Qeyd. tərcümə.: Əgər siz Kubernetes əsaslı infrastrukturda təhlükəsizlik məsələləri ilə maraqlanırsınızsa, Sysdig-in bu əla icmalı bugünkü həllərlə sürətli tanışlıq üçün əla başlanğıc nöqtəsidir. Buraya həm tanınmış bazar oyunçularının mürəkkəb sistemləri, həm də müəyyən bir problemi əhatə edən daha sadə kommunal proqramlar daxildir. Şərhlərdə, həmişə olduğu kimi, bu vasitələrdən istifadə təcrübənizi öyrənməkdən və digər layihələrə keçidlərə baxmaqdan məmnun qalacağıq.
Kubernetes təhlükəsizlik proqram məhsulları... çoxlu sayda var və hər birinin öz məqsədi, əhatə dairəsi və lisenziyaları var.
Buna görə də biz bu siyahını yaratmağa qərar verdik və həm açıq mənbə layihələrini, həm də müxtəlif satıcıların kommersiya platformalarını daxil etdik. Ümid edirik ki, bu, ən çox maraq doğuranları seçməyə və xüsusi Kubernetes təhlükəsizlik ehtiyaclarınıza əsaslanaraq sizi düzgün istiqamətə yönəltməyə kömək edir.
Kateqoriyalar
Siyahıda naviqasiyanı asanlaşdırmaq üçün alətlər əsas funksiya və tətbiqə görə təsnif edilir. Nəticə bölmələr bunlardır:
- Kubernetes təsvirin skan edilməsi və statik analizi;
- iş vaxtı təhlükəsizliyi;
- Kubernetes şəbəkə təhlükəsizliyi;
- Şəkillərin yayılması və sirlərin idarə edilməsi;
- Kubernetes təhlükəsizlik auditi;
- Kompleks kommersiya məhsulları.
Gəlin işə keçək:
Kubernetes şəkillərinin skan edilməsi
Lövbər
- Veb səhifə:
- Lisenziya: pulsuz (Apache) və kommersiya təklifi
Anchore paketi konteyner şəkillərini təhlil edir və istifadəçi tərəfindən müəyyən edilmiş siyasətlər əsasında təhlükəsizlik yoxlamalarına imkan verir.
CVE verilənlər bazasından məlum boşluqlar üçün konteyner şəkillərinin adi skanına əlavə olaraq, Anchore skan siyasətinin bir hissəsi kimi bir çox əlavə yoxlamalar həyata keçirir: Dockerfile, sızan etimadnamələri, istifadə olunan proqramlaşdırma dillərinin paketlərini (npm, maven və s.) , proqram lisenziyaları və daha çox.
Aydın
- Veb səhifə: (indi Red Hat-ın himayəsi altında)
- Lisenziya: Pulsuz (Apache)
Clair təsvirin skan edilməsi üçün ilk Açıq Mənbə layihələrindən biri idi. Quay Image Registry-nin arxasındakı təhlükəsizlik skaneri kimi geniş tanınır. (həmçinin CoreOS-dan - təqribən. tərcümə.). Clair, Debian, Red Hat və ya Ubuntu təhlükəsizlik qrupları tərəfindən saxlanılan Linux paylanması üçün xüsusi zəifliklərin siyahıları daxil olmaqla, müxtəlif mənbələrdən CVE-lər haqqında məlumat toplaya bilir.
Anchore-dan fərqli olaraq, Clair əsasən zəifliklərin tapılmasına və CVE ilə məlumatların uyğunlaşdırılmasına diqqət yetirir. Bununla belə, məhsul istifadəçilərə plug-in drayverləri vasitəsilə funksionallığı genişləndirmək üçün bəzi seçimlər təklif edir.
Dagda
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Dagda məlum zəifliklər, troyanlar, viruslar, zərərli proqramlar və digər təhlükələr üçün konteyner şəkillərini statik olaraq təhlil edir.
Dagda paketi digər oxşar vasitələrdən iki əlamətdar şəkildə fərqlənir:
- ilə yaxşı birləşir , yalnız konteyner şəkillərini skan etmək üçün bir vasitə kimi deyil, həm də antivirus kimi fəaliyyət göstərir.
