ááľáłááť. áľáááá Kubernetes áá á á°áá°á¨á° áá á¨á° áááľ ááľáĽ áľáá°á áááľ ááłáŽá˝ áĽáŤá°áĄ á¨ááᣠᨠSysdig á¨á°ááá áá áĽá á á áŁá áĽáŠ á á ááá áĽááł ááᏠáááľááá˝ ááŁá ááá˘áŤ áĽáŠ áááť ááᢠá¨áłáá á¨áá ፠á°áŤáážá˝ áááąáá ááľáĽáľáĽ áľáááśá˝ áĽá á ááľ á¨á°áá°á á˝ááá á¨áá¸áá á áŁá áá áá áááááŤáá˝á áŤáŤáľáłáᢠáĽá á á áľá°áŤá¨áśáš ááľáĽ, áĽá, áĽáá° áááá, áĽááá á ááłáŞáŤáá˝ áľááá áá áááľáá áááá áĽá áá° ááá˝ ááŽáááśá˝ á áááá˝á ááá¨áľ á°áľá°áá˝ áĽááááá.
á¨áŠá áááľáľ á¨á°á
áááľ áśááľáá áááśá˝âŚ á áŁá áĽá áá¸áᣠáĽá áĽáŤááłááą á¨áŤáą áááᣠáá°á áĽá áááľ á ááá˘
ááá
á áá áá
áá áááá áááá á á¨áá°ááá áĽá áááąáá áááľ ááá ááŽáááśá˝á áĽá á¨á°ááŤáŠ á á
áŤá˘áá˝ á¨áááľ ááľá¨áŽá˝á áŤáŤá°áľááᢠáአá¨áááľá á¨áŠá áááľáľ á¨á°á
áááľ ááááśá˝á áá°á¨áľ á ááľá¨á á áŁá á¨ááľáĄáľá áĽáá˛ááᥠáĽá á áľááááá á á
áŁáŤ áĽáá˛á ááááľ áĽáá°áá¨áłááľ á°áľá áĽáá°ááááá˘
áá°áĽ
á áááአááľáĽ ááá°áľ ááá áááľá¨á ááłáŞáŤááš á áá á°ááŁá áĽá á áľáá ፠ââá¨á°á¨ááá áá¸á. á¨á°áá áŠáľ áááá˝áĄ-
- á¨áŠá áááľáľ ááľá á ááľ áĽá á¨áááááłááľ áľáá°á;
- á¨á ááľ áá á°á áááľ;
- Kubernetes á ááłá¨ áá¨áĽ á°á áááľ;
- ááľáá˝á áĽá ááľá˘áŽá˝á áá°áŤá¨áľ;
- Kubernetes á¨á°á áááľ áŚá˛áľ;
- ááľáĽáľáĽ á¨áááľ áááśá˝.
áá° áááą áĽááá¨áľáĄ-
á¨áŠá áááľáľ ááľáá˝á á ááááľ áá
ááá á
- á¨áľá áŁá˘áŤ:
anchore.com - áááľáĄ ááť (Apache) áĽá á¨áááľ á áá˝
ᨠAnchore áĽá
á á¨ááŤáŁ ááľáá˝á áá°ááľáá áĽá á á°á áá á¨á°áááš áááŞáŤáá˝ áá á¨á°á
áááľ áá°áťáá˝á ááá
áłáá˘
á¨CVE áłáłá¤á ááłáá á°áááááśá˝ á¨ááŤáŁ ááľáá˝á á¨á°ááá°á á ááľ á á°á¨á᪠á ááŽáŹ áĽáá° á¨áá°áť ááá˛á á áŤá áĽá á°á¨á᪠áźáŽá˝á áŤá¨ááááᥠáźáŽá˝ áśá¨ááááᣠá¨á°ááá ááľááááśá˝áŁ áŤáááá á¨ááŽááŤá á ááŁáĽ ááááá˝ (npmᣠmaven, ááá°.) á¨áśááľáá áááľ áĽá áĽá á°á¨ááŞá˘
Clair
- á¨áľá áŁá˘áŤ:
Coreos.com/clair (á áá á áá áŽá፠ááááľ áľá) - áááľáĄ ááť (Apache)
ááá áááľá á
ááľ á¨ááááŞáŤááš á¨áááľ ááá ááŽáááśá˝ á ááą áá áᢠá¨áłá ááľá áááἠá¤áľ á áľá°ááᣠáŤáá á¨á°á
áááľ áľáŤáá á°áĽá á á°áá ááłáááᢠ(áĽáá˛áá á¨CoreOS - á áááľ áľááá). ááá á á´á˘áŤáᣠá áá áŽá፠ááá á áĄáĄááą á¨á°á
áááľ áĄáľáá˝ á¨áá á á á¨ááááľ áľáááľ-á°áŽá á°áááááśá˝ ááááŽá˝á á¨áᎠáľá CVEs á¨á°ááŤáŠ áááŽá˝ áá¨á áá°áĽá°áĽ áá˝ááá˘
á¨á ááŽáŹ á á°áᨠááአááá á ááááľ á¨ááŤá°áŠá¨á á°áááááśá˝á á áááá áĽá áá¨ááá˝á á¨CVE áá á ááááľ áá ááᢠááá áĽáá áááą á á°á°áŞ ážááŽá˝ á áŠá á°ááŁáŤáááľá áááŤáá áá°á áááá˝ á ááłááľ á ááŤáŽá˝á áá°áŁáá˘
áłáł
- á¨áľá áŁá˘áŤ:
github.com/eliasgranderubio/dagda - áááľáĄ ááť (Apache)
áłááł á¨ááŤáŁ ááľáá˝á ááłáá á°áááááśá˝áŁ áľáŽááá˝áŁ áŤáá¨áśá˝áŁ áááá áĽá ááá˝ áľááśá˝ á áľáłáľáľá˛ááľ áá°ááľááá˘
á¨áłááł ááŹá á¨ááá˝ á°ááłáłá ááłáŞáŤáá˝ á áááľ ááá ááááśá˝ áááŤáá˘
- áá á á°áἠááááłá
ClamAV , á¨ááŤáŁ ááľáá˝á áááááľ áĽáá° ááłáŞáŤ áĽáť áłááá áĽáá° á¸á¨-áŤáá¨áľá áá áŤá. - áĽáá˛áá á¨áĽááá°á áá ááľá°áśá˝á á¨Docker daemon á ááá á áĽá ᨠFalco áá á ááááľ á¨áŠáŤ áá áĽá áá áá°áŁá (á¨áľá á°ááá¨áľ) ááŤáŁá á áá°áŤá áľ áá á¨á°á áááľ ááľá°áśá˝á ááá°áĽá°áĽ.
