33+ Kubernetes sigurnosnih alata

Bilješka. transl.: Ako se pitate o sigurnosti u infrastrukturi zasnovanoj na Kubernetesu, ovaj odličan pregled iz Sysdig-a je odlična polazna tačka za brzi pregled trenutnih rješenja. Uključuje i složene sisteme poznatih tržišnih igrača i mnogo skromnije uslužne programe koji rješavaju određeni problem. A u komentarima, kao i uvijek, rado ćemo čuti o vašem iskustvu korištenja ovih alata i vidjeti linkove na druge projekte.

Kubernetes sigurnosni softverski proizvodi... ima ih toliko, svaki sa svojim ciljevima, opsegom i licencama.

Zato smo odlučili napraviti ovu listu i uključiti projekte otvorenog koda i komercijalne platforme različitih dobavljača. Nadamo se da će vam pomoći da identifikujete one koji su od najvećeg interesa i uputiti vas u pravom smjeru na osnovu vaših specifičnih sigurnosnih potreba Kubernetesa.

Kategorije

Da bi se lista lakše kretala, alati su organizirani prema glavnoj funkciji i aplikaciji. Dobijeni su sljedeći dijelovi:

• Kubernetes skeniranje slike i statička analiza;
• Runtime security;
• Kubernetes mrežna sigurnost;
• Distribucija slika i upravljanje tajnama;
• Kubernetes revizija sigurnosti;
• Sveobuhvatni komercijalni proizvodi.

Hajdemo na posao:

Skeniranje Kubernetes slika

Sidro

• Web stranice: anchore.com
• Licenca: besplatna (Apache) i komercijalna ponuda

Anchore analizira slike kontejnera i dozvoljava sigurnosne provjere na osnovu korisnički definiranih politika.

Pored uobičajenog skeniranja slika kontejnera za poznate ranjivosti iz CVE baze podataka, Anchore obavlja mnoge dodatne provjere kao dio svoje politike skeniranja: provjerava Dockerfile, curenja vjerodajnica, pakete korištenih programskih jezika (npm, maven, itd. .), softverske licence i još mnogo toga.

Clair

• Web stranice: coreos.com/clair (sada pod nadzorom Red Hata)
• Licenca: besplatna (Apache)

Clair je bio jedan od prvih projekata otvorenog koda za skeniranje slika. Nadaleko je poznat kao sigurnosni skener iza Quay registra slika (takođe iz CoreOS-a - cca. transl.). Clair može prikupljati CVE informacije iz širokog spektra izvora, uključujući popise ranjivosti specifičnih za Linux distribuciju koje održavaju Debian, Red Hat ili Ubuntu sigurnosni timovi.

Za razliku od Anchorea, Clair se prvenstveno fokusira na pronalaženje ranjivosti i uparivanje podataka sa CVE-ovima. Međutim, proizvod nudi korisnicima neke mogućnosti za proširenje funkcija pomoću drajvera za dodatke.

dagda

• Web stranice: github.com/eliasgranderubio/dagda
• Licenca: besplatna (Apache)

Dagda vrši statičku analizu slika kontejnera za poznate ranjivosti, trojance, viruse, zlonamjerni softver i druge prijetnje.

Dvije značajne karakteristike razlikuju Dagdu od drugih sličnih alata:

• Savršeno se integriše sa ClamAV, koji ne djeluje samo kao alat za skeniranje slika kontejnera, već i kao antivirus.
• Takođe pruža zaštitu tokom izvršavanja primanjem događaja u realnom vremenu od Docker demona i integracijom sa Falco (vidi dolje) za prikupljanje sigurnosnih događaja dok je kontejner pokrenut.

KubeXray

• Web stranice: github.com/jfrog/kubexray
• Licenca: besplatna (Apache), ali zahtijeva podatke od JFrog Xray-a (komercijalni proizvod)

KubeXray sluša događaje sa Kubernetes API servera i koristi metapodatke iz JFrog Xraya kako bi osigurao da se pokreću samo podovi koji odgovaraju trenutnoj politici.

