33+ bezpečnostních nástrojů Kubernetes

Poznámka. přel.: Pokud se zajímáte o bezpečnostní problémy v infrastruktuře založené na Kubernetes, tento vynikající přehled od Sysdig je skvělým výchozím bodem pro rychlý úvod do řešení, která jsou dnes relevantní. Zahrnuje jak komplexní systémy od známých hráčů na trhu, tak mnohem skromnější utility, které pokrývají konkrétní problém. A v komentářích se jako vždy rádi dozvíme o vašich zkušenostech s používáním těchto nástrojů a uvidíme odkazy na další projekty.

Bezpečnostní softwarových produktů Kubernetes… je jich tolik a každý má svůj vlastní účel, rozsah a licence.

Proto jsme se rozhodli vytvořit tento seznam a zahrnuli jsme jak open source projekty, tak komerční platformy od různých dodavatelů. Doufáme, že vám pomůže vybrat ty, které vás nejvíce zajímají, a nasměruje vás správným směrem na základě vašich konkrétních potřeb zabezpečení Kubernetes.

kategorie

Pro snazší orientaci v seznamu jsou nástroje rozděleny do kategorií podle hlavní funkce a aplikace. Výsledné sekce jsou:

• Skenování obrázků a statická analýza Kubernetes;
• zabezpečení za běhu;
• zabezpečení sítě Kubernetes;
• Distribuce obrázků a správa tajemství;
• bezpečnostní audit Kubernetes;
• Komplexní komerční produkty.

Pojďme pracovat:

Skenování obrázků Kubernetes

Kotva

• Webové stránky: anchore.com
• Licence: zdarma (Apache) a komerční nabídka

Balíček Anchore analyzuje obrazy kontejnerů a umožňuje kontroly zabezpečení na základě zásad definovaných uživatelem.

Kromě obvyklého skenování obrázků kontejnerů na známé zranitelnosti z databáze CVE provádí Anchore mnoho dalších kontrol jako součást zásad skenování: kontroluje Dockerfile, uniklé přihlašovací údaje, balíčky použitých programovacích jazyků (npm, maven atd.) , softwarové licence a mnoho dalšího .

zřejmý

• Webové stránky: coreos.com/clair (nyní pod vedením Red Hat)
• Licence: Zdarma (Apache)

Clair byl jedním z prvních Open Source projektů pro skenování obrázků. Je široce známý jako bezpečnostní skener za Quay Image Registry. (také z CoreOS - Cca. přel.). Clair dokáže shromažďovat informace o CVE ze široké škály zdrojů, včetně seznamů zranitelností specifických pro distribuci Linuxu spravovaných bezpečnostními týmy Debian, Red Hat nebo Ubuntu.

Na rozdíl od Anchore se Clair zaměřuje hlavně na hledání zranitelností a párování dat s CVE. Produkt však uživatelům nabízí některé možnosti rozšíření funkčnosti prostřednictvím zásuvných ovladačů.

Dagda

• Webové stránky: github.com/eliasgranderubio/dagda
• Licence: Zdarma (Apache)

Dagda staticky analyzuje obrazy kontejnerů na známé zranitelnosti, trojské koně, viry, malware a další hrozby.

Balíček Dagda se liší od jiných podobných nástrojů dvěma pozoruhodnými způsoby:

• Dobře se integruje s ClamAV, fungující nejen jako nástroj pro skenování obrázků kontejnerů, ale také jako antivirus.
• Poskytuje také ochranu za běhu přijímáním událostí v reálném čase od démona Docker a integrací s Falco (viz. níže) ke shromažďování událostí zabezpečení, když je kontejner spuštěn.

KubeXray

• Webové stránky: github.com/jfrog/kubexray
• Licence: zdarma (Apache), ale vyžaduje data z JFrog Xray (komerční produkt)

KubeXray naslouchá událostem ze serveru Kubernetes API a používá metadata z JFrog Xray, aby zajistil, že se spustí pouze moduly, které odpovídají aktuální politice.

