Über 33 Kubernetes-Sicherheitstools

Notiz. übersetzen: Wenn Sie sich Fragen zur Sicherheit in Kubernetes-basierten Infrastrukturen stellen, ist dieser hervorragende Überblick von Sysdig ein guter Ausgangspunkt für einen kurzen Blick auf die aktuellen Lösungen. Es umfasst sowohl komplexe Systeme namhafter Marktteilnehmer als auch viel bescheidenere Versorgungsunternehmen, die ein bestimmtes Problem lösen. Und in den Kommentaren freuen wir uns wie immer über Ihre Erfahrungen mit diesen Tools und Links zu anderen Projekten.

Kubernetes-Sicherheitssoftwareprodukte … es gibt so viele davon, jedes mit seinen eigenen Zielen, seinem eigenen Umfang und seinen eigenen Lizenzen.

Aus diesem Grund haben wir uns entschieden, diese Liste zu erstellen und sowohl Open-Source-Projekte als auch kommerzielle Plattformen verschiedener Anbieter einzubeziehen. Wir hoffen, dass es Ihnen hilft, diejenigen zu identifizieren, die am interessantesten sind, und Ihnen basierend auf Ihren spezifischen Kubernetes-Sicherheitsanforderungen die richtige Richtung weist.

Kategorie

Um die Navigation in der Liste zu erleichtern, sind die Tools nach Hauptfunktion und Anwendung geordnet. Folgende Abschnitte wurden erhalten:

• Kubernetes-Bildscan und statische Analyse;
• Laufzeitsicherheit;
• Kubernetes-Netzwerksicherheit;
• Bildverbreitung und Geheimnisverwaltung;
• Kubernetes-Sicherheitsaudit;
• Umfassende kommerzielle Produkte.

Kommen wir zur Sache:

Kubernetes-Bilder scannen

Anker

• Website: Anchore.com
• Lizenz: kostenlos (Apache) und kommerzielles Angebot

Anchore analysiert Container-Images und ermöglicht Sicherheitsprüfungen basierend auf benutzerdefinierten Richtlinien.

Zusätzlich zum üblichen Scannen von Container-Images auf bekannte Schwachstellen aus der CVE-Datenbank führt Anchore im Rahmen seiner Scan-Richtlinie viele zusätzliche Prüfungen durch: prüft die Docker-Datei, Anmeldeinformationslecks, Pakete der verwendeten Programmiersprachen (npm, maven usw.). .), Softwarelizenzen und vieles mehr.

Clair

• Website: coreos.com/clair (jetzt unter der Leitung von Red Hat)
• Lizenz: kostenlos (Apache)

Clair war eines der ersten Open-Source-Projekte zum Bildscannen. Es ist allgemein als Sicherheitsscanner hinter der Quay-Image-Registrierung bekannt (auch von CoreOS - ca. Übersetzung). Clair kann CVE-Informationen aus einer Vielzahl von Quellen sammeln, einschließlich Listen mit Linux-Distributions-spezifischen Schwachstellen, die von den Sicherheitsteams von Debian, Red Hat oder Ubuntu verwaltet werden.

Im Gegensatz zu Anchore konzentriert sich Clair hauptsächlich auf die Suche nach Schwachstellen und den Abgleich von Daten mit CVEs. Allerdings bietet das Produkt den Nutzern einige Möglichkeiten zur Funktionserweiterung mittels Plug-In-Treibern.

Dagda

• Website: github.com/eliasgranderubio/dagda
• Lizenz: kostenlos (Apache)

Dagda führt eine statische Analyse von Container-Images auf bekannte Schwachstellen, Trojaner, Viren, Malware und andere Bedrohungen durch.

Zwei bemerkenswerte Merkmale unterscheiden Dagda von anderen ähnlichen Tools:

• Es lässt sich perfekt integrieren ClamAV, das nicht nur als Tool zum Scannen von Container-Images fungiert, sondern auch als Antivirenprogramm.
• Bietet außerdem Laufzeitschutz durch den Empfang von Echtzeitereignissen vom Docker-Daemon und die Integration mit Falco (siehe unten) um Sicherheitsereignisse zu sammeln, während der Container ausgeführt wird.

