige kenmerk daarvan is die gemak van installasie en werking: die toepassing bestaan ​​uit 'n enkele binêre en vereis nie die installering van 'n databasis of bykomende biblioteke nie.

Die nadeel van Trivy se eenvoud is dat jy moet uitvind hoe om JSON-resultate te ontleed en te stuur sodat ander Kubernetes-sekuriteitsinstrumente dit kan gebruik.

Looptydsekuriteit in Kubernetes

Falco

• Website: falco.org
• Lisensie: Gratis (Apache)

Falco is 'n reeks gereedskap vir die beveiliging van wolklooptye. Deel van 'n projekfamilie CNCF.

Deur die Sysdig-gereedskapstel te gebruik om op die Linux-kernvlak te werk en stelseloproepe te profiel, laat Falco jou toe om diep in die gedrag van die stelsel te duik. Sy looptydreëlenjin is in staat om verdagte aktiwiteite in toepassings, houers, die onderliggende gasheer en die Kubernetes-orkeseerder op te spoor.

Falco bied volledige deursigtigheid in looptyd-werking en bedreigingsopsporing deur spesiale agente op Kubernetes-nodusse vir hierdie doel te stel. As gevolg hiervan is dit nie nodig om houers te verander deur derdeparty-kode daarin in te spuit of syspanhouers te hang nie.

Linux-sekuriteitsraamwerke vir runtime

Hierdie raamwerke, inheems aan die Linux-kern, is nie "Kubernetes-sekuriteitsnutsmiddels" in die gewone sin nie, maar verdien vermelding omdat dit 'n belangrike element is in die konteks van runtime-sekuriteit, wat ingesluit is in die Kubernetes Pod Security Policy (PSP). .

AppArmor heg 'n sekuriteitsprofiel aan prosesse wat in 'n houer loop, definieer lêerstelselvoorregte, netwerktoegangsreëls, skakel biblioteke, ens. Dit is 'n stelsel gebaseer op verpligte toegangsbeheer (MAC). Met ander woorde, dit verhoed die uitvoering van verbode handelinge.

Sekuriteit-verbeterde Linux (SELinux) is 'n gevorderde sekuriteitsmodule in die Linux-kern, wat in sommige opsigte soortgelyk is aan AppArmor en dikwels daarmee vergelyk word. SELinux oortref AppArmor in terme van krag, buigsaamheid en finesse. Die nadele daarvan is lang ontwikkeling en verhoogde kompleksiteit.

Secomp en seccomp-bpf laat jou toe om stelseloproepe te filter, die uitvoering te blokkeer van diegene wat potensieel gevaarlik is vir die onderliggende bedryfstelsel en nie nodig is vir die normale werking van gebruikerstoepassings nie. Secomp is in sommige opsigte soortgelyk aan Falco, hoewel dit nie die besonderhede van houers ken nie.

Sysdig oopbron

• Website: www.sysdig.com/opensource
• Lisensie: Gratis (Apache)

Sysdig is 'n volledige hulpmiddel vir die ontleding, diagnose en ontfouting van Linux-stelsels (werk ook op Windows en macOS, maar met beperkte funksies). Dit kan gebruik word vir gedetailleerde inligting-insameling, verifikasie en forensiese ondersoeke (forensiese) die basisstelsel en enige houers wat daarop loop.

Sysdig ondersteun ook inheemse houeruitvoerbare en Kubernetes-metadata, en voeg bykomende dimensies en etikette by alle versamelde stelselgedraginligting. Daar is verskeie maniere om 'n Kubernetes-kluster met Sysdig te ontleed: jy kan 'n tydstip vaslê via kubectl vang of hardloop 'n interaktiewe koppelvlak gebaseer op ncurses met behulp van die inprop kubectl grawe.

Kubernetes netwerk sekuriteit

Aporeto

• Website: www.aporeto.com
• Lisensie: kommersieel

Aporeto bied "sekuriteit geskei van netwerk en infrastruktuur". Dit beteken dat Kubernetes-dienste nie net 'n plaaslike ID kry nie (d.w.s. Diensrekening in Kubernetes), maar ook 'n universele ID/vingerafdruk wat gebruik kan word om veilig en wedersyds geverifieer met enige ander diens te kommunikeer, soos in 'n OpenShift-groepering.

