🥇33+ টুল কুবারনেটস নিরাপত্তার জন্য

বিঃদ্রঃ. অনুবাদ: আপনি যদি Kubernetes-ভিত্তিক অবকাঠামোর নিরাপত্তার বিষয়ে ভাবছেন, তাহলে Sysdig-এর এই চমৎকার ওভারভিউ বর্তমান সমাধানগুলি দ্রুত দেখার জন্য একটি দুর্দান্ত সূচনা পয়েন্ট। এটি সুপরিচিত বাজার খেলোয়াড়দের উভয় জটিল সিস্টেম এবং একটি নির্দিষ্ট সমস্যার সমাধান করে এমন আরও অনেক শালীন ইউটিলিটি অন্তর্ভুক্ত করে। এবং মন্তব্যগুলিতে, বরাবরের মতো, আমরা এই সরঞ্জামগুলি ব্যবহার করে আপনার অভিজ্ঞতার কথা শুনে এবং অন্যান্য প্রকল্পগুলির লিঙ্কগুলি দেখতে পেরে খুশি হব।

Kubernetes নিরাপত্তা সফ্টওয়্যার পণ্য... তাদের মধ্যে অনেকগুলি রয়েছে, যার প্রত্যেকটির নিজস্ব লক্ষ্য, সুযোগ এবং লাইসেন্স রয়েছে৷

এই কারণেই আমরা এই তালিকা তৈরি করার সিদ্ধান্ত নিয়েছি এবং বিভিন্ন বিক্রেতাদের কাছ থেকে ওপেন সোর্স প্রকল্প এবং বাণিজ্যিক প্ল্যাটফর্ম উভয়ই অন্তর্ভুক্ত করব। আমরা আশা করি এটি আপনাকে সবচেয়ে বেশি আগ্রহের বিষয়গুলি সনাক্ত করতে সাহায্য করবে এবং আপনার নির্দিষ্ট Kubernetes নিরাপত্তা প্রয়োজনের ভিত্তিতে আপনাকে সঠিক দিক নির্দেশ করবে৷

বিভাগ

তালিকাটি নেভিগেট করা সহজ করতে, সরঞ্জামগুলি প্রধান ফাংশন এবং অ্যাপ্লিকেশন দ্বারা সংগঠিত হয়। নিম্নলিখিত বিভাগগুলি প্রাপ্ত হয়েছিল:

কুবারনেটস ইমেজ স্ক্যানিং এবং স্ট্যাটিক বিশ্লেষণ;
রানটাইম নিরাপত্তা;
Kubernetes নেটওয়ার্ক নিরাপত্তা;
ছবি বিতরণ এবং গোপনীয়তা ব্যবস্থাপনা;
Kubernetes নিরাপত্তা অডিট;
ব্যাপক বাণিজ্যিক পণ্য.

চলো ব্যবসায় নামা যাক:

কুবারনেটস ছবি স্ক্যান করা হচ্ছে

নোঙ্গর

ওয়েবসাইট: anchore.com
লাইসেন্স: বিনামূল্যে (Apache) এবং বাণিজ্যিক অফার

অ্যাঙ্কর কনটেইনার ইমেজ বিশ্লেষণ করে এবং ব্যবহারকারী-সংজ্ঞায়িত নীতির উপর ভিত্তি করে নিরাপত্তা পরীক্ষা করার অনুমতি দেয়।

CVE ডাটাবেস থেকে পরিচিত দুর্বলতার জন্য কন্টেইনার ইমেজগুলির স্বাভাবিক স্ক্যানিং ছাড়াও, অ্যাঙ্কোর তার স্ক্যানিং নীতির অংশ হিসাবে অনেক অতিরিক্ত চেক সঞ্চালন করে: ডকারফাইল, শংসাপত্র ফাঁস, ব্যবহৃত প্রোগ্রামিং ভাষার প্যাকেজগুলি পরীক্ষা করে (npm, maven, ইত্যাদি .), সফ্টওয়্যার লাইসেন্স এবং আরও অনেক কিছু।

ক্লেয়ার

ওয়েবসাইট: coreos.com/clair (এখন রেড হ্যাটের তত্ত্বাবধানে)
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

ক্লেয়ার ইমেজ স্ক্যানিংয়ের জন্য প্রথম ওপেন সোর্স প্রকল্পগুলির মধ্যে একটি। এটি ব্যাপকভাবে Quay ইমেজ রেজিস্ট্রির পিছনে নিরাপত্তা স্ক্যানার হিসাবে পরিচিত (এছাড়াও CoreOS থেকে - প্রায়. অনুবাদ). ক্লেয়ার ডেবিয়ান, রেড হ্যাট, বা উবুন্টু নিরাপত্তা দল দ্বারা রক্ষণাবেক্ষণ করা লিনাক্স বিতরণ-নির্দিষ্ট দুর্বলতার তালিকা সহ বিভিন্ন উত্স থেকে CVE তথ্য সংগ্রহ করতে পারে।

অ্যাঙ্কোরের বিপরীতে, ক্লেয়ার প্রাথমিকভাবে দুর্বলতা খুঁজে বের করা এবং CVE-এর সাথে ডেটা মেলাতে ফোকাস করে। যাইহোক, পণ্যটি ব্যবহারকারীদের প্লাগ-ইন ড্রাইভার ব্যবহার করে ফাংশন প্রসারিত করার কিছু সুযোগ দেয়।

Dagda

ওয়েবসাইট: github.com/eliasgranderubio/dagda
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Dagda পরিচিত দুর্বলতা, ট্রোজান, ভাইরাস, ম্যালওয়্যার এবং অন্যান্য হুমকির জন্য কন্টেইনার চিত্রগুলির স্ট্যাটিক বিশ্লেষণ করে।

দুটি উল্লেখযোগ্য বৈশিষ্ট্য দাগদাকে অন্যান্য অনুরূপ সরঞ্জাম থেকে আলাদা করে:

