🥇33+ инструмента за сигурност на Kubernetes

Забележка. превод: Ако се чудите за проблеми със сигурността в базирана на Kubernetes инфраструктура, този отличен преглед от Sysdig е чудесна отправна точка за бързо въведение в решенията, които са актуални днес. Той включва както сложни системи от добре познати играчи на пазара, така и много по-скромни помощни програми, които покриват конкретен проблем. И в коментарите ние, както винаги, ще се радваме да научим за вашия опит в използването на тези инструменти и да видим връзки към други проекти.

Софтуерните продукти на Kubernetes за сигурност… има толкова много и всеки има своя собствена цел, обхват и лицензи.

Ето защо решихме да създадем този списък и включихме както проекти с отворен код, така и търговски платформи от различни доставчици. Надяваме се, че ще ви помогне да изберете тези, които представляват най-голям интерес, и ще ви насочи в правилната посока въз основа на вашите специфични нужди за сигурност на Kubernetes.

Сканиране на изображения на Kubernetes

Котва

Уебсайт: anchore.com
Лиценз: безплатен (Apache) и търговска оферта

Пакетът Anchore анализира изображения на контейнери и позволява проверки за сигурност въз основа на дефинирани от потребителя политики.

В допълнение към обичайното сканиране на изображения на контейнери за известни уязвимости от базата данни на CVE, Anchore извършва много допълнителни проверки като част от политиката за сканиране: проверява Dockerfile, изтекли идентификационни данни, използвани пакети от програмни езици (npm, maven и др.) , софтуерни лицензи и много други.

Clair

Уебсайт: coreos.com/clair (сега под опеката на Red Hat)
Лиценз: Безплатен (Apache)

Clair беше един от първите проекти с отворен код за сканиране на изображения. Той е широко известен като скенерът за сигурност зад Quay Image Registry. (също от CoreOS - прибл. превод). Clair може да събира информация за CVE от голямо разнообразие от източници, включително списъци с уязвимости, специфични за дистрибуцията на Linux, поддържани от екипите за сигурност на Debian, Red Hat или Ubuntu.

За разлика от Anchore, Clair е фокусиран основно върху намирането на уязвимости и съпоставяне на данни с CVE. Продуктът обаче предлага на потребителите някои опции за разширяване на функционалността чрез драйвери за добавки.

Дагда

Уебсайт: github.com/eliasgranderubio/dagda
Лиценз: безплатен (Apache)

Dagda анализира статично изображения на контейнери за известни уязвимости, троянски коне, вируси, зловреден софтуер и други заплахи.

Пакетът Dagda се различава от други подобни инструменти по два забележителни начина:

Той се интегрира добре с ClamAV, действащ не само като инструмент за сканиране на изображения на контейнери, но и като антивирус.
Също така осигурява защита по време на изпълнение, като получава събития в реално време от демона Docker и се интегрира с Falco (виж отдолу) за събиране на събития за сигурност, докато контейнерът работи.

KubeXray

Уебсайт: github.com/jfrog/kubexray
Лиценз: безплатен (Apache), но изисква данни от JFrog Xray (търговски продукт)

KubeXray слуша за събития от Kubernetes API сървъра и използва метаданни от JFrog Xray, за да гарантира, че стартират само подове, които отговарят на текущата политика.

KubeXray не само одитира нови или актуализирани контейнери при внедрявания (подобно на контролера за достъп в Kubernetes), но също така динамично проверява работещите контейнери за съответствие с новите политики за сигурност, премахвайки ресурси, които се отнасят до уязвими изображения.

Сник

Уебсайт: snyk.io
Лиценз: безплатни (Apache) и търговски версии

Snyk е необичаен скенер за уязвимости в смисъл, че е насочен конкретно към процеса на разработка и се рекламира като „основно решение“ за разработчиците.

Snyk се свързва директно с хранилища на кодове, анализира манифеста на проекта и анализира импортирания код заедно с преки и косвени зависимости. Snyk поддържа много популярни езици за програмиране и може да открие скрити лицензионни рискове.

Дребнав

Уебсайт: github.com/knqyf263/trivy
Лиценз: Безплатен (AGPL)

Trivy е прост, но мощен скенер за уязвимости на контейнери, който се интегрира лесно в CI/CD тръбопровод. Неговата забележителна характеристика е лекотата на инсталиране и работа: приложението се състои от един двоичен файл и не изисква инсталиране на база данни или допълнителни библиотеки.