Aporeto kan 'n unieke ID genereer, nie net vir Kubernetes/houers nie, maar ook vir gashere, wolkfunksies en gebruikers. Afhangende van hierdie identifiseerders en die stel netwerksekuriteitsreëls wat deur die administrateur gestel is, sal kommunikasie toegelaat of geblokkeer word.

Calico

• Website: www.projectcalico.org
• Lisensie: Gratis (Apache)

Calico word gewoonlik ontplooi tydens die installering van die houer-orkeseerder, wat jou toelaat om 'n virtuele netwerk te skep wat houers koppel. Benewens hierdie basiese netwerkfunksie, werk die Calico-projek met Kubernetes-netwerkbeleide en sy eie stel netwerksekuriteitsprofiele, ondersteun eindpunt-ACL's (Toegangsbeheerlyste) en annotasie-gebaseerde netwerksekuriteitsreëls vir in- en uitgaanverkeer.

silium

• Website: www.cilium.io
• Lisensie: Gratis (Apache)

Cilium dien as 'n houer-firewall en bied netwerksekuriteitskenmerke wat inheems aangepas is vir Kubernetes en mikrodienste-werkladings. Cilium gebruik 'n nuwe Linux-kerntegnologie genaamd BPF (Berkeley Packet Filter) om data te filter, monitor, herlei en reg te stel.

Cilium is in staat om netwerktoegangsbeleide te ontplooi gebaseer op houer-ID's met Docker- of Kubernetes-etikette en metadata. Cilium verstaan ​​en filtreer ook verskeie laag 7-protokolle soos HTTP of gRPC, wat jou toelaat om die stel REST-oproepe te definieer wat byvoorbeeld tussen twee Kubernetes-ontplooiings toegelaat sal word.

Istio

• Website: istio.io
• Lisensie: Gratis (Apache)

Istio is wyd bekend vir die implementering van die diensnetwerkparadigma deur 'n platformonafhanklike beheervlak te ontplooi en alle bestuurde diensverkeer deur dinamies konfigureerbare Gesant-gevolmagtigdes te herlei. Istio maak gebruik van hierdie gevorderde siening van alle mikrodienste en houers om verskeie netwerksekuriteitstrategieë te implementeer.

Istio se netwerksekuriteitsvermoëns sluit deursigtige TLS-enkripsie in om die kommunikasieprotokol tussen mikrodienste outomaties op te gradeer na HTTPS, en 'n inheemse RBAC-verifikasie en magtigingstelsel om kommunikasie tussen verskillende werkladings in 'n groepering toe te laat/weier.

Let wel. vertaal.: Vir meer inligting oor Istio se sekuriteitsgerigte vermoëns, sien Hierdie artikel.

tier

• Website: www.tigera.io
• Lisensie: kommersieel

Hierdie oplossing, wat die "Kubernetes-firewall" genoem word, beklemtoon 'n nul-trustbenadering tot netwerksekuriteit.

Soos ander Kubernetes-inheemse netwerkoplossings, maak Tigera staat op metadata om verskeie dienste en voorwerpe in 'n groepie te identifiseer en bied looptydprobleemopsporing, deurlopende voldoening en netwerksigbaarheid vir multi-wolk of hibriede monolitiese-houer-infrastruktuur.

Trireme

• Website: www.aporeto.com/opensource
• Lisensie: Gratis (Apache)

Trireme-Kubernetes is 'n eenvoudige en skoon implementering van die Kubernetes Network Policies spesifikasie. Die mees noemenswaardige kenmerk is dat - anders as soortgelyke Kubernetes-netwerksekuriteitsprodukte - dit nie 'n sentrale beheervlak benodig om die maas (maas) te koördineer nie. Dit maak die oplossing onbenullig skaalbaar. Trireme bereik dit deur 'n agent op elke nodus te installeer wat direk aan die gasheer se TCP/IP-stapel koppel.

