Hinweis.: Wenn Sie sich Fragen zur Sicherheit in einer auf Kubernetes basierenden Infrastruktur stellen, ist dieser hervorragende Überblick von Sysdig ein ausgezeichneter Ausgangspunkt für eine erste vertrautmachen mit den derzeit relevanten Lösungen. Er umfasst sowohl umfassende Systeme bekannter Marktspieler als auch wesentlich bescheidenere Tools, die bestimmte Probleme lösen. In den Kommentaren freuen wir uns wie immer auf Ihre Erfahrungen mit diesen Tools und auf Links zu anderen Projekten.

Softwareprodukte zur Sicherstellung der Sicherheit von Kubernetes… es gibt so viele, und jedes hat eigene Ziele, Anwendungsbereiche und Lizenzen.
Deshalb haben wir uns entschieden, diese Liste zu erstellen und sowohl Open-Source-Projekte als auch kommerzielle Plattformen verschiedener Anbieter aufzunehmen. Wir hoffen, dass sie Ihnen hilft, die für Sie relevantesten auszuwählen und Sie in die richtige Richtung zu lenken, je nach Ihren spezifischen Bedürfnissen zur Sicherstellung der Kubernetes-Sicherheit.
Kategorien
Um die Navigation durch die Liste zu erleichtern, sind die Tools nach grundlegenden Funktionen und Anwendungsbereichen gegliedert. Die folgenden Abschnitte sind entstanden:
- Kubernetes-Image-Scanning und statische Analyse;
- Runtime-Sicherheit;
- Netzwerksicherheit für Kubernetes;
- Verteilung von Images und Secrets-Management;
- Sicherheitsaudit für Kubernetes;
- Umfassende kommerzielle Produkte.
Lassen Sie uns zur Sache kommen:
Kubernetes-Image-Scanning
Anchore
- Website:
- Lizenz: Open Source (Apache) und kommerzielles Angebot

Das Anchore-Paket analysiert Container-Images und ermöglicht Sicherheitsüberprüfungen basierend auf benutzerdefinierten Richtlinien.
Neben dem herkömmlichen Scannen von Container-Images auf bekannte Schwachstellen aus der CVE-Datenbank führt Anchore viele zusätzliche Prüfungen im Rahmen der Scan-Politik durch: Es prüft das Dockerfile, die Leckage von Authentifizierungsdaten, verwendete Programmiersprachenpakete (npm, maven usw.), Softwarelizenzen und vieles mehr.
Clair
- Website: (jetzt unter der Obhut von Red Hat)
- Lizenz: Open Source (Apache)

Clair war eines der ersten Open-Source-Projekte zum Scannen von Images. Es ist weithin bekannt als Sicherheits-Scanner, der der Grundlage des Image-Registrys Quay dient. (ebenfalls von CoreOS — Anmerk. d. Ü.). Clair kann Informationen über CVEs aus einer Vielzahl von Quellen sammeln, einschließlich distributionsspezifischer Listen von Schwachstellen, die von den Sicherheitsteams von Debian, Red Hat oder Ubuntu geführt werden.
Im Gegensatz zu Anchore konzentriert sich Clair hauptsächlich auf die Suche nach Schwachstellen und das Abgleichen von Daten mit CVEs. Das Produkt bietet jedoch den Nutzern einige Möglichkeiten zur Funktionserweiterung durch Plug-in-Treiber.
Dagda
- Website:
- Lizenz: frei (Apache)

Dagda führt eine statische Analyse von Container-Images auf bekannte Schwachstellen, Trojaner, Viren, Malware und andere Bedrohungen durch.
Zwei bemerkenswerte Merkmale unterscheiden das Paket Dagda von anderen ähnlichen Tools:
- Es integriert sich hervorragend mit , indem es nicht nur als Tool zum Scannen von Container-Images fungiert, sondern auch als Antivirus.
- Es bietet auch Runtime-Schutz, indem es in Echtzeit Ereignisse vom Docker-Daemon erhält und sich mit Falco integriert (siehe unten) zum Sammeln von Sicherheitsereignissen während des Betriebs des Containers.
KubeXray
- Website:
- Lizenz: frei (Apache), erfordert jedoch Daten vom JFrog Xray (kommerzielles Produkt)

