🥇33 + أدوات أمان Kubernetes

ملحوظة. ترجمة.: إذا كنت تتساءل عن مشكلات الأمان في البنية التحتية القائمة على Kubernetes ، فإن هذه النظرة العامة الممتازة من Sysdig هي نقطة انطلاق رائعة لمقدمة سريعة للحلول ذات الصلة اليوم. وهو يشمل كلا من الأنظمة المعقدة من اللاعبين المعروفين في السوق ، والمرافق الأكثر تواضعًا التي تغطي مشكلة معينة. وفي التعليقات ، يسعدنا ، كما هو الحال دائمًا ، التعرف على تجربتك في استخدام هذه الأدوات ورؤية روابط لمشاريع أخرى.

منتجات برامج الأمان Kubernetes ... هناك الكثير ، ولكل منها غرضه ونطاقه وتراخيصه.

لهذا السبب قررنا إنشاء هذه القائمة وتضمين كل من المشاريع مفتوحة المصدر والمنصات التجارية من مختلف البائعين. نأمل أن يساعدك ذلك في اختيار الأشخاص الأكثر اهتمامًا وتوجيهك في الاتجاه الصحيح بناءً على احتياجات أمان Kubernetes الخاصة بك.

مسح صور Kubernetes

مرساة

الموقع الإلكتروني: مرساة.كوم
الترخيص: مجاني (Apache) وعرض تجاري

تحلل حزمة Anchore صور الحاوية وتسمح بفحوصات الأمان بناءً على السياسات التي يحددها المستخدم.

بالإضافة إلى الفحص المعتاد لصور الحاويات بحثًا عن نقاط الضعف المعروفة من قاعدة بيانات CVE ، تقوم Anchore بإجراء العديد من عمليات الفحص الإضافية كجزء من سياسة المسح: عمليات التحقق من Dockerfile ، وبيانات الاعتماد المسربة ، وحزم لغات البرمجة المستخدمة (npm ، maven ، إلخ.) وتراخيص البرامج وغير ذلك الكثير.

واضح

الموقع الإلكتروني: coreos.com/clair (الآن تحت وصاية ريد هات)
الترخيص: مجاني (Apache)

كان Clair من أوائل المشاريع مفتوحة المصدر لمسح الصور ضوئيًا. ومن المعروف على نطاق واسع باسم الماسح الضوئي الأمني وراء Quay Image Registry. (أيضًا من CoreOS - تقريبا. ترجمة.). Clair قادر على جمع معلومات حول CVEs من مجموعة متنوعة من المصادر ، بما في ذلك قوائم الثغرات الأمنية الخاصة بتوزيع Linux والتي تحتفظ بها فرق أمان Debian أو Red Hat أو Ubuntu.

على عكس Anchore ، يركز Clair بشكل أساسي على العثور على نقاط الضعف ومطابقة البيانات مع CVE. ومع ذلك ، يوفر المنتج للمستخدمين بعض الخيارات لتوسيع الوظائف من خلال برامج تشغيل المكونات الإضافية.

Dagda

الموقع الإلكتروني: github.com/eliasgranderubio/dagda
الترخيص: مجاني (Apache)

يحلل Dagda بشكل ثابت صور الحاويات بحثًا عن نقاط الضعف المعروفة وأحصنة طروادة والفيروسات والبرامج الضارة والتهديدات الأخرى.

تختلف حزمة Dagda عن الأدوات المماثلة الأخرى بطريقتين بارزتين:

يتكامل بشكل جيد مع كلاماف، ليس فقط كأداة لفحص صور الحاويات ، ولكن أيضًا كأداة لمكافحة الفيروسات.
يوفر أيضًا حماية وقت التشغيل من خلال تلقي أحداث في الوقت الفعلي من Docker daemon والتكامل مع Falco (انظر أدناه) لجمع الأحداث الأمنية أثناء تشغيل الحاوية.

KubeXray

الموقع الإلكتروني: github.com/jfrog/kubexray
الترخيص: مجاني (Apache) ، لكنه يتطلب بيانات من JFrog Xray (منتج تجاري)

يستمع KubeXray للأحداث من خادم Kubernetes API ويستخدم البيانات الوصفية من JFrog Xray لضمان أن البودات التي تطابق السياسة الحالية فقط هي التي تبدأ.

