33+ Kubernetes የደህንነት መሳሪያዎች

ማስታወሻ. ትርጉምበ Kubernetes ላይ በተመሰረተ መሠረተ ልማት ውስጥ ስለደህንነት ጉዳዮች እያሰቡ ከሆነ፣ ከ Sysdig የተገኘው ይህ እጅግ በጣም ጥሩ አጠቃላይ እይታ ለዛሬ መፍትሄዎች ፈጣን መግቢያ ጥሩ መነሻ ነው። ከታዋቂ የገበያ ተጫዋቾች ሁለቱንም ውስብስብ ስርዓቶች እና አንድ የተወሰነ ችግርን የሚሸፍኑ በጣም መጠነኛ መገልገያዎችን ያካትታል። እና በአስተያየቶቹ ውስጥ, እኛ, እንደ ሁልጊዜ, እነዚህን መሳሪያዎች ስለመጠቀም ልምድዎን ለማወቅ እና ወደ ሌሎች ፕሮጀክቶች አገናኞችን ለማየት ደስተኞች እንሆናለን.

የኩበርኔትስ የደህንነት ሶፍትዌር ምርቶች… በጣም ብዙ ናቸው፣ እና እያንዳንዱ የራሱ ዓላማ፣ ወሰን እና ፍቃድ አለው።

ለዚህም ነው ይህንን ዝርዝር ለመፍጠር የወሰንነው እና ሁለቱንም ክፍት ምንጭ ፕሮጀክቶችን እና ከተለያዩ አቅራቢዎች የንግድ መድረኮችን ያካተትነው። ልዩ የሆኑትን የኩበርኔትስ የደህንነት ፍላጎቶችን መሰረት በማድረግ በጣም የሚስቡትን እንዲመርጡ እና በትክክለኛው አቅጣጫ እንዲጠቁምዎት እንደሚረዳዎት ተስፋ እናደርጋለን።

መደብ

በዝርዝሩ ውስጥ ለማሰስ ቀላል ለማድረግ መሳሪያዎቹ በዋና ተግባር እና በትግበራ ​​የተከፋፈሉ ናቸው. የተፈጠሩት ክፍሎች፡-

• የኩበርኔትስ ምስል ቅኝት እና የማይንቀሳቀስ ትንተና;
• የአሂድ ጊዜ ደህንነት;
• Kubernetes አውታረ መረብ ደህንነት;
• ምስሎችን እና ምስጢሮችን ማሰራጨት;
• Kubernetes የደህንነት ኦዲት;
• ውስብስብ የንግድ ምርቶች.

ወደ ንግዱ እንውረድ፡-

የኩበርኔትስ ምስሎችን በመቃኘት ላይ

መልህቅ

• የድር ጣቢያ: anchore.com
• ፈቃድ፡ ነጻ (Apache) እና የንግድ ቅናሽ

የ Anchore ጥቅል የመያዣ ምስሎችን ይተነትናል እና በተጠቃሚ የተገለጹ መመሪያዎች ላይ የደህንነት ፍተሻዎችን ይፈቅዳል።

ከCVE ዳታቤዝ ለታወቁ ተጋላጭነቶች የመያዣ ምስሎችን ከተለመደው ቅኝት በተጨማሪ አንኮሬ እንደ የፍተሻ ፖሊሲው አካል ብዙ ተጨማሪ ቼኮችን ያከናውናል፡ ቼኮች ዶከርፋይል፣ የተለቀቁ ምስክርነቶች፣ ያገለገሉ የፕሮግራም አወጣጥ ቋንቋዎች (npm፣ maven, ወዘተ.) የሶፍትዌር ፈቃድ እና ብዙ ተጨማሪ።

Clair

• የድር ጣቢያ: Coreos.com/clair (አሁን በቀይ ኮፍያ ሞግዚት ስር)
• ፍቃድ፡ ነጻ (Apache)

ክሌር ለምስል ቅኝት ከመጀመሪያዎቹ የክፍት ምንጭ ፕሮጀክቶች አንዱ ነበር። ከኳይ ምስል መዝገብ ቤት በስተጀርባ ያለው የደህንነት ስካነር ተብሎ በሰፊው ይታወቃል። (እንዲሁም ከCoreOS - በግምት ትርጉም). ክሌር በዴቢያን፣ በቀይ ኮፍያ ወይም በኡቡንቱ የደህንነት ቡድኖች የሚጠበቁ የሊኑክስ ስርጭት-ተኮር ተጋላጭነቶች ዝርዝሮችን ጨምሮ ስለ CVEs ከተለያዩ ምንጮች መረጃ መሰብሰብ ይችላል።

ከአንኮሬ በተለየ መልኩ ክሌር በዋናነት የሚያተኩረው ተጋላጭነቶችን በመፈለግ እና መረጃዎችን ከCVE ጋር በማዛመድ ላይ ነው። ይሁን እንጂ ምርቱ በተሰኪ ሾፌሮች በኩል ተግባራዊነትን ለማራዘም ለተጠቃሚዎች አንዳንድ አማራጮችን ይሰጣል።

ዳዳ

• የድር ጣቢያ: github.com/eliasgranderubio/dagda
• ፍቃድ፡ ነጻ (Apache)

ዳግዳ የመያዣ ምስሎችን ለታወቁ ተጋላጭነቶች፣ ትሮጃኖች፣ ቫይረሶች፣ ማልዌር እና ሌሎች ስጋቶች በስታትስቲክስ ይተነትናል።

የዳግዳ ፓኬጅ ከሌሎች ተመሳሳይ መሳሪያዎች በሁለት ጉልህ መንገዶች ይለያል።

• ጋር በደንብ ይዋሃዳል ClamAV, የመያዣ ምስሎችን ለመቃኘት እንደ መሳሪያ ብቻ ሳይሆን እንደ ጸረ-ቫይረስም ይሠራል.
• እንዲሁም የእውነተኛ ጊዜ ክስተቶችን ከDocker daemon በመቀበል እና ከ Falco ጋር በማዋሃድ የሩጫ ጊዜ ጥበቃን ይሰጣል (ከስር ተመልከት) መያዣው በሚሰራበት ጊዜ የደህንነት ክስተቶችን ለመሰብሰብ.