- Həmçinin Docker demonundan real vaxt hadisələri qəbul edərək və Falco ilə inteqrasiya edərək iş vaxtı qorunmasını təmin edir. (aşağıya bax) konteyner işləyərkən təhlükəsizlik hadisələrini toplamaq üçün.
KubeXray
- Veb səhifə:
- Lisenziya: pulsuz (Apache), lakin JFrog Xray-dən məlumat tələb edir (kommersiya məhsulu)
KubeXray Kubernetes API serverindən hadisələrə qulaq asır və yalnız cari siyasətə uyğun olan podların başlamasını təmin etmək üçün JFrog Xray-ın metadatasından istifadə edir.
KubeXray yalnız yerləşdirmələrdə yeni və ya yenilənmiş konteynerləri yoxlayır (Kubernetes-də qəbul nəzarətçisinə bənzər), həm də dinamik şəkildə işləyən konteynerləri yeni təhlükəsizlik siyasətlərinə uyğunluğu yoxlayır, həssas şəkillərə istinad edən resursları silir.
Snyk
- Veb səhifə:
- Lisenziya: pulsuz (Apache) və kommersiya versiyaları
Snyk qeyri-adi zəiflik skaneridir, o mənada ki, o, xüsusi olaraq inkişaf prosesini hədəfləyir və tərtibatçılar üçün "vacib həll" kimi təqdim olunur.
Snyk birbaşa kod depolarına qoşulur, layihə manifestini təhlil edir və birbaşa və dolayı asılılıqlarla birlikdə idxal edilmiş kodu təhlil edir. Snyk bir çox məşhur proqramlaşdırma dillərini dəstəkləyir və gizli lisenziya risklərini aşkar edə bilir.
Trivy
- Veb səhifə:
- Lisenziya: Pulsuz (AGPL)
Trivy, CI/CD boru kəmərinə asanlıqla inteqrasiya edən sadə, lakin güclü konteyner zəifliyi skaneridir. Onun diqqətəlayiq xüsusiyyəti quraşdırma və istismarın asanlığıdır: proqram tək binardan ibarətdir və verilənlər bazası və ya əlavə kitabxanaların quraşdırılmasını tələb etmir.
Trivy-nin sadəliyinin mənfi tərəfi ondan ibarətdir ki, digər Kubernetes təhlükəsizlik alətlərinin onlardan istifadə edə bilməsi üçün JSON nəticələrini necə təhlil edib göndərəcəyinizi başa düşməlisiniz.
Kubernetes-də iş vaxtı təhlükəsizliyi
Falco
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Falco bulud iş vaxtlarını təmin etmək üçün alətlər dəstidir. Layihə ailəsinin bir hissəsi .
Linux nüvəsi səviyyəsində işləmək və sistem zənglərini profilləşdirmək üçün Sysdig alət dəstindən istifadə edərək, Falco sizə sistemin davranışını dərindən öyrənməyə imkan verir. Onun iş vaxtı qaydaları mühərriki tətbiqlərdə, konteynerlərdə, əsas hostda və Kubernetes orkestrində şübhəli fəaliyyəti aşkar etməyə qadirdir.
Falco, bu məqsədlə Kubernetes qovşaqlarında xüsusi agentlər quraraq iş vaxtı əməliyyatında və təhlükənin aşkarlanmasında tam şəffaflığı təmin edir. Nəticədə, konteynerlərə üçüncü tərəf kodu daxil etməklə və ya yan qutuları asaraq onları dəyişdirməyə ehtiyac yoxdur.
İş vaxtı üçün Linux təhlükəsizlik çərçivələri
Linux nüvəsinə xas olan bu çərçivələr adi mənada "Kubernetes təhlükəsizlik alətləri" deyil, lakin Kubernetes Pod Təhlükəsizlik Siyasətinə (PSP) daxil olan iş vaxtı təhlükəsizliyi kontekstində mühüm element olduğu üçün qeyd olunmağa layiqdir. .
konteynerdə işləyən proseslərə təhlükəsizlik profili əlavə edir, fayl sistemi imtiyazlarını, şəbəkəyə giriş qaydalarını, kitabxanaları əlaqələndirir və s. Bu, Məcburi Giriş Nəzarətinə (MAC) əsaslanan sistemdir. Başqa sözlə, qadağan olunmuş hərəkətlərin icrasına mane olur.
