33+ Kubernetes mga himan sa seguridad

Nota. transl.: Kung nahibulong ka bahin sa mga isyu sa seguridad sa usa ka imprastraktura nga nakabase sa Kubernetes, kining maayo kaayo nga pagtan-aw gikan sa Sysdig usa ka maayong punto sa pagsugod alang sa dali nga pagpaila sa mga solusyon karon. Naglakip kini sa duha ka komplikado nga mga sistema gikan sa ilado nga mga magdudula sa merkado, ug labi pa nga kasarangan nga mga gamit nga nagsakup sa usa ka partikular nga problema. Ug sa mga komento, kami, sama sa kanunay, malipay nga mahibal-an ang bahin sa imong kasinatian sa paggamit niini nga mga himan ug tan-awa ang mga link sa ubang mga proyekto.

Mga produkto sa software sa seguridad sa Kubernetes… daghan kaayo, ug ang matag usa adunay kaugalingon nga katuyoan, sakup, ug mga lisensya.

Mao nga nakahukom kami sa paghimo niini nga lista ug gilakip ang duha nga bukas nga gigikanan nga mga proyekto ug komersyal nga mga plataporma gikan sa lainlaing mga tigbaligya. Kami nanghinaut nga kini makatabang kanimo sa pagpili sa mga labing interesado ug nagpunting kanimo sa husto nga direksyon base sa imong piho nga mga panginahanglan sa seguridad sa Kubernetes.

Mga kategoriya

Aron mas dali ang pag-navigate sa lista, ang mga himan gi-categorize sa mayor nga function ug aplikasyon. Ang resulta nga mga seksyon mao ang:

• Pag-scan sa imahe sa Kubernetes ug static nga pagtuki;
• seguridad sa runtime;
• Seguridad sa network sa Kubernetes;
• Pag-apod-apod sa mga imahe ug pagdumala sa mga sekreto;
• Pag-audit sa seguridad sa Kubernetes;
• Komplikado nga komersyal nga mga produkto.

Manaug kita sa negosyo:

Pag-scan sa mga hulagway sa Kubernetes

Angkla

• Website: anchore.com
• Lisensya: libre (Apache) ug komersyal nga tanyag

Ang Anchore nga pakete nag-parse sa mga hulagway sa sudlanan ug nagtugot sa mga pagsusi sa seguridad base sa mga palisiya nga gitakda sa user.

Gawas pa sa naandan nga pag-scan sa mga imahen sa sulud alang sa nahibal-an nga mga kahuyangan gikan sa database sa CVE, ang Anchore nagpahigayon daghang dugang nga mga pagsusi ingon bahin sa palisiya sa pag-scan: pagsusi sa Dockerfile, mga leaked nga kredensyal, mga pakete sa mga programming language nga gigamit (npm, maven, etc.) , mga lisensya sa software ug daghan pa.

Clair

• Website: coreos.com/clair (karon ubos sa pagdumala sa Red Hat)
• Lisensya: Libre (Apache)

Si Clair usa sa unang mga proyekto sa Open Source alang sa pag-scan sa imahe. Kini kaylap nga nailhan isip security scanner luyo sa Quay Image Registry. (gikan usab sa CoreOS - gibanabana. transl.). Makakuha si Clair og impormasyon bahin sa mga CVE gikan sa lain-laing mga tinubdan, lakip ang mga lista sa mga kahuyangan nga espesipiko sa pag-apod-apod sa Linux nga gihuptan sa Debian, Red Hat, o mga security team sa Ubuntu.

Dili sama sa Anchore, ang Clair nag-una nga naka-focus sa pagpangita sa mga kahuyangan ug pagpares sa datos sa CVE. Bisan pa, ang produkto nagtanyag sa mga tiggamit og pipila ka mga kapilian alang sa pagpalapad sa pagpaandar pinaagi sa mga driver sa plug-in.

dagda

• Website: github.com/eliasgranderubio/dagda
• Lisensya: Libre (Apache)

Si Dagda estatikong nag-analisar sa mga hulagway sa sudlanan alang sa nahibal-an nga mga kahuyangan, mga Trojan, mga virus, malware, ug uban pang mga hulga.