KubeXray nejen audituje nové nebo aktualizované kontejnery v nasazení (podobně jako řadič přístupu v Kubernetes), ale také dynamicky kontroluje běžící kontejnery z hlediska souladu s novými bezpečnostními zásadami a odstraňuje zdroje, které odkazují na zranitelné obrázky.

Snyk

• Webové stránky: snyk.io
• Licence: bezplatná (Apache) a komerční verze

Snyk je neobvyklý skener zranitelnosti v tom smyslu, že se specificky zaměřuje na vývojový proces a je propagován jako „nezbytné řešení“ pro vývojáře.

Snyk se přímo připojuje k úložištím kódu, analyzuje manifest projektu a analyzuje importovaný kód spolu s přímými a nepřímými závislostmi. Snyk podporuje mnoho oblíbených programovacích jazyků a dokáže detekovat skrytá licenční rizika.

Trivy

• Webové stránky: github.com/knqyf263/trivy
• Licence: Zdarma (AGPL)

Trivy je jednoduchý, ale výkonný skener zranitelnosti kontejnerů, který se snadno integruje do potrubí CI/CD. Jeho pozoruhodnou vlastností je snadná instalace a ovládání: aplikace se skládá z jednoho binárního souboru a nevyžaduje instalaci databáze nebo dalších knihoven.

Nevýhodou jednoduchosti Trivy je, že musíte přijít na to, jak analyzovat a odesílat výsledky JSON, aby je mohly používat další bezpečnostní nástroje Kubernetes.

Zabezpečení za běhu v Kubernetes

Falco

• Webové stránky: falco.org
• Licence: Zdarma (Apache)

Falco je sada nástrojů pro zabezpečení cloudových běhových prostředí. Část projektové rodiny CNCF.

Pomocí sady nástrojů Sysdig pro práci na úrovni jádra Linuxu a profilování systémových volání vám Falco umožňuje ponořit se hluboko do chování systému. Jeho modul pravidel běhu je schopen detekovat podezřelou aktivitu v aplikacích, kontejnerech, základním hostiteli a orchestrátoru Kubernetes.

Falco poskytuje plnou transparentnost provozu za běhu a detekce hrozeb tím, že pro tento účel nastavuje speciální agenty na uzlech Kubernetes. V důsledku toho není potřeba upravovat kontejnery vkládáním kódu třetí strany do nich nebo zavěšováním kontejnerů postranních vozíků.

Linuxové bezpečnostní rámce pro běhové prostředí

Tyto rámce, nativní pro jádro Linuxu, nejsou „bezpečnostními nástroji Kubernetes“ v obvyklém smyslu, ale zaslouží si zmínku, protože jsou důležitým prvkem v kontextu zabezpečení za běhu, které je zahrnuto v zásadách zabezpečení Kubernetes Pod (PSP). .

AppArmor připojuje bezpečnostní profil k procesům běžícím v kontejneru, definuje oprávnění systému souborů, pravidla přístupu k síti, propojuje knihovny atd. Jedná se o systém založený na povinné kontrole přístupu (MAC). Jinými slovy, brání provádění zakázaných akcí.

Linux s vylepšeným zabezpečením (SELinux) je pokročilý bezpečnostní modul v jádře Linuxu, v některých ohledech podobný AppArmoru a často s ním přirovnávaný. SELinux překonává AppArmor z hlediska výkonu, flexibility a jemnosti. Jeho nevýhodou je dlouhý vývoj a zvýšená složitost.

Seccomp a seccomp-bpf umožňují filtrovat systémová volání, blokovat provádění těch, která jsou potenciálně nebezpečná pro základní operační systém a nejsou potřebná pro běžný provoz uživatelských aplikací. Seccomp je v některých ohledech podobný Falcu, i když nezná specifika kontejnerů.

Sysdig s otevřeným zdrojovým kódem

• Webové stránky: www.sysdig.com/opensource
• Licence: Zdarma (Apache)

Sysdig je kompletní nástroj pro analýzu, diagnostiku a ladění Linuxových systémů (funguje také na Windows a macOS, ale s omezenými funkcemi). Může být použit pro podrobné shromažďování informací, ověřování a forenzní analýzu (forenzní) základní systém a všechny kontejnery, které na něm běží.