لا تقوم KubeXray فقط بتدقيق الحاويات الجديدة أو المحدثة في عمليات النشر (على غرار وحدة التحكم في الدخول في Kubernetes) ، بل تقوم أيضًا بفحص الحاويات قيد التشغيل ديناميكيًا للامتثال لسياسات الأمان الجديدة ، وإزالة الموارد التي تشير إلى الصور المعرضة للخطر.

سنيك

الموقع الإلكتروني: snyk.io
الترخيص: مجاني (Apache) وإصدارات تجارية

Snyk هو ماسح غير عادي للثغرات الأمنية بمعنى أنه يستهدف على وجه التحديد عملية التطوير ويتم الترويج له على أنه "حل أساسي" للمطورين.

يتصل Snyk مباشرة بمستودعات الكود ، ويحلل بيان المشروع ، ويوزع الكود المستورد جنبًا إلى جنب مع التبعيات المباشرة وغير المباشرة. يدعم Snyk العديد من لغات البرمجة الشائعة ويمكنه اكتشاف مخاطر الترخيص المخفية.

تافه

الموقع الإلكتروني: github.com/knqyf263/trivy
الترخيص: مجاني (AGPL)

Trivy عبارة عن أداة فحص بسيطة لكنها قوية لنقاط الضعف في الحاوية والتي تتكامل بسهولة في خط أنابيب CI / CD. ميزته الرائعة هي سهولة التثبيت والتشغيل: يتكون التطبيق من ثنائي واحد ولا يتطلب تثبيت قاعدة بيانات أو مكتبات إضافية.

الجانب السلبي لبساطة Trivy هو أنه عليك معرفة كيفية تحليل نتائج JSON وإرسالها حتى تتمكن أدوات أمان Kubernetes الأخرى من استخدامها.

أمان وقت التشغيل في Kubernetes

فالكو

الموقع الإلكتروني: falco.org
الترخيص: مجاني (Apache)

Falco عبارة عن مجموعة من الأدوات لتأمين أوقات التشغيل السحابية. جزء من عائلة المشروع CNCF.

باستخدام مجموعة أدوات Sysdig للعمل على مستوى Linux kernel واستدعاءات نظام التنميط ، يتيح لك Falco الغوص بعمق في سلوك النظام. محرك قواعد وقت التشغيل الخاص به قادر على اكتشاف النشاط المشبوه في التطبيقات والحاويات والمضيف الأساسي ومنظم Kubernetes.

توفر Falco شفافية كاملة في تشغيل وقت التشغيل واكتشاف التهديدات من خلال تعيين وكلاء خاصين على عقد Kubernetes لهذا الغرض. نتيجة لذلك ، ليست هناك حاجة لتعديل الحاويات عن طريق حقن رمز طرف ثالث فيها أو تعليق حاويات جانبية.

أطر عمل أمان Linux لوقت التشغيل

هذه الأطر ، الأصلية في Linux kernel ، ليست "أدوات أمان Kubernetes" بالمعنى المعتاد ، ولكنها تستحق الذكر لأنها عنصر مهم في سياق أمان وقت التشغيل ، والذي تم تضمينه في Kubernetes Pod Security Policy (PSP) .

AppArmor إرفاق ملف تعريف أمان بالعمليات التي تعمل في حاوية ، وتحديد امتيازات نظام الملفات ، وقواعد الوصول إلى الشبكة ، وربط المكتبات ، وما إلى ذلك. إنه نظام يعتمد على التحكم الإلزامي في الوصول (MAC). بمعنى آخر ، يمنع تنفيذ الأعمال المحظورة.

Linux المحسّن أمنيًا (SELinux) هي وحدة أمان متقدمة في Linux kernel ، تشبه في بعض النواحي AppArmor وغالبًا ما تتم مقارنتها بها. تتفوق SELinux على AppArmor من حيث القوة والمرونة والبراعة. عيوبه هي التطوير الطويل وزيادة التعقيد.

