33+ Werkzeuge zur Sicherheit von Kubernetes

Hinweis.: Wenn Sie sich Fragen zur Sicherheit in einer auf Kubernetes basierenden Infrastruktur stellen, ist dieser hervorragende Überblick von Sysdig ein ausgezeichneter Ausgangspunkt für eine erste vertrautmachen mit den derzeit relevanten Lösungen. Er umfasst sowohl umfassende Systeme bekannter Marktspieler als auch wesentlich bescheidenere Tools, die bestimmte Probleme lösen. In den Kommentaren freuen wir uns wie immer auf Ihre Erfahrungen mit diesen Tools und auf Links zu anderen Projekten.

33+ Werkzeuge zur Sicherheit von Kubernetes
Softwareprodukte zur Sicherstellung der Sicherheit von Kubernetes… es gibt so viele, und jedes hat eigene Ziele, Anwendungsbereiche und Lizenzen.

Deshalb haben wir uns entschieden, diese Liste zu erstellen und sowohl Open-Source-Projekte als auch kommerzielle Plattformen verschiedener Anbieter aufzunehmen. Wir hoffen, dass sie Ihnen hilft, die für Sie relevantesten auszuwählen und Sie in die richtige Richtung zu lenken, je nach Ihren spezifischen Bedürfnissen zur Sicherstellung der Kubernetes-Sicherheit.

Kategorien

Um die Navigation durch die Liste zu erleichtern, sind die Tools nach grundlegenden Funktionen und Anwendungsbereichen gegliedert. Die folgenden Abschnitte sind entstanden:

  • Kubernetes-Image-Scanning und statische Analyse;
  • Runtime-Sicherheit;
  • Netzwerksicherheit für Kubernetes;
  • Verteilung von Images und Secrets-Management;
  • Sicherheitsaudit für Kubernetes;
  • Umfassende kommerzielle Produkte.

Lassen Sie uns zur Sache kommen:

Kubernetes-Image-Scanning

Anchore

  • Website: anchore.com
  • Lizenz: Open Source (Apache) und kommerzielles Angebot

33+ Werkzeuge zur Sicherheit von Kubernetes

Das Anchore-Paket analysiert Container-Images und ermöglicht Sicherheitsüberprüfungen basierend auf benutzerdefinierten Richtlinien.

Neben dem herkömmlichen Scannen von Container-Images auf bekannte Schwachstellen aus der CVE-Datenbank führt Anchore viele zusätzliche Prüfungen im Rahmen der Scan-Politik durch: Es prüft das Dockerfile, die Leckage von Authentifizierungsdaten, verwendete Programmiersprachenpakete (npm, maven usw.), Softwarelizenzen und vieles mehr.

Clair

  • Website: coreos.com/clair (jetzt unter der Obhut von Red Hat)
  • Lizenz: Open Source (Apache)

33+ Werkzeuge zur Sicherheit von Kubernetes

Clair war eines der ersten Open-Source-Projekte zum Scannen von Images. Es ist weithin bekannt als Sicherheits-Scanner, der der Grundlage des Image-Registrys Quay dient. (ebenfalls von CoreOS — Anmerk. d. Ü.). Clair kann Informationen über CVEs aus einer Vielzahl von Quellen sammeln, einschließlich distributionsspezifischer Listen von Schwachstellen, die von den Sicherheitsteams von Debian, Red Hat oder Ubuntu geführt werden.

Im Gegensatz zu Anchore konzentriert sich Clair hauptsächlich auf die Suche nach Schwachstellen und das Abgleichen von Daten mit CVEs. Das Produkt bietet jedoch den Nutzern einige Möglichkeiten zur Funktionserweiterung durch Plug-in-Treiber.

Dagda

33+ Werkzeuge zur Sicherheit von Kubernetes

Dagda führt eine statische Analyse von Container-Images auf bekannte Schwachstellen, Trojaner, Viren, Malware und andere Bedrohungen durch.

