33+ інструмента для бяспекі Kubernetes

Заўв. перав.: Калі вы задаецеся пытаннямі бяспекі ў інфраструктуры, заснаванай на Kubernetes, гэты выдатны агляд ад кампаніі Sysdig стане выдатнай адпраўной кропкай для беглага знаёмства з актуальнымі на сённяшні дзень рашэннямі. У яго ўключаны і комплексныя сістэмы ад вядомых гульцоў рынка, і значна больш сціплыя ўтыліты, якія зачыняюць тую ці іншую праблему. А ў каментарах мы як заўсёды будзем рады даведацца аб вашым вопыце выкарыстання гэтых інструментаў і ўбачыць спасылкі на іншыя праекты.

Праграмныя прадукты для забеспячэння бяспекі Kubernetes… іх так шмат, і ў кожнага свае мэты, вобласць ужывання і ліцэнзіі.

Менавіта таму мы вырашылі стварыць гэты спіс і ўключылі ў яго як адчыненыя праекты, так і камерцыйныя платформы ад розных пастаўшчыкоў. Спадзяемся, ён дапаможа вам абраць тыя з іх, што ўяўляюць найвялікую цікавасць і накіруюць у дакладным кірунку ў залежнасці ад пэўных запатрабаванняў у справе забеспячэння бяспекі Kubernetes.

Катэгорыі

Каб спрасціць навігацыю па спісе, інструменты разбіты па асноўных функцый і абласцях прымянення. Атрымаліся наступныя раздзелы:

• Сканіраванне вобразаў Kubernetes і статычны аналіз;
• Бяспека runtime;
• Сеткавая бяспека Kubernetes;
• Распаўсюджванне вобразаў і кіраванне сакрэтамі;
• Аўдыт бяспекі Kubernetes;
• Комплексныя камерцыйныя прадукты.

Пяройдзем да справы:

Сканіраванне вобразаў Kubernetes

Anchore

• Сайт: anchore.com
• Ліцэнзія: вольная (Apache) і камерцыйная прапанова

Пакет Anchore аналізуе выявы кантэйнераў і дазваляе праводзіць праверкі бяспекі на аснове палітык, якія задаюцца карыстальнікам.

Апроч звыклага сканавання выяў кантэйнераў на прадмет вядомых уразлівасцяў з базы CVE, Anchore праводзіць мноства дадатковых праверак у рамках палітыкі сканавання: правярае Dockerfile, уцечку ўліковых дадзеных, пакеты выкарыстоўваных моў праграмавання (npm, maven і т. д.), ліцэнзіі ПА і шматлікае іншае .

Ясна

• Сайт: coreos.com/clair (цяпер пад апекай Red Hat)
• Ліцэнзія: вольная (Apache)

Clair быў адным з першых Open Source-праектаў для сканавання выяў. Ён шырока вядомы як сканер бяспекі, які ляжыць у аснове рэестра вобразаў Quay (таксама ад CoreOS - заўв. перав.). Clair умее збіраць інфармацыю аб CVE з вялікай колькасці крыніц, уключаючы спісы спецыфічных для Linux-дыстрыбутываў уразлівасцяў, якія вядуць каманды па бяспецы Debian, Red Hat ці Ubuntu.

У адрозненне ад Anchore, Clair пераважна займаецца пошукам уразлівасцяў і супастаўленнем дадзеных з CVE. Зрэшты, прадукт прапануе карыстачам некаторыя магчымасці для пашырэння функцый з дапамогай падлучальных драйвераў.

Дагда

• Сайт: github.com/eliasgranderubio/dagda
• Ліцэнзія: свабодная (Apache)

Dagda праводзіць статычны аналіз выяў кантэйнераў на прадмет наяўнасці вядомых уразлівасцяў, траянаў, вірусаў, шкоднасных праграм і іншых пагроз.

Ад іншых падобных прылад пакет Dagda адрозніваюць дзве характэрныя асаблівасці:

• Ён выдатна інтэгруецца з ClamAV, выступаючы не толькі як інструмент для сканавання вобразаў кантэйнераў, але і як антывірус.
• Таксама забяспечвае runtime-абарону, у рэальным часе атрымліваючы падзеі ад дэмана Docker'а і інтэгруючыся з Falco (гл. ніжэй) для збору падзей бяспекі падчас працы кантэйнера.