سيكومب و seccomp-bpf يسمح لك بتصفية مكالمات النظام ، وحظر تنفيذ تلك التي يحتمل أن تكون خطرة على نظام التشغيل الأساسي وليست ضرورية للتشغيل العادي لتطبيقات المستخدم. يشبه Seccomp Falco في بعض النواحي ، على الرغم من أنه لا يعرف تفاصيل الحاويات.

Sysdig مفتوح المصدر

الموقع الإلكتروني: www.sysdig.com/opensource
الترخيص: مجاني (Apache)

Sysdig هي أداة كاملة لتحليل وتشخيص وتصحيح أنظمة Linux (تعمل أيضًا على Windows و macOS ، ولكن مع ميزات محدودة). يمكن استخدامه لجمع المعلومات التفصيلية والتحقق والطب الشرعي (التحاليل الجنائية) النظام الأساسي وأي حاويات تعمل عليه.

يدعم Sysdig أيضًا الملفات التنفيذية للحاويات وبيانات Kubernetes الوصفية ، مما يضيف أبعادًا وتسميات إضافية إلى جميع معلومات سلوك النظام التي تم جمعها. هناك عدة طرق لتحليل مجموعة Kubernetes باستخدام Sysdig: يمكنك التقاط نقطة في الوقت المناسب عبر التقاط kubectl أو قم بتشغيل واجهة تفاعلية تعتمد على ncurses باستخدام البرنامج المساعد حفر kubectl.

أمان شبكة Kubernetes

أبوريتو

الموقع الإلكتروني: www.aporeto.com
الترخيص: تجاري

تقدم Aporeto "أمانًا منفصلاً عن الشبكة والبنية التحتية". هذا يعني أن خدمات Kubernetes لا تحصل فقط على معرّف محلي (أي حساب ServiceAccount في Kubernetes) ، ولكن أيضًا معرف عالمي / بصمة إصبع يمكن استخدامها للتفاعل بشكل آمن ومتبادل مع أي خدمة أخرى ، كما هو الحال في مجموعة OpenShift.

Aporeto قادر على إنشاء معرف فريد ليس فقط لـ Kubernetes / الحاويات ولكن أيضًا للمضيفين ووظائف السحابة والمستخدمين. اعتمادًا على هذه المعرفات ومجموعة قواعد أمان الشبكة التي حددها المسؤول ، سيتم السماح بالاتصالات أو حظرها.

كاليكو

الموقع الإلكتروني: www.projectcalico.org
الترخيص: مجاني (Apache)

عادةً ما يتم نشر Calico أثناء تثبيت منسق الحاوية ، والذي يسمح لك بإنشاء شبكة افتراضية تربط الحاويات. بالإضافة إلى هذه الوظيفة الأساسية للشبكات ، يعمل مشروع Calico مع سياسات شبكة Kubernetes ومجموعة ملفات تعريف أمان الشبكة الخاصة به ، ويدعم قوائم التحكم في الوصول (ACL) لنقطة النهاية (قوائم التحكم في الوصول) وقواعد أمان الشبكة المستندة إلى التعليقات التوضيحية لحركة مرور الدخول والخروج.

كيليوم

الموقع الإلكتروني: www.cilium.io
الترخيص: مجاني (Apache)

يعمل Cilium كجدار حماية للحاوية ويوفر ميزات أمان للشبكة تم تكييفها أصلاً مع أحمال عمل Kubernetes والخدمات المصغرة. تستخدم Cilium تقنية Linux kernel جديدة تسمى BPF (Berkeley Packet Filter) لتصفية البيانات ومراقبتها وإعادة توجيهها وتصحيحها.

تستطيع Cilium نشر سياسات الوصول إلى الشبكة استنادًا إلى معرفات الحاويات باستخدام تسميات Docker أو Kubernetes والبيانات الوصفية. يتفهم Cilium أيضًا ويصفي العديد من بروتوكولات الطبقة 7 مثل HTTP أو gRPC ، مما يسمح لك بتحديد مجموعة استدعاءات REST التي سيتم السماح بها بين عمليتي نشر Kubernetes ، على سبيل المثال.

