33+ инструмСнта для бСзопасности Kubernetes

ΠŸΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².: Если Π²Ρ‹ Π·Π°Π΄Π°Ρ‘Ρ‚Π΅ΡΡŒ вопросами бСзопасности Π² инфраструктурС, основанной Π½Π° Kubernetes, этот Π·Π°ΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΠΎΠ±Π·ΠΎΡ€ ΠΎΡ‚ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Sysdig станСт ΠΎΡ‚Π»ΠΈΡ‡Π½ΠΎΠΉ ΠΎΡ‚ΠΏΡ€Π°Π²Π½ΠΎΠΉ Ρ‚ΠΎΡ‡ΠΊΠΎΠΉ для Π±Π΅Π³Π»ΠΎΠ³ΠΎ знакомства с Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ Π½Π° сСгодняшний дСнь Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΠΌΠΈ. Π’ Π½Π΅Π³ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ ΠΈ комплСксныС систСмы ΠΎΡ‚ извСстных ΠΈΠ³Ρ€ΠΎΠΊΠΎΠ² Ρ€Ρ‹Π½ΠΊΠ°, ΠΈ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±ΠΎΠ»Π΅Π΅ скромныС ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹, Π·Π°ΠΊΡ€Ρ‹Π²Π°ΡŽΡ‰ΠΈΠ΅ Ρ‚Ρƒ ΠΈΠ»ΠΈ ΠΈΠ½ΡƒΡŽ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ. А Π² коммСнтариях ΠΌΡ‹ ΠΊΠ°ΠΊ всСгда Π±ΡƒΠ΄Π΅ΠΌ Ρ€Π°Π΄Ρ‹ ΡƒΠ·Π½Π°Ρ‚ΡŒ ΠΎ вашСм ΠΎΠΏΡ‹Ρ‚Π΅ использования этих инструмСнтов ΠΈ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ ссылки Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹.

33+ инструмСнта для бСзопасности Kubernetes
ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Π΅ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρ‹ для обСспСчСния бСзопасности Kubernetes… ΠΈΡ… Ρ‚Π°ΠΊ ΠΌΠ½ΠΎΠ³ΠΎ, ΠΈ Ρƒ ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ свои Ρ†Π΅Π»ΠΈ, ΠΎΠ±Π»Π°ΡΡ‚ΡŒ примСнСния ΠΈ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ.

ИмСнно поэтому ΠΌΡ‹ Ρ€Π΅ΡˆΠΈΠ»ΠΈ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ этот список ΠΈ Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΠΈ Π² Π½Π΅Π³ΠΎ ΠΊΠ°ΠΊ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹, Ρ‚Π°ΠΊ ΠΈ коммСрчСскиС ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ ΠΎΡ‚ Ρ€Π°Π·Π½Ρ‹Ρ… поставщиков. НадССмся, ΠΎΠ½ ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚ Π²Π°ΠΌ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ Ρ‚Π΅ ΠΈΠ· Π½ΠΈΡ…, Ρ‡Ρ‚ΠΎ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ наибольший интСрСс ΠΈ направят Π² Π²Π΅Ρ€Π½ΠΎΠΌ Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ Π² зависимости ΠΎΡ‚ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… потрСбностСй Π² Π΄Π΅Π»Π΅ обСспСчСния бСзопасности Kubernetes.

ΠšΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ

Π§Ρ‚ΠΎΠ±Ρ‹ ΡƒΠΏΡ€ΠΎΡΡ‚ΠΈΡ‚ΡŒ Π½Π°Π²ΠΈΠ³Π°Ρ†ΠΈΡŽ ΠΏΠΎ списку, инструмСнты Ρ€Π°Π·Π±ΠΈΡ‚Ρ‹ ΠΏΠΎ основным функциям ΠΈ областям примСнСния. ΠŸΠΎΠ»ΡƒΡ‡ΠΈΠ»ΠΈΡΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π°Π·Π΄Π΅Π»Ρ‹:

  • Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΠ±Ρ€Π°Π·ΠΎΠ² Kubernetes ΠΈ статичСский Π°Π½Π°Π»ΠΈΠ·;
  • Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ runtime;
  • БСтСвая Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Kubernetes;
  • РаспространСниС ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ сСкрСтами;
  • Аудит бСзопасности Kubernetes;
  • ΠšΠΎΠΌΠΏΠ»Π΅ΠΊΡΠ½Ρ‹Π΅ коммСрчСскиС ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρ‹.

ΠŸΠ΅Ρ€Π΅ΠΉΠ΄Π΅ΠΌ ΠΊ Π΄Π΅Π»Ρƒ:

Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΠ±Ρ€Π°Π·ΠΎΠ² Kubernetes

Anchore

  • Π‘Π°ΠΉΡ‚: anchore.com
  • ЛицСнзия: свободная (Apache) ΠΈ коммСрчСскоС ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½ΠΈΠ΅

33+ инструмСнта для бСзопасности Kubernetes

ΠŸΠ°ΠΊΠ΅Ρ‚ Anchore Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΎΠ±Ρ€Π°Π·Ρ‹ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈ позволяСт ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ бСзопасности Π½Π° основС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ, Π·Π°Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ.

Помимо ΠΏΡ€ΠΈΠ²Ρ‹Ρ‡Π½ΠΎΠ³ΠΎ сканирования ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ извСстных уязвимостСй ΠΈΠ· Π±Π°Π·Ρ‹ CVE, Anchore ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ мноТСство Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ сканирования: провСряСт Dockerfile, ΡƒΡ‚Π΅Ρ‡ΠΊΡƒ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… языков программирования (npm, maven ΠΈ Ρ‚. Π΄.), Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ ПО ΠΈ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ Π΄Ρ€ΡƒΠ³ΠΎΠ΅.

Clair

  • Π‘Π°ΠΉΡ‚: coreos.com/clair (Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ ΠΏΠΎΠ΄ ΠΎΠΏΠ΅ΠΊΠΎΠΉ Red Hat)
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Clair Π±Ρ‹Π» ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠ· ΠΏΠ΅Ρ€Π²Ρ‹Ρ… Open Source-ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ² для сканирования ΠΎΠ±Ρ€Π°Π·ΠΎΠ². Он ΡˆΠΈΡ€ΠΎΠΊΠΎ извСстСн ΠΊΠ°ΠΊ сканСр бСзопасности, Π»Π΅ΠΆΠ°Ρ‰ΠΈΠΉ Π² основС рССстра ΠΎΠ±Ρ€Π°Π·ΠΎΠ² Quay (Ρ‚ΠΎΠΆΠ΅ ΠΎΡ‚ CoreOS β€” ΠΏΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².). Clair ΡƒΠΌΠ΅Π΅Ρ‚ ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ CVE ΠΈΠ· большого числа источников, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ списки спСцифичСских для Linux-дистрибутивов уязвимостСй, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Π΅Π΄ΡƒΡ‚ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ ΠΏΠΎ бСзопасности Debian, Red Hat ΠΈΠ»ΠΈ Ubuntu.

Π’ ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Anchore, Clair прСимущСствСнно занимаСтся поиском уязвимостСй ΠΈ сопоставлСниСм Π΄Π°Π½Π½Ρ‹Ρ… с CVE. Π’ΠΏΡ€ΠΎΡ‡Π΅ΠΌ, ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ возмоТности для Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌΡ‹Ρ… Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠ².