Ang pakete sa Dagda lahi sa ubang susama nga mga himan sa duha ka talagsaong paagi:

• Nahiusa kini og maayo sa ClamAV, naglihok dili lamang ingon usa ka himan alang sa pag-scan sa mga imahe sa sulud, apan ingon usab usa ka antivirus.
• Naghatag usab og proteksyon sa runtime pinaagi sa pagdawat sa real-time nga mga panghitabo gikan sa Docker daemon ug pag-integrate sa Falco (Tan-awa sa ubos) aron mangolekta og mga panghitabo sa seguridad samtang nagdagan ang sudlanan.

KubeXray

• Website: github.com/jfrog/kubexray
• Lisensya: libre (Apache), apan nagkinahanglan og datos gikan sa JFrog Xray (komersyal nga produkto)

Ang KubeXray maminaw sa mga panghitabo gikan sa Kubernetes API server ug naggamit sa metadata gikan sa JFrog Xray aron maseguro nga ang mga pod lang nga mohaum sa kasamtangang polisiya magsugod.

Ang KubeXray dili lamang nag-audit sa bag-o o updated nga mga sudlanan sa mga deployment (sama sa admission controller sa Kubernetes), apan dinamikong usab nga nagsusi sa nagdagan nga mga sudlanan alang sa pagsunod sa bag-ong mga polisiya sa seguridad, nga nagtangtang sa mga kapanguhaan nga nagtumong sa mga huyang nga mga hulagway.

Snyk

• Website: snyk.io
• Lisensya: libre (Apache) ug komersyal nga mga bersyon

Ang Snyk usa ka talagsaon nga vulnerability scanner sa diwa nga espesipikong gipunting niini ang proseso sa pag-uswag ug gipasiugda ingon usa ka "hinungdanon nga solusyon" alang sa mga nag-develop.

Ang Snyk direkta nga nagkonektar sa code repository, nag-parse sa project manifest, ug nag-parse sa imported nga code uban sa direkta ug dili direkta nga dependencies. Gisuportahan sa Snyk ang daghang bantog nga mga sinultian sa programming ug makamatikod sa mga tinago nga peligro sa lisensya.

Trivy

• Website: github.com/knqyf263/trivy
• Lisensya: Libre (AGPL)

Ang Trivy usa ka yano apan kusgan nga scanner sa pagkahuyang sa sulud nga dali nga na-integrate sa usa ka pipeline sa CI / CD. Ang talagsaon nga bahin niini mao ang kasayon ​​sa pag-instalar ug operasyon: ang aplikasyon naglangkob sa usa ka binary ug wala magkinahanglan sa pag-instalar sa usa ka database o dugang nga mga librarya.

Ang kalisud sa kayano ni Trivy mao nga kinahanglan nimo nga mahibal-an kung giunsa ang pag-parse ug pagpadala sa mga resulta sa JSON aron magamit kini sa ubang mga gamit sa seguridad sa Kubernetes.

Seguridad sa runtime sa Kubernetes

Falco

• Website: falco.org
• Lisensya: Libre (Apache)

Ang Falco usa ka hugpong sa mga himan alang sa pagsiguro sa mga runtime sa panganod. Bahin sa usa ka pamilya sa proyekto Ang CNCF.

Gamit ang toolkit sa Sysdig alang sa pagtrabaho sa lebel sa kernel sa Linux ug mga tawag sa sistema sa profiling, gitugotan ka sa Falco nga mag-dive sa lawom nga pamatasan sa sistema. Ang makina sa runtime rules niini makahimo sa pag-detect sa kadudahang kalihokan sa mga aplikasyon, mga sudlanan, ang nagpahiping host, ug ang Kubernetes orchestrator.

Naghatag ang Falco og bug-os nga transparency sa operasyon sa runtime ug pagtuki sa hulga pinaagi sa pagbutang og mga espesyal nga ahente sa mga node sa Kubernetes alang niini nga katuyoan. Ingon usa ka sangputanan, dili kinahanglan nga usbon ang mga sudlanan pinaagi sa pag-inject sa code sa ikatulo nga partido sa kanila o pagbitay sa mga sudlanan sa sidecar.

Linux security frameworks alang sa runtime

Kini nga mga frameworks, lumad sa Linux kernel, dili "Kubernetes security tools" sa naandan nga diwa, apan angayan nga hisgutan tungod kay kini usa ka importante nga elemento sa konteksto sa runtime security, nga gilakip sa Kubernetes Pod Security Policy (PSP) .

