Nota. transl.: Se vi dumandate a sicurità in l'infrastruttura basata in Kubernetes, questa eccellente panoramica di Sysdig hè un grande puntu di partenza per un sguardu rapidu à e soluzioni attuali. Include sia sistemi cumplessi da attori di u mercatu ben cunnisciuti è utilità assai più modeste chì risolvenu un prublema particulare. È in i cumenti, cum'è sempre, seremu felici di sente a vostra sperienza cù questi strumenti è vede ligami à altri prughjetti.
I prudutti di u software di sicurezza Kubernetes ... ci sò tanti di elli, ognunu cù i so scopi, scopu è licenze.
Hè per quessa chì avemu decisu di creà sta lista è include sia prughjetti open source è piattaforme cummirciali di diversi venditori. Speremu chì vi aiuterà à identificà quelli chì sò di più interessu è vi indicà in a direzione ghjusta basatu annantu à i vostri bisogni specifichi di sicurezza Kubernetes.
Categurie
Per fà a lista più faciule per navigà, l'arnesi sò urganizati per funzione principale è applicazione. I seguenti sezzioni sò stati ottenuti:
- scanning d'imaghjini Kubernetes è analisi statica;
- securità runtime;
- sicurezza di a rete Kubernetes;
- A distribuzione di l'imaghjini è a gestione di i sicreti;
- auditu di sicurezza Kubernetes;
- Prudutti cummirciali cumpleta.
Andemu à l'affari:
Scansione di l'imaghjini Kubernetes
Ancora
- situ:
- Licenza: offerta gratuita (Apache) è cummerciale
Anchore analizà l'imaghjini di u containeru è permette cuntrolli di sicurezza basatu nantu à e pulitiche definite da l'utilizatori.
In più di a scansione abituale di l'imaghjini di u containeru per e vulnerabilità cunnisciute da a basa di dati CVE, Anchore esegue assai cuntrolli supplementari cum'è parte di a so pulitica di scanning: verifica u Dockerfile, fughe di credenziali, pacchetti di linguaggi di prugrammazione utilizati (npm, maven, etc.). .), licenze di software è assai di più.
Clair
- situ: (avà sottu a tutela di Red Hat)
- Licenza: gratis (Apache)
Clair era unu di i primi prughjetti Open Source per scanning di l'imaghjini. Hè largamente cunnisciutu cum'è u scanner di sicurezza daretu à u registru di l'imagine di Quay (ancu da CoreOS - ca. transl.). Clair pò cullà l'infurmazioni CVE da una larga varietà di fonti, cumprese liste di vulnerabilità specifiche di distribuzione Linux mantinute da e squadre di sicurezza Debian, Red Hat o Ubuntu.
A cuntrariu di Anchore, Clair si focalizeghja principalmente nantu à truvà vulnerabilità è currispondenu dati à CVE. Tuttavia, u pruduttu offre à l'utilizatori alcune opportunità per espansione e funzioni utilizendu driver plug-in.
dagda
- situ:
- Licenza: gratis (Apache)
Dagda esegue l'analisi statica di l'imaghjini di u containeru per vulnerabili cunnisciuti, Trojans, virus, malware è altre minacce.
Dui caratteristiche notevuli distinguenu Dagda da altri strumenti simili:
- Si integra perfettamente cù , agiscenu micca solu com'è strumentu per scanning images container, ma ancu com'è un antivirus.
- Fornisce ancu a prutezzione di runtime ricevendu avvenimenti in tempu reale da u demone Docker è integrendu cù Falco (vede sottu) per cullà l'avvenimenti di sicurezza mentre u containeru hè in esecuzione.
KubeXray
- situ:
- Licenza: Gratuitu (Apache), ma richiede dati da JFrog Xray (prodottu cummerciale)
KubeXray ascolta l'avvenimenti da u servitore API Kubernetes è usa metadata da JFrog Xray per assicurà chì solu pods chì currispondenu à a pulitica attuale sò lanciati.