Недостатъкът на простотата на Trivy е, че трябва да разберете как да анализирате и изпращате JSON резултати, така че другите инструменти за сигурност на Kubernetes да могат да ги използват.

Сигурност по време на изпълнение в Kubernetes

Falco

Уебсайт: falco.org
Лиценз: Безплатен (Apache)

Falco е пакет от инструменти за осигуряване на време за изпълнение в облак. Част от семейство проекти CNCF.

Използвайки инструментариума Sysdig за работа на ниво ядро на Linux и профилиране на системни повиквания, Falco ви позволява да се потопите дълбоко в поведението на системата. Неговият механизъм за правила за изпълнение е способен да открива подозрителна активност в приложения, контейнери, основния хост и оркестратора на Kubernetes.

Falco осигурява пълна прозрачност при работа по време на изпълнение и откриване на заплахи чрез настройване на специални агенти на Kubernetes възли за тази цел. В резултат на това няма нужда да се модифицират контейнери чрез инжектиране на код на трети страни в тях или окачване на контейнери с кош.

Рамки за сигурност на Linux за време на изпълнение

Тези рамки, родни за ядрото на Linux, не са „инструменти за сигурност на Kubernetes“ в обичайния смисъл, но заслужават да бъдат споменати, защото са важен елемент в контекста на сигурността по време на изпълнение, която е включена в политиката за сигурност на Kubernetes Pod (PSP) .

AppArmor прикрепя профил за сигурност към процеси, изпълнявани в контейнер, определяйки привилегии на файловата система, правила за достъп до мрежата, свързващи библиотеки и т.н. Това е система, базирана на задължителен контрол на достъпа (MAC). С други думи, предотвратява извършването на забранени действия.

Linux с повишена сигурност (SELinux) е усъвършенстван модул за сигурност в ядрото на Linux, подобен в някои отношения на AppArmor и често сравняван с него. SELinux надминава AppArmor по отношение на мощност, гъвкавост и финес. Недостатъците му са дългото развитие и повишената сложност.

Seccomp и seccomp-bpf ви позволяват да филтрирате системни повиквания, да блокирате изпълнението на тези, които са потенциално опасни за основната операционна система и не са необходими за нормалната работа на потребителските приложения. Seccomp е подобен на Falco в някои отношения, въпреки че не познава спецификата на контейнерите.

Sysdig с отворен код

Уебсайт: www.sysdig.com/opensource
Лиценз: Безплатен (Apache)

Sysdig е пълен инструмент за анализиране, диагностика и отстраняване на грешки в Linux системи (също работи на Windows и macOS, но с ограничени функции). Може да се използва за събиране на подробна информация, проверка и криминалистика (криминалистика) основната система и всички контейнери, работещи върху нея.

Sysdig също поддържа първоначално изпълними файлове на контейнери и метаданни на Kubernetes, като добавя допълнителни измерения и етикети към цялата събрана информация за поведението на системата. Има няколко начина за анализиране на клъстер на Kubernetes с помощта на Sysdig: можете да заснемете момент във времето чрез kubectl улавяне или стартирайте интерактивен интерфейс, базиран на ncurses, като използвате приставката kubectl копаят.

Мрежова сигурност на Kubernetes

Апорето

Уебсайт: www.aporeto.com
Лиценз: търговски

Aporeto предлага „сигурност, отделена от мрежата и инфраструктурата“. Това означава, че услугите на Kubernetes получават не само локален идентификатор (т.е. ServiceAccount в Kubernetes), но и универсален идентификатор/пръстов отпечатък, който може да се използва за сигурно взаимодействие и взаимно потвърждение с всяка друга услуга, като например в OpenShift клъстер.

Aporeto може да генерира уникален идентификатор не само за Kubernetes/контейнери, но и за хостове, облачни функции и потребители. В зависимост от тези идентификатори и набора от правила за мрежова сигурност, зададени от администратора, комуникациите ще бъдат разрешени или блокирани.