Istio

الموقع الإلكتروني: istio.io
الترخيص: مجاني (Apache)

يشتهر Istio على نطاق واسع بتنفيذ نموذج شبكة الخدمة من خلال نشر مستوى تحكم مستقل عن النظام الأساسي وإعادة توجيه كل حركة مرور الخدمة المدارة من خلال وكلاء Envoy القابل للتكوين ديناميكيًا. يستفيد Istio من هذا العرض المتقدم لجميع الخدمات المصغرة والحاويات لتنفيذ استراتيجيات أمان الشبكة المختلفة.

تتضمن إمكانات أمان شبكة Istio تشفير TLS الشفاف لترقية بروتوكول الاتصال تلقائيًا بين الخدمات المصغرة إلى HTTPS ، ونظام مصادقة RBAC الأصلي ونظام التفويض للسماح / رفض الاتصال بين أحمال العمل المختلفة في مجموعة.

ملحوظة. ترجمة.: لمزيد من المعلومات حول قدرات Istio التي تركز على الأمان ، راجع هذا المقال.

تيجيرا

الموقع الإلكتروني: www.tigera.io
الترخيص: تجاري

يؤكد هذا الحل ، المسمى "جدار الحماية Kubernetes" ، على نهج عدم الثقة في أمان الشبكة.

مثل حلول الشبكات الأصلية الخاصة بـ Kubernetes ، تعتمد Tigera على البيانات الوصفية لتحديد الخدمات والكائنات المختلفة في مجموعة وتوفر اكتشاف مشكلات وقت التشغيل والامتثال المستمر ورؤية الشبكة للبنى التحتية متعددة السحابة أو البنى التحتية المتجانسة.

ثلاثية المجاذيف

الموقع الإلكتروني: www.aporeto.com/opensource
الترخيص: مجاني (Apache)

يعد Trireme-Kubernetes تطبيقًا بسيطًا ونظيفًا لمواصفات سياسات شبكة Kubernetes. الميزة الأكثر بروزًا هي أنه - على عكس منتجات أمان شبكة Kubernetes المماثلة - لا يتطلب مستوى تحكم مركزي لتنسيق الشبكة (الشبكة). هذا يجعل الحل قابل للتطوير بشكل تافه. يحقق Trireme ذلك عن طريق تثبيت وكيل على كل عقدة تتصل مباشرة بمكدس TCP / IP الخاص بالمضيف.

توزيع الصور والإدارة السرية

غرافييس

الموقع الإلكتروني: Grapheas.io
الترخيص: مجاني (Apache)

Grafeas هي واجهة برمجة تطبيقات مفتوحة المصدر لتدقيق وإدارة سلسلة توريد البرامج. على المستوى الأساسي ، تعد Grafeas أداة لجمع البيانات الوصفية ونتائج التدقيق. يمكن استخدامه لتتبع التوافق مع أفضل ممارسات الأمان في المؤسسة.

يساعد هذا المصدر المركزي للحقيقة في الإجابة على أسئلة مثل:

من قام بتجميع وتوقيع حاوية معينة؟
هل اجتازت جميع أجهزة الفحص الأمني وفحوصات سياسة الأمان؟ متى؟ ماذا كانت النتائج؟
من نشرها في الإنتاج؟ ما هي المعلمات التي تم استخدامها أثناء النشر؟

إنتوتو

الموقع الإلكتروني: in-toto.github.io
الترخيص: مجاني (Apache)

In-toto هو إطار عمل مصمم لتوفير التكامل والمصادقة والتدقيق لسلسلة توريد البرامج بأكملها. عند نشر In-toto في البنية التحتية ، يتم أولاً تحديد خطة تصف الخطوات المختلفة في خط الأنابيب (المستودع ، وأدوات CI / CD ، وأدوات ضمان الجودة ، ومنشئو القطع الأثرية ، وما إلى ذلك) والمستخدمين (الأشخاص المسؤولين) المسموح لهم بذلك. بدءهم.

يتحكم In-toto في تنفيذ الخطة من خلال التحقق من أن كل مهمة في السلسلة يتم تنفيذها بشكل صحيح فقط من قبل الموظفين المعتمدين وأنه لم يتم تنفيذ أي عمليات تلاعب غير مصرح بها مع المنتج أثناء الحركة.