KubeXray ne samo da revidira nove ili ažurirane kontejnere u implementacijama (slično kontroleru pristupa u Kubernetesu), već i dinamički provjerava usklađenost pokrenutih kontejnera s novim sigurnosnim politikama, uklanjajući resurse koji upućuju na ranjive slike.

Snyk

• Web stranice: snyk.io
• Licenca: besplatna (Apache) i komercijalna verzija

Snyk je neobičan skener ranjivosti po tome što posebno cilja na razvojni proces i promovira se kao "esencijalno rješenje" za programere.

Snyk se povezuje direktno sa repozitorijumom koda, analizira manifest projekta i analizira uvezeni kod zajedno sa direktnim i indirektnim zavisnostima. Snyk podržava mnoge popularne programske jezike i može identificirati skrivene rizike licence.

Trivy

• Web stranice: github.com/knqyf263/trivy
• Licenca: besplatna (AGPL)

Trivy je jednostavan, ali moćan skener ranjivosti za kontejnere koji se lako integriše u CI/CD cevovod. Njegova značajna karakteristika je lakoća instalacije i rada: aplikacija se sastoji od jedne binarne datoteke i ne zahtijeva instalaciju baze podataka ili dodatnih biblioteka.

Loša strana jednostavnosti Trivy-ja je ta što morate shvatiti kako raščlaniti i proslijediti rezultate u JSON formatu tako da ih drugi sigurnosni alati Kubernetesa mogu koristiti.

Runtime sigurnost u Kubernetesu

Falco

• Web stranice: falco.org
• Licenca: besplatna (Apache)

Falco je skup alata za osiguranje okruženja u oblaku. Dio projektne porodice CNCF.

Koristeći Sysdig-ov Linux alat na nivou kernela i profilisanje sistemskih poziva, Falco vam omogućava da zaronite duboko u ponašanje sistema. Njegov mehanizam za pravila vremena izvršavanja je sposoban da otkrije sumnjive aktivnosti u aplikacijama, kontejnerima, osnovnom hostu i Kubernetes orkestratoru.

Falco pruža potpunu transparentnost u vremenu izvođenja i otkrivanju prijetnji postavljanjem posebnih agenata na Kubernetes čvorove za ove svrhe. Kao rezultat toga, nema potrebe za modifikacijom kontejnera uvođenjem koda treće strane u njih ili dodavanjem bočnih kontejnera.

Linux sigurnosni okviri za vrijeme izvođenja

Ovi izvorni okviri za jezgro Linuxa nisu „Kubernetes sigurnosni alati“ u tradicionalnom smislu, ali su vrijedni spomena jer su važan element u kontekstu sigurnosti vremena izvršavanja, koja je uključena u Kubernetes Pod Security Policy (PSP).

AppArmor prilaže sigurnosni profil procesima koji se pokreću u kontejneru, definirajući privilegije sistema datoteka, pravila pristupa mreži, povezujući biblioteke itd. Ovo je sistem zasnovan na obaveznoj kontroli pristupa (MAC). Drugim riječima, sprječava izvođenje zabranjenih radnji.

Sigurnosno poboljšan Linux (SELinux) je napredni sigurnosni modul u Linux kernelu, sličan u nekim aspektima AppArmoru i često upoređivan s njim. SELinux je superiorniji od AppArmora u snazi, fleksibilnosti i prilagođavanju. Njegovi nedostaci su duga kriva učenja i povećana složenost.

Seccomp i seccomp-bpf vam omogućavaju da filtrirate sistemske pozive, blokirate izvršavanje onih koji su potencijalno opasni za osnovni OS i nisu potrebni za normalan rad korisničkih aplikacija. Seccomp je na neki način sličan Falcu, iako ne poznaje specifičnosti kontejnera.

Sysdig open source

• Web stranice: www.sysdig.com/opensource
• Licenca: besplatna (Apache)

Sysdig je kompletan alat za analizu, dijagnostiku i otklanjanje grešaka u Linux sistemima (također radi na Windows i macOS, ali sa ograničenim funkcijama). Može se koristiti za prikupljanje detaljnih informacija, verifikaciju i forenzičku analizu. (forenzika) osnovni sistem i sve kontejnere koji rade na njemu.