американ

Уебсайт: www.projectcalico.org
Лиценз: Безплатен (Apache)

Calico обикновено се внедрява по време на инсталирането на оркестратора на контейнери, което ви позволява да създадете виртуална мрежа, която свързва контейнери. В допълнение към тази основна мрежова функционалност, проектът Calico работи с мрежови правила на Kubernetes и собствен набор от профили за мрежова сигурност, поддържа ACL (списъци за контрол на достъпа) на крайни точки и базирани на анотации правила за мрежова сигурност за входящ и изходящ трафик.

цилиума

Уебсайт: www.cilium.io
Лиценз: Безплатен (Apache)

Cilium действа като защитна стена на контейнера и предоставя функции за мрежова сигурност, адаптирани към работните натоварвания на Kubernetes и микроуслуги. Cilium използва нова технология на ядрото на Linux, наречена BPF (Berkeley Packet Filter), за филтриране, наблюдение, пренасочване и коригиране на данни.

Cilium може да внедрява политики за мрежов достъп въз основа на идентификатори на контейнери, използвайки етикети и метаданни на Docker или Kubernetes. Cilium разбира и филтрира различни протоколи от ниво 7, като HTTP или gRPC, което ви позволява да дефинирате набора от REST извиквания, които ще бъдат разрешени между две внедрявания на Kubernetes, например.

Истио

Уебсайт: istio.io
Лиценз: Безплатен (Apache)

Istio е широко известен с внедряването на парадигмата на мрежовата услуга чрез внедряване на независима от платформата контролна равнина и пренасочване на целия управляван трафик на услуги чрез динамично конфигурируеми прокси сървъри на Envoy. Istio се възползва от този разширен изглед на всички микроуслуги и контейнери, за да приложи различни стратегии за мрежова сигурност.

Възможностите за мрежова сигурност на Istio включват прозрачно TLS криптиране за автоматично надграждане на комуникационния протокол между микроуслугите до HTTPS и собствена RBAC система за удостоверяване и оторизация за разрешаване/отказ на комуникация между различни работни натоварвания в клъстер.

Забележка. превод: За повече информация относно възможностите на Istio, фокусирани върху сигурността, вижте тази статия.

тигър

Уебсайт: www.tigera.io
Лиценз: търговски

Наречено „защитна стена на Kubernetes“, това решение подчертава подхода на нулево доверие към мрежовата сигурност.

Подобно на други мрежови решения, базирани на Kubernetes, Tigera разчита на метаданни за идентифициране на различни услуги и обекти в клъстер и осигурява откриване на проблеми по време на изпълнение, непрекъснато съответствие и видимост на мрежата за мулти-облачни или хибридни монолитно-контейнерни инфраструктури.

Трирема

Уебсайт: www.aporeto.com/opensource
Лиценз: Безплатен (Apache)

Trireme-Kubernetes е проста и чиста реализация на спецификацията на Kubernetes Network Policies. Най-забележителната характеристика е, че - за разлика от подобни продукти за мрежова сигурност на Kubernetes - не изисква централна контролна равнина за координиране на мрежата (мрежата). Това прави решението тривиално мащабируемо. Trireme постига това чрез инсталиране на агент на всеки възел, който се свързва директно към TCP/IP стека на хоста.

Разпространение на изображения и управление на тайни

Графеас

Уебсайт: grapheas.io
Лиценз: Безплатен (Apache)

Grafeas е API с отворен код за одит и управление на веригата за доставки на софтуер. На основно ниво Grafeas е инструмент за събиране на метаданни и резултати от одит. Може да се използва за проследяване на спазването на най-добрите практики за сигурност в дадена организация.

Този централизиран източник на истина помага да се отговори на въпроси като:

Кой сглоби и подписа определен контейнер?
Преминал ли е всички скенери за сигурност и проверки на правилата за сигурност? Кога? Какви бяха резултатите?
Кой го внедри в производството? Какви параметри са използвани по време на внедряването?

Intoto

Уебсайт: in-toto.github.io
Лиценз: Безплатен (Apache)

In-toto е рамка, предназначена да осигури интегритет, удостоверяване и одит за цялата верига за доставка на софтуер. При внедряването на In-toto в инфраструктурата, първо се дефинира план, който описва различните стъпки в процеса (хранилище, CI/CD инструменти, QA инструменти, създатели на артефакти и т.н.) и потребителите (отговорните лица), на които е разрешено да инициирайте ги.