KubeXray ùn solu verifica cuntenituri novi o aghjurnati in implementazioni (simile à u controller di ammissione in Kubernetes), ma ancu verifica dinamicamente i cuntenituri in esecuzione per u rispettu di e novi pulitiche di sicurezza, eliminendu risorse chì riferite à l'imaghjini vulnerabili.
Snyk
- situ:
- Licenza: versione libera (Apache) è cummerciale
Snyk hè un scanner di vulnerabilità inusual in quantu mira specificamente à u prucessu di sviluppu è hè prumuvutu cum'è una "soluzione essenziale" per i sviluppatori.
Snyk si cunnetta direttamente à i repositori di codice, analizà u manifestu di u prugettu è analizà u codice impurtatu cù dependenze dirette è indirette. Snyk supporta parechje lingue di prugrammazione populari è ponu identificà i risichi di licenza nascosti.
Trivy
- situ:
- Licenza: gratuitu (AGPL)
Trivy hè un scanner di vulnerabilità simplice ma putente per i cuntenituri chì si integra facilmente in una pipeline CI/CD. A so caratteristica notevuli hè a so facilità di installazione è operazione: l'applicazione hè custituita da un solu binariu è ùn hè micca bisognu di stallazione di una basa di dati o biblioteche supplementari.
U svantaghju di a simplicità di Trivy hè chì avete da capisce cumu analizà è trasmette i risultati in formatu JSON per chì l'altri strumenti di sicurezza Kubernetes ponu aduprà.
Sicurezza runtime in Kubernetes
Falco
- situ:
- Licenza: gratis (Apache)
Falco hè un inseme di strumenti per assicurà l'ambienti di runtime cloud. Parte di a famiglia di u prughjettu .
Utilizendu l'uttellu à livellu di u kernel Linux di Sysdig è u prufilu di chjama di u sistema, Falco vi permette di tuffà in u cumpurtamentu di u sistema. U so mutore di regule di runtime hè capaci di detectà attività sospette in applicazioni, cuntenituri, l'ospiti sottostanti è l'orchestratore Kubernetes.
Falco furnisce una trasparenza cumpleta in u runtime è a rilevazione di minacce implementendu agenti speciali nantu à i nodi Kubernetes per questi scopi. In u risultatu, ùn ci hè micca bisognu di mudificà i cuntenituri introducendu u codice di terzu in elli o aghjunghje cuntenituri sidecar.
Quadri di sicurezza Linux per runtime
Questi quadri nativi per u kernel Linux ùn sò micca "Arnesi di sicurezza Kubernetes" in u sensu tradiziunale, ma valenu a pena esse citati perchè sò un elementu impurtante in u cuntestu di a sicurità di runtime, chì hè inclusa in a Politica di Sicurezza di Kubernetes Pod (PSP).
attache un prufilu di sicurità à i prucessi in esecuzione in u cuntinuu, definendu privilegi di u sistema di fugliale, regule d'accessu à a rete, biblioteche di cunnessione, etc. Questu hè un sistema basatu nantu à u Controlu di Accessu Obligatoriu (MAC). In altre parolle, impedisce l'azzione pruibita da esse realizatu.
Linux rinforzatu da a sicurità () hè un modulu di sicurità avanzatu in u kernel Linux, simile in certi aspetti à AppArmor è spessu paragunatu à questu. SELinux hè superiore à AppArmor in putenza, flessibilità è persunalizazione. I so svantaghji sò a longa curva di apprendimentu è a cumplessità aumentata.
è seccomp-bpf permettenu di filtrà e chjama di u sistema, bluccà l'esekzione di quelli chì sò potenzialmente periculosi per u SO di basa è ùn sò micca necessarii per u funziunamentu normale di l'applicazioni d'utilizatori. Seccomp hè simile à Falco in certi modi, ancu s'ellu ùn cunnosci micca e specificità di cuntenituri.