Sysdig također izvorno podržava vrijeme izvođenja kontejnera i Kubernetes metapodatke, dodajući dodatne dimenzije i oznake svim informacijama o ponašanju sistema koje prikuplja. Postoji nekoliko načina za analizu Kubernetes klastera koristeći Sysdig: možete izvršiti snimanje u trenutku preko kubectl capture ili pokrenite interaktivni interfejs zasnovan na ncurses koristeći dodatak kubectl dig.

Kubernetes mrežna sigurnost

Aporeto

• Web stranice: www.aporeto.com
• Licenca: komercijalna

Aporeto nudi "sigurnost odvojenu od mreže i infrastrukture." To znači da Kubernetes servisi ne primaju samo lokalni ID (tj. ServiceAccount u Kubernetesu), već i univerzalni ID/otisak prsta koji se može koristiti za sigurnu i međusobnu komunikaciju sa bilo kojom drugom uslugom, na primjer u OpenShift klasteru.

Aporeto je sposoban da generiše jedinstveni ID ne samo za Kubernetes/kontejnere, već i za hostove, funkcije u oblaku i korisnike. Ovisno o ovim identifikatorima i skupu mrežnih sigurnosnih pravila koje postavlja administrator, komunikacija će biti dozvoljena ili blokirana.

Calico

• Web stranice: www.projectcalico.org
• Licenca: besplatna (Apache)

Calico se obično postavlja tokom instalacije orkestratora kontejnera, omogućavajući vam da kreirate virtuelnu mrežu koja povezuje kontejnere. Pored ove osnovne mrežne funkcionalnosti, projekat Calico radi sa Kubernetes mrežnim politikama i sopstvenim skupom mrežnih bezbednosnih profila, podržava ACL-ove krajnjih tačaka (liste kontrole pristupa) i pravila bezbednosti mreže zasnovana na beleškama za ulazni i izlazni saobraćaj.

cilium

• Web stranice: www.cilium.io
• Licenca: besplatna (Apache)

Cilium djeluje kao zaštitni zid za kontejnere i pruža mrežne sigurnosne funkcije koje su izvorno skrojene za Kubernetes i radna opterećenja mikroservisa. Cilium koristi novu Linux kernel tehnologiju pod nazivom BPF (Berkeley Packet Filter) za filtriranje, praćenje, preusmjeravanje i ispravljanje podataka.

Cilium je sposoban da implementira politike pristupa mreži na osnovu ID-ova kontejnera koristeći Docker ili Kubernetes oznake i metapodatke. Cilium također razumije i filtrira različite protokole sloja 7 kao što su HTTP ili gRPC, omogućavajući vam da definirate skup REST poziva koji će biti dozvoljeni između dvije implementacije Kubernetesa, na primjer.

Istio

• Web stranice: istio.io
• Licenca: besplatna (Apache)

Istio je nadaleko poznat po implementaciji paradigme servisne mreže postavljanjem kontrolne ravni nezavisne od platforme i usmjeravanjem cjelokupnog upravljanog servisnog prometa kroz dinamički konfigurabilne Envoy proxy servere. Istio koristi prednosti ovog naprednog pogleda na sve mikroservise i kontejnere za implementaciju različitih strategija mrežne sigurnosti.

Istio mrežne sigurnosne mogućnosti uključuju transparentnu TLS enkripciju za automatsku nadogradnju komunikacije između mikroservisa na HTTPS, i vlasnički RBAC sistem identifikacije i autorizacije koji dozvoljava/odbija komunikaciju između različitih radnih opterećenja u klasteru.

Bilješka. transl.: Da biste saznali više o Istio-ovim sigurnosnim mogućnostima, pročitajte ovaj članak.

Tigera

• Web stranice: www.tigera.io
• Licenca: komercijalna

Nazvano “Kubernetes Firewall”, ovo rješenje naglašava pristup mrežnoj sigurnosti bez povjerenja.

Slično drugim domaćim Kubernetes mrežnim rješenjima, Tigera se oslanja na metapodatke za identifikaciju različitih usluga i objekata u klasteru i pruža otkrivanje problema u vremenu izvođenja, kontinuiranu provjeru usklađenosti i vidljivost mreže za multi-cloud ili hibridne monolitno-kontejnerske infrastrukture.

