33+ Kubernetes sikkerhedsværktøjer

Bemærk. overs.: Hvis du undrer dig over sikkerhed i Kubernetes-baseret infrastruktur, er denne fremragende oversigt fra Sysdig et godt udgangspunkt for et hurtigt kig på de aktuelle løsninger. Det omfatter både komplekse systemer fra kendte markedsaktører og meget mere beskedne hjælpeprogrammer, der løser et bestemt problem. Og i kommentarerne vil vi som altid være glade for at høre om din erfaring med at bruge disse værktøjer og se links til andre projekter.

Kubernetes sikkerhedssoftwareprodukter... der er så mange af dem, hver med deres egne mål, omfang og licenser.

Det er derfor, vi besluttede at oprette denne liste og inkludere både open source-projekter og kommercielle platforme fra forskellige leverandører. Vi håber, det vil hjælpe dig med at identificere dem, der er af størst interesse, og pege dig i den rigtige retning baseret på dine specifikke Kubernetes-sikkerhedsbehov.

kategori

For at gøre listen nemmere at navigere i, er værktøjerne organiseret efter hovedfunktion og applikation. De resulterende sektioner var:

• Kubernetes billedscanning og statisk analyse;
• Runtime sikkerhed;
• Kubernetes netværkssikkerhed;
• Billeddistribution og hemmelighedshåndtering;
• Kubernetes sikkerhedsrevision;
• Omfattende kommercielle produkter.

Lad os komme i gang:

Scanner Kubernetes-billeder

Anker

• Hjemmeside: anchore.com
• Licens: gratis (Apache) og kommercielt tilbud

Anchore analyserer containerbilleder og tillader sikkerhedstjek baseret på brugerdefinerede politikker.

Ud over den sædvanlige scanning af containerbilleder for kendte sårbarheder fra CVE-databasen, udfører Anchore mange yderligere kontroller som en del af sin scanningspolitik: kontrollerer Dockerfilen, legitimationslækager, pakker med de anvendte programmeringssprog (npm, maven osv. .), softwarelicenser og meget mere .

Ryd

• Hjemmeside: coreos.com/clair (nu under vejledning af Red Hat)
• Licens: gratis (Apache)

Clair var et af de første Open Source-projekter til billedscanning. Det er almindeligt kendt som sikkerhedsscanneren bag Quay-billedregistret (også fra CoreOS - ca. oversættelse). Clair kan indsamle CVE-oplysninger fra en lang række kilder, herunder lister over Linux-distributionsspecifikke sårbarheder, der vedligeholdes af Debian-, Red Hat- eller Ubuntu-sikkerhedsteamene.

I modsætning til Anchore fokuserer Clair primært på at finde sårbarheder og matche data til CVE'er. Produktet giver dog brugerne nogle muligheder for at udvide funktioner ved hjælp af plug-in-drivere.

Dagda

• Hjemmeside: github.com/eliasgranderubio/dagda
• Licens: gratis (Apache)

Dagda udfører statisk analyse af containerbilleder for kendte sårbarheder, trojanske heste, vira, malware og andre trusler.

To bemærkelsesværdige funktioner adskiller Dagda fra andre lignende værktøjer:

• Den integrerer perfekt med ClamAV, fungerer ikke kun som et værktøj til at scanne containerbilleder, men også som et antivirus.
• Giver også runtime-beskyttelse ved at modtage hændelser i realtid fra Docker-dæmonen og integrere med Falco (se nedenunder) for at indsamle sikkerhedshændelser, mens containeren kører.

KubeXray

• Hjemmeside: github.com/jfrog/kubexray
• Licens: Gratis (Apache), men kræver data fra JFrog Xray (kommercielt produkt)

KubeXray lytter til hændelser fra Kubernetes API-serveren og bruger metadata fra JFrog Xray for at sikre, at kun pods, der matcher den aktuelle politik, lanceres.