KubeXray

• Website: github.com/jfrog/kubexray
• Lizenz: Kostenlos (Apache), erfordert jedoch Daten von JFrog Xray (kommerzielles Produkt)

KubeXray lauscht auf Ereignisse vom Kubernetes-API-Server und verwendet Metadaten von JFrog Xray, um sicherzustellen, dass nur Pods gestartet werden, die der aktuellen Richtlinie entsprechen.

KubeXray prüft nicht nur neue oder aktualisierte Container in Bereitstellungen (ähnlich dem Zulassungscontroller in Kubernetes), sondern überprüft auch laufende Container dynamisch auf Einhaltung neuer Sicherheitsrichtlinien und entfernt Ressourcen, die auf anfällige Images verweisen.

Snyk

• Website: snyk.io
• Lizenz: kostenlose (Apache) und kommerzielle Versionen

Snyk ist ein ungewöhnlicher Schwachstellenscanner, da er speziell auf den Entwicklungsprozess abzielt und als „wesentliche Lösung“ für Entwickler beworben wird.

Snyk stellt eine direkte Verbindung zu Code-Repositorys her, analysiert das Projektmanifest und analysiert den importierten Code sowie direkte und indirekte Abhängigkeiten. Snyk unterstützt viele gängige Programmiersprachen und kann versteckte Lizenzrisiken erkennen.

Wissenswertes

• Website: github.com/knqyf263/trivy
• Lizenz: kostenlos (AGPL)

Trivy ist ein einfacher, aber leistungsstarker Schwachstellenscanner für Container, der sich problemlos in eine CI/CD-Pipeline integrieren lässt. Sein bemerkenswertes Merkmal ist die einfache Installation und Bedienung: Die Anwendung besteht aus einer einzigen Binärdatei und erfordert keine Installation einer Datenbank oder zusätzlicher Bibliotheken.

Der Nachteil der Einfachheit von Trivy besteht darin, dass Sie herausfinden müssen, wie Sie die Ergebnisse im JSON-Format analysieren und weiterleiten, damit andere Kubernetes-Sicherheitstools sie verwenden können.

Laufzeitsicherheit in Kubernetes

Falco

• Website: falco.org
• Lizenz: kostenlos (Apache)

Falco ist eine Reihe von Tools zur Sicherung von Cloud-Laufzeitumgebungen. Teil der Projektfamilie CNCF.

Mithilfe der Linux-Kernel-Level-Tools und Systemaufrufprofilierung von Sysdig ermöglicht Ihnen Falco, tief in das Systemverhalten einzutauchen. Seine Laufzeitregel-Engine ist in der Lage, verdächtige Aktivitäten in Anwendungen, Containern, dem zugrunde liegenden Host und dem Kubernetes-Orchestrator zu erkennen.

Falco sorgt für vollständige Transparenz in der Laufzeit und Bedrohungserkennung, indem es für diese Zwecke spezielle Agenten auf Kubernetes-Knoten bereitstellt. Daher besteht keine Notwendigkeit, Container zu ändern, indem man Code von Drittanbietern in sie einfügt oder Sidecar-Container hinzufügt.

Linux-Sicherheitsframeworks für die Laufzeit

Bei diesen nativen Frameworks für den Linux-Kernel handelt es sich nicht um „Kubernetes-Sicherheitstools“ im herkömmlichen Sinne, sie sind jedoch erwähnenswert, da sie ein wichtiges Element im Kontext der Laufzeitsicherheit darstellen, die in der Kubernetes Pod Security Policy (PSP) enthalten ist.

AppArmor Fügt den im Container ausgeführten Prozessen ein Sicherheitsprofil hinzu, definiert Dateisystemprivilegien, Netzwerkzugriffsregeln, verbindet Bibliotheken usw. Dabei handelt es sich um ein System, das auf der Mandatory Access Control (MAC) basiert. Mit anderen Worten: Es verhindert, dass verbotene Aktionen ausgeführt werden.