Təhlükəsizliyi gücləndirilmiş Linux () bəzi xüsusiyyətlərinə görə AppArmor-a bənzəyən və tez-tez onunla müqayisə edilən Linux nüvəsindəki qabaqcıl təhlükəsizlik moduludur. SELinux güc, çeviklik və incəlik baxımından AppArmor-u üstələyir. Onun dezavantajları uzun inkişaf və artan mürəkkəblikdir.
və seccomp-bpf sizə sistem zənglərini süzgəcdən keçirməyə, əsas OS üçün potensial təhlükəli olan və istifadəçi proqramlarının normal işləməsi üçün lazım olmayanların icrasını bloklamağa imkan verir. Seccomp, konteynerlərin xüsusiyyətlərini bilməsə də, müəyyən mənada Falco-ya bənzəyir.
Sysdig açıq mənbə
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Sysdig Linux sistemlərinin təhlili, diaqnostikası və sazlanması üçün tam vasitədir (Windows və macOS-da da işləyir, lakin məhdud funksiyalarla). Bu, ətraflı məlumat toplamaq, yoxlama və məhkəmə ekspertizası üçün istifadə edilə bilər (məhkəmə) əsas sistem və onun üzərində işləyən hər hansı konteyner.
Sysdig həmçinin, bütün toplanmış sistem davranış məlumatlarına əlavə ölçülər və etiketlər əlavə edərək, konteyner icra edilə bilənləri və Kubernetes metadatasını yerli olaraq dəstəkləyir. Sysdig-dən istifadə edərək Kubernetes klasterini təhlil etməyin bir neçə yolu var: siz vasitəsilə zaman nöqtəsini çəkə bilərsiniz. və ya plaqindən istifadə edərək ncurses əsasında interaktiv interfeys işlədin .
Kubernetes şəbəkə təhlükəsizliyi
Aporeto
- Veb səhifə:
- Lisenziya: kommersiya
Aporeto "şəbəkə və infrastrukturdan ayrılmış təhlükəsizlik" təklif edir. Bu o deməkdir ki, Kubernetes xidmətləri təkcə yerli identifikator (yəni Kubernetes-də ServiceAccount) deyil, həm də OpenShift klasterində olduğu kimi istənilən digər xidmətlə təhlükəsiz və qarşılıqlı şəkildə yoxlanılan qarşılıqlı əlaqə üçün istifadə edilə bilən universal ID/Barmaq izi əldə edir.
Aporeto təkcə Kubernetes/konteynerlər üçün deyil, həm də hostlar, bulud funksiyaları və istifadəçilər üçün unikal ID yarada bilir. Bu identifikatorlardan və administrator tərəfindən müəyyən edilmiş şəbəkə təhlükəsizliyi qaydaları toplusundan asılı olaraq rabitələrə icazə veriləcək və ya bloklanacaq.
kolenkor
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Calico adətən konteyner orkestrinin quraşdırılması zamanı yerləşdirilir ki, bu da konteynerləri birləşdirən virtual şəbəkə yaratmağa imkan verir. Bu əsas şəbəkə funksionallığına əlavə olaraq, Calico layihəsi Kubernetes Şəbəkə Siyasətləri və öz şəbəkə təhlükəsizlik profilləri dəsti ilə işləyir, son nöqtə ACL-lərini (Giriş Nəzarət Siyahıları) və Giriş və Çıxış trafiki üçün annotasiya əsaslı şəbəkə təhlükəsizliyi qaydalarını dəstəkləyir.
silium
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Cilium konteyner təhlükəsizlik divarı kimi çıxış edir və Kubernetes və mikroservis iş yüklərinə yerli olaraq uyğunlaşdırılmış şəbəkə təhlükəsizliyi xüsusiyyətlərini təmin edir. Cilium məlumatları süzgəcdən keçirmək, izləmək, yönləndirmək və düzəltmək üçün BPF (Berkeley Packet Filter) adlı yeni Linux nüvəsi texnologiyasından istifadə edir.