áŠá¤á¤ááľáŹá
- á¨áľá áŁá˘áŤ:
github.com/jfrog/kubexray - áááľáĄ- ááť (Apache)ᣠáá á¨JFrog Xray (á¨áááľ áááľ) áá¨áá áááááá˘
KubeXray ᨠKubernetes API á áááá ááľá°áśá˝á áŤáłááŁá áĽá ᨠJFrog Xray á˛á áłáł áá ááá á áá áŤáá ááᲠáá á¨ááááą ááśá˝ áĽáť ááááŠá áŤá¨áááŁáá˘
KubeXray á á˛áľ ááá á¨á°ááá áŽáá´áááŽá˝á á áá°ááŤáľ áá áŚá˛áľ ááľá¨á áĽáť áłááá (á áŠá áááľáľ ááľáĽ áŤáá á¨ááá˘áŤ á°ááŁáŁáŞ áá á°ááłáłá)ᣠááá áá á á˛áľ á¨á°á áááľ ááá˛áá˝á áááá á á¨áá°áąá áŽáá´áááŽá˝ á á°áááá áááł áááľáťáᣠá°ááá ááľáá˝á á¨ááŤááááą ááĽáśá˝á áŤáľáááłáá˘
áľáá
- á¨áľá áŁá˘áŤ:
snyk.io - áááľáĄ ááť (Apache) áĽá á¨áááľ áľáŞáśá˝
Snyk á á°áá á¨áĽáľááľ áá°áąá áŤááŁá ᨠáĽá áááá˘áá˝ áĽáá° "á áľááá áááľá" á ááľá°ááá
áŤáá°ááá° á¨á°áááááľ áľáŤáá áá.
Snyk á ááĽáł á¨áŽáľ áá¨ááťáá˝ áá áááááᣠá¨ááŽáááľ ááááŤáá áá°ááľááᣠáĽá á¨áá á¨ááŁáá áŽáľ á¨ááĽáł áĽá ááĽá°á áŤááá áĽááá˝ áá áá°ááľááᢠSnyk áĽá áłáá á¨ááŽááŤá ááááá˝á áá°ááá áĽá á¨á°á°á á á¨áááľ á á°ááá˝á ááá¨áľ áá˝ááá˘
áľáŞáŞ
- á¨áľá áŁá˘áŤ:
github.com/knqyf263/trivy - áááľáĄ áá (AGPL)
áľáŞáŞ á ááá á¨CI/á˛á˛ á§á᧠ááľáá áá á¨ááááľ ááá ááá áááá á¨ááŤáŁ á°áááááľ áľáŤáá ááᢠá¨áĽáą á áľá°áá áŁá
᪠á¨ááŤá áĽá á¨áá°áá á áááááľ áá-áá°áá áŞáŤá áá á áááľáŽá˝ áŤáá áĽá á¨ááἠááł ááá á°á¨á᪠á¤á°-ááťáááľ ááŤá á áŤáľáááááá˘
á¨áľáŞáŞ áááááľ ááłáą ááá˝ á¨áŠá áááľáľ á¨á°á áááľ ááłáŞáŤáá˝ áá áááŁá¸á áĽáá˛á˝á á¨JSON áá¤áśá˝á áĽáá´áľ áá°áá°á áĽá ááá áĽááłááŚáľ ááá á ááŚáľá˘
á Kubernetes ááľáĽ á¨á ááľ áá á°á áááľ
ááááľ
- á¨áľá áŁá˘áŤ:
falco.org - áááľáĄ ááť (Apache)
ááᎠá¨á°áá áŠáŤ ááá ááá á á
á¨ááłáŞáŤáá˝ áľáĽáľáĽ ááᢠá¨ááŽáááľ á¤á°á°áĽ á áŤá
á ááááľ á¨ááá á°á¨á áááľáŤáľ áĽá á¨ááá፠áľáááľ áĽáŞáá˝á áááľá¨á á¨Sysdig Toolkitá á áá áá ááᎠáá° áľáááą áŁá ᪠ááľáĽ áááá áĽáá˛áᥠááá áľáááłáᢠá¨áĽáą á¨áŠáŤ áá á áá˝ áá°á á áá°áá áŞáŤáὠᣠáŽáá´áááŽá˝ ᣠá¨áľá á áľá°ááá áĽá á áŠá áááľáľ áŚááŹáľáľáŤ ááľáĽ á á áŤáŁáŞ áĽáá áľáá´áá˝á ááá¨áľ áá˝ááá˘
ááᎠááá ááá á áŠá áááľáľ ááśá˝ áá áአááŞáá˝á á áááááľ á áá°áľ áá áŤááá á á áŤá áĽá áľááľá á ááá¨áľ áá áá ááá˝ááľ áá°áŁáᢠá áá¤áąá, á¨áśáľá°á ááá áŽáľá áá° ááľáĽ á ááľááŁáľ ááá á¨áá ááŤáŁáá˝á á ááá áá á áŽáá´áááŽá˝á ááá¨á á áŤáľáááá.
á¨ááááľ á¨á°á áááľ ááááá˝ ááá°áľ áá
á¨ááááľ á¨ááá á°ááá
á¨áááľ áĽááá
ááááá˝ á á°ááá°á á ááŁáĽ "á¨áŠá áááľáľ á¨á°á
áááľ ááłáŞáŤáá˝" á áá°áá ááá áá á Kubernetes Pod Security ááᲠ(PSP) ááľáĽ á á°áŤá°áąáľ á Runtime á°á
áááľ á ááľ ááľáĽ á áá á áŤá á áááá¸á áá ááľ áááŁá¸áá. .