KubeXray reviderer ikke kun nye eller opdaterede containere i implementeringer (svarende til adgangscontrolleren i Kubernetes), men kontrollerer også dynamisk kørende containere for overholdelse af nye sikkerhedspolitikker og fjerner ressourcer, der refererer til sårbare billeder.

SNYK

• Hjemmeside: snyk.io
• Licens: gratis (Apache) og kommercielle versioner

Snyk er en usædvanlig sårbarhedsscanner, idet den specifikt retter sig mod udviklingsprocessen og promoveres som en "essentiel løsning" for udviklere.

Snyk forbinder direkte til kodelagre, analyserer projektmanifestet og analyserer den importerede kode sammen med direkte og indirekte afhængigheder. Snyk understøtter mange populære programmeringssprog og kan identificere skjulte licensrisici.

Trivy

• Hjemmeside: github.com/knqyf263/trivy
• Licens: gratis (AGPL)

Trivy er en enkel, men kraftfuld sårbarhedsscanner til containere, der nemt integreres i en CI/CD-pipeline. Dens bemærkelsesværdige egenskab er dens lette installation og betjening: applikationen består af en enkelt binær og kræver ikke installation af en database eller yderligere biblioteker.

Ulempen ved Trivys enkelhed er, at du skal finde ud af, hvordan du parser og videresender resultaterne i JSON-format, så andre Kubernetes sikkerhedsværktøjer kan bruge dem.

Kørselssikkerhed i Kubernetes

Falco

• Hjemmeside: falco.org
• Licens: gratis (Apache)

Falco er et sæt værktøjer til sikring af cloud runtime-miljøer. En del af projektfamilien CNCF.

Ved at bruge Sysdigs Linux-værktøjer på kerneniveau og systemopkaldsprofilering giver Falco dig mulighed for at dykke dybt ned i systemets adfærd. Dens runtime-regelmotor er i stand til at detektere mistænkelig aktivitet i applikationer, containere, den underliggende vært og Kubernetes-orkestratoren.

Falco giver fuldstændig gennemsigtighed i runtime og trusselsdetektion ved at implementere specielle agenter på Kubernetes noder til disse formål. Som følge heraf er det ikke nødvendigt at ændre containere ved at indføre tredjepartskode i dem eller tilføje sidevognscontainere.

Linux-sikkerhedsrammer til runtime

Disse indbyggede rammer for Linux-kernen er ikke "Kubernetes-sikkerhedsværktøjer" i traditionel forstand, men de er værd at nævne, fordi de er et vigtigt element i forbindelse med runtime-sikkerhed, som er inkluderet i Kubernetes Pod Security Policy (PSP).

AppArmor knytter en sikkerhedsprofil til processer, der kører i containeren, definerer filsystemprivilegier, netværksadgangsregler, forbinder biblioteker osv. Dette er et system baseret på Mandatory Access Control (MAC). Med andre ord forhindrer det forbudte handlinger i at blive udført.

Sikkerhedsforbedret Linux (SELinux) er et avanceret sikkerhedsmodul i Linux-kernen, der i nogle aspekter ligner AppArmor og ofte sammenlignes med det. SELinux er AppArmor overlegen i kraft, fleksibilitet og tilpasning. Dens ulemper er lang indlæringskurve og øget kompleksitet.

Secomp og seccomp-bpf giver dig mulighed for at filtrere systemkald, blokere udførelsen af ​​dem, der er potentielt farlige for basisoperativsystemet og ikke er nødvendige for normal drift af brugerapplikationer. Secomp ligner Falco på nogle måder, selv om det ikke kender detaljerne for containere.

Sysdig open source

• Hjemmeside: www.sysdig.com/opensource
• Licens: gratis (Apache)

Sysdig er et komplet værktøj til at analysere, diagnosticere og fejlfinde Linux-systemer (virker også på Windows og macOS, men med begrænsede funktioner). Det kan bruges til detaljeret informationsindsamling, verifikation og retsmedicinske analyser. (retsmedicin) basissystemet og eventuelle beholdere, der kører på det.