In-toto контролира изпълнението на плана, като проверява дали всяка задача във веригата се изпълнява правилно само от оторизиран персонал и че не са извършени неоторизирани манипулации с продукта по време на движение.

Портиерис

Уебсайт: github.com/IBM/portieris
Лиценз: Безплатен (Apache)

Portieris е контролер за допускане за Kubernetes; използвани за налагане на проверки на доверието на съдържанието. Portieris използва сървъра нотариус (писахме за него в края тази статия - прибл. превод) като източник на истина за валидиране на надеждни и подписани артефакти (тоест одобрени изображения на контейнери).

Когато създавате или модифицирате работно натоварване в Kubernetes, Portieris зарежда информацията за подписа и политиката за доверие на съдържанието за заявените изображения на контейнери и, ако е необходимо, прави промени в API JSON обекта в движение, за да стартира подписаните версии на тези изображения.

свод

Уебсайт: www.vaultproject.io
Лиценз: безплатен (MPL)

Vault е сигурно решение за съхраняване на чувствителна информация: пароли, OAuth токени, PKI сертификати, акаунти за достъп, Kubernetes тайни и др. Vault поддържа много разширени функции, като наемане на ефимерни токени за сигурност или организиране на ротация на ключове.

Използвайки диаграмата Helm, Vault може да бъде внедрен като ново внедряване в клъстер на Kubernetes с Consul като резервно хранилище. Той поддържа собствени ресурси на Kubernetes като ServiceAccount токени и дори може да действа като тайно хранилище на Kubernetes по подразбиране.

Забележка. превод: Между другото, точно вчера HashiCorp, която разработва Vault, обяви някои подобрения за използването на Vault в Kubernetes и по-специално те се отнасят до диаграмата на Helm. Прочетете подробностите в блог за разработчици.

Одит на сигурността на Kubernetes

Кубе-пейка

Уебсайт: github.com/aquasecurity/kube-bench
Лиценз: Безплатен (Apache)

Kube-bench е приложение Go, което проверява дали Kubernetes е внедрено безопасно, като изпълнява тестове от списък CIS Kubernetes Бенчмарк.

Kube-bench търси несигурни конфигурационни настройки сред компонентите на клъстера (etcd, API, мениджър на контролер и т.н.), съмнителни разрешения за файлове, несигурни акаунти или отворени портове, квоти за ресурси, настройки за ограничаване на повикванията на API за защита срещу DoS атаки и др.

Кубе-ловец

Уебсайт: github.com/aquasecurity/kube-hunter
Лиценз: Безплатен (Apache)

Kube-hunter „търси“ за потенциални уязвимости (като отдалечено изпълнение на код или разкриване на данни) в клъстерите на Kubernetes. Kube-hunter може да се стартира като отдалечен скенер - в който случай той ще оцени клъстера от гледна точка на нападател от трета страна - или като под в рамките на клъстера.

Отличителна черта на Kube-hunter е режимът „активен лов“, по време на който той не само съобщава за проблеми, но също така се опитва да използва уязвимостите, открити в целевия клъстер, които потенциално биха могли да навредят на работата му. Така че използвайте с повишено внимание!

Kubeaudit

Уебсайт: github.com/Shopify/kubeaudit
Лиценз: Безплатен (MIT)

Kubeaudit е конзолен инструмент, първоначално разработен от Shopify за проверка на вашата конфигурация на Kubernetes за различни проблеми със сигурността. Например, той помага да се идентифицират контейнери, които работят безразборно, работещи като root, злоупотребяващи с привилегии или използващи ServiceAccount по подразбиране.

Kubeaudit има и други интересни функции. Например, той може да анализира локални YAML файлове, да идентифицира грешки в конфигурацията, които биха могли да доведат до проблеми със сигурността, и автоматично да ги коригира.

Кубесец

Уебсайт: kubesec.io
Лиценз: Безплатен (Apache)

Kubesec е специален с това, че директно сканира YAML файлове с ресурси на Kubernetes за слаби настройки, които биха могли да повлияят на сигурността.

Например, той може да открие прекомерни привилегии и разрешения, предоставени на pod, стартиране на контейнер с root като потребител по подразбиране, свързване към пространството на имената на мрежата на хоста или опасни монтирания като /proc хост или Docker сокет. Друга интересна функция на Kubesec е онлайн демо услуга, където можете да качите YAML и веднага да го анализирате.