এর সাথে পুরোপুরি একত্রিত হয় ClamAV, শুধুমাত্র ধারক ইমেজ স্ক্যান করার জন্য একটি টুল হিসাবে কাজ করে না, কিন্তু একটি অ্যান্টিভাইরাস হিসাবেও।
এছাড়াও ডকার ডেমন থেকে রিয়েল-টাইম ইভেন্টগুলি গ্রহণ করে এবং ফ্যালকোর সাথে একীভূত করে রানটাইম সুরক্ষা প্রদান করে (নিচে দেখ) কন্টেইনার চলাকালীন নিরাপত্তা ইভেন্ট সংগ্রহ করতে।

কুবেএক্সরে

ওয়েবসাইট: github.com/jfrog/kubexray
লাইসেন্স: বিনামূল্যে (Apache), কিন্তু JFrog Xray (বাণিজ্যিক পণ্য) থেকে ডেটা প্রয়োজন

KubeXray Kubernetes API সার্ভার থেকে ইভেন্ট শোনে এবং JFrog Xray থেকে মেটাডেটা ব্যবহার করে তা নিশ্চিত করতে যে শুধুমাত্র পডগুলি বর্তমান নীতির সাথে মেলে।

KubeXray শুধুমাত্র নতুন বা আপডেট করা কন্টেইনারগুলিকে ডিপ্লোয়মেন্টে অডিট করে না (Kubernetes-এ ভর্তি নিয়ন্ত্রকের অনুরূপ), তবে নতুন নিরাপত্তা নীতিগুলির সাথে সম্মতির জন্য চলমান কন্টেইনারগুলিকে গতিশীলভাবে পরীক্ষা করে, দুর্বল চিত্রগুলি উল্লেখ করে এমন সংস্থানগুলি সরিয়ে দেয়৷

স্নিক

ওয়েবসাইট: snyk.io
লাইসেন্স: বিনামূল্যে (Apache) এবং বাণিজ্যিক সংস্করণ

Snyk একটি অস্বাভাবিক দুর্বলতা স্ক্যানার যে এটি বিশেষভাবে উন্নয়ন প্রক্রিয়াকে লক্ষ্য করে এবং বিকাশকারীদের জন্য একটি "প্রয়োজনীয় সমাধান" হিসাবে প্রচারিত হয়।

Snyk সরাসরি কোড রিপোজিটরির সাথে সংযোগ করে, প্রজেক্ট ম্যানিফেস্টকে পার্স করে এবং প্রত্যক্ষ ও পরোক্ষ নির্ভরতা সহ আমদানি করা কোড বিশ্লেষণ করে। Snyk অনেক জনপ্রিয় প্রোগ্রামিং ভাষা সমর্থন করে এবং লুকানো লাইসেন্স ঝুঁকি সনাক্ত করতে পারে।

ট্রিভি

ওয়েবসাইট: github.com/knqyf263/trivy
লাইসেন্স: বিনামূল্যে (AGPL)

ট্রিভি হল একটি সাধারণ কিন্তু শক্তিশালী দুর্বলতা স্ক্যানার যা কন্টেইনারগুলির জন্য যা সহজেই একটি CI/CD পাইপলাইনে একত্রিত হয়। এর উল্লেখযোগ্য বৈশিষ্ট্য হল এর ইনস্টলেশন এবং অপারেশনের সহজতা: অ্যাপ্লিকেশনটি একটি একক বাইনারি নিয়ে গঠিত এবং এর জন্য একটি ডাটাবেস বা অতিরিক্ত লাইব্রেরি ইনস্টল করার প্রয়োজন হয় না।

ট্রিভির সরলতার নেতিবাচক দিক হল যে আপনি কীভাবে ফলাফলগুলিকে JSON ফর্ম্যাটে পার্স এবং ফরোয়ার্ড করবেন তা খুঁজে বের করতে হবে যাতে অন্যান্য কুবারনেটস সুরক্ষা সরঞ্জামগুলি সেগুলি ব্যবহার করতে পারে।

কুবারনেটসে রানটাইম নিরাপত্তা

বাজপাখি

ওয়েবসাইট: falco.org
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Falco হল ক্লাউড রানটাইম পরিবেশ সুরক্ষিত করার জন্য টুলের একটি সেট। প্রকল্প পরিবারের অংশ সিএনসিএফ.

Sysdig-এর লিনাক্স কার্নেল-স্তরের টুলিং এবং সিস্টেম কল প্রোফাইলিং ব্যবহার করে, Falco আপনাকে সিস্টেম আচরণের গভীরে ডুব দিতে দেয়। এর রানটাইম নিয়ম ইঞ্জিন অ্যাপ্লিকেশন, পাত্রে, অন্তর্নিহিত হোস্ট এবং কুবারনেটস অর্কেস্ট্রেটরের সন্দেহজনক কার্যকলাপ সনাক্ত করতে সক্ষম।

Falco এই উদ্দেশ্যে Kubernetes নোডগুলিতে বিশেষ এজেন্ট মোতায়েন করে রানটাইম এবং হুমকি সনাক্তকরণে সম্পূর্ণ স্বচ্ছতা প্রদান করে। ফলস্বরূপ, তাদের মধ্যে তৃতীয় পক্ষের কোড প্রবর্তন করে বা সাইডকার কন্টেইনার যোগ করে কন্টেইনারগুলিকে সংশোধন করার দরকার নেই৷

রানটাইমের জন্য লিনাক্স নিরাপত্তা কাঠামো

লিনাক্স কার্নেলের জন্য এই নেটিভ ফ্রেমওয়ার্কগুলি প্রথাগত অর্থে "কুবারনেটস সিকিউরিটি টুলস" নয়, কিন্তু এগুলো উল্লেখ করার মতো কারণ রানটাইম সিকিউরিটির প্রেক্ষাপটে এগুলি একটি গুরুত্বপূর্ণ উপাদান, যা কুবারনেটস পড সিকিউরিটি পলিসি (PSP) এর অন্তর্ভুক্ত।

AppArmor কনটেইনারে চলমান প্রসেস, ফাইল সিস্টেম সুবিধা, নেটওয়ার্ক অ্যাক্সেসের নিয়ম, সংযোগ লাইব্রেরি ইত্যাদির সাথে একটি নিরাপত্তা প্রোফাইল সংযুক্ত করে। এটি বাধ্যতামূলক অ্যাক্সেস কন্ট্রোল (MAC) ভিত্তিক একটি সিস্টেম। অন্য কথায়, এটি নিষিদ্ধ কর্ম সম্পাদন করা থেকে বাধা দেয়।