Beeldverspreiding en geheime bestuur

Grafeas

• Website: grapheas.io
• Lisensie: Gratis (Apache)

Grafeas is 'n oopbron-API vir die ouditering en bestuur van die sagteware-voorsieningsketting. Op 'n basiese vlak is Grafeas 'n instrument om metadata en ouditresultate in te samel. Dit kan gebruik word om voldoening aan beste sekuriteitspraktyke in 'n organisasie na te spoor.

Hierdie gesentraliseerde bron van waarheid help om vrae te beantwoord soos:

• Wie het 'n spesifieke houer saamgestel en geteken?
• Het dit alle sekuriteitskandeerders en sekuriteitsbeleidkontroles geslaag? Wanneer? Wat was die resultate?
• Wie het dit na produksie ontplooi? Watter parameters is tydens ontplooiing gebruik?

Intoto

• Website: in-toto.github.io
• Lisensie: Gratis (Apache)

In-toto is 'n raamwerk wat ontwerp is om integriteit, verifikasie en ouditering vir die hele sagteware-voorsieningsketting te verskaf. Wanneer In-toto na die infrastruktuur ontplooi word, word eers 'n plan gedefinieer wat die verskillende stappe in die pyplyn beskryf (bewaarplek, CI/CD-gereedskap, QA-gereedskap, artefakbouers, ens.) en die gebruikers (verantwoordelike persone) wat toegelaat word om inisieer hulle.

In-toto beheer die uitvoering van die plan deur te verifieer dat elke taak in die ketting net behoorlik deur gemagtigde personeel uitgevoer word en dat geen ongemagtigde manipulasies met die produk tydens die beweging uitgevoer is nie.

Portieris

• Website: github.com/IBM/portieris
• Lisensie: Gratis (Apache)

Portieris is 'n toelatingsbeheerder vir Kubernetes; gebruik om inhoudtrustkontroles af te dwing. Portieris gebruik die bediener notaris (ons het aan die einde oor hom geskryf Hierdie artikel - ongeveer. vertaal.) as 'n bron van waarheid vir die validering van betroubare en getekende artefakte (dit wil sê goedgekeurde houerbeelde).

Wanneer jy 'n werklading in Kubernetes skep of wysig, laai Portieris die handtekeninginligting en inhoudtrustbeleid vir die gevraagde houerprente en maak, indien nodig, veranderinge aan die API JSON-voorwerp op die vlug om die ondertekende weergawes van daardie beelde uit te voer.

kluis

• Website: www.vaultproject.io
• Lisensie: gratis (MPL)

Vault is 'n veilige oplossing vir die stoor van sensitiewe inligting: wagwoorde, OAuth-tokens, PKI-sertifikate, toegangsrekeninge, Kubernetes-geheime, en meer. Vault ondersteun baie gevorderde kenmerke, soos die huur van kortstondige sekuriteitsbewyse of die organisering van sleutelrotasie.

Deur die Helm-grafiek te gebruik, kan Vault as 'n nuwe ontplooiing in 'n Kubernetes-kluster ontplooi word met Consul as backend-berging. Dit ondersteun inheemse Kubernetes-bronne soos ServiceAccount-tokens en kan selfs as die standaard Kubernetes-geheime winkel optree.

Let wel. vertaal.: Terloops, net gister het HashiCorp, wat Vault ontwikkel, 'n paar verbeterings aangekondig vir die gebruik van Vault in Kubernetes, en dit hou veral verband met die Helm-grafiek. Lees die besonderhede in ontwikkelaar blog.

Kubernetes sekuriteitsoudit

Kube-bank

• Website: github.com/aquasecurity/kube-bench
• Lisensie: Gratis (Apache)

Kube-bench is 'n Go-toepassing wat kyk of Kubernetes veilig ontplooi is deur toetse vanaf 'n lys uit te voer CIS Kubernetes Benchmark.

Kube-bench soek onveilige konfigurasie-instellings tussen groepkomponente (ens., API, beheerderbestuurder, ens.), twyfelagtige lêertoestemmings, onveilige rekeninge of oop poorte, hulpbronkwotas, API-oproeplimietinstellings om teen DoS-aanvalle te beskerm, ens.