Linux mit verbesserter Sicherheit (SELinux) ist ein erweitertes Sicherheitsmodul im Linux-Kernel, das in einigen Aspekten AppArmor ähnelt und oft mit diesem verglichen wird. SELinux ist AppArmor in Bezug auf Leistung, Flexibilität und Anpassungsfähigkeit überlegen. Die Nachteile sind eine lange Lernkurve und eine erhöhte Komplexität.

Sekundenkomp und seccomp-bpf ermöglichen es Ihnen, Systemaufrufe zu filtern und die Ausführung derjenigen zu blockieren, die potenziell gefährlich für das Basisbetriebssystem sind und für den normalen Betrieb von Benutzeranwendungen nicht benötigt werden. Seccomp ähnelt Falco in mancher Hinsicht, kennt jedoch die Besonderheiten von Containern nicht.

Sysdig Open Source

• Website: www.sysdig.com/opensource
• Lizenz: kostenlos (Apache)

Sysdig ist ein komplettes Tool zum Analysieren, Diagnostizieren und Debuggen von Linux-Systemen (funktioniert auch unter Windows und macOS, allerdings mit eingeschränkten Funktionen). Es kann zur detaillierten Informationsbeschaffung, Verifizierung und forensischen Analyse verwendet werden. (Forensik) das Basissystem und alle darauf laufenden Container.

Sysdig unterstützt außerdem nativ Containerlaufzeiten und Kubernetes-Metadaten und fügt allen erfassten Systemverhaltensinformationen zusätzliche Dimensionen und Beschriftungen hinzu. Es gibt mehrere Möglichkeiten, einen Kubernetes-Cluster mit Sysdig zu analysieren: Sie können eine Point-in-Time-Erfassung über durchführen Kubectl-Erfassung oder starten Sie eine ncurses-basierte interaktive Schnittstelle mithilfe eines Plugins tratdig.

Kubernetes-Netzwerksicherheit

Aporeto

• Website: www.aporeto.com
• Lizenz: kommerziell

Aporeto bietet „vom Netzwerk und der Infrastruktur getrennte Sicherheit“. Das bedeutet, dass Kubernetes-Dienste nicht nur eine lokale ID (also ServiceAccount in Kubernetes) erhalten, sondern auch eine universelle ID/einen universellen Fingerabdruck, über den mit jedem anderen Dienst, beispielsweise in einem OpenShift-Cluster, sicher und gegenseitig kommuniziert werden kann.

Aporeto ist in der Lage, nicht nur für Kubernetes/Container, sondern auch für Hosts, Cloud-Funktionen und Benutzer eine eindeutige ID zu generieren. Abhängig von diesen Kennungen und den vom Administrator festgelegten Netzwerksicherheitsregeln wird die Kommunikation zugelassen oder blockiert.

Kattun

• Website: unterstützt
• Lizenz: kostenlos (Apache)

Calico wird normalerweise während einer Container Orchestrator-Installation bereitgestellt und ermöglicht Ihnen die Erstellung eines virtuellen Netzwerks, das Container miteinander verbindet. Zusätzlich zu dieser grundlegenden Netzwerkfunktionalität arbeitet das Calico-Projekt mit Kubernetes-Netzwerkrichtlinien und einem eigenen Satz von Netzwerksicherheitsprofilen, unterstützt Endpunkt-ACLs (Zugriffskontrolllisten) und annotationsbasierte Netzwerksicherheitsregeln für ein- und ausgehenden Datenverkehr.

Wimper

• Website: www.cilium.io
• Lizenz: kostenlos (Apache)

Cilium fungiert als Firewall für Container und bietet Netzwerksicherheitsfunktionen, die nativ auf Kubernetes- und Microservices-Workloads zugeschnitten sind. Cilium verwendet eine neue Linux-Kernel-Technologie namens BPF (Berkeley Packet Filter), um Daten zu filtern, zu überwachen, umzuleiten und zu korrigieren.

