33+ o offer diogelwch Kubernetes

Nodyn. traws.: Os ydych chi'n pendroni am faterion diogelwch mewn seilwaith sy'n seiliedig ar Kubernetes, mae'r trosolwg rhagorol hwn gan Sysdig yn fan cychwyn gwych ar gyfer cyflwyniad cyflym i'r atebion sy'n berthnasol heddiw. Mae'n cynnwys systemau cymhleth gan chwaraewyr marchnad adnabyddus, a chyfleustodau llawer mwy cymedrol sy'n cwmpasu problem benodol. Ac yn y sylwadau, byddwn ni, fel bob amser, yn hapus i ddysgu am eich profiad o ddefnyddio'r offer hyn a gweld dolenni i brosiectau eraill.

Cynhyrchion meddalwedd diogelwch Kubernetes ... mae cymaint, ac mae gan bob un ei ddiben, ei gwmpas a'i drwyddedau ei hun.

Dyna pam y gwnaethom benderfynu creu'r rhestr hon a chynnwys prosiectau ffynhonnell agored a llwyfannau masnachol gan wahanol werthwyr. Gobeithiwn y bydd yn eich helpu i ddewis y rhai sydd o ddiddordeb mwyaf ac yn eich cyfeirio at y cyfeiriad cywir yn seiliedig ar eich anghenion diogelwch Kubernetes penodol.

Категории

Er mwyn ei gwneud hi'n haws llywio trwy'r rhestr, mae'r offer yn cael eu categoreiddio yn ôl prif swyddogaeth a chymhwysiad. Yr adrannau canlyniadol yw:

• Sganio delweddau Kubernetes a dadansoddi statig;
• diogelwch amser rhedeg;
• diogelwch rhwydwaith Kubernetes;
• Dosbarthu delweddau a rheoli cyfrinachau;
• archwiliad diogelwch Kubernetes;
• Cynhyrchion masnachol cymhleth.

Gadewch i ni fynd i lawr i fusnes:

Sganio delweddau Kubernetes

Angor

• Gwefan: angor.com
• Trwydded: rhad ac am ddim (Apache) a chynnig masnachol

Mae'r pecyn Anchore yn dosrannu delweddau cynhwysydd ac yn caniatáu gwiriadau diogelwch yn seiliedig ar bolisïau a ddiffinnir gan ddefnyddwyr.

Yn ogystal â'r sganio arferol o ddelweddau cynhwysydd am wendidau hysbys o gronfa ddata CVE, mae Anchore yn cyflawni llawer o wiriadau ychwanegol fel rhan o'r polisi sganio: yn gwirio Dockerfile, tystlythyrau wedi'u gollwng, pecynnau o ieithoedd rhaglennu a ddefnyddir (npm, maven, ac ati) , trwyddedau meddalwedd a llawer mwy.

Clair

• Gwefan: coreos.com/clair (yn awr o dan arweiniad Red Hat)
• Trwydded: Am ddim (Apache)

Clair oedd un o'r prosiectau Ffynhonnell Agored cyntaf ar gyfer sganio delweddau. Fe'i gelwir yn eang fel y sganiwr diogelwch y tu ôl i'r Quay Image Registry. (hefyd gan CoreOS - tua. traws.). Mae Clair yn gallu casglu gwybodaeth am CVEs o amrywiaeth eang o ffynonellau, gan gynnwys rhestrau o wendidau dosbarthu-benodol Linux a gynhelir gan dimau diogelwch Debian, Red Hat, neu Ubuntu.

Yn wahanol i Anchore, mae Clair yn canolbwyntio'n bennaf ar ddod o hyd i wendidau a chyfateb data â CVE. Fodd bynnag, mae'r cynnyrch yn cynnig rhai opsiynau i ddefnyddwyr ar gyfer ehangu ymarferoldeb trwy yrwyr plygio i mewn.

dagda

• Gwefan: github.com/eliasgranderubio/dagda
• Trwydded: Am ddim (Apache)

Mae Dagda yn dadansoddi delweddau cynhwysydd yn statig ar gyfer gwendidau hysbys, Trojans, firysau, malware, a bygythiadau eraill.

Mae pecyn Dagda yn wahanol i offer tebyg eraill mewn dwy ffordd nodedig:

• Mae'n integreiddio'n dda â ClamAV, gan weithredu nid yn unig fel offeryn ar gyfer sganio delweddau cynhwysydd, ond hefyd fel gwrthfeirws.
• Mae hefyd yn darparu amddiffyniad amser rhedeg trwy dderbyn digwyddiadau amser real gan ellyll y Docker ac integreiddio â Falco (gweler isod) i gasglu digwyddiadau diogelwch tra bod y cynhwysydd yn rhedeg.