Sysdig open source
- situ:
- Licenza: gratis (Apache)
Sysdig hè un strumentu cumpletu per analizà, diagnosticà è debugging sistemi Linux (funziona ancu in Windows è macOS, ma cù funzioni limitate). Pò esse usatu per a raccolta di informazioni dettagliate, verificazione è analisi forensica. (forensics) u sistema di basa è qualsiasi cuntainer chì currenu nantu à questu.
Sysdig supporta ancu nativamente i runtimes di u containeru è i metadati Kubernetes, aghjunghjendu dimensioni è etichette supplementari à tutte l'infurmazioni di cumportamentu di u sistema chì raccoglie. Ci hè parechje manere di analizà un cluster Kubernetes cù Sysdig: pudete eseguisce una cattura puntuale via o lanciate una interfaccia interattiva basata in ncurses cù un plugin .
Kubernetes Network Security
Aporeto
- situ:
- Licenza: cummerciale
Aporeto offre "securità separata da a reta è infrastruttura". Questu significa chì i servizii di Kubernetes ùn solu ricevenu un ID locale (vale à dì ServiceAccount in Kubernetes), ma ancu un ID universale / impronta digitale chì pò esse usatu per cumunicà in modu sicuru è mutualmente cù qualsiasi altru serviziu, per esempiu in un cluster OpenShift.
Aporeto hè capaci di generà un ID unicu micca solu per Kubernetes / cuntenituri, ma ancu per l'ospiti, e funzioni di nuvola è l'utilizatori. Sicondu questi identificatori è l'inseme di regule di sicurezza di a rete stabilite da l'amministratore, e cumunicazioni seranu permesse o bluccate.
Calico
- situ:
- Licenza: gratis (Apache)
Calico hè tipicamente implementatu durante una stallazione di l'orchestratore di cuntainer, chì vi permette di creà una reta virtuale chì interconnetta cuntenituri. In più di sta funziunalità di basa di rete, u prughjettu Calico travaglia cù Kubernetes Network Policies è u so propiu settore di profili di sicurezza di a rete, supporta l'ACL endpoint (liste di cuntrollu di accessu) è e regule di sicurezza di rete basate in annotazione per u trafficu Ingress and Egress.
Ciliu
- situ:
- Licenza: gratis (Apache)
Cilium agisce cum'è un firewall per i cuntenituri è furnisce funzioni di sicurezza di rete adattate nativamente à i carichi di travagliu di Kubernetes è di microservizi. Cilium usa una nova tecnulugia di kernel Linux chjamata BPF (Berkeley Packet Filter) per filtrà, monitorà, redirezzione è corrette dati.
Cilium hè capace di implementà e pulitiche d'accessu à a rete basate nantu à l'ID di cuntainer utilizendu etichette Docker o Kubernetes è metadati. Cilium capisce ancu è filtra diversi protokolli di Layer 7 cum'è HTTP o gRPC, chì vi permettenu di definisce un inseme di chjama REST chì serà permessu trà duie implementazioni Kubernetes, per esempiu.
Istio
- situ:
- Licenza: gratis (Apache)
Istio hè largamente cunnisciutu per l'implementazione di u paradigma di a rete di serviziu implementendu un pianu di cuntrollu indipendente da a piattaforma è indirizzendu tuttu u trafficu di serviziu amministratu attraversu proxy Envoy configurabili dinamicamente. Istio prufittà di sta vista avanzata di tutti i microservizi è cuntenituri per implementà diverse strategie di sicurezza di rete.
E capacità di sicurezza di a rete di Istio includenu una criptografia TLS trasparente per aghjurnà automaticamente e cumunicazioni trà i microservizi à HTTPS, è un sistema d'identificazione è d'autorizazione RBAC patentatu per permette / nigà a cumunicazione trà e diverse carichi di travagliu in u cluster.
Nota. transl.: Per sapè di più nantu à e capacità di sicurezza di Istio, leghjite .
Tigera
- situ:
- Licenza: cummerciale
Chjamatu u "Kubernetes Firewall", sta suluzione enfatiza un approcciu zero-trust à a sicurità di a rete.