Sysdig také nativně podporuje spustitelné soubory kontejnerů a metadata Kubernetes a přidává další dimenze a štítky ke všem shromážděným informacím o chování systému. Existuje několik způsobů, jak analyzovat cluster Kubernetes pomocí Sysdig: můžete zachytit bod v čase pomocí kubectl zachycení nebo spusťte interaktivní rozhraní založené na ncurses pomocí pluginu kubectl dig.

Zabezpečení sítě Kubernetes

Aporeto

• Webové stránky: www.aporeto.com
• Licence: komerční

Aporeto nabízí „zabezpečení oddělené od sítě a infrastruktury“. To znamená, že služby Kubernetes získají nejen místní ID (tj. ServiceAccount v Kubernetes), ale také univerzální ID/otisk prstu, který lze použít k bezpečné interakci a vzájemnému ověření s jakoukoli jinou službou, například v clusteru OpenShift.

Aporeto dokáže vygenerovat unikátní ID nejen pro Kubernetes/kontejnery, ale také pro hostitele, cloudové funkce a uživatele. V závislosti na těchto identifikátorech a sadě pravidel zabezpečení sítě nastavených správcem bude komunikace povolena nebo blokována.

Kaliko

• Webové stránky: www.projectcalico.org
• Licence: Zdarma (Apache)

Calico se obvykle nasazuje během instalace orchestrátoru kontejnerů, což umožňuje vytvořit virtuální síť propojující kontejnery. Kromě této základní síťové funkce pracuje projekt Calico se síťovými zásadami Kubernetes a vlastní sadou profilů zabezpečení sítě, podporuje seznamy ACL (Access Control List) pro koncové body a pravidla síťového zabezpečení založená na anotacích pro Ingress a Egress provoz.

cilium

• Webové stránky: www.cilium.io
• Licence: Zdarma (Apache)

Cilium funguje jako kontejnerový firewall a poskytuje funkce zabezpečení sítě nativně přizpůsobené pracovním zátěžím Kubernetes a mikroslužeb. Cilium používá novou technologii linuxového jádra nazvanou BPF (Berkeley Packet Filter) k filtrování, sledování, přesměrování a opravě dat.

Cilium dokáže nasadit zásady přístupu k síti založené na ID kontejnerů pomocí štítků a metadat Docker nebo Kubernetes. Cilium také rozumí a filtruje různé protokoly vrstvy 7, jako je HTTP nebo gRPC, což vám umožňuje definovat sadu REST volání, která budou povolena například mezi dvěma nasazeními Kubernetes.

Stejný

• Webové stránky: istio.io
• Licence: Zdarma (Apache)

Istio je široce známý pro implementaci paradigmatu service mesh nasazením platformy nezávislé řídicí roviny a přesměrováním veškerého provozu spravovaných služeb prostřednictvím dynamicky konfigurovatelných Envoy proxy. Istio využívá tohoto pokročilého pohledu na všechny mikroslužby a kontejnery k implementaci různých strategií zabezpečení sítě.

Mezi možnosti zabezpečení sítě Istio patří transparentní šifrování TLS pro automatický upgrade komunikačního protokolu mezi mikroslužbami na HTTPS a nativní autentizační a autorizační systém RBAC, který umožňuje/zakazuje komunikaci mezi různými pracovními zátěžemi v clusteru.

Poznámka. přel.: Další informace o možnostech Istio zaměřených na zabezpečení viz tento článek.

tygra

• Webové stránky: www.tigera.io
• Licence: komerční

Toto řešení s názvem „Firewall Kubernetes“ zdůrazňuje přístup k zabezpečení sítě s nulovou důvěrou.

Stejně jako ostatní nativní síťová řešení Kubernetes spoléhá Tigera na metadata k identifikaci různých služeb a objektů v clusteru a poskytuje detekci problémů za běhu, nepřetržité dodržování předpisů a viditelnost sítě pro multicloudové nebo hybridní monolitické kontejnerové infrastruktury.