Dagda

33+ инструмСнта для бСзопасности Kubernetes

Dagda ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ статичСский Π°Π½Π°Π»ΠΈΠ· ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ наличия извСстных уязвимостСй, троянов, вирусов, врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΡƒΠ³Ρ€ΠΎΠ·.

ΠžΡ‚ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΠΎΡ…ΠΎΠΆΠΈΡ… инструмСнтов ΠΏΠ°ΠΊΠ΅Ρ‚ Dagda ΠΎΡ‚Π»ΠΈΡ‡Π°ΡŽΡ‚ Π΄Π²Π΅ ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ особСнности:

  • Он ΠΎΡ‚Π»ΠΈΡ‡Π½ΠΎ интСгрируСтся с ClamAV, выступая Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΊΠ°ΠΊ инструмСнт для сканирования ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π½ΠΎ ΠΈ ΠΊΠ°ΠΊ антивирус.
  • Π’Π°ΠΊΠΆΠ΅ обСспСчиваСт runtime-Π·Π°Ρ‰ΠΈΡ‚Ρƒ, Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ получая события ΠΎΡ‚ Π΄Π΅ΠΌΠΎΠ½Π° Docker’а ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΡƒΡΡΡŒ с Falco (см. Π½ΠΈΠΆΠ΅) для сбора событий бСзопасности Π²ΠΎ врСмя Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°.

KubeXray

  • Π‘Π°ΠΉΡ‚: github.com/jfrog/kubexray
  • ЛицСнзия: свободная (Apache), Π½ΠΎ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ получСния Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ JFrog Xray (коммСрчСского ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°)

33+ инструмСнта для бСзопасности Kubernetes

KubeXray Β«ΡΠ»ΡƒΡˆΠ°Π΅Ρ‚Β» события API-сСрвСра Kubernetes ΠΈ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ JFrog Xray слСдит Π·Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°ΠΏΡƒΡΠΊΠ°Π»ΠΈΡΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ pod’Ρ‹, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅.

KubeXray Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ Π°ΡƒΠ΄ΠΈΡ‚ Π½ΠΎΠ²Ρ‹Ρ… ΠΈΠ»ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Π² deployment’Π°Ρ… (ΠΏΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с admission controller Π² Kubernetes), Π½ΠΎ Ρ‚Π°ΠΊΠΆΠ΅ динамичСски провСряСт Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹ Π½Π° соотвСтствиС Π½ΠΎΠ²Ρ‹ΠΌ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°ΠΌ бСзопасности, удаляя рСсурсы, ΡΡΡ‹Π»Π°ΡŽΡ‰ΠΈΠ΅ΡΡ Π½Π° уязвимыС ΠΎΠ±Ρ€Π°Π·Ρ‹.

Snyk

  • Π‘Π°ΠΉΡ‚: snyk.io
  • ЛицСнзия: свободная (Apache) ΠΈ коммСрчСская вСрсии

33+ инструмСнта для бСзопасности Kubernetes

Snyk β€” это Π½Π΅ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹ΠΉ сканСр уязвимостСй Π² Ρ‚ΠΎΠΌ смыслС, Ρ‡Ρ‚ΠΎ ΠΎΠ½ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π½Π°Ρ†Π΅Π»Π΅Π½ Π½Π° процСсс Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ продвигаСтся ΠΊΠ°ΠΊ Β«Π½Π΅Π·Π°ΠΌΠ΅Π½ΠΈΠΌΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅Β» для Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ².

Snyk Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΊ рСпозиториям ΠΊΠΎΠ΄Π°, парсит манифСст ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΈΠΌΠΏΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΊΠΎΠ΄ вмСстС с прямыми ΠΈ косвСнными зависимостями. Snyk ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ популярныС языки программирования ΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ скрытыС Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΎΠ½Π½Ρ‹Π΅ риски.

Trivy

33+ инструмСнта для бСзопасности Kubernetes

Trivy β€” простой, Π½ΠΎ ΠΌΠΎΡ‰Π½Ρ‹ΠΉ сканСр уязвимостСй для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π»Π΅Π³ΠΊΠΎ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΉ Π² CI/CD-ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½. Π•Π³ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Π°Ρ ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ β€” простота установки ΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹: ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ состоит ΠΈΠ· СдинствСнного Π±ΠΈΠ½Π°Ρ€Π½ΠΈΠΊΠ° ΠΈ Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ установки Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ»ΠΈ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ.

ΠžΠ±Ρ€Π°Ρ‚Π½Π°Ρ сторона простоты Trivy состоит Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ придСтся Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒΡΡ, ΠΊΠ°ΠΊ ΠΏΠ°Ρ€ΡΠΈΡ‚ΡŒ ΠΈ ΠΏΠ΅Ρ€Π΅ΡΡ‹Π»Π°Ρ‚ΡŒ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠΌΠΈ ΠΌΠΎΠ³Π»ΠΈ Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ инструмСнты бСзопасности Kubernetes.

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ runtime Π² Kubernetes

Falco

  • Π‘Π°ΠΉΡ‚: falco.org
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Falco β€” Π½Π°Π±ΠΎΡ€ инструмСнтов для обСспСчСния бСзопасности ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… срСд выполнСния. Π’Ρ…ΠΎΠ΄ΠΈΡ‚ Π² сСмСйство ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ² CNCF.

Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ инструмСнтарий Sysdig для Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра Linux ΠΈ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ систСмных Π²Ρ‹Π·ΠΎΠ²ΠΎΠ², Falco позволяСт Π³Π»ΡƒΠ±ΠΎΠΊΠΎ ΠΏΠΎΠ³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒΡΡ Π² ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ систСмы. Π•Π³ΠΎ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ runtime-ΠΏΡ€Π°Π²ΠΈΠ» способСн ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π² прилоТСниях, ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°Ρ…, Π±Π°Π·ΠΎΠ²ΠΎΠΌ хостС ΠΈ оркСстраторС Kubernetes.

Falco обСспСчиваСт ΠΏΠΎΠ»Π½ΡƒΡŽ ΠΏΡ€ΠΎΠ·Ρ€Π°Ρ‡Π½ΠΎΡΡ‚ΡŒ Π² Ρ€Π°Π±ΠΎΡ‚Π΅ runtime’Π° ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΡƒΠ³Ρ€ΠΎΠ·, ставя для этих Ρ†Π΅Π»Π΅ΠΉ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π°Π³Π΅Π½Ρ‚ΠΎΠ² Π½Π° ΡƒΠ·Π»Π°Ρ… Kubernetes. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΠΎΡ‚ΠΏΠ°Π΄Π°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹, внСдряя Π² Π½ΠΈΡ… сторонний ΠΊΠΎΠ΄ ΠΈΠ»ΠΈ навСшивая sidecar-ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹.

Π€Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΈ бСзопасности Linux для runtime

33+ инструмСнта для бСзопасности Kubernetes

Π­Ρ‚ΠΈ Ρ€ΠΎΠ΄Π½Ρ‹Π΅ для ядра Linux Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΈ Π½Π΅ ΡΠ²Π»ΡΡŽΡ‚ΡΡ «инструмСнтами бСзопасности KubernetesΒ» Π² ΠΏΡ€ΠΈΠ²Ρ‹Ρ‡Π½ΠΎΠΌ смыслС, ΠΎΠ΄Π½Π°ΠΊΠΎ Π·Π°ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ упоминания, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ Π²Π°ΠΆΠ½Ρ‹ΠΌ элСмСнтом Π² контСкстС бСзопасности Π² runtime, Ρ‡Ρ‚ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Kubernetes Pod Security Policy (PSP).