KubeXray "lauscht" API-Server-Ereignissen von Kubernetes und überwacht mithilfe von Metadaten von JFrog Xray, dass nur Pods gestartet werden, die den aktuellen Richtlinien entsprechen.
KubeXray führt nicht nur Audits neuer oder aktualisierter Container in Deployments durch (ähnlich dem Admission Controller in Kubernetes), sondern überprüft auch dynamisch laufende Container auf die Übereinstimmung mit neuen Sicherheitsrichtlinien und entfernt Ressourcen, die auf verwundbare Images verweisen.
Snyk
- Website:
- Lizenz: Kostenlos (Apache) und kommerzielle Versionen

Snyk ist ein außergewöhnlicher Schwachstellenscanner, da er speziell auf den Entwicklungsprozess ausgerichtet ist und als "unverzichtbare Lösung" für Entwickler beworben wird.
Snyk verbindet sich direkt mit Code-Repositories, analysiert das Projektmanifest und untersucht den importierten Code zusammen mit direkten und indirekten Abhängigkeiten. Snyk unterstützt viele gängige Programmiersprachen und kann verborgene Lizenzrisiken aufdecken.
Trivy
- Website:
- Lizenz: Kostenlos (AGPL)

Trivy – ein einfacher, aber leistungsstarker Vulnerability-Scanner für Container, der sich leicht in CI/CD-Pipelines integrieren lässt. Ein herausragendes Merkmal ist die einfache Installation und Handhabung: Die Anwendung besteht aus einer einzigen Binärdatei und erfordert keine Datenbank oder zusätzliche Bibliotheken.
Die Kehrseite der Einfachheit von Trivy ist, dass man lernen muss, wie man die Ergebnisse im JSON-Format analysiert und überträgt, damit andere Sicherheitswerkzeuge in Kubernetes sie nutzen können.
Runtime-Sicherheit in Kubernetes
Falco
- Website:
- Lizenz: Open Source (Apache)

Falco ist eine Sammlung von Werkzeugen zur Sicherstellung der Sicherheit von Cloud-Runtime-Umgebungen. Es gehört zur Familie der Projekte von .
Mit den Sysdig-Tools, die auf der Kernel-Ebene von Linux arbeiten und Systemaufrufe profilieren, ermöglicht Falco einen tiefen Einblick in das Systemverhalten. Sein Runtime-Regelmechanismus kann verdächtige Aktivitäten in Anwendungen, Containern, dem zugrunde liegenden Host und dem Kubernetes-Orchestrator erkennen.
Falco sorgt für eine vollständige Transparenz beim Runtime-Betrieb und ermöglicht die Bedrohungserkennung, indem spezielle Agenten auf den Kubernetes-Knoten platziert werden. Dadurch entfällt die Notwendigkeit, Container zu modifizieren, um Drittanbieter-Code einzufügen oder Sidecar-Container hinzuzufügen.
Sicherheitsframeworks für Linux im Runtime-Bereich