Triréme

• Webové stránky: www.aporeto.com/opensource
• Licence: Zdarma (Apache)

Trireme-Kubernetes je jednoduchá a čistá implementace specifikace síťových zásad Kubernetes. Nejpozoruhodnější funkcí je, že – na rozdíl od podobných produktů pro zabezpečení sítě Kubernetes – nevyžaduje centrální řídicí rovinu pro koordinaci sítě (mesh). Díky tomu je řešení triviálně škálovatelné. Trireme toho dosahuje instalací agenta na každý uzel, který se připojuje přímo k zásobníku TCP/IP hostitele.

Distribuce obrazu a správa tajemství

Grafeas

• Webové stránky: grapheas.io
• Licence: Zdarma (Apache)

Grafeas je open source API pro audit a správu softwarového dodavatelského řetězce. Grafeas je na základní úrovni nástroj pro sběr metadat a výsledků auditu. Lze jej použít ke sledování souladu s osvědčenými bezpečnostními postupy v organizaci.

Tento centralizovaný zdroj pravdy pomáhá odpovídat na otázky jako:

• Kdo sestavil a podepsal konkrétní kontejner?
• Prošel všemi bezpečnostními skenery a kontrolami bezpečnostních zásad? Když? jaké byly výsledky?
• Kdo to nasadil do výroby? Jaké parametry byly použity při nasazení?

Intoto

• Webové stránky: in-toto.github.io
• Licence: Zdarma (Apache)

In-toto je rámec navržený tak, aby poskytoval integritu, autentizaci a audit pro celý dodavatelský řetězec softwaru. Při nasazování In-toto do infrastruktury je nejprve definován plán, který popisuje různé kroky v potrubí (úložiště, nástroje CI/CD, nástroje QA, stavitelé artefaktů atd.) a uživatele (odpovědné osoby), kterým je povoleno iniciovat je.

In-toto kontroluje provádění plánu tím, že ověřuje, že každý úkol v řetězci je řádně prováděn pouze oprávněným personálem a že během pohybu nebyly s výrobkem provedeny žádné neoprávněné manipulace.

Portieris

• Webové stránky: github.com/IBM/portieris
• Licence: Zdarma (Apache)

Portieris je řadič přístupu pro Kubernetes; slouží k vynucení kontrol důvěryhodnosti obsahu. Portieris používá server Notář (psali jsme o něm na konci tento článek - Cca. přel.) jako zdroj pravdy pro ověřování důvěryhodných a podepsaných artefaktů (tj. schválených obrázků kontejnerů).

Když vytvoříte nebo upravíte pracovní zátěž v Kubernetes, Portieris načte informace o podpisu a zásady důvěryhodnosti obsahu pro požadované obrázky kontejnerů a v případě potřeby provede změny objektu API JSON za běhu, aby spustil podepsané verze těchto obrázků.

Klenba

• Webové stránky: www.vaultproject.io
• Licence: zdarma (MPL)

Vault je bezpečné řešení pro ukládání citlivých informací: hesel, tokenů OAuth, certifikátů PKI, přístupových účtů, tajemství Kubernetes a dalších. Vault podporuje mnoho pokročilých funkcí, jako je půjčování pomíjivých bezpečnostních tokenů nebo organizace střídání klíčů.

Pomocí grafu Helm lze Vault nasadit jako nové nasazení v clusteru Kubernetes s Consul jako backendovým úložištěm. Podporuje nativní zdroje Kubernetes, jako jsou tokeny ServiceAccount, a může dokonce fungovat jako výchozí tajné úložiště Kubernetes.

Poznámka. přel.: Mimochodem, právě včera společnost HashiCorp, která vyvíjí Vault, oznámila některá vylepšení pro používání Vaultu v Kubernetes, a zejména se týkají grafu Helm. Přečtěte si podrobnosti v vývojářský blog.