Kube-jagter

• Website: github.com/aquasecurity/kube-hunter
• Lisensie: Gratis (Apache)

Kube-hunter "jag" vir potensiële kwesbaarhede (soos afgeleë kode-uitvoering of data-openbaarmaking) in Kubernetes-klusters. Kube-hunter kan as 'n afstandskandeerder uitgevoer word - in welke geval dit die groep sal evalueer vanuit die oogpunt van 'n derdeparty-aanvaller - of as 'n pod binne die groep.

'n Kenmerkende kenmerk van Kube-hunter is die "aktiewe jag"-modus, waartydens dit nie net probleme rapporteer nie, maar ook probeer om kwesbaarhede wat in die teikengroepering gevind word, te ontgin wat moontlik die werking daarvan kan benadeel. Gebruik dus met omsigtigheid!

Kubeoudit

• Website: github.com/Shopify/kubeaudit
• Lisensie: Gratis (MIT)

Kubeaudit is 'n konsole-instrument wat oorspronklik deur Shopify ontwikkel is om u Kubernetes-konfigurasie vir verskeie sekuriteitskwessies te oudit. Dit help byvoorbeeld om houers te identifiseer wat onoordeelkundig loop, as wortel loop, voorregte misbruik of die verstekdiensrekening gebruik.

Kubeaudit het ook ander interessante kenmerke. Dit kan byvoorbeeld plaaslike YAML-lêers ontleed, konfigurasiefoute identifiseer wat tot sekuriteitskwessies kan lei, en dit outomaties regstel.

Kubesec

• Website: kubesec.io
• Lisensie: Gratis (Apache)

Kubesec is spesiaal deurdat dit Kubernetes hulpbron YAML-lêers direk skandeer vir swak instellings wat sekuriteit kan beïnvloed.

Dit kan byvoorbeeld buitensporige voorregte en toestemmings wat aan 'n peul verleen word, opspoor, 'n houer met root as die verstekgebruiker laat loop, aan die gasheer se netwerknaamspasie koppel, of gevaarlike monterings soos /proc gasheer- of Docker-sok. Nog 'n interessante kenmerk van Kubesec is 'n aanlyn demo-diens waar jy YAML kan oplaai en dit dadelik kan ontleed.

Maak Polisagent oop

• Website: www.openpolicyagent.org
• Lisensie: Gratis (Apache)

Die konsep van OPA (Open Policy Agent) is om sekuriteitsbeleide en beste sekuriteitspraktyke van 'n spesifieke runtime-platform te skei: Docker, Kubernetes, Mesosphere, OpenShift, of enige kombinasie daarvan.

U kan byvoorbeeld OPA as 'n backend vir 'n Kubernetes-toelatingsbeheerder ontplooi, en sekuriteitsbesluite daaraan delegeer. Op hierdie manier sal die OPA-agent versoeke dadelik kan kontroleer, weier en selfs verander, om te verseker dat die gespesifiseerde sekuriteitsparameters gerespekteer word. Die sekuriteitsbeleide in OPA is geskryf in sy eie DSL, Rego.

Let wel. vertaal.: Ons het meer oor OPA (en SPIFFE) geskryf in hierdie materiaal.

Omvattende kommersiële Kubernetes-sekuriteitsanalise-nutsmiddels

Ons het besluit om 'n aparte kategorie vir kommersiële platforms te skep, aangesien hulle geneig is om verskeie areas van sekuriteit op een slag te dek. 'n Algemene idee van hul vermoëns kan uit die tabel verkry word:

* Gevorderde kundigheid en nadoodse ontleding met volledige stelsel oproep vaslegging.

Aqua Sekuriteit

• Website: www.aquasec.com
• Lisensie: kommersieel

Hierdie kommersiële hulpmiddel is ontwerp vir houers en wolkwerkladings. Dit voorsien:

• Beeldskandering geïntegreer met houerregister of CI/CD-pyplyn;
• Looptydbeskerming met die soektog na veranderinge in houers en ander verdagte aktiwiteite;
• Inheemse houer-firewall;
• Sekuriteit vir bedienerlose in wolkdienste;
• Nakoming en oudit gekombineer met gebeurtenisregistrasie.