Simile à altre soluzioni native di rete Kubernetes, Tigera si basa in metadati per identificà i diversi servizii è oggetti in u cluster è furnisce rilevazione di prublemi di runtime, verificazione di cunfurmità cuntinuu, è visibilità di a rete per infrastrutture multi-nuvola o hibride monolitiche.
Trireme
- situ:
- Licenza: gratis (Apache)
Trireme-Kubernetes hè una implementazione simplice è diretta di a specificazione di e Politiche di a Rete Kubernetes. A funzione più notevuli hè chì - à u cuntrariu di i prudutti di sicurezza di a rete Kubernetes simili - ùn hè micca bisognu di un pianu di cuntrollu cintrali per coordinà a maglia. Questu rende a suluzione trivially scalable. In Trireme, questu hè ottenutu installendu un agentu nantu à ogni node chì cunnetta direttamente à a pila TCP / IP di l'ospite.
Propagazione di l'Image è Gestione di Sicreti
Grafeas
- situ:
- Licenza: gratis (Apache)
Grafeas hè una API open source per l'auditu è a gestione di a supply chain di software. À u livellu basicu, Grafeas hè un strumentu per a cullizzioni di metadati è i risultati di auditu. Pò esse usatu per seguità u rispettu di e migliori pratiche di sicurezza in una urganizazione.
Questa fonte centralizata di verità aiuta à risponde à e dumande cum'è:
- Quale hà cullatu è firmatu per un containeru particulare?
- Hà passatu tutte e scans di sicurezza è cuntrolli richiesti da a pulitica di sicurità? Quandu ? Chì eranu i risultati ?
- Quale l'hà implementatu à a produzzione? Chì paràmetri specifichi sò stati utilizati durante a implementazione?
In tuttu
- situ:
- Licenza: gratis (Apache)
In-toto hè un quadru cuncepitu per furnisce integrità, autentificazione è auditu di tutta a catena di fornitura di software. Quandu si implementa In-toto in una infrastruttura, hè prima definitu un pianu chì descrive i diversi passi in u pipeline (repositoriu, strumenti CI/CD, strumenti QA, cullettori di artefatti, etc.) è l'utilizatori (persone rispunsevuli) chì sò permessi iniziali.
In-toto monitoreghja l'esekzione di u pianu, verificendu chì ogni compitu in a catena hè realizatu bè da u persunale autorizatu solu è chì nisuna manipulazione micca autorizata hè stata fatta cù u pruduttu durante u muvimentu.
Portieri
- situ:
- Licenza: gratis (Apache)
Portieris hè un cuntrollu di ammissione per Kubernetes; utilizatu per rinfurzà i cuntrolli di fiducia di cuntenutu. Portieris usa un servitore (avemu scrittu annantu à ellu à a fine - ca. transl.) cum'è una fonte di verità per cunvalidà l'artefatti di fiducia è firmati (vale à dì, l'imaghjini di u containeru appruvati).
Quandu una carica di travagliu hè creata o mudificata in Kubernetes, Portieris scarica l'infurmazioni di firma è a pulitica di fiducia di cuntenutu per l'imaghjini di u containeru dumandati è, se ne necessariu, fa cambiamenti in u volu à l'ughjettu API JSON per eseguisce versioni firmate di queste imagine.
Vault
- situ:
- Licenza: gratuitu (MPL)
Vault hè una soluzione sicura per almacenà infurmazioni private: password, tokens OAuth, certificati PKI, cunti d'accessu, secreti Kubernetes, etc. Vault supporta parechje funzioni avanzate, cum'è l'affittu di tokens di sicurezza effimeri o l'urganizazione di a rotazione di chjave.
Utilizendu u graficu Helm, Vault pò esse implementatu cum'è una nova implementazione in un cluster Kubernetes cù Consul cum'è almacenamiento backend. Supporta risorse native Kubernetes cum'è tokens ServiceAccount è pò ancu agisce cum'è a tenda predeterminata per i secreti Kubernetes.