ኩቤኤክስሬይ

• የድር ጣቢያ: github.com/jfrog/kubexray
• ፈቃድ፡- ነጻ (Apache)፣ ግን ከJFrog Xray (የንግድ ምርት) መረጃን ይፈልጋል።

KubeXray ከ Kubernetes API አገልጋይ ክስተቶችን ያዳምጣል እና ከ JFrog Xray ዲበ ዳታ ይጠቀማል አሁን ካለው ፖሊሲ ጋር የሚዛመዱ ፖዶች ብቻ መጀመሩን ያረጋግጣል።

KubeXray አዲስ ወይም የተዘመኑ ኮንቴይነሮችን በማሰማራት ላይ ኦዲት ማድረግ ብቻ ሳይሆን (በኩበርኔትስ ውስጥ ካለው የመግቢያ ተቆጣጣሪ ጋር ተመሳሳይ)፣ ነገር ግን አዲስ የደህንነት ፖሊሲዎችን ለማክበር የሂደቱን ኮንቴይነሮች በተለዋዋጭ ሁኔታ ይፈትሻል፣ ተጋላጭ ምስሎችን የሚያመለክቱ ሃብቶችን ያስወግዳል።

ስኒክ

• የድር ጣቢያ: snyk.io
• ፈቃድ፡ ነጻ (Apache) እና የንግድ ስሪቶች

Snyk በተለይ የእድገት ሂደቱን ያነጣጠረ እና ለገንቢዎች እንደ "አስፈላጊ መፍትሄ" በማስተዋወቅ ያልተለመደ የተጋላጭነት ስካነር ነው.

Snyk በቀጥታ ከኮድ ማከማቻዎች ጋር ይገናኛል፣ የፕሮጀክት መግለጫውን ይተነትናል፣ እና ከውጭ የመጣውን ኮድ ከቀጥታ እና ቀጥተኛ ያልሆኑ ጥገኞች ጋር ይተነትናል። Snyk ብዙ ታዋቂ የፕሮግራም ቋንቋዎችን ይደግፋል እና የተደበቁ የፍቃድ አደጋዎችን መለየት ይችላል።

ትሪቪ

• የድር ጣቢያ: github.com/knqyf263/trivy
• ፍቃድ፡ ነፃ (AGPL)

ትሪቪ በቀላሉ ከCI/ሲዲ ቧንቧ መስመር ጋር የሚዋሃድ ቀላል ሆኖም ኃይለኛ የመያዣ ተጋላጭነት ስካነር ነው። የእሱ አስደናቂ ባህሪ የመጫን እና የመተግበር ቀላልነት ነው-መተግበሪያው ነጠላ ሁለትዮሽ ያቀፈ እና የውሂብ ጎታ ወይም ተጨማሪ ቤተ-መጻሕፍት መጫን አያስፈልገውም።

የትሪቪ ቀላልነት ጉዳቱ ሌሎች የኩበርኔትስ የደህንነት መሳሪያዎች ሊጠቀሙባቸው እንዲችሉ የJSON ውጤቶችን እንዴት መተንተን እና መላክ እንዳለቦት ማወቅ አለቦት።

በ Kubernetes ውስጥ የአሂድ ጊዜ ደህንነት

ጭልፊት

• የድር ጣቢያ: falco.org
• ፍቃድ፡ ነጻ (Apache)

ፋልኮ የደመና ሩጫ ጊዜን ለመጠበቅ የመሳሪያዎች ስብስብ ነው። የፕሮጀክት ቤተሰብ አካል ሲኤንሲኤፍ.

በሊኑክስ ከርነል ደረጃ ለመስራት እና የመገለጫ ስርዓት ጥሪዎችን ለማድረግ የSysdig Toolkitን በመጠቀም ፋልኮ ወደ ስርዓቱ ባህሪ ውስጥ ዘልቀው እንዲገቡ ይፈቅድልዎታል። የእሱ የሩጫ ጊዜ ህጎች ሞተር በመተግበሪያዎች ፣ ኮንቴይነሮች ፣ ከስር አስተናጋጅ እና በኩበርኔትስ ኦርኬስትራ ውስጥ አጠራጣሪ እንቅስቃሴዎችን መለየት ይችላል።

ፋልኮ ለዚሁ ዓላማ በኩበርኔትስ ኖዶች ላይ ልዩ ወኪሎችን በማዘጋጀት በሂደት ላይ ያለውን አሠራር እና ስጋትን በመለየት ላይ ሙሉ ግልጽነት ይሰጣል። በውጤቱም, የሶስተኛ ወገን ኮድን ወደ ውስጥ በማስገባት ወይም የጎን መያዣዎችን በማንጠልጠል ኮንቴይነሮችን መቀየር አያስፈልግም.

የሊኑክስ የደህንነት ማዕቀፎች ለሂደት ጊዜ

የሊኑክስ ከርነል ተወላጅ የሆኑት እነዚህ ማዕቀፎች በተለመደው አገባብ "የኩበርኔትስ የደህንነት መሳሪያዎች" አይደሉም ነገር ግን በ Kubernetes Pod Security ፖሊሲ (PSP) ውስጥ በተካተቱት በ Runtime ደህንነት አውድ ውስጥ ጠቃሚ አካል በመሆናቸው መጠቀስ ይገባቸዋል. .

አፕሪመር በኮንቴይነር ውስጥ የሚሰሩ ሂደቶችን፣ የፋይል ስርዓት ልዩ መብቶችን፣ የአውታረ መረብ መዳረሻ ህጎችን፣ ቤተ-መጻሕፍትን ማገናኘት ወዘተ የደህንነት መገለጫን በማያያዝ። በግዴታ የመዳረሻ መቆጣጠሪያ (MAC) ላይ የተመሰረተ ስርዓት ነው። በሌላ አነጋገር የተከለከሉ ድርጊቶችን መፈጸምን ይከለክላል.