Sysdig understøtter også indbygget container-runtime og Kubernetes-metadata, og tilføjer yderligere dimensioner og etiketter til alle systemadfærdsoplysninger, det indsamler. Der er flere måder at analysere en Kubernetes-klynge ved hjælp af Sysdig: du kan udføre punkt-i-tids-fangst via kubectl-optagelse eller start en ncurses-baseret interaktiv grænseflade ved hjælp af et plugin kubectl grave.

Kubernetes netværkssikkerhed

Aporeto

• Hjemmeside: www.aporeto.com
• Licens: kommerciel

Aporeto tilbyder "sikkerhed adskilt fra netværket og infrastrukturen." Det betyder, at Kubernetes-tjenester ikke kun modtager et lokalt ID (dvs. ServiceAccount i Kubernetes), men også et universelt ID/fingeraftryk, der kan bruges til at kommunikere sikkert og gensidigt med enhver anden tjeneste, for eksempel i en OpenShift-klynge.

Aporeto er i stand til at generere et unikt ID ikke kun for Kubernetes/containere, men også for værter, cloud-funktioner og brugere. Afhængigt af disse identifikatorer og det sæt af netværkssikkerhedsregler, der er fastsat af administratoren, vil kommunikation være tilladt eller blokeret.

Calico

• Hjemmeside: www.projectcalico.org
• Licens: gratis (Apache)

Calico er typisk implementeret under en container orkestrator installation, så du kan oprette et virtuelt netværk, der forbinder containere. Ud over denne grundlæggende netværksfunktionalitet arbejder Calico-projektet med Kubernetes Network Policies og dets eget sæt af netværkssikkerhedsprofiler, understøtter slutpunkts ACL'er (adgangskontrollister) og annotationsbaserede netværkssikkerhedsregler for Ingress- og Egress-trafik.

cilium

• Hjemmeside: www.cilium.io
• Licens: gratis (Apache)

Cilium fungerer som en firewall for containere og leverer netværkssikkerhedsfunktioner, der er skræddersyet til Kubernetes og mikrotjenesters arbejdsbelastninger. Cilium bruger en ny Linux-kerneteknologi kaldet BPF (Berkeley Packet Filter) til at filtrere, overvåge, omdirigere og rette data.

Cilium er i stand til at implementere netværksadgangspolitikker baseret på container-id'er ved hjælp af Docker- eller Kubernetes-etiketter og metadata. Cilium forstår og filtrerer også forskellige Layer 7-protokoller, såsom HTTP eller gRPC, hvilket giver dig mulighed for at definere et sæt REST-kald, som for eksempel vil være tilladt mellem to Kubernetes-implementeringer.

Samme

• Hjemmeside: istio.io
• Licens: gratis (Apache)

Istio er kendt for at implementere servicemesh-paradigmet ved at implementere et platformsuafhængigt kontrolplan og dirigere al administreret servicetrafik gennem dynamisk konfigurerbare Envoy-proxyer. Istio udnytter denne avancerede visning af alle mikrotjenester og containere til at implementere forskellige netværkssikkerhedsstrategier.

Istios netværkssikkerhedsfunktioner inkluderer gennemsigtig TLS-kryptering til automatisk at opgradere kommunikation mellem mikrotjenester til HTTPS og et proprietært RBAC-identifikations- og autorisationssystem til at tillade/afvise kommunikation mellem forskellige arbejdsbelastninger i klyngen.

Bemærk. overs.: For at lære mere om Istios sikkerhedsfokuserede funktioner, læs denne artikel.

Tigera

• Hjemmeside: www.tigera.io
• Licens: kommerciel

Kaldet "Kubernetes Firewall", denne løsning understreger en nul-tillid tilgang til netværkssikkerhed.

I lighed med andre native Kubernetes-netværksløsninger er Tigera afhængig af metadata til at identificere de forskellige tjenester og objekter i klyngen og giver registrering af runtime-problemer, kontinuerlig compliance-kontrol og netværkssynlighed for multi-cloud eller hybrid monolitisk-containeriserede infrastrukturer.