Trireme

• Web stranice: www.aporeto.com/opensource
• Licenca: besplatna (Apache)

Trireme-Kubernetes je jednostavna i jasna implementacija specifikacije Kubernetes mrežnih politika. Najznačajnija karakteristika je da – za razliku od sličnih Kubernetes proizvoda za mrežnu sigurnost – ne zahtijeva centralnu kontrolnu ravninu za koordinaciju mreže. Ovo čini rješenje trivijalno skalabilnim. U Triremeu, ovo se postiže instaliranjem agenta na svaki čvor koji se direktno povezuje na hostov TCP/IP stog.

Propagacija slike i upravljanje tajnama

Grafeas

• Web stranice: grafeas.io
• Licenca: besplatna (Apache)

Grafeas je API otvorenog koda za reviziju i upravljanje lancem nabavke softvera. Na osnovnom nivou, Grafeas je alat za prikupljanje metapodataka i nalaza revizije. Može se koristiti za praćenje usklađenosti sa najboljim sigurnosnim praksama unutar organizacije.

Ovaj centralizirani izvor istine pomaže odgovoriti na pitanja kao što su:

• Ko je prikupio i potpisao za određeni kontejner?
• Da li je prošao sva sigurnosna skeniranja i provjere koje zahtijeva sigurnosna politika? Kada? Kakvi su bili rezultati?
• Ko ga je postavio u proizvodnju? Koji su specifični parametri korišteni tokom implementacije?

In-toto

• Web stranice: in-toto.github.io
• Licenca: besplatna (Apache)

In-toto je okvir dizajniran da obezbijedi integritet, autentifikaciju i reviziju čitavog lanca nabavke softvera. Prilikom implementacije In-toto u infrastrukturu, prvo se definira plan koji opisuje različite korake u procesu (spremište, CI/CD alati, QA alati, sakupljači artefakata, itd.) i korisnike (odgovorne osobe) kojima je dozvoljeno da inicirati ih.

In-toto prati izvršenje plana, provjeravajući da svaki zadatak u lancu ispravno obavlja samo ovlašteno osoblje i da nisu izvršene neovlaštene manipulacije s proizvodom tokom kretanja.

Portieris

• Web stranice: github.com/IBM/portieris
• Licenca: besplatna (Apache)

Portieris je kontroler pristupa za Kubernetes; koristi se za provođenje provjere povjerenja sadržaja. Portieris koristi server Notar (pisali smo o njemu na kraju ovog člana - cca. transl.) kao izvor istine za potvrđivanje pouzdanih i potpisanih artefakata (tj. odobrenih slika kontejnera).

Kada se radno opterećenje kreira ili modificira u Kubernetes-u, Portieris preuzima informacije o potpisivanju i politiku povjerenja sadržaja za tražene slike kontejnera i, ako je potrebno, vrši promjene u hodu u JSON API objektu kako bi pokrenuo potpisane verzije tih slika.

svod

• Web stranice: www.vaultproject.io
• Licenca: besplatna (MPL)

Vault je sigurno rješenje za pohranjivanje privatnih informacija: lozinki, OAuth tokena, PKI certifikata, pristupnih računa, Kubernetes tajni itd. Trezor podržava mnoge napredne funkcije, kao što je iznajmljivanje efemernih sigurnosnih tokena ili organiziranje rotacije ključeva.

Koristeći Helm grafikon, Vault se može implementirati kao nova implementacija u Kubernetes klasteru sa Consul-om kao pozadinskim skladištem. Podržava izvorne Kubernetes resurse kao što su tokeni ServiceAccount i čak može djelovati kao zadano spremište za Kubernetes tajne.

Bilješka. transl.: Inače, upravo je jučer kompanija HashiCorp, koja razvija Vault, najavila neka poboljšanja za korištenje Vaulta u Kubernetes-u, a posebno se odnose na Helm grafikon. Pročitajte više u blog programera.

Kubernetes Security Audit

Kube-klupa

• Web stranice: github.com/aquasecurity/kube-bench
• Licenca: besplatna (Apache)

Kube-bench je Go aplikacija koja provjerava da li je Kubernetes bezbedno postavljen pokretanjem testova sa liste CIS Kubernetes Benchmark.