AppArmor Naglakip sa usa ka profile sa seguridad sa mga proseso nga nagdagan sa usa ka sudlanan, pagtino sa mga pribilehiyo sa file system, mga lagda sa pag-access sa network, pag-link sa mga librarya, ug uban pa. Kini usa ka sistema nga gibase sa Mandatory Access Control (MAC). Sa laing pagkasulti, gipugngan niini ang pagpatuman sa mga gidili nga aksyon.

Linux nga Gipauswag sa Seguridad (SELinux) maoy usa ka advanced security module sa Linux kernel, susama sa pipila ka bahin sa AppArmor ug sagad itandi niini. Ang SELinux milabaw sa AppArmor sa mga termino sa gahum, pagka-flexible, ug pagkapino. Ang mga disbentaha niini mao ang taas nga pag-uswag ug dugang nga pagkakomplikado.

Si Seccom ug ang seccomp-bpf motugot kanimo sa pagsala sa mga tawag sa sistema, pagbabag sa pagpatuman niadtong posibleng delikado alang sa nagpahiping OS ug dili kinahanglan alang sa normal nga operasyon sa mga aplikasyon sa user. Ang Seccomp susama sa Falco sa pipila ka mga paagi, bisan kung wala kini nahibal-an ang mga detalye sa mga sudlanan.

Sysdig open source

• Website: www.sysdig.com/opensource
• Lisensya: Libre (Apache)

Ang Sysdig usa ka kompleto nga himan alang sa pag-analisar, pag-diagnose, ug pag-debug sa mga sistema sa Linux (nagtrabaho usab sa Windows ug macOS, apan adunay limitado nga mga bahin). Mahimo kini gamiton alang sa detalyado nga pagkolekta sa kasayuran, pag-verify ug forensics (forensics) ang base nga sistema ug bisan unsang mga sudlanan nga nagdagan niini.

Gisuportahan usab sa Sysdig ang mga container executable ug metadata sa Kubernetes, nga nagdugang dugang nga mga dimensyon ug mga label sa tanan nga nakolekta nga impormasyon sa pamatasan sa sistema. Adunay daghang mga paagi sa pag-analisar sa usa ka Kubernetes cluster gamit ang Sysdig: mahimo nimong makuha ang usa ka punto sa oras pinaagi sa pagkuha sa kubectl o magpadagan ug interactive nga interface base sa ncurses gamit ang plugin kubectl dig.

Seguridad sa network sa Kubernetes

Aporeto

• Website: www.aporeto.com
• Lisensya: komersyal

Gitanyag sa Aporeto ang "seguridad nga nahimulag sa network ug imprastraktura". Nagpasabot kini nga ang mga serbisyo sa Kubernetes dili lang makakuha og lokal nga ID (ie ServiceAccount sa Kubernetes), apan usa usab ka universal ID/Fingerprint nga magamit sa pag-interact nga luwas ug mutually verified sa bisan unsang ubang serbisyo, sama sa OpenShift cluster.

Makahimo ang Aporeto og usa ka talagsaon nga ID dili lamang para sa mga Kubernetes/container kondili alang usab sa mga host, cloud function ug user. Depende sa kini nga mga identifier ug ang hugpong sa mga lagda sa seguridad sa network nga gitakda sa tagdumala, ang mga komunikasyon tugutan o babagan.

Calico

• Website: www.projectcalico.org
• Lisensya: Libre (Apache)

Ang Calico kasagarang gi-deploy sa panahon sa pag-instalar sa container orchestrator, nga nagtugot kanimo sa paghimo og virtual network nga nagsumpay sa mga sudlanan. Dugang pa niining batakang networking functionality, ang Calico project nagtrabaho uban sa Kubernetes Network Policies ug sa kaugalingon nga set sa network security profiles, nagsuporta sa endpoint ACLs (Access Control Lists) ug annotation-based network security rules para sa Ingress ug Egress traffic.

cilium

• Website: www.cilium.io
• Lisensya: Libre (Apache)

Ang Cilium naglihok isip container firewall ug naghatag ug network security features nga natively adapted sa Kubernetes ug microservices workloads. Gigamit sa Cilium ang bag-ong teknolohiya sa kernel sa Linux nga gitawag og BPF (Berkeley Packet Filter) para sa pagsala, pagmonitor, pag-redirect ug pagkorihir sa datos.