নিরাপত্তা-উন্নত লিনাক্স (SELinux- র) হল লিনাক্স কার্নেলের একটি উন্নত নিরাপত্তা মডিউল, যা কিছু দিক থেকে AppArmor-এর অনুরূপ এবং প্রায়শই এটির সাথে তুলনা করা হয়। SELinux শক্তি, নমনীয়তা এবং কাস্টমাইজেশনে AppArmor থেকে উচ্চতর। এর অসুবিধাগুলি দীর্ঘ শেখার বক্ররেখা এবং বর্ধিত জটিলতা।

সেককম্প এবং seccomp-bpf আপনাকে সিস্টেম কলগুলি ফিল্টার করার অনুমতি দেয়, যেগুলি বেস ওএসের জন্য সম্ভাব্য বিপজ্জনক এবং ব্যবহারকারীর অ্যাপ্লিকেশনগুলির স্বাভাবিক ক্রিয়াকলাপের জন্য প্রয়োজন হয় না সেগুলি কার্যকর করতে বাধা দেয়৷ Seccomp কিছু উপায়ে Falco এর অনুরূপ, যদিও এটি পাত্রের সুনির্দিষ্টতা জানে না।

Sysdig ওপেন সোর্স

ওয়েবসাইট: www.sysdig.com/opensource
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

লিনাক্স সিস্টেম বিশ্লেষণ, নির্ণয় এবং ডিবাগ করার জন্য সিসডিগ একটি সম্পূর্ণ টুল (এছাড়াও উইন্ডোজ এবং ম্যাকোসে কাজ করে, তবে সীমিত ফাংশন সহ)। এটি বিস্তারিত তথ্য সংগ্রহ, যাচাইকরণ এবং ফরেনসিক বিশ্লেষণের জন্য ব্যবহার করা যেতে পারে। (ফরেনসিক) বেস সিস্টেম এবং এটিতে চলমান কোন পাত্র।

সিসডিগ নেটিভভাবে কনটেইনার রানটাইম এবং কুবারনেটস মেটাডেটা সমর্থন করে, এটি সংগ্রহ করা সমস্ত সিস্টেম আচরণ তথ্যে অতিরিক্ত মাত্রা এবং লেবেল যোগ করে। Sysdig ব্যবহার করে কুবারনেটস ক্লাস্টার বিশ্লেষণ করার বিভিন্ন উপায় রয়েছে: আপনি এর মাধ্যমে পয়েন্ট-ইন-টাইম ক্যাপচার করতে পারেন kubectl ক্যাপচার অথবা একটি প্লাগইন ব্যবহার করে একটি ncurses-ভিত্তিক ইন্টারেক্টিভ ইন্টারফেস চালু করুন kubectl খনন.

কুবারনেটস নেটওয়ার্ক নিরাপত্তা

Aporeto

ওয়েবসাইট: www.aporeto.com
লাইসেন্স: বাণিজ্যিক

Aporeto অফার করে "নেটওয়ার্ক এবং অবকাঠামো থেকে আলাদা নিরাপত্তা।" এর মানে হল যে Kubernetes পরিষেবাগুলি শুধুমাত্র একটি স্থানীয় আইডি (অর্থাৎ Kubernetes-এ পরিষেবা অ্যাকাউন্ট) পায় না, বরং একটি সর্বজনীন আইডি/আঙ্গুলের ছাপও পায় যা অন্য যেকোনো পরিষেবার সাথে নিরাপদে এবং পারস্পরিক যোগাযোগ করতে ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ একটি OpenShift ক্লাস্টারে।

Aporeto শুধুমাত্র Kubernetes/কন্টেইনারগুলির জন্য নয়, হোস্ট, ক্লাউড ফাংশন এবং ব্যবহারকারীদের জন্য একটি অনন্য আইডি তৈরি করতে সক্ষম। এই শনাক্তকারী এবং অ্যাডমিনিস্ট্রেটর দ্বারা সেট করা নেটওয়ার্ক নিরাপত্তা নিয়মের সেটের উপর নির্ভর করে, যোগাযোগের অনুমতি দেওয়া হবে বা ব্লক করা হবে।

বস্ত্রবিশেষ

ওয়েবসাইট: www.projectcalico.org
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

ক্যালিকো সাধারণত একটি ধারক অর্কেস্ট্রেটর ইনস্টলেশনের সময় স্থাপন করা হয়, যা আপনাকে একটি ভার্চুয়াল নেটওয়ার্ক তৈরি করতে দেয় যা কন্টেইনারগুলিকে আন্তঃসংযোগ করে। এই মৌলিক নেটওয়ার্ক কার্যকারিতা ছাড়াও, ক্যালিকো প্রকল্পটি কুবারনেটস নেটওয়ার্ক নীতি এবং নেটওয়ার্ক নিরাপত্তা প্রোফাইলের নিজস্ব সেটের সাথে কাজ করে, এন্ডপয়েন্ট ACL (অ্যাক্সেস কন্ট্রোল লিস্ট) এবং ইনগ্রেস এবং এগ্রেস ট্র্যাফিকের জন্য টীকা-ভিত্তিক নেটওয়ার্ক নিরাপত্তা নিয়ম সমর্থন করে।

সিলিয়াম

ওয়েবসাইট: www.cilium.io
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Cilium কন্টেইনারগুলির জন্য একটি ফায়ারওয়াল হিসাবে কাজ করে এবং কুবারনেটস এবং মাইক্রোসার্ভিসেস ওয়ার্কলোডের জন্য নেটিভভাবে তৈরি নেটওয়ার্ক সুরক্ষা বৈশিষ্ট্যগুলি সরবরাহ করে। সিলিয়াম ডেটা ফিল্টার, নিরীক্ষণ, পুনঃনির্দেশ এবং সঠিক করতে BPF (বার্কলে প্যাকেট ফিল্টার) নামে একটি নতুন লিনাক্স কার্নেল প্রযুক্তি ব্যবহার করে।