Bezpečnostní audit Kubernetes

Kube-lavička

• Webové stránky: github.com/aquasecurity/kube-bench
• Licence: Zdarma (Apache)

Kube-bench je aplikace Go, která kontroluje, zda je Kubernetes nasazen bezpečně, spuštěním testů ze seznamu Benchmark CIS Kubernetes.

Kube-bench hledá nezabezpečená nastavení konfigurace mezi komponentami clusteru (etcd, API, správce řadiče atd.), pochybná oprávnění k souborům, nezabezpečené účty nebo otevřené porty, kvóty zdrojů, nastavení limitu volání API pro ochranu před útoky DoS atd.

Být lovcem

• Webové stránky: github.com/aquasecurity/kube-hunter
• Licence: Zdarma (Apache)

Kube-hunter „loví“ potenciální zranitelnosti (jako je vzdálené spuštění kódu nebo zpřístupnění dat) v clusterech Kubernetes. Kube-hunter lze spustit jako vzdálený skener – v takovém případě vyhodnotí cluster z pohledu útočníka třetí strany – nebo jako pod v rámci clusteru.

Charakteristickým rysem Kube-hunter je režim „aktivního lovu“, během kterého nejen hlásí problémy, ale také se snaží využít zranitelnosti nalezené v cílovém clusteru, které by mohly potenciálně poškodit jeho provoz. Používejte tedy opatrně!

Kubeaudit

• Webové stránky: github.com/Shopify/kubeaudit
• Licence: Zdarma (MIT)

Kubeaudit je konzolový nástroj původně vyvinutý společností Shopify k auditu vaší konfigurace Kubernetes pro různé bezpečnostní problémy. Pomáhá například identifikovat kontejnery, které běží bez rozdílu, běží jako root, zneužívají oprávnění nebo používají výchozí ServiceAccount.

Kubeaudit má i další zajímavé funkce. Může například analyzovat místní soubory YAML, identifikovat chyby konfigurace, které by mohly vést k bezpečnostním problémům, a automaticky je opravit.

Kubešec

• Webové stránky: kubesec.io
• Licence: Zdarma (Apache)

Kubesec je speciální v tom, že přímo skenuje zdrojové soubory YAML Kubernetes a hledá slabá nastavení, která by mohla ovlivnit zabezpečení.

Dokáže například detekovat nadměrná oprávnění a oprávnění udělená pod, spuštění kontejneru s rootem jako výchozím uživatelem, připojení k síťovému jmennému prostoru hostitele nebo nebezpečná připojení jako /proc host nebo docker socket. Další zajímavou funkcí Kubesec je online demo služba, kam můžete nahrát YAML a okamžitě jej analyzovat.

Otevřete Policy Agent

• Webové stránky: www.openpolicyagent.org
• Licence: Zdarma (Apache)

Koncept OPA (Open Policy Agent) spočívá v oddělení bezpečnostních politik a osvědčených bezpečnostních postupů od konkrétní runtime platformy: Docker, Kubernetes, Mesosphere, OpenShift nebo jakékoli jejich kombinace.

Můžete například nasadit OPA jako backend pro řadič přístupu Kubernetes a delegovat na něj bezpečnostní rozhodnutí. Tímto způsobem bude OPA agent schopen kontrolovat, odmítat a dokonce upravovat požadavky za běhu a zajistit, aby byly dodrženy zadané bezpečnostní parametry. Bezpečnostní zásady v OPA jsou napsány v jeho vlastním DSL, Rego.

Poznámka. přel.: Více o OPA (a SPIFFE) jsme psali v tento materiál.

Komplexní komerční nástroje pro analýzu zabezpečení Kubernetes

Rozhodli jsme se vytvořit samostatnou kategorii pro komerční platformy, protože obvykle pokrývají několik oblastí zabezpečení najednou. Obecnou představu o jejich schopnostech lze získat z tabulky:

* Pokročilá odbornost a analýza post mortem s kompletní zachycení systémového volání.