Cilium ist in der Lage, Netzwerkzugriffsrichtlinien basierend auf Container-IDs mithilfe von Docker- oder Kubernetes-Labels und -Metadaten bereitzustellen. Cilium versteht und filtert auch verschiedene Layer-7-Protokolle wie HTTP oder gRPC, sodass Sie eine Reihe von REST-Aufrufen definieren können, die beispielsweise zwischen zwei Kubernetes-Bereitstellungen zulässig sind.

Istio

• Website: istio.io
• Lizenz: kostenlos (Apache)

Istio ist weithin bekannt für die Implementierung des Service-Mesh-Paradigmas durch die Bereitstellung einer plattformunabhängigen Steuerungsebene und die Weiterleitung des gesamten verwalteten Service-Verkehrs über dynamisch konfigurierbare Envoy-Proxys. Istio nutzt diese erweiterte Sicht auf alle Microservices und Container, um verschiedene Netzwerksicherheitsstrategien umzusetzen.

Zu den Netzwerksicherheitsfunktionen von Istio gehören eine transparente TLS-Verschlüsselung, um die Kommunikation zwischen Mikrodiensten automatisch auf HTTPS zu aktualisieren, und ein proprietäres RBAC-Identifikations- und Autorisierungssystem, um die Kommunikation zwischen verschiedenen Workloads im Cluster zuzulassen/zu verweigern.

Notiz. übersetzen: Um mehr über die sicherheitsorientierten Funktionen von Istio zu erfahren, lesen Sie Dieser Artikel.

unterstützt

• Website: www.tigera.io
• Lizenz: kommerziell

Diese als „Kubernetes Firewall“ bezeichnete Lösung legt den Schwerpunkt auf einen Zero-Trust-Ansatz für die Netzwerksicherheit.

Ähnlich wie andere native Kubernetes-Netzwerklösungen stützt sich Tigera auf Metadaten, um die verschiedenen Dienste und Objekte im Cluster zu identifizieren, und bietet Laufzeitproblemerkennung, kontinuierliche Compliance-Prüfung und Netzwerktransparenz für Multi-Cloud- oder hybride monolithisch-containerisierte Infrastrukturen.

Trireme

• Website: www.aporeto.com/opensource
• Lizenz: kostenlos (Apache)

Trireme-Kubernetes ist eine einfache und unkomplizierte Implementierung der Kubernetes Network Policies-Spezifikation. Das bemerkenswerteste Merkmal ist, dass es – im Gegensatz zu ähnlichen Netzwerksicherheitsprodukten von Kubernetes – keine zentrale Steuerungsebene zur Koordinierung des Meshes erfordert. Dadurch ist die Lösung problemlos skalierbar. In Trireme wird dies durch die Installation eines Agenten auf jedem Knoten erreicht, der eine direkte Verbindung zum TCP/IP-Stack des Hosts herstellt.

Bildverbreitung und Geheimnisverwaltung

unterstützt

• Website: grafeas.io
• Lizenz: kostenlos (Apache)

Grafeas ist eine Open-Source-API für die Prüfung und Verwaltung der Software-Lieferkette. Grundsätzlich ist Grafeas ein Tool zum Sammeln von Metadaten und Prüfergebnissen. Es kann verwendet werden, um die Einhaltung bewährter Sicherheitspraktiken innerhalb einer Organisation zu verfolgen.

Diese zentralisierte Quelle der Wahrheit hilft bei der Beantwortung von Fragen wie:

• Wer hat einen bestimmten Container abgeholt und unterschrieben?
• Hat es alle von der Sicherheitsrichtlinie geforderten Sicherheitsscans und -prüfungen bestanden? Wann? Was waren die Ergebnisse?
• Wer hat es in der Produktion bereitgestellt? Welche spezifischen Parameter wurden während der Bereitstellung verwendet?

Im Ganzen

• Website: in-toto.github.io
• Lizenz: kostenlos (Apache)

In-toto ist ein Framework, das für Integrität, Authentifizierung und Prüfung der gesamten Software-Lieferkette entwickelt wurde. Beim Einsatz von In-toto in einer Infrastruktur wird zunächst ein Plan definiert, der die verschiedenen Schritte in der Pipeline (Repository, CI/CD-Tools, QA-Tools, Artefaktsammler usw.) und die dazu berechtigten Benutzer (verantwortliche Personen) beschreibt initiiere sie.