সিলিয়াম ডকার বা কুবারনেটেস লেবেল এবং মেটাডেটা ব্যবহার করে কন্টেইনার আইডিগুলির উপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস নীতি স্থাপন করতে সক্ষম। Cilium এছাড়াও HTTP বা gRPC-এর মতো বিভিন্ন লেয়ার 7 প্রোটোকল বোঝে এবং ফিল্টার করে, যা আপনাকে REST কলগুলির একটি সেট সংজ্ঞায়িত করতে দেয় যা দুটি Kubernetes স্থাপনার মধ্যে অনুমোদিত হবে, উদাহরণস্বরূপ।

ইসতিও

ওয়েবসাইট: istio.io
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Istio একটি প্ল্যাটফর্ম-স্বাধীন কন্ট্রোল প্লেন স্থাপন করে এবং গতিশীলভাবে কনফিগারযোগ্য এনভয় প্রক্সিগুলির মাধ্যমে সমস্ত পরিচালিত পরিষেবা ট্র্যাফিক রুট করার মাধ্যমে পরিষেবা জাল দৃষ্টান্ত বাস্তবায়নের জন্য ব্যাপকভাবে পরিচিত। Istio বিভিন্ন নেটওয়ার্ক নিরাপত্তা কৌশল বাস্তবায়নের জন্য সমস্ত মাইক্রোসার্ভিস এবং কন্টেইনারগুলির এই উন্নত দৃশ্যের সুবিধা নেয়।

Istio-এর নেটওয়ার্ক নিরাপত্তা ক্ষমতার মধ্যে রয়েছে স্বচ্ছ TLS এনক্রিপশন যাতে স্বয়ংক্রিয়ভাবে মাইক্রোসার্ভিসের মধ্যে যোগাযোগগুলিকে HTTPS-এ আপগ্রেড করা যায়, এবং ক্লাস্টারে বিভিন্ন কাজের চাপের মধ্যে যোগাযোগের অনুমতি/অস্বীকার করার জন্য একটি মালিকানাধীন RBAC সনাক্তকরণ এবং অনুমোদন ব্যবস্থা।

বিঃদ্রঃ. অনুবাদ: Istio এর নিরাপত্তা-কেন্দ্রিক ক্ষমতা সম্পর্কে আরও জানতে পড়ুন এই নিবন্ধটি.

বাঘ

ওয়েবসাইট: www.tigera.io
লাইসেন্স: বাণিজ্যিক

"কুবারনেটস ফায়ারওয়াল" বলা হয়, এই সমাধানটি নেটওয়ার্ক নিরাপত্তার জন্য শূন্য-বিশ্বাসের পদ্ধতির উপর জোর দেয়।

অন্যান্য নেটিভ কুবারনেটস নেটওয়ার্কিং সলিউশনের মতো, টাইগার ক্লাস্টারের বিভিন্ন পরিষেবা এবং অবজেক্ট সনাক্ত করতে মেটাডেটার উপর নির্ভর করে এবং মাল্টি-ক্লাউড বা হাইব্রিড মনোলিথিক-কন্টেইনারাইজড অবকাঠামোগুলির জন্য রানটাইম সমস্যা সনাক্তকরণ, ক্রমাগত কমপ্লায়েন্স চেকিং এবং নেটওয়ার্ক দৃশ্যমানতা প্রদান করে।

ট্রাইরেমে

ওয়েবসাইট: www.aporeto.com/opensource
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Trireme-Kubernetes হল Kubernetes নেটওয়ার্ক নীতির স্পেসিফিকেশনের একটি সহজ এবং সরল প্রয়োগ। সবচেয়ে উল্লেখযোগ্য বৈশিষ্ট্য হল - অনুরূপ Kubernetes নেটওয়ার্ক নিরাপত্তা পণ্যের বিপরীতে - এটি জাল সমন্বয় করার জন্য একটি কেন্দ্রীয় নিয়ন্ত্রণ প্লেনের প্রয়োজন হয় না। এটি সমাধানটিকে তুচ্ছভাবে মাপযোগ্য করে তোলে। Trireme-এ, এটি প্রতিটি নোডে একটি এজেন্ট ইনস্টল করার মাধ্যমে অর্জন করা হয় যা হোস্টের TCP/IP স্ট্যাকের সাথে সরাসরি সংযোগ করে।

ইমেজ প্রচার এবং গোপন ব্যবস্থাপনা

গ্রাফিয়াস

ওয়েবসাইট: grafeas.io
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Grafeas সফ্টওয়্যার সরবরাহ চেইন অডিটিং এবং পরিচালনার জন্য একটি ওপেন সোর্স API। একটি মৌলিক স্তরে, Grafeas হল মেটাডেটা এবং নিরীক্ষার ফলাফল সংগ্রহের একটি টুল। এটি একটি প্রতিষ্ঠানের মধ্যে নিরাপত্তার সর্বোত্তম অনুশীলনের সাথে সম্মতি ট্র্যাক করতে ব্যবহার করা যেতে পারে।

সত্যের এই কেন্দ্রীভূত উৎস প্রশ্নের উত্তর দিতে সাহায্য করে যেমন:

কে সংগ্রহ এবং একটি নির্দিষ্ট পাত্রের জন্য স্বাক্ষরিত?
এটি কি নিরাপত্তা নীতি দ্বারা প্রয়োজনীয় সমস্ত নিরাপত্তা স্ক্যান এবং চেক পাস করেছে? কখন? ফলাফল কি ছিল?
কে উৎপাদনে এটি স্থাপন করেছে? স্থাপনার সময় কোন নির্দিষ্ট পরামিতি ব্যবহার করা হয়েছিল?

ইন-টোটো

ওয়েবসাইট: in-toto.github.io
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

ইন-টোটো হল একটি কাঠামো যা সম্পূর্ণ সফ্টওয়্যার সরবরাহ শৃঙ্খলের অখণ্ডতা, প্রমাণীকরণ এবং অডিটিং প্রদানের জন্য ডিজাইন করা হয়েছে। একটি পরিকাঠামোতে ইন-টোটো স্থাপন করার সময়, প্রথমে একটি পরিকল্পনা সংজ্ঞায়িত করা হয় যা পাইপলাইনের বিভিন্ন ধাপ বর্ণনা করে (ভান্ডার, CI/CD টুলস, QA টুলস, আর্টিফ্যাক্ট সংগ্রাহক ইত্যাদি) এবং ব্যবহারকারীরা (দায়িত্বশীল ব্যক্তি) যাদের অনুমতি দেওয়া হয় তাদের সূচনা.