Diese für den Linux-Kernel nativen Frameworks sind keine 'Sicherheitswerkzeuge für Kubernetes' im herkömmlichen Sinne, verdienen jedoch eine Erwähnung, da sie ein wichtiger Bestandteil der Sicherheit im Runtime-Bereich sind, die in die Kubernetes Pod Security Policy (PSP) einfließt.
verbindet ein Sicherheitsprofil mit den in einem Container laufenden Prozessen und definiert die Dateisystemprivilegien, Netzwerkzugangsregeln, das Laden von Bibliotheken usw. Dies ist ein System basierend auf Mandatory Access Control (MAC). Mit anderen Worten, es verhindert die Ausführung verbotener Aktionen.
Security-Enhanced Linux () — ein Modul für erweiterte Sicherheit im Linux-Kernel, das in einigen Aspekten mit AppArmor vergleichbar ist und oft mit ihm verglichen wird. SELinux übertrifft AppArmor hinsichtlich Leistung, Flexibilität und Detailgenauigkeit der Einstellungen. Zu seinen Nachteilen gehören die lange Einarbeitungszeit und die erhöhte Komplexität.
und seccomp-bpf ermöglichen es, Systemaufrufe zu filtern und die Ausführung potenziell gefährlicher Aufrufe zu blockieren, die für das grundlegende Betriebssystem nicht erforderlich sind und für die normale Funktion der Benutzeranwendungen nicht notwendig sind. Seccomp ähnelt in einigen Punkten Falco, kennt aber keine Details zu Containern.
Sysdig Open Source
- Website:
- Lizenz: Open Source (Apache)

Sysdig ist ein umfassendes Tool zur Analyse, Diagnose und Fehlersuche von Linux-Systemen (funktioniert auch auf Windows und macOS, aber mit eingeschränkten Funktionen). Es kann verwendet werden, um detaillierte Informationen zu sammeln, Überprüfungen durchzuführen und kriminaltechnische Analysen (forensics) durchzuführen. (forensische Untersuchungen) der grundlegenden Systeme und aller Container, die darauf ausgeführt werden.
Auch Sysdig unterstützt von Anfang an ausführbare Umgebungen für Container und Kubernetes-Metadaten, indem es zusätzliche Dimensionen und Labels zu allen gesammelten Informationen über das Systemverhalten hinzufügt. Es gibt mehrere Möglichkeiten, ein Kubernetes-Cluster mit Sysdig zu analysieren: Sie können eine Erfassung zu einem bestimmten Zeitpunkt durchführen über oder ein interaktives ncurses-basiertes Interface mit dem Plugin .
Kubernetes-Netzwerksicherheit
Aporeto
- Website:
- Lizenz: kommerziell

Aporeto bietet „Sicherheit, die von Netzwerk und Infrastruktur getrennt ist“. Dies bedeutet, dass Kubernetes-Dienste nicht nur eine lokale ID (d.h. ServiceAccount in Kubernetes) erhalten, sondern auch einen universellen Identifikator/Fingerabdruck, der für eine sichere und gegenseitig überprüfbare Interaktion mit jedem anderen Dienst, z.B. im OpenShift-Cluster, verwendet werden kann.
Aporeto kann einen einzigartigen Identifikator nicht nur für Kubernetes/Container, sondern auch für Hosts, Cloud-Funktionen und Benutzer generieren. Abhängig von diesen Identifikatoren und den vom Administrator festgelegten Regeln für die Netzwerksicherheit werden Kommunikationen genehmigt oder blockiert.
Calico
- Website:
- Lizenz: Open Source (Apache)

Calico wird in der Regel während der Installation eines Container-Orchestrators bereitgestellt, um ein virtuelles Netzwerk zu schaffen, das Container verbindet. Neben dieser grundlegenden Netzwerffunktionalität arbeitet das Calico-Projekt mit den Kubernetes-Netzwerkrichtlinien und einem eigenen Satz von Netzwerkprofilen zusammen, unterstützt ACLs (Zugriffskontrolllisten) für Endpunkte und annotationsbasierte Regeln für die Netzwerksicherheit für Ingress- und Egress-Verkehr.
Cilium
- Website:
- Lizenz: Open Source (Apache)