Kube-bench traži nesigurne konfiguracijske postavke među komponentama klastera (etcd, API, menadžer kontrolera, itd.), upitna prava pristupa datotekama, nezaštićene račune ili otvorene portove, kvote resursa, postavke za ograničavanje broja API poziva za zaštitu od DoS napada , itd.

Kube-lovac

• Web stranice: github.com/aquasecurity/kube-hunter
• Licenca: besplatna (Apache)

Kube-hunter traži potencijalne ranjivosti (kao što je daljinsko izvršavanje koda ili otkrivanje podataka) u Kubernetes klasterima. Kube-hunter se može pokrenuti kao udaljeni skener - u tom slučaju će procijeniti klaster sa stanovišta napadača treće strane - ili kao pod unutar klastera.

Karakteristična karakteristika Kube-hunter-a je njegov način „aktivnog lova”, tokom kojeg ne samo da prijavljuje probleme, već i pokušava da iskoristi ranjivosti otkrivene u ciljnom klasteru koje bi potencijalno mogle naštetiti njegovom radu. Zato koristite oprezno!

Kubeaudit

• Web stranice: github.com/Shopify/kubeaudit
• Licenca: besplatna (MIT)

Kubeaudit je konzolni alat koji je prvobitno razvijen u Shopifyju za reviziju Kubernetes konfiguracije za različite sigurnosne probleme. Na primjer, pomaže identificirati kontejnere koji rade neograničeno, rade kao root, zloupotrebljavaju privilegije ili koriste zadani ServiceAccount.

Kubeaudit ima i druge zanimljive karakteristike. Na primjer, može analizirati lokalne YAML datoteke, identificirati konfiguracijske nedostatke koji bi mogli dovesti do sigurnosnih problema i automatski ih popraviti.

Kubesec

• Web stranice: kubesec.io
• Licenca: besplatna (Apache)

Kubesec je poseban alat po tome što direktno skenira YAML datoteke koje opisuju Kubernetes resurse, tražeći slabe parametre koji bi mogli utjecati na sigurnost.

Na primjer, može otkriti prekomjerne privilegije i dozvole dodijeljene pod-u, pokretanje kontejnera s root-om kao zadanog korisnika, povezivanje s mrežnim prostorom imena hosta ili opasna montiranja poput /proc host ili Docker socket. Još jedna zanimljiva karakteristika Kubeseca je demo usluga dostupna na mreži, u koju možete učitati YAML i odmah ga analizirati.

Open Policy Agent

• Web stranice: www.openpolicyagent.org
• Licenca: besplatna (Apache)

Koncept OPA (Open Policy Agent) je da odvoji sigurnosne politike i najbolje sigurnosne prakse od specifične runtime platforme: Docker, Kubernetes, Mesosphere, OpenShift ili bilo koja njihova kombinacija.

Na primjer, možete primijeniti OPA kao backend za Kubernetes kontroler pristupa, delegirajući mu sigurnosne odluke. Na ovaj način, OPA agent može potvrditi, odbiti, pa čak i modificirati zahtjeve u hodu, osiguravajući da su navedeni sigurnosni parametri ispunjeni. OPA-ine sigurnosne politike su napisane na njenom zaštićenom DSL jeziku, Rego.

Bilješka. transl.: Pisali smo više o OPA (i SPIFFE) u ovaj materijal.

Sveobuhvatni komercijalni alati za Kubernetes sigurnosnu analizu

Odlučili smo da napravimo posebnu kategoriju za komercijalne platforme jer one obično pokrivaju više sigurnosnih oblasti. Opća ideja o njihovim mogućnostima može se dobiti iz tabele:

* Napredni pregled i obdukcija sa kompletnim otmica sistemskog poziva.