á á°á
áááľ á¨á°áťáťá ááááľ (
Sysdig áááľ ááá
- á¨áľá áŁá˘áŤ:
www.sysdig.com/opensource - áááľáĄ ááť (Apache)
Sysdig á¨ááááľ áľáááśá˝á ááá°áá°á ᣠáááááá áĽá ááá¨á á¨á°áá ááłáŞáŤ áá (á á°á¨ááŞá á áááśááľ áĽá áááŽáľ áá áá°áŤá ᣠáá á á°áá°á áŁá
áŞáá˝)ᢠááááá áá¨á áá°áĽá°á˘áŤáŁ áá¨áá፠áĽá áá¨áá˛áŽá˝ ááŤáááá áá˝ááᢠ(áá¨áá˛ááľ) á¨áá á¨áľ áľáááą áĽá á áአáá á¨áááą ááááá ááŤáŁáá˝.
Sysdig á á°á¨ááŞá á¨ááŤáŁ ááťááá˝á áĽá á¨áŠá áááľáľ ááłáłáłá á áá°áá á ááá á¨á°á°á á°áĄ á¨áľáááľ áŁá
᪠áá¨ááá˝ áá á°á¨á᪠ááŹáśá˝á áĽá áááŤáá˝á áá¨ááŤáᢠSysdig á á áá áá á¨áŠá áááľáľ áááľá°áá ááá°áá°á áĽá ááááśá˝ á ááĄá áá á áŠá ááĽáĽ ááŤá áá˝ááá˘
Kubernetes á ááłá¨ áá¨áĽ á°á áááľ
á ááŹáś
- á¨áľá áŁá˘áŤ:
www.aporeto.com - áááľ: á¨áááľ
á ááŹáś "á¨á ááłá¨ áá¨áĽ áĽá áá á¨á° áááľ á¨á°áᨠá°á
áááľ" áŤáááŁá. áá
áááľ á¨áŠá áááľáľ á áááááśá˝ á¨á áŤáŁá˘ ááłáá፠(áááľá á¨ServiceAccount in Kubernetes) áĽáť áłááá áááá°áá ááłáááŤ/á áťáŤá ááá á¨ááááá áá á áááááľ áá á°á
áááą á á°á á á áááł ááľá°ááĽá áááá á á¨ááŤáááá á˛áá áááłá á OpenShift áááľá°á ááľáĽá˘
á ááŹáś ááŠá áááľáľ/áŽáá´áááŽá˝ áĽáť áłááá áá áľá°áááá˝áŁ áá°áá á°ááŁáŤáľ áĽá áá°á áááá˝ áአááłáá፠áááá¨áľ áá˝ááᢠá áĽááá ááŞáá˝ áĽá á á áľá°áłáłáŞá á á°áááĄáľ á¨á ááłá¨ áá¨áĽ á°á áááľ á°ááŚá˝ áľáĽáľáĽ áá á áááľá¨áľ áááááśá˝ ááááłá ááá ááłááłáá˘
áŤááŽ
- á¨áľá áŁá˘áŤ:
www.projectcalico.org - áááľáĄ ááť (Apache)
áŤáᎠáĽááá áá áŽáá´ááá áŚááŹáľáľáŤáá á áááá áľ áá áá°áŤáŤá, áá
á ááŤáŁáá˝á á¨ááŤááá áááŁá á ááłá¨ áá¨áĽ áááá á áŤáľá˝áááłá. á¨áá
áá°á¨áłá á¨á ááłá¨ áá¨áĽ á°ááŁá á á°á¨á᪠ᨠCalico ááŽááᾠᨠKubernetes á ááłá¨ áá¨áĽ ááá˛áá˝ áĽá á¨áŤáą á¨á ááłá¨ áá¨áĽ á°á
áááľ ááááŤáá˝ áá á áĽáŽ áá°áŤá áŁá¨áá¨á¨áť ááĽáĽ á¤á˛á¤áá˝á (á¨ááłá¨áť áááŁá áŞáŤ ááááŽá˝á) áĽá áááá˘áŤ áĽá á˘ááŹáľ áľáŤáá á ááĽáŤáŞáŤ áá á¨á°áá á¨á° á¨á ááłá¨ áá¨áĽ á°á
áááľ á
áá˝á áá°áááá˘
á˛áá¨á
- á¨áľá áŁá˘áŤ:
www.cilium.io - áááľáĄ ááť (Apache)
á˛áá¨á áĽáá° áŽáá´ááá áá¨ááá áá á¨áá°áŤ áĽá ááŠá áááľáľ áĽá ááááᎠá°ááŞáľ á¨áľáŤ áŤááá˝ á°áľáá á¨áá á¨á ááłá¨ áá¨áĽ á°á
áááľ áŁá
áŞáŤáľá áá°áŁáᢠá˛áá¨á á á˛áľ á¨ááááľ á¨ááá á´ááááá áá ááá BPF (á áááá ááŹáľ ááŁáŞáŤ) áá¨áá áááŁáŤáľáŁ ááááŁá áᣠáááá áĽá ááá¨áá˘
á˛áá¨á áśá¨á ááá áŠá áááľáľ áááŤáá˝á áĽá ááłáłáłá á áá áá á ááŤáŁ ááłáááŤáá˝ áá á áááľá¨áľ á¨á ááłá¨ áá¨áĽ ááłá¨áť ááá˛áá˝á áá°ááŤáľ áá˝ááᢠá˛áá¨á áĽáá° HTTP ááá gRPC áŤá á¨á°ááŤáŠ á¨ááĽááĽáŽá˝ 7 ááŽáśáŽáá˝á áááááŁá áĽá áŤáŁáŤáá˘
Istio
- á¨áľá áŁá˘áŤ:
istio.io - áááľáĄ ááť (Apache)
á˘áľá˛áŽ á¨ááľá¨á ááť á¨áá á¨áááŁá áŞáŤ á ááŽááá á áá°ááŤáľ áĽá áááá á¨áá°áłá°á á¨á áááááľ áľáŤáá á á°áááá á áááአá¨Envoy proxies á ááá á¨á áááááąá áá˝ ááŤá˛á á áá°áá á á á°áá ááłáááᢠá˘áľá˛áŽ á¨á°ááŤáŠ á¨á ááłá¨ áá¨áĽ á°á
áááľ áľáľáŤá´ááá˝á á°ááŁáŤá áááľá¨á á¨ááá áááᎠá°ááŞáľ áĽá áŽáá´áááŽá˝ á¨áá áĽááł áá áááá˘
á¨á˘áľá˛áŽ á ááłá¨áá¨áĽ á°á áááľ á˝ááłáá˝ á áááᎠá°ááŞáľ ááŤá¨á áŤááá á¨áááááľ ááŽáśáŽá á áŤáľ á°á áá° HTTPS áááťáťá ááá á¨TLS ááľá áŤá áĽá á á°ááŤáŠ á¨áľáŤ áŤááá˝ ááŤá¨á á áááľá°á ááľáĽ áááááśá˝á áááááľ/ ááá¨áá¨á á¤á°á á¨áá á¨RBAC áá¨áá፠áĽá á¨áááľ áľáááľ áŤáŤáľáłáá˘
ááľáłááť. áľááááľá á˘áľá˛áŽ á°á
áááľ-á°áŽá á˝ááłáá˝ á¨á áá áá¨á áááááľ áááá¨áą
ááĽá
- á¨áľá áŁá˘áŤ:
www.tigera.io - áááľ: á¨áááľ
"á¨áŠá áááľáľ áá¨ááá" á°áĽá á¨áá áŤá áá
áááľá áá ááłá¨ áá¨áĽ á°á
áááľ ááŽ-ááłáá á ááŤá¨áĽá áŤááá.