KubeXray

• Gwefan: github.com/jfrog/kubexray
• Trwydded: am ddim (Apache), ond mae angen data gan JFrog Xray (cynnyrch masnachol)

Mae KubeXray yn gwrando am ddigwyddiadau o weinydd API Kubernetes ac yn defnyddio metadata o JFrog Xray i sicrhau mai dim ond codennau sy'n cyd-fynd â'r polisi cyfredol sy'n cychwyn.

Mae KubeXray nid yn unig yn archwilio cynwysyddion newydd neu wedi'u diweddaru mewn lleoliadau (yn debyg i'r rheolwr derbyn yn Kubernetes), ond hefyd yn gwirio cynwysyddion rhedeg yn ddeinamig i sicrhau eu bod yn cydymffurfio â pholisïau diogelwch newydd, gan ddileu adnoddau sy'n cyfeirio at ddelweddau bregus.

Snyk

• Gwefan: snyk.io
• Trwydded: am ddim (Apache) a fersiynau masnachol

Mae Snyk yn sganiwr bregusrwydd anarferol yn yr ystyr ei fod yn targedu'r broses ddatblygu yn benodol ac yn cael ei hyrwyddo fel "ateb hanfodol" i ddatblygwyr.

Mae Snyk yn cysylltu'n uniongyrchol â storfeydd cod, yn dosrannu maniffestau'r prosiect, ac yn dosrannu cod a fewnforiwyd ynghyd â dibyniaethau uniongyrchol ac anuniongyrchol. Mae Snyk yn cefnogi llawer o ieithoedd rhaglennu poblogaidd a gall ganfod risgiau trwyddedu cudd.

Dibwys

• Gwefan: github.com/knqyf263/trivy
• Trwydded: Am ddim (AGPL)

Mae Trivy yn sganiwr bregusrwydd cynhwysydd syml ond pwerus sy'n integreiddio'n hawdd i bibell CI/CD. Ei nodwedd ryfeddol yw rhwyddineb gosod a gweithredu: mae'r cymhwysiad yn cynnwys un deuaidd ac nid oes angen gosod cronfa ddata na llyfrgelloedd ychwanegol arno.

Anfantais symlrwydd Trivy yw bod yn rhaid i chi ddarganfod sut i ddosrannu ac anfon canlyniadau JSON fel y gall offer diogelwch Kubernetes eraill eu defnyddio.

Diogelwch amser rhedeg yn Kubernetes

Falco

• Gwefan: falco.org
• Trwydded: Am ddim (Apache)

Mae Falco yn gyfres o offer ar gyfer sicrhau amseroedd rhedeg cwmwl. Rhan o deulu prosiect CNCF.

Gan ddefnyddio pecyn cymorth Sysdig ar gyfer gweithio ar lefel cnewyllyn Linux a phroffilio galwadau system, mae Falco yn caniatáu ichi blymio'n ddwfn i ymddygiad y system. Mae ei injan rheolau amser rhedeg yn gallu canfod gweithgaredd amheus mewn cymwysiadau, cynwysyddion, y gwesteiwr gwaelodol, a cherddorfa Kubernetes.

Mae Falco yn darparu tryloywder llawn mewn gweithrediad amser rhedeg a chanfod bygythiadau trwy osod asiantau arbennig ar nodau Kubernetes at y diben hwn. O ganlyniad, nid oes angen addasu cynwysyddion trwy chwistrellu cod trydydd parti ynddynt neu hongian cynwysyddion car ochr.

Fframweithiau diogelwch Linux ar gyfer amser rhedeg

Nid yw'r fframweithiau hyn, sy'n frodorol i gnewyllyn Linux, yn "offer diogelwch Kubernetes" yn yr ystyr arferol, ond maent yn haeddu eu crybwyll oherwydd eu bod yn elfen bwysig yng nghyd-destun diogelwch amser rhedeg, sydd wedi'i gynnwys ym Mholisi Diogelwch Pod Kubernetes (PSP) .

AppArmor yn atodi proffil diogelwch i brosesau sy'n rhedeg mewn cynhwysydd, gan ddiffinio breintiau system ffeiliau, rheolau mynediad rhwydwaith, cysylltu llyfrgelloedd, ac ati. Mae'n system sy'n seiliedig ar Reoli Mynediad Gorfodol (MAC). Mewn geiriau eraill, mae'n atal cyflawni gweithredoedd gwaharddedig.