Cilium fungiert als Firewall für Container und bietet Funktionen zur Gewährleistung der Netzwerksicherheit, die ursprünglich für Kubernetes und Mikroservice-Arbeitslasten angepasst wurden. Cilium verwendet eine neue Linux-Kernel-Technologie namens BPF (Berkeley Packet Filter) zur Filterung, Überwachung, Umleitung und Anpassung von Daten.
Cilium ist in der Lage, netzwerkzugriffsrichtlinien basierend auf Container-IDs zu implementieren, wobei es Docker- oder Kubernetes-Tags und Metadaten verwendet. Cilium versteht und filtert auch verschiedene Protokolle der Ebene 7, wie HTTP oder gRPC, wodurch es möglich wird, eine Reihe von REST-Aufrufen zu definieren, die beispielsweise zwischen zwei Kubernetes-Deployments erlaubt sind.
Istio
- Website:
- Lizenz: Open Source (Apache)

Istio ist weithin bekannt als eine Implementierung des Service-Mesh-Paradigmas, indem es eine plattformunabhängige Steuerungsebene bereitstellt und den gesamten verwalteten Dienstverkehr über dynamisch konfigurierbare Envoy-Proxys leitet. Istio nutzt diesen fortschrittlichen Ansatz aller Microservices und Container, um verschiedene Strategien für Netzwerksicherheit zu realisieren.
Die Sicherheitsfunktionen von Istio umfassen eine transparente TLS-Verschlüsselung zur automatischen Verbesserung des Kommunikationsprotokolls zwischen Microservices auf HTTPS sowie ein eigenes RBAC-System zur Identifizierung und Autorisierung, das den Datenaustausch zwischen verschiedenen Workloads im Cluster erlaubt oder verbietet.
Hinweis.: Weitere Informationen zu den sicherheitsorientierten Funktionen von Istio finden Sie in .
Tigera
- Website:
- Lizenz: kommerziell

In dieser Lösung, die als "Kubernetes-Firewall" bezeichnet wird, liegt der Fokus auf einem Zero-Trust-Ansatz für die Netzwerksicherheit.
Ähnlich wie bei anderen nativen Netzwerklösungen für Kubernetes nutzt Tigera Metadaten zur Identifizierung verschiedener Dienste und Objekte im Cluster und ermöglicht die Problemerkennung zur Laufzeit, kontinuierliche Compliance-Überwachung und Netztransparenz für multicloud- oder hybrid-monolithisch-containerisierte Infrastrukturen.
Trireme
- Website:
- Lizenz: Open Source (Apache)

Trireme-Kubernetes ist eine einfache und intuitive Implementierung der Kubernetes Network Policies-Spezifikation. Das bemerkenswerteste Merkmal ist, dass es im Gegensatz zu ähnlichen Produkten für die Netzwerksicherheit von Kubernetes keine zentrale Steuerungsebene zur Koordination des Netzes (Mesh) benötigt. Dadurch wird die Lösung trivial skalierbar. In Trireme wird dies erreicht, indem ein Agent auf jedem Knoten installiert wird, der direkt mit dem TCP/IP-Stack des Hosts verbunden ist.
Verteilung von Images und Verwaltung von Geheimnissen
Grafeas
- Website:
- Lizenz: Open Source (Apache)

Grafeas ist eine Open-Source-API für die Auditierung und Verwaltung von Software-Lieferketten. Auf der Grundebene stellt Grafeas ein Werkzeug zur Sammlung von Metadaten und Audit-Ergebnissen dar. Es kann verwendet werden, um die Einhaltung bewährter Sicherheitspraktiken innerhalb einer Organisation zu verfolgen.
Diese zentralisierte Quelle der Wahrheit hilft, Fragen wie die folgenden zu beantworten:
- Wer hat einen bestimmten Container erstellt und signiert?
- Hat er alle Sicherheits-Scanner und Überprüfungen gemäß der Sicherheitsrichtlinie bestanden? Wann? Was waren die Ergebnisse?
- Wer hat ihn in der Produktion bereitgestellt? Welche spezifischen Parameter wurden bei der Bereitstellung verwendet?
In-toto
- Website:
- Lizenz: Open Source (Apache)