በደህንነት የተሻሻለ ሊኑክስ (SELinux) በሊኑክስ ከርነል ውስጥ የላቀ የደህንነት ሞጁል ነው፣ በአንዳንድ ጉዳዮች ከ AppArmor ጋር ተመሳሳይ እና ብዙ ጊዜ ከእሱ ጋር ይነፃፀራል። SELinux በኃይል፣ በተለዋዋጭነት እና በቅጣት ከAppArmor ይበልጣል። የእሱ ጉዳቶች ረጅም እድገት እና ውስብስብነት መጨመር ናቸው.

ሴክኮምፕ እና seccomp-bpf የስርዓት ጥሪዎችን እንዲያጣሩ ይፈቅድልዎታል፣ ለስር ስርዓተ ክወና አደገኛ ሊሆኑ የሚችሉትን እና ለመደበኛ የተጠቃሚ አፕሊኬሽኖች ስራ የማያስፈልጉትን አፈፃፀም ያግዱ። ሴክኮም በአንዳንድ መንገዶች ፋልኮ ጋር ተመሳሳይ ነው፣ ምንም እንኳን የመያዣዎችን ዝርዝር ሁኔታ ባያውቅም።

Sysdig ክፍት ምንጭ

• የድር ጣቢያ: www.sysdig.com/opensource
• ፍቃድ፡ ነጻ (Apache)

Sysdig የሊኑክስ ስርዓቶችን ለመተንተን ፣ ለመመርመር እና ለማረም የተሟላ መሳሪያ ነው (በተጨማሪም በዊንዶውስ እና ማክሮስ ላይ ይሰራል ፣ ግን በተወሰኑ ባህሪዎች)። ለዝርዝር መረጃ መሰብሰቢያ፣ ማረጋገጫ እና ፎረንሲኮች ሊያገለግል ይችላል። (ፎረንሲክስ) የመሠረት ስርዓቱ እና በላዩ ላይ የሚሄዱ ማንኛውም መያዣዎች.

Sysdig በተጨማሪም የመያዣ ፈጻሚዎችን እና የኩበርኔትስ ሜታዳታን በመደገፍ በሁሉም የተሰበሰቡ የስርዓት ባህሪ መረጃዎች ላይ ተጨማሪ ልኬቶችን እና መለያዎችን ይጨምራል። Sysdig ን በመጠቀም የኩበርኔትስ ክላስተርን ለመተንተን ብዙ መንገዶች አሉ፡በጊዜ በኩል ነጥብ መያዝ ይችላሉ። kubectl ቀረጻ ወይም ተሰኪውን በመጠቀም በነርሶች ላይ የተመሠረተ በይነተገናኝ በይነገጽ ያሂዱ kubectl ቆፍረው.

Kubernetes አውታረ መረብ ደህንነት

አፖሬቶ

• የድር ጣቢያ: www.aporeto.com
• ፈቃድ: የንግድ

አፖሬቶ "ከአውታረ መረብ እና መሠረተ ልማት የተለየ ደህንነት" ያቀርባል. ይህ ማለት የኩበርኔትስ አገልግሎቶች የአካባቢ መታወቂያ (ማለትም የServiceAccount in Kubernetes) ብቻ ሳይሆን ሁለንተናዊ መታወቂያ/አሻራም ጭምር ከማንኛውም ሌላ አገልግሎት ጋር ደህንነቱ በተጠበቀ ሁኔታ መስተጋብር ለመፍጠር የሚያገለግል ሲሆን ለምሳሌ በOpenShift ክላስተር ውስጥ።

አፖሬቶ ለኩበርኔትስ/ኮንቴይነሮች ብቻ ሳይሆን ለአስተናጋጆች፣ ለደመና ተግባራት እና ለተጠቃሚዎች ልዩ መታወቂያ ማመንጨት ይችላል። በእነዚህ ለዪዎች እና በአስተዳዳሪው በተቀመጡት የአውታረ መረብ ደህንነት ደንቦች ስብስብ ላይ በመመስረት ግንኙነቶች ይፈቀዳሉ ወይም ይታገዳሉ።

ካሊኮ

• የድር ጣቢያ: www.projectcalico.org
• ፍቃድ፡ ነጻ (Apache)

ካሊኮ ብዙውን ጊዜ ኮንቴይነር ኦርኬስትራውን በሚጭንበት ጊዜ ይሰራጫል, ይህም መያዣዎችን የሚያገናኝ ምናባዊ አውታረ መረብ ለመፍጠር ያስችልዎታል. ከዚህ መሰረታዊ የአውታረ መረብ ተግባር በተጨማሪ የ Calico ፕሮጀክት ከ Kubernetes አውታረ መረብ ፖሊሲዎች እና የራሱ የአውታረ መረብ ደህንነት መገለጫዎች ጋር አብሮ ይሰራል ፣የመጨረሻ ነጥብ ኤሲኤሎችን (የመዳረሻ መቆጣጠሪያ ዝርዝሮችን) እና ለመግቢያ እና ኢግሬስ ትራፊክ በማብራሪያ ላይ የተመሠረተ የአውታረ መረብ ደህንነት ህጎችን ይደግፋል።

ሲሊየም

• የድር ጣቢያ: www.cilium.io
• ፍቃድ፡ ነጻ (Apache)

ሲሊየም እንደ ኮንቴይነር ፋየርዎል ሆኖ የሚሰራ እና ለኩበርኔትስ እና ለማይክሮ ሰርቪስ የስራ ጫናዎች ተስማሚ የሆኑ የአውታረ መረብ ደህንነት ባህሪያትን ይሰጣል። ሲሊየም አዲስ የሊኑክስ ከርነል ቴክኖሎጂን ይጠቀማል BPF (በርክሌይ ፓኬት ማጣሪያ) መረጃን ለማጣራት፣ ለመቆጣጠር፣ ለማዞር እና ለማረም።