ইন-টোটো পরিকল্পনার বাস্তবায়নের উপর নজর রাখে, যাচাই করে যে চেইনের প্রতিটি কাজ শুধুমাত্র অনুমোদিত কর্মীদের দ্বারা সঠিকভাবে সম্পাদিত হয়েছে এবং চলাচলের সময় পণ্যটির সাথে কোন অননুমোদিত হেরফের করা হয়নি।

পোর্টিয়ারিস

ওয়েবসাইট: github.com/IBM/portieris
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Portieris হল Kubernetes-এর ভর্তি নিয়ন্ত্রক; কন্টেন্ট ট্রাস্ট চেক প্রয়োগ করতে ব্যবহৃত হয়। Portieris একটি সার্ভার ব্যবহার করে দলিলপত্র সম্পাদনে কর্মচারী (আমরা শেষে তার সম্পর্কে লিখেছিলাম এই নিবন্ধটি এর - প্রায়. অনুবাদ) বিশ্বস্ত এবং স্বাক্ষরিত শিল্পকর্ম (অর্থাৎ অনুমোদিত কন্টেইনার ছবি) যাচাই করার জন্য সত্যের উৎস হিসেবে।

যখন Kubernetes-এ কাজের চাপ তৈরি বা পরিবর্তিত হয়, তখন Portieris অনুরোধ করা কন্টেইনার ইমেজের জন্য সাইনিং ইনফরমেশন এবং কনটেন্ট ট্রাস্ট পলিসি ডাউনলোড করে এবং প্রয়োজনে সেই ইমেজগুলোর সাইনড ভার্সন চালানোর জন্য JSON API অবজেক্টে অন-দ্য-ফ্লাই পরিবর্তন করে।

খিলান

ওয়েবসাইট: www.vaultproject.io
লাইসেন্স: বিনামূল্যে (এমপিএল)

ব্যক্তিগত তথ্য সংরক্ষণের জন্য ভল্ট হল একটি নিরাপদ সমাধান: পাসওয়ার্ড, OAuth টোকেন, PKI সার্টিফিকেট, অ্যাক্সেস অ্যাকাউন্ট, Kubernetes গোপনীয়তা ইত্যাদি। ভল্ট অনেক উন্নত বৈশিষ্ট্য সমর্থন করে, যেমন ক্ষণস্থায়ী নিরাপত্তা টোকেন লিজ দেওয়া বা কী রোটেশন সংগঠিত করা।

হেলম চার্ট ব্যবহার করে, ব্যাকএন্ড স্টোরেজ হিসাবে কনসাল সহ একটি কুবারনেটস ক্লাস্টারে একটি নতুন স্থাপনা হিসাবে ভল্টকে স্থাপন করা যেতে পারে। এটি ServiceAccount টোকেনের মতো নেটিভ Kubernetes সংস্থানগুলিকে সমর্থন করে এবং এমনকি Kubernetes গোপনীয়তার জন্য ডিফল্ট স্টোর হিসাবে কাজ করতে পারে।

বিঃদ্রঃ. অনুবাদ: যাইহোক, গতকালই কোম্পানি HashiCorp, যেটি Vault ডেভেলপ করে, Kubernetes-এ Vault ব্যবহার করার জন্য কিছু উন্নতি ঘোষণা করেছে, এবং বিশেষ করে তারা হেলম চার্টের সাথে সম্পর্কিত। আরও পড়ুন বিকাশকারী ব্লগ.

কুবারনেটস সিকিউরিটি অডিট

কুবে-বেঞ্চ

ওয়েবসাইট: github.com/aquasecurity/kube-bench
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

কুবে-বেঞ্চ হল একটি গো অ্যাপ্লিকেশন যা একটি তালিকা থেকে পরীক্ষা চালিয়ে Kubernetes নিরাপদে স্থাপন করা হয়েছে কিনা তা পরীক্ষা করে সিআইএস কুবারনেটেস বেঞ্চমার্ক.

কুবে-বেঞ্চ ক্লাস্টার উপাদানগুলির মধ্যে অনিরাপদ কনফিগারেশন সেটিংস সন্ধান করে (ইত্যাদি, এপিআই, কন্ট্রোলার ম্যানেজার, ইত্যাদি), সন্দেহজনক ফাইল অ্যাক্সেসের অধিকার, অরক্ষিত অ্যাকাউন্ট বা খোলা পোর্ট, সংস্থান কোটা, DoS আক্রমণ থেকে রক্ষা করার জন্য API কলের সংখ্যা সীমিত করার জন্য সেটিংস , ইত্যাদি

কুবে-শিকারী

ওয়েবসাইট: github.com/aquasecurity/kube-hunter
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

কুবে-হান্টার কুবারনেটস ক্লাস্টারে সম্ভাব্য দুর্বলতা (যেমন দূরবর্তী কোড এক্সিকিউশন বা ডেটা প্রকাশ) খোঁজে। কুবে-হান্টার একটি দূরবর্তী স্ক্যানার হিসাবে চালানো যেতে পারে - এই ক্ষেত্রে এটি একটি তৃতীয় পক্ষের আক্রমণকারীর দৃষ্টিকোণ থেকে ক্লাস্টারটিকে মূল্যায়ন করবে - বা ক্লাস্টারের ভিতরে একটি পড হিসাবে।

কুবে-হান্টারের একটি স্বতন্ত্র বৈশিষ্ট্য হল এটির "সক্রিয় শিকার" মোড, যার সময় এটি কেবল সমস্যাগুলিই রিপোর্ট করে না, তবে লক্ষ্য ক্লাস্টারে আবিষ্কৃত দুর্বলতাগুলির সুবিধা নেওয়ার চেষ্টা করে যা সম্ভাব্যভাবে এটির অপারেশনকে ক্ষতি করতে পারে। তাই সাবধানে ব্যবহার করুন!