Zwei bemerkenswerte Merkmale unterscheiden das Paket Dagda von anderen ähnlichen Tools:

  • Es integriert sich hervorragend mit ClamAV, indem es nicht nur als Tool zum Scannen von Container-Images fungiert, sondern auch als Antivirus.
  • Es bietet auch Runtime-Schutz, indem es in Echtzeit Ereignisse vom Docker-Daemon erhält und sich mit Falco integriert (siehe unten) zum Sammeln von Sicherheitsereignissen während des Betriebs des Containers.

KubeXray

33+ Werkzeuge zur Sicherheit von Kubernetes

KubeXray "lauscht" API-Server-Ereignissen von Kubernetes und überwacht mithilfe von Metadaten von JFrog Xray, dass nur Pods gestartet werden, die den aktuellen Richtlinien entsprechen.

KubeXray führt nicht nur Audits neuer oder aktualisierter Container in Deployments durch (ähnlich dem Admission Controller in Kubernetes), sondern überprüft auch dynamisch laufende Container auf die Übereinstimmung mit neuen Sicherheitsrichtlinien und entfernt Ressourcen, die auf verwundbare Images verweisen.

Snyk

  • Website: snyk.io
  • Lizenz: Kostenlos (Apache) und kommerzielle Versionen

33+ Werkzeuge zur Sicherheit von Kubernetes

Snyk ist ein außergewöhnlicher Schwachstellenscanner, da er speziell auf den Entwicklungsprozess ausgerichtet ist und als "unverzichtbare Lösung" für Entwickler beworben wird.

Snyk verbindet sich direkt mit Code-Repositories, analysiert das Projektmanifest und untersucht den importierten Code zusammen mit direkten und indirekten Abhängigkeiten. Snyk unterstützt viele gängige Programmiersprachen und kann verborgene Lizenzrisiken aufdecken.

Trivy

33+ Werkzeuge zur Sicherheit von Kubernetes

Trivy – ein einfacher, aber leistungsstarker Vulnerability-Scanner für Container, der sich leicht in CI/CD-Pipelines integrieren lässt. Ein herausragendes Merkmal ist die einfache Installation und Handhabung: Die Anwendung besteht aus einer einzigen Binärdatei und erfordert keine Datenbank oder zusätzliche Bibliotheken.

Die Kehrseite der Einfachheit von Trivy ist, dass man lernen muss, wie man die Ergebnisse im JSON-Format analysiert und überträgt, damit andere Sicherheitswerkzeuge in Kubernetes sie nutzen können.

Runtime-Sicherheit in Kubernetes

Falco

  • Website: falco.org
  • Lizenz: Open Source (Apache)

33+ Werkzeuge zur Sicherheit von Kubernetes

Falco ist eine Sammlung von Werkzeugen zur Sicherstellung der Sicherheit von Cloud-Runtime-Umgebungen. Es gehört zur Familie der Projekte von CNCF.

Mit den Sysdig-Tools, die auf der Kernel-Ebene von Linux arbeiten und Systemaufrufe profilieren, ermöglicht Falco einen tiefen Einblick in das Systemverhalten. Sein Runtime-Regelmechanismus kann verdächtige Aktivitäten in Anwendungen, Containern, dem zugrunde liegenden Host und dem Kubernetes-Orchestrator erkennen.

Falco sorgt für eine vollständige Transparenz beim Runtime-Betrieb und ermöglicht die Bedrohungserkennung, indem spezielle Agenten auf den Kubernetes-Knoten platziert werden. Dadurch entfällt die Notwendigkeit, Container zu modifizieren, um Drittanbieter-Code einzufügen oder Sidecar-Container hinzuzufügen.

Sicherheitsframeworks für Linux im Runtime-Bereich

33+ Werkzeuge zur Sicherheit von Kubernetes

Diese für den Linux-Kernel nativen Frameworks sind keine 'Sicherheitswerkzeuge für Kubernetes' im herkömmlichen Sinne, verdienen jedoch eine Erwähnung, da sie ein wichtiger Bestandteil der Sicherheit im Runtime-Bereich sind, die in die Kubernetes Pod Security Policy (PSP) einfließt.