áá áĽáá°ááá˝ á¨áŠá áááľáľ- á¤á°á á ááłá¨ áá¨áĽ áááľááá˝áŁ Tigera á áááľá°á ááľáĽ áŤá á¨á°ááŤáŠ á áááááśá˝á áĽá áááŽá˝á áááá¨áľ á ááłáłáł áá áá°áááá áĽá á¨á ááľ áá á˝ááá ááá ááááľáŁ á°á¨áłáłáááľ áŤáá áłááĽááľ áĽá á¨á ááłá¨ áá¨áĽ áłáááľ ááĽá á°áá ááá áľáĽáá áááá˛á-á¨áŤá áá á¨á° áááśá˝ áŤáááŁáá˘
áľáŞáŞá
- á¨áľá áŁá˘áŤ:
www.aporeto.com/opensource - áááľáĄ ááť (Apache)
áľáŤááŹá-áŠá áááľáľ á¨áŠá áááľáľ á ááłá¨ áá¨áĽ ááá˛áá˝ áááá ááá፠ááá áĽá áášá
áľáá ፠ááᢠá áŁá áłááá áŁá
᪠- á¨á°ááłáłá á¨áŠá áááľáľ á ááłá¨áá¨áĽ á°á
áááľ áááśá˝ á á°áᨠ- áá¨áĄ (áá˝) ááááááľ ááá¨áá áááŁá áŞáŤ á ááŽááá á áŤáľáááááᢠáá
áááľáá á áľááš áĽáá˛á°á áŤá°áááá. áľáŤááŹá áá
áá á¨ááŤááá á áĽáŤááłááą ááľááá ááááľ áá á ááĽáł á¨á áľá°ááá TCP/IP ááá áá á¨áááá ááŞá á ááŤá ááá˘
ááľá áľáááľ áĽá ááľáĽáŤá á áľá°áłá°á
Grafeas
- á¨áľá áŁá˘áŤ:
graphas.io - áááľáĄ ááť (Apache)
Grafeas á¨áśááľáá á á
ááŚáľ á°áá°ááľá áááááá áĽá áááľá°áłá°á áááľ ááá á¤áá á ááᢠá áá°á¨áłá á°á¨á ááŤááľ ááłáłáł áĽá á¨áŚá˛áľ áá¤áśá˝á ááá°áĽá°áĽ ááłáŞáŤ ááᢠá áľáá
áľ ááľáĽ á¨á°á
áááľ ááἠáááśá˝ áá ááŁáŁáá ááá¨áłá°á áĽá
á áá ááá áá˝ááá˘
áá á¨á°áá¨á á¨áĽáááľ ááá á¨áá¨á°ááľá áĽáŤááá˝ áááááľ áá¨áłááĄ-
- á ááľ áŽáá´ááá á°áĽáľáŚ á¨áá¨áá ááá?
- áááá á¨á°á áááľ áľáŤááŽá˝ áĽá á¨á°á áááľ ááᲠáá°áťáá˝á á ááá? ááź áá? áá¤áąáľ áá áá á?
- áá áá áá° áááľ áŤá°ááŤá? á áá°ááŤáľ áá áľ áá á áááľ áááŞáŤáá˝ áĽá á áá áááá?