Linux Gwell Diogelwch (SELinux) yn fodiwl diogelwch uwch yn y cnewyllyn Linux, yn debyg mewn rhai ffyrdd i AppArmor ac yn aml o'i gymharu ag ef. Mae SELinux yn rhagori ar AppArmor o ran pŵer, hyblygrwydd a finesse. Ei anfanteision yw datblygiad hir a chymhlethdod cynyddol.

Seccomp ac mae seccomp-bpf yn eich galluogi i hidlo galwadau system, rhwystro gweithrediad y rhai a allai fod yn beryglus i'r OS gwaelodol ac nad oes eu hangen ar gyfer gweithrediad arferol cymwysiadau defnyddwyr. Mae Seccomp yn debyg i Falco mewn rhai ffyrdd, er nad yw'n gwybod manylion y cynwysyddion.

Sysdig ffynhonnell agored

• Gwefan: www.sysdig.com/opensource
• Trwydded: Am ddim (Apache)

Mae Sysdig yn offeryn cyflawn ar gyfer dadansoddi, gwneud diagnosis a dadfygio systemau Linux (hefyd yn gweithio ar Windows a macOS, ond gyda nodweddion cyfyngedig). Gellir ei ddefnyddio ar gyfer casglu gwybodaeth fanwl, dilysu a fforensig (fforensig) y system sylfaen ac unrhyw gynwysyddion sy'n rhedeg arno.

Mae Sysdig hefyd yn cefnogi gweithredadwy cynhwysydd a metadata Kubernetes yn frodorol, gan ychwanegu dimensiynau a labeli ychwanegol at yr holl wybodaeth ymddygiad system a gesglir. Mae sawl ffordd o ddadansoddi clwstwr Kubernetes gan ddefnyddio Sysdig: gallwch chi ddal pwynt mewn amser trwy dal kubectl neu redeg rhyngwyneb rhyngweithiol yn seiliedig ar ncurses gan ddefnyddio'r ategyn cloddiad kubectl.

Kubernetes diogelwch rhwydwaith

Aporeto

• Gwefan: www.aporeto.com
• Trwydded: masnachol

Mae Aporeto yn cynnig "diogelwch wedi'i wahanu oddi wrth rwydwaith a seilwaith". Mae hyn yn golygu bod gwasanaethau Kubernetes nid yn unig yn cael ID lleol (h.y. ServiceAccount yn Kubernetes), ond hefyd ID / Olion Bysedd cyffredinol y gellir ei ddefnyddio i ryngweithio'n ddiogel ac wedi'i ddilysu ar y cyd ag unrhyw wasanaeth arall, megis mewn clwstwr OpenShift.

Mae Aporeto yn gallu cynhyrchu ID unigryw nid yn unig ar gyfer Kubernetes / cynwysyddion ond hefyd ar gyfer gwesteiwyr, swyddogaethau cwmwl a defnyddwyr. Yn dibynnu ar y dynodwyr hyn a'r set o reolau diogelwch rhwydwaith a osodwyd gan y gweinyddwr, bydd cyfathrebiadau'n cael eu caniatáu neu eu rhwystro.

Calico

• Gwefan: www.projectcalico.org
• Trwydded: Am ddim (Apache)

Mae Calico fel arfer yn cael ei ddefnyddio yn ystod gosod y cerddorwr cynhwysydd, sy'n eich galluogi i greu rhwydwaith rhithwir sy'n cysylltu cynwysyddion. Yn ogystal â'r swyddogaeth rwydweithio sylfaenol hon, mae prosiect Calico yn gweithio gyda Pholisïau Rhwydwaith Kubernetes a'i set ei hun o broffiliau diogelwch rhwydwaith, yn cefnogi ACLs endpoint (Rhestrau Rheoli Mynediad) a rheolau diogelwch rhwydwaith yn seiliedig ar anodiadau ar gyfer traffig Ingress and Egress.

ciliwm

• Gwefan: www.cilium.io
• Trwydded: Am ddim (Apache)

Mae Cilium yn gweithredu fel wal dân cynhwysydd ac yn darparu nodweddion diogelwch rhwydwaith sydd wedi'u haddasu'n frodorol i lwythi gwaith Kubernetes a microservices. Mae Cilium yn defnyddio technoleg cnewyllyn Linux newydd o'r enw BPF (Berkeley Packet Filter) i hidlo, monitro, ailgyfeirio a chywiro data.