In-toto ist ein Framework, das entwickelt wurde, um die Integrität, Authentizität und Auditierung der gesamten Software-Lieferkette zu gewährleisten. Bei der Bereitstellung von In-toto in der Infrastruktur wird zunächst ein Plan festgelegt, der die verschiedenen Schritte im Pipeline beschreibt (Repository, CI/CD-Tools, QA-Tools, Artefakt-Builder usw.) und die Benutzer (Verantwortlichen), die berechtigt sind, diese zu initiieren.
In-toto überwacht die Ausführung des Plans, indem es sicherstellt, dass jede Aufgabe in der Kette ordnungsgemäß nur von autorisiertem Personal ausgeführt wird und während der Verarbeitung mit dem Produkt keine unbefugten Manipulationen vorgenommen wurden.
Portieris
- Website:
- Lizenz: Open Source (Apache)

Portieris ist ein Admission Controller für Kubernetes; er wird für verpflichtende Vertrauensprüfungen von Inhalten eingesetzt. Portieris nutzt einen Server (wir haben am Ende darüber geschrieben — Anmerk. d. Ü.) als Quelle der Wahrheit zur Bestätigung vertrauenswürdiger und signierter Artefakte (d.h. zugelassene Containerbilder).
Bei der Erstellung oder Änderung einer Arbeitslast in Kubernetes lädt Portieris die Signaturinformationen und die Content-Trust-Richtlinie für die angeforderten Containerbilder herunter und nimmt bei Bedarf in Echtzeit Änderungen am JSON-API-Objekt vor, um signierte Versionen dieser Bilder zu starten.
Vault
- Website:
- Lizenz: kostenlos (MPL)

Vault — ist eine sichere Lösung zum Speichern sensibler Informationen: Passwörter, OAuth-Tokens, PKI-Zertifikate, Zugangskonten, Kubernetes-Geheimnisse usw. Vault unterstützt viele erweiterte Funktionen, wie die Anmietung von flüchtigen Sicherheitstokens oder die Organisation der Schlüsselrotation.
Mit dem Helm-Chart kann Vault als neuer Deployment in einem Kubernetes-Cluster mit Consul als Backend-Speicher bereitgestellt werden. Es unterstützt native Kubernetes-Ressourcen wie ServiceAccount-Tokens und kann sogar standardmäßig als Speicher für Kubernetes-Geheimnisse fungieren.
Hinweis.: Übrigens hat HashiCorp, das Vault entwickelt, gestern einige Verbesserungen für die Nutzung von Vault in Kubernetes angekündigt, insbesondere in Bezug auf das Helm-Chart. Details dazu finden Sie im .
Sicherheitsaudit Kubernetes
Kube-bench
- Website:
- Lizenz: Open Source (Apache)

Kube-bench ist eine Anwendung in Go, die überprüft, ob Kubernetes sicher bereitgestellt wurde, indem sie Tests aus der Liste .
Kube-bench sucht nach unsicheren Konfigurationseinstellungen in den Komponenten des Clusters (etcd, API, Controller-Manager usw.), fragwürdigen Datei Zugriffsrechten, unsicheren Konten oder offenen Ports, Ressourcenkontingenten, API-Ratenbegrenzungseinstellungen zum Schutz vor DoS-Angriffen usw.
Kube-hunter
- Website:
- Lizenz: Open Source (Apache)

Kube-hunter „jagt“ nach potenziellen Schwachstellen (wie Remote-Code-Ausführung oder Datenoffenlegung) in Kubernetes-Clustern. Kube-hunter kann als externes Scanner-Tool betrieben werden — in diesem Fall bewertet es den Cluster aus Sicht eines externen Angreifers — oder als Pod innerhalb des Clusters.
Ein herausragendes Merkmal von Kube-hunter ist der „aktive Jagd“-Modus, in dem er nicht nur Probleme meldet, sondern auch versucht, die im Zielcluster entdeckten Schwachstellen auszunutzen, die potenziell seine Funktionsweise beeinträchtigen könnten. Verwenden Sie es also mit Vorsicht!
Kubeaudit
- Website:
- Lizenz: frei (MIT)