KubeXray

• Сайт: github.com/jfrog/kubexray
• Ліцэнзія: вольная (Apache), але патрабуе атрыманні дадзеных ад JFrog Xray (камерцыйнага прадукта)

KubeXray "слухае" падзеі API-сервера Kubernetes і з дапамогай метададзеных ад JFrog Xray сочыць за тым, каб запускаліся толькі pod'ы, якія адпавядаюць бягучай палітыцы.

KubeXray не толькі праводзіць аўдыт новых або абноўленых кантэйнераў у deployment'ах (па аналогіі з admission controller у Kubernetes), але таксама дынамічна правярае якія працуюць кантэйнеры на адпаведнасць новым палітыкам бяспекі, выдаляючы рэсурсы, якія спасылаюцца на ўразлівыя выявы.

Снік

• Сайт: snyk.io
• Ліцэнзія: вольная (Apache) і камерцыйная версіі

Snyk – гэта незвычайны сканер уразлівасцяў у тым сэнсе, што ён адмыслова накіраваны на працэс распрацоўкі і прасоўваецца як "незаменнае рашэнне" для распрацоўнікаў.

Snyk напрамую падключаецца да рэпазітароў кода, парсіт маніфест праекта і аналізуе імпартаваны код разам з прамымі і ўскоснымі залежнасцямі. Snyk падтрымлівае многія папулярныя мовы праграмавання і можа выяўляць схаваныя ліцэнзійныя рызыкі.

Дробязь

• Сайт: github.com/knqyf263/trivy
• Ліцэнзія: вольная (AGPL)

Trivy - просты, але магутны сканер уразлівасцяў для кантэйнераў, лёгка інтэгравальны ў CI/CD-пайплайн. Яго характэрная асаблівасць - прастата ўстаноўкі і працы: прыкладанне складаецца з адзінага бінарніка і не патрабуе ўстаноўкі базы дадзеных або дадатковых бібліятэк.

Адваротны бок прастаты Trivy складаецца ў тым, што прыйдзецца разбірацца, як парсіць і перасылаць вынікі ў фармаце JSON, каб імі маглі скарыстацца іншыя прылады бяспекі Kubernetes.

Бяспека runtime у Kubernetes

Falco

• Сайт: falco.org
• Ліцэнзія: вольная (Apache)

Falco - набор інструментаў для забеспячэння бяспекі хмарных асяроддзяў выканання. Уваходзіць у сямейства праектаў ЧНКФ.

Выкарыстоўваючы інструментар Sysdig для працы на ўзроўні ядра Linux і прафіляванне сістэмных выклікаў, Falco дазваляе глыбока пагрузіцца ў паводзіны сістэмы. Яго механізм runtime-правілаў здольны выяўляць падазроную актыўнасць у прыкладаннях, кантэйнерах, базавым хасце і аркестратары Kubernetes.

Falco забяспечвае поўную празрыстасць у працы runtime'а і выяўленне пагроз, ставячы для гэтых мэт адмысловых агентаў на вузлах Kubernetes. У выніку адпадае неабходнасць мадыфікаваць кантэйнеры, укараняючы ў іх іншы код або навешваючы sidecar-кантэйнеры.

Фрэймворкі бяспекі Linux для runtime

Гэтыя родныя для ядра Linux фрэймворкі не з'яўляюцца «інструментамі бяспекі Kubernetes» у звыклым сэнсе, аднак заслугоўваюць згадванні, паколькі выступаюць важным элементам у кантэксце бяспекі ў runtime, што ўключаецца ў Kubernetes Pod Security Policy (PSP).

AppArmor падлучае профіль бяспекі да працэсаў, запушчаным у кантэйнеры, вызначаючы прывілеі файлавай сістэмы, кіравала сеткавага доступу, падлучэнне бібліятэк і т.д. Гэта сістэма на аснове мандатнага кіравання доступам (Mandatory Access Control, MAC). Іншымі словамі, яна прадухіляе выкананне забароненых дзеянняў.