áá° ááľáĽ
- á¨áľá áŁá˘áŤ:
ááľáĽ-toto.github.io - áááľáĄ ááť (Apache)
In-toto áá á
ááá á¨áśááľáá á á
ááŚáľ á°áá°ááľ áłááááľáŁ áá¨áá፠áĽá áŚá˛áľ ááá
á¨áĽ á¨á°áá°á áááá ááᢠIn-toto áá° áá á¨á° áááľ á˛áá¨á á ááááŞáŤ á¨á§á᧠ááľáá ááľáĽ áŤááľá á¨á°ááŤáŠ á°á¨ááá˝ (áá¨ááť, CI/CD ááłáŞáŤáá˝, QA ááłáŞáŤáá˝, á áá˛áá ááá˘áá˝, ááá°) áĽá á°á áááá˝ (á°á áŤááá˝) á¨á°ááá°áá¸áá á¨áááá˝ áĽá
áľ ááááťá. á áľáááŤá¸áá˘
ááľá -áśáś á á°áá°ááą ááľáĽ áŤáá áĽáŤááłááą á°ááŁá á áľááá á¨áá áŤá á á°ááá°áá¸á á°áá˝ áĽáť áááá áĽá á áĽáá áľáá´á áá áľ á áááą áá áŤáá°áááą ááá áá áŽá˝ áĽááłáá°á°á¨á á áá¨ááἠá¨áĽá áąá á áááá áááŁá áŤáá˘
ááá˛áŞáľ
- á¨áľá áŁá˘áŤ:
github.com/IBM/porteris - áááľáĄ ááť (Apache)
ááá˛áŞáľ á Kubernetes á¨ááá˘áŤ áááŁá áŞáŤ áá; á¨áááľ áĽáááľ áá°áťáá˝á áááľáá¸á áŤáááááᢠááá˛áŞáľ á ááááŠá áá ááá
á Kubernetes ááľáĽ á¨áľáŤ áŤá á˛ááĽáŠ ááá á˛ááአááá˛áŞáľ áá°á á¨ááľ á¨ááŤáŁ ááľáá˝ á¨ááá áá¨á áĽá á¨áááľ áĽáááľ ááá˛á áááá áĽá á áľááá á¨áá á á¤áá á JSON ááá áá á¨á°áá¨ááľá á¨ááľáášá áľáŞáśá˝ áááľáŹáľ áááŚá˝á áŤá°áááá˘
Vault
- á¨áľá áŁá˘áŤ:
www.vaultproject.io - áááľáĄ ááť (MPL)
áŽááľ ááľáĽáŤáááľ áŤáá áá¨á ááá¨áá¸áľ á°á
áááą á¨á°á á á áááľá ááᥠá¨ááá ááá˝áŁ OAuth tokensᣠPKI á¨ááľáá áá¨ááśá˝áŁ á¨ááłá¨áť á áŤáááśá˝áŁ á¨áŠá áááľáľ ááľáĽáŽá˝ áĽá ááá˝áᢠáŽááľ áĽá á¨áá áŁá
áŞáŤáľá áá°áááᣠáááłá áááŤá á¨á°á
áááľ ááááśá˝á áá¨áŤá¨áľ ááá á¨ááá áá˝á¨áá¨áá áá°áŤááľá˘
á¨ááá áťááľá á áá áá áŽááľ áĽáá° á¨ááá áá¨ááť á¨áááľá áá á áŠá áááľáľ áááľá°á ááľáĽ áĽáá° á á˛áľ áá°ááŤáľ ááťááᢠáĽáá° ServiceAccount áśá¨áá˝ áŤá á¤á°á á¨áŠá áááľáľ ááĽáśá˝á áá°ááá áĽá áĽáá° ááŁáŞá ᨠKubernetes ááľáĽáŤá áá°áĽá ááľáŤáľ áá˝ááá˘
ááľáłááť. áľááá: á áááŤá˝á áá áá áľáááľá, áŽááľá á¨ááŤáłáĽá HashiCorp, Kubernetes ááľáĽ Vault á ááá áá á ááłááľ ááťáťáŤáá˝á á áľáłááá, áĽá á á°ááá á¨ááá áťááľ áá ááááłá. ááááŠá áŤááĽáĄ
Kubernetes á¨á°á áááľ áŚá˛áľ
áŠá¤-á¤áá˝
- á¨áľá áŁá˘áŤ:
github.com/aquasecurity/kube-bench - áááľáĄ ááť (Apache)
Kube-bench áŠá áááľáľ á¨áááá ááľáĽ áá¨áŤáá˝á á ááŤááľ á°á
áááą á á°á á á áááł ááŤáá á¨ááŤá¨ááἠá¨Go áá°áá áŞáŤ ááá˘
áŠá¤-á¤áá˝ á áááľá°á áááá˝ (ááá°áŁ á¤áá áᣠá°ááŁáŁáŞ á áľá°áłáłáŞáŁ ááá°)ᣠá á áŤáŤá á¨áá á¨ááá áááśá˝áᣠá°á áááłá¸á áŤáá°á á á áááŤáá˝ ááá áááľ áá°áŚá˝áŁ á¨ááĽááľ áŽáłáá˝áŁ á¨DoS áĽááśá˝ ááá¨áá¨á á¨á¤áá á á¨áĽáŞ áá°áĽ á áá áśá˝áᣠááá° ááŤá¨á á°á áááą áŤáá°á á á áá á á ááĽáŽá˝á áááááá˘
áŠá¤-á áłá
- á¨áľá áŁá˘áŤ:
github.com/aquasecurity/kube-hunter - áááľáĄ ááť (Apache)
áŠá¤-á áłá á Kubernetes áľáĽáľáŚá˝ ááľáĽ ááá á¨áá˝á á°áááááśá˝á (áĽáá° á¨áááľ áŽáľ ááľáá¸á፠ááá áá¨áá áá ááľá¨á) "áŤáľáá"ᢠáŠá¤-á áłá áĽáá° á¨áááľ áľáŤáá áá ፠áá˝áá - á áá
áááł áááľá°áá á¨áśáľá°á ááá á áĽá áĽááł - ááá á áááľá°á ááľáĽ áĽáá° ááľ ááááááá˘
á¨áŠá¤-á áłá áአáŁá ᪠á¨"áá á á°á" áááł á˛áá á áá áá á˝ááŽá˝á áŞáááľ ááľá¨á áĽáť áłááá á ááá áááľá°á ááľáĽ á¨ááááľá á á áŤáŠá áááą á¨áá˝á á°áááááśá˝á ááá áá ááááŤáᢠáľááá á áĽááá áá áá!