Cilium, Docker və ya Kubernetes etiketlərindən və metadatadan istifadə edərək konteyner identifikatorlarına əsaslanan şəbəkə girişi siyasətlərini tətbiq edə bilir. Cilium həmçinin HTTP və ya gRPC kimi müxtəlif səviyyə 7 protokollarını başa düşür və süzgəcdən keçirir, məsələn, iki Kubernetes yerləşdirməsi arasında icazə veriləcək REST zəngləri dəstini müəyyən etməyə imkan verir.
İstio
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Istio, platformadan müstəqil idarəetmə müstəvisini yerləşdirmək və dinamik olaraq konfiqurasiya edilə bilən Envoy proksiləri vasitəsilə bütün idarə olunan xidmət trafikini yönləndirmək yolu ilə xidmət şəbəkəsi paradiqmasının həyata keçirilməsi ilə məşhurdur. Istio müxtəlif şəbəkə təhlükəsizliyi strategiyalarını həyata keçirmək üçün bütün mikroservislərin və konteynerlərin bu qabaqcıl görünüşündən istifadə edir.
Istio-nun şəbəkə təhlükəsizliyi imkanlarına mikroservislər arasında kommunikasiya protokolunu avtomatik olaraq HTTPS-ə təkmilləşdirmək üçün şəffaf TLS şifrələməsi və klasterdəki müxtəlif iş yükləri arasında ünsiyyətə icazə vermək/inkar etmək üçün özünün RBAC autentifikasiyası və avtorizasiya sistemi daxildir.
Qeyd. tərcümə.: İstio-nun təhlükəsizlik yönümlü imkanları haqqında ətraflı məlumat üçün baxın .
pələng
- Veb səhifə:
- Lisenziya: kommersiya
"Kubernetes firewall" adlanan bu həll şəbəkə təhlükəsizliyinə sıfır etibar yanaşmasını vurğulayır.
Digər Kubernetes-in yerli şəbəkə həlləri kimi, Tigera da klasterdəki müxtəlif xidmət və obyektləri müəyyən etmək üçün metadatadan istifadə edir və çoxlu buludlu və ya hibrid monolit konteynerli infrastrukturlar üçün icra zamanı problemlərin aşkarlanması, davamlı uyğunluq və şəbəkə görünürlüğünü təmin edir.
Trireme
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Trireme-Kubernetes, Kubernetes Şəbəkə Siyasətləri spesifikasiyasının sadə və təmiz tətbiqidir. Ən diqqətəlayiq xüsusiyyət odur ki, - oxşar Kubernetes şəbəkə təhlükəsizlik məhsullarından fərqli olaraq - o, şəbəkəni (mesh) əlaqələndirmək üçün mərkəzi idarəetmə təyyarəsini tələb etmir. Bu, həlli əhəmiyyətsiz dərəcədə genişlənə bilər. Trireme buna birbaşa hostun TCP/IP yığınına qoşulan hər bir qovşaqda agent quraşdırmaqla nail olur.
Şəklin paylanması və gizli idarə olunması
Grafeas
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Grafeas proqram təminatının tədarük zəncirinin yoxlanılması və idarə edilməsi üçün açıq mənbə API-dir. Əsas səviyyədə Grafeas metadata və audit nəticələrini toplamaq üçün bir vasitədir. O, təşkilatda təhlükəsizlik üzrə ən yaxşı təcrübələrə uyğunluğu izləmək üçün istifadə edilə bilər.
Bu mərkəzləşdirilmiş həqiqət mənbəyi kimi suallara cavab verməyə kömək edir:
- Müəyyən bir konteyneri kim yığdı və imzaladı?
- O, bütün təhlükəsizlik skanerlərindən və təhlükəsizlik siyasəti yoxlamalarından keçibmi? Nə vaxt? Nəticələr nə idi?
- Kim istehsalata yerləşdirdi? Yerləşdirmə zamanı hansı parametrlərdən istifadə olunub?
Intoto
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
In-toto bütün proqram təminatı zənciri üçün bütövlük, autentifikasiya və auditi təmin etmək üçün nəzərdə tutulmuş çərçivədir. İn-toto-nu infrastruktura yerləşdirərkən əvvəlcə boru kəmərindəki müxtəlif addımları (repozitoriya, CI/CD alətləri, QA alətləri, artefakt qurucuları və s.) və icazə verilən istifadəçiləri (məsul şəxslər) təsvir edən plan müəyyən edilir. onlara başlamaq.