Let wel. vertaal.: Dit is ook opmerklik dat daar is gratis komponent van die produk genoem mikroskandeerder, waarmee jy houerbeelde vir kwesbaarhede kan skandeer. Vergelyking van sy kenmerke met betaalde weergawes word aangebied in hierdie tabel.

Kapsule 8

• Website: capsule8.com
• Lisensie: kommersieel

Capsule8 integreer in die infrastruktuur deur die detektor in 'n plaaslike of wolk Kubernetes-kluster te installeer. Hierdie detektor versamel gasheer- en netwerktelemetrie en korreleer dit met verskillende soorte aanvalle.

Die Capsule8-span is verbind tot vroeë opsporing en voorkoming van aanvalle met behulp van vars (0-dag) kwesbaarhede. Capsule8 kan opgedateerde sekuriteitsreëls direk na detectors oplaai in reaksie op nuut ontdekte bedreigings en sagteware-kwesbaarhede.

Kavirien

• Website: www.cavirin.com
• Lisensie: kommersieel

Cavirin tree op as 'n maatskappy-teenparty vir verskeie sekuriteitstandaarde-agentskappe. Dit kan nie net beelde skandeer nie, maar dit kan ook in die CI/CD-pyplyn integreer, wat nie-voldoenende beelde blokkeer voordat hulle privaat bewaarplekke binnegaan.

Die Cavirin Security Suite gebruik masjienleer om die stand van kuberveiligheid te assesseer, bied raad oor hoe om sekuriteit te verhoog en sekuriteitsnakoming te verbeter.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• Lisensie: kommersieel

Cloud Security Command Center help sekuriteitspanne om data in te samel, bedreigings te identifiseer en dit te herstel voordat hulle die maatskappy benadeel.

Soos die naam aandui, is Google Cloud SCC 'n verenigde beheerpaneel wat verskeie sekuriteitsverslae, bate-opsporing-enjins en derdeparty-sekuriteitstelsels vanaf 'n enkele, gesentraliseerde bron kan integreer en bestuur.

Die interoperabele API wat deur Google Cloud SCC aangebied word, vergemaklik die integrasie van sekuriteitsgebeurtenisse wat uit verskeie bronne kom, soos Sysdig Secure (houersekuriteit vir wolk-inheemse toepassings) of Falco (Open Source runtime-sekuriteit).

Gelaagde Insig (Qualys)

• Website: layeredinsight.com
• Lisensie: kommersieel

Layered Insight (nou deel van Qualys Inc) is gebou op die konsep van "ingebedde sekuriteit". Nadat die oorspronklike beeld vir kwesbaarhede geskandeer is met behulp van statistiese ontledingsmetodes en CVE-kontroles uitgevoer is, vervang Layered Insight dit met 'n geinstrumenteerde beeld wat 'n agent in die vorm van 'n binêre insluit.

Hierdie agent bevat runtime-sekuriteitstoetse om houernetwerkverkeer, I/O-vloeie en toepassingaktiwiteit te ontleed. Daarbenewens kan dit bykomende sekuriteitskontroles uitvoer wat deur die infrastruktuuradministrateur of DevOps-spanne gespesifiseer word.

NeuVector

• Website: neuvector.com
• Lisensie: kommersieel

NeuVector voer houersekuriteitskontroles en hardlooptydbeskerming uit deur netwerkaktiwiteit en toepassingsgedrag te ontleed, en skep 'n individuele sekuriteitsprofiel vir elke houer. Dit kan ook bedreigings op sy eie blokkeer deur verdagte aktiwiteite te isoleer deur plaaslike firewall-reëls te wysig.

NeuVector se netwerkintegrasie, bekend as Security Mesh, is in staat tot diep pakkie-inspeksie en laag 7-filtrering vir alle netwerkverbindings in 'n diensnetwerk.