بورتيريس

الموقع الإلكتروني: github.com/IBM/portieris
الترخيص: مجاني (Apache)

Portieris هو مراقب القبول لـ Kubernetes ؛ تستخدم لفرض عمليات التحقق من ثقة المحتوى. يستخدم Portieris الخادم كاتب عدل (كتبنا عنه في النهاية هذا المقال - تقريبا. ترجمة.) كمصدر للحقيقة للتحقق من صحة القطع الأثرية الموثوقة والموقعة (أي صور الحاوية المعتمدة).

عند إنشاء أو تعديل حمل عمل في Kubernetes ، يقوم Portieris بتحميل معلومات التوقيع وسياسة ثقة المحتوى لصور الحاوية المطلوبة ، وإذا لزم الأمر ، يقوم بإجراء تغييرات على كائن API JSON سريعًا لتشغيل الإصدارات الموقعة من تلك الصور.

قبو

الموقع الإلكتروني: www.vaultproject.io
الترخيص: مجاني (MPL)

يعد Vault حلاً آمنًا لتخزين المعلومات الحساسة: كلمات المرور ورموز OAuth وشهادات PKI وحسابات الوصول وأسرار Kubernetes والمزيد. يدعم Vault العديد من الميزات المتقدمة ، مثل استئجار رموز الأمان المؤقتة أو تنظيم تدوير المفتاح.

باستخدام مخطط Helm ، يمكن نشر Vault كنشر جديد في مجموعة Kubernetes مع Consul كتخزين خلفية. وهو يدعم موارد Kubernetes الأصلية مثل رموز ServiceAccount المميزة ويمكنه أيضًا العمل كمخزن Kubernetes السري الافتراضي.

ملحوظة. ترجمة.: بالمناسبة ، أعلنت HashiCorp ، التي تطور Vault ، بالأمس فقط عن بعض التحسينات لاستخدام Vault في Kubernetes ، وعلى وجه الخصوص ، تتعلق بمخطط Helm. اقرأ التفاصيل في مدونة المطور.

تدقيق أمان Kubernetes

Kube-مقاعد البدلاء

الموقع الإلكتروني: github.com/aquasecurity/kube-bench
الترخيص: مجاني (Apache)

Kube-مقاعد البدلاء هو تطبيق Go الذي يتحقق مما إذا تم نشر Kubernetes بأمان عن طريق تشغيل الاختبارات من قائمة معيار CIS Kubernetes.

يبحث Kube-bench عن إعدادات التكوين غير الآمنة بين مكونات المجموعة (إلخ ، API ، مدير وحدة التحكم ، إلخ) ، أذونات الملفات المشكوك فيها ، الحسابات غير الآمنة أو المنافذ المفتوحة ، حصص الموارد ، إعدادات حد استدعاء API للحماية من هجمات DoS ، إلخ.

كوب هنتر

الموقع الإلكتروني: github.com/aquasecurity/kube-hunter
الترخيص: مجاني (Apache)

تقوم Kube-hunter "بمطاردة" الثغرات الأمنية المحتملة (مثل تنفيذ التعليمات البرمجية عن بُعد أو الكشف عن البيانات) في مجموعات Kubernetes. يمكن تشغيل Kube-hunter كجهاز مسح ضوئي عن بُعد - وفي هذه الحالة سيقيم الكتلة من وجهة نظر مهاجم من طرف ثالث - أو كجراب داخل الكتلة.

الميزة المميزة لـ Kube-hunter هي وضع "الصيد النشط" ، حيث لا يقوم فقط بالإبلاغ عن المشاكل ، ولكنه يحاول أيضًا استغلال الثغرات الأمنية الموجودة في المجموعة المستهدفة والتي من المحتمل أن تضر بتشغيلها. لذا استخدم بحذر!