Aqua Security

• Webové stránky: www.aquasec.com
• Licence: komerční

Tento komerční nástroj je určen pro kontejnery a cloudové úlohy. Poskytuje:

• Skenování obrazu integrované s registrem kontejnerů nebo potrubím CI/CD;
• Runtime ochrana s vyhledáváním změn v kontejnerech a další podezřelou aktivitou;
• Nativní kontejnerový firewall;
• Zabezpečení bezserverových cloudových služeb;
• Soulad a audit v kombinaci s protokolováním událostí.

Poznámka. přel.: Za zmínku také stojí, že existují volná složka produktu tzv mikroskener, která vám umožňuje skenovat obrázky kontejnerů na zranitelnosti. Porovnání jeho funkcí s placenými verzemi je uvedeno v tuto tabulku.

Kapsle8

• Webové stránky: kapsule8.com
• Licence: komerční

Capsule8 se integruje do infrastruktury instalací detektoru do místního nebo cloudového clusteru Kubernetes. Tento detektor shromažďuje hostitelskou a síťovou telemetrii a koreluje ji s různými typy útoků.

Tým Capsule8 se zavázal k včasné detekci a prevenci útoků pomocí fresh (0 dní) zranitelnosti. Capsule8 dokáže nahrát aktualizovaná bezpečnostní pravidla přímo do detektorů v reakci na nově objevené hrozby a zranitelnosti softwaru.

Cavirin

• Webové stránky: www.cavirin.com
• Licence: komerční

Cavirin působí jako protistrana různých agentur pro bezpečnostní standardy. Nejen, že dokáže skenovat obrázky, ale může se také integrovat do potrubí CI/CD a blokovat nevyhovující obrázky předtím, než se dostanou do soukromých úložišť.

Cavirin Security Suite využívá strojové učení k posouzení stavu kybernetické bezpečnosti, nabízí rady, jak zvýšit zabezpečení a zlepšit dodržování bezpečnostních předpisů.

Centrum příkazů zabezpečení Google Cloud

• Webové stránky: cloud.google.com/security-command-center
• Licence: komerční

Cloud Security Command Center pomáhá bezpečnostním týmům shromažďovat data, identifikovat hrozby a napravit je dříve, než poškodí společnost.

Jak název napovídá, Google Cloud SCC je jednotný ovládací panel, který dokáže integrovat a spravovat různé bezpečnostní zprávy, nástroje pro sledování aktiv a bezpečnostní systémy třetích stran z jediného centralizovaného zdroje.

Interoperabilní API nabízené službou Google Cloud SCC usnadňuje integraci bezpečnostních událostí pocházejících z různých zdrojů, jako je Sysdig Secure (zabezpečení kontejnerů pro cloudové nativní aplikace) nebo Falco (zabezpečení za běhu Open Source).

Layered Insight (Qualys)

• Webové stránky: layeredinsight.com
• Licence: komerční

Layered Insight (nyní součást Qualys Inc) je postaven na konceptu „vestavěného zabezpečení“. Po naskenování původního obrázku na zranitelnost pomocí metod statistické analýzy a provedení CVE kontrol jej Layered Insight nahradí instrumentovaným obrázkem, který obsahuje agenta ve formě binárního kódu.

Tento agent obsahuje testy zabezpečení za běhu pro analýzu síťového provozu kontejnerů, toků I/O a aktivity aplikací. Kromě toho může provádět další bezpečnostní kontroly určené správcem infrastruktury nebo týmy DevOps.

NeuVector

• Webové stránky: neuvector.com
• Licence: komerční

NeuVector provádí kontroly zabezpečení kontejneru a ochranu za běhu pomocí analýzy síťové aktivity a chování aplikací a vytváří individuální bezpečnostní profil pro každý kontejner. Může také blokovat hrozby samostatně tím, že izoluje podezřelou aktivitu úpravou pravidel místní brány firewall.

Síťová integrace NeuVector, známá jako Security Mesh, je schopna hloubkové kontroly paketů a filtrování vrstvy 7 pro všechna síťová připojení v servisní síti.

stackrox

• Webové stránky: www.stackrox.com
• Licence: komerční

Bezpečnostní platforma kontejnerů StackRox má za cíl pokrýt celý životní cyklus aplikací Kubernetes v clusteru. Stejně jako ostatní komerční platformy na tomto seznamu, StackRox generuje runtime profil na základě pozorovaného chování kontejneru a automaticky spustí alarm při jakýchkoli odchylkách.