In-toto überwacht die Ausführung des Plans und stellt sicher, dass jede Aufgabe in der Kette nur von autorisiertem Personal ordnungsgemäß ausgeführt wird und dass während der Bewegung keine unbefugten Manipulationen am Produkt vorgenommen wurden.

Portieris

• Website: github.com/IBM/portieris
• Lizenz: kostenlos (Apache)

Portieris ist ein Zugangscontroller für Kubernetes; Wird zur Durchsetzung von Inhaltsvertrauensprüfungen verwendet. Portieris nutzt einen Server Notar (Wir haben am Ende über ihn geschrieben dieser Artikel - ca. Übersetzung) als Quelle der Wahrheit zur Validierung vertrauenswürdiger und signierter Artefakte (d. h. genehmigter Container-Images).

Wenn eine Arbeitslast in Kubernetes erstellt oder geändert wird, lädt Portieris die Signaturinformationen und die Content-Trust-Richtlinie für die angeforderten Container-Images herunter und nimmt bei Bedarf spontane Änderungen am JSON-API-Objekt vor, um signierte Versionen dieser Images auszuführen.

Gewölbe

• Website: www.vaultproject.io
• Lizenz: kostenlos (MPL)

Vault ist eine sichere Lösung zum Speichern privater Informationen: Passwörter, OAuth-Tokens, PKI-Zertifikate, Zugriffskonten, Kubernetes-Geheimnisse usw. Vault unterstützt viele erweiterte Funktionen, wie z. B. das Leasing kurzlebiger Sicherheitstokens oder die Organisation der Schlüsselrotation.

Mithilfe des Helm-Charts kann Vault als neue Bereitstellung in einem Kubernetes-Cluster mit Consul als Backend-Speicher bereitgestellt werden. Es unterstützt native Kubernetes-Ressourcen wie ServiceAccount-Tokens und kann sogar als Standardspeicher für Kubernetes-Geheimnisse fungieren.

Notiz. übersetzen: Übrigens hat das Unternehmen HashiCorp, das Vault entwickelt, erst gestern einige Verbesserungen für die Verwendung von Vault in Kubernetes angekündigt, und zwar insbesondere im Zusammenhang mit dem Helm-Chart. Lesen Sie mehr in Blog-Analyse.

Kubernetes-Sicherheitsaudit

Kube-Bank

• Website: github.com/aquasecurity/kube-bench
• Lizenz: kostenlos (Apache)

Kube-bench ist eine Go-Anwendung, die prüft, ob Kubernetes sicher bereitgestellt wird, indem sie Tests anhand einer Liste ausführt widersprochen.

Kube-Bench sucht nach unsicheren Konfigurationseinstellungen zwischen Cluster-Komponenten (etcd, API, Controller-Manager usw.), fragwürdigen Dateizugriffsrechten, ungeschützten Konten oder offenen Ports, Ressourcenkontingenten und Einstellungen zur Begrenzung der Anzahl von API-Aufrufen zum Schutz vor DoS-Angriffen , usw.

Kube-Jäger

• Website: github.com/aquasecurity/kube-hunter
• Lizenz: kostenlos (Apache)

Kube-Hunter sucht nach potenziellen Schwachstellen (z. B. Remote-Codeausführung oder Datenoffenlegung) in Kubernetes-Clustern. Kube-Hunter kann als Remote-Scanner ausgeführt werden – in diesem Fall bewertet er den Cluster aus der Sicht eines Drittangreifers – oder als Pod innerhalb des Clusters.

Eine Besonderheit von Kube-Hunter ist sein „Active Hunting“-Modus, in dem er nicht nur Probleme meldet, sondern auch versucht, im Zielcluster entdeckte Schwachstellen auszunutzen, die seinen Betrieb möglicherweise beeinträchtigen könnten. Also mit Vorsicht verwenden!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Lizenz: kostenlos (MIT)

Kubeaudit ist ein Konsolentool, das ursprünglich bei Shopify entwickelt wurde, um die Kubernetes-Konfiguration auf verschiedene Sicherheitsprobleme zu prüfen. Es hilft beispielsweise dabei, Container zu identifizieren, die uneingeschränkt ausgeführt werden, als Root ausgeführt werden, Berechtigungen missbrauchen oder das Standard-ServiceAccount verwenden.