Mae Cilium yn gallu defnyddio polisïau mynediad rhwydwaith yn seiliedig ar IDau cynwysyddion gan ddefnyddio labeli a metadata Docker neu Kubernetes. Mae Cilium hefyd yn deall ac yn hidlo protocolau haen 7 amrywiol fel HTTP neu gRPC, sy'n eich galluogi i ddiffinio'r set o alwadau REST a ganiateir rhwng dau ddefnydd Kubernetes, er enghraifft.

Istio

• Gwefan: istio.io
• Trwydded: Am ddim (Apache)

Mae Istio yn adnabyddus am weithredu'r patrwm rhwyll gwasanaeth trwy ddefnyddio awyren reoli sy'n annibynnol ar blatfformau ac ailgyfeirio'r holl draffig gwasanaeth a reolir trwy ddirprwyon Llysgennad y gellir eu ffurfweddu'n ddeinamig. Mae Istio yn manteisio ar y farn ddatblygedig hon o'r holl ficrowasanaethau a chynwysyddion i weithredu amrywiol strategaethau diogelwch rhwydwaith.

Mae galluoedd diogelwch rhwydwaith Istio yn cynnwys amgryptio TLS tryloyw i uwchraddio'r protocol cyfathrebu rhwng microwasanaethau i HTTPS yn awtomatig, a system ddilysu ac awdurdodi RBAC brodorol i ganiatáu / gwadu cyfathrebu rhwng gwahanol lwythi gwaith mewn clwstwr.

Nodyn. traws.: Am ragor o wybodaeth am alluoedd Istio sy'n canolbwyntio ar ddiogelwch, gw Mae'r erthygl hon yn.

teigrod

• Gwefan: www.tigera.io
• Trwydded: masnachol

O'r enw "wal dân Kubernetes", mae'r ateb hwn yn pwysleisio dull dim-ymddiriedaeth tuag at ddiogelwch rhwydwaith.

Fel atebion rhwydweithio brodorol Kubernetes eraill, mae Tigera yn dibynnu ar fetadata i nodi gwasanaethau a gwrthrychau amrywiol mewn clwstwr ac yn darparu canfod problemau amser rhedeg, cydymffurfiaeth barhaus, a gwelededd rhwydwaith ar gyfer seilweithiau aml-gwmwl neu hybrid sy'n cynnwys monolithig.

Trireme

• Gwefan: www.aporeto.com/opensource
• Trwydded: Am ddim (Apache)

Mae Trireme-Kubernetes yn weithrediad syml a glân o fanyleb Polisïau Rhwydwaith Kubernetes. Y nodwedd fwyaf nodedig yw - yn wahanol i gynhyrchion diogelwch rhwydwaith tebyg Kubernetes - nid oes angen awyren reoli ganolog arno i gydlynu'r rhwyll (rhwyll). Mae hyn yn gwneud yr ateb yn ddibwys yn raddadwy. Mae Trireme yn cyflawni hyn trwy osod asiant ar bob nod sy'n cysylltu'n uniongyrchol â stack TCP/IP y gwesteiwr.

Dosbarthu delweddau a rheolaeth gyfrinachol

Grafeas

• Gwefan: grapheas.io
• Trwydded: Am ddim (Apache)

Mae Grafeas yn API ffynhonnell agored ar gyfer archwilio a rheoli'r gadwyn gyflenwi meddalwedd. Ar lefel sylfaenol, mae Grafeas yn arf ar gyfer casglu metadata a chanlyniadau archwilio. Gellir ei ddefnyddio i olrhain cydymffurfiaeth ag arferion gorau diogelwch mewn sefydliad.

Mae’r ffynhonnell ganolog hon o wirionedd yn helpu i ateb cwestiynau fel:

• Pwy wnaeth ymgynnull ac arwyddo cynhwysydd penodol?
• A yw wedi pasio pob sganiwr diogelwch a gwiriadau polisi diogelwch? Pryd? Beth oedd y canlyniadau?
• Pwy a'i defnyddiodd i gynhyrchu? Pa baramedrau a ddefnyddiwyd yn ystod y defnydd?

Into

• Gwefan: yn-toto.github.io
• Trwydded: Am ddim (Apache)

Mae In-toto yn fframwaith sydd wedi'i gynllunio i ddarparu uniondeb, dilysu ac archwilio ar gyfer y gadwyn gyflenwi meddalwedd gyfan. Wrth ddefnyddio In-toto i'r seilwaith, diffinnir cynllun yn gyntaf sy'n disgrifio'r camau amrywiol sydd ar y gweill (storfa, offer CI/CD, offer QA, adeiladwyr arteffactau, ac ati) a'r defnyddwyr (personau cyfrifol) y caniateir iddynt wneud hynny. eu cychwyn.