Security-Enhanced Linux (SELinux) - гэта модуль пашыранай бяспекі ў ядры Linux, у некаторых аспектах падобны на AppArmor і часта параўноўваны з ім. SELinux пераўзыходзіць AppArmor па магутнасці, гнуткасці і тонкасці налад. Яго недахопы - працяглае асваенне і падвышаная складанасць.

Seccomp і seccomp-bpf дазваляюць фільтраваць сістэмныя выклікі, блакаваць выкананне тых з іх, што патэнцыйна небяспечныя для базавай АС і не патрэбныя для звычайнай працы карыстацкіх прыкладанняў. Seccomp у некаторых момантах падобны на Falco, хоць і не ведае спецыфікі кантэйнераў.

Sysdig open source

• Сайт: www.sysdig.com/opensource
• Ліцэнзія: вольная (Apache)

Sysdig – паўнавартасная прылада для аналізу, дыягностыкі і адладкі Linux-сістэм (таксама працуе на Windows і macOS, але з абмежаванымі функцыямі). Яго можна выкарыстоўваць для збору дэталёвай інфармацыі, праверкі і крымінальнай экспертызы. (forensics) базавай сістэмы і любых кантэйнераў, якія працуюць на ёй.

Таксама Sysdig першапачаткова падтрымлівае выкананыя асяроддзі для кантэйнераў і метададзеныя Kubernetes, дадаючы дадатковыя вымярэнні і пазнакі да ўсёй збіранай інфармацыі аб паводзінах сістэмы. Існуе некалькі спосабаў аналізу кластара Kubernetes з дапамогай Sysdig: можна правесці захоп на пэўны момант часу праз kubectl capture ці ж запусціць інтэрактыўны інтэрфейс на базе ncurses з дапамогай плагіна kubectl dig.

Сеткавая бяспека Kubernetes

Aporeto

• Сайт: www.aporeto.com
• Ліцэнзія: камерцыйная

Aporeto прапануе "бяспеку, аддзеленую ад сеткі і інфраструктуры". Гэта азначае, што сэрвісы Kubernetes не толькі атрымліваюць лакальны ID (гэта значыць ServiceAccount у Kubernetes), але і ўніверсальны ідэнтыфікатар/адбітак, які можна выкарыстаць для бяспечнага і ўзаемна правяранага ўзаемадзеяння з любым іншым сэрвісам, напрыклад, у кластары OpenShift.

Aporeto здольны генераваць унікальны ідэнтыфікатар не толькі для Kubernetes/кантэйнераў, але і для хастоў, хмарных функцый і карыстальнікаў. У залежнасці ад гэтых ідэнтыфікатараў і набору правілаў сеткавай бяспекі, зададзеных адміністратарам, камунікацыі будуць дазволеныя ці заблакаваныя.

каленкор

• Сайт: www.projectcalico.org
• Ліцэнзія: вольная (Apache)

Calico звычайна разгортваюць падчас усталёўкі аркестратара кантэйнераў, што дазваляе стварыць віртуальную сетку, якая злучае кантэйнеры. Апроч гэтай базавай сеткавай функцыянальнасці праект Calico працуе з Kubernetes Network Policies і сваім уласным наборам профіляў сеткавай бяспекі, падтрымлівае ACL (спісы кантролю доступу) endpoint'аў і заснаваныя на анатацыях кіравала сеткавай бяспекі для Ingress- і Egress-трафіку.

Ресничка

• Сайт: www.cilium.io
• Ліцэнзія: вольная (Apache)

Cilium выступае ў якасці брандмаўэра для кантэйнераў і падае функцыі па забеспячэнні сеткавай бяспекі, першапачаткова адаптаваныя да Kubernetes і працоўным нагрузкам мікрасэрвісаў. Cilium выкарыстоўвае новую тэхналогію ядра Linux пад назвай BPF (Berkeley Packet Filter) для фільтрацыі, маніторынгу, перанакіраванні і карэкціроўкі дадзеных.

Cilium здольны разгортваць палітыкі сеткавага доступу на аснове ідэнтыфікатараў кантэйнераў, выкарыстоўваючы пазнакі Docker або Kubernetes і метададзеныя. Cilium таксама разумее і фільтруе розныя пратаколы 7-го ўзроўня, такія як HTTP ці gRPC, дазваляючы вызначаць набор выклікаў REST, якія, напрыклад, будуць дазволеныя паміж двума deployment'амі Kubernetes.