ሲሊየም ዶከር ወይም ኩበርኔትስ መለያዎችን እና ሜታዳታን በመጠቀም በመያዣ መታወቂያዎች ላይ በመመስረት የአውታረ መረብ መዳረሻ ፖሊሲዎችን ማሰማራት ይችላል። ሲሊየም እንደ HTTP ወይም gRPC ያሉ የተለያዩ የንብርብሮች 7 ፕሮቶኮሎችን ይገነዘባል እና ያጣራል።

Istio

• የድር ጣቢያ: istio.io
• ፍቃድ፡ ነጻ (Apache)

ኢስቲዮ ከመድረክ ነጻ የሆነ የመቆጣጠሪያ አውሮፕላን በማሰማራት እና ሁሉንም የሚተዳደር የአገልግሎት ትራፊክ በተለዋዋጭ በሚዋቀሩ የEnvoy proxies በማዞር የአገልግሎቱን ሜሽ ፓራዲም በመተግበር በሰፊው ይታወቃል። ኢስቲዮ የተለያዩ የአውታረ መረብ ደህንነት ስትራቴጂዎችን ተግባራዊ ለማድረግ ከሁሉም ማይክሮ ሰርቪስ እና ኮንቴይነሮች የላቀ እይታ ይጠቀማል።

የኢስቲዮ አውታረመረብ ደህንነት ችሎታዎች በማይክሮ ሰርቪስ መካከል ያለውን የግንኙነት ፕሮቶኮል በራስ ሰር ወደ HTTPS ለማሻሻል ግልፅ የTLS ምስጠራን እና በተለያዩ የስራ ጫናዎች መካከል በክላስተር ውስጥ ግንኙነቶችን ለመፍቀድ/ ለመከልከል ቤተኛ የሆነ የRBAC ማረጋገጫ እና የፈቃድ ስርዓት ያካትታል።

ማስታወሻ. ትርጉምስለ ኢስቲዮ ደህንነት-ተኮር ችሎታዎች የበለጠ መረጃ ለማግኘት ይመልከቱ ይህ ጽሑፍ.

ነብር

• የድር ጣቢያ: www.tigera.io
• ፈቃድ: የንግድ

"የኩበርኔትስ ፋየርዎል" ተብሎ የሚጠራው ይህ መፍትሔ ለአውታረ መረብ ደህንነት ዜሮ-መታመን አቀራረብን ያጎላል.

ልክ እንደሌሎች የኩበርኔትስ- ቤተኛ አውታረ መረብ መፍትሄዎች፣ Tigera በክላስተር ውስጥ ያሉ የተለያዩ አገልግሎቶችን እና ነገሮችን ለመለየት በሜታዳታ ላይ ይተማመናል እና የአሂድ ጊዜ ችግርን ፈልጎ ማግኘት፣ ተከታታይነት ያለው ታዛዥነት እና የአውታረ መረብ ታይነት ለብዙ ደመና ወይም ድብልቅ ሞኖሊቲክ-የያዙ መሠረተ ልማቶች ያቀርባል።

ትሪሪም

• የድር ጣቢያ: www.aporeto.com/opensource
• ፍቃድ፡ ነጻ (Apache)

ትራይሬሜ-ኩበርኔትስ የኩበርኔትስ አውታረ መረብ ፖሊሲዎች ዝርዝር መግለጫ ቀላል እና ንጹህ ትግበራ ነው። በጣም ታዋቂው ባህሪ - ከተመሳሳይ የኩበርኔትስ አውታረመረብ ደህንነት ምርቶች በተለየ - መረቡ (ሜሽ) ለማቀናጀት ማዕከላዊ መቆጣጠሪያ አውሮፕላን አያስፈልገውም። ይህ መፍትሔው በትንሹ እንዲሰፋ ያደርገዋል. ትራይሬም ይህንን የሚያገኘው በእያንዳንዱ መስቀለኛ መንገድ ላይ በቀጥታ ከአስተናጋጁ TCP/IP ቁልል ጋር የሚገናኝ ወኪል በመጫን ነው።

ምስል ስርጭት እና ሚስጥራዊ አስተዳደር

Grafeas

• የድር ጣቢያ: graphas.io
• ፍቃድ፡ ነጻ (Apache)

Grafeas የሶፍትዌር አቅርቦት ሰንሰለትን ለመመርመር እና ለማስተዳደር ክፍት ምንጭ ኤፒአይ ነው። በመሰረታዊ ደረጃ ግራፌስ ሜታዳታ እና የኦዲት ውጤቶችን ለመሰብሰብ መሳሪያ ነው። በድርጅት ውስጥ ከደህንነት ምርጥ ልምዶች ጋር መጣጣምን ለመከታተል ጥቅም ላይ ሊውል ይችላል።

ይህ የተማከለ የእውነት ምንጭ የሚከተሉትን ጥያቄዎች ለመመለስ ይረዳል፡-

• አንድ ኮንቴይነር ሰብስቦ የፈረመው ማነው?
• ሁሉንም የደህንነት ስካነሮች እና የደህንነት ፖሊሲ ፍተሻዎችን አልፏል? መቼ ነው? ውጤቱስ ምን ነበር?
• ማን ነው ወደ ምርት ያሰማራው? በማሰማራት ወቅት ምን አይነት መለኪያዎች ጥቅም ላይ ውለዋል?