Mae In-toto yn rheoli gweithrediad y cynllun trwy wirio bod pob tasg yn y gadwyn yn cael ei chyflawni'n iawn gan bersonél awdurdodedig yn unig ac na chynhaliwyd unrhyw driniaethau anawdurdodedig gyda'r cynnyrch yn ystod y symudiad.

Portieris

• Gwefan: github.com/IBM/portieris
• Trwydded: Am ddim (Apache)

Mae Portieris yn rheolwr derbyn ar gyfer Kubernetes; a ddefnyddir i orfodi gwiriadau ymddiriedolaeth cynnwys. Mae Portieris yn defnyddio'r gweinydd Notari (Ysgrifenasom amdano ar y diwedd yr erthygl hon - tua. traws.) fel ffynhonnell gwirionedd ar gyfer dilysu arteffactau dibynadwy ac wedi'u llofnodi (hynny yw, delweddau cynhwysydd cymeradwy).

Pan fyddwch chi'n creu neu'n addasu llwyth gwaith yn Kubernetes, mae Portieris yn llwytho'r wybodaeth llofnod a'r polisi ymddiriedaeth cynnwys ar gyfer y delweddau cynhwysydd y gofynnwyd amdanynt ac, os oes angen, yn gwneud newidiadau i wrthrych API JSON ar y hedfan i redeg y fersiynau llofnodedig o'r delweddau hynny.

Bwlch

• Gwefan: www.vaultproject.io
• Trwydded: am ddim (MPL)

Mae Vault yn ddatrysiad diogel ar gyfer storio gwybodaeth sensitif: cyfrineiriau, tocynnau OAuth, tystysgrifau PKI, cyfrifon mynediad, cyfrinachau Kubernetes, a mwy. Mae Vault yn cefnogi llawer o nodweddion uwch, megis rhentu tocynnau diogelwch byrhoedlog neu drefnu cylchdroi allweddi.

Gan ddefnyddio'r siart Helm, gellir defnyddio Vault fel defnydd newydd mewn clwstwr Kubernetes gyda Consul fel storfa gefn. Mae'n cefnogi adnoddau Kubernetes brodorol fel tocynnau ServiceAccount a gall hyd yn oed weithredu fel storfa gyfrinach ddiofyn Kubernetes.

Nodyn. traws.: Gyda llaw, dim ond ddoe, cyhoeddodd HashiCorp, sy'n datblygu Vault, rai gwelliannau ar gyfer defnyddio Vault yn Kubernetes, ac yn benodol, maent yn ymwneud â'r siart Helm. Darllenwch y manylion yn blog datblygwr.

Archwiliad diogelwch Kubernetes

Ciwb-fainc

• Gwefan: github.com/aquasecurity/kube-bench
• Trwydded: Am ddim (Apache)

Mae Kube-bench yn gymhwysiad Go sy'n gwirio a yw Kubernetes yn cael ei ddefnyddio'n ddiogel trwy redeg profion o restr Meincnod CIS Kubernetes.

Mae Kube-bench yn edrych am osodiadau cyfluniad ansicr ymhlith cydrannau clwstwr (ac ati, API, rheolwr rheolwr, ac ati), caniatâd ffeiliau amheus, cyfrifon ansicr neu borthladdoedd agored, cwotâu adnoddau, gosodiadau terfyn galwadau API i amddiffyn rhag ymosodiadau DoS, ac ati.

Kube-helwr

• Gwefan: github.com/aquasecurity/kube-hunter
• Trwydded: Am ddim (Apache)

Mae heliwr Kube yn “hela” am wendidau posibl (fel gweithredu cod o bell neu ddatgelu data) yng nghlystyrau Kubernetes. Gellir rhedeg Kube-hunter fel sganiwr anghysbell - ac os felly bydd yn gwerthuso'r clwstwr o safbwynt ymosodwr trydydd parti - neu fel pod o fewn y clwstwr.

Nodwedd nodedig o Kube-hunter yw'r modd “helfa egnïol”, lle mae nid yn unig yn adrodd am broblemau, ond hefyd yn ceisio manteisio ar wendidau a geir yn y clwstwr targed a allai niweidio ei weithrediad. Felly defnyddiwch yn ofalus!