Ang Cilium makahimo sa pag-deploy sa mga palisiya sa pag-access sa network base sa mga container ID gamit ang Docker o Kubernetes nga mga label ug metadata. Ang Cilium usab nakasabut ug nagsala sa lain-laing layer 7 nga mga protocol sama sa HTTP o gRPC, nga nagtugot kanimo sa paghubit sa set sa REST nga mga tawag nga tugotan tali sa duha ka Kubernetes deployment, pananglitan.

Istio

• Website: istio.io
• Lisensya: Libre (Apache)

Ang Istio kaylap nga nailhan tungod sa pagpatuman sa service mesh paradigm pinaagi sa pag-deploy sa usa ka platform-independent control plane ug pag-redirect sa tanan nga gidumala nga trapiko sa serbisyo pinaagi sa dynamically configurable Envoy proxies. Gipahimuslan ni Istio kining advanced nga pagtan-aw sa tanang microservices ug containers aron ipatuman ang nagkalain-laing estratehiya sa seguridad sa network.

Ang mga kapabilidad sa seguridad sa network ni Istio naglakip sa transparent nga TLS encryption aron awtomatik nga ma-upgrade ang protocol sa komunikasyon tali sa mga microservice ngadto sa HTTPS, ug usa ka lumad nga RBAC authentication ug authorization system aron tugotan/dili ang komunikasyon tali sa lain-laing mga workloads sa usa ka cluster.

Nota. transl.: Para sa dugang nga impormasyon bahin sa mga kapabilidad nga naka-focus sa seguridad ni Istio, tan-awa kini nga artikulo.

tigre

• Website: www.tigera.io
• Lisensya: komersyal

Gitawag nga "Kubernetes firewall", kini nga solusyon nagpasiugda sa usa ka zero-trust nga pamaagi sa seguridad sa network.

Sama sa ubang mga Kubernetes-native networking solutions, ang Tigera nagsalig sa metadata aron mailhan ang lain-laing mga serbisyo ug mga butang sa usa ka cluster ug naghatag og runtime nga pagtuki sa problema, padayon nga pagsunod, ug network visibility alang sa multi-cloud o hybrid nga monolithic-containerized nga mga imprastraktura.

Trireme

• Website: www.aporeto.com/opensource
• Lisensya: Libre (Apache)

Ang Trireme-Kubernetes usa ka yano ug limpyo nga pagpatuman sa detalye sa Kubernetes Network Policies. Ang labing inila nga bahin mao nga - dili sama sa parehas nga mga produkto sa seguridad sa network sa Kubernetes - wala kini magkinahanglan usa ka sentral nga kontrol nga eroplano aron ma-coordinate ang mesh (mata). Kini naghimo sa solusyon nga trivially scalable. Nakab-ot kini sa Trireme pinaagi sa pagbutang og ahente sa matag node nga direktang nagkonektar sa TCP/IP stack sa host.

Pag-apod-apod sa imahe ug pagdumala sa sekreto

Grafeas

• Website: grapheas.io
• Lisensya: Libre (Apache)

Ang Grafeas usa ka open source API para sa pag-audit ug pagdumala sa software supply chain. Sa sukaranan nga lebel, ang Grafeas usa ka himan alang sa pagkolekta sa metadata ug mga resulta sa pag-audit. Mahimo kining gamiton aron masubay ang pagsunod sa labing maayong gawi sa seguridad sa usa ka organisasyon.

Kining sentralisadong tinubdan sa kamatuoran makatabang sa pagtubag sa mga pangutana sama sa:

• Kinsa ang nagtigum ug nagpirma sa usa ka partikular nga sudlanan?
• Nakapasar ba kini sa tanan nga mga scanner sa seguridad ug mga pagsusi sa palisiya sa seguridad? Kanus-a? Unsa ang mga resulta?
• Kinsa ang nag-deploy niini sa produksiyon? Unsa nga mga parameter ang gigamit sa panahon sa pag-deploy?

Intoto

• Website: in-toto.github.io
• Lisensya: Libre (Apache)

Ang In-toto usa ka balangkas nga gilaraw aron mahatagan ang integridad, panghimatuud, ug pag-awdit alang sa tibuuk nga kadena sa suplay sa software. Kung ang pag-deploy sa In-toto sa imprastraktura, usa ka plano ang una nga gihubit nga naghubit sa lainlaing mga lakang sa pipeline (repository, mga gamit sa CI/CD, mga himan sa QA, mga tigtukod sa artifact, ug uban pa) ug ang mga tiggamit (responsable nga mga tawo) nga gitugotan sa sugdi sila.