AppArmor verbindet ein Sicherheitsprofil mit den in einem Container laufenden Prozessen und definiert die Dateisystemprivilegien, Netzwerkzugangsregeln, das Laden von Bibliotheken usw. Dies ist ein System basierend auf Mandatory Access Control (MAC). Mit anderen Worten, es verhindert die Ausführung verbotener Aktionen.

Security-Enhanced Linux (SELinux) — ein Modul für erweiterte Sicherheit im Linux-Kernel, das in einigen Aspekten mit AppArmor vergleichbar ist und oft mit ihm verglichen wird. SELinux übertrifft AppArmor hinsichtlich Leistung, Flexibilität und Detailgenauigkeit der Einstellungen. Zu seinen Nachteilen gehören die lange Einarbeitungszeit und die erhöhte Komplexität.

Seccomp und seccomp-bpf ermöglichen es, Systemaufrufe zu filtern und die Ausführung potenziell gefährlicher Aufrufe zu blockieren, die für das grundlegende Betriebssystem nicht erforderlich sind und für die normale Funktion der Benutzeranwendungen nicht notwendig sind. Seccomp ähnelt in einigen Punkten Falco, kennt aber keine Details zu Containern.

Sysdig Open Source

33+ Werkzeuge zur Sicherheit von Kubernetes

Sysdig ist ein umfassendes Tool zur Analyse, Diagnose und Fehlersuche von Linux-Systemen (funktioniert auch auf Windows und macOS, aber mit eingeschränkten Funktionen). Es kann verwendet werden, um detaillierte Informationen zu sammeln, Überprüfungen durchzuführen und kriminaltechnische Analysen (forensics) durchzuführen. (forensische Untersuchungen) der grundlegenden Systeme und aller Container, die darauf ausgeführt werden.

Auch Sysdig unterstützt von Anfang an ausführbare Umgebungen für Container und Kubernetes-Metadaten, indem es zusätzliche Dimensionen und Labels zu allen gesammelten Informationen über das Systemverhalten hinzufügt. Es gibt mehrere Möglichkeiten, ein Kubernetes-Cluster mit Sysdig zu analysieren: Sie können eine Erfassung zu einem bestimmten Zeitpunkt durchführen über kubectl capture oder ein interaktives ncurses-basiertes Interface mit dem Plugin kubectl dig.

Kubernetes-Netzwerksicherheit

Aporeto

33+ Werkzeuge zur Sicherheit von Kubernetes

Aporeto bietet „Sicherheit, die von Netzwerk und Infrastruktur getrennt ist“. Dies bedeutet, dass Kubernetes-Dienste nicht nur eine lokale ID (d.h. ServiceAccount in Kubernetes) erhalten, sondern auch einen universellen Identifikator/Fingerabdruck, der für eine sichere und gegenseitig überprüfbare Interaktion mit jedem anderen Dienst, z.B. im OpenShift-Cluster, verwendet werden kann.

Aporeto kann einen einzigartigen Identifikator nicht nur für Kubernetes/Container, sondern auch für Hosts, Cloud-Funktionen und Benutzer generieren. Abhängig von diesen Identifikatoren und den vom Administrator festgelegten Regeln für die Netzwerksicherheit werden Kommunikationen genehmigt oder blockiert.

Calico

33+ Werkzeuge zur Sicherheit von Kubernetes

Calico wird in der Regel während der Installation eines Container-Orchestrators bereitgestellt, um ein virtuelles Netzwerk zu schaffen, das Container verbindet. Neben dieser grundlegenden Netzwerffunktionalität arbeitet das Calico-Projekt mit den Kubernetes-Netzwerkrichtlinien und einem eigenen Satz von Netzwerkprofilen zusammen, unterstützt ACLs (Zugriffskontrolllisten) für Endpunkte und annotationsbasierte Regeln für die Netzwerksicherheit für Ingress- und Egress-Verkehr.

Cilium

33+ Werkzeuge zur Sicherheit von Kubernetes

Cilium fungiert als Firewall für Container und bietet Funktionen zur Gewährleistung der Netzwerksicherheit, die ursprünglich für Kubernetes und Mikroservice-Arbeitslasten angepasst wurden. Cilium verwendet eine neue Linux-Kernel-Technologie namens BPF (Berkeley Packet Filter) zur Filterung, Überwachung, Umleitung und Anpassung von Daten.