Kubeaudit

• Gwefan: github.com/Shopify/kubeaudit
• Trwydded: Am Ddim (MIT)

Offeryn consol yw Kubeaudit a ddatblygwyd yn wreiddiol gan Shopify i archwilio'ch cyfluniad Kubernetes ar gyfer materion diogelwch amrywiol. Er enghraifft, mae'n helpu i nodi cynwysyddion sy'n rhedeg yn ddiwahân, yn rhedeg fel gwraidd, yn cam-drin breintiau, neu'n defnyddio'r ServiceAccount diofyn.

Mae gan Kubeaudit nodweddion diddorol eraill hefyd. Er enghraifft, gall ddosrannu ffeiliau YAML lleol, nodi diffygion cyfluniad a allai arwain at faterion diogelwch, a'u trwsio'n awtomatig.

Ciwbsec

• Gwefan: kubesec.io
• Trwydded: Am ddim (Apache)

Mae Kubesec yn arbennig gan ei fod yn sganio ffeiliau YAML adnodd Kubernetes yn uniongyrchol ar gyfer gosodiadau gwan a allai effeithio ar ddiogelwch.

Er enghraifft, gall ganfod breintiau gormodol a chaniatadau a roddwyd i god, rhedeg cynhwysydd â gwraidd fel y defnyddiwr diofyn, cysylltu â gofod enw rhwydwaith y gwesteiwr, neu fowntiau peryglus fel /proc gwesteiwr neu soced Docker. Nodwedd ddiddorol arall o Kubesec yw gwasanaeth demo ar-lein lle gallwch chi uwchlwytho YAML a'i ddadansoddi ar unwaith.

Agored Asiant Polisi

• Gwefan: www.openpolicyagent.org
• Trwydded: Am ddim (Apache)

Y cysyniad o OPA (Asiant Polisi Agored) yw gwahanu polisïau diogelwch ac arferion gorau diogelwch oddi wrth lwyfan amser rhedeg penodol: Docker, Kubernetes, Mesosphere, OpenShift, neu unrhyw gyfuniad ohonynt.

Er enghraifft, gallwch chi ddefnyddio OPA fel backend ar gyfer rheolwr derbyn Kubernetes, gan ddirprwyo penderfyniadau diogelwch iddo. Yn y modd hwn, bydd yr asiant OPA yn gallu gwirio, gwadu, a hyd yn oed addasu ceisiadau ar y hedfan, gan sicrhau bod y paramedrau diogelwch penodedig yn cael eu parchu. Mae'r polisïau diogelwch yn OPA wedi'u hysgrifennu yn ei DSL ei hun, Rego.

Nodyn. traws.: Fe wnaethon ni ysgrifennu mwy am OPA (a SPIFFE) yn y deunydd hwn.

Offer Dadansoddi Diogelwch Kubernetes Masnachol Cynhwysfawr

Penderfynasom greu categori ar wahân ar gyfer llwyfannau masnachol, gan eu bod yn tueddu i gwmpasu sawl maes diogelwch ar unwaith. Gellir cael syniad cyffredinol o’u galluoedd o’r tabl:

* Arbenigedd uwch a dadansoddiad post mortem wedi'i gwblhau cipio galwadau system.

Diogelwch Aqua

• Gwefan: www.aquasec.com
• Trwydded: masnachol

Mae'r offeryn masnachol hwn wedi'i gynllunio ar gyfer cynwysyddion a llwythi gwaith cwmwl. Mae'n darparu:

• Sganio delwedd wedi'i integreiddio â chofrestrfa cynhwysydd neu biblinell CI / CD;
• Diogelu amser rhedeg trwy chwilio am newidiadau mewn cynwysyddion a gweithgaredd amheus arall;
• wal dân cynhwysydd brodorol;
• Diogelwch ar gyfer di-weinydd mewn gwasanaethau cwmwl;
• Cydymffurfiaeth ac archwiliad wedi'i gyfuno â chofnodi digwyddiadau.

Nodyn. traws.: Mae'n werth nodi hefyd bod yna elfen am ddim o'r cynnyrch a elwir microsganiwr, sy'n eich galluogi i sganio delweddau cynhwysydd am wendidau. Cyflwynir cymhariaeth o'i nodweddion â fersiynau taledig yn y bwrdd hwn.

capsiwl8

• Gwefan: capsiwl8.com
• Trwydded: masnachol

Mae Capsule8 yn integreiddio i'r seilwaith trwy osod y synhwyrydd mewn clwstwr Kubernetes lleol neu gwmwl. Mae'r synhwyrydd hwn yn casglu telemetreg gwesteiwr a rhwydwaith, gan ei gydberthyn â gwahanol fathau o ymosodiadau.