Kubeaudit

الموقع الإلكتروني: github.com/Shopify/kubeaudit
الترخيص: مجاني (MIT)

Kubeaudit هي أداة وحدة تحكم تم تطويرها في الأصل بواسطة Shopify لتدقيق تكوين Kubernetes الخاص بك لمختلف مشكلات الأمان. على سبيل المثال ، يساعد في تحديد الحاويات التي تعمل بشكل عشوائي ، أو تعمل كجذر ، أو تسيء استخدام الامتيازات ، أو تستخدم حساب ServiceAccount الافتراضي.

يحتوي Kubeaudit على ميزات أخرى مثيرة للاهتمام أيضًا. على سبيل المثال ، يمكنه تحليل ملفات YAML المحلية وتحديد عيوب التكوين التي قد تؤدي إلى مشكلات أمنية وإصلاحها تلقائيًا.

كوبيسيك

الموقع الإلكتروني: kubesec.io
الترخيص: مجاني (Apache)

Kubesec خاص لأنه يمسح مباشرة ملفات YAML لمورد Kubernetes بحثًا عن الإعدادات الضعيفة التي قد تؤثر على الأمان.

على سبيل المثال ، يمكنه اكتشاف الامتيازات والأذونات الزائدة الممنوحة لحجرة ما ، أو تشغيل حاوية مع الجذر كمستخدم افتراضي ، أو الاتصال بمساحة اسم شبكة المضيف ، أو عمليات التحميل الخطيرة مثل /proc المضيف أو مأخذ عامل ميناء. ميزة أخرى مثيرة للاهتمام لـ Kubesec هي خدمة العرض التوضيحي عبر الإنترنت حيث يمكنك تحميل YAML وتحليلها على الفور.

افتح وكيل السياسة

الموقع الإلكتروني: www.openpolicyagent.org
الترخيص: مجاني (Apache)

يتمثل مفهوم OPA (Open Policy Agent) في فصل سياسات الأمان وأفضل ممارسات الأمان عن منصة وقت تشغيل محددة: Docker أو Kubernetes أو Mesosphere أو OpenShift أو أي مجموعة منها.

على سبيل المثال ، يمكنك نشر OPA كخلفية لوحدة تحكم الدخول Kubernetes ، وتفويض قرارات الأمان إليها. وبهذه الطريقة ، سيكون وكيل OPA قادرًا على التحقق من الطلبات ورفضها وحتى تعديلها على الفور ، مما يضمن احترام معلمات الأمان المحددة. سياسات الأمان في OPA مكتوبة في DSL الخاص بها ، Rego.

ملحوظة. ترجمة.: لقد كتبنا المزيد عن OPA (و SPIFFE) في هذه المادة.

أدوات تحليل أمان Kubernetes التجارية الشاملة

قررنا إنشاء فئة منفصلة للمنصات التجارية ، لأنها تميل إلى تغطية العديد من مجالات الأمان في وقت واحد. يمكن الحصول على فكرة عامة عن قدراتهم من الجدول:

* خبرة متقدمة وتحليل ما بعد الوفاة كاملة التقاط مكالمات النظام.

اكوا سيكيورتي

الموقع الإلكتروني: www.aquasec.com
الترخيص: تجاري

تم تصميم هذه الأداة التجارية للحاويات وأعباء العمل السحابية. أنه يوفر:

مسح الصور المتكامل مع سجل الحاوية أو خط أنابيب CI / CD ؛
حماية وقت التشغيل من خلال البحث عن التغييرات في الحاويات والأنشطة المشبوهة الأخرى ؛
جدار حماية الحاوية الأصلي ؛
الأمان للخدمات السحابية بدون خادم ؛
الامتثال والتدقيق جنبًا إلى جنب مع تسجيل الأحداث.

ملحوظة. ترجمة.: ومن الجدير بالذكر أيضًا أن هناك يسمى المكون المجاني للمنتج الماسح الدقيق، والذي يسمح لك بمسح صور الحاوية بحثًا عن نقاط الضعف. يتم تقديم مقارنة بين ميزاته مع الإصدارات المدفوعة في هذا الجدول.

كبسولة 8

الموقع الإلكتروني: كبسولة8.com
الترخيص: تجاري

يتكامل Capsule8 في البنية التحتية عن طريق تثبيت الكاشف في مجموعة Kubernetes محلية أو سحابية. يجمع هذا الكاشف القياس عن بعد للمضيف والشبكة ويربطه بأنواع مختلفة من الهجمات.