Ісціё

• Сайт: istio.io
• Ліцэнзія: вольная (Apache)

Istio шырока вядомы як рэалізацыя парадыгмы service mesh шляхам разгортвання незалежнай ад платформы control plane і перанакіраванні ўсяго кіраванага сэрвіснага трафіку праз дынамічна канфігуруемыя проксі Envoy. Istio карыстаецца гэтым перадавым уяўленнем усіх мікрасэрвісаў і кантэйнераў для рэалізацыі розных стратэгій сеткавай бяспекі.

Магчымасці Istio па забеспячэнні сеткавай бяспекі складаюцца з празрыстае шыфраванне TLS для аўтаматычнага паляпшэння пратаколу камунікацый паміж мікрасэрвісамі да HTTPS і ўласную сістэму RBAC для ідэнтыфікацыі і аўтарызацыі для дазволу/забароны абмену дадзенымі паміж рознымі працоўнымі нагрузкамі ў кластары.

Заўв. перав.: Больш падрабязна аб магчымасцях Istio, арыентаваных на бяспеку, чытайце ў гэтым артыкуле.

Tigera

• Сайт: www.tigera.io
• Ліцэнзія: камерцыйная

У гэтым рашэнні, званым "брандмаўарам Kubernetes", робіцца ўпор на падыход да сеткавай бяспекі з нулявым даверам.

Па аналогіі з іншымі роднымі для Kubernetes сеткавымі рашэннямі, Tigera належыць на метададзеныя пры ідэнтыфікацыі розных сэрвісаў і аб'ектаў у кластары і забяспечвае выяўленне праблем у runtime, бесперапынную праверку на адпаведнасць і празрыстасць сеткі для шматхмарных ці гібрыдных маналітна-кантэйнерызаваных інфраструктур.

Trireme

• Сайт: www.aporeto.com/opensource
• Ліцэнзія: вольная (Apache)

Trireme-Kubernetes - гэта простая і зразумелая рэалізацыя спецыфікацыі Kubernetes Network Policies. Самай характэрнай асаблівасцю з'яўляецца тое, што – у адрозненне ад падобных прадуктаў для сеткавай бяспекі Kubernetes – яно не патрабуе цэнтральнай control plane для каардынацыі сеткі (mesh). Гэта робіць рашэнне трывіяльна маштабуецца. У Trireme гэта дасягаецца шляхам усталёўкі агента на кожны вузел, які напроста падлучаецца да TCP/IP-стэку хаста.

Распаўсюджванне вобразаў і кіраванне сакрэтамі

Grafeas

• Сайт: grafeas.io
• Ліцэнзія: вольная (Apache)

Grafeas - гэта API з адкрытым зыходным кодам для аўдыту і кіравання ланцужком пастаўкі ПЗ. На базавым узроўні Grafeas уяўляе сабою прыладу для збору метададзеных і вынікаў аўдыту. Яго можна выкарыстоўваць для адсочвання адпаведнасці лепшым практыкам у галіне бяспекі ў арганізацыі.

Гэтая цэнтралізаваная крыніца ісціны дапамагае адказаць на пытанні накшталт:

• Хто сабраў і падпісаў канкрэтны кантэйнер?
• Ці прайшоў ён усе сканары бяспекі і праверкі, прадугледжаныя палітыкай бяспекі? Калі? Якімі былі вынікі?
• Хто разгарнуў яго ў production? Якія менавіта параметры выкарыстоўваліся пры разгортванні?

In-toto

• Сайт: in-toto.github.io
• Ліцэнзія: вольная (Apache)

In-toto – гэта фрэймворк, распрацаваны для забеспячэння цэласнасці, аўтэнтыфікацыі і аўдыту ўсяго ланцужка пастаўкі праграмнага забеспячэння. Пры разгортванні In-toto у інфраструктуры спачатку задаецца план, які апісвае розныя крокі ў пайплайне (рэпазітар, прылады CI/CD, прылады QA, зборшчыкі артэфактаў і г.д.) і карыстальнікаў (адказных асоб), якім дазволена іх ініцыяваць.