In-toto zəncirdəki hər bir tapşırığın yalnız səlahiyyətli işçilər tərəfindən düzgün yerinə yetirildiyini və məhsulun hərəkəti zamanı icazəsiz manipulyasiyalara yol verilmədiyini yoxlayaraq planın icrasına nəzarət edir.
Portieris
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Portieris Kubernetes üçün qəbul nəzarətçisidir; məzmun etibar yoxlamalarını tətbiq etmək üçün istifadə olunur. Portieris serverdən istifadə edir (sonda onun haqqında yazdıq - təqribən. tərcümə.) etibarlı və imzalanmış artefaktları (yəni təsdiqlənmiş konteyner şəkillərini) təsdiqləmək üçün həqiqət mənbəyi kimi.
Kubernetes-də iş yükünü yaratdığınız və ya dəyişdirdiyiniz zaman Portieris tələb olunan konteyner şəkilləri üçün imza məlumatı və məzmun etibar siyasətini yükləyir və lazım gələrsə, həmin şəkillərin imzalanmış versiyalarını işə salmaq üçün dərhal API JSON obyektinə dəyişikliklər edir.
Sərdaba
- Veb səhifə:
- Lisenziya: pulsuz (MPL)
Vault həssas məlumatları saxlamaq üçün təhlükəsiz həlldir: parollar, OAuth tokenləri, PKI sertifikatları, giriş hesabları, Kubernetes sirləri və s. Vault bir çox qabaqcıl funksiyaları dəstəkləyir, məsələn, efemer təhlükəsizlik nişanlarının icarəsi və ya açarın fırlanmasının təşkili.
Helm diaqramından istifadə edərək Vault Kubernetes klasterində yeni yerləşdirmə kimi Konsulun arxa yaddaş kimi yerləşdirilə bilər. O, ServiceAccount tokenləri kimi yerli Kubernetes resurslarını dəstəkləyir və hətta defolt Kubernetes gizli mağazası kimi çıxış edə bilər.
Qeyd. tərcümə.: Yeri gəlmişkən, elə dünən Vault-u inkişaf etdirən HashiCorp, Kubernetes-də Vault-dan istifadə üçün bəzi təkmilləşdirmələr elan etdi və xüsusən də Helm qrafikinə aiddir. Təfərrüatları oxuyun .
Kubernetes təhlükəsizlik auditi
Kube-skamya
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Kube-bench, siyahıdan testlər keçirərək Kubernetes-in təhlükəsiz yerləşdirildiyini yoxlayan Go tətbiqidir. .
Kube-bench klaster komponentləri (və s., API, nəzarətçi meneceri və s.), şübhəli fayl icazələri, etibarlı olmayan hesablar və ya açıq portlar, resurs kvotaları, DoS hücumlarından qorunmaq üçün API zəng limiti parametrləri və s. arasında etibarsız konfiqurasiya parametrlərini axtarır.
Kube ovçusu
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Kube-hunter, Kubernetes klasterlərində potensial zəiflikləri (məsələn, uzaqdan kod icrası və ya məlumatların açıqlanması) "ovlayır". Kube-hunter uzaqdan skaner kimi işlədilə bilər - bu halda o, klasteri üçüncü tərəf təcavüzkarı nöqteyi-nəzərindən qiymətləndirəcək - və ya klaster daxilində pod kimi.
Kube-hunter-in fərqli xüsusiyyəti “aktiv ov” rejimidir ki, bu rejim zamanı o, nəinki problemlər barədə məlumat verir, həm də hədəf klasterdə tapılan və onun fəaliyyətinə potensial zərər verə biləcək zəifliklərdən istifadə etməyə çalışır. Buna görə ehtiyatla istifadə edin!
Kubeaudit
- Veb səhifə:
- Lisenziya: Pulsuz (MIT)
Kubeaudit müxtəlif təhlükəsizlik problemləri üçün Kubernetes konfiqurasiyanızı yoxlamaq üçün əvvəlcə Shopify tərəfindən hazırlanmış konsol alətidir. Məsələn, o, fərq qoymadan işləyən, kök kimi işləyən, imtiyazlardan sui-istifadə edən və ya defolt ServiceAccount istifadə edən konteynerləri müəyyən etməyə kömək edir.