يلتزم فريق Capsule8 بالكشف المبكر عن الهجمات الجديدة ومنعها (0 يوم) نقاط الضعف. يمكن لـ Capsule8 تحميل قواعد الأمان المحدثة مباشرةً إلى أجهزة الكشف استجابةً للتهديدات المكتشفة حديثًا وثغرات البرامج.

كافرين

الموقع الإلكتروني: www.cavirin.com
الترخيص: تجاري

تعمل Cavirin كطرف نظير في مختلف وكالات المعايير الأمنية. لا يمكنه مسح الصور فحسب ، بل يمكنه أيضًا الاندماج في خط أنابيب CI / CD ، مما يحظر الصور غير المتوافقة قبل دخولها إلى المستودعات الخاصة.

يستخدم Cavirin Security Suite التعلم الآلي لتقييم حالة الأمن السيبراني ، ويقدم نصائح حول كيفية زيادة الأمان وتحسين الامتثال الأمني.

مركز قيادة أمان السحابة من Google

الموقع الإلكتروني: cloud.google.com/security-command-center
الترخيص: تجاري

يساعد Cloud Security Command Center فرق الأمان في جمع البيانات وتحديد التهديدات ومعالجتها قبل أن تلحق الضرر بالشركة.

كما يوحي الاسم ، فإن Google Cloud SCC عبارة عن لوحة تحكم موحدة يمكنها دمج وإدارة تقارير الأمان المختلفة ومحركات تتبع الأصول وأنظمة الأمان التابعة لجهات خارجية من مصدر مركزي واحد.

تسهل واجهة برمجة التطبيقات القابلة للتشغيل البيني التي تقدمها Google Cloud SCC تكامل الأحداث الأمنية القادمة من مصادر مختلفة مثل Sysdig Secure (أمان الحاوية للتطبيقات السحابية الأصلية) أو Falco (أمان وقت التشغيل المفتوح المصدر).

انسايت متعدد الطبقات (Qualys)

الموقع الإلكتروني: Layeredinsight.com
الترخيص: تجاري

تم بناء Layered Insight (الآن جزء من Qualys Inc) على مفهوم "الأمان المضمن". بعد مسح الصورة الأصلية بحثًا عن نقاط الضعف باستخدام طرق التحليل الإحصائي وإجراء فحوصات مكافحة التطرف العنيف ، تستبدلها Layered Insight بصورة آلية تتضمن عاملاً في شكل ثنائي.

يحتوي هذا الوكيل على اختبارات أمان وقت التشغيل لتحليل حركة مرور شبكة الحاويات ، وتدفقات الإدخال / الإخراج ، ونشاط التطبيق. بالإضافة إلى ذلك ، يمكنه إجراء فحوصات أمنية إضافية يحددها مسؤول البنية التحتية أو فرق DevOps.

نيوفكتور

الموقع الإلكتروني: نيوفيكتور.كوم
الترخيص: تجاري

تقوم NeuVector بإجراء فحوصات أمان للحاويات وحماية وقت التشغيل من خلال تحليل نشاط الشبكة وسلوك التطبيق ، وإنشاء ملف تعريف أمان فردي لكل حاوية. يمكنه أيضًا حظر التهديدات من تلقاء نفسه عن طريق عزل النشاط المشبوه عن طريق تعديل قواعد جدار الحماية المحلي.

تكامل شبكة NeuVector ، المعروف باسم Security Mesh ، قادر على فحص الحزمة بعمق وتصفية الطبقة 7 لجميع اتصالات الشبكة في شبكة الخدمة.

ستاكروكس

الموقع الإلكتروني: www.stackrox.com
الترخيص: تجاري

تهدف منصة أمان الحاويات StackRox إلى تغطية دورة الحياة الكاملة لتطبيقات Kubernetes في مجموعة. مثل الأنظمة الأساسية التجارية الأخرى في هذه القائمة ، تنشئ StackRox ملفًا شخصيًا لوقت التشغيل بناءً على سلوك الحاوية المرصود ويطلق تلقائيًا إنذارًا بشأن أي انحرافات.