ወደ ውስጥ

• የድር ጣቢያ: ውስጥ-toto.github.io
• ፍቃድ፡ ነጻ (Apache)

In-toto ለጠቅላላው የሶፍትዌር አቅርቦት ሰንሰለት ታማኝነት፣ ማረጋገጫ እና ኦዲት ለማቅረብ የተነደፈ ማዕቀፍ ነው። In-toto ወደ መሠረተ ልማት ሲዘረጋ በመጀመሪያ የቧንቧ መስመር ውስጥ ያሉትን የተለያዩ ደረጃዎች (ማከማቻ, CI/CD መሳሪያዎች, QA መሳሪያዎች, አርቲፊክ ገንቢዎች, ወዘተ) እና ተጠቃሚዎች (ተጠያቂዎች) የተፈቀደላቸውን የሚገልጽ እቅድ ይገለጻል. አስጀምራቸው።

ውስጠ-ቶቶ በሰንሰለቱ ውስጥ ያለው እያንዳንዱ ተግባር በትክክል የሚሠራው በተፈቀደላቸው ሰዎች ብቻ መሆኑን እና በእንቅስቃሴው ወቅት በምርቱ ላይ ያልተፈቀዱ ማጭበርበሮች እንዳልተደረጉ በማረጋገጥ የእቅዱን አፈፃፀም ይቆጣጠራል።

ፖርቲሪስ

• የድር ጣቢያ: github.com/IBM/porteris
• ፍቃድ፡ ነጻ (Apache)

ፖርቲሪስ ለ Kubernetes የመግቢያ መቆጣጠሪያ ነው; የይዘት እምነት ፍተሻዎችን ለማስፈጸም ያገለግላል። ፖርቲሪስ አገልጋዩን ይጠቀማል Notary (ስለ እሱ መጨረሻ ላይ ጽፈናል ይህ ዓምድ - በግምት ትርጉም) የታመኑ እና የተፈረሙ ቅርሶችን (ማለትም፣ የጸደቁ የመያዣ ምስሎች) ለማረጋገጥ እንደ እውነት ምንጭ።

በ Kubernetes ውስጥ የስራ ጫና ሲፈጥሩ ወይም ሲቀይሩ ፖርቲሪስ ለተጠየቁት የመያዣ ምስሎች የፊርማ መረጃ እና የይዘት እምነት ፖሊሲን ይጭናል እና አስፈላጊ ከሆነ በኤፒአይ JSON ነገር ላይ የተፈረሙትን የምስሎቹን ስሪቶች ለማስኬድ ለውጦችን ያደርጋል።

Vault

• የድር ጣቢያ: www.vaultproject.io
• ፍቃድ፡ ነጻ (MPL)

ቮልት ሚስጥራዊነት ያለው መረጃ ለማከማቸት ደህንነቱ የተጠበቀ መፍትሄ ነው፡ የይለፍ ቃሎች፣ OAuth tokens፣ PKI የምስክር ወረቀቶች፣ የመዳረሻ አካውንቶች፣ የኩበርኔትስ ሚስጥሮች እና ሌሎችም። ቮልት ብዙ የላቁ ባህሪያትን ይደግፋል፣ ለምሳሌ ጊዜያዊ የደህንነት ምልክቶችን መከራየት ወይም የቁልፍ ማሽከርከርን ማደራጀት።

የሄልም ቻርትን በመጠቀም ቮልት እንደ የኋለኛ ማከማቻ ከቆንስል ጋር በኩበርኔትስ ክላስተር ውስጥ እንደ አዲስ ማሰማራት ይቻላል። እንደ ServiceAccount ቶከኖች ያሉ ቤተኛ የኩበርኔትስ ሃብቶችን ይደግፋል እና እንደ ነባሪው የ Kubernetes ሚስጥራዊ መደብር መስራት ይችላል።

ማስታወሻ. ትርጉም: በነገራችን ላይ ልክ ትላንትና, ቮልትን የሚያዳብር HashiCorp, Kubernetes ውስጥ Vault ን ለመጠቀም አንዳንድ ማሻሻያዎችን አስታውቋል, እና በተለይም ከሄልም ቻርት ጋር ይዛመዳሉ. ዝርዝሩን ያንብቡ የገንቢ ብሎግ.

Kubernetes የደህንነት ኦዲት

ኩቤ-ቤንች

• የድር ጣቢያ: github.com/aquasecurity/kube-bench
• ፍቃድ፡ ነጻ (Apache)

Kube-bench ኩበርኔትስ ከዝርዝር ውስጥ ሙከራዎችን በማካሄድ ደህንነቱ በተጠበቀ ሁኔታ መጫኑን የሚያረጋግጥ የGo መተግበሪያ ነው። CIS Kubernetes ቤንችማርክ.

ኩቤ-ቤንች በክላስተር ክፍሎች (ወዘተ፣ ኤፒአይ፣ ተቆጣጣሪ አስተዳዳሪ፣ ወዘተ)፣ አጠያያቂ የሆኑ የፋይል ፍቃዶችን፣ ደህንነታቸው ያልተጠበቁ መለያዎች ወይም ክፍት ወደቦች፣ የግብዓት ኮታዎች፣ ከDoS ጥቃቶች ለመከላከል የኤፒአይ የጥሪ ገደብ ቅንጅቶችን፣ ወዘተ መካከል ደህንነቱ ያልተጠበቀ ውቅር ቅንብሮችን ይፈልጋል።

ኩቤ-አዳኝ

• የድር ጣቢያ: github.com/aquasecurity/kube-hunter
• ፍቃድ፡ ነጻ (Apache)

ኩቤ-አዳኝ በ Kubernetes ስብስቦች ውስጥ ሊሆኑ የሚችሉ ተጋላጭነቶችን (እንደ የርቀት ኮድ ማስፈጸሚያ ወይም መረጃን ይፋ ማድረግ) "ያድናል"። ኩቤ-አዳኝ እንደ የርቀት ስካነር ሊሠራ ይችላል - በዚህ ሁኔታ ክላስተርን ከሶስተኛ ወገን አጥቂ እይታ - ወይም በክላስተር ውስጥ እንደ ፖድ ይገመግማል።

የኩቤ-አዳኝ ልዩ ባህሪ የ"ንቁ አደን" ሁነታ ሲሆን በዚህ ጊዜ ችግሮችን ሪፖርት ማድረግ ብቻ ሳይሆን በዒላማ ክላስተር ውስጥ የሚገኙትን አሠራሩን ሊጎዱ የሚችሉ ተጋላጭነቶችን ለመጠቀም ይሞክራል። ስለዚህ በጥንቃቄ ይጠቀሙ!