Kubeaudit digər maraqlı xüsusiyyətlərə də malikdir. Məsələn, o, yerli YAML fayllarını təhlil edə, təhlükəsizlik problemlərinə səbəb ola biləcək konfiqurasiya qüsurlarını müəyyən edə və avtomatik olaraq düzəldə bilər.
Kubesec
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
Kubesec, təhlükəsizliyə təsir edə biləcək zəif parametrlər üçün Kubernetes resurs YAML fayllarını birbaşa skan etməsi ilə xüsusidir.
Məsələn, o, pod-a verilən həddindən artıq imtiyazları və icazələri, defolt istifadəçi kimi root olan konteyneri işlətməyi, hostun şəbəkə ad sahəsinə qoşulmağı və ya bu kimi təhlükəli qurğuları aşkar edə bilər. /proc host və ya Docker yuvası. Kubesec-in digər maraqlı xüsusiyyəti YAML-ni yükləyə və dərhal təhlil edə biləcəyiniz onlayn demo xidmətidir.
Açıq Siyasət Agenti
- Veb səhifə:
- Lisenziya: Pulsuz (Apache)
OPA (Açıq Siyasət Agenti) konsepsiyası təhlükəsizlik siyasətlərini və ən yaxşı təhlükəsizlik təcrübələrini xüsusi iş vaxtı platformasından ayırmaqdır: Docker, Kubernetes, Mesosphere, OpenShift və ya onların hər hansı bir kombinasiyası.
Məsələn, OPA-nı təhlükəsizlik qərarlarını ona həvalə edərək Kubernetes qəbul nəzarətçisi üçün arxa plan kimi yerləşdirə bilərsiniz. Bu yolla OPA agenti müəyyən edilmiş təhlükəsizlik parametrlərinin yerinə yetirilməsini təmin edərək sorğuları tez yoxlaya, rədd edə və hətta dəyişdirə biləcək. OPA-da təhlükəsizlik siyasətləri öz DSL, Rego-da yazılmışdır.
Qeyd. tərcümə.: OPA (və SPIFFE) haqqında daha çox yazdıq .
Hərtərəfli Kommersiya Kubernetes Təhlükəsizlik Təhlili Alətləri
Kommersiya platformaları üçün ayrıca bir kateqoriya yaratmaq qərarına gəldik, çünki onlar eyni anda bir neçə təhlükəsizlik sahəsini əhatə edir. Onların imkanları haqqında ümumi fikir cədvəldən əldə edilə bilər:
* Qabaqcıl təcrübə və tam ilə ölüm sonrası analiz .
Aqua Təhlükəsizlik
- Veb səhifə:
- Lisenziya: kommersiya
Bu kommersiya aləti konteynerlər və bulud iş yükləri üçün nəzərdə tutulub. O, təmin edir:
- Konteyner reyestri və ya CI/CD boru kəməri ilə inteqrasiya olunmuş təsvirin skan edilməsi;
- Konteynerlərdə və digər şübhəli fəaliyyətlərdə dəyişikliklərin axtarışı ilə iş vaxtının qorunması;
- Yerli konteyner təhlükəsizlik divarı;
- Bulud xidmətlərində serversizlər üçün təhlükəsizlik;
- Uyğunluq və audit hadisə qeydi ilə birlikdə.
Qeyd. tərcümə.: Onu da qeyd etmək lazımdır ki, var adlı məhsulun pulsuz komponenti , bu, boşluqlar üçün konteyner şəkillərini skan etməyə imkan verir. Onun xüsusiyyətlərinin pullu versiyalarla müqayisəsi təqdim olunur .
Kapsul 8
- Veb səhifə:
- Lisenziya: kommersiya
Capsule8 detektoru yerli və ya bulud Kubernetes klasterində quraşdıraraq infrastruktura inteqrasiya edir. Bu detektor host və şəbəkə telemetriyasını toplayır, onu müxtəlif hücum növləri ilə əlaqələndirir.
Capsule8 komandası təzədən istifadə edərək hücumların erkən aşkarlanması və qarşısının alınmasına sadiqdir (0 gün) zəifliklər. Capsule8 yeni aşkar edilmiş təhdidlərə və proqram təminatı zəifliklərinə cavab olaraq yenilənmiş təhlükəsizlik qaydalarını birbaşa detektorlara yükləyə bilər.