بالإضافة إلى ذلك ، تحلل StackRox تكوينات Kubernetes باستخدام CIS Kubernetes وكتب القواعد الأخرى لتقييم امتثال الحاوية.

تأمين Sysdig

الموقع الإلكتروني: sysdig.com/products/secure
الترخيص: تجاري

يحمي Sysdig Secure التطبيقات في جميع أنحاء الحاوية ودورة حياة Kubernetes. هو بمسح الصور حاويات ، يوفر حماية وقت التشغيل وفقًا للتعلم الآلي ، ينفذ الجريمة. الخبرة في تحديد نقاط الضعف ، وحظر التهديدات ، والمراقبين الامتثال للمعايير المعمول بها ونشاط التدقيق في الخدمات المصغرة.

يتكامل Sysdig Secure مع أدوات CI / CD مثل Jenkins ويتحكم في الصور المحملة من سجلات Docker ، مما يمنع الصور الخطرة من الظهور في الإنتاج. كما يوفر أمانًا شاملاً لوقت التشغيل ، بما في ذلك:

التنميط وقت التشغيل القائم على ML واكتشاف الشذوذ ؛
سياسات وقت التشغيل استنادًا إلى أحداث النظام ، وواجهة برمجة تطبيقات تدقيق K8s ، ومشاريع مجتمعية مشتركة (FIM - مراقبة سلامة الملفات ؛ cryptojacking) وإطار العمل MITER ATT & CK;
الاستجابة والقضاء على الحوادث.

أمن الحاويات القابل للاستمرار

الموقع الإلكتروني: www.tenable.com/products/tenable-io/container-security
الترخيص: تجاري

قبل ظهور الحاويات ، كانت Tenable معروفة على نطاق واسع في الصناعة بأنها الشركة التي طورت Nessus ، وهي أداة شائعة لاكتشاف نقاط الضعف وتدقيق الأمان.

يستفيد Tenable Container Security من خبرة الشركة في أمان الكمبيوتر لدمج خط أنابيب CI / CD مع قواعد بيانات الثغرات الأمنية وحزم الكشف عن البرامج الضارة المتخصصة وإرشادات الأمان.

Twistlock (شبكات بالو ألتو)

الموقع الإلكتروني: www.twistlock.com
الترخيص: تجاري

تروج Twistlock لنفسها كمنصة تركز على الخدمات السحابية والحاويات. يدعم Twistlock العديد من موفري السحابة (AWS و Azure و GCP) ومنسقي الحاويات (Kubernetes و Mesospehere و OpenShift و Docker) وأوقات التشغيل بدون خادم وأطر الشبكة وأدوات CI / CD.

بالإضافة إلى أساليب الأمان المعتادة على مستوى المؤسسات مثل تكامل خطوط الأنابيب CI / CD أو مسح الصور ، يستخدم Twistlock التعلم الآلي لإنشاء أنماط سلوك خاصة بالحاويات وقواعد الشبكة.

منذ بعض الوقت ، تم شراء Twistlock بواسطة Palo Alto Networks ، التي تمتلك مشاريع Evident.io و RedLock. لم يُعرف بعد بالضبط كيف سيتم دمج هذه المنصات الثلاثة PRISMA من بالو ألتو.

ساعد في إنشاء أفضل كتالوج لأدوات أمان Kubernetes!

نحن نسعى جاهدين لجعل هذا الكتالوج كاملاً قدر الإمكان ، ولهذا نحتاج إلى مساعدتك! اتصل بنا (تضمين التغريدة) إذا كان لديك أداة رائعة في الاعتبار تستحق أن يتم تضمينها في هذه القائمة ، أو وجدت خطأ / معلومات قديمة.

يمكنك أيضا الاشتراك لدينا النشرة الشهرية مع أخبار النظام البيئي السحابي الأصلي وقصص حول مشاريع مثيرة للاهتمام من عالم أمان Kubernetes.

PS من المترجم

اقرأ أيضًا على مدونتنا:

المصدر: www.habr.com

33+ أدوات أمان Kubernetes

Категории