Mae tîm Capsule8 wedi ymrwymo i ganfod ac atal ymosodiadau yn gynnar gan ddefnyddio ffres (0-diwrnod) gwendidau. Gall Capsule8 uwchlwytho rheolau diogelwch wedi'u diweddaru yn uniongyrchol i ganfodyddion mewn ymateb i fygythiadau sydd newydd eu darganfod a gwendidau meddalwedd.

Cavirin

• Gwefan: www.cavirin.com
• Trwydded: masnachol

Mae Cavirin yn gweithredu fel gwrthbarti cwmni i asiantaethau safonau diogelwch amrywiol. Nid yn unig y gall sganio delweddau, ond gall hefyd integreiddio i'r biblinell CI/CD, gan rwystro delweddau nad ydynt yn cydymffurfio cyn iddynt fynd i mewn i gadwrfeydd preifat.

Mae Ystafell Ddiogelwch Cavirin yn defnyddio dysgu peirianyddol i asesu cyflwr seiberddiogelwch, yn cynnig cyngor ar sut i gynyddu diogelwch a gwella cydymffurfiaeth â diogelwch.

Canolfan Reoli Diogelwch Google Cloud

• Gwefan: cloud.google.com/security-command-center
• Trwydded: masnachol

Mae Cloud Security Command Center yn helpu timau diogelwch i gasglu data, nodi bygythiadau, a'u hadfer cyn iddynt niweidio'r cwmni.

Fel y mae'r enw'n awgrymu, mae Google Cloud SCC yn banel rheoli unedig sy'n gallu integreiddio a rheoli amrywiol adroddiadau diogelwch, peiriannau olrhain asedau, a systemau diogelwch trydydd parti o un ffynhonnell ganolog.

Mae'r API rhyngweithredol a gynigir gan Google Cloud SCC yn hwyluso integreiddio digwyddiadau diogelwch sy'n dod o amrywiol ffynonellau megis Sysdig Secure (diogelwch cynhwysydd ar gyfer cymwysiadau cwmwl-frodorol) neu Falco (diogelwch amser rhedeg Ffynhonnell Agored).

Mewnwelediad Haenog (Qualys)

• Gwefan: layeredinsight.com
• Trwydded: masnachol

Mae Layered Insight (sydd bellach yn rhan o Qualys Inc) wedi'i adeiladu ar y cysyniad o "ddiogelwch wedi'i fewnosod". Ar ôl sganio'r ddelwedd wreiddiol am wendidau gan ddefnyddio dulliau dadansoddi ystadegol a pherfformio gwiriadau CVE, mae Layered Insight yn ei ddisodli â delwedd ag offer sy'n cynnwys asiant ar ffurf deuaidd.

Mae'r asiant hwn yn cynnwys profion diogelwch amser rhedeg i ddadansoddi traffig rhwydwaith cynwysyddion, llif I / O, a gweithgaredd cymhwysiad. Yn ogystal, gall gyflawni gwiriadau diogelwch ychwanegol a nodir gan y gweinyddwr seilwaith neu dimau DevOps.

NeuVector

• Gwefan: neuvector.com
• Trwydded: masnachol

Mae NeuVector yn cyflawni gwiriadau diogelwch cynhwysydd ac amddiffyniad amser rhedeg trwy ddadansoddi gweithgaredd rhwydwaith ac ymddygiad cymhwysiad, gan greu proffil diogelwch unigol ar gyfer pob cynhwysydd. Gall hefyd rwystro bygythiadau ar ei ben ei hun trwy ynysu gweithgaredd amheus trwy addasu rheolau wal dân lleol.

Mae integreiddio rhwydwaith NeuVector, a elwir yn Security Mesh, yn gallu archwilio pecynnau dwfn a hidlo haen 7 ar gyfer pob cysylltiad rhwydwaith mewn rhwyll gwasanaeth.

stackrox

• Gwefan: www.stackrox.com
• Trwydded: masnachol

Nod platfform diogelwch cynhwysydd StackRox yw cwmpasu cylch bywyd cyfan cymwysiadau Kubernetes mewn clwstwr. Fel llwyfannau masnachol eraill ar y rhestr hon, mae StackRox yn cynhyrchu proffil amser rhedeg yn seiliedig ar ymddygiad cynhwysydd a arsylwyd ac yn codi larwm yn awtomatig ar unrhyw wyriadau.

Yn ogystal, mae StackRox yn dadansoddi cyfluniadau Kubernetes gan ddefnyddio CIS Kubernetes a llyfrau rheolau eraill i werthuso cydymffurfiad cynhwysydd.