Nota. transl.: A propositu, ghjustu ieri, a cumpagnia HashiCorp, chì sviluppa Vault, hà annunziatu alcune migliure per l'usu di Vault in Kubernetes è in particulare sò in relazione à u graficu Helm. Leghjite più in .
Audit di sicurezza Kubernetes
Kube-bancu
- situ:
- Licenza: gratis (Apache)
Kube-bench hè una applicazione Go chì verifica se Kubernetes hè implementatu in modu sicuru eseguendu teste da una lista .
Kube-bench cerca paràmetri di cunfigurazione insicuri trà cumpunenti di cluster (eccd, API, gestore di controller, etc.), diritti d'accessu à i fugliali discutibili, cunti senza prutezzione o porti aperti, quote di risorse, paràmetri per limità u nùmeru di chjama API per pruteggiri contra attacchi DoS. , etc.
Kube-hunter
- situ:
- Licenza: gratis (Apache)
Kube-hunter caccia potenziali vulnerabilità (cum'è l'esecuzione di codice remota o a divulgazione di dati) in i cluster Kubernetes. Kube-hunter pò esse eseguitu cum'è un scanner remoto - in quale casu valuterà u cluster da u puntu di vista di un attaccante di terzu - o cum'è un pod in u cluster.
Una caratteristica distintiva di Kube-hunter hè u so modu di "caccia attiva", durante u quale ùn solu signala i prublemi, ma ancu prova di prufittà di e vulnerabilità scuperte in u cluster di destinazione chì puderanu dannà u so funziunamentu. Allora aduprate cun prudenza!
Kubeaudit
- situ:
- Licenza: gratis (MIT)
Kubeaudit hè un strumentu di cunsola sviluppatu inizialmente in Shopify per audità a cunfigurazione di Kubernetes per diversi prublemi di sicurezza. Per esempiu, aiuta à identificà i cuntenituri chì funzionanu senza restrizioni, chì funzionanu cum'è root, abusendu di privilegi, o utilizendu u ServiceAccount predeterminatu.
Kubeaudit hà altre caratteristiche interessanti. Per esempiu, pò analizà i fugliali YAML lucali, identificà i difetti di cunfigurazione chì puderanu guidà à prublemi di sicurezza, è risolve automaticamente.
Kubesec
- situ:
- Licenza: gratis (Apache)
Kubesec hè un strumentu speciale in quantu scansa direttamente i fugliali YAML chì descrizanu e risorse Kubernetes, cercandu paràmetri debuli chì puderanu affettà a sicurità.
Per esempiu, pò detectà privilegi eccessivi è permessi cuncessi à un pod, eseguendu un containeru cù root cum'è l'utilizatore predeterminatu, cunnette à u spaziu di nomi di a rete di l'ospiti, o monti periculosi cum'è /proc host o socket Docker. Un'altra funzione interessante di Kubesec hè u serviziu demo dispunibule in linea, in quale pudete caricate YAML è analizà immediatamente.
Open Policy Agent
- situ:
- Licenza: gratis (Apache)
U cuncettu di l'OPA (Open Policy Agent) hè di disaccoppià e pulitiche di sicurezza è e migliori pratiche di sicurezza da una piattaforma di runtime specifica: Docker, Kubernetes, Mesosphere, OpenShift, o qualsiasi cumminazione di questu.
Per esempiu, pudete implementà l'OPA cum'è backend per u controller d'admission Kubernetes, delegandu e decisioni di sicurezza. In questu modu, l'agente OPA pò cunvalidà, rifiutà, è ancu mudificà e dumande nantu à a mosca, assicurendu chì i paràmetri di sicurezza specificati sò cumpletati. E pulitiche di sicurità di l'OPA sò scritte in a so lingua DSL proprietaria, Rego.
Nota. transl.: Avemu scrittu più nantu à OPA (è SPIFFE) in .
Strumenti cummirciali cumpleti per l'analisi di sicurezza Kubernetes
Avemu decisu di creà una categuria separata per e piattaforme cummirciali perchè tipicamente copre parechje spazii di sicurità. Una idea generale di e so capacità pò esse acquistata da a tavula:
* Esame avanzatu è analisi post mortem cumpletu .