In-toto кантралюе выкананне плана, правяраючы, што кожная задача ў ланцужку выконваецца належным чынам выключна аўтарызаваным персаналам і падчас рухаў з прадуктам не праводзіліся ніякія несанкцыянаваныя маніпуляцыі.

Portieris

• Сайт: github.com/IBM/portieris
• Ліцэнзія: вольная (Apache)

Portieris - гэта admission controller для Kubernetes; прымяняецца для прымусовых праверак на давер да кантэнту. Portieris выкарыстоўвае сервер Натарыуса (мы пісалі пра яго ў канцы гэтага артыкула - заўв. перав.) у якасці крыніцы ісціны для пацверджання давераных і падпісаных артэфактаў (гэта значыць ухваленых кантэйнерных вобразаў).

Пры стварэнні або змене працоўнай нагрузкі ў Kubernetes Portieris загружае інфармацыю аб подпісе і палітыку даверу да кантэнту для запытаных вобразаў кантэйнераў і пры неабходнасці на лета ўносіць змены ў JSON-аб'ект API для запуску падпісаных версій гэтых вобразаў.

склеп

• Сайт: www.vaultproject.io
• Ліцэнзія: вольная (MPL)

Vault - гэта бяспечнае рашэнне для захоўвання закрытай інфармацыі: пароляў, токенаў OAuth, PKI-сертыфікатаў, уліковых запісаў для доступу, сакрэтаў Kubernetes і г.д. Vault падтрымлівае многія прасунутыя функцыі, такія як арэнда эфемерных токенаў бяспекі або арганізацыя ратацыі ключоў.

З дапамогай Helm-чарта Vault можна разгарнуць як новы deployment у кластары Kubernetes з Consul'ам у якасці backend-сховішчы. Ён падтрымлівае родныя рэсурсы Kubernetes накшталт такенаў ServiceAccount і нават можа выступаць сховішчам сакрэтаў Kubernetes па змаўчанні.

Заўв. перав.: Дарэчы, літаральна ўчора кампанія HashiCorp, якая распрацоўвае Vault, анансавала некаторыя паляпшэнні для выкарыстання Vault у Kubernetes і ў прыватнасці яны датычацца Helm-чарта. Падрабязнасці чытайце ў блогу распрацоўніка.

Аўдыт бяспекі Kubernetes

Kube-bench

• Сайт: github.com/aquasecurity/kube-bench
• Ліцэнзія: вольная (Apache)

Kube-bench - дадатак на Go, правяральнае, ці бяспечна разгорнуты Kubernetes, выконваючы тэсты з спісу CIS Kubernetes Benchmark.

Kube-bench шукае небяспечныя параметры канфігурацыі сярод кампанентаў кластара (etcd, API, controller manager і г.д.), сумнеўныя правы на доступ да файлаў, неабароненыя ўліковыя запісы або адчыненыя парты, квоты рэсурсаў, налады абмежавання колькасці зваротаў да API для абароны ад DoS-нападаў і да т.п.

Kube-hunter

• Сайт: github.com/aquasecurity/kube-hunter
• Ліцэнзія: вольная (Apache)

Kube-hunter "палявае" на патэнцыйныя ўразлівасці (накшталт выдаленага выканання кода або расчыненні дадзеных) у кластарах Kubernetes. Kube-hunter можна запускаць як выдалены сканер - у гэтым выпадку ён ацэніць кластар з пункту гледжання іншага зламысніка - ці як pod ўнутры кластара.

Адметнай асаблівасцю Kube-hunter'а з'яўляецца рэжым "актыўнага палявання", падчас якога ён не толькі паведамляе аб праблемах, але і спрабуе скарыстацца ўразлівасцямі, выяўленымі ў мэтавым кластары, якія патэнцыйна могуць нанесці шкоду яго працы. Так што карыстайцеся асцярожна!

Kubeaudit

• Сайт: github.com/Shopify/kubeaudit
• Ліцэнзія: вольная (MIT)

Kubeaudit – гэта кансольная прылада, першапачаткова распрацаваны ў Shopify для аўдыту канфігурацыі Kubernetes на прадмет наяўнасці розных праблем у вобласці бяспекі. Напрыклад, ён дапамагае выявіць кантэйнеры, якія працуюць без абмежаванняў, з правамі суперкарыстальніка, якія злоўжываюць прывілеямі або выкарыстоўваюць ServiceAccount па змаўчанні.