Kubeaudit
- á¨áľá áŁá˘áŤ:
github.com/Shopify/kubeaudit - áááľáĄ ááť (MIT)
Kubeaudit áá°ááŤáŠ á¨á°á
áááľ ááłáŽá˝ á¨áĽááľáá Kubernetes áá
á áŚá˛áľ áááľá¨á á ááááŞáŤ á Shopify á¨á°á°áŤ á¨áŽááśá ááłáŞáŤ ááᢠáááłáᣠáŤáááŠááľ á¨áá°áŠáŁ áĽáá° áľá á¨áá°áŠáŁ áአááĽáśá˝á á¨áá áá ááá ááŁáŞáá á¨á áááááľ áá፠á¨áá áá ááŤáŁáá˝á áááá¨áľ áá¨áłáá˘
Kubeaudit ááá˝ á áľá°áłá˝ áá˝áłáá˝á á ááľá˘ áááłáᣠá¨á áŤáŁá˘ YAML áááá˝á áá°áá°áᣠáá° á¨á°á áááľ ááłáŽá˝ ááአá¨áá˝á á¨áá á¨áľ ááľááśá˝á ááá¨áľ áĽá á áŤáľ-á°á ááľá°áŤá¨á áá˝ááá˘
áŠá¤á´á
- á¨áľá áŁá˘áŤ:
kubesec.io - áááľáĄ ááť (Apache)
áŠá¤á´á á á°á
áááľ áá á°á˝áá ááŤáłáľáŠ á¨áá˝á á°áŤá á
ááĽáŽá˝á á ááĽáł ᨠKubernetes áŞáśááľ YAML áááá˝á á ááááľ áአááá˘
áááłáᣠáááľ á¨á°á°áĄ á¨áá á áŤáá áአááĽáśá˝á áĽá áááśá˝áᣠááŤáŁá áĽáá° ááŁáŞ á°á áá áľá á ááľáŹáľáŁ á¨á áľá°ááá á¨á ááłá¨ áá¨áĽ áľá áŚáł áá áááááľ ááá áĽáá° á á°áá ááŤáá˝ ááá¨áľ áá˝ááᢠ/proc
á áľá°ááá
ááá Docker áśáŹáľ. ááá á¨áŠá¤á´á á áľá°áłá˝ áŁá
᪠YAML á ááľáá áĽá áá˛áŤáá áá°áá°á á¨ááľá˝áá áľ á¨ááľáá áá ááłáŤ á áááááľ ááá˘
á¨ááᲠááŞá áááľ
- á¨áľá áŁá˘áŤ:
www.openpolicyagent.org - áááľáĄ ááť (Apache)
á¨áŚáᤠ(áááľ á¨ááᲠááŞá) á˝áá°-ááłáĽ á¨á°á
áááľ ááá˛áá˝á áĽá á¨á°á
áááľ ááἠáááśá˝á á¨á ááľ á¨á°áá°á á¨áŠáŤ ááľá¨á ááá¨áľ áá-Docker, Kubernetes, Mesosphere, OpenShift, ááá ááááá á¨áĽááą áĽáá¨áľ.
áááłáᣠá¨á°á áááľ ááłááá˝á ááĽáą á ááľá áľ OPAá á Kubernetes ááá˘áŤ á°ááŁáŁáŞ áĽáá° á°áá áá°ááŤáľ áá˝ááᢠá áá ááááľ á¨áŚáᤠááŞá á¨á°ááášáľá á¨á°á áááľ áááŞáŤáá˝ áá¨á áŤá¸áá á áá¨ááἠá á á¨áŤ áá áĽáŤááá˝á ááá°á˝áŁ ááŤáľ áĽá áĽáá˛áŤáá ááľá°áŤá¨á áá˝ááᢠá OPA ááľáĽ áŤááľ á¨á°á áááľ ááá˛áá˝ á¨á°áááľ á áŤáą DSLᣠRego ááá˘
ááľáłááť. áľááááľá OPA (áĽá SPIFFE) á ááľáĽ á¨á áá á˝áááá˘
á á ááá á¨áááľ Kubernetes á°á áááľ áľáá°á ááŁáŞáŤáá˝
ááááľ ááľá¨áŽá˝ á¨á°áᨠááľáĽ áááá á áá°áá, ááááŤáąá á á ááľ áá áĽá á¨á°á áááľ áŚáłáá˝á áá¸ááá. á¨á˝ááłááťá¸áá á á ááá ááłáĽ á¨á á¨á´áá ááááľ ááťáá-
* á¨áá áĽáááľ áĽá á¨áľá
ᨠááľ áľááłá á¨á°áá
á¨áá á°á áááľ
- á¨áľá áŁá˘áŤ:
www.aquasec.com - áááľ: á¨áááľ
áá
á¨áááľ ááłáŞáŤ á¨á°áááá áááŤáŁáá˝ áĽá áá°áá á¨áľáŤ áŤááá˝ ááᢠáŤáááŁááĄ-
- á¨ááľá á ááľ á¨áĽá ááááá˘áŤ ááá ᨠCI / á˛á˛ á§á᧠ááľáá áá á¨á°ááá°;
- á ááŤáŁáá˝ ááľáĽ áááŚá˝á áĽá ááá˝ á á áŤáŁáŞ áĽáá áľáá´áá˝á á áááá á¨á ááľ áá áĽá á;
- á¤á°á ááŤáŁ áá¨ááá;
- á á°áá á áááááśá˝ ááľáĽ á áááá á áᣠá°á áááľ;
- ááá á áĽá áŚá˛áľ á¨ááľá°áľ áááἠááľáłááť áá á°áŁááŽá˘
ááľáłááť. áľááá: áĽááłáá áἠááŁá á¨áááŁá ááłá ááᢠá¨á°á áŤá áááľ áá á áŤá
áŤááąá8
- á¨áľá áŁá˘áŤ:
capsule8.com - áááľ: á¨áááľ
Capsule8 áááááŤáá á á áŤáŁá˘áŤá ááá á Cloud Kubernetes áááľá°á ááľáĽ á ááľá¨á áá° áá á¨á° áááľ ááááłá. áá
ááá፠á áľá°ááá
áĽá á¨á ááłá¨ áá¨áĽ á´áááľáŞ áá°á áľáŁá, á¨á°ááŤáŠ áĽááśá˝ áá áŤáááłá.