Kubeaudit

• የድር ጣቢያ: github.com/Shopify/kubeaudit
• ፍቃድ፡ ነጻ (MIT)

Kubeaudit ለተለያዩ የደህንነት ጉዳዮች የእርስዎን Kubernetes ውቅር ኦዲት ለማድረግ በመጀመሪያ በShopify የተሰራ የኮንሶል መሳሪያ ነው። ለምሳሌ፣ ያለልዩነት የሚሰሩ፣ እንደ ስር የሚሰሩ፣ ልዩ መብቶችን የሚጠቀሙ ወይም ነባሪውን የአገልግሎት መለያ የሚጠቀሙ መያዣዎችን ለመለየት ይረዳል።

Kubeaudit ሌሎች አስደሳች ገጽታዎችም አሉት። ለምሳሌ፣ የአካባቢ YAML ፋይሎችን መተንተን፣ ወደ የደህንነት ጉዳዮች ሊመሩ የሚችሉ የውቅረት ጉድለቶችን መለየት እና በራስ-ሰር ማስተካከል ይችላል።

ኩቤሴክ

• የድር ጣቢያ: kubesec.io
• ፍቃድ፡ ነጻ (Apache)

ኩቤሴክ በደህንነት ላይ ተጽዕኖ ሊያሳድሩ የሚችሉ ደካማ ቅንብሮችን በቀጥታ የ Kubernetes ሪሶርስ YAML ፋይሎችን በመቃኘት ልዩ ነው።

ለምሳሌ፣ ለፖድ የተሰጡ ከመጠን ያለፈ ልዩ መብቶችን እና ፍቃዶችን፣ መያዣን እንደ ነባሪ ተጠቃሚ ስር በማስኬድ፣ ከአስተናጋጁ የአውታረ መረብ ስም ቦታ ጋር መገናኘት ወይም እንደ አደገኛ ጋራዎች መለየት ይችላል። /proc አስተናጋጅ ወይም Docker ሶኬት. ሌላው የኩቤሴክ አስደሳች ባህሪ YAML ን መስቀል እና ወዲያውኑ መተንተን የምትችልበት የመስመር ላይ ማሳያ አገልግሎት ነው።

የፖሊሲ ወኪል ክፈት

• የድር ጣቢያ: www.openpolicyagent.org
• ፍቃድ፡ ነጻ (Apache)

የኦፒኤ (ክፍት የፖሊሲ ወኪል) ጽንሰ-ሀሳብ የደህንነት ፖሊሲዎችን እና የደህንነት ምርጥ ልምዶችን ከአንድ የተወሰነ የሩጫ መድረክ መለየት ነው-Docker, Kubernetes, Mesosphere, OpenShift, ወይም ማንኛውም የእነሱ ጥምረት.

ለምሳሌ፣ የደህንነት ውሳኔዎችን ለእሱ በመስጠት OPAን ለ Kubernetes መግቢያ ተቆጣጣሪ እንደ ደጋፊ ማሰማራት ይችላሉ። በዚህ መንገድ የኦፒኤ ወኪል የተገለጹትን የደህንነት መለኪያዎች መከበራቸውን በማረጋገጥ በበረራ ላይ ጥያቄዎችን መፈተሽ፣ መካድ እና እንዲያውም ማስተካከል ይችላል። በ OPA ውስጥ ያሉት የደህንነት ፖሊሲዎች የተፃፉት በራሱ DSL፣ Rego ነው።

ማስታወሻ. ትርጉምስለ OPA (እና SPIFFE) በ ውስጥ የበለጠ ጽፈናል። ይህ ነገር.

አጠቃላይ የንግድ Kubernetes ደህንነት ትንተና መሣሪያዎች

ለንግድ መድረኮች የተለየ ምድብ ለመፍጠር ወሰንን, ምክንያቱም በአንድ ጊዜ ብዙ የደህንነት ቦታዎችን ይሸፍናሉ. የችሎታዎቻቸውን አጠቃላይ ሀሳብ ከጠረጴዛው ማግኘት ይቻላል-

* የላቀ እውቀት እና የድህረ ሞት ትንታኔ ከተሟላ የስርዓት ጥሪ መቅረጽ.

የውሃ ደህንነት

• የድር ጣቢያ: www.aquasec.com
• ፈቃድ: የንግድ

ይህ የንግድ መሳሪያ የተዘጋጀው ለመያዣዎች እና ለደመና የስራ ጫናዎች ነው። ያቀርባል፡-

• የምስል ቅኝት ከእቃ መመዝገቢያ ወይም ከ CI / ሲዲ ቧንቧ መስመር ጋር የተዋሃደ;
• በመያዣዎች ውስጥ ለውጦችን እና ሌሎች አጠራጣሪ እንቅስቃሴዎችን በመፈለግ የአሂድ ጊዜ ጥበቃ;
• ቤተኛ መያዣ ፋየርዎል;
• በደመና አገልግሎቶች ውስጥ አገልጋይ አልባ ደህንነት;
• ማክበር እና ኦዲት ከክስተት ምዝግብ ማስታወሻ ጋር ተጣምሮ።

ማስታወሻ. ትርጉም: እንዳሉም ልብ ሊባል የሚገባው ጉዳይ ነው። የተጠራው ምርት ነፃ አካል ማይክሮስካነር, ይህም የመያዣ ምስሎችን ለተጋላጭነት ለመቃኘት ያስችልዎታል. ባህሪያቱን ከሚከፈልባቸው ስሪቶች ጋር ማወዳደር በ ውስጥ ቀርቧል ይህ ጠረጴዛ.

ካፕሱል8

• የድር ጣቢያ: capsule8.com
• ፈቃድ: የንግድ

Capsule8 መፈለጊያውን በአካባቢያዊ ወይም በCloud Kubernetes ክላስተር ውስጥ በመትከል ወደ መሠረተ ልማት ይዋሃዳል. ይህ ማወቂያ አስተናጋጅ እና የአውታረ መረብ ቴሌሜትሪ ይሰበስባል, ከተለያዩ ጥቃቶች ጋር ያዛምዳል.