Aqua Security

• Web stranice: www.aquasec.com
• Licenca: komercijalna

Ovaj komercijalni alat je dizajniran za kontejnere i radna opterećenja u oblaku. Pruža:

• Skeniranje slike integrisano sa registrom kontejnera ili CI/CD cevovodom;
• Runtime zaštita sa traženjem promjena u kontejnerima i drugim sumnjivim aktivnostima;
• Kontejnerski zaštitni zid;
• Sigurnost za usluge u oblaku bez servera;
• Testiranje usklađenosti i revizija u kombinaciji sa evidentiranjem događaja.

Bilješka. transl.: Također je vrijedno napomenuti da postoje besplatna komponenta proizvoda tzv MicroScanner, koji vam omogućava da skenirate slike kontejnera u potrazi za ranjivostima. Poređenje njegovih mogućnosti sa plaćenim verzijama je predstavljeno u ovaj sto.

Kapsula8

• Web stranice: capsule8.com
• Licenca: komercijalna

Capsule8 se integriše u infrastrukturu instaliranjem detektora na lokalni ili oblak Kubernetes klaster. Ovaj detektor prikuplja telemetriju hosta i mreže, povezujući je sa različitim vrstama napada.

Tim Capsule8 svoj zadatak vidi kao rano otkrivanje i prevenciju napada upotrebom novih (0-dan) ranjivosti. Capsule8 može preuzeti ažurirana sigurnosna pravila direktno na detektore kao odgovor na novootkrivene prijetnje i ranjivosti softvera.

Cavirin

• Web stranice: www.cavirin.com
• Licenca: komercijalna

Cavirin djeluje kao izvođač radova za različite agencije koje se bave sigurnosnim standardima. Ne samo da može skenirati slike, već se može i integrirati u CI/CD cevovod, blokirajući nestandardne slike prije nego što uđu u zatvorena spremišta.

Cavirinov sigurnosni paket koristi mašinsko učenje za procjenu vašeg položaja u vezi s sajber sigurnosti, nudeći savjete za poboljšanje sigurnosti i usklađenost sa sigurnosnim standardima.

Komandni centar Google Cloud Security

• Web stranice: cloud.google.com/security-command-center
• Licenca: komercijalna

Cloud Security Command Center pomaže sigurnosnim timovima da prikupljaju podatke, identifikuju prijetnje i eliminišu ih prije nego što nanesu štetu kompaniji.

Kao što ime sugerira, Google Cloud SCC je objedinjena kontrolna ploča koja može integrirati i upravljati raznim sigurnosnim izvještajima, mehanizmom za računovodstvo imovine i sigurnosnim sistemima trećih strana iz jednog, centraliziranog izvora.

Interoperabilni API koji nudi Google Cloud SCC olakšava integraciju sigurnosnih događaja koji dolaze iz različitih izvora, kao što je Sysdig Secure (sigurnost kontejnera za aplikacije koje su izvorne u oblaku) ili Falco (open Source runtime security).

Slojeviti uvid (Qualys)

• Web stranice: layeredinsight.com
• Licenca: komercijalna

Layered Insight (sada dio Qualys Inc) izgrađen je na konceptu „ugrađene sigurnosti“. Nakon skeniranja originalne slike u potrazi za ranjivostima koristeći statističku analizu i CVE provjere, Layered Insight je zamjenjuje instrumentiranom slikom koja uključuje agenta kao binarnu.

Ovaj agent sadrži sigurnosne testove vremena izvođenja za analizu mrežnog prometa kontejnera, I/O tokova i aktivnosti aplikacije. Osim toga, može izvršiti dodatne sigurnosne provjere koje odredi administrator infrastrukture ili DevOps timovi.

NeuVector

• Web stranice: neuvector.com
• Licenca: komercijalna

NeuVector provjerava sigurnost kontejnera i pruža zaštitu tokom izvođenja analizirajući mrežnu aktivnost i ponašanje aplikacije, kreirajući individualni sigurnosni profil za svaki kontejner. Također može samostalno blokirati prijetnje, izolirajući sumnjive aktivnosti promjenom lokalnih pravila zaštitnog zida.

NeuVector-ova mrežna integracija, poznata kao Security Mesh, sposobna je za duboku analizu paketa i filtriranje sloja 7 za sve mrežne veze u servisnoj mreži.

stackrox

• Web stranice: www.stackrox.com
• Licenca: komercijalna

StackRox platforma za sigurnost kontejnera nastoji da pokrije čitav životni ciklus Kubernetes aplikacija u klasteru. Kao i druge komercijalne platforme na ovoj listi, StackRox generiše runtime profil na osnovu uočenog ponašanja kontejnera i automatski podiže alarm za sva odstupanja.