ᨠCapsule8 áĄáľá áľáŠáľ á áá áá áĽááśá˝á á áľááľá áááá áĽá ááá¨áá¨á ááá á ááᢠ(0-áá) áľáááśá˝. Capsule8 á á˛áľ áá°áá áľááśá˝ áĽá á¨áśááľáá á°áááááśá˝ ááá˝ áááľá áľ á¨á°áťáťá á¨á°á áááľ á°ááŚá˝á á ááĽáł áá° á áááá˝ ááľáá áá˝ááá˘
áŤáŞáŞá
- á¨áľá áŁá˘áŤ:
www.cavirin.com - áááľ: á¨áááľ
áŤáŞáŞá á¨á°ááŤáŠ á¨á°á
áááľ á°á¨ááá˝ á¤ááá˛áá˝ áá áĽáá° áŠáŁá፠áá áŤá. ááľáá˝á ááá°á˝ áĽáť áłááá á¨á˛á á/á˛á˛ á§á᧠ááľáá áá ááááľ áľááá˝á á¨ááŤáá ááľáá˝á áá° áá áá¨ááťáá˝ á¨áááŁáłá¸á á ááľ áááľ áá˝ááá˘
á¨Cavirin Security Suite á¨áłáá á á°á áááľ áááłá áááááá á¨áá˝á áááá áá ááááŁá°á áááľá áĽáá´áľ áá¨áá áĽá á¨á°á áááľ á°áá˘ááľá ááťáťá áá ááá áá°áŁáá˘
á¨ááá ááááľ á°á áááľ áľááá ááĽá¨á
- á¨áľá áŁá˘áŤ:
cloud.google.com/security-command-center - áááľ: á¨áááľ
á¨ááááľ á´áŞáŠáŞá˛ áľááá ááĽá¨á á¨á°á
áááľ áĄáľáá˝ áŠáŁááŤáá á¨áááłáą á ááľ áá¨ááá˝á áĽáá˛á°á áľáĄáŁ áľááśá˝á áĽáá˛áአáĽá áĽáá˛áŤáľá°áŤááá¸á áá¨áłáá˘
áľá áĽáá°ááŤáááá°á ááá ááááľ á¤áľ.á˛.Რá¨á°ááŤáŠ á¨á°á áááľ áŞáááśá˝áᣠá¨ááĽá¨áľ áá¨áłá°áŤ áá°áŽá˝á áĽá á¨áśáľá°á ááá á¨á°á áááľ áľáááśá˝á á¨á ááľ á¨á°áá¨á ááá áááááľ áĽá ááľá°áłá°á á¨áá˝á á¨á°ááá° á¨ááĽáĽá ááá ááá˘
á Google ááááľ á¤áľ.á˛.Რá¨áááá á á ááá°ááá á¤áá á á¨á°ááŤáŠ áááŽá˝ áĽáá° Sysdig Secure (á¨ááááľ á°ááá á áááŹá˝áá˝ á¨ááŤáŁ á°á áááľ) ááá ááᎠ(á¨áááľ ááá á¨áŠáŤ áá á°á áááľ) áŤá á¨á°á áááľ ááľá°áśá˝á áá á°áľ áŤááťáťáá˘
á¨á°ááŁá ᨠáááᤠ(Qualys)
- á¨áľá áŁá˘áŤ:
Layeredinsight.com - áááľ: á¨áááľ
Layered Insight (á áá ᨠQualys Inc á áŤá) á¨á°áááŁá á "á¨á°á¨á°á° á°á
áááľ" á˝áá°-ááłáĽ ááᢠáľáłáľáľá˛áŤá áľáá°á áá´áá˝á á áá áá áá°áááááľ áááá ááľá á¨áá áĽá CVE áźáŽá˝á áŤá°á¨á á áá Layered Insight á áááľáŽá˝ ááá ááŞáá áŁáŤá°á° á ááłáŞáŤ á á°á°áŤ ááľá áá°áŤááá˘
áá ááŞá á¨ááŤáŁ ááľááá áľáŤáááᣠá¨á á/ጠáá°áśá˝á áĽá á¨áá°áá áŞáŤ áĽáá áľáá´á ááá°áá°á á¨á ááľ áá á°á áááľ áá¨áŤáá˝á áááᢠá á°á¨ááŞá, á áá á¨á° áááľ á áľá°áłáłáŞá ááá á á´ááŚááľ áĄáľáá˝ á¨á°áááš á°á¨á᪠á¨á°á áááľ áá°áťáá˝á ááŤá°áá áá˝áá.
áááŹáá°á
- á¨áľá áŁá˘áŤ:
neuvector.com - áááľ: á¨áááľ
NeuVector á¨á ááłá¨ áá¨áĽ áĽáá
áľáá´á áĽá á¨áá°áá áŞáŤ áŁá
áŞá á áá°áá°á á¨ááŤáŁ á°á
áááľ áá°áťáá˝á áĽá á¨á ááľ áá áĽá áá áŤá¨ááááᣠááĽáŤááłááą ááŤáŁ á¨ááá°áĽ á¨á°á
áááľ ááá፠áááĽáŤáᢠá¨á áŤáŁá˘áŤá áá¨ááá á°ááŚá˝á á ááťáťá á á áŤáŁáŞ áĽáá
áľáá´áá˝á á áááá ááľááŤáŞáŤáá˝á á áŤáą áááľ áá˝ááá˘
á¨á´áŞáŠáŞá˛ áá˝ á ááŁá á¨ááłááá á¨áááŹáá°á á ááłá¨ áá¨áĽ áá á°áľ á á áááááľ áĽáááá ááľáĽ áŤááľá áááá á¨á ááłá¨ áá¨áĽ áááááśá˝ áĽáá á¨ááŹáľ áá°áť áĽá ááĽááĽá 7 á¨ááŁáŤáľ á˝ááł á ááá˘
áľá´ááŽááľ
- á¨áľá áŁá˘áŤ:
www.stackrox.com - áááľ: á¨áááľ
á¨StackRox áŽáá´ááá á°á
áááľ ááľá¨á áááá á¨áŠá áááľáľ á áááŹá˝áá˝á á áĽá
á ááľáĽ áŤááá á¨ááááľ áá°áľ ááá¸áá ááᢠáá á áá