የ Capsule8 ቡድን ትኩስ በመጠቀም ጥቃቶችን አስቀድሞ ለማወቅ እና ለመከላከል ቁርጠኛ ነው። (0-ቀን) ድክመቶች. Capsule8 አዲስ ለተገኙ ስጋቶች እና የሶፍትዌር ተጋላጭነቶች ምላሽ ለመስጠት የተሻሻሉ የደህንነት ደንቦችን በቀጥታ ወደ ጠቋሚዎች መስቀል ይችላል።

ካቪሪን

• የድር ጣቢያ: www.cavirin.com
• ፈቃድ: የንግድ

ካቪሪን ከተለያዩ የደህንነት ደረጃዎች ኤጀንሲዎች ጋር እንደ ኩባንያ ይሠራል. ምስሎችን መፈተሽ ብቻ ሳይሆን ከሲአይ/ሲዲ ቧንቧ መስመር ጋር ሊዋሃድ ስለሚችል የማያሟሉ ምስሎችን ወደ ግል ማከማቻዎች ከመግባታቸው በፊት ማገድ ይችላል።

የCavirin Security Suite የሳይበር ደህንነት ሁኔታን ለመገምገም የማሽን መማርን ይጠቀማል፣ደህንነትን እንዴት መጨመር እና የደህንነት ተገዢነትን ማሻሻል ላይ ምክር ይሰጣል።

የጉግል ክላውድ ደህንነት ትዕዛዝ ማእከል

• የድር ጣቢያ: cloud.google.com/security-command-center
• ፈቃድ: የንግድ

የክላውድ ሴኪዩሪቲ ትዕዛዝ ማእከል የደህንነት ቡድኖች ኩባንያውን ከመጉዳቱ በፊት መረጃዎችን እንዲሰበስቡ፣ ስጋቶችን እንዲለዩ እና እንዲያስተካክሏቸው ይረዳል።

ስሙ እንደሚያመለክተው ጎግል ክላውድ ኤስ.ሲ.ሲ የተለያዩ የደህንነት ሪፖርቶችን፣ የንብረት መከታተያ ሞተሮችን እና የሶስተኛ ወገን የደህንነት ስርዓቶችን ከአንድ የተማከለ ምንጭ ማቀናጀት እና ማስተዳደር የሚችል የተዋሃደ የቁጥጥር ፓነል ነው።

በGoogle ክላውድ ኤስ.ሲ.ሲ የሚቀርበው በይነተገናኝ ኤፒአይ ከተለያዩ ምንጮች እንደ Sysdig Secure (የክላውድ ተወላጅ አፕሊኬሽኖች የመያዣ ደህንነት) ወይም ፋልኮ (የክፍት ምንጭ የሩጫ ጊዜ ደህንነት) ያሉ የደህንነት ክስተቶችን ውህደት ያመቻቻል።

የተነባበረ ግንዛቤ (Qualys)

• የድር ጣቢያ: Layeredinsight.com
• ፈቃድ: የንግድ

Layered Insight (አሁን የ Qualys Inc አካል) የተገነባው በ"የተከተተ ደህንነት" ጽንሰ-ሀሳብ ነው። ስታትስቲካዊ ትንተና ዘዴዎችን በመጠቀም ለተጋላጭነት ዋናውን ምስል ከቃኘ እና CVE ቼኮችን ካደረገ በኋላ Layered Insight በሁለትዮሽ መልክ ወኪልን ባካተተ በመሳሪያ በተሰራ ምስል ይተካዋል።

ይህ ወኪል የመያዣ ኔትወርክ ትራፊክን፣ የአይ/ኦ ፍሰቶችን እና የመተግበሪያ እንቅስቃሴን ለመተንተን የአሂድ ጊዜ ደህንነት ሙከራዎችን ይዟል። በተጨማሪም, በመሠረተ ልማት አስተዳዳሪው ወይም በዴቭኦፕስ ቡድኖች የተገለጹ ተጨማሪ የደህንነት ፍተሻዎችን ሊያደርግ ይችላል.

ኒውቬክተር

• የድር ጣቢያ: neuvector.com
• ፈቃድ: የንግድ

NeuVector የአውታረ መረብ እንቅስቃሴን እና የመተግበሪያ ባህሪን በመተንተን የመያዣ ደህንነት ፍተሻዎችን እና የአሂድ ጊዜ ጥበቃን ያከናውናል፣ ለእያንዳንዱ መያዣ የግለሰብ የደህንነት መገለጫ ይፈጥራል። የአካባቢያዊ ፋየርዎል ደንቦችን በማሻሻል አጠራጣሪ እንቅስቃሴዎችን በማግለል ማስፈራሪያዎችን በራሱ ማገድ ይችላል።

የሴኪዩሪቲ ሜሽ በመባል የሚታወቀው የኒውቬክተር አውታረ መረብ ውህደት በአገልግሎት ጥልፍልፍ ውስጥ ያሉትን ሁሉንም የአውታረ መረብ ግንኙነቶች ጥልቅ የፓኬት ፍተሻ እና ንብርብር 7 የማጣራት ችሎታ አለው።

ስቴክሮክስ

• የድር ጣቢያ: www.stackrox.com
• ፈቃድ: የንግድ

የStackRox ኮንቴይነር ደህንነት መድረክ ዓላማው የኩበርኔትስ አፕሊኬሽኖችን በጥቅል ውስጥ ያለውን የሕይወት ዑደት ለመሸፈን ነው። ልክ በዚህ ዝርዝር ውስጥ እንዳሉት ሌሎች የንግድ መድረኮች፣ StackRox በኮንቴይነር ባህሪ ላይ የተመሰረተ የሩጫ ጊዜ ፕሮፋይል ያመነጫል እና በማንኛውም ልዩነት ላይ በራስ-ሰር ማንቂያ ያስነሳል።

በተጨማሪም StackRox የመያዣ ተገዢነትን ለመገምገም CIS Kubernetes እና ሌሎች የመመሪያ መጽሃፎችን በመጠቀም የኩበርኔትስ አወቃቀሮችን ይመረምራል።