Kubeaudit bietet weitere interessante Funktionen. Es kann beispielsweise lokale YAML-Dateien analysieren, Konfigurationsfehler identifizieren, die zu Sicherheitsproblemen führen könnten, und diese automatisch beheben.

Kubesec

• Website: kubesec.io
• Lizenz: kostenlos (Apache)

Kubesec ist insofern ein besonderes Tool, als es YAML-Dateien, die Kubernetes-Ressourcen beschreiben, direkt scannt und nach schwachen Parametern sucht, die die Sicherheit beeinträchtigen könnten.

Es kann beispielsweise übermäßige Privilegien und Berechtigungen erkennen, die einem Pod gewährt wurden, einen Container mit Root als Standardbenutzer ausführen, eine Verbindung zum Netzwerk-Namespace des Hosts herstellen oder gefährliche Mounts wie z /proc Host- oder Docker-Socket. Ein weiteres interessantes Feature von Kubesec ist der online verfügbare Demo-Service, in den Sie YAML hochladen und sofort analysieren können.

Richtlinien-Agent öffnen

• Website: www.openpolicyagent.org
• Lizenz: kostenlos (Apache)

Das Konzept von OPA (Open Policy Agent) besteht darin, Sicherheitsrichtlinien und bewährte Sicherheitspraktiken von einer bestimmten Laufzeitplattform zu entkoppeln: Docker, Kubernetes, Mesosphere, OpenShift oder eine beliebige Kombination davon.

Beispielsweise können Sie OPA als Backend für den Kubernetes-Zulassungscontroller bereitstellen und Sicherheitsentscheidungen an ihn delegieren. Auf diese Weise kann der OPA-Agent Anfragen im Handumdrehen validieren, ablehnen und sogar ändern und so sicherstellen, dass die angegebenen Sicherheitsparameter eingehalten werden. Die Sicherheitsrichtlinien von OPA sind in der proprietären DSL-Sprache Rego geschrieben.

Notiz. übersetzen: Wir haben mehr über OPA (und SPIFFE) geschrieben in dieses Zeug.

Umfassende kommerzielle Tools für die Kubernetes-Sicherheitsanalyse

Wir haben uns entschieden, eine eigene Kategorie für kommerzielle Plattformen zu erstellen, da diese typischerweise mehrere Sicherheitsbereiche abdecken. Eine allgemeine Vorstellung von ihren Fähigkeiten kann der Tabelle entnommen werden:

* Erweiterte Untersuchung und Post-Mortem-Analyse mit vollständiger Systemaufruf-Hijacking.

Aqua Sicherheit

• Website: www.aquasec.com
• Lizenz: kommerziell

Dieses kommerzielle Tool ist für Container und Cloud-Workloads konzipiert. Es bietet:

• Bildscan integriert in eine Container-Registrierung oder CI/CD-Pipeline;
• Laufzeitschutz mit Suche nach Änderungen in Containern und anderen verdächtigen Aktivitäten;
• Containernative Firewall;
• Sicherheit für serverlose Cloud-Dienste;
• Compliance-Tests und Audits kombiniert mit Ereignisprotokollierung.

Notiz. übersetzen: Es ist auch erwähnenswert, dass es welche gibt kostenloser Bestandteil des genannten Produkts Mikroscanner, mit dem Sie Container-Images auf Schwachstellen scannen können. Ein Vergleich seiner Fähigkeiten mit kostenpflichtigen Versionen wird in dargestellt dieser Tisch.

Kapsel8

• Website: Capsule8.com
• Lizenz: kommerziell

Capsule8 lässt sich in die Infrastruktur integrieren, indem der Detektor auf einem lokalen oder Cloud-Kubernetes-Cluster installiert wird. Dieser Detektor sammelt Host- und Netzwerktelemetriedaten und korreliert diese mit verschiedenen Angriffsarten.