Cilium ist in der Lage, netzwerkzugriffsrichtlinien basierend auf Container-IDs zu implementieren, wobei es Docker- oder Kubernetes-Tags und Metadaten verwendet. Cilium versteht und filtert auch verschiedene Protokolle der Ebene 7, wie HTTP oder gRPC, wodurch es möglich wird, eine Reihe von REST-Aufrufen zu definieren, die beispielsweise zwischen zwei Kubernetes-Deployments erlaubt sind.

Istio

  • Website: istio.io
  • Lizenz: Open Source (Apache)

33+ Werkzeuge zur Sicherheit von Kubernetes

Istio ist weithin bekannt als eine Implementierung des Service-Mesh-Paradigmas, indem es eine plattformunabhängige Steuerungsebene bereitstellt und den gesamten verwalteten Dienstverkehr über dynamisch konfigurierbare Envoy-Proxys leitet. Istio nutzt diesen fortschrittlichen Ansatz aller Microservices und Container, um verschiedene Strategien für Netzwerksicherheit zu realisieren.

Die Sicherheitsfunktionen von Istio umfassen eine transparente TLS-Verschlüsselung zur automatischen Verbesserung des Kommunikationsprotokolls zwischen Microservices auf HTTPS sowie ein eigenes RBAC-System zur Identifizierung und Autorisierung, das den Datenaustausch zwischen verschiedenen Workloads im Cluster erlaubt oder verbietet.

Hinweis.: Weitere Informationen zu den sicherheitsorientierten Funktionen von Istio finden Sie in in diesem Artikel.

Tigera

33+ Werkzeuge zur Sicherheit von Kubernetes

In dieser Lösung, die als "Kubernetes-Firewall" bezeichnet wird, liegt der Fokus auf einem Zero-Trust-Ansatz für die Netzwerksicherheit.

Ähnlich wie bei anderen nativen Netzwerklösungen für Kubernetes nutzt Tigera Metadaten zur Identifizierung verschiedener Dienste und Objekte im Cluster und ermöglicht die Problemerkennung zur Laufzeit, kontinuierliche Compliance-Überwachung und Netztransparenz für multicloud- oder hybrid-monolithisch-containerisierte Infrastrukturen.

Trireme

33+ Werkzeuge zur Sicherheit von Kubernetes

Trireme-Kubernetes ist eine einfache und intuitive Implementierung der Kubernetes Network Policies-Spezifikation. Das bemerkenswerteste Merkmal ist, dass es im Gegensatz zu ähnlichen Produkten für die Netzwerksicherheit von Kubernetes keine zentrale Steuerungsebene zur Koordination des Netzes (Mesh) benötigt. Dadurch wird die Lösung trivial skalierbar. In Trireme wird dies erreicht, indem ein Agent auf jedem Knoten installiert wird, der direkt mit dem TCP/IP-Stack des Hosts verbunden ist.

Verteilung von Images und Verwaltung von Geheimnissen

Grafeas

33+ Werkzeuge zur Sicherheit von Kubernetes

Grafeas ist eine Open-Source-API für die Auditierung und Verwaltung von Software-Lieferketten. Auf der Grundebene stellt Grafeas ein Werkzeug zur Sammlung von Metadaten und Audit-Ergebnissen dar. Es kann verwendet werden, um die Einhaltung bewährter Sicherheitspraktiken innerhalb einer Organisation zu verfolgen.

Diese zentralisierte Quelle der Wahrheit hilft, Fragen wie die folgenden zu beantworten:

  • Wer hat einen bestimmten Container erstellt und signiert?
  • Hat er alle Sicherheits-Scanner und Überprüfungen gemäß der Sicherheitsrichtlinie bestanden? Wann? Was waren die Ergebnisse?
  • Wer hat ihn in der Produktion bereitgestellt? Welche spezifischen Parameter wurden bei der Bereitstellung verwendet?