AppArmor ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ бСзопасности ΠΊ процСссам, Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹ΠΌ Π² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π΅, опрСдСляя ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΉ систСмы, ΠΏΡ€Π°Π²ΠΈΠ»Π° сСтСвого доступа, ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ ΠΈ Ρ‚.Π΄. Π­Ρ‚ΠΎ систСма Π½Π° основС ΠΌΠ°Π½Π΄Π°Ρ‚Π½ΠΎΠ³ΠΎ управлСния доступом (Mandatory Access Control, MAC). Π”Ρ€ΡƒΠ³ΠΈΠΌΠΈ словами, ΠΎΠ½Π° ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π°Π΅Ρ‚ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π·Π°ΠΏΡ€Π΅Ρ‰Π΅Π½Π½Ρ‹Ρ… дСйствий.

Security-Enhanced Linux (SELinux) β€” это ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½ΠΎΠΉ бСзопасности Π² ядрС Linux, Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… аспСктах ΠΏΠΎΡ…ΠΎΠΆΠΈΠΉ Π½Π° AppArmor ΠΈ часто сравниваСмый с Π½ΠΈΠΌ. SELinux прСвосходит AppArmor ΠΏΠΎ мощности, гибкости ΠΈ тонкости настроСк. Π•Π³ΠΎ нСдостатки β€” Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ освоСниС ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½Π°Ρ ΡΠ»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ.

Seccomp ΠΈ seccomp-bpf ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ²Π°Ρ‚ΡŒ систСмныС Π²Ρ‹Π·ΠΎΠ²Ρ‹, Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Ρ‚Π΅Ρ… ΠΈΠ· Π½ΠΈΡ…, Ρ‡Ρ‚ΠΎ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ опасны для Π±Π°Π·ΠΎΠ²ΠΎΠΉ ОБ ΠΈ Π½Π΅ Π½ΡƒΠΆΠ½Ρ‹ для Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Seccomp Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΌΠΎΠΌΠ΅Π½Ρ‚Π°Ρ… ΠΏΠΎΡ…ΠΎΠΆ Π½Π° Falco, хотя ΠΈ Π½Π΅ Π·Π½Π°Π΅Ρ‚ спСцифики ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ².

Sysdig open source

  • Π‘Π°ΠΉΡ‚: www.sysdig.com/opensource
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Sysdig β€” ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½Ρ‹ΠΉ инструмСнт для Π°Π½Π°Π»ΠΈΠ·Π°, диагностики ΠΈ ΠΎΡ‚Π»Π°Π΄ΠΊΠΈ Linux-систСм (Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ Π½Π° Windows ΠΈ macOS, Π½ΠΎ с ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½Ρ‹ΠΌΠΈ функциями). Π•Π³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для сбора Π΄Π΅Ρ‚Π°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΈ ΠΊΡ€ΠΈΠΌΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠΉ экспСртизы (forensics) Π±Π°Π·ΠΎΠ²ΠΎΠΉ систСмы ΠΈ Π»ΡŽΠ±Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π½Π° Π½Π΅ΠΉ.

Π’Π°ΠΊΠΆΠ΅ Sysdig ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ исполняСмыС срСды для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Π΅ Kubernetes, добавляя Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ измСрСния ΠΈ ΠΌΠ΅Ρ‚ΠΊΠΈ ΠΊΠΎ всСй собираСмой ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ систСмы. БущСствуСт нСсколько способов Π°Π½Π°Π»ΠΈΠ·Π° кластСра Kubernetes с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Sysdig: ΠΌΠΎΠΆΠ½ΠΎ провСсти Π·Π°Ρ…Π²Π°Ρ‚ Π½Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Ρ‡Π΅Ρ€Π΅Π· kubectl capture ΠΈΠ»ΠΈ ΠΆΠ΅ Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ ΠΈΠ½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹ΠΉ интСрфСйс Π½Π° Π±Π°Π·Π΅ ncurses с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΠ»Π°Π³ΠΈΠ½Π° kubectl dig.

БСтСвая Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Kubernetes

Aporeto

  • Π‘Π°ΠΉΡ‚: www.aporeto.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Aporeto ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Β«Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, ΠΎΡ‚Π΄Π΅Π»Π΅Π½Π½ΡƒΡŽ ΠΎΡ‚ сСти ΠΈ инфраструктуры». Π­Ρ‚ΠΎ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ сСрвисы Kubernetes Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ID (Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ ServiceAccount Π² Kubernetes), Π½ΠΎ ΠΈ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€/ΠΎΡ‚ΠΏΠ΅Ρ‡Π°Ρ‚ΠΎΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для бСзопасного ΠΈ Π²Π·Π°ΠΈΠΌΠ½ΠΎ провСряСмого взаимодСйствия с Π»ΡŽΠ±Ρ‹ΠΌ Π΄Ρ€ΡƒΠ³ΠΈΠΌ сСрвисом, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² кластСрС OpenShift.

Aporeto способСн Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для Kubernetes/ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π½ΠΎ ΠΈ для хостов, ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Π’ зависимости ΠΎΡ‚ этих ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΈ Π½Π°Π±ΠΎΡ€Π° ΠΏΡ€Π°Π²ΠΈΠ» сСтСвой бСзопасности, Π·Π°Π΄Π°Π½Π½Ρ‹Ρ… администратором, ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π±ΡƒΠ΄ΡƒΡ‚ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½Ρ‹ ΠΈΠ»ΠΈ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Ρ‹.

Calico

  • Π‘Π°ΠΉΡ‚: www.projectcalico.org
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Calico ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°ΡŽΡ‚ Π²ΠΎ врСмя установки оркСстратора ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Ρ‡Ρ‚ΠΎ позволяСт ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ, ΡΠ²ΡΠ·Ρ‹Π²Π°ΡŽΡ‰ΡƒΡŽ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹. Помимо этой Π±Π°Π·ΠΎΠ²ΠΎΠΉ сСтСвой Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ Calico Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ с Kubernetes Network Policies ΠΈ своим собствСнным Π½Π°Π±ΠΎΡ€ΠΎΠΌ ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΉ сСтСвой бСзопасности, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ACL (списки контроля доступа) endpoint’ΠΎΠ² ΠΈ основанныС Π½Π° аннотациях ΠΏΡ€Π°Π²ΠΈΠ»Π° сСтСвой бСзопасности для Ingress- ΠΈ Egress-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°.

Cilium

  • Π‘Π°ΠΉΡ‚: www.cilium.io
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Cilium выступаСт Π² качСствС брандмауэра для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈ прСдоставляСт Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ ΠΏΠΎ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΡŽ сСтСвой бСзопасности, ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Π°Π΄Π°ΠΏΡ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊ Kubernetes ΠΈ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΌ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ°ΠΌ микросСрвисов. Cilium ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π½ΠΎΠ²ΡƒΡŽ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΡŽ ядра Linux ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ BPF (Berkeley Packet Filter) для Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ, ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, пСрСнаправлСния ΠΈ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΠΎΠ²ΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ….