Kavirin
- Veb səhifə:
- Lisenziya: kommersiya
Cavirin müxtəlif təhlükəsizlik standartları agentlikləri üçün şirkət tərəfi kimi çıxış edir. O, nəinki şəkilləri skan edə, həm də CI/CD boru kəmərinə inteqrasiya edə, uyğun olmayan şəkilləri şəxsi depolara daxil olmamışdan əvvəl bloklaya bilər.
Cavirin Security Suite kibertəhlükəsizliyin vəziyyətini qiymətləndirmək üçün maşın öyrənməsindən istifadə edir, təhlükəsizliyin artırılması və təhlükəsizliyə uyğunluğun yaxşılaşdırılması üzrə məsləhətlər təklif edir.
Google Bulud Təhlükəsizliyi Komanda Mərkəzi
- Veb səhifə:
- Lisenziya: kommersiya
Bulud Təhlükəsizliyi Komanda Mərkəzi təhlükəsizlik qruplarına məlumat toplamaqda, təhdidləri müəyyən etməkdə və şirkətə zərər vurmazdan əvvəl onları aradan qaldırmaqda kömək edir.
Adından da göründüyü kimi, Google Bulud SCC vahid, mərkəzləşdirilmiş mənbədən müxtəlif təhlükəsizlik hesabatlarını, aktiv izləmə mühərriklərini və üçüncü tərəf təhlükəsizlik sistemlərini birləşdirə və idarə edə bilən vahid idarəetmə panelidir.
Google Bulud SCC tərəfindən təklif olunan qarşılıqlı fəaliyyət göstərən API Sysdig Secure (bulud-doğma tətbiqlər üçün konteyner təhlükəsizliyi) və ya Falco (Açıq Mənbə iş vaxtı təhlükəsizliyi) kimi müxtəlif mənbələrdən gələn təhlükəsizlik tədbirlərinin inteqrasiyasını asanlaşdırır.
Layered Insight (Qualys)
- Veb səhifə:
- Lisenziya: kommersiya
Layered Insight (hazırda Qualys Inc-in bir hissəsidir) "yerləşdirilmiş təhlükəsizlik" konsepsiyası üzərində qurulub. Statistik təhlil metodlarından istifadə edərək orijinal təsviri zəifliklər üçün skan etdikdən və CVE yoxlamalarını həyata keçirdikdən sonra Layered Insight onu ikili formada agenti ehtiva edən alətli təsvirlə əvəz edir.
Bu agent konteyner şəbəkə trafikini, giriş/çıxış axınlarını və tətbiq fəaliyyətini təhlil etmək üçün iş vaxtı təhlükəsizlik testlərini ehtiva edir. Bundan əlavə, o, infrastruktur inzibatçısı və ya DevOps komandaları tərəfindən müəyyən edilmiş əlavə təhlükəsizlik yoxlamalarını həyata keçirə bilər.
NeuVector
- Veb səhifə:
- Lisenziya: kommersiya
NeuVector, hər bir konteyner üçün fərdi təhlükəsizlik profili yaradaraq, şəbəkə fəaliyyətini və tətbiq davranışını təhlil edərək konteyner təhlükəsizliyi yoxlamalarını və iş vaxtının qorunmasını həyata keçirir. O, həmçinin yerli təhlükəsizlik duvarı qaydalarını dəyişdirərək şübhəli fəaliyyəti təcrid etməklə təhdidləri təkbaşına blok edə bilər.
NeuVector-un Təhlükəsizlik Mesh kimi tanınan şəbəkə inteqrasiyası xidmət şəbəkəsindəki bütün şəbəkə əlaqələri üçün paketləri dərindən yoxlamaq və 7-ci səviyyəni filtrləmək qabiliyyətinə malikdir.
stakroks
- Veb səhifə:
- Lisenziya: kommersiya
StackRox konteyner təhlükəsizlik platforması bir klasterdə Kubernetes tətbiqlərinin bütün həyat dövrünü əhatə etməyi hədəfləyir. Bu siyahıdakı digər kommersiya platformaları kimi, StackRox da müşahidə edilən konteyner davranışına əsaslanan iş vaxtı profili yaradır və istənilən sapma zamanı avtomatik olaraq həyəcan siqnalı verir.