In-toto

33+ Werkzeuge zur Sicherheit von Kubernetes

In-toto ist ein Framework, das entwickelt wurde, um die Integrität, Authentizität und Auditierung der gesamten Software-Lieferkette zu gewährleisten. Bei der Bereitstellung von In-toto in der Infrastruktur wird zunächst ein Plan festgelegt, der die verschiedenen Schritte im Pipeline beschreibt (Repository, CI/CD-Tools, QA-Tools, Artefakt-Builder usw.) und die Benutzer (Verantwortlichen), die berechtigt sind, diese zu initiieren.

In-toto überwacht die Ausführung des Plans, indem es sicherstellt, dass jede Aufgabe in der Kette ordnungsgemäß nur von autorisiertem Personal ausgeführt wird und während der Verarbeitung mit dem Produkt keine unbefugten Manipulationen vorgenommen wurden.

Portieris

33+ Werkzeuge zur Sicherheit von Kubernetes

Portieris ist ein Admission Controller für Kubernetes; er wird für verpflichtende Vertrauensprüfungen von Inhalten eingesetzt. Portieris nutzt einen Server Notary (wir haben am Ende darüber geschrieben dieses ArtikelsAnmerk. d. Ü.) als Quelle der Wahrheit zur Bestätigung vertrauenswürdiger und signierter Artefakte (d.h. zugelassene Containerbilder).

Bei der Erstellung oder Änderung einer Arbeitslast in Kubernetes lädt Portieris die Signaturinformationen und die Content-Trust-Richtlinie für die angeforderten Containerbilder herunter und nimmt bei Bedarf in Echtzeit Änderungen am JSON-API-Objekt vor, um signierte Versionen dieser Bilder zu starten.

Vault

33+ Werkzeuge zur Sicherheit von Kubernetes

Vault — ist eine sichere Lösung zum Speichern sensibler Informationen: Passwörter, OAuth-Tokens, PKI-Zertifikate, Zugangskonten, Kubernetes-Geheimnisse usw. Vault unterstützt viele erweiterte Funktionen, wie die Anmietung von flüchtigen Sicherheitstokens oder die Organisation der Schlüsselrotation.

Mit dem Helm-Chart kann Vault als neuer Deployment in einem Kubernetes-Cluster mit Consul als Backend-Speicher bereitgestellt werden. Es unterstützt native Kubernetes-Ressourcen wie ServiceAccount-Tokens und kann sogar standardmäßig als Speicher für Kubernetes-Geheimnisse fungieren.

Hinweis.: Übrigens hat HashiCorp, das Vault entwickelt, gestern einige Verbesserungen für die Nutzung von Vault in Kubernetes angekündigt, insbesondere in Bezug auf das Helm-Chart. Details dazu finden Sie im Entwicklerblog.

Sicherheitsaudit Kubernetes

Kube-bench

33+ Werkzeuge zur Sicherheit von Kubernetes

Kube-bench ist eine Anwendung in Go, die überprüft, ob Kubernetes sicher bereitgestellt wurde, indem sie Tests aus der Liste CIS Kubernetes Benchmark.

Kube-bench sucht nach unsicheren Konfigurationseinstellungen in den Komponenten des Clusters (etcd, API, Controller-Manager usw.), fragwürdigen Datei Zugriffsrechten, unsicheren Konten oder offenen Ports, Ressourcenkontingenten, API-Ratenbegrenzungseinstellungen zum Schutz vor DoS-Angriffen usw.

Kube-hunter

33+ Werkzeuge zur Sicherheit von Kubernetes

Kube-hunter „jagt“ nach potenziellen Schwachstellen (wie Remote-Code-Ausführung oder Datenoffenlegung) in Kubernetes-Clustern. Kube-hunter kann als externes Scanner-Tool betrieben werden — in diesem Fall bewertet es den Cluster aus Sicht eines externen Angreifers — oder als Pod innerhalb des Clusters.

Ein herausragendes Merkmal von Kube-hunter ist der „aktive Jagd“-Modus, in dem er nicht nur Probleme meldet, sondern auch versucht, die im Zielcluster entdeckten Schwachstellen auszunutzen, die potenziell seine Funktionsweise beeinträchtigen könnten. Verwenden Sie es also mit Vorsicht!