Cilium способСн Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ сСтСвого доступа Π½Π° основС ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ ΠΌΠ΅Ρ‚ΠΊΠΈ Docker ΠΈΠ»ΠΈ Kubernetes ΠΈ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Π΅. Cilium Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠΎΠ½ΠΈΠΌΠ°Π΅Ρ‚ ΠΈ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΡƒΠ΅Ρ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ 7-Π³ΠΎ уровня, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ HTTP ΠΈΠ»ΠΈ gRPC, позволяя ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡ‚ΡŒ Π½Π°Π±ΠΎΡ€ Π²Ρ‹Π·ΠΎΠ²ΠΎΠ² REST, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π±ΡƒΠ΄ΡƒΡ‚ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½Ρ‹ ΠΌΠ΅ΠΆΠ΄Ρƒ двумя deployment’Π°ΠΌΠΈ Kubernetes.

Istio

  • Π‘Π°ΠΉΡ‚: istio.io
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Istio ΡˆΠΈΡ€ΠΎΠΊΠΎ извСстСн ΠΊΠ°ΠΊ рСализация ΠΏΠ°Ρ€Π°Π΄ΠΈΠ³ΠΌΡ‹ service mesh ΠΏΡƒΡ‚Π΅ΠΌ развСртывания нСзависимой ΠΎΡ‚ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ control plane ΠΈ пСрСнаправлСния всСго управляСмого сСрвисного Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Ρ‡Π΅Ρ€Π΅Π· динамичСски ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Π΅ прокси Envoy. Istio ΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ этим ΠΏΠ΅Ρ€Π΅Π΄ΠΎΠ²Ρ‹ΠΌ прСдставлСниСм всСх микросСрвисов ΠΈ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² для Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… стратСгий сСтСвой бСзопасности.

ВозмоТности Istio ΠΏΠΎ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΡŽ сСтСвой бСзопасности Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ Π² сСбя ΠΏΡ€ΠΎΠ·Ρ€Π°Ρ‡Π½ΠΎΠ΅ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ TLS для автоматичСского ΡƒΠ»ΡƒΡ‡ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΉ ΠΌΠ΅ΠΆΠ΄Ρƒ микросСрвисами Π΄ΠΎ HTTPS ΠΈ ΡΠΎΠ±ΡΡ‚Π²Π΅Π½Π½ΡƒΡŽ систСму RBAC для ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΈ для Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ/Π·Π°ΠΏΡ€Π΅Ρ‚Π° ΠΎΠ±ΠΌΠ΅Π½Π° Π΄Π°Π½Π½Ρ‹ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΌΠΈ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ°ΠΌΠΈ Π² кластСрС.

ΠŸΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².: ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΎ возмоТностях Istio, ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, Ρ‡ΠΈΡ‚Π°ΠΉΡ‚Π΅ Π² этой ΡΡ‚Π°Ρ‚ΡŒΠ΅.

Tigera

  • Π‘Π°ΠΉΡ‚: www.tigera.io
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Π’ этом Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΈ, Π½Π°Π·Ρ‹Π²Π°Π΅ΠΌΠΎΠΌ «брандмауэром KubernetesΒ», дСлаСтся ΡƒΠΏΠΎΡ€ Π½Π° ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΊ сСтСвой бСзопасности с Π½ΡƒΠ»Π΅Π²Ρ‹ΠΌ Π΄ΠΎΠ²Π΅Ρ€ΠΈΠ΅ΠΌ.

По Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ Ρ€ΠΎΠ΄Π½Ρ‹ΠΌΠΈ для Kubernetes сСтСвыми Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΠΌΠΈ, Tigera полагаСтся Π½Π° ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΈ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… сСрвисов ΠΈ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ² Π² кластСрС ΠΈ обСспСчиваСт ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ Π² runtime, Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ Π½Π° соотвСтствиС ΠΈ ΠΏΡ€ΠΎΠ·Ρ€Π°Ρ‡Π½ΠΎΡΡ‚ΡŒ сСти для ΠΌΠ½ΠΎΠ³ΠΎΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… ΠΈΠ»ΠΈ Π³ΠΈΠ±Ρ€ΠΈΠ΄Π½Ρ‹Ρ… ΠΌΠΎΠ½ΠΎΠ»ΠΈΡ‚Π½ΠΎ-ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹Ρ… инфраструктур.

Trireme

33+ инструмСнта для бСзопасности Kubernetes

Trireme-Kubernetes β€” это простая ΠΈ понятная рСализация спСцификации Kubernetes Network Policies. Π‘Π°ΠΌΠΎΠΉ ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ являСтся Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ β€” Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ ΠΏΠΎΡ…ΠΎΠΆΠΈΡ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² для сСтСвой бСзопасности Kubernetes β€” ΠΎΠ½ΠΎ Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΡŒΠ½ΠΎΠΉ control plane для ΠΊΠΎΠΎΡ€Π΄ΠΈΠ½Π°Ρ†ΠΈΠΈ сСтки (mesh). Π­Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ Ρ‚Ρ€ΠΈΠ²ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΌ. Π’ Trireme это достигаСтся ΠΏΡƒΡ‚Π΅ΠΌ установки Π°Π³Π΅Π½Ρ‚Π° Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΡƒΠ·Π΅Π», ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΊ TCP/IP-стСку хоста.

РаспространСниС ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ сСкрСтами

Grafeas

  • Π‘Π°ΠΉΡ‚: grafeas.io
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Grafeas β€” это API с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ для Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ управлСния Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΎΠΉ поставки ПО. На Π±Π°Π·ΠΎΠ²ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π½Π΅ Grafeas прСдставляСт собой инструмСнт для сбора ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ ΠΈΡ‚ΠΎΠ³ΠΎΠ² Π°ΡƒΠ΄ΠΈΡ‚Π°. Π•Π³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для отслСТивания соотвСтствия Π»ΡƒΡ‡ΡˆΠΈΠΌ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ°ΠΌ Π² области бСзопасности Π² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

Π­Ρ‚ΠΎΡ‚ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ источник истины ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ ΠΎΡ‚Π²Π΅Ρ‚ΠΈΡ‚ΡŒ Π½Π° вопросы Π²Ρ€ΠΎΠ΄Π΅:

  • ΠšΡ‚ΠΎ собрал ΠΈ подписал ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΉ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€?
  • ΠŸΡ€ΠΎΡˆΠ΅Π» Π»ΠΈ ΠΎΠ½ всС сканСры бСзопасности ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ, прСдусмотрСнныС ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΎΠΉ бСзопасности? Когда? Какими Π±Ρ‹Π»ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹?
  • ΠšΡ‚ΠΎ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΠ» Π΅Π³ΠΎ Π² production? КакиС ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ использовались ΠΏΡ€ΠΈ Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠΈ?

In-toto

  • Π‘Π°ΠΉΡ‚: in-toto.github.io
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

In-toto β€” это Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊ, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹ΠΉ для обСспСчСния цСлостности, Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° всСй Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΈ поставки ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния. ΠŸΡ€ΠΈ Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠΈ In-toto Π² инфраструктурС сначала задаСтся ΠΏΠ»Π°Π½, ΠΎΠΏΠΈΡΡ‹Π²Π°ΡŽΡ‰ΠΈΠΉ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ шаги Π² ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½Π΅ (Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ, инструмСнты CI/CD, инструмСнты QA, сборщики Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ² ΠΈ Ρ‚.Π΄.) ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ (отвСтствСнных Π»ΠΈΡ†), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΎ ΠΈΡ… ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ.