Kromě toho StackRox analyzuje konfigurace Kubernetes pomocí CIS Kubernetes a dalších pravidel pro vyhodnocení souladu kontejnerů.

Sysdig Secure

• Webové stránky: sysdig.com/products/secure
• Licence: komerční

Sysdig Secure chrání aplikace během celého životního cyklu kontejneru a Kubernetes. On skenuje obrázky kontejnery, poskytuje runtime ochrana podle strojového učení provádí zločin. odborné znalosti k identifikaci zranitelností, blokování hrozeb, monitorování dodržování zavedených norem a audity činnosti v mikroslužbách.

Sysdig Secure se integruje s nástroji CI/CD, jako je Jenkins, a řídí obrazy načtené z registrů Docker, čímž zabraňuje zobrazování nebezpečných obrazů v produkci. Poskytuje také komplexní zabezpečení za běhu, včetně:

• profilování běhového prostředí a detekce anomálií na bázi ML;
• runtime zásady založené na systémových událostech, K8s-audit API, společných komunitních projektech (FIM - monitorování integrity souborů; cryptojacking) a frameworku MITRE ATT&CK;
• reakce a eliminace incidentů.

Udržitelné zabezpečení kontejnerů

• Webové stránky: www.tenable.com/products/tenable-io/container-security
• Licence: komerční

Před příchodem kontejnerů byl Tenable v oboru široce známý jako společnost, která vyvinula Nessus, populární nástroj pro vyhledávání zranitelností a bezpečnostní audit.

Tenable Container Security využívá odborných znalostí společnosti v oblasti počítačové bezpečnosti k integraci kanálu CI/CD s databázemi zranitelnosti, specializovanými balíčky pro detekci malwaru a bezpečnostními radami.

Twistlock (Palo Alto Networks)

• Webové stránky: www.twistlock.com
• Licence: komerční

Twistlock se propaguje jako platforma zaměřená na cloudové služby a kontejnery. Twistlock podporuje různé cloudové poskytovatele (AWS, Azure, GCP), kontejnerové orchestrátory (Kubernetes, Mesospehere, OpenShift, Docker), běhová prostředí bez serveru, mesh frameworky a nástroje CI/CD.

Kromě obvyklých bezpečnostních metod na podnikové úrovni, jako je integrace CI/CD potrubí nebo skenování obrázků, Twistlock využívá strojové učení ke generování vzorců chování a síťových pravidel specifických pro kontejnery.

Před časem Twistlock koupila společnost Palo Alto Networks, která vlastní projekty Evident.io a RedLock. Zatím není přesně známo, jak budou tyto tři platformy integrovány PRISMA z Palo Alto.

Pomozte vytvořit nejlepší katalog bezpečnostních nástrojů Kubernetes!

Snažíme se, aby byl tento katalog co nejúplnější, a proto potřebujeme vaši pomoc! Kontaktujte nás (@sysdig) pokud máte na mysli skvělý nástroj, který si zaslouží být zahrnut do tohoto seznamu, nebo najdete chybu/zastaralé informace.

Můžete se také přihlásit k odběru našich měsíční zpravodaj se zprávami o cloudovém nativním ekosystému a příběhy o zajímavých projektech ze světa zabezpečení Kubernetes.

PS od překladatele

Přečtěte si také na našem blogu:

• «Úvod do síťových zásad Kubernetes pro profesionály v oblasti zabezpečení";
• «Docker a Kubernetes v prostředích náročných na zabezpečení";
• «9 Doporučené postupy zabezpečení Kubernetes";
• «11 způsobů, jak se (ne)nabourat v Kubernetes";
• «OPA a SPIFFE jsou dva nové projekty v CNCF pro zabezpečení cloudových aplikací".

Zdroj: www.habr.com