Gikontrol sa In-toto ang pagpatuman sa plano pinaagi sa pagmatuod nga ang matag buluhaton sa kadena gihimo sa hustong paagi lamang sa awtorisado nga mga personahe ug nga walay dili awtorisado nga mga manipulasyon nga gihimo sa produkto sa panahon sa paglihok.

Portieris

• Website: github.com/IBM/portieris
• Lisensya: Libre (Apache)

Ang Portieris usa ka admission controller alang sa Kubernetes; gigamit aron ipatuman ang mga pagsusi sa pagsalig sa sulud. Gigamit ni Portieris ang server Notaryo (Nagsulat kami bahin kaniya sa katapusan niini nga artikulo - gibanabana. transl.) isip tinubdan sa kamatuoran alang sa pag-validate sa kasaligan ug gipirmahan nga mga artifact (nga mao, aprobahan nga mga hulagway sa sudlanan).

Kung maghimo ka o magbag-o sa usa ka workload sa Kubernetes, ang Portieris nagkarga sa impormasyon sa pirma ug palisiya sa pagsalig sa sulud alang sa gihangyo nga mga imahe sa sulud ug, kung kinahanglan, maghimo mga pagbag-o sa butang nga API JSON sa kadali aron mapadagan ang gipirmahan nga mga bersyon sa mga imahe.

Vault

• Website: www.vaultproject.io
• Lisensya: libre (MPL)

Ang Vault usa ka luwas nga solusyon alang sa pagtipig sa sensitibo nga kasayuran: mga password, mga token sa OAuth, mga sertipiko sa PKI, mga account sa pag-access, mga sekreto sa Kubernetes, ug uban pa. Gisuportahan sa Vault ang daghang mga advanced nga bahin, sama sa pag-abang sa ephemeral security token o pag-organisar sa key rotation.

Gamit ang Helm chart, ang Vault mahimong ma-deploy isip bag-ong deployment sa Kubernetes cluster nga adunay Consul isip backend storage. Gisuportahan niini ang lumad nga mga kapanguhaan sa Kubernetes sama sa mga token sa ServiceAccount ug mahimo pa gani nga molihok isip default nga sekretong tindahan sa Kubernetes.

Nota. transl.: Sa laing bahin, kagahapon lang ang HashiCorp, nga nagpalambo sa Vault, nagpahibalo sa pipila ka mga pag-uswag sa paggamit sa Vault sa Kubernetes, ug ilabi na, kini may kalabutan sa Helm chart. Basaha ang mga detalye sa developer blog.

Pag-audit sa seguridad sa Kubernetes

Kube-bench

• Website: github.com/aquasecurity/kube-bench
• Lisensya: Libre (Apache)

Ang Kube-bench usa ka aplikasyon sa Go nga nagsusi kung ang Kubernetes luwas nga na-deploy pinaagi sa pagpadagan sa mga pagsulay gikan sa usa ka lista. CIS Kubernetes Benchmark.

Ang Kube-bench nangita alang sa dili sigurado nga mga setting sa pag-configure taliwala sa mga sangkap sa cluster (etcd, API, controller manager, ug uban pa), kwestyonable nga pagtugot sa file, dili sigurado nga mga account o bukas nga mga pantalan, mga quota sa kapanguhaan, mga setting sa limitasyon sa tawag sa API aron mapanalipdan batok sa mga pag-atake sa DoS, ug uban pa.

Kube- mangangayam

• Website: github.com/aquasecurity/kube-hunter
• Lisensya: Libre (Apache)

Ang Kube-hunter "nangita" alang sa mga potensyal nga kahuyangan (sama sa remote code execution o data disclosure) sa Kubernetes clusters. Ang Kube-hunter mahimong ipadagan ingon usa ka hilit nga scanner - diin kini mag-evaluate sa cluster gikan sa punto sa panglantaw sa usa ka third-party attacker - o isip pod sulod sa cluster.

Usa ka talagsaon nga bahin sa Kube-hunter mao ang "aktibong pagpangayam" nga mode, diin dili lamang kini nagtaho sa mga problema, apan naningkamot usab sa pagpahimulos sa mga kahuyangan nga makita sa target cluster nga posibleng makadaot sa operasyon niini. Busa gamita uban ang pag-amping!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Lisensya: Libre (MIT)

Ang Kubeaudit usa ka himan sa console nga orihinal nga gihimo sa Shopify aron ma-audit ang imong configuration sa Kubernetes alang sa lainlaing mga isyu sa seguridad. Pananglitan, kini makatabang sa pag-ila sa mga sudlanan nga nagdagan nga walay pili, nagdagan isip gamut, nag-abuso sa mga pribilehiyo, o naggamit sa default ServiceAccount.