In-toto ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅Ρ‚ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΏΠ»Π°Π½Π°, провСряя, Ρ‡Ρ‚ΠΎ каТдая Π·Π°Π΄Π°Ρ‡Π° Π² Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ΅ выполняСтся Π΄ΠΎΠ»ΠΆΠ½Ρ‹ΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ пСрсоналом ΠΈ Π² процСссС двиТСния с ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠΌ Π½Π΅ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»ΠΈΡΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΠ΅ нСсанкционированныС манипуляции.

Portieris

  • Π‘Π°ΠΉΡ‚: github.com/IBM/portieris
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Portieris β€” это admission controller для Kubernetes; примСняСтся для ΠΏΡ€ΠΈΠ½ΡƒΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ Π½Π° Π΄ΠΎΠ²Π΅Ρ€ΠΈΠ΅ ΠΊ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Ρƒ. Portieris ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ сСрвСр Notary (ΠΌΡ‹ писали ΠΏΡ€ΠΎ Π½Π΅Π³ΠΎ Π² ΠΊΠΎΠ½Ρ†Π΅ этой ΡΡ‚Π°Ρ‚ΡŒΠΈ β€” ΠΏΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².) Π² качСствС источника истины для подтвСрТдСния Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… ΠΈ подписанных Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ² (Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ ΠΎΠ΄ΠΎΠ±Ρ€Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π½Ρ‹Ρ… ΠΎΠ±Ρ€Π°Π·ΠΎΠ²).

ΠŸΡ€ΠΈ создании ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΈ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π² Kubernetes Portieris Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ подписи ΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ довСрия ΠΊ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Ρƒ для Π·Π°ΠΏΡ€ΠΎΡˆΠ΅Π½Π½Ρ‹Ρ… ΠΎΠ±Ρ€Π°Π·ΠΎΠ² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈ ΠΏΡ€ΠΈ нСобходимости Π½Π° Π»Π΅Ρ‚Ρƒ вносит измСнСния Π² JSON-ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ API для запуска подписанных вСрсий этих ΠΎΠ±Ρ€Π°Π·ΠΎΠ².

Vault

  • Π‘Π°ΠΉΡ‚: www.vaultproject.io
  • ЛицСнзия: свободная (MPL)

33+ инструмСнта для бСзопасности Kubernetes

Vault β€” это бСзопасноС Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ для хранСния Π·Π°ΠΊΡ€Ρ‹Ρ‚ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ: ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² OAuth, PKI-сСртификатов, ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… записСй для доступа, сСкрСтов Kubernetes ΠΈ Ρ‚.Π΄. Vault ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Π΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Π°Ρ€Π΅Π½Π΄Π° эфСмСрных Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² бСзопасности ΠΈΠ»ΠΈ организация Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Helm-Ρ‡Π°Ρ€Ρ‚Π° Vault ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚ΡŒ ΠΊΠ°ΠΊ Π½ΠΎΠ²Ρ‹ΠΉ deployment Π² кластСрС Kubernetes с Consul’ΠΎΠΌ Π² качСствС backend-Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π°. Он ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ Ρ€ΠΎΠ΄Π½Ρ‹Π΅ рСсурсы Kubernetes Π²Ρ€ΠΎΠ΄Π΅ Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² ServiceAccount ΠΈ Π΄Π°ΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ΠΌ сСкрСтов Kubernetes ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ.

ΠŸΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².: ΠšΡΡ‚Π°Ρ‚ΠΈ, Π±ΡƒΠΊΠ²Π°Π»ΡŒΠ½ΠΎ Π²Ρ‡Π΅Ρ€Π° компания HashiCorp, Ρ€Π°Π·Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰Π°Ρ Vault, анонсировала Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡƒΠ»ΡƒΡ‡ΡˆΠ΅Π½ΠΈΡ для использования Vault Π² Kubernetes ΠΈ Π² частности ΠΎΠ½ΠΈ ΠΊΠ°ΡΠ°ΡŽΡ‚ΡΡ Helm-Ρ‡Π°Ρ€Ρ‚Π°. ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎΡΡ‚ΠΈ Ρ‡ΠΈΡ‚Π°ΠΉΡ‚Π΅ Π² Π±Π»ΠΎΠ³Π΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°.

Аудит бСзопасности Kubernetes

Kube-bench

33+ инструмСнта для бСзопасности Kubernetes

Kube-bench β€” ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π° Go, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰Π΅Π΅, бСзопасно Π»ΠΈ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚ Kubernetes, выполняя тСсты ΠΈΠ· списка CIS Kubernetes Benchmark.

Kube-bench ΠΈΡ‰Π΅Ρ‚ нСбСзопасныС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ срСди ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠ² кластСра (etcd, API, controller manager ΠΈ Ρ‚.Π΄.), ΡΠΎΠΌΠ½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΡ€Π°Π²Π° Π½Π° доступ ΠΊ Ρ„Π°ΠΉΠ»Π°ΠΌ, Π½Π΅Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ записи ΠΈΠ»ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΏΠΎΡ€Ρ‚Ρ‹, ΠΊΠ²ΠΎΡ‚Ρ‹ рСсурсов, настройки ограничСния числа ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠΉ ΠΊ API для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ DoS-Π°Ρ‚Π°ΠΊ ΠΈ Ρ‚.ΠΏ.

Kube-hunter

33+ инструмСнта для бСзопасности Kubernetes

Kube-hunter «охотится» Π½Π° ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ уязвимости (Π²Ρ€ΠΎΠ΄Π΅ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ выполнСния ΠΊΠΎΠ΄Π° ΠΈΠ»ΠΈ раскрытия Π΄Π°Π½Π½Ρ‹Ρ…) Π² кластСрах Kubernetes. Kube-hunter ΠΌΠΎΠΆΠ½ΠΎ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΠΊΠ°ΠΊ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΉ сканСр β€” Π² этом случаС ΠΎΠ½ ΠΎΡ†Π΅Π½ΠΈΡ‚ кластСр с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния стороннСго Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° β€” ΠΈΠ»ΠΈ ΠΊΠ°ΠΊ pod Π²Π½ΡƒΡ‚Ρ€ΠΈ кластСра.

ΠžΡ‚Π»ΠΈΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ Kube-hunter’Π° являСтся Ρ€Π΅ΠΆΠΈΠΌ Β«Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠΉ ΠΎΡ…ΠΎΡ‚Ρ‹Β», Π²ΠΎ врСмя ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΎΠ½ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ сообщаСт ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ…, Π½ΠΎ ΠΈ пытаСтся Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ уязвимостями, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹ΠΌΠΈ Π² Ρ†Π΅Π»Π΅Π²ΠΎΠΌ кластСрС, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΌΠΎΠ³ΡƒΡ‚ нанСсти Π²Ρ€Π΅Π΄ Π΅Π³ΠΎ Ρ€Π°Π±ΠΎΡ‚Π΅. Π’Π°ΠΊ Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ΡΡŒ с ΠΎΡΡ‚ΠΎΡ€ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ!