Kubeaudit

33+ Werkzeuge zur Sicherheit von Kubernetes

Kubeaudit ist ein Konsolentool, das ursprünglich bei Shopify entwickelt wurde, um die Kubernetes-Konfiguration auf Sicherheitsprobleme zu überprüfen. Es hilft beispielsweise dabei, Container zu identifizieren, die ohne Einschränkungen mit Superuser-Rechten laufen, Privilegien missbrauchen oder das Standard-Servicetoken verwenden.

Kubeaudit bietet auch weitere interessante Funktionen. Zum Beispiel kann es lokale YAML-Dateien analysieren, um Konfigurationsmängel zu identifizieren, die zu Sicherheitsproblemen führen können, und diese automatisch beheben.

Kubesec

33+ Werkzeuge zur Sicherheit von Kubernetes

Kubesec ist ein ganz besonderes Werkzeug, da es YAML-Dateien mit der Beschreibung von Kubernetes-Ressourcen direkt auf schwache Parameter scannt, die die Sicherheit beeinträchtigen können.

Es kann zum Beispiel übermäßige Berechtigungen und Zugriffsrechte feststellen, die einem Pod gewährt wurden, das Ausführen eines Containers mit root-Berechtigungen als Standardbenutzer, die Verbindung zum Netzwerk-Namespace des Hosts oder gefährliche Mounts wie /proc Host oder Socket von Docker. Eine weitere interessante Funktion von Kubesec ist der online verfügbare Demodienst, in den man YAML hochladen und sofort analysieren kann.

Open Policy Agent

33+ Werkzeuge zur Sicherheit von Kubernetes

Das Konzept von OPA (Open Policy Agent) besteht darin, Sicherheitsrichtlinien und Best Practices von der jeweiligen Runtime-Plattform zu trennen: Docker, Kubernetes, Mesosphere, OpenShift oder von einer ihrer Kombinationen.

Zum Beispiel kann OPA als Backend für den Admission Controller von Kubernetes bereitgestellt werden, wobei Sicherheitsentscheidungen delegiert werden. Somit kann der OPA-Agent Anfragen in Echtzeit prüfen, ablehnen und sogar ändern, um festgelegte Sicherheitsparameter einzuhalten. Sicherheitsrichtlinien in OPA sind in seiner eigenen DSL-Sprache Rego geschrieben.

Hinweis.: Weitere Informationen zu OPA (und SPIFFE) haben wir in diesem Artikel.

Umfassende kommerzielle Sicherheitsanalysetools für Kubernetes

Wir haben beschlossen, eine separate Kategorie für kommerzielle Plattformen zu erstellen, da diese in der Regel mehrere Sicherheitsbereiche abdecken. Einen allgemeinen Überblick über ihre Möglichkeiten gibt die Tabelle:

33+ Werkzeuge zur Sicherheit von Kubernetes
* Fortschrittliche Expertise und Post-Mortem-Analyse mit vollständiger Erfassung von Systemaufrufen.

Aqua Security

33+ Werkzeuge zur Sicherheit von Kubernetes

Dieses kommerzielle Werkzeug ist für Container und Cloud-Arbeitslasten konzipiert. Es bietet:

  • Bildscanning, das in Container-Registry oder CI/CD-Workflow integriert ist;
  • Laufzeitschutz mit der Überwachung von Änderungen in Containern und anderer verdächtiger Aktivität;
  • Container-native Firewall;
  • Sicherheit für serverless in Cloud-Diensten;
  • Compliance-Prüfung und Audits kombiniert mit Ereignisprotokollierung.

Hinweis.: Es ist auch erwähnenswert, dass es eine kostenfreie Komponente des Produkts namens MicroScanner, die das Scannen von Container-Images auf Schwachstellen ermöglicht. Ein Vergleich ihrer Funktionen mit den kostenpflichtigen Versionen ist in dieser Tabelle.