Trirem

• Hjemmeside: www.aporeto.com/opensource
• Licens: gratis (Apache)

Trireme-Kubernetes er en enkel og ligetil implementering af Kubernetes Network Policies specifikation. Den mest bemærkelsesværdige funktion er, at det - i modsætning til lignende Kubernetes netværkssikkerhedsprodukter - ikke kræver et centralt kontrolplan for at koordinere nettet. Dette gør løsningen trivielt skalerbar. I Trireme opnås dette ved at installere en agent på hver node, der forbinder direkte til værtens TCP/IP-stak.

Billedformidling og hemmelighedshåndtering

Grafeas

• Hjemmeside: grafeas.io
• Licens: gratis (Apache)

Grafeas er en open source API til revision og administration af softwareforsyningskæder. På et grundlæggende niveau er Grafeas et værktøj til at indsamle metadata og revisionsresultater. Det kan bruges til at spore overholdelse af bedste sikkerhedspraksis i en organisation.

Denne centraliserede kilde til sandhed hjælper med at besvare spørgsmål som:

• Hvem indsamlede og signerede for en bestemt container?
• Har den bestået alle sikkerhedsscanninger og kontroller, der kræves af sikkerhedspolitikken? Hvornår? Hvad var resultaterne?
• Hvem satte den i produktion? Hvilke specifikke parametre blev brugt under implementeringen?

In-toto

• Hjemmeside: in-toto.github.io
• Licens: gratis (Apache)

In-toto er en ramme designet til at give integritet, autentificering og revision af hele softwareforsyningskæden. Ved implementering af In-toto i en infrastruktur defineres der først en plan, der beskriver de forskellige trin i pipelinen (depot, CI/CD-værktøjer, QA-værktøjer, artefaktsamlere osv.) og de brugere (ansvarlige personer), der må igangsætte dem.

In-toto overvåger udførelsen af ​​planen og verificerer, at hver opgave i kæden kun udføres korrekt af autoriseret personale, og at der ikke er blevet udført uautoriserede manipulationer med produktet under bevægelse.

Portieris

• Hjemmeside: github.com/IBM/portieris
• Licens: gratis (Apache)

Portieris er adgangscontroller for Kubernetes; bruges til at håndhæve kontrol af indholdstillid. Portieris bruger en server Notar (vi skrev om ham til sidst denne artikel — ca. oversættelse) som en kilde til sandhed til at validere pålidelige og signerede artefakter (dvs. godkendte containerbilleder).

Når en arbejdsbelastning er oprettet eller ændret i Kubernetes, downloader Portieris signeringsoplysningerne og indholdstillidspolitikken for de anmodede containerbilleder og foretager om nødvendigt øjeblikkelige ændringer af JSON API-objektet for at køre signerede versioner af disse billeder.

Vault

• Hjemmeside: www.vaultproject.io
• Licens: gratis (MPL)

Vault er en sikker løsning til lagring af private oplysninger: adgangskoder, OAuth-tokens, PKI-certifikater, adgangskonti, Kubernetes-hemmeligheder osv. Vault understøtter mange avancerede funktioner, såsom leasing af flygtige sikkerhedstokens eller organisering af nøglerotation.

Ved hjælp af Helm-diagrammet kan Vault implementeres som en ny implementering i en Kubernetes-klynge med Consul som backend-lager. Det understøtter native Kubernetes-ressourcer som ServiceAccount-tokens og kan endda fungere som standardlageret for Kubernetes-hemmeligheder.

Bemærk. overs.: Forresten, netop i går annoncerede virksomheden HashiCorp, som udvikler Vault, nogle forbedringer til brug af Vault i Kubernetes, og de relaterer især til Helm-diagrammet. Læs mere i udvikler blog.