Kubeaudit

33+ инструмСнта для бСзопасности Kubernetes

Kubeaudit β€” это ΠΊΠΎΠ½ΡΠΎΠ»ΡŒΠ½Ρ‹ΠΉ инструмСнт, ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹ΠΉ Π² Shopify для Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ Kubernetes Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ наличия Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ Π² области бСзопасности. НапримСр, ΠΎΠ½ ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ Π±Π΅Π· ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠΉ, с ΠΏΡ€Π°Π²Π°ΠΌΠΈ ΡΡƒΠΏΠ΅Ρ€ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, Π·Π»ΠΎΡƒΠΏΠΎΡ‚Ρ€Π΅Π±Π»ΡΡŽΡ‰ΠΈΠ΅ привилСгиями ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ ServiceAccount ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ.

Π£ Kubeaudit Π΅ΡΡ‚ΡŒ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ интСрСсныС возмоТности. К ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, ΠΎΠ½ ΡƒΠΌΠ΅Π΅Ρ‚ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹ YAML, выявляя нСдостатки Π² ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, способныС привСсти ΠΊ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, ΠΈ автоматичСски ΠΈΡΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΠΈΡ….

Kubesec

  • Π‘Π°ΠΉΡ‚: kubesec.io
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

Kubesec β€” особСнный инструмСнт Π² Ρ‚ΠΎΠΌ смыслС, Ρ‡Ρ‚ΠΎ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ сканируСт YAML-Ρ„Π°ΠΉΠ»Ρ‹ с описаниСм рСсурсов Kubernetes Π² поисках слабых ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ², способных ΠΏΠΎΠ²Π»ΠΈΡΡ‚ΡŒ Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ.

НапримСр, ΠΎΠ½ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΈΠ·Π±Ρ‹Ρ‚ΠΎΡ‡Π½Ρ‹Π΅ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ ΠΈ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ, прСдоставлСнныС pod’Ρƒ, запуск ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π° с root’ΠΎΠΌ Π² качСствС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ, ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ пространству ΠΈΠΌΠ΅Π½ сСти хоста ΠΈΠ»ΠΈ опасныС монтирования Π²Ρ€ΠΎΠ΄Π΅ /proc хоста ΠΈΠ»ΠΈ сокСта Docker’Π°. Π•Ρ‰Π΅ ΠΎΠ΄Π½Π° интСрСсная Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Kubesec β€” доступный Π² ΠΎΠ½Π»Π°ΠΉΠ½Π΅ Π΄Π΅ΠΌΠΎ-сСрвис, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ½ΠΎ Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ YAML ΠΈ сразу провСсти Π΅Π³ΠΎ Π°Π½Π°Π»ΠΈΠ·.

Open Policy Agent

  • Π‘Π°ΠΉΡ‚: www.openpolicyagent.org
  • ЛицСнзия: свободная (Apache)

33+ инструмСнта для бСзопасности Kubernetes

ΠšΠΎΠ½Ρ†Π΅ΠΏΡ†ΠΈΡ OPA (Open Policy Agent) состоит Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡ‚Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности ΠΈ Π»ΡƒΡ‡ΡˆΠΈΠ΅ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ Π² области бСзопасности ΠΎΡ‚ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΉ runtime-ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹: Docker, Kubernetes, Mesosphere, OpenShift ΠΈΠ»ΠΈ любой ΠΈΡ… ΠΊΠΎΠΌΠ±ΠΈΠ½Π°Ρ†ΠΈΠΈ.

НапримСр, ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚ΡŒ OPA ΠΊΠ°ΠΊ бэкСнд для admission controller’Π° Kubernetes, дСлСгируя Π΅ΠΌΡƒ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΏΠΎ бСзопасности. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π°Π³Π΅Π½Ρ‚ OPA смоТСт ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡ‚ΡŒ, ΠΎΡ‚ΠΊΠ»ΠΎΠ½ΡΡ‚ΡŒ ΠΈ Π΄Π°ΠΆΠ΅ ΠΈΠ·ΠΌΠ΅Π½ΡΡ‚ΡŒ запросы Π½Π° Π»Π΅Ρ‚Ρƒ, обСспСчивая соблюдСниС Π·Π°Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² бСзопасности. ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности Π² OPA написаны Π½Π° Π΅Π³ΠΎ собствСнном DSL-языкС Rego.

ΠŸΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².: ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΏΡ€ΠΎ OPA (ΠΈ SPIFFE) ΠΌΡ‹ писали Π² этом ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»Π΅.

ΠšΠΎΠΌΠΏΠ»Π΅ΠΊΡΠ½Ρ‹Π΅ коммСрчСскиС инструмСнты для Π°Π½Π°Π»ΠΈΠ·Π° бСзопасности Kubernetes

ΠœΡ‹ Ρ€Π΅ΡˆΠΈΠ»ΠΈ завСсти ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΡƒΡŽ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΡŽ для коммСрчСских ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΎΠ½ΠΈ, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ сразу нСсколько областСй бСзопасности. ΠžΠ±Ρ‰Π΅Π΅ прСдставлСниС ΠΎΠ± ΠΈΡ… возмоТностях ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΈΠ· Ρ‚Π°Π±Π»ΠΈΡ†Ρ‹:

33+ инструмСнта для бСзопасности Kubernetes
* ΠŸΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Π°Ρ экспСртиза ΠΈ post mortem-Π°Π½Π°Π»ΠΈΠ· с ΠΏΠΎΠ»Π½Ρ‹ΠΌ Π·Π°Ρ…Π²Π°Ρ‚ΠΎΠΌ систСмных Π²Ρ‹Π·ΠΎΠ²ΠΎΠ².

Aqua Security

  • Π‘Π°ΠΉΡ‚: www.aquasec.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Π­Ρ‚ΠΎΡ‚ коммСрчСский инструмСнт ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… Π½Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ. Он обСспСчиваСт:

  • Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΠ±Ρ€Π°Π·ΠΎΠ², ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ΅ с рССстром ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΈΠ»ΠΈ CI/CD-ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½ΠΎΠΌ;
  • Runtime-Π·Π°Ρ‰ΠΈΡ‚Ρƒ с поиском ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°Ρ… ΠΈ Π΄Ρ€ΡƒΠ³ΠΎΠΉ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ активности;
  • Π ΠΎΠ΄Π½ΠΎΠΉ для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² брандмауэр;
  • Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ для serverless Π² ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… сСрвисах;
  • ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ Π½Π° соотвСтствиС трСбованиям ΠΈ Π°ΡƒΠ΄ΠΈΡ‚, ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½Π΅Π½Π½Ρ‹Π΅ с ΠΆΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ событий.

ΠŸΡ€ΠΈΠΌ. ΠΏΠ΅Ρ€Π΅Π².: Π‘Ρ‚ΠΎΠΈΡ‚ Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ ΠΈ бСсплатная ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰Π°Ρ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π° ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ MicroScanner, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΠ±Ρ€Π°Π·Ρ‹ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Π½Π° уязвимости. Π‘Ρ€Π°Π²Π½Π΅Π½ΠΈΠ΅ Π΅Ρ‘ возмоТностСй с ΠΏΠ»Π°Ρ‚Π½Ρ‹ΠΌΠΈ вСрсиями прСдставлСно Π² этой Ρ‚Π°Π±Π»ΠΈΡ†Π΅.