Aqua Security
- situ:
- Licenza: cummerciale
Stu strumentu cummerciale hè pensatu per cuntenituri è carichi di travagliu in nuvola. Si furnisce:
- Scanning d'imaghjini integratu cù un registru di containeru o pipeline CI/CD;
- Prutezzione di runtime cù ricerca di cambiamenti in cuntenituri è altre attività sospette;
- Firewall nativu di u containeru;
- Sicurezza per serverless in servizii cloud;
- Test di conformità è auditu cumminati cù u logu di l'eventi.
Nota. transl.: Ci hè ancu da nutà chì ci sò cumpunente liberu di u pruduttu chjamatu , chì permette di scansà l'imaghjini di u containeru per vulnerabili. Un paragone di e so capacità cù e versioni pagate hè presentatu in .
Capsula 8
- situ:
- Licenza: cummerciale
Capsule8 s'integra in l'infrastruttura instalendu u detector in un cluster Kubernetes locale o nuvola. Stu detector raccoglie a telemetria di l'ospiti è di a rete, in correlazione cù diversi tipi di attacchi.
A squadra Capsule8 vede u so compitu cum'è a rilevazione precoce è a prevenzione di attacchi cù novi (0-ghjornu) vulnerabilità. Capsule8 pò scaricà e regule di sicurezza aghjurnate direttamente à i detectori in risposta à e minacce scuperte è vulnerabilità di u software.
Cavirina
- situ:
- Licenza: cummerciale
Cavirin agisce cum'è un cuntrattu di a cumpagnia per diverse agenzie implicate in i normi di sicurezza. Ùn pò micca solu scansà l'imaghjini, ma pò ancu integrà in u pipeline CI / CD, bluccà l'imaghjini non standard prima ch'elli entrenu in repository chjusi.
A suite di sicurezza di Cavirin usa l'apprendimentu automaticu per valutà a vostra postura di cibersicurezza, offre cunsiglii per migliurà a sicurità è migliurà u rispettu di i normi di sicurezza.
Google Cloud Security Command Center
- situ:
- Licenza: cummerciale
Cloud Security Command Center aiuta i squadre di sicurezza à raccoglie dati, identificà e minacce, è eliminà prima di dannu a cumpagnia.
Cum'è u nome suggerisce, Google Cloud SCC hè un pannellu di cuntrollu unificatu chì pò integrà è gestisce una varietà di rapporti di sicurezza, mutori di cuntabilità di l'assi è sistemi di sicurezza di terzu da una sola fonte centralizata.
L'API interoperabile offerta da Google Cloud SCC facilita l'integrazione di l'avvenimenti di sicurezza chì venenu da diverse fonti, cum'è Sysdig Secure (sicurezza di cuntainer per l'applicazioni native in nuvola) o Falco (securità di runtime Open Source).
Insight in strati (Qualys)
- situ:
- Licenza: cummerciale
Layered Insight (oghji parte di Qualys Inc) hè custruitu annantu à u cuncettu di "securità integrata". Dopu avè scansatu l'imaghjini uriginale per vulnerabilità utilizendu analisi statistiche è cuntrolli CVE, Layered Insight a rimpiazza cù una maghjina strumentata chì include l'agente cum'è un binariu.
Questu agente cuntene teste di sicurezza in runtime per analizà u trafficu di a rete di u containeru, i flussi di I / O è l'attività di l'applicazione. Inoltre, pò eseguisce cuntrolli di sicurezza supplementari specificati da l'amministratore di l'infrastruttura o da e squadre DevOps.
NeuVector
- situ:
- Licenza: cummerciale
NeuVector verifica a sicurità di u containeru è furnisce a prutezzione di runtime analizendu l'attività di a rete è u cumpurtamentu di l'applicazione, creendu un prufilu di sicurezza individuale per ogni containeru. Puderà ancu bluccà e minacce per sè stessu, insulandu l'attività sospetta cambiendu e regule di firewall lucali.