Das Capsule8-Team sieht seine Aufgabe in der Früherkennung und Abwehr von Angriffen mithilfe neuer Technologien (0 Tage) Schwachstellen. Capsule8 kann als Reaktion auf neu entdeckte Bedrohungen und Software-Schwachstellen aktualisierte Sicherheitsregeln direkt auf Detektoren herunterladen.

Cavirin

• Website: www.cavirin.com
• Lizenz: kommerziell

Cavirin fungiert als unternehmensseitiger Auftragnehmer für verschiedene Behörden, die sich mit Sicherheitsstandards befassen. Es kann nicht nur Bilder scannen, sondern auch in die CI/CD-Pipeline integriert werden und nicht standardmäßige Bilder blockieren, bevor sie in geschlossene Repositorys gelangen.

Die Sicherheitssuite von Cavirin nutzt maschinelles Lernen, um Ihre Cybersicherheitslage zu bewerten und bietet Tipps zur Verbesserung der Sicherheit und zur Verbesserung der Einhaltung von Sicherheitsstandards.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• Lizenz: kommerziell

Cloud Security Command Center hilft Sicherheitsteams dabei, Daten zu sammeln, Bedrohungen zu erkennen und diese zu beseitigen, bevor sie dem Unternehmen schaden.

Wie der Name schon sagt, handelt es sich bei Google Cloud SCC um ein einheitliches Kontrollpanel, das eine Vielzahl von Sicherheitsberichten, Anlagenbuchhaltungs-Engines und Sicherheitssystemen von Drittanbietern aus einer einzigen, zentralen Quelle integrieren und verwalten kann.

Die von Google Cloud SCC angebotene interoperable API erleichtert die Integration von Sicherheitsereignissen aus verschiedenen Quellen, beispielsweise Sysdig Secure (Containersicherheit für Cloud-native Anwendungen) oder Falco (Open Source-Laufzeitsicherheit).

Mehrschichtiger Einblick (Qualys)

• Website: Layeredinsight.com
• Lizenz: kommerziell

Layered Insight (jetzt Teil von Qualys Inc) basiert auf dem Konzept der „eingebetteten Sicherheit“. Nachdem das Originalbild mithilfe statistischer Analysen und CVE-Prüfungen auf Schwachstellen gescannt wurde, ersetzt Layered Insight es durch ein instrumentiertes Bild, das den Agenten als Binärdatei enthält.

Dieser Agent enthält Laufzeitsicherheitstests zur Analyse des Container-Netzwerkverkehrs, der E/A-Flüsse und der Anwendungsaktivität. Darüber hinaus können zusätzliche Sicherheitsprüfungen durchgeführt werden, die vom Infrastrukturadministrator oder DevOps-Teams festgelegt werden.

NeuVector

• Website: neuvector.com
• Lizenz: kommerziell

NeuVector überprüft die Containersicherheit und bietet Laufzeitschutz durch die Analyse der Netzwerkaktivität und des Anwendungsverhaltens und erstellt ein individuelles Sicherheitsprofil für jeden Container. Es kann Bedrohungen auch selbst blockieren und verdächtige Aktivitäten isolieren, indem es lokale Firewall-Regeln ändert.

Die Netzwerkintegration von NeuVector, bekannt als Security Mesh, ist in der Lage, eine umfassende Paketanalyse und Layer-7-Filterung für alle Netzwerkverbindungen im Service Mesh durchzuführen.

StapelRox

• Website: www.stackrox.com
• Lizenz: kommerziell

Die Container-Sicherheitsplattform StackRox ist bestrebt, den gesamten Lebenszyklus von Kubernetes-Anwendungen in einem Cluster abzudecken. Wie andere kommerzielle Plattformen auf dieser Liste generiert StackRox ein Laufzeitprofil basierend auf dem beobachteten Containerverhalten und löst bei Abweichungen automatisch einen Alarm aus.