Capsule8

  • Π‘Π°ΠΉΡ‚: capsule8.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes
Capsule8 интСгрируСтся Π² инфраструктуру, устанавливая Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΎΡ€ Π² Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΈΠ»ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹ΠΉ кластСр Kubernetes. Π­Ρ‚ΠΎΡ‚ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΎΡ€ собираСт Ρ‚Π΅Π»Π΅ΠΌΠ΅Ρ‚Ρ€ΠΈΡŽ хоста ΠΈ сСти, сопоставляя Π΅Π΅ с Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ Ρ‚ΠΈΠΏΠ°ΠΌΠΈ Π°Ρ‚Π°ΠΊ.

Команда Capsule8 Π²ΠΈΠ΄ΠΈΡ‚ своСй Π·Π°Π΄Π°Ρ‡Π΅ΠΉ Ρ€Π°Π½Π½Π΅Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΠΈ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ Π°Ρ‚Π°ΠΊ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… свСТиС (0-day) уязвимости. Capsule8 ΡƒΠΌΠ΅Π΅Ρ‚ Π·Π°Π³Ρ€ΡƒΠΆΠ°Ρ‚ΡŒ ΡƒΡ‚ΠΎΡ‡Π½Π΅Π½Π½Ρ‹Π΅ ΠΏΡ€Π°Π²ΠΈΠ»Π° бСзопасности прямо Π½Π° Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ Π² ΠΎΡ‚Π²Π΅Ρ‚ Π½Π° Π½Π΅Π΄Π°Π²Π½ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ ΠΈ уязвимости ПО.

Cavirin

  • Π‘Π°ΠΉΡ‚: www.cavirin.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Cavirin выступаСт ΠΊΠΎΠ½Ρ‚Ρ€Π°Π³Π΅Π½Ρ‚ΠΎΠΌ Π½Π° сторонС ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ для Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… вСдомств, Π·Π°Π½ΠΈΠΌΠ°ΡŽΡ‰ΠΈΡ…ΡΡ стандартами бСзопасности. Он Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΎΠ±Ρ€Π°Π·Ρ‹, Π½ΠΎ ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π² CI/CD-ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½, блокируя Π½Π΅ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ стандартам ΠΎΠ±Ρ€Π°Π·Ρ‹ Π΄ΠΎ ΠΈΡ… попадания Π² Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ.

ΠŸΠ°ΠΊΠ΅Ρ‚ бСзопасности Cavirin ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ машинноС ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ для ΠΎΡ†Π΅Π½ΠΊΠΈ состояния кибСрбСзопасности, ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ совСты ΠΏΠΎ ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½ΠΈΡŽ бСзопасности ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡŽ соотвСтствия стандартам бСзопасности.

Google Cloud Security Command Center

33+ инструмСнта для бСзопасности Kubernetes

Cloud Security Command Center ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌ ΠΏΠΎ бСзопасности ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅, Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ ΠΈ ΡƒΡΡ‚Ρ€Π°Π½ΡΡ‚ΡŒ ΠΈΡ… Π΄ΠΎ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ ΠΎΠ½ΠΈ нанСсут Π²Ρ€Π΅Π΄ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ.

Как Π²ΠΈΠ΄Π½ΠΎ ΠΈΠ· названия, Google Cloud SCC β€” это унифицированная ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Π°Ρ панСль, Π² ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΎΡ‚Ρ‡Π΅Ρ‚Ρ‹ ΠΏΠΎ бСзопасности, ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ ΡƒΡ‡Π΅Ρ‚Π° Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΈ сторонниС систСмы бСзопасности, ΠΈ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΠΈΠΌΠΈ ΠΈΠ· Π΅Π΄ΠΈΠ½ΠΎΠ³ΠΎ, Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ источника.

Π˜Π½Ρ‚Π΅Ρ€ΠΎΠΏΠ΅Ρ€Π°Π±Π΅Π»ΡŒΠ½Ρ‹ΠΉ API, ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅ΠΌΡ‹ΠΉ Google Cloud SCC, ΠΎΠ±Π»Π΅Π³Ρ‡Π°Π΅Ρ‚ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΡŽ событий Π² области бСзопасности, ΠΏΠΎΡΡ‚ΡƒΠΏΠ°ΡŽΡ‰ΠΈΡ… ΠΈΠ· Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… источников, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Sysdig Secure (контСйнСрная Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ для cloud-native ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ) ΠΈΠ»ΠΈ Falco (Open Source-систСма бСзопасности runtime).

Layered Insight (Qualys)

  • Π‘Π°ΠΉΡ‚: layeredinsight.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Layered Insight (Π½Ρ‹Π½Π΅ Ρ‡Π°ΡΡ‚ΡŒ Qualys Inc) построСн Π½Π° ΠΊΠΎΠ½Ρ†Π΅ΠΏΡ†ΠΈΠΈ «встраиваСмой бСзопасности». ПослС сканирования ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Π° Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимостСй с использованиСм ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² статистичСского Π°Π½Π°Π»ΠΈΠ·Π° ΠΈ осущСствлСния ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ ΠΏΠΎ CVE, Layered Insight замСняСт Π΅Π³ΠΎ Π½Π° инструмСнтированный ΠΎΠ±Ρ€Π°Π·, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΉ Π² сСбя Π°Π³Π΅Π½Ρ‚Π° Π² Π²ΠΈΠ΄Π΅ Π±ΠΈΠ½Π°Ρ€Π½ΠΈΠΊΠ°.

Π­Ρ‚ΠΎΡ‚ Π°Π³Π΅Π½Ρ‚ содСрТит тСсты бСзопасности runtime для Π°Π½Π°Π»ΠΈΠ·Π° сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°, I/O ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² ΠΈ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ прилоТСния. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, ΠΎΠ½ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ бСзопасности, Π·Π°Π΄Π°Π½Π½Ρ‹Π΅ администратором инфраструктуры ΠΈΠ»ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌΠΈ DevOps.

NeuVector

  • Π‘Π°ΠΉΡ‚: neuvector.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

NeuVector ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ бСзопасности ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π° ΠΈ осущСствляСт runtime-Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΏΡƒΡ‚Π΅ΠΌ Π°Π½Π°Π»ΠΈΠ·Π° сСтСвой активности ΠΈ повСдСния прилоТСния, создавая ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ бСзопасности для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°. Он Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠ°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹, изолируя ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π·Π° счСт измСнСния ΠΏΡ€Π°Π²ΠΈΠ» локального firewall’Π°.

БСтСвая интСграция NeuVector, извСстная ΠΊΠ°ΠΊ Security Mesh, способна ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π³Π»ΡƒΠ±ΠΎΠΊΠΈΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΈ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π½Π° 7-ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π½Π΅ для всСх сСтСвых соСдинСний Π² service mesh.

StackRox

  • Π‘Π°ΠΉΡ‚: www.stackrox.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

ΠŸΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° для обСспСчСния бСзопасности ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² StackRox стараСтся ΠΎΡ…Π²Π°Ρ‚ΠΈΡ‚ΡŒ вСсь ΠΆΠΈΠ·Π½Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΠΊΠ» Kubernetes-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π² кластСрС. Как ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ коммСрчСскиС ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Π² этом спискС, StackRox Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ runtime-ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ Π½Π° основС наблюдаСмого повСдСния ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π° ΠΈ автоматичСски Π±ΡŒΠ΅Ρ‚ Ρ‚Ρ€Π΅Π²ΠΎΠ³Ρƒ ΠΏΡ€ΠΈ Π»ΡŽΠ±Ρ‹Ρ… отклонСниях.