Sysdig ደህንነቱ የተጠበቀ

• የድር ጣቢያ: sysdig.com/products/ደህንነቱ የተጠበቀ
• ፈቃድ: የንግድ

Sysdig Secure በመያዣው እና በኩበርኔትስ የህይወት ዑደት ውስጥ አፕሊኬሽኖችን ይጠብቃል። እሱ ምስሎችን ይቃኛል መያዣዎች, ያቀርባል የሩጫ ጊዜ ጥበቃ በማሽን ትምህርት መሰረት ወንጀልን ይፈጽማል። ተጋላጭነቶችን ለመለየት ፣ ዛቻዎችን ይከላከላል ፣ ይቆጣጠራል ከተቀመጡት ደረጃዎች ጋር መጣጣም እና በማይክሮ ሰርቪስ ውስጥ ያለውን እንቅስቃሴ ይመረምራል።

Sysdig Secure እንደ ጄንኪንስ ካሉ የሲአይ/ሲዲ መሳሪያዎች ጋር ያዋህዳል እና ከዶከር መዝገቦች የተጫኑ ምስሎችን ይቆጣጠራል፣ አደገኛ ምስሎች በምርት ላይ እንዳይታዩ ይከላከላል። እንዲሁም የሚከተሉትን ጨምሮ አጠቃላይ የሩጫ ጊዜ ደህንነትን ይሰጣል፡-

• በኤምኤል ላይ የተመሰረተ የአሂድ ጊዜ መገለጫ እና ያልተለመደ መለየት;
• በስርዓት ክስተቶች፣ K8s-audit API፣ የጋራ ማህበረሰብ ፕሮጀክቶች (FIM - የፋይል ታማኝነት ክትትል፣ ክሪፕቶጃኪንግ) እና ማዕቀፍ ላይ የተመሰረቱ የአሂድ ጊዜ ፖሊሲዎች MITER ATT&CK;
• ምላሽ እና ክስተቶችን ማስወገድ.

የሚፈቀደው የኮንቴይነር ደህንነት

• የድር ጣቢያ: www.tenable.com/products/tenable-io/container-security
• ፈቃድ: የንግድ

ኮንቴይነሮች ከመምጣታቸው በፊት፣ Tenable በኢንዱስትሪው ውስጥ ታዋቂ የተጋላጭነት ፍለጋ እና የደህንነት ኦዲት መሳሪያ ነስሰስን ያዘጋጀው ኩባንያ በመባል ይታወቅ ነበር።

Tenable Container Security የኩባንያውን የኮምፒዩተር ደህንነት ዕውቀት CI/CD ቧንቧን ከተጋላጭ የውሂብ ጎታዎች፣ ልዩ የማልዌር ማወቂያ ፓኬጆች እና የደህንነት ምክሮች ጋር ለማዋሃድ ይጠቀማል።

Twistlock (Palo Alto Networks)

• የድር ጣቢያ: www.twistlock.com
• ፈቃድ: የንግድ

Twistlock እራሱን እንደ የደመና አገልግሎቶች እና መያዣዎች ላይ ያተኮረ መድረክ አድርጎ ያስተዋውቃል። Twistlock የተለያዩ የደመና አቅራቢዎችን (AWS፣ Azure፣ GCP)፣ የመያዣ ኦርኬስትራዎችን (Kubernetes፣ Mesospehere፣ OpenShift፣ Docker)፣ አገልጋይ አልባ የሩጫ ጊዜዎችን፣ የሜሽ ማዕቀፎችን እና የCI/CD መሳሪያዎችን ይደግፋል።

ከተለመዱት የድርጅት ደረጃ የደህንነት ዘዴዎች እንደ ሲአይ/ሲዲ የቧንቧ መስመር ውህደት ወይም ምስል መቃኘት፣Twistlock በማሽን መማሪያ በመጠቀም ኮንቴነር-ተኮር የባህሪ ቅጦችን እና የአውታር ደንቦችን ይፈጥራል።

ከተወሰነ ጊዜ በፊት Twistlock የEvident.io እና RedLock ፕሮጀክቶች ባለቤት በሆነው በፓሎ አልቶ አውታረ መረቦች ተገዝቷል። እነዚህ ሶስት መድረኮች በትክክል እንዴት እንደሚዋሃዱ እስካሁን አልታወቀም። PRISMA ከፓሎ አልቶ.

ምርጡን የኩበርኔትስ የደህንነት መሳሪያ ካታሎግ ለመገንባት ያግዙ!

ይህንን ካታሎግ በተቻለ መጠን የተሟላ ለማድረግ እንተጋለን እና ለዚህም የእርስዎን እገዛ እንፈልጋለን! አግኙን (@sysdig) በዚህ ዝርዝር ውስጥ መካተት ያለበት ጥሩ መሳሪያ በአእምሮህ ካለህ ወይም ስህተት/ያረጀ መረጃ ካገኘህ።

እንዲሁም የእኛን መመዝገብ ይችላሉ ወርሃዊ ጋዜጣ ከደመና-ተወላጅ ሥነ-ምህዳር ዜና እና ስለ ኩበርኔትስ ደህንነት ዓለም አስደሳች ፕሮጀክቶች ታሪኮች።

PS ከተርጓሚ

በብሎጋችን ላይ ያንብቡ፡-

• «ለደህንነት ባለሙያዎች የኩበርኔትስ አውታረ መረብ ፖሊሲዎች መግቢያ";
• «ዶከር እና ኩበርኔትስ በደህንነት-ጠያቂ አካባቢዎች";
• «9 Kubernetes ደህንነት ምርጥ ልምዶች";
• «በኩበርኔትስ ውስጥ ለመጥለፍ (አይደለም) 11 መንገዶች";
• «OPA እና SPIFFE በ CNCF ለደመና መተግበሪያ ደህንነት ሁለት አዳዲስ ፕሮጀክቶች ናቸው።».

ምንጭ: hab.com