Ang Kubeaudit adunay uban pang makapaikag nga mga bahin. Pananglitan, mahimo kini mag-parse sa lokal nga mga file sa YAML, mahibal-an ang mga sayup sa pag-configure nga mahimong mosangput sa mga isyu sa seguridad, ug awtomatiko kini nga ayohon.

Kubesec

• Website: kubesec.io
• Lisensya: Libre (Apache)

Espesyal ang Kubesec tungod kay kini direkta nga nag-scan sa Kubernetes resource YAML file alang sa huyang nga mga setting nga makaapekto sa seguridad.

Pananglitan, kini makamatikod sa sobra nga mga pribilehiyo ug mga permiso nga gihatag sa usa ka pod, pagpadagan sa usa ka sudlanan nga adunay gamut isip default user, pagkonektar sa network namespace sa host, o delikado nga mga mounts sama sa /proc host o Docker socket. Ang laing makaiikag nga bahin sa Kubesec mao ang serbisyo sa online demo diin mahimo nimong i-upload ang YAML ug analisahon dayon kini.

Bukas nga Ahente sa Polisiya

• Website: www.openpolicyagent.org
• Lisensya: Libre (Apache)

Ang konsepto sa OPA (Open Policy Agent) mao ang pagbulag sa mga palisiya sa seguridad ug labing maayong gawi sa seguridad gikan sa usa ka piho nga runtime platform: Docker, Kubernetes, Mesosphere, OpenShift, o bisan unsang kombinasyon niini.

Pananglitan, mahimo nimong i-deploy ang OPA isip backend alang sa usa ka Kubernetes admission controller, nga nagdelegar sa mga desisyon sa seguridad niini. Niining paagiha, ang ahente sa OPA makahimo sa pagsusi, pagdumili, ug bisan sa pag-usab sa mga hangyo sa langaw, pagsiguro nga ang gipiho nga mga parameter sa seguridad gitahud. Ang mga palisiya sa seguridad sa OPA gisulat sa kaugalingon nga DSL, Rego.

Nota. transl.: Nagsulat kami og dugang mahitungod sa OPA (ug SPIFFE) sa kini nga butang.

Comprehensive Commercial Kubernetes Security Analysis Tools

Nakahukom kami nga maghimo usa ka bulag nga kategorya alang sa mga komersyal nga plataporma, tungod kay sila adunay posibilidad nga maglakip sa daghang mga bahin sa seguridad sa usa ka higayon. Ang usa ka kinatibuk-ang ideya sa ilang mga kapabilidad mahimong makuha gikan sa lamesa:

* Abanteng kahanas ug pagtuki sa post mortem nga kompleto pagkuha sa tawag sa sistema.

Aqua Security

• Website: www.aquasec.com
• Lisensya: komersyal

Kini nga komersyal nga himan gidisenyo alang sa mga sudlanan ug mga workload sa panganod. Naghatag kini:

• Ang pag-scan sa imahe gisagol sa container registry o CI/CD pipeline;
• Proteksyon sa runtime uban ang pagpangita sa mga pagbag-o sa mga sudlanan ug uban pang mga kadudahang kalihokan;
• Lumad nga sudlanan nga firewall;
• Seguridad alang sa walay server sa mga serbisyo sa panganod;
• Pagsunod ug pag-audit inubanan sa pag-log sa panghitabo.

Nota. transl.: Angay usab nga hinumdoman nga adunay libre nga sangkap sa produkto nga gitawag microscanner, nga nagtugot kanimo sa pag-scan sa mga hulagway sa sudlanan alang sa mga kahuyangan. Ang pagtandi sa mga bahin niini sa mga bayad nga bersyon gipresentar sa kini nga lamesa.

Kapsula8

• Website: kapsula8.com
• Lisensya: komersyal

Ang Capsule8 nag-uban sa imprastraktura pinaagi sa pag-install sa detector sa lokal o cloud Kubernetes cluster. Kini nga detector nagkolekta sa host ug network telemetry, nga nag-correlate niini sa nagkalain-laing matang sa mga pag-atake.