Отваряне на агент за правила

Уебсайт: www.openpolicyagent.org
Лиценз: Безплатен (Apache)

Концепцията на OPA (Open Policy Agent) е да отдели политиките за сигурност и най-добрите практики за сигурност от конкретна платформа за изпълнение: Docker, Kubernetes, Mesosphere, OpenShift или всяка комбинация от тях.

Например, можете да разположите OPA като бекенд за контролер за достъп на Kubernetes, като му делегирате решения за сигурност. По този начин OPA агентът ще може да проверява, отказва и дори да променя заявките в движение, като гарантира, че посочените параметри за сигурност се спазват. Политиките за сигурност в OPA са написани в неговия собствен DSL, Rego.

Забележка. превод: Написахме повече за OPA (и SPIFFE) в този материал.

Изчерпателни търговски инструменти за анализ на сигурността на Kubernetes

Решихме да създадем отделна категория за търговски платформи, тъй като те са склонни да покриват няколко области на сигурност наведнъж. Обща представа за техните възможности може да се получи от таблицата:

* Разширена експертиза и анализ след смъртта с пълна улавяне на системно повикване.

Аква Сигурност

Уебсайт: www.aquasec.com
Лиценз: търговски

Този търговски инструмент е предназначен за контейнери и облачни натоварвания. Осигурява:

Сканиране на изображения, интегрирано с регистър на контейнери или CI/CD конвейер;
Защита по време на изпълнение с търсене на промени в контейнери и друга подозрителна дейност;
Родна защитна стена на контейнера;
Сигурност за облачни услуги без сървър;
Съответствие и одит, комбинирани с регистриране на събития.

Забележка. превод: Заслужава да се отбележи също, че има безплатен компонент на продукта т.нар микроскенер, което ви позволява да сканирате изображения на контейнери за уязвимости. Сравнението на неговите характеристики с платените версии е представено в тази таблица.

Капсула8

Уебсайт: capsule8.com
Лиценз: търговски

Capsule8 се интегрира в инфраструктурата чрез инсталиране на детектора в локален или облачен клъстер на Kubernetes. Този детектор събира телеметрия от хост и мрежа, като я свързва с различни видове атаки.

Екипът на Capsule8 се ангажира с ранното откриване и предотвратяване на атаки с помощта на fresh (0-ден) уязвимости. Capsule8 може да качва актуализирани правила за сигурност директно към детектори в отговор на новооткрити заплахи и софтуерни уязвимости.

Кавирин

Уебсайт: www.cavirin.com
Лиценз: търговски

Cavirin действа като контрагент на компанията на различни агенции за стандарти за сигурност. Не само може да сканира изображения, но може също да се интегрира в CI/CD тръбопровода, блокирайки несъвместими изображения, преди да влязат в частни хранилища.

Cavirin Security Suite използва машинно обучение за оценка на състоянието на киберсигурността, предлага съвети как да се повиши сигурността и да се подобри съответствието на сигурността.

Команден център за сигурност на Google Cloud

Уебсайт: cloud.google.com/security-command-center
Лиценз: търговски

Cloud Security Command Center помага на екипите по сигурността да събират данни, да идентифицират заплахите и да ги коригират, преди да навредят на компанията.

Както подсказва името, Google Cloud SCC е унифициран контролен панел, който може да интегрира и управлява различни отчети за сигурност, машини за проследяване на активи и системи за сигурност на трети страни от един централизиран източник.

Оперативно съвместимият API, предлаган от Google Cloud SCC, улеснява интегрирането на събития за сигурност, идващи от различни източници като Sysdig Secure (сигурност на контейнера за собствени в облака приложения) или Falco (сигурност по време на изпълнение с отворен код).

Многослойна информация (Qualys)

Уебсайт: layeredinsight.com
Лиценз: търговски

Layered Insight (сега част от Qualys Inc) е изграден върху концепцията за „вградена сигурност“. След сканиране на оригиналното изображение за уязвимости с помощта на методи за статистически анализ и извършване на CVE проверки, Layered Insight го заменя с инструментирано изображение, което включва агент под формата на двоичен файл.

Този агент съдържа тестове за сигурност по време на изпълнение, за да анализира мрежовия трафик на контейнера, I/O потоци и активност на приложението. В допълнение, той може да извършва допълнителни проверки за сигурност, определени от администратора на инфраструктурата или екипите на DevOps.