Kubernetes sikkerhedsrevision

Kube-bænk

• Hjemmeside: github.com/aquasecurity/kube-bench
• Licens: gratis (Apache)

Kube-bench er en Go-applikation, der kontrollerer, om Kubernetes er installeret sikkert ved at køre test fra en liste CIS Kubernetes Benchmark.

Kube-bench leder efter usikre konfigurationsindstillinger blandt klyngekomponenter (osv., API, controllermanager osv.), tvivlsomme filadgangsrettigheder, ubeskyttede konti eller åbne porte, ressourcekvoter, indstillinger til begrænsning af antallet af API-kald for at beskytte mod DoS-angreb , etc.

Kube-jæger

• Hjemmeside: github.com/aquasecurity/kube-hunter
• Licens: gratis (Apache)

Kube-hunter jager potentielle sårbarheder (såsom fjernudførelse af kode eller offentliggørelse af data) i Kubernetes-klynger. Kube-hunter kan køres som en fjernscanner - i hvilket tilfælde den vil evaluere klyngen fra en tredjepartsangribers synspunkt - eller som en pod inde i klyngen.

Et karakteristisk træk ved Kube-hunter er dens "aktive jagt"-tilstand, hvor den ikke kun rapporterer problemer, men også forsøger at drage fordel af sårbarheder opdaget i målklyngen, som potentielt kan skade dens drift. Så brug med forsigtighed!

Kubeaudit

• Hjemmeside: github.com/Shopify/kubeaudit
• Licens: gratis (MIT)

Kubeaudit er et konsolværktøj, der oprindeligt blev udviklet hos Shopify til at revidere Kubernetes-konfigurationen for forskellige sikkerhedsproblemer. For eksempel hjælper det med at identificere containere, der kører ubegrænset, kører som root, misbruger privilegier eller bruger standardservicekontoen.

Kubeaudit har andre interessante funktioner. For eksempel kan den analysere lokale YAML-filer, identificere konfigurationsfejl, der kan føre til sikkerhedsproblemer, og automatisk rette dem.

Kubesec

• Hjemmeside: kubesec.io
• Licens: gratis (Apache)

Kubesec er et specielt værktøj, idet det direkte scanner YAML-filer, der beskriver Kubernetes-ressourcer, og leder efter svage parametre, der kan påvirke sikkerheden.

For eksempel kan den registrere overdrevne privilegier og tilladelser givet til en pod, køre en container med root som standardbruger, oprette forbindelse til værtens netværksnavneområde eller farlige mounts som f.eks. /proc vært eller docker-stik. En anden interessant funktion ved Kubesec er demotjenesten, der er tilgængelig online, hvor du kan uploade YAML og straks analysere den.

Åbn Politikagent

• Hjemmeside: www.openpolicyagent.org
• Licens: gratis (Apache)

Konceptet med OPA (Open Policy Agent) er at afkoble sikkerhedspolitikker og bedste sikkerhedspraksis fra en specifik runtime-platform: Docker, Kubernetes, Mesosphere, OpenShift eller enhver kombination heraf.

For eksempel kan du implementere OPA som en backend for Kubernetes adgangscontrolleren og uddelegere sikkerhedsbeslutninger til den. På denne måde kan OPA-agenten validere, afvise og endda ændre anmodninger på farten, hvilket sikrer, at de angivne sikkerhedsparametre overholdes. OPAs sikkerhedspolitikker er skrevet på dets proprietære DSL-sprog, Rego.

Bemærk. overs.: Vi skrev mere om OPA (og SPIFFE) i det her.

Omfattende kommercielle værktøjer til Kubernetes sikkerhedsanalyse

Vi besluttede at oprette en separat kategori for kommercielle platforme, fordi de typisk dækker flere sikkerhedsområder. En generel idé om deres evner kan fås fra tabellen:

* Avanceret undersøgelse og post mortem analyse med komplet kapring af systemopkald.