Kubeaudit ist ein Konsolentool, das ursprünglich bei Shopify entwickelt wurde, um die Kubernetes-Konfiguration auf Sicherheitsprobleme zu überprüfen. Es hilft beispielsweise dabei, Container zu identifizieren, die ohne Einschränkungen mit Superuser-Rechten laufen, Privilegien missbrauchen oder das Standard-Servicetoken verwenden.
Kubeaudit bietet auch weitere interessante Funktionen. Zum Beispiel kann es lokale YAML-Dateien analysieren, um Konfigurationsmängel zu identifizieren, die zu Sicherheitsproblemen führen können, und diese automatisch beheben.
Kubesec
- Website:
- Lizenz: Open Source (Apache)

Kubesec ist ein ganz besonderes Werkzeug, da es YAML-Dateien mit der Beschreibung von Kubernetes-Ressourcen direkt auf schwache Parameter scannt, die die Sicherheit beeinträchtigen können.
Es kann zum Beispiel übermäßige Berechtigungen und Zugriffsrechte feststellen, die einem Pod gewährt wurden, das Ausführen eines Containers mit root-Berechtigungen als Standardbenutzer, die Verbindung zum Netzwerk-Namespace des Hosts oder gefährliche Mounts wie /proc Host oder Socket von Docker. Eine weitere interessante Funktion von Kubesec ist der online verfügbare Demodienst, in den man YAML hochladen und sofort analysieren kann.
Open Policy Agent
- Website:
- Lizenz: Open Source (Apache)

Das Konzept von OPA (Open Policy Agent) besteht darin, Sicherheitsrichtlinien und Best Practices von der jeweiligen Runtime-Plattform zu trennen: Docker, Kubernetes, Mesosphere, OpenShift oder von einer ihrer Kombinationen.
Zum Beispiel kann OPA als Backend für den Admission Controller von Kubernetes bereitgestellt werden, wobei Sicherheitsentscheidungen delegiert werden. Somit kann der OPA-Agent Anfragen in Echtzeit prüfen, ablehnen und sogar ändern, um festgelegte Sicherheitsparameter einzuhalten. Sicherheitsrichtlinien in OPA sind in seiner eigenen DSL-Sprache Rego geschrieben.
Hinweis.: Weitere Informationen zu OPA (und SPIFFE) haben wir in .
Umfassende kommerzielle Sicherheitsanalysetools für Kubernetes
Wir haben beschlossen, eine separate Kategorie für kommerzielle Plattformen zu erstellen, da diese in der Regel mehrere Sicherheitsbereiche abdecken. Einen allgemeinen Überblick über ihre Möglichkeiten gibt die Tabelle:

* Fortschrittliche Expertise und Post-Mortem-Analyse mit vollständiger .
Aqua Security
- Website:
- Lizenz: kommerziell

Dieses kommerzielle Werkzeug ist für Container und Cloud-Arbeitslasten konzipiert. Es bietet:
- Bildscanning, das in Container-Registry oder CI/CD-Workflow integriert ist;
- Laufzeitschutz mit der Überwachung von Änderungen in Containern und anderer verdächtiger Aktivität;
- Container-native Firewall;
- Sicherheit für serverless in Cloud-Diensten;
- Compliance-Prüfung und Audits kombiniert mit Ereignisprotokollierung.
Hinweis.: Es ist auch erwähnenswert, dass es eine kostenfreie Komponente des Produkts namens , die das Scannen von Container-Images auf Schwachstellen ermöglicht. Ein Vergleich ihrer Funktionen mit den kostenpflichtigen Versionen ist in .
Capsule8
- Website:
- Lizenz: kommerziell