NeuVector

Уебсайт: neuvector.com
Лиценз: търговски

NeuVector извършва проверки за сигурност на контейнера и защита по време на изпълнение, като анализира мрежовата активност и поведението на приложението, създавайки индивидуален профил за сигурност за всеки контейнер. Той може също да блокира заплахи самостоятелно, като изолира подозрителна дейност чрез промяна на правилата на локалната защитна стена.

Мрежовата интеграция на NeuVector, известна като Security Mesh, е способна на дълбока инспекция на пакети и филтриране на ниво 7 за всички мрежови връзки в мрежа на услугата.

stackrox

Уебсайт: www.stackrox.com
Лиценз: търговски

Платформата за сигурност на контейнерите StackRox има за цел да покрие целия жизнен цикъл на приложенията на Kubernetes в клъстер. Подобно на други търговски платформи в този списък, StackRox генерира профил по време на изпълнение въз основа на наблюдаваното поведение на контейнера и автоматично подава аларма при всякакви отклонения.

Освен това StackRox анализира конфигурациите на Kubernetes, използвайки CIS Kubernetes и други книги с правила, за да оцени съответствието на контейнера.

Sysdig Secure

Уебсайт: sysdig.com/products/secure
Лиценз: търговски

Sysdig Secure защитава приложенията през целия жизнен цикъл на контейнера и Kubernetes. Той сканира изображения контейнери, осигурява защита по време на изпълнение според машинното обучение извършва престъпление. експертиза за идентифициране на уязвимости, блокира заплахи, наблюдава съответствие с установените стандарти и одит дейност в микроуслуги.

Sysdig Secure се интегрира с CI/CD инструменти като Jenkins и контролира изображения, заредени от регистрите на Docker, предотвратявайки появата на опасни изображения в производството. Той също така осигурява цялостна сигурност по време на изпълнение, включително:

ML-базирано профилиране по време на изпълнение и откриване на аномалии;
политики за време на изпълнение, базирани на системни събития, API за K8s-одит, съвместни проекти на общността (FIM - мониторинг на целостта на файловете; криптоджакинг) и рамка MITER ATT&CK;
реакция и отстраняване на инциденти.

Устойчива сигурност на контейнера

Уебсайт: www.tenable.com/products/tenable-io/container-security
Лиценз: търговски

Преди появата на контейнерите Tenable беше широко известна в индустрията като компанията, разработила Nessus, популярен инструмент за откриване на уязвимости и одит на сигурността.

Tenable Container Security използва опита на компанията в областта на компютърната сигурност, за да интегрира CI/CD тръбопровод с бази данни за уязвимости, специализирани пакети за откриване на зловреден софтуер и съвети за сигурност.

Twistlock (Palo Alto Networks)

Уебсайт: www.twistlock.com
Лиценз: търговски

Twistlock се рекламира като платформа, фокусирана върху облачни услуги и контейнери. Twistlock поддържа различни облачни доставчици (AWS, Azure, GCP), оркестратори на контейнери (Kubernetes, Mesospehere, OpenShift, Docker), времена за изпълнение без сървър, мрежести рамки и CI/CD инструменти.

В допълнение към обичайните методи за сигурност на корпоративно ниво, като интеграция на CI/CD тръбопровод или сканиране на изображения, Twistlock използва машинно обучение за генериране на специфични за контейнера модели на поведение и мрежови правила.

Преди време Twistlock беше купена от Palo Alto Networks, която притежава проектите Evident.io и RedLock. Все още не е известно как точно ще бъдат интегрирани тези три платформи Призма от Пало Алто.

Помогнете за изграждането на най-добрия каталог с инструменти за сигурност на Kubernetes!

Ние се стремим да направим този каталог възможно най-пълен и за това се нуждаем от вашата помощ! Свържете се с нас (@sysdig), ако имате предвид страхотен инструмент, който заслужава да бъде включен в този списък, или откриете грешка/остаряла информация.

Можете също да се абонирате за нашия месечен бюлетин с новини за облачната екосистема и истории за интересни проекти от света на сигурността на Kubernetes.

PS от преводача

Прочетете също в нашия блог:

Източник: www.habr.com

33+ инструмента за сигурност на Kubernetes

Категории