Bundan əlavə, StackRox konteyner uyğunluğunu qiymətləndirmək üçün CIS Kubernetes və digər qayda kitablarından istifadə edərək Kubernetes konfiqurasiyalarını təhlil edir.
Sysdig Secure
- Veb səhifə:
- Lisenziya: kommersiya
Sysdig Secure proqramları konteyner və Kubernetes həyat dövrü boyunca qoruyur. O qablar, təmin edir maşın öyrənməsinə görə, cinayəti həyata keçirir. zəiflikləri müəyyən etmək, təhdidləri bloklamaq, monitorinq etmək üçün təcrübə və mikroservislərdə fəaliyyətin yoxlanılması.
Sysdig Secure Jenkins kimi CI/CD alətləri ilə inteqrasiya edir və Docker reyestrlərindən yüklənmiş şəkillərə nəzarət edir, təhlükəli şəkillərin istehsalda görünməsinin qarşısını alır. O, həmçinin hərtərəfli iş vaxtı təhlükəsizliyini təmin edir, o cümlədən:
- ML əsaslı iş vaxtı profilinin yaradılması və anomaliyaların aşkarlanması;
- sistem hadisələri, K8s-audit API, birgə icma layihələri (FIM - fayl bütövlüyünün monitorinqi; cryptojacking) və çərçivəyə əsaslanan icra vaxtı siyasətləri ;
- hadisələrin cavablandırılması və aradan qaldırılması.
Davamlı Konteyner Təhlükəsizliyi
- Veb səhifə:
- Lisenziya: kommersiya
Konteynerlərin meydana çıxmasından əvvəl Tenable sənayedə populyar zəifliklərin aşkarlanması və təhlükəsizlik auditi vasitəsi olan Nessus-u inkişaf etdirən şirkət kimi geniş tanınırdı.
Tenable Container Security şirkətin kompüter təhlükəsizliyi sahəsində təcrübəsindən istifadə edərək CI/CD boru kəmərini zəiflik məlumat bazaları, zərərli proqramların aşkarlanması paketləri və təhlükəsizlik məsləhətləri ilə inteqrasiya edir.
Twistlock (Palo Alto Şəbəkələri)
- Veb səhifə:
- Lisenziya: kommersiya
Twistlock özünü bulud xidmətləri və konteynerlərə yönəlmiş bir platforma kimi tanıdır. Twistlock müxtəlif bulud provayderlərini (AWS, Azure, GCP), konteyner orkestrlərini (Kubernetes, Mesospehere, OpenShift, Docker), serversiz işləmə vaxtlarını, şəbəkə çərçivələrini və CI/CD alətlərini dəstəkləyir.
CI/CD boru kəmərinin inteqrasiyası və ya təsvirin skan edilməsi kimi adi korporativ səviyyəli təhlükəsizlik üsullarına əlavə olaraq, Twistlock konteynerə xas davranış nümunələri və şəbəkə qaydalarını yaratmaq üçün maşın öyrənməsindən istifadə edir.
Bir müddət əvvəl Twistlock, Evident.io və RedLock layihələrinin sahibi olan Palo Alto Networks tərəfindən alınıb. Bu üç platformanın necə inteqrasiya olunacağı hələlik məlum deyil Palo Altodan.
Ən yaxşı Kubernetes təhlükəsizlik alətləri kataloqunu yaratmağa kömək edin!
Biz bu kataloqu mümkün qədər tam etməyə çalışırıq və bunun üçün sizin köməyinizə ehtiyacımız var! Bizimlə əlaqə saxlayın () bu siyahıya daxil edilməyə layiq olan gözəl alətiniz varsa və ya səhv/köhnəlmiş məlumat tapırsınızsa.
Siz də bizim kanalımıza abunə ola bilərsiniz bulud-doğma ekosistem xəbərləri və Kubernetes təhlükəsizlik dünyasından maraqlı layihələr haqqında hekayələr.
Tərcüməçidən PS
Bloqumuzda da oxuyun:
- «";
- «";
- «";
- «";
- «.
Mənbə: www.habr.com