Capsule8 integriert sich in die Infrastruktur, indem es einen Detektor in ein lokales oder Cloud-Kubernetes-Cluster installiert. Dieser Detektor sammelt Telemetriedaten von Hosts und Netzwerken und vergleicht sie mit verschiedenen Arten von Angriffen.
Das Team von Capsule8 sieht seine Aufgabe im frühzeitigen Erkennen und Verhindern von Angriffen, die frische (0-day) nutzen. Schwachstellen. Capsule8 kann Sicherheitsrichtlinien direkt auf die Detektoren laden, als Reaktion auf neu entdeckte Bedrohungen und Software-Schwachstellen.
Cavirin
- Website:
- Lizenz: kommerziell

Cavirin fungiert als Partner für verschiedene Behörden, die sich mit Sicherheitsstandards befassen. Es kann nicht nur Images scannen, sondern auch in CI/CD-Pipelines integriert werden, um nicht konformen Images den Zugang zu geschützten Repositories zu verwehren.
Das Sicherheitsangebot von Cavirin nutzt maschinelles Lernen zur Bewertung des Cyber-Sicherheitsstatus, bietet Empfehlungen zur Verbesserung der Sicherheit und zur Einhaltung von Sicherheitsstandards.
Google Cloud Security Command Center
- Website:
- Lizenz: kommerziell

Das Cloud Security Command Center unterstützt Sicherheitsteams dabei, Daten zu sammeln, Bedrohungen zu erkennen und diese zu beheben, bevor sie dem Unternehmen schaden.
Wie der Name schon sagt, ist Google Cloud SCC ein einheitliches Dashboard, in das verschiedene Sicherheitsberichte, Asset-Management-Mechanismen und externe Sicherheitssysteme integriert werden können, um sie aus einer einzigen, zentralisierten Quelle zu verwalten.
Die interoperable API, die von Google Cloud SCC angeboten wird, erleichtert die Integration von Sicherheitsereignissen aus verschiedenen Quellen wie Sysdig Secure (Container-Sicherheit für cloud-native Anwendungen) oder Falco (Open Source-Runtime-Sicherheitssystem).
Layered Insight (Qualys)
- Website:
- Lizenz: kommerziell

Layered Insight (jetzt Teil von Qualys Inc) basiert auf dem Konzept der "eingebetteten Sicherheit". Nach dem Scannen des Original-Images auf Schwachstellen mithilfe statistischer Analysemethoden und der Durchführung von CVE-Checks ersetzt Layered Insight es durch ein instrumentiertes Image, das einen Agenten in Form eines Binärprogramms enthält.
Dieser Agent enthält Sicherheitstests in Echtzeit zur Analyse des Netzwerkverkehrs von Containern, I/O-Streams und der Aktivitäten von Anwendungen. Darüber hinaus kann er zusätzliche Sicherheitstests durchführen, die von Infrastrukturadministratoren oder DevOps-Teams festgelegt werden.
NeuVector
- Website:
- Lizenz: kommerziell

NeuVector führt eine Sicherheitsüberprüfung des Containers durch und bietet einen Schutz im Runtime-Betrieb, indem es die Netzwerkaktivität und das Verhalten der Anwendung analysiert, und erstellt ein individuelles Sicherheitsprofil für jeden Container. Zudem kann es Bedrohungen autonom blockieren, indem es verdächtige Aktivitäten isoliert und die Regeln der lokalen Firewall ändert.
Die Netzwerkintegration von NeuVector, bekannt als Security Mesh, ist in der Lage, eine tiefgreifende Paketinspektion und Filterung auf Ebene 7 für alle Netzwerkverbindungen im Service Mesh durchzuführen.
StackRox
- Website:
- Lizenz: kommerziell

Die StackRox-Plattform zur Sicherung von Containern strebt an, den gesamten Lebenszyklus von Kubernetes-Anwendungen im Cluster abzudecken. Wie die anderen kommerziellen Plattformen in dieser Liste, generiert StackRox ein Runtime-Profil basierend auf dem beobachteten Verhalten des Containers und schlägt automatisch Alarm bei Abweichungen.
Darüber hinaus analysiert StackRox die Kubernetes-Konfigurationen, indem es CIS Kubernetes und andere Regelwerke verwendet, um die Konformität der Container zu bewerten.
Sysdig Secure
- Website:
- Lizenz: kommerziell

Sysdig Secure schützt Anwendungen während des gesamten Lebenszyklus von Containern und Kubernetes. Es Container, bietet auf Basis von maschinellem Lernen führt es forensische Analysen durch, um Schwachstellen zu identifizieren, blockiert Bedrohungen und überwacht und führt Audits der Aktivitäten in Microservices durch.
Sysdig Secure integriert sich mit CI/CD-Tools wie Jenkins und überwacht die Images, die aus Docker-Registrierungen hochgeladen werden, um das Auftreten gefährlicher Images in der Produktion zu vermeiden. Es bietet auch umfassende Laufzeitsicherheit, einschließlich:
- Laufzeit-Profiling basierend auf ML und Anomalieerkennung;
- Laufzeit-Richtlinien, die auf Systemereignissen, K8s-Audit-APIs, gemeinschaftlichen Projekten (FIM – Datei-Integritätsüberwachung; Cryptojacking) und einem Framework basieren ;
- Reaktion und Behebung von Vorfällen.
Tenable Container Security
- Website:
- Lizenz: kommerziell

Vor der Einführung von Containern war Tenable in der Branche weithin als das Unternehmen bekannt, das Nessus entwickelt hat – ein beliebtes Werkzeug zur Schwachstellensuche und Sicherheitsüberprüfung.
Tenable Container Security nutzt die Expertise des Unternehmens im Bereich der IT-Sicherheit, um die CI/CD-Pipeline mit Schwachstellen-Datenbanken, speziellen Malware-Scanning-Paketen und Empfehlungen zur Behebung von Sicherheitsbedrohungen zu integrieren.
Twistlock (Palo Alto Networks)
- Website:
- Lizenz: kommerziell

Twistlock präsentiert sich als Plattform, die sich auf Cloud-Services und Container konzentriert. Twistlock unterstützt verschiedene Cloud-Anbieter (AWS, Azure, GCP), Container-Orchestratoren (Kubernetes, Mesosphere, OpenShift, Docker), serverlose Ausführungsumgebungen, Mesh-Frameworks und CI/CD-Tools.
Neben herkömmlichen Sicherheitsansätzen auf Unternehmensebene, wie der Integration in die CI/CD-Pipeline oder dem Scannen von Images, nutzt Twistlock maschinelles Lernen zur Generierung von Verhaltensmustern und Netzwerkrichtlinien, die die Eigenschaften von Containern berücksichtigen.
Vor einiger Zeit wurde Twistlock von Palo Alto Networks übernommen, die auch Projekte wie Evident.io und RedLock betreiben. Wie genau diese drei Plattformen in von Palo Alto integriert werden, ist bislang unklar.
Helfen Sie mit, das beste Verzeichnis für Kubernetes-Sicherheitswerkzeuge zu erstellen!
Wir streben danach, dieses Verzeichnis so vollständig wie möglich zu gestalten, und dafür benötigen wir Ihre Hilfe! Kontaktieren Sie uns (), wenn Ihnen ein großartiges Werkzeug einfällt, das es wert ist, in diese Liste aufgenommen zu werden, oder wenn Sie einen Fehler / veraltete Informationen entdeckt haben.
Sie können sich auch für unseren mit Neuigkeiten aus dem Cloud-Native-Ökosystem und Geschichten über interessante Projekte aus der Welt der Kubernetes-Sicherheit anmelden.
P.S. vom Übersetzer
Lesen Sie auch in unserem Blog:
- «»;
- «»;
- «»;
- «»;
- «».
Quelle: habr.com