Aqua Sikkerhed

• Hjemmeside: www.aquasec.com
• Licens: kommerciel

Dette kommercielle værktøj er designet til containere og cloud-arbejdsbelastninger. Det giver:

• Billedscanning integreret med et containerregister eller CI/CD-pipeline;
• Kørselsbeskyttelse med søgning efter ændringer i containere og anden mistænkelig aktivitet;
• Container-native firewall;
• Sikkerhed til serverløse i skytjenester;
• Overholdelsestest og audit kombineret med hændelseslogning.

Bemærk. overs.: Det er også værd at bemærke, at der er gratis komponent af produktet kaldet MicroScanner, som giver dig mulighed for at scanne containerbilleder for sårbarheder. En sammenligning af dens muligheder med betalte versioner er præsenteret i denne tabel.

Kapsel 8

• Hjemmeside: capsule8.com
• Licens: kommerciel

Capsule8 integreres i infrastrukturen ved at installere detektoren på en lokal eller cloud Kubernetes-klynge. Denne detektor indsamler værts- og netværkstelemetri og korrelerer den med forskellige typer angreb.

Capsule8-teamet ser sin opgave som tidlig opdagelse og forebyggelse af angreb ved hjælp af nye (0 dage) sårbarheder. Capsule8 kan downloade opdaterede sikkerhedsregler direkte til detektorer som reaktion på nyopdagede trusler og softwaresårbarheder.

Cavirin

• Hjemmeside: www.cavirin.com
• Licens: kommerciel

Cavirin fungerer som entreprenør på firmasiden for forskellige agenturer, der er involveret i sikkerhedsstandarder. Det kan ikke kun scanne billeder, men det kan også integreres i CI/CD-pipelinen og blokerer ikke-standardbilleder, før de kommer ind i lukkede lagre.

Cavirins sikkerhedspakke bruger maskinlæring til at vurdere din cybersikkerhedsposition og giver tips til at forbedre sikkerheden og forbedre overholdelse af sikkerhedsstandarder.

Google Cloud Security Command Center

• Hjemmeside: cloud.google.com/security-command-center
• Licens: kommerciel

Cloud Security Command Center hjælper sikkerhedsteams med at indsamle data, identificere trusler og eliminere dem, før de skader virksomheden.

Som navnet antyder, er Google Cloud SCC et samlet kontrolpanel, der kan integrere og administrere en række sikkerhedsrapporter, aktivregnskabsmotorer og tredjepartssikkerhedssystemer fra en enkelt centraliseret kilde.

Den interoperable API, der tilbydes af Google Cloud SCC, gør det nemt at integrere sikkerhedshændelser, der kommer fra forskellige kilder, såsom Sysdig Secure (containersikkerhed til cloud-native applikationer) eller Falco (Open Source runtime security).

Layered Insight (Qualys)

• Hjemmeside: layeredinsight.com
• Licens: kommerciel

Layered Insight (nu en del af Qualys Inc) er bygget på konceptet "indlejret sikkerhed." Efter at have scannet det originale billede for sårbarheder ved hjælp af statistisk analyse og CVE-tjek, erstatter Layered Insight det med et instrumenteret billede, der inkluderer agenten som en binær.

Denne agent indeholder runtime-sikkerhedstest til at analysere containernetværkstrafik, I/O-flows og applikationsaktivitet. Derudover kan den udføre yderligere sikkerhedstjek specificeret af infrastrukturadministratoren eller DevOps-teams.

NeuVector

• Hjemmeside: neuvector.com
• Licens: kommerciel

NeuVector kontrollerer containersikkerhed og giver runtime-beskyttelse ved at analysere netværksaktivitet og applikationsadfærd og skabe en individuel sikkerhedsprofil for hver container. Det kan også blokere trusler på egen hånd og isolere mistænkelig aktivitet ved at ændre lokale firewallregler.

NeuVectors netværksintegration, kendt som Security Mesh, er i stand til dyb pakkeanalyse og lag 7-filtrering for alle netværksforbindelser i servicemasken.