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, StackRox Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ Kubernetes, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ CIS Kubernetes ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ своды ΠΏΡ€Π°Π²ΠΈΠ» для ΠΎΡ†Π΅Π½ΠΊΠΈ соотвСтствия ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ².

Sysdig Secure

  • Π‘Π°ΠΉΡ‚: sysdig.com/products/secure
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Sysdig Secure Π·Π°Ρ‰ΠΈΡ‰Π°Π΅Ρ‚ прилоТСния Π½Π° протяТСнии всСго ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π° ΠΈ Kubernetes. Он сканируСт ΠΎΠ±Ρ€Π°Π·Ρ‹ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², обСспСчиваСт runtime-Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΏΠΎ Π΄Π°Π½Π½Ρ‹ΠΌ машинного обучСния, выполняСт ΠΊΡ€ΠΈΠΌ. экспСртизу для выявлСния уязвимостСй, Π±Π»ΠΎΠΊΠΈΡ€ΡƒΠ΅Ρ‚ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹, слСдит Π·Π° соотвСтствиСм установлСнным стандартам ΠΈ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ Π°ΡƒΠ΄ΠΈΡ‚ активности Π² микросСрвисах.

Sysdig Secure интСгрируСтся с инструмСнтами CI/CD, Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΊΠ°ΠΊ Jenkins, ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΎΠ±Ρ€Π°Π·Ρ‹, Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΡ‹Π΅ ΠΈΠ· рССстров Docker, прСдотвращая появлСниС опасных ΠΎΠ±Ρ€Π°Π·ΠΎΠ² Π² production. Он Ρ‚Π°ΠΊΠΆΠ΅ обСспСчиваСт Π²ΡΠ΅ΡΡ‚ΠΎΡ€ΠΎΠ½Π½ΡŽΡŽ runtime-Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ:

  • runtime-ΠΏΡ€ΠΎΡ„ΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° основС ML ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ;
  • runtime-ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ, основанныС Π½Π° систСмных событиях, API K8s-audit, совмСстных ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°Ρ… сообщСства (FIM β€” file integrity monitoring; cryptojacking) ΠΈ Ρ„Ρ€Π΅ΠΉΠΌΠΎΡ€ΠΊΠ΅ MITRE ATT&CK;
  • Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈ устранСниС ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ².

Tenable Container Security

33+ инструмСнта для бСзопасности Kubernetes

Π”ΠΎ появлСния ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Tenable Π±Ρ‹Π»Π° ΡˆΠΈΡ€ΠΎΠΊΠΎ извСстна Π² отрасли ΠΊΠ°ΠΊ компания, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π²ΡˆΠ°Ρ Nessus β€” популярный инструмСнт для поиска уязвимостСй ΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° бСзопасности.

Tenable Container Security ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΠΎΠΏΡ‹Ρ‚ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Π² области ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½ΠΎΠΉ бСзопасности для ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ CI/CD-ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½Π° с Π±Π°Π·Π°ΠΌΠΈ уязвимостСй, спСциализированными ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ обнаруТСния врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΈ рСкомСндациями ΠΏΠΎ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ ΡƒΠ³Ρ€ΠΎΠ· бСзопасности.

Twistlock (Palo Alto Networks)

  • Π‘Π°ΠΉΡ‚: www.twistlock.com
  • ЛицСнзия: коммСрчСская

33+ инструмСнта для бСзопасности Kubernetes

Twistlock ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ³Π°Π΅Ρ‚ сСбя ΠΊΠ°ΠΊ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡƒ, ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π½Π° ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Π΅ сСрвисы ΠΈ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹. Twistlock ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ² (AWS, Azure, GCP), оркСстраторы ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² (Kubernetes, Mesospehere, OpenShift, Docker), serverless-срСды выполнСния, mesh-Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΈ ΠΈ инструмСнты CI/CD.

Помимо ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹Ρ… ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² обСспСчСния бСзопасности ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ уровня, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ интСграция Π² CI/CD-ΠΏΠ°ΠΉΠΏΠ»Π°ΠΉΠ½ ΠΈΠ»ΠΈ сканированиС ΠΎΠ±Ρ€Π°Π·ΠΎΠ², Twistlock ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ машинноС ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ повСдСнчСских ΠΏΠ°Ρ‚Ρ‚Π΅Ρ€Π½ΠΎΠ² ΠΈ сСтСвых ΠΏΡ€Π°Π²ΠΈΠ», ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… особСнности ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ².

НСкотороС врСмя Π½Π°Π·Π°Π΄ Twistlock ΠΊΡƒΠΏΠΈΠ»Π° компания Palo Alto Networks, Π²Π»Π°Π΄Π΅ΡŽΡ‰Π°Ρ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°ΠΌΠΈ Evident.io ΠΈ RedLock. Пока Π½Π΅ извСстно, ΠΊΠ°ΠΊ ΠΈΠΌΠ΅Π½Π½ΠΎ эти Ρ‚Ρ€ΠΈ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Π±ΡƒΠ΄ΡƒΡ‚ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ Π² PRISMA ΠΎΡ‚ Palo Alto.

ΠŸΠΎΠΌΠΎΠ³ΠΈΡ‚Π΅ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ Π»ΡƒΡ‡ΡˆΠΈΠΉ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ инструмСнтов ΠΏΠΎ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΈΡŽ бСзопасности Kubernetes!

ΠœΡ‹ стрСмимся ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ этот ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ максимально ΠΏΠΎΠ»Π½Ρ‹ΠΌ, ΠΈ для этого Π½Π°ΠΌ Π½ΡƒΠΆΠ½Π° ваша ΠΏΠΎΠΌΠΎΡ‰ΡŒ! Π‘Π²ΡΠΆΠΈΡ‚Π΅ΡΡŒ с Π½Π°ΠΌΠΈ (@sysdig), Ссли Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ‚Π΅ Π΅ΡΡ‚ΡŒ ΠΊΡ€ΡƒΡ‚ΠΎΠΉ инструмСнт, достойный Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Π² этот список, ΠΈΠ»ΠΈ Π²Ρ‹ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ ΠΎΡˆΠΈΠ±ΠΊΡƒ/ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ.

Π’Π°ΠΊΠΆΠ΅ Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΠΏΠΎΠ΄ΠΏΠΈΡΠ°Ρ‚ΡŒΡΡ Π½Π° Π½Π°ΡˆΡƒ Π΅ΠΆΠ΅ΠΌΠ΅ΡΡΡ‡Π½ΡƒΡŽ рассылку с новостями экосистСмы cloud-native ΠΈ рассказами ΠΎΠ± интСрСсных ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°Ρ… ΠΈΠ· ΠΌΠΈΡ€Π° бСзопасности Kubernetes.

P.S. ΠΎΡ‚ ΠΏΠ΅Ρ€Π΅Π²ΠΎΠ΄Ρ‡ΠΈΠΊΠ°

Π§ΠΈΡ‚Π°ΠΉΡ‚Π΅ Ρ‚Π°ΠΊΠΆΠ΅ Π² нашСм Π±Π»ΠΎΠ³Π΅:

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