Ang Capsule8 team komitado sa sayo nga pag-ila ug pagpugong sa mga pag-atake gamit ang lab-as (0 ka adlaw) mga kahuyang. Ang Capsule8 mahimong mag-upload sa updated nga mga lagda sa seguridad direkta ngadto sa mga detector isip tubag sa bag-ong nadiskobrehan nga mga hulga ug mga kahuyangan sa software.

Cavirin

• Website: www.cavirin.com
• Lisensya: komersyal

Ang Cavirin naglihok isip katugbang sa kompanya sa lainlaing mga ahensya sa sumbanan sa seguridad. Dili lang kini ma-scan ang mga imahe, apan mahimo usab kini nga i-integrate sa pipeline sa CI / CD, nga gibabagan ang dili pagsunod nga mga imahe sa wala pa sila mosulod sa mga pribadong repositoryo.

Ang Cavirin Security Suite naggamit sa pagkat-on sa makina aron masusi ang kahimtang sa cybersecurity, nagtanyag og tambag kung unsaon pagpataas sa seguridad ug pagpalambo sa pagsunod sa seguridad.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• Lisensya: komersyal

Ang Cloud Security Command Center nagtabang sa mga security team sa pagkolekta sa datos, pag-ila sa mga hulga, ug pag-ayo niini sa dili pa kini makadaot sa kompanya.

Sama sa gipasabot sa ngalan, ang Google Cloud SCC usa ka hiniusa nga control panel nga mahimong maghiusa ug magdumala sa lainlaing mga taho sa seguridad, mga makina sa pagsubay sa asset, ug mga sistema sa seguridad sa ikatulo nga partido gikan sa usa, sentralisadong gigikanan.

Ang interoperable nga API nga gitanyag sa Google Cloud SCC nagpadali sa paghiusa sa mga panghitabo sa seguridad nga gikan sa lainlaing mga tinubdan sama sa Sysdig Secure (container security alang sa cloud-native applications) o Falco (Open Source runtime security).

Layered Insight (Qualys)

• Website: layeredinsight.com
• Lisensya: komersyal

Ang Layered Insight (karon bahin sa Qualys Inc) gitukod sa konsepto sa "naka-embed nga seguridad". Pagkahuman sa pag-scan sa orihinal nga imahe alang sa mga kahuyangan gamit ang mga pamaagi sa pag-analisa sa istatistika ug paghimo sa mga pagsusi sa CVE, gipulihan kini sa Layered Insight sa usa ka instrumento nga imahe nga naglakip sa usa ka ahente sa porma sa usa ka binary.

Kini nga ahente adunay runtime nga mga pagsulay sa seguridad aron analisahon ang trapiko sa network sa sulud, mga agos sa I/O, ug kalihokan sa aplikasyon. Dugang pa, makahimo kini og dugang nga mga pagsusi sa seguridad nga gitakda sa tagdumala sa imprastraktura o mga koponan sa DevOps.

NeuVector

• Website: neuvector.com
• Lisensya: komersyal

Gihimo sa NeuVector ang mga pagsusi sa seguridad sa sulud ug proteksyon sa runtime pinaagi sa pag-analisar sa kalihokan sa network ug pamatasan sa aplikasyon, paghimo usa ka indibidwal nga profile sa seguridad alang sa matag sudlanan. Mahimo usab nga babagan niini ang mga hulga sa kaugalingon pinaagi sa paglain sa mga kadudahang kalihokan pinaagi sa pagbag-o sa mga lagda sa lokal nga firewall.

Ang network integration sa NeuVector, nailhan nga Security Mesh, makahimo sa lawom nga pag-inspeksyon sa pakete ug pagsala sa layer 7 alang sa tanan nga koneksyon sa network sa usa ka mesh sa serbisyo.

stackrox

• Website: www.stackrox.com
• Lisensya: komersyal

Ang StackRox container security platform nagtumong sa pagtabon sa tibuok kinabuhi sa mga aplikasyon sa Kubernetes sa usa ka cluster. Sama sa ubang mga komersyal nga plataporma niini nga lista, ang StackRox nagmugna og usa ka runtime nga profile base sa naobserbahan nga kinaiya sa sudlanan ug awtomatik nga nagpataas sa usa ka alarma sa bisan unsang mga pagtipas.

Dugang pa, gi-analisar sa StackRox ang mga kumpigurasyon sa Kubernetes gamit ang CIS Kubernetes ug uban pang mga libro sa lagda aron masusi ang pagsunod sa sulud.