áááá ááľáĽ áĽááłááľ ááá˝ á¨áááľ ááľá¨áŽá˝áŁ StackRox á áŽáá´ááá áŁá
᪠áá á¨á°áá°á¨á° á¨áŠáŤ áá ááŽááá áŤáááŤá áĽá á ááááá ááŠááľ áá á áŤáľ-á°á ááá፠áŤáľááłáá˘
á á°á¨ááŞá StackRox á¨ááŤáŁ á°áá˘ááľá áááááá CIS Kubernetes áĽá ááá˝ á¨áááŞáŤ áá˝ááá˝á á áá áá á¨áŠá áááľáľ á ááááŽá˝á ááá¨ááŤáá˘
Sysdig á°á áááą á¨á°á á á
- á¨áľá áŁá˘áŤ:
sysdig.com/products/á°á áááą á¨á°á á á - áááľ: á¨áááľ
Sysdig Secure á ááŤáŁá áĽá á áŠá áááľáľ á¨á
áááľ áá°áľ ááľáĽ á áááŹá˝áá˝á áá áĽááᢠáĽáą
Sysdig Secure áĽáá° áááŞááľ áŤá á¨á˛á á/á˛á˛ ááłáŞáŤáá˝ áá áŤáá áłá áĽá á¨áśá¨á ááááŚá˝ á¨á°áŤá ááľáá˝á áááŁá áŤáᣠá á°áá ááľáá˝ á áááľ áá áĽááłááłáŠ áá¨áá¨ááᢠáĽáá˛áá á¨áá¨á°ááľá á¨áᎠá á ááá á¨áŠáŤ áá á°á áááľá áá°áŁááĄ-
- á á¤áá¤á áá á¨á°áá°á¨á° á¨á ááľ áá ááá፠áĽá áŤáá°ááá° ááá¨áľ;
- á áľáááľ ááľá°áśá˝áŁ K8s-audit APIᣠá¨á፠áá
á á¨á°áĽ ááŽáááśá˝ (FIM - á¨ááá áłááááľ ááľáľáᣠááŞááśááŞáá) áĽá áááá áá á¨á°áá°á¨áą á¨á ááľ áá ááá˛áá˝
MITER ATT&CK ; - ááá˝ áĽá ááľá°áśá˝á ááľáááľ.
á¨áááá°á á¨áŽáá´ááá á°á áááľ
- á¨áľá áŁá˘áŤ:
www.tenable.com/products/tenable-io/container-security - áááľ: á¨áááľ
áŽáá´áááŽá˝ á¨áááŁáłá¸á á ááľáŁ Tenable á á˘ááąáľáľáŞá ááľáĽ áłáá á¨á°áááááľ ááá áĽá á¨á°á
áááľ áŚá˛áľ ááłáŞáŤ ááľá°áľá áŤáááá áŠáŁá፠á ááŁá ááłáá
áá áá˘
Tenable Container Security á¨áŠáŁááŤáá á¨áŽáááŠá°á á°á áááľ ááááľ CI/CD á§áá§á á¨á°ááá á¨ááἠááłáá˝áŁ áአá¨áááá ááá፠ááŹáá˝ áĽá á¨á°á áááľ áááŽá˝ áá áááááľ áá áááá˘
Twistlock (Palo Alto Networks)
- á¨áľá áŁá˘áŤ:
www.twistlock.com - áááľ: á¨áááľ
Twistlock áĽáŤáąá áĽáá° á¨á°áá á áááááśá˝ áĽá ááŤáŁáá˝ áá áŤá°áŽá¨ ááľá¨á á áľáá áŤáľá°ááááᢠTwistlock á¨á°ááŤáŠ á¨á°áá á á
áŤá˘áá˝á (AWSᣠAzureᣠGCP)ᣠá¨ááŤáŁ áŚááŹáľáľáŤáá˝á (KubernetesᣠMesospehereᣠOpenShiftᣠDocker)ᣠá áááá á áᣠá¨áŠáŤ áááá˝áᣠá¨áá˝ ááááá˝á áĽá á¨CI/CD ááłáŞáŤáá˝á áá°áááá˘
á¨á°áááąáľ á¨áľáá áľ á°á¨á á¨á°á áááľ áá´áá˝ áĽáá° á˛á á/á˛á˛ á¨á§á᧠ááľáá áá á°áľ ááá ááľá ááááľáŁTwistlock á áá˝á áááŞáŤ á áá áá áŽáá´áá-á°áŽá á¨áŁá ᪠á áŚá˝á áĽá á¨á ááłá á°ááŚá˝á áááĽáŤáá˘
á¨á°áá°á áá á ááľ Twistlock á¨Evident.io áĽá RedLock ááŽáááśá˝ áŁáá¤áľ á ááá á áá á ááś á ááłá¨ áá¨áŚá˝ á°áááˇáᢠáĽááá
áśáľáľ ááľá¨áŽá˝ á áľááá áĽáá´áľ áĽáá°ááááą áĽáľáŤáá á ááłáááá˘
áááĄá á¨áŠá áááľáľ á¨á°á áááľ ááłáŞáŤ áŤáłáá áááááŁáľ áŤáá!
áá
áá áŤáłáá á á°áťá áá á á¨á°áá áááľá¨á áĽáá°ááá áĽá ááá
á á¨áĽááľáá áĽáá áĽáááááá! á ááá (
áĽáá˛áá á¨áĽáá ááááἠáá˝áá
PS á¨á°ááá
á áĽááá˝á áá áŤááĽáĄáĄ-
- ÂŤ
áá°á áááľ áŁáááŤáá˝ á¨áŠá áááľáľ á ááłá¨ áá¨áĽ ááá˛áá˝ ááá˘áŤ "; - ÂŤ
áśá¨á áĽá áŠá áááľáľ á á°á áááľ-á áŤá á áŤáŁá˘áá˝ "; - ÂŤ
9 Kubernetes á°á áááľ ááἠáááśá˝ "; - ÂŤ
á áŠá áááľáľ ááľáĽ áááĽáá (á áá°áá) 11 ááááśá˝ "; - ÂŤ
OPA áĽá SPIFFE á CNCF áá°áá áá°áá áŞáŤ á°á áááľ áááľ á áłá˛áľ ááŽáááśá˝ áá¸áᢠ.
ááá: hab.com