StackRox

• Hjemmeside: www.stackrox.com
• Licens: kommerciel

StackRox containersikkerhedsplatformen stræber efter at dække hele livscyklussen af ​​Kubernetes-applikationer i en klynge. Ligesom andre kommercielle platforme på denne liste genererer StackRox en runtime-profil baseret på observeret containeradfærd og udløser automatisk en alarm for eventuelle afvigelser.

Derudover analyserer StackRox Kubernetes-konfigurationer ved hjælp af Kubernetes CIS og andre regelbøger for at evaluere containerkompatibilitet.

Sysdig Secure

• Hjemmeside: sysdig.com/products/secure
• Licens: kommerciel

Sysdig Secure beskytter applikationer gennem hele containerens og Kubernetes livscyklus. Han scanner billeder containere, giver runtime beskyttelse ifølge maskinlæringsdata, udfører creme. ekspertise til at identificere sårbarheder, blokere trusler, overvåge overholdelse af etablerede standarder og auditerer aktivitet i mikrotjenester.

Sysdig Secure integreres med CI/CD-værktøjer såsom Jenkins og styrer billeder indlæst fra Docker-registre, hvilket forhindrer farlige billeder i at blive vist i produktionen. Det giver også omfattende runtime-sikkerhed, herunder:

• ML-baseret runtime profilering og anomali detektion;
• Runtime-politikker baseret på systemhændelser, K8s-audit API, fælles fællesskabsprojekter (FIM - overvågning af filintegritet; cryptojacking) og rammer GERING ATT&CK;
• reaktion og løsning af hændelser.

Holdbar containersikkerhed

• Hjemmeside: www.tenable.com/products/tenable-io/container-security
• Licens: kommerciel

Før fremkomsten af ​​containere var Tenable kendt i branchen som virksomheden bag Nessus, et populært sårbarhedsjagt- og sikkerhedsrevisionsværktøj.

Tenable Container Security udnytter virksomhedens computersikkerhedsekspertise til at integrere en CI/CD-pipeline med sårbarhedsdatabaser, specialiserede malwaredetektionspakker og anbefalinger til løsning af sikkerhedstrusler.

Twistlock (Palo Alto Networks)

• Hjemmeside: www.twistlock.com
• Licens: kommerciel

Twistlock promoverer sig selv som en platform med fokus på cloud-tjenester og containere. Twistlock understøtter forskellige cloud-udbydere (AWS, Azure, GCP), container-orkestratorer (Kubernetes, Mesospehere, OpenShift, Docker), serverløse runtimes, mesh-frameworks og CI/CD-værktøjer.

Ud over konventionelle sikkerhedsteknikker i virksomhedskvalitet, såsom CI/CD-pipeline-integration eller billedscanning, bruger Twistlock maskinlæring til at generere containerspecifikke adfærdsmønstre og netværksregler.

For noget tid siden blev Twistlock købt af Palo Alto Networks, som ejer projekterne Evident.io og RedLock. Det vides endnu ikke, hvordan disse tre platforme præcist vil blive integreret i PRISMA fra Palo Alto.

Hjælp med at bygge det bedste katalog over Kubernetes sikkerhedsværktøjer!

Vi bestræber os på at gøre dette katalog så komplet som muligt, og til dette har vi brug for din hjælp! Kontakt os (@sysdig), hvis du har et sejt værktøj i tankerne, der er værdigt at medtage på denne liste, eller du finder en fejl/forældet information.

Du kan også abonnere på vores månedligt nyhedsbrev med nyheder fra det cloud-native økosystem og historier om interessante projekter fra Kubernetes-sikkerhedsverdenen.

PS fra oversætteren

Læs også på vores blog:

• «En introduktion til Kubernetes netværkspolitikker for sikkerhedsprofessionelle";
• «Docker og Kubernetes i sikkerhedskrævende miljøer";
• «9 Kubernetes sikkerhed bedste praksis";
• «11 måder at (ikke) blive hacket i Kubernetes";
• «OPA og SPIFFE er to nye projekter hos CNCF til cloud-applikationssikkerhed'.

Kilde: www.habr.com