Osim toga, StackRox analizira Kubernetes konfiguracije koristeći Kubernetes CIS i druge pravilnike kako bi procijenio usklađenost kontejnera.

Sysdig Secure

• Web stranice: sysdig.com/products/secure
• Licenca: komercijalna

Sysdig Secure štiti aplikacije tokom cijelog životnog ciklusa kontejnera i Kubernetesa. On skenira slike kontejnere, pruža runtime protection prema podacima mašinskog učenja, vrši kremu. stručnost za identifikaciju ranjivosti, blokira prijetnje, nadgleda usklađenost sa utvrđenim standardima i revizijske aktivnosti u mikroservisima.

Sysdig Secure se integriše sa CI/CD alatima kao što je Jenkins i kontroliše slike učitane iz Docker registara, sprečavajući pojavu opasnih slika u proizvodnji. Takođe pruža sveobuhvatnu sigurnost tokom rada, uključujući:

• ML-bazirano runtime profiliranje i detekcija anomalija;
• runtime politike zasnovane na sistemskim događajima, K8s-audit API-ju, zajedničkim projektima zajednice (FIM - praćenje integriteta datoteka; kriptojacking) i okviru MITER ATT&CK;
• odgovor i rješavanje incidenata.

Održiva sigurnost kontejnera

• Web stranice: www.tenable.com/products/tenable-io/container-security
• Licenca: komercijalna

Prije pojave kontejnera, Tenable je bio nadaleko poznat u industriji kao kompanija koja stoji iza Nessus-a, popularnog alata za traženje ranjivosti i sigurnosnu reviziju.

Tenable Container Security koristi stručnost kompanije za računarsku bezbednost da integriše CI/CD cevovod sa bazama podataka ranjivosti, specijalizovanim paketima za otkrivanje zlonamernog softvera i preporukama za rešavanje bezbednosnih pretnji.

Twistlock (Palo Alto Networks)

• Web stranice: www.twistlock.com
• Licenca: komercijalna

Twistlock se promovira kao platforma fokusirana na usluge u oblaku i kontejnere. Twistlock podržava različite provajdere oblaka (AWS, Azure, GCP), orkestratore kontejnera (Kubernetes, Mesospehere, OpenShift, Docker), runtimes bez servera, mesh frameworke i CI/CD alate.

Pored konvencionalnih sigurnosnih tehnika korporativnog nivoa, kao što su integracija CI/CD cevovoda ili skeniranje slika, Twistlock koristi mašinsko učenje za generisanje obrazaca ponašanja i mrežnih pravila specifičnih za kontejner.

Prije nekog vremena, Twistlock je kupila Palo Alto Networks, koja posjeduje projekte Evident.io i RedLock. Još nije poznato u koje će tačno tri platforme biti integrisane PRISMA iz Palo Alta.

Pomozite u izradi najboljeg kataloga Kubernetes sigurnosnih alata!

Trudimo se da ovaj katalog bude što kompletniji, a za to nam je potrebna vaša pomoć! Kontaktiraj nas (@sysdig) ako imate na umu cool alat koji je vrijedan uključivanja na ovu listu, ili pronađete grešku/zastarjele informacije.

Također se možete pretplatiti na naše mjesečni bilten sa vijestima iz cloud-native ekosistema i pričama o zanimljivim projektima iz svijeta Kubernetes sigurnosti.

PS od prevodioca

Pročitajte i na našem blogu:

• «Uvod u Kubernetes mrežne politike za profesionalce za sigurnost»;
• «Docker i Kubernetes u okruženjima koja zahtijevaju sigurnost»;
• «9 Kubernetes sigurnosnih najboljih praksi»;
• «11 načina da (ne) budete hakirani u Kubernetesu»;
• «OPA i SPIFFE su dva nova projekta u CNCF-u za sigurnost aplikacija u oblaku".

izvor: www.habr.com