У Kubeaudit ёсць і іншыя цікавыя магчымасці. Напрыклад, ён умее аналізаваць лакальныя файлы YAML, выяўляючы недахопы ў канфігурацыі, здольныя прывесці да праблем з бяспекай, і аўтаматычна выпраўляць іх.

Kubesec

• Сайт: kubesec.io
• Ліцэнзія: вольная (Apache)

Kubesec – асаблівая прылада ў тым сэнсе, што напроста скануе YAML-файлы з апісаннем рэсурсаў Kubernetes у пошуках слабых параметраў, здольных паўплываць на бяспеку.

Напрыклад, ён можа выяўляць залішнія прывілеі і дазволы, прадстаўленыя pod'у, запуск кантэйнера з root'ом у якасці карыстача па змаўчанні, падлучэнне да прасторы імёнаў сеткі хаста ці небяспечныя мантавання накшталт /proc хаста або сокета Docker'а. Яшчэ адна цікавая магчымасць Kubesec - даступны ў анлайне дэма-сэрвіс, у які можна загрузіць YAML і адразу правесці яго аналіз.

Open Policy Agent

• Сайт: www.openpolicyagent.org
• Ліцэнзія: вольная (Apache)

Канцэпцыя OPA (Open Policy Agent) складаецца ў тым, каб аддзяліць палітыкі бяспекі і лепшыя практыкі ў вобласці бяспекі ад канкрэтнай runtime-платформы: Docker, Kubernetes, Mesosphere, OpenShift ці любой іх камбінацыі.

Напрыклад, можна разгарнуць OPA як бэкэнд для admission controller'а Kubernetes, дэлегуючы яму рашэнні па бяспецы. Такім чынам агент OPA зможа правяраць, адхіляць і нават змяняць запыты на лета, забяспечваючы выкананне зададзеных параметраў бяспекі. Палітыкі бяспекі ў OPA напісаны на яго ўласным DSL-мове Rego.

Заўв. перав.: Больш падрабязна пра OPA (і SPIFFE) мы пісалі ў гэтым матэрыяле.

Комплексныя камерцыйныя прылады для аналізу бяспекі Kubernetes

Мы вырашылі завесці асобную катэгорыю для камерцыйных платформ, паколькі яны, як правіла, ахопліваюць адразу некалькі абласцей бяспекі. Агульнае ўяўленне аб іх магчымасцях можна атрымаць з табліцы:

* Прасунутая экспертыза і post mortem-аналіз з поўным захопам сістэмных выклікаў.

Аква бяспекі

• Сайт: www.aquasec.com
• Ліцэнзія: камерцыйная

Гэты камерцыйны інструмент прызначаны для кантэйнераў і хмарных працоўных нагрузак. Ён забяспечвае:

• Сканіраванне вобразаў, інтэграванае з рэестрам кантэйнераў або CI/CD-пайплайнам;
• Runtime-абарону з пошукам змен у кантэйнерах і іншай падазронай актыўнасці;
• Родны для кантэйнераў брандмаўэр;
• Бяспека для serverless у хмарных сэрвісах;
• Праверку на адпаведнасць патрабаванням і аўдыт, аб'яднаныя з часопісаваннем падзей.

Заўв. перав.: Варта таксама адзначыць, што ёсць і бясплатны складнік прадукта пад назвай MicroScanner, Якая дазваляе сканаваць выявы кантэйнераў на ўразлівасці. Параўнанне яе магчымасцяў з платнымі версіямі прадстаўлена ў гэтай табліцы.

Капсула8

• Сайт: capsule8.com
• Ліцэнзія: камерцыйная

Capsule8 інтэгруецца ў інфраструктуру, усталёўваючы дэтэктар у лакальны або хмарны кластар Kubernetes. Гэты дэтэктар збірае тэлеметрыю хаста і сеткі, супастаўляючы яе з рознымі тыпамі нападаў.