Stackrox

• Website: www.stackrox.com
• Lisensie: kommersieel

Die StackRox-houersekuriteitsplatform poog om die hele lewensiklus van Kubernetes-toepassings in 'n groep te dek. Soos ander kommersiële platforms op hierdie lys, genereer StackRox 'n looptydprofiel gebaseer op waargenome houergedrag en maak outomaties 'n alarm oor enige afwykings.

Daarbenewens ontleed StackRox Kubernetes-konfigurasies met behulp van CIS Kubernetes en ander reëlboeke om houervoldoening te evalueer.

Sysdig Veilig

• Website: sysdig.com/products/secure
• Lisensie: kommersieel

Sysdig Secure beskerm toepassings regdeur die houer en Kubernetes-lewensiklus. Hy skandeer beelde houers, verskaf runtime beskerming volgens masjienleer, voer misdaad uit. kundigheid om kwesbaarhede te identifiseer, bedreigings te blokkeer, monitors voldoening aan gevestigde standaarde en oudit aktiwiteit in mikrodienste.

Sysdig Secure integreer met CI/CD-instrumente soos Jenkins en beheer beelde wat vanaf Docker-registers gelaai word, wat verhoed dat gevaarlike beelde in produksie verskyn. Dit bied ook omvattende looptydsekuriteit, insluitend:

• ML-gebaseerde runtime profilering en anomalie opsporing;
• runtime-beleide gebaseer op stelselgebeurtenisse, K8s-oudit-API, gesamentlike gemeenskapsprojekte (FIM - monitering van lêerintegriteit; cryptojacking) en raamwerk MITER ATT&CK;
• reaksie en uitskakeling van voorvalle.

Houbare houersekuriteit

• Website: www.tenable.com/products/tenable-io/container-security
• Lisensie: kommersieel

Voor die koms van houers was Tenable wyd bekend in die bedryf as die maatskappy wat Nessus ontwikkel het, 'n gewilde hulpmiddel vir die vind van kwesbaarheid en sekuriteitsoudit.

Tenable Container Security maak gebruik van die maatskappy se kundigheid in rekenaarsekuriteit om 'n CI/CD-pyplyn te integreer met kwesbaarheidsdatabasisse, gespesialiseerde wanware-opsporingspakkette en sekuriteitsadvies.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Lisensie: kommersieel

Twistlock bevorder homself as 'n platform wat gefokus is op wolkdienste en houers. Twistlock ondersteun verskeie wolkverskaffers (AWS, Azure, GCP), houerorkestreerders (Kubernetes, Mesospehere, OpenShift, Docker), bedienerlose looptye, maasraamwerke en CI/CD-nutsgoed.

Benewens die gewone sekuriteitsmetodes op ondernemingsvlak soos CI/CD-pyplynintegrasie of beeldskandering, gebruik Twistlock masjienleer om houerspesifieke gedragspatrone en netwerkreëls te genereer.

’n Tyd gelede is Twistlock gekoop deur Palo Alto Networks, wat die Evident.io- en RedLock-projekte besit. Dit is nog nie bekend presies hoe hierdie drie platforms geïntegreer sal word nie PRISMA van Palo Alto.

Help om die beste Kubernetes-sekuriteitshulpmiddelkatalogus te bou!

Ons streef daarna om hierdie katalogus so volledig as moontlik te maak, en hiervoor het ons jou hulp nodig! Kontak Ons (@sysdig) as jy 'n oulike hulpmiddel in gedagte het wat verdien om by hierdie lys ingesluit te word, of jy vind 'n fout/verouderde inligting.

Jy kan ook inteken op ons maandelikse nuusbrief met nuus oor die wolk-inheemse ekosisteem en stories oor interessante projekte uit die wêreld van Kubernetes-sekuriteit.

PS van vertaler

Lees ook op ons blog:

• «'n Inleiding tot Kubernetes-netwerkbeleide vir sekuriteitspersoneel»;
• «Docker en Kubernetes in omgewings met veeleisende sekuriteit»;
• «9 Kubernetes Sekuriteit Beste Praktyke»;
• «11 maniere om (nie) gehack te word in Kubernetes nie»;
• «OPA en SPIFFE is twee nuwe projekte by CNCF vir wolktoepassingsekuriteit".

Bron: will.com