কুবেঅডিট

ওয়েবসাইট: github.com/Shopify/kubeaudit
লাইসেন্স: বিনামূল্যে (MIT)

Kubeaudit হল একটি কনসোল টুল যা মূলত Shopify-এ বিভিন্ন নিরাপত্তা সমস্যার জন্য Kubernetes কনফিগারেশন অডিট করার জন্য তৈরি করা হয়েছে। উদাহরণস্বরূপ, এটি অবাধে চলমান, রুট হিসাবে চলমান, সুবিধার অপব্যবহার, বা ডিফল্ট ServiceAccount ব্যবহার করে কন্টেইনার সনাক্ত করতে সহায়তা করে।

Kubeaudit অন্যান্য আকর্ষণীয় বৈশিষ্ট্য আছে. উদাহরণস্বরূপ, এটি স্থানীয় YAML ফাইলগুলি বিশ্লেষণ করতে পারে, কনফিগারেশন ত্রুটিগুলি সনাক্ত করতে পারে যা নিরাপত্তা সমস্যাগুলির দিকে পরিচালিত করতে পারে এবং স্বয়ংক্রিয়ভাবে সেগুলি ঠিক করতে পারে৷

কুবেসেক

ওয়েবসাইট: kubesec.io
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

Kubesec হল একটি বিশেষ টুল যাতে এটি সরাসরি YAML ফাইলগুলিকে স্ক্যান করে যা Kubernetes সংস্থানগুলিকে বর্ণনা করে, দুর্বল পরামিতিগুলির সন্ধান করে যা নিরাপত্তাকে প্রভাবিত করতে পারে।

উদাহরণস্বরূপ, এটি একটি পডকে প্রদত্ত অত্যধিক সুবিধা এবং অনুমতি সনাক্ত করতে পারে, ডিফল্ট ব্যবহারকারী হিসাবে রুট সহ একটি কন্টেইনার চালানো, হোস্টের নেটওয়ার্ক নামস্থানের সাথে সংযোগ স্থাপন করা, বা বিপজ্জনক মাউন্টগুলির মতো /proc হোস্ট বা ডকার সকেট। কুবেসেকের আরেকটি আকর্ষণীয় বৈশিষ্ট্য হল অনলাইনে উপলব্ধ ডেমো পরিষেবা, যেখানে আপনি YAML আপলোড করতে পারেন এবং অবিলম্বে এটি বিশ্লেষণ করতে পারেন।

পলিসি এজেন্ট খুলুন

ওয়েবসাইট: www.openpolicyagent.org
লাইসেন্স: বিনামূল্যে (অ্যাপাচি)

OPA (ওপেন পলিসি এজেন্ট) এর ধারণাটি হল একটি নির্দিষ্ট রানটাইম প্ল্যাটফর্ম থেকে নিরাপত্তা নীতি এবং নিরাপত্তার সর্বোত্তম অনুশীলনগুলিকে ডিকপল করা: ডকার, কুবারনেটস, মেসোস্ফিয়ার, ওপেনশিফ্ট, বা এর যে কোনও সংমিশ্রণ।

উদাহরণস্বরূপ, আপনি Kubernetes ভর্তি নিয়ন্ত্রকের জন্য একটি ব্যাকএন্ড হিসাবে OPA স্থাপন করতে পারেন, এটিতে নিরাপত্তা সিদ্ধান্ত অর্পণ করতে পারেন। এইভাবে, ওপিএ এজেন্ট নির্দিষ্ট নিরাপত্তা পরামিতি পূরণ হয়েছে তা নিশ্চিত করে ফ্লাইতে অনুরোধগুলি যাচাই, প্রত্যাখ্যান এবং এমনকি সংশোধন করতে পারে। OPA এর নিরাপত্তা নীতিগুলি এর মালিকানাধীন DSL ভাষা, রেগোতে লেখা হয়।

বিঃদ্রঃ. অনুবাদ: আমরা OPA (এবং SPIFFE) সম্পর্কে আরও লিখেছি এই উপাদান.

Kubernetes নিরাপত্তা বিশ্লেষণের জন্য ব্যাপক বাণিজ্যিক সরঞ্জাম

আমরা বাণিজ্যিক প্ল্যাটফর্মগুলির জন্য একটি পৃথক বিভাগ তৈরি করার সিদ্ধান্ত নিয়েছি কারণ তারা সাধারণত একাধিক নিরাপত্তা ক্ষেত্র কভার করে। তাদের ক্ষমতার একটি সাধারণ ধারণা টেবিল থেকে প্রাপ্ত করা যেতে পারে:

* সম্পূর্ণ সহ উন্নত পরীক্ষা এবং পোস্টমর্টেম বিশ্লেষণ সিস্টেম কল হাইজ্যাকিং.

জল সুরক্ষা

ওয়েবসাইট: www.aquasec.com
লাইসেন্স: বাণিজ্যিক

এই বাণিজ্যিক টুলটি কন্টেইনার এবং ক্লাউড ওয়ার্কলোডের জন্য ডিজাইন করা হয়েছে। এটি উপলব্ধ করা হয়:

একটি ধারক রেজিস্ট্রি বা CI/CD পাইপলাইনের সাথে একত্রিত চিত্র স্ক্যানিং;
পাত্রে পরিবর্তন এবং অন্যান্য সন্দেহজনক কার্যকলাপের জন্য অনুসন্ধানের সাথে রানটাইম সুরক্ষা;
ধারক-নেটিভ ফায়ারওয়াল;
ক্লাউড পরিষেবাগুলিতে সার্ভারহীন নিরাপত্তা;
ইভেন্ট লগিংয়ের সাথে মিলিত সম্মতি পরীক্ষা এবং নিরীক্ষা।

বিঃদ্রঃ. অনুবাদ: এটাও লক্ষণীয় যে আছে নামক পণ্য বিনামূল্যে উপাদান মাইক্রোস্ক্যানার, যা আপনাকে দুর্বলতার জন্য কন্টেইনার ছবি স্ক্যান করতে দেয়। প্রদত্ত সংস্করণগুলির সাথে এর ক্ষমতাগুলির একটি তুলনা উপস্থাপন করা হয়েছে এই টেবিল.