Каманда Capsule8 бачыць сваёй задачай ранняе выяўленне і прадухіленне нападаў, якія выкарыстоўваюць свежыя. (0-day) уразлівасці. Capsule8 умее загружаць удакладненыя правілы бяспекі прама на дэтэктары ў адказ на нядаўна выяўленыя пагрозы і ўразлівасці ПЗ.

Cavirin

• Сайт: www.cavirin.com
• Ліцэнзія: камерцыйная

Cavirin выступае контрагентам на баку кампаніі для розных ведамстваў, якія займаюцца стандартамі бяспекі. Ён не толькі можа сканаваць выявы, але і інтэгравацца ў CI/CD-пайплайн, блакуючы якія не адпавядаюць стандартам выявы да іх траплення ў зачыненыя рэпазітары.

Пакет бяспекі Cavirin выкарыстоўвае машыннае навучанне для ацэнкі стану кібербяспекі, прапануе парады па павелічэнні бяспекі і павышэнні адпаведнасці стандартам бяспекі.

Google Cloud Security Command Center

• Сайт: cloud.google.com/security-command-center
• Ліцэнзія: камерцыйная

Cloud Security Command Center дапамагае камандам па бяспецы збіраць дадзеныя, выяўляць пагрозы і ўстараняць іх да таго, як яны нанясуць шкоду кампаніі.

Як відаць з назвы, Google Cloud SCC – гэта ўніфікаваная кантрольная панэль, у якую можна інтэграваць розныя справаздачы па бяспецы, механізмы ўліку актываў і іншыя сістэмы бяспекі, і кіраваць імі з адзінай, цэнтралізаванай крыніцы.

Интероперабельный API, прапанаваны Google Cloud SCC, палягчае інтэграцыю падзей у вобласці бяспекі, якія паступаюць з розных крыніц, такіх як Sysdig Secure (кантэйнерная бяспека для cloud-native прыкладанняў) ці Falco (Open Source-сістэма бяспекі runtime).

Layered Insight (Qualys)

• Сайт: layeredinsight.com
• Ліцэнзія: камерцыйная

Layered Insight (цяпер частка Qualys Inc) пабудаваны на канцэпцыі "ўбудаванай бяспекі". Пасля сканавання арыгінальнай выявы на наяўнасць уразлівасцяў з выкарыстаннем метадаў статыстычнага аналізу і ажыццяўленні праверак па CVE, Layered Insight замяняе яго на інструментаваную выяву, улучальны ў сябе агента ў выглядзе бінарніка.

Гэты агент змяшчае тэсты бяспекі runtime для аналізу сеткавага трафіку кантэйнера, I/O патокаў і дзейнасці дадатку. Акрамя таго, ён можа ажыццяўляць дадатковыя праверкі бяспекі, зададзеныя адміністратарам інфраструктуры ці камандамі DevOps.

NeuVector

• Сайт: neuvector.com
• Ліцэнзія: камерцыйная

NeuVector праводзіць праверку бяспекі кантэйнера і ажыццяўляе runtime-абарону шляхам аналізу сеткавай актыўнасці і паводзін прыкладання, ствараючы індывідуальны профіль бяспекі для кожнага кантэйнера. Ён таксама можа самастойна блакаваць пагрозы, ізалюючы падазроную актыўнасць за рахунак змены правіл лакальнага firewall'а.

Сеткавая інтэграцыя NeuVector, вядомая як Security Mesh, здольная праводзіць глыбокі аналіз пакетаў і фільтраванне на 7-ым узроўні для ўсіх сеткавых злучэнняў у service mesh.

СтэкРокс

• Сайт: www.stackrox.com
• Ліцэнзія: камерцыйная

Платформа для забеспячэння бяспекі кантэйнераў StackRox імкнецца ахапіць увесь жыццёвы цыкл Kubernetes-прыкладанняў у кластары. Як і іншыя камерцыйныя платформы ў гэтым спісе, StackRox генеруе runtime-профіль на аснове назіраных паводзін кантэйнера і аўтаматычна б'е трывогу пры любых адхіленнях.

Акрамя таго, StackRox аналізуе канфігурацыі Kubernetes, выкарыстоўваючы CIS Kubernetes і іншыя зборы правіл для адзнакі адпаведнасці кантэйнераў.