Darüber hinaus analysiert StackRox Kubernetes-Konfigurationen mithilfe des Kubernetes CIS und anderer Regelwerke, um die Container-Compliance zu bewerten.

Sysdig Secure

• Website: sysdig.com/products/secure
• Lizenz: kommerziell

Sysdig Secure schützt Anwendungen während des gesamten Container- und Kubernetes-Lebenszyklus. Er scannt Bilder Behälter, bietet Laufzeitschutz führt laut maschinellen Lerndaten Sahne aus. Fachwissen zur Identifizierung von Schwachstellen, Blockierung von Bedrohungen, Überwachung Einhaltung etablierter Standards und prüft Aktivitäten in Microservices.

Sysdig Secure lässt sich in CI/CD-Tools wie Jenkins integrieren und kontrolliert Bilder, die aus Docker-Registern geladen werden, und verhindert so, dass gefährliche Bilder in der Produktion auftauchen. Es bietet außerdem umfassende Laufzeitsicherheit, einschließlich:

• ML-basierte Laufzeitprofilierung und Anomalieerkennung;
• Laufzeitrichtlinien basierend auf Systemereignissen, K8s-Audit-API, gemeinsame Community-Projekte (FIM – File Integrity Monitoring; Cryptojacking) und Framework MITRE ATT & CK;
• Reaktion und Lösung von Vorfällen.

Tenable Container-Sicherheit

• Website: www.tenable.com/products/tenable-io/container-security
• Lizenz: kommerziell

Vor dem Aufkommen von Containern war Tenable in der Branche weithin bekannt als das Unternehmen hinter Nessus, einem beliebten Tool zur Schwachstellensuche und Sicherheitsüberprüfung.

Tenable Container Security nutzt die Computersicherheitsexpertise des Unternehmens, um eine CI/CD-Pipeline mit Schwachstellendatenbanken, speziellen Malware-Erkennungspaketen und Empfehlungen zur Behebung von Sicherheitsbedrohungen zu integrieren.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Lizenz: kommerziell

Twistlock bewirbt sich als Plattform, die sich auf Cloud-Dienste und Container konzentriert. Twistlock unterstützt verschiedene Cloud-Anbieter (AWS, Azure, GCP), Container-Orchestratoren (Kubernetes, Mesospehere, OpenShift, Docker), serverlose Laufzeiten, Mesh-Frameworks und CI/CD-Tools.

Zusätzlich zu herkömmlichen Sicherheitstechniken der Enterprise-Klasse wie CI/CD-Pipeline-Integration oder Image-Scanning nutzt Twistlock maschinelles Lernen, um containerspezifische Verhaltensmuster und Netzwerkregeln zu generieren.

Vor einiger Zeit wurde Twistlock von Palo Alto Networks gekauft, dem die Projekte Evident.io und RedLock gehören. Wie genau diese drei Plattformen integriert werden, ist noch nicht bekannt PRISMA aus Palo Alto.

Helfen Sie mit, den besten Katalog an Kubernetes-Sicherheitstools zu erstellen!

Wir sind bestrebt, diesen Katalog so vollständig wie möglich zu gestalten, und dafür brauchen wir Ihre Hilfe! Kontaktiere uns (@sysdig), wenn Sie ein cooles Tool im Sinn haben, das es wert ist, in diese Liste aufgenommen zu werden, oder wenn Sie einen Fehler/veraltete Informationen finden.

Sie können auch unsere abonnieren monatlicher Newsletter mit Neuigkeiten aus dem Cloud-Native-Ökosystem und Geschichten über interessante Projekte aus der Welt der Kubernetes-Sicherheit.

PS vom Übersetzer

Lesen Sie auch auf unserem Blog:

• «Eine Einführung in Kubernetes-Netzwerkrichtlinien für Sicherheitsexperten";
• «Docker und Kubernetes in sicherheitssensiblen Umgebungen";
• «9 Best Practices für die Kubernetes-Sicherheit";
• «11 Möglichkeiten, in Kubernetes (nicht) gehackt zu werden";
• «OPA und SPIFFE sind zwei neue Projekte bei CNCF für Cloud-Anwendungssicherheit".

Source: habr.com