L'integrazione di a rete di NeuVector, cunnisciuta cum'è Security Mesh, hè capace di analisi profonda di pacchetti è filtrazione di a capa 7 per tutte e cunnessione di rete in a rete di serviziu.
StackRox
- situ:
- Licenza: cummerciale
A piattaforma di sicurezza di container StackRox s'impegna à copre tuttu u ciclu di vita di l'applicazioni Kubernetes in un cluster. Cum'è l'altri piattaforme cummirciali in questa lista, StackRox genera un prufilu di runtime basatu annantu à u cumpurtamentu osservatu di u containeru è automaticamente suscita una alarma per ogni deviazione.
Inoltre, StackRox analizà e cunfigurazioni Kubernetes utilizendu u CIS Kubernetes è altri libri di regule per valutà a conformità di u containeru.
Sysdig Secure
- situ:
- Licenza: cummerciale
Sysdig Secure prutege l'applicazioni in tuttu u containeru è u ciclu di vita di Kubernetes. Ellu cuntenituri, furnisce secondu a dati machine learning, esegue crema. sapè fà per identificà e vulnerabilità, bluccà minacce, monitori è attività di auditu in i microservizi.
Sysdig Secure si integra cù l'arnesi CI / CD cum'è Jenkins è cuntrolla l'imaghjini caricate da i registri Docker, impediscendu chì l'imaghjini periculosi appariscenu in a produzzione. Fornisce ancu una sicurità cumpleta di runtime, cumprese:
- Prufessu di runtime basatu in ML è rilevazione di anomalie;
- pulitiche runtime basate nantu à l'avvenimenti di u sistema, l'API di audit K8s, i prughjetti cumunitarii cumuni (FIM - monitoring integrity file; cryptojacking) è framework ;
- risposta è risoluzione di incidenti.
Sicurezza di Container Tenable
- situ:
- Licenza: cummerciale
Prima di l'avventu di cuntenituri, Tenable era largamente cunnisciuta in l'industria cum'è a cumpagnia daretu à Nessus, un strumentu populari di caccia di vulnerabilità è auditu di sicurità.
Tenable Container Security sfrutta l'expertise di sicurezza informatica di a cumpagnia per integrà una pipeline CI / CD cù basa di dati di vulnerabilità, pacchetti di rilevazione di malware specializati, è raccomandazioni per risolve e minacce di sicurezza.
Twistlock (Palo Alto Networks)
- situ:
- Licenza: cummerciale
Twistlock si prumove cum'è una piattaforma focalizzata in servizii di nuvola è cuntenituri. Twistlock supporta diversi fornitori di nuvola (AWS, Azure, GCP), orchestratori di container (Kubernetes, Mesospehere, OpenShift, Docker), runtime senza server, framework mesh è strumenti CI/CD.
In più di e tecniche di sicurezza convenzionali di qualità di l'impresa cum'è l'integrazione di pipeline CI / CD o a scansione di l'imaghjini, Twistlock usa l'apprendimentu automaticu per generà mudelli di cumportamentu specifichi per u containeru è regule di rete.
Qualchì tempu fà, Twistlock hè statu compru da Palo Alto Networks, chì pussede i prughjetti Evident.io è RedLock. Ùn si sà ancu cumu esattamente queste trè piattaforme seranu integrate da Palo Alto.
Aiutate à custruisce u megliu catalogu di strumenti di sicurezza Kubernetes!
Pruvamu di fà stu catalogu u più cumpletu pussibule, è per questu avemu bisognu di u vostru aiutu ! Cuntatta ci () si avete un strumentu cool in mente chì hè degne di inclusione in questa lista, o truvate un errore / infurmazione obsoleta.
Pudete ancu abbonate à u nostru cù nutizie da l'ecosistema nativu di nuvola è storie nantu à prughjetti interessanti da u mondu di a sicurità di Kubernetes.
PS da u traduttore
Leghjite puru nant'à u nostru blog:
- «";
- «";
- «";
- «";
- «».
Source: www.habr.com