ক্যাপসুল ৮

ওয়েবসাইট: capsule8.com
লাইসেন্স: বাণিজ্যিক

ক্যাপসুল 8 স্থানীয় বা ক্লাউড কুবারনেটস ক্লাস্টারে ডিটেক্টর ইনস্টল করার মাধ্যমে পরিকাঠামোতে একীভূত করে। এই ডিটেক্টর হোস্ট এবং নেটওয়ার্ক টেলিমেট্রি সংগ্রহ করে, এটি বিভিন্ন ধরণের আক্রমণের সাথে সম্পর্কযুক্ত।

ক্যাপসুল8 টিম তার কাজটিকে নতুন ব্যবহার করে আক্রমণের প্রাথমিক সনাক্তকরণ এবং প্রতিরোধ হিসাবে দেখে (0-দিন) দুর্বলতা ক্যাপসুল 8 নতুন আবিষ্কৃত হুমকি এবং সফ্টওয়্যার দুর্বলতার প্রতিক্রিয়া হিসাবে ডিটেক্টরগুলিতে আপডেট করা সুরক্ষা নিয়মগুলি সরাসরি ডাউনলোড করতে পারে।

ক্যাভিরিন

ওয়েবসাইট: www.cavirin.com
লাইসেন্স: বাণিজ্যিক

ক্যাভিরিন নিরাপত্তা মানের সাথে জড়িত বিভিন্ন সংস্থার জন্য একটি কোম্পানি-সাইড ঠিকাদার হিসাবে কাজ করে। এটি কেবল চিত্রগুলিই স্ক্যান করতে পারে না, এটি CI/CD পাইপলাইনেও একীভূত করতে পারে, অ-মানক চিত্রগুলিকে বন্ধ সংগ্রহস্থলে প্রবেশ করার আগে ব্লক করে।

Cavirin এর নিরাপত্তা স্যুট আপনার সাইবার নিরাপত্তা ভঙ্গি মূল্যায়ন করতে মেশিন লার্নিং ব্যবহার করে, নিরাপত্তা উন্নত করতে এবং সুরক্ষা মানগুলির সাথে সম্মতি উন্নত করার জন্য টিপস অফার করে।

গুগল ক্লাউড সিকিউরিটি কমান্ড সেন্টার

ওয়েবসাইট: cloud.google.com/security-command-center
লাইসেন্স: বাণিজ্যিক

ক্লাউড সিকিউরিটি কমান্ড সেন্টার নিরাপত্তা দলগুলিকে ডেটা সংগ্রহ করতে, হুমকি শনাক্ত করতে এবং কোম্পানির ক্ষতি করার আগে সেগুলি দূর করতে সাহায্য করে৷

নাম অনুসারে, Google ক্লাউড SCC হল একটি ইউনিফাইড কন্ট্রোল প্যানেল যা একক, কেন্দ্রীভূত উৎস থেকে বিভিন্ন ধরনের নিরাপত্তা প্রতিবেদন, সম্পদ অ্যাকাউন্টিং ইঞ্জিন এবং তৃতীয় পক্ষের নিরাপত্তা ব্যবস্থাকে একীভূত ও পরিচালনা করতে পারে।

Google ক্লাউড SCC দ্বারা অফার করা ইন্টারঅপারেবল API বিভিন্ন উত্স থেকে আসা নিরাপত্তা ইভেন্টগুলিকে একীভূত করা সহজ করে তোলে, যেমন Sysdig Secure (ক্লাউড-নেটিভ অ্যাপ্লিকেশনের জন্য ধারক নিরাপত্তা) বা Falco (ওপেন সোর্স রানটাইম নিরাপত্তা)।

স্তরযুক্ত অন্তর্দৃষ্টি (কোয়ালিস)

ওয়েবসাইট: layeredinsight.com
লাইসেন্স: বাণিজ্যিক

স্তরযুক্ত অন্তর্দৃষ্টি (এখন Qualys Inc এর অংশ) "এম্বেডেড নিরাপত্তা" ধারণার উপর নির্মিত। পরিসংখ্যানগত বিশ্লেষণ এবং CVE চেক ব্যবহার করে দুর্বলতার জন্য আসল চিত্রটি স্ক্যান করার পরে, স্তরযুক্ত অন্তর্দৃষ্টি এটিকে একটি যন্ত্রযুক্ত চিত্র দিয়ে প্রতিস্থাপন করে যাতে এজেন্টকে বাইনারি হিসাবে অন্তর্ভুক্ত করে।

এই এজেন্টে কনটেইনার নেটওয়ার্ক ট্রাফিক, I/O প্রবাহ এবং অ্যাপ্লিকেশন কার্যকলাপ বিশ্লেষণ করার জন্য রানটাইম নিরাপত্তা পরীক্ষা রয়েছে। উপরন্তু, এটি পরিকাঠামো প্রশাসক বা DevOps টিম দ্বারা নির্দিষ্ট করা অতিরিক্ত নিরাপত্তা পরীক্ষা করতে পারে।

নিউভেক্টর

ওয়েবসাইট: neuvector.com
লাইসেন্স: বাণিজ্যিক

NeuVector কন্টেইনার নিরাপত্তা পরীক্ষা করে এবং নেটওয়ার্ক কার্যকলাপ এবং অ্যাপ্লিকেশন আচরণ বিশ্লেষণ করে রানটাইম সুরক্ষা প্রদান করে, প্রতিটি কন্টেইনারের জন্য একটি পৃথক নিরাপত্তা প্রোফাইল তৈরি করে। এটি স্থানীয় ফায়ারওয়াল নিয়ম পরিবর্তন করে সন্দেহজনক কার্যকলাপকে আলাদা করে, নিজে থেকেই হুমকিগুলিকে ব্লক করতে পারে।

NeuVector এর নেটওয়ার্ক ইন্টিগ্রেশন, যা সিকিউরিটি মেশ নামে পরিচিত, পরিষেবা জালের সমস্ত নেটওয়ার্ক সংযোগের জন্য গভীর প্যাকেট বিশ্লেষণ এবং স্তর 7 ফিল্টারিং করতে সক্ষম।

স্ট্যাকরক্স

ওয়েবসাইট: www.stackrox.com
লাইসেন্স: বাণিজ্যিক

StackRox কন্টেইনার নিরাপত্তা প্ল্যাটফর্ম একটি ক্লাস্টারে Kubernetes অ্যাপ্লিকেশনের সমগ্র জীবনচক্র কভার করার চেষ্টা করে। এই তালিকার অন্যান্য বাণিজ্যিক প্ল্যাটফর্মের মতো, StackRox পর্যবেক্ষণ কন্টেইনার আচরণের উপর ভিত্তি করে একটি রানটাইম প্রোফাইল তৈরি করে এবং যেকোনো বিচ্যুতির জন্য স্বয়ংক্রিয়ভাবে একটি অ্যালার্ম তৈরি করে।