Sysdig Secure

• Сайт: sysdig.com/products/secure
• Ліцэнзія: камерцыйная

Sysdig Secure абараняе прыкладанні на працягу ўсяго жыццёвага цыкла кантэйнера і Kubernetes. Ён скануе вобразы кантэйнераў, забяспечвае runtime-абарону па дадзеных машыннага навучання, выконвае крым. экспертызу для выяўлення ўразлівасцяў, блакуе пагрозы, сочыць за адпаведнасцю ўсталяваным стандартам і праводзіць аўдыт актыўнасці ў мікрасэрвісах.

Sysdig Secure інтэгруецца з прыладамі CI/CD, такімі як Jenkins, і кантралюе выявы, загружаныя з рэестраў Docker, прадухіляючы з'яўленне небяспечных выяў у production. Ён таксама забяспечвае ўсебаковую runtime-бяспеку, уключаючы:

• runtime-прафіляванне на аснове ML і выяўленне анамалій;
• runtime-палітыкі, заснаваныя на сістэмных падзеях, API K8s-audit, сумесных праектах супольнасці (FIM - file integrity monitoring; cryptojacking) і фрэйморцы MITRE ATT&CK;
• рэагаванне і ўстараненне інцыдэнтаў.

Tenable Container Security

• Сайт: www.tenable.com/products/tenable-io/container-security
• Ліцэнзія: камерцыйная

Да з'яўлення кантэйнераў Tenable была шырока вядомая ў галіны як кампанія, распрацавалая Nessus – папулярная прылада для пошуку ўразлівасцяў і аўдыту бяспекі.

Tenable Container Security выкарыстоўвае досвед кампаніі ў вобласці кампутарнай бяспекі для інтэграцыі CI/CD-пайплайна з базамі ўразлівасцяў, спецыялізаванымі пакетамі выяўлення шкоднасных праграм і рэкамендацыямі па ўхіленні пагроз бяспекі.

Twistlock (Palo Alto Networks)

• Сайт: www.twistlock.com
• Ліцэнзія: камерцыйная

Twistlock прасоўвае сябе як платформу, арыентаваную на хмарныя сэрвісы і кантэйнеры. Twistlock падтрымлівае розных хмарных правайдэраў (AWS, Azure, GCP), аркестратары кантэйнераў (Kubernetes, Mesospehere, OpenShift, Docker), serverless-асяроддзя выканання, mesh-фрэймворкі і прылады CI/CD.

Апроч звычайных метадаў забеспячэння бяспекі карпаратыўнага ўзроўня, такіх як інтэграцыя ў CI/CD-пайплайн ці сканаванне выяў, Twistlock выкарыстоўвае машыннае навучанне для генерацыі паводніцкіх патэрнаў і сеткавых правіл, якія ўлічваюць асаблівасці кантэйнераў.

Некаторы час таму Twistlock купіла кампанія Palo Alto Networks, якая валодае праектамі Evident.io і RedLock. Пакуль не вядома, як менавіта гэтыя тры платформы будуць інтэграваныя ў PRISMA ад Palo Alto.

Дапамажыце стварыць лепшы каталог інструментаў па забеспячэнні бяспекі Kubernetes!

Мы імкнемся зрабіць гэты каталог максімальна поўным, і для гэтага нам патрэбная ваша дапамога! Звяжыцеся з намі (@sysdig), калі на прымеце ёсць крутая прылада, годная ўключэння ў гэты спіс, ці вы выявілі памылку/састарэлую інфармацыю.

Таксама вы можаце падпісацца на нашу штомесячную рассылку з навінамі экасістэмы cloud-native і апавяданнямі аб цікавых праектах са свету бяспекі Kubernetes.

PS ад перакладчыка

Чытайце таксама ў нашым блогу:

• «Увядзенне ў сеткавыя палітыкі Kubernetes для спецыялістаў па бяспецы»;
• «Docker і Kubernetes у патрабавальных да бяспекі асяродках»;
• «9 лепшых практык па забеспячэнні бяспекі ў Kubernetes»;
• «11 спосабаў (не) стаць ахвярай узлому ў Kubernetes»;
• «OPA і SPIFFE — два новыя праекты ў CNCF для бяспекі хмарных прыкладанняў.

Крыніца: habr.com