Sysdig Secure

• Website: sysdig.com/products/secure
• Lisensya: komersyal

Gipanalipdan sa Sysdig Secure ang mga aplikasyon sa tibuuk nga sulud ug siklo sa kinabuhi sa Kubernetes. Siya nag-scan sa mga imahe mga sudlanan, naghatag proteksyon sa runtime sumala sa pagkat-on sa makina, naghimo sa crim. kahanas sa pag-ila sa mga kahuyangan, pagbabag sa mga hulga, mga monitor pagsunod sa natukod nga mga sumbanan ug pag-audit sa kalihokan sa microservices.

Ang Sysdig Secure nag-uban sa mga gamit sa CI / CD sama sa Jenkins ug nagkontrol sa mga imahe nga gikarga gikan sa mga rehistro sa Docker, nga nagpugong sa peligro nga mga imahe nga makita sa produksiyon. Naghatag usab kini og komprehensibo nga runtime nga seguridad, lakip ang:

• ML-based runtime profiling ug anomaliya detection;
• mga polisiya sa runtime base sa mga panghitabo sa sistema, K8s-audit API, hiniusang mga proyekto sa komunidad (FIM - file integrity monitoring; cryptojacking) ug framework MITER ATT&CK;
• pagtubag ug pagwagtang sa mga insidente.

Kasaligan nga Container Security

• Website: www.tenable.com/products/tenable-io/container-security
• Lisensya: komersyal

Sa wala pa ang pag-abut sa mga sudlanan, ang Tenable kaylap nga nailhan sa industriya ingon ang kompanya nga nagpalambo sa Nessus, usa ka sikat nga pagpangita sa kahuyangan ug himan sa pag-audit sa seguridad.

Ang Tenable Container Security naggamit sa kahanas sa kompanya sa seguridad sa kompyuter aron i-integrate ang pipeline sa CI/CD nga adunay mga database sa pagkahuyang, mga espesyal nga pakete sa pag-detect sa malware, ug mga advisory sa seguridad.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Lisensya: komersyal

Gipasiugda sa Twistlock ang kaugalingon ingon usa ka plataporma nga nakapunting sa mga serbisyo sa panganod ug mga sulud. Ang Twistlock nagsuporta sa lain-laing mga cloud providers (AWS, Azure, GCP), container orchestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverless runtimes, mesh frameworks, ug CI/CD tools.

Gawas pa sa naandan nga mga pamaagi sa seguridad sa lebel sa negosyo sama sa paghiusa sa pipeline sa CI / CD o pag-scan sa imahe, gigamit ni Twistlock ang pagkat-on sa makina aron makamugna mga sumbanan sa pamatasan nga piho sa sulud ug mga lagda sa network.

Kaniadto, ang Twistlock gipalit sa Palo Alto Networks, nga tag-iya sa Evident.io ug RedLock nga mga proyekto. Wala pa mahibal-an kung giunsa kini nga tulo nga mga platform maapil PRISMA gikan sa Palo Alto.

Tabang sa paghimo sa labing kaayo nga katalogo sa tool sa seguridad sa Kubernetes!

Gipaningkamutan namon nga himuon kini nga katalogo nga kompleto kutob sa mahimo, ug tungod niini kinahanglan namon ang imong tabang! Kontaka kami (@sysdig) kung ikaw adunay usa ka cool nga himan sa hunahuna nga angayan nga ilakip sa kini nga lista, o nakit-an nimo ang usa ka bug / karaan nga kasayuran.

Mahimo ka usab nga mag-subscribe sa among binulan nga newsletter uban ang mga balita sa cloud-native ecosystem ug mga istorya bahin sa makapaikag nga mga proyekto gikan sa kalibutan sa seguridad sa Kubernetes.

PS gikan sa tighubad

Basaha usab sa among blog:

• «Usa ka Pasiuna sa Mga Patakaran sa Kubernetes Network para sa mga Propesyonal sa Seguridad";
• «Docker ug Kubernetes sa mga palibot nga nangayo sa seguridad";
• «9 Kubernetes Security Best Practices";
• «11 Mga Paagi aron (Dili) Ma-hack sa Kubernetes";
• «Ang OPA ug SPIFFE duha ka bag-ong proyekto sa CNCF alang sa seguridad sa aplikasyon sa panganod".

Source: www.habr.com