উপরন্তু, StackRox কন্টেইনার সম্মতি মূল্যায়ন করতে Kubernetes CIS এবং অন্যান্য নিয়মবই ব্যবহার করে Kubernetes কনফিগারেশন বিশ্লেষণ করে।

সিসডিগ সিকিউর

ওয়েবসাইট: sysdig.com/products/secure
লাইসেন্স: বাণিজ্যিক

সিসডিগ সিকিউর সমগ্র কন্টেইনার এবং কুবারনেটস লাইফসাইকেল জুড়ে অ্যাপ্লিকেশনগুলিকে রক্ষা করে। সে ছবি স্ক্যান করে পাত্রে, প্রদান করে রানটাইম সুরক্ষা মেশিন লার্নিং তথ্য অনুযায়ী, ক্রিম সঞ্চালিত. দুর্বলতা, ব্লক হুমকি, মনিটর সনাক্ত করতে দক্ষতা প্রতিষ্ঠিত মান সঙ্গে সম্মতি এবং মাইক্রোসার্ভিসে কার্যকলাপ নিরীক্ষণ করে।

সিসডিগ সিকিউর জেনকিন্সের মতো সিআই/সিডি সরঞ্জামগুলির সাথে সংহত করে এবং ডকার রেজিস্ট্রিগুলি থেকে লোড করা ছবিগুলিকে নিয়ন্ত্রণ করে, বিপজ্জনক ছবিগুলিকে উত্পাদনে উপস্থিত হতে বাধা দেয়। এটি ব্যাপক রানটাইম নিরাপত্তা প্রদান করে, যার মধ্যে রয়েছে:

ML-ভিত্তিক রানটাইম প্রোফাইলিং এবং অসঙ্গতি সনাক্তকরণ;
সিস্টেম ইভেন্ট, K8s-অডিট API, যৌথ সম্প্রদায় প্রকল্প (এফআইএম - ফাইল ইন্টিগ্রিটি মনিটরিং; ক্রিপ্টোজ্যাকিং) এবং কাঠামোর উপর ভিত্তি করে রানটাইম নীতিগুলি মিটার এটিটি এবং সিকে;
প্রতিক্রিয়া এবং ঘটনার সমাধান।

Tenable কন্টেইনার নিরাপত্তা

ওয়েবসাইট: www.tenable.com/products/tenable-io/container-security
লাইসেন্স: বাণিজ্যিক

কনটেইনারের আবির্ভাবের আগে, টেনেবল নেসাসের পিছনে কোম্পানি হিসাবে শিল্পে ব্যাপকভাবে পরিচিত ছিল, একটি জনপ্রিয় দুর্বলতা শিকার এবং নিরাপত্তা অডিটিং টুল।

টেনেবল কনটেইনার সিকিউরিটি একটি সিআই/সিডি পাইপলাইনকে দুর্বলতার ডেটাবেস, বিশেষ ম্যালওয়্যার সনাক্তকরণ প্যাকেজ এবং নিরাপত্তা হুমকির সমাধানের জন্য সুপারিশগুলির সাথে একীভূত করতে কোম্পানির কম্পিউটার নিরাপত্তা দক্ষতার ব্যবহার করে।

টুইস্টলক (পালো অল্টো নেটওয়ার্ক)

ওয়েবসাইট: www.twistlock.com
লাইসেন্স: বাণিজ্যিক

টুইস্টলক ক্লাউড পরিষেবা এবং পাত্রে ফোকাস করে একটি প্ল্যাটফর্ম হিসাবে নিজেকে প্রচার করে। টুইস্টলক বিভিন্ন ক্লাউড প্রোভাইডার (AWS, Azure, GCP), কন্টেইনার অর্কেস্ট্রেটর (Kubernetes, Mesospehere, OpenShift, Docker), সার্ভারহীন রানটাইম, মেশ ফ্রেমওয়ার্ক এবং CI/CD টুল সমর্থন করে।

সিআই/সিডি পাইপলাইন ইন্টিগ্রেশন বা ইমেজ স্ক্যানিংয়ের মতো প্রচলিত এন্টারপ্রাইজ-গ্রেড নিরাপত্তা কৌশল ছাড়াও, টুইস্টলক কন্টেইনার-নির্দিষ্ট আচরণগত নিদর্শন এবং নেটওয়ার্ক নিয়ম তৈরি করতে মেশিন লার্নিং ব্যবহার করে।

কিছু সময় আগে, Twistlock Palo Alto Networks দ্বারা কেনা হয়েছিল, যেটি Evident.io এবং RedLock প্রকল্পের মালিক। এই তিনটি প্ল্যাটফর্ম ঠিক কীভাবে একত্রিত হবে তা এখনও জানা যায়নি Prisma পালো অল্টো থেকে।

Kubernetes নিরাপত্তা সরঞ্জামের সেরা ক্যাটালগ তৈরি করতে সাহায্য করুন!

আমরা এই ক্যাটালগটিকে যতটা সম্ভব সম্পূর্ণ করার চেষ্টা করি এবং এর জন্য আমাদের আপনার সাহায্য প্রয়োজন! যোগাযোগ করুন (@sysdig) যদি আপনার মনে একটি দুর্দান্ত সরঞ্জাম থাকে যা এই তালিকায় অন্তর্ভুক্ত করার যোগ্য, অথবা আপনি একটি ত্রুটি/সেকেলে তথ্য খুঁজে পান।

এছাড়াও আপনি আমাদের সদস্যতা নিতে পারেন মাসিক নিউজলেটার ক্লাউড-নেটিভ ইকোসিস্টেম থেকে খবর এবং কুবারনেটস সিকিউরিটি বিশ্বের আকর্ষণীয় প্রকল্পের গল্প সহ।

অনুবাদক থেকে PS

আমাদের ব্লগেও পড়ুন:

উত্স: www.habr.com

33+ কুবারনেটস নিরাপত্তা সরঞ্জাম