Sysdig Ddiogel

• Gwefan: sysdig.com/products/secure
• Trwydded: masnachol

Mae Sysdig Secure yn amddiffyn cymwysiadau trwy gydol cylch bywyd y cynhwysydd a Kubernetes. Ef yn sganio delweddau cynwysyddion, yn darparu amddiffyn amser rhedeg yn ôl peiriant dysgu, yn perfformio crim. arbenigedd i nodi gwendidau, blocio bygythiadau, monitorau cydymffurfio â safonau sefydledig ac yn archwilio gweithgaredd mewn microwasanaethau.

Mae Sysdig Secure yn integreiddio ag offer CI/CD fel Jenkins ac yn rheoli delweddau sy'n cael eu llwytho o gofrestrfeydd Docker, gan atal delweddau peryglus rhag ymddangos wrth gynhyrchu. Mae hefyd yn darparu diogelwch amser rhedeg cynhwysfawr, gan gynnwys:

• Proffilio amser rhedeg yn seiliedig ar ML a chanfod anghysondebau;
• polisïau amser rhedeg yn seiliedig ar ddigwyddiadau system, API archwilio K8s, prosiectau cymunedol ar y cyd (FIM - monitro cywirdeb ffeil; cryptojacking) a fframwaith MITER ATT&CK;
• ymateb a dileu digwyddiadau.

Diogelwch Cynhwysydd Daladwy

• Gwefan: www.tenable.com/products/tenable-io/container-security
• Trwydded: masnachol

Cyn dyfodiad cynwysyddion, roedd Tenable yn adnabyddus yn eang yn y diwydiant fel y cwmni a ddatblygodd Nessus, offeryn canfod bregusrwydd poblogaidd ac archwilio diogelwch.

Mae Tenable Container Security yn manteisio ar arbenigedd y cwmni mewn diogelwch cyfrifiadurol i integreiddio piblinell CI/CD â chronfeydd data bregusrwydd, pecynnau canfod malware arbenigol, a chynghorion diogelwch.

Twistlock (Rhwydweithiau Palo Alto)

• Gwefan: www.twistlock.com
• Trwydded: masnachol

Mae Twistlock yn hyrwyddo ei hun fel platfform sy'n canolbwyntio ar wasanaethau cwmwl a chynwysyddion. Mae Twistlock yn cefnogi amrywiol ddarparwyr cwmwl (AWS, Azure, GCP), cerddorion cynwysyddion (Kubernetes, Mesospehere, OpenShift, Docker), amseroedd rhedeg di-weinydd, fframweithiau rhwyll, ac offer CI / CD.

Yn ogystal â'r dulliau diogelwch gradd menter arferol fel integreiddio piblinell CI / CD neu sganio delweddau, mae Twistlock yn defnyddio dysgu peiriannau i gynhyrchu patrymau ymddygiad a rheolau rhwydwaith sy'n benodol i gynhwysydd.

Beth amser yn ôl, prynwyd Twistlock gan Palo Alto Networks, sy'n berchen ar y prosiectau Evident.io a RedLock. Nid yw'n hysbys eto sut yn union y bydd y tri llwyfan hyn yn cael eu hintegreiddio Prisma oddi wrth Palo Alto.

Helpwch i adeiladu'r catalog offer diogelwch Kubernetes gorau!

Rydym yn ymdrechu i wneud y catalog hwn mor gyflawn â phosibl, ac ar gyfer hyn mae angen eich help arnom! Cysylltwch â ni (@sysdig) os oes gennych arf cŵl mewn golwg sy'n haeddu cael ei gynnwys yn y rhestr hon, neu os byddwch yn dod o hyd i fyg/gwybodaeth hen ffasiwn.

Gallwch hefyd danysgrifio i'n cylchlythyr misol gyda newyddion am yr ecosystem cwmwl-frodorol a straeon am brosiectau diddorol o fyd diogelwch Kubernetes.

PS gan y cyfieithydd

Darllenwch hefyd ar ein blog:

• «Cyflwyniad i Bolisïau Rhwydwaith Kubernetes ar gyfer Gweithwyr Proffesiynol Diogelwch";
• «Docker a Kubernetes mewn amgylcheddau sy'n gofyn am ddiogelwch";
• «9 Arferion Gorau Diogelwch Kubernetes";
• «11 Ffordd o (Beidio) Cael Hacio yn Kubernetes";
• «Mae OPA a SPIFFE yn ddau brosiect newydd yn CNCF ar gyfer diogelwch cymwysiadau cwmwl'.

Ffynhonnell: hab.com