Capsule8

33+ Werkzeuge zur Sicherheit von Kubernetes
Capsule8 integriert sich in die Infrastruktur, indem es einen Detektor in ein lokales oder Cloud-Kubernetes-Cluster installiert. Dieser Detektor sammelt Telemetriedaten von Hosts und Netzwerken und vergleicht sie mit verschiedenen Arten von Angriffen.

Das Team von Capsule8 sieht seine Aufgabe im frühzeitigen Erkennen und Verhindern von Angriffen, die frische (0-day) nutzen. Schwachstellen. Capsule8 kann Sicherheitsrichtlinien direkt auf die Detektoren laden, als Reaktion auf neu entdeckte Bedrohungen und Software-Schwachstellen.

Cavirin

33+ Werkzeuge zur Sicherheit von Kubernetes

Cavirin fungiert als Partner für verschiedene Behörden, die sich mit Sicherheitsstandards befassen. Es kann nicht nur Images scannen, sondern auch in CI/CD-Pipelines integriert werden, um nicht konformen Images den Zugang zu geschützten Repositories zu verwehren.

Das Sicherheitsangebot von Cavirin nutzt maschinelles Lernen zur Bewertung des Cyber-Sicherheitsstatus, bietet Empfehlungen zur Verbesserung der Sicherheit und zur Einhaltung von Sicherheitsstandards.

Google Cloud Security Command Center

33+ Werkzeuge zur Sicherheit von Kubernetes

Das Cloud Security Command Center unterstützt Sicherheitsteams dabei, Daten zu sammeln, Bedrohungen zu erkennen und diese zu beheben, bevor sie dem Unternehmen schaden.

Wie der Name schon sagt, ist Google Cloud SCC ein einheitliches Dashboard, in das verschiedene Sicherheitsberichte, Asset-Management-Mechanismen und externe Sicherheitssysteme integriert werden können, um sie aus einer einzigen, zentralisierten Quelle zu verwalten.

Die interoperable API, die von Google Cloud SCC angeboten wird, erleichtert die Integration von Sicherheitsereignissen aus verschiedenen Quellen wie Sysdig Secure (Container-Sicherheit für cloud-native Anwendungen) oder Falco (Open Source-Runtime-Sicherheitssystem).

Layered Insight (Qualys)

33+ Werkzeuge zur Sicherheit von Kubernetes

Layered Insight (jetzt Teil von Qualys Inc) basiert auf dem Konzept der "eingebetteten Sicherheit". Nach dem Scannen des Original-Images auf Schwachstellen mithilfe statistischer Analysemethoden und der Durchführung von CVE-Checks ersetzt Layered Insight es durch ein instrumentiertes Image, das einen Agenten in Form eines Binärprogramms enthält.

Dieser Agent enthält Sicherheitstests in Echtzeit zur Analyse des Netzwerkverkehrs von Containern, I/O-Streams und der Aktivitäten von Anwendungen. Darüber hinaus kann er zusätzliche Sicherheitstests durchführen, die von Infrastrukturadministratoren oder DevOps-Teams festgelegt werden.

NeuVector

33+ Werkzeuge zur Sicherheit von Kubernetes

NeuVector führt eine Sicherheitsüberprüfung des Containers durch und bietet einen Schutz im Runtime-Betrieb, indem es die Netzwerkaktivität und das Verhalten der Anwendung analysiert, und erstellt ein individuelles Sicherheitsprofil für jeden Container. Zudem kann es Bedrohungen autonom blockieren, indem es verdächtige Aktivitäten isoliert und die Regeln der lokalen Firewall ändert.

Die Netzwerkintegration von NeuVector, bekannt als Security Mesh, ist in der Lage, eine tiefgreifende Paketinspektion und Filterung auf Ebene 7 für alle Netzwerkverbindungen im Service Mesh durchzuführen.

StackRox

33+ Werkzeuge zur Sicherheit von Kubernetes

Die StackRox-Plattform zur Sicherung von Containern strebt an, den gesamten Lebenszyklus von Kubernetes-Anwendungen im Cluster abzudecken. Wie die anderen kommerziellen Plattformen in dieser Liste, generiert StackRox ein Runtime-Profil basierend auf dem beobachteten Verhalten des Containers und schlägt automatisch Alarm bei Abweichungen.

Darüber hinaus analysiert StackRox die Kubernetes-Konfigurationen, indem es CIS Kubernetes und andere Regelwerke verwendet, um die Konformität der Container zu bewerten.

Sysdig Secure

33+ Werkzeuge zur Sicherheit von Kubernetes

Sysdig Secure schützt Anwendungen während des gesamten Lebenszyklus von Containern und Kubernetes. Es scannt Images Container, bietet Laufzeit-Schutz auf Basis von maschinellem Lernen führt es forensische Analysen durch, um Schwachstellen zu identifizieren, blockiert Bedrohungen und überwacht die Übereinstimmung mit festgelegten Standards und führt Audits der Aktivitäten in Microservices durch.

Sysdig Secure integriert sich mit CI/CD-Tools wie Jenkins und überwacht die Images, die aus Docker-Registrierungen hochgeladen werden, um das Auftreten gefährlicher Images in der Produktion zu vermeiden. Es bietet auch umfassende Laufzeitsicherheit, einschließlich:

  • Laufzeit-Profiling basierend auf ML und Anomalieerkennung;
  • Laufzeit-Richtlinien, die auf Systemereignissen, K8s-Audit-APIs, gemeinschaftlichen Projekten (FIM – Datei-Integritätsüberwachung; Cryptojacking) und einem Framework basieren MITRE ATT&CK;
  • Reaktion und Behebung von Vorfällen.

Tenable Container Security

33+ Werkzeuge zur Sicherheit von Kubernetes

Vor der Einführung von Containern war Tenable in der Branche weithin als das Unternehmen bekannt, das Nessus entwickelt hat – ein beliebtes Werkzeug zur Schwachstellensuche und Sicherheitsüberprüfung.

Tenable Container Security nutzt die Expertise des Unternehmens im Bereich der IT-Sicherheit, um die CI/CD-Pipeline mit Schwachstellen-Datenbanken, speziellen Malware-Scanning-Paketen und Empfehlungen zur Behebung von Sicherheitsbedrohungen zu integrieren.

Twistlock (Palo Alto Networks)

33+ Werkzeuge zur Sicherheit von Kubernetes

Twistlock präsentiert sich als Plattform, die sich auf Cloud-Services und Container konzentriert. Twistlock unterstützt verschiedene Cloud-Anbieter (AWS, Azure, GCP), Container-Orchestratoren (Kubernetes, Mesosphere, OpenShift, Docker), serverlose Ausführungsumgebungen, Mesh-Frameworks und CI/CD-Tools.

Neben herkömmlichen Sicherheitsansätzen auf Unternehmensebene, wie der Integration in die CI/CD-Pipeline oder dem Scannen von Images, nutzt Twistlock maschinelles Lernen zur Generierung von Verhaltensmustern und Netzwerkrichtlinien, die die Eigenschaften von Containern berücksichtigen.

Vor einiger Zeit wurde Twistlock von Palo Alto Networks übernommen, die auch Projekte wie Evident.io und RedLock betreiben. Wie genau diese drei Plattformen in PRISMA von Palo Alto integriert werden, ist bislang unklar.

Helfen Sie mit, das beste Verzeichnis für Kubernetes-Sicherheitswerkzeuge zu erstellen!

Wir streben danach, dieses Verzeichnis so vollständig wie möglich zu gestalten, und dafür benötigen wir Ihre Hilfe! Kontaktieren Sie uns (@sysdig), wenn Ihnen ein großartiges Werkzeug einfällt, das es wert ist, in diese Liste aufgenommen zu werden, oder wenn Sie einen Fehler / veraltete Informationen entdeckt haben.

Sie können sich auch für unseren monatlichen Newsletter mit Neuigkeiten aus dem Cloud-Native-Ökosystem und Geschichten über interessante Projekte aus der Welt der Kubernetes-Sicherheit anmelden.

P.S. vom Übersetzer

Lesen Sie auch in unserem Blog:

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster