33+ εργαλεία ασφαλείας Kubernetes

Σημείωση. μετάφρ.: Αν αναρωτιέστε για την ασφάλεια στην υποδομή που βασίζεται στο Kubernetes, αυτή η εξαιρετική επισκόπηση από το Sysdig είναι ένα εξαιρετικό σημείο εκκίνησης για μια γρήγορη ματιά στις τρέχουσες λύσεις. Περιλαμβάνει τόσο πολύπλοκα συστήματα από γνωστούς παράγοντες της αγοράς όσο και πολύ πιο περιορισμένα βοηθητικά προγράμματα που λύνουν ένα συγκεκριμένο πρόβλημα. Και στα σχόλια, όπως πάντα, θα χαρούμε να ακούσουμε για την εμπειρία σας χρησιμοποιώντας αυτά τα εργαλεία και να δούμε συνδέσμους προς άλλα έργα.

Προϊόντα λογισμικού ασφαλείας Kubernetes... υπάρχουν τόσα πολλά από αυτά, το καθένα με τους δικούς του στόχους, το πεδίο εφαρμογής και τις άδειές του.

Γι' αυτό αποφασίσαμε να δημιουργήσουμε αυτήν τη λίστα και να συμπεριλάβουμε έργα ανοιχτού κώδικα και εμπορικές πλατφόρμες από διαφορετικούς προμηθευτές. Ελπίζουμε ότι θα σας βοηθήσει να εντοπίσετε αυτά που σας ενδιαφέρουν περισσότερο και να σας κατευθύνει προς τη σωστή κατεύθυνση με βάση τις συγκεκριμένες ανάγκες ασφαλείας του Kubernetes.

Категории

Για να γίνει πιο εύκολη η πλοήγηση στη λίστα, τα εργαλεία οργανώνονται ανά κύρια λειτουργία και εφαρμογή. Ελήφθησαν οι ακόλουθες ενότητες:

• Σάρωση εικόνας Kubernetes και στατική ανάλυση.
• Ασφάλεια χρόνου εκτέλεσης;
• Ασφάλεια δικτύου Kubernetes;
• Διανομή εικόνων και διαχείριση μυστικών.
• Έλεγχος ασφαλείας Kubernetes.
• Ολοκληρωμένα εμπορικά προϊόντα.

Ας ξεκινήσουμε δουλειά:

Σάρωση εικόνων Kubernetes

Αγκυρα

• Website: anchore.com
• Άδεια χρήσης: δωρεάν (Apache) και εμπορική προσφορά

Το Anchore αναλύει εικόνες κοντέινερ και επιτρέπει ελέγχους ασφαλείας βάσει πολιτικών που καθορίζονται από τον χρήστη.

Εκτός από τη συνήθη σάρωση εικόνων κοντέινερ για γνωστά τρωτά σημεία από τη βάση δεδομένων CVE, η Anchore εκτελεί πολλούς πρόσθετους ελέγχους ως μέρος της πολιτικής σάρωσης: ελέγχει το Dockerfile, διαρροές διαπιστευτηρίων, πακέτα των γλωσσών προγραμματισμού που χρησιμοποιούνται (npm, maven, κ.λπ. .), άδειες λογισμικού και πολλά άλλα.

Clair

• Website: coreos.com/clair (τώρα υπό την κηδεμονία της Red Hat)
• Άδεια χρήσης: δωρεάν (Apache)

Το Clair ήταν ένα από τα πρώτα έργα ανοιχτού κώδικα για σάρωση εικόνων. Είναι ευρέως γνωστό ως ο σαρωτής ασφαλείας πίσω από το μητρώο εικόνων Quay (επίσης από το CoreOS - περίπου. μετάφραση). Η Clair μπορεί να συλλέξει πληροφορίες CVE από μια ευρεία ποικιλία πηγών, συμπεριλαμβανομένων λιστών ευπαθειών που σχετίζονται με τη διανομή Linux που διατηρούνται από τις ομάδες ασφαλείας Debian, Red Hat ή Ubuntu.

Σε αντίθεση με το Anchore, η Clair εστιάζει κυρίως στην εύρεση τρωτών σημείων και στην αντιστοίχιση δεδομένων με CVE. Ωστόσο, το προϊόν προσφέρει στους χρήστες ορισμένες ευκαιρίες να επεκτείνουν τις λειτουργίες χρησιμοποιώντας προγράμματα οδήγησης plug-in.

Ντάγκντα

• Website: github.com/eliasgranderubio/dagda
• Άδεια χρήσης: δωρεάν (Apache)

Το Dagda εκτελεί στατική ανάλυση εικόνων κοντέινερ για γνωστά τρωτά σημεία, Trojans, ιούς, κακόβουλο λογισμικό και άλλες απειλές.

Δύο αξιοσημείωτα χαρακτηριστικά διακρίνουν το Dagda από άλλα παρόμοια εργαλεία:

• Ενσωματώνεται τέλεια με ClamAV, που λειτουργεί όχι μόνο ως εργαλείο για τη σάρωση εικόνων κοντέινερ, αλλά και ως antivirus.
• Παρέχει επίσης προστασία χρόνου εκτέλεσης λαμβάνοντας συμβάντα σε πραγματικό χρόνο από τον δαίμονα Docker και ενσωματώνοντας το Falco (Δες παρακάτω) για τη συλλογή συμβάντων ασφαλείας ενώ το κοντέινερ λειτουργεί.

KubeXray

• Website: github.com/jfrog/kubexray
• Άδεια χρήσης: Δωρεάν (Apache), αλλά απαιτεί δεδομένα από το JFrog Xray (εμπορικό προϊόν)

Το KubeXray ακούει συμβάντα από τον διακομιστή API Kubernetes και χρησιμοποιεί μεταδεδομένα από το JFrog Xray για να διασφαλίσει ότι θα κυκλοφορούν μόνο τα pods που αντιστοιχούν στην τρέχουσα πολιτική.

Το KubeXray όχι μόνο ελέγχει νέα ή ενημερωμένα κοντέινερ σε αναπτύξεις (παρόμοια με τον ελεγκτή αποδοχής στο Kubernetes), αλλά ελέγχει επίσης δυναμικά τα τρέχοντα κοντέινερ για συμμόρφωση με νέες πολιτικές ασφαλείας, αφαιρώντας πόρους που αναφέρονται σε ευάλωτες εικόνες.

Σνυκ

• Website: snyk.io
• Άδεια χρήσης: δωρεάν (Apache) και εμπορικές εκδόσεις

Το Snyk είναι ένας ασυνήθιστος σαρωτής ευπάθειας, καθώς στοχεύει συγκεκριμένα τη διαδικασία ανάπτυξης και προωθείται ως "ουσιώδης λύση" για προγραμματιστές.

Το Snyk συνδέεται απευθείας με τα αποθετήρια κώδικα, αναλύει τη δήλωση έργου και αναλύει τον εισαγόμενο κώδικα μαζί με άμεσες και έμμεσες εξαρτήσεις. Το Snyk υποστηρίζει πολλές δημοφιλείς γλώσσες προγραμματισμού και μπορεί να εντοπίσει κρυφούς κινδύνους άδειας χρήσης.

Δευτερεύον

• Website: github.com/knqyf263/trivy
• Άδεια χρήσης: δωρεάν (AGPL)

Το Trivy είναι ένας απλός αλλά ισχυρός σαρωτής ευπάθειας για κοντέινερ που ενσωματώνεται εύκολα σε αγωγό CI/CD. Το αξιοσημείωτο χαρακτηριστικό της είναι η ευκολία εγκατάστασης και λειτουργίας: η εφαρμογή αποτελείται από ένα μόνο δυαδικό αρχείο και δεν απαιτεί εγκατάσταση βάσης δεδομένων ή πρόσθετων βιβλιοθηκών.

Το μειονέκτημα της απλότητας του Trivy είναι ότι πρέπει να καταλάβετε πώς να αναλύετε και να προωθείτε τα αποτελέσματα σε μορφή JSON, ώστε να μπορούν να τα χρησιμοποιήσουν άλλα εργαλεία ασφαλείας του Kubernetes.

Ασφάλεια χρόνου εκτέλεσης στο Kubernetes

Falco

• Website: falco.org
• Άδεια χρήσης: δωρεάν (Apache)

Το Falco είναι ένα σύνολο εργαλείων για τη διασφάλιση περιβαλλόντων χρόνου εκτέλεσης cloud. Μέρος της οικογένειας του έργου CNCF.

Χρησιμοποιώντας τα εργαλεία σε επίπεδο πυρήνα Linux και τη δημιουργία προφίλ κλήσεων συστήματος της Sysdig, η Falco σάς επιτρέπει να βουτήξετε βαθιά στη συμπεριφορά του συστήματος. Η μηχανή κανόνων χρόνου εκτέλεσης είναι ικανή να ανιχνεύει ύποπτη δραστηριότητα σε εφαρμογές, κοντέινερ, τον υποκείμενο κεντρικό υπολογιστή και τον ενορχηστρωτή Kubernetes.

Το Falco παρέχει πλήρη διαφάνεια στο χρόνο εκτέλεσης και στον εντοπισμό απειλών, αναπτύσσοντας ειδικούς πράκτορες στους κόμβους Kubernetes για αυτούς τους σκοπούς. Ως αποτέλεσμα, δεν υπάρχει ανάγκη τροποποίησης των κοντέινερ με την εισαγωγή κώδικα τρίτων σε αυτά ή την προσθήκη κοντέινερ sidecar.

Πλαίσια ασφαλείας Linux για χρόνο εκτέλεσης

Αυτά τα εγγενή πλαίσια για τον πυρήνα Linux δεν είναι "εργαλεία ασφαλείας Kubernetes" με την παραδοσιακή έννοια, αλλά αξίζει να τα αναφέρουμε επειδή αποτελούν σημαντικό στοιχείο στο πλαίσιο της ασφάλειας χρόνου εκτέλεσης, η οποία περιλαμβάνεται στην Πολιτική Ασφαλείας του Kubernetes Pod (PSP).

AppArmor επισυνάπτει ένα προφίλ ασφαλείας σε διεργασίες που εκτελούνται στο κοντέινερ, ορίζοντας προνόμια συστήματος αρχείων, κανόνες πρόσβασης δικτύου, σύνδεση βιβλιοθηκών κ.λπ. Αυτό είναι ένα σύστημα που βασίζεται στον Υποχρεωτικό Έλεγχο Πρόσβασης (MAC). Με άλλα λόγια, αποτρέπει την εκτέλεση απαγορευμένων ενεργειών.

Linux ενισχυμένο με ασφάλεια (SELinux) είναι μια προηγμένη μονάδα ασφαλείας στον πυρήνα του Linux, παρόμοια από ορισμένες απόψεις με το AppArmor και συχνά συγκρίνεται με αυτό. Το SELinux είναι ανώτερο από το AppArmor σε ισχύ, ευελιξία και προσαρμογή. Τα μειονεκτήματά του είναι η μεγάλη καμπύλη εκμάθησης και η αυξημένη πολυπλοκότητα.

Seccomp και το seccomp-bpf σάς επιτρέπουν να φιλτράρετε κλήσεις συστήματος, να αποκλείετε την εκτέλεση εκείνων που είναι δυνητικά επικίνδυνες για το βασικό λειτουργικό σύστημα και δεν χρειάζονται για την κανονική λειτουργία των εφαρμογών των χρηστών. Το Seccomp μοιάζει με το Falco κατά κάποιο τρόπο, αν και δεν γνωρίζει τις ιδιαιτερότητες των κοντέινερ.

Sysdig ανοιχτού κώδικα

• Website: www.sysdig.com/opensource
• Άδεια χρήσης: δωρεάν (Apache)

Το Sysdig είναι ένα πλήρες εργαλείο για την ανάλυση, τη διάγνωση και τον εντοπισμό σφαλμάτων συστημάτων Linux (λειτουργεί επίσης σε Windows και macOS, αλλά με περιορισμένες λειτουργίες). Μπορεί να χρησιμοποιηθεί για λεπτομερή συλλογή πληροφοριών, επαλήθευση και εγκληματολογική ανάλυση. (ιατροδικαστική) το βασικό σύστημα και τυχόν δοχεία που λειτουργούν σε αυτό.

Το Sysdig υποστηρίζει επίσης εγγενώς χρόνους εκτέλεσης κοντέινερ και μεταδεδομένα Kubernetes, προσθέτοντας πρόσθετες διαστάσεις και ετικέτες σε όλες τις πληροφορίες συμπεριφοράς του συστήματος που συλλέγει. Υπάρχουν διάφοροι τρόποι για να αναλύσετε ένα σύμπλεγμα Kubernetes χρησιμοποιώντας το Sysdig: μπορείτε να πραγματοποιήσετε λήψη σημείου σε χρόνο μέσω σύλληψη kubectl ή εκκινήστε μια διαδραστική διεπαφή που βασίζεται σε ncurses χρησιμοποιώντας ένα πρόσθετο kubectl σκάβω.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• Άδεια: εμπορική

Η Aporeto προσφέρει "ασφάλεια διαχωρισμένη από το δίκτυο και την υποδομή." Αυτό σημαίνει ότι οι υπηρεσίες Kubernetes όχι μόνο λαμβάνουν ένα τοπικό αναγνωριστικό (δηλ. Λογαριασμός υπηρεσίας στο Kubernetes), αλλά και ένα καθολικό αναγνωριστικό/δαχτυλικό αποτύπωμα που μπορεί να χρησιμοποιηθεί για την ασφαλή και αμοιβαία επικοινωνία με οποιαδήποτε άλλη υπηρεσία, για παράδειγμα σε ένα σύμπλεγμα OpenShift.

Το Aporeto είναι σε θέση να δημιουργήσει ένα μοναδικό αναγνωριστικό όχι μόνο για Kubernetes/κοντέινερ, αλλά και για κεντρικούς υπολογιστές, λειτουργίες cloud και χρήστες. Ανάλογα με αυτά τα αναγνωριστικά και το σύνολο κανόνων ασφάλειας δικτύου που έχει ορίσει ο διαχειριστής, οι επικοινωνίες θα επιτρέπονται ή θα αποκλείονται.

τσίτι

• Website: www.projectcalico.org
• Άδεια χρήσης: δωρεάν (Apache)

Το Calico αναπτύσσεται συνήθως κατά τη διάρκεια μιας εγκατάστασης ενορχηστρωτή κοντέινερ, επιτρέποντάς σας να δημιουργήσετε ένα εικονικό δίκτυο που διασυνδέει κοντέινερ. Εκτός από αυτήν τη βασική λειτουργία δικτύου, το έργο Calico συνεργάζεται με τις Πολιτικές Δικτύου Kubernetes και το δικό του σύνολο προφίλ ασφάλειας δικτύου, υποστηρίζει τερματικά ACL (λίστες ελέγχου πρόσβασης) και κανόνες ασφαλείας δικτύου που βασίζονται σε σχολιασμούς για την κίνηση εισόδου και εξόδου.

Τσίλιουμ

• Website: www.cilium.io
• Άδεια χρήσης: δωρεάν (Apache)

Το Cilium λειτουργεί ως τείχος προστασίας για κοντέινερ και παρέχει χαρακτηριστικά ασφάλειας δικτύου προσαρμοσμένα εγγενώς στους φόρτους εργασίας Kubernetes και microservices. Το Cilium χρησιμοποιεί μια νέα τεχνολογία πυρήνα Linux που ονομάζεται BPF (Berkeley Packet Filter) για φιλτράρισμα, παρακολούθηση, ανακατεύθυνση και διόρθωση δεδομένων.

Το Cilium είναι σε θέση να αναπτύσσει πολιτικές πρόσβασης στο δίκτυο που βασίζονται σε αναγνωριστικά κοντέινερ χρησιμοποιώντας ετικέτες και μεταδεδομένα Docker ή Kubernetes. Το Cilium κατανοεί επίσης και φιλτράρει διάφορα πρωτόκολλα επιπέδου 7, όπως το HTTP ή το gRPC, επιτρέποντάς σας να ορίσετε ένα σύνολο κλήσεων REST που θα επιτρέπονται μεταξύ δύο αναπτύξεων Kubernetes, για παράδειγμα.

Ίστιο

• Website: istio.io
• Άδεια χρήσης: δωρεάν (Apache)

Το Istio είναι ευρέως γνωστό για την εφαρμογή του παραδείγματος πλέγματος υπηρεσιών με την ανάπτυξη ενός επιπέδου ελέγχου ανεξάρτητου από την πλατφόρμα και τη δρομολόγηση όλης της διαχειριζόμενης κυκλοφορίας υπηρεσιών μέσω δυναμικά διαμορφώσιμων proxies Envoy. Το Istio εκμεταλλεύεται αυτή την προηγμένη προβολή όλων των μικροϋπηρεσιών και των κοντέινερ για να εφαρμόσει διάφορες στρατηγικές ασφάλειας δικτύου.

Οι δυνατότητες ασφάλειας δικτύου του Istio περιλαμβάνουν διαφανή κρυπτογράφηση TLS για αυτόματη αναβάθμιση των επικοινωνιών μεταξύ μικροϋπηρεσιών σε HTTPS και ένα ιδιόκτητο σύστημα αναγνώρισης και εξουσιοδότησης RBAC για να επιτρέπει/απαγορεύεται η επικοινωνία μεταξύ διαφορετικών φόρτων εργασίας στο σύμπλεγμα.

Σημείωση. μετάφρ.: Για να μάθετε περισσότερα σχετικά με τις δυνατότητες του Istio που εστιάζουν στην ασφάλεια, διαβάστε Αυτό το άρθρο.

Τίγρη

• Website: www.tigera.io
• Άδεια: εμπορική

Ονομάζεται «Τείχος προστασίας Kubernetes», αυτή η λύση δίνει έμφαση σε μια προσέγγιση μηδενικής εμπιστοσύνης στην ασφάλεια του δικτύου.

Παρόμοια με άλλες εγγενείς λύσεις δικτύωσης Kubernetes, το Tigera βασίζεται σε μεταδεδομένα για τον εντοπισμό των διαφόρων υπηρεσιών και αντικειμένων στο σύμπλεγμα και παρέχει ανίχνευση προβλημάτων χρόνου εκτέλεσης, συνεχή έλεγχο συμμόρφωσης και ορατότητα δικτύου για υποδομές πολλαπλών νέφους ή υβριδικές μονολιθικές υποδομές κοντέινερ.

Τριήρης

• Website: www.aporeto.com/opensource
• Άδεια χρήσης: δωρεάν (Apache)

Το Trireme-Kubernetes είναι μια απλή και απλή υλοποίηση της προδιαγραφής των πολιτικών δικτύου Kubernetes. Το πιο αξιοσημείωτο χαρακτηριστικό είναι ότι - σε αντίθεση με παρόμοια προϊόντα ασφάλειας δικτύου Kubernetes - δεν απαιτεί κεντρικό επίπεδο ελέγχου για τον συντονισμό του πλέγματος. Αυτό κάνει τη λύση τετριμμένα επεκτάσιμη. Στο Trireme, αυτό επιτυγχάνεται με την εγκατάσταση ενός πράκτορα σε κάθε κόμβο που συνδέεται απευθείας με τη στοίβα TCP/IP του κεντρικού υπολογιστή.

Διάδοση εικόνων και διαχείριση μυστικών

Γραφέας

• Website: grafeas.io
• Άδεια χρήσης: δωρεάν (Apache)

Το Grafeas είναι ένα API ανοιχτού κώδικα για έλεγχο και διαχείριση της εφοδιαστικής αλυσίδας λογισμικού. Σε βασικό επίπεδο, το Grafeas είναι ένα εργαλείο συλλογής μεταδεδομένων και ευρημάτων ελέγχου. Μπορεί να χρησιμοποιηθεί για την παρακολούθηση της συμμόρφωσης με τις βέλτιστες πρακτικές ασφάλειας εντός ενός οργανισμού.

Αυτή η κεντρική πηγή αλήθειας βοηθά στην απάντηση σε ερωτήσεις όπως:

• Ποιος συνέλεξε και υπέγραψε για ένα συγκεκριμένο κοντέινερ;
• Έχει περάσει όλες τις σαρώσεις και τους ελέγχους ασφαλείας που απαιτούνται από την πολιτική ασφαλείας; Οταν? Ποια ήταν τα αποτελέσματα;
• Ποιος το χρησιμοποίησε στην παραγωγή; Ποιες συγκεκριμένες παράμετροι χρησιμοποιήθηκαν κατά την ανάπτυξη;

Εντός

• Website: in-toto.github.io
• Άδεια χρήσης: δωρεάν (Apache)

Το In-toto είναι ένα πλαίσιο σχεδιασμένο για να παρέχει ακεραιότητα, έλεγχο ταυτότητας και έλεγχο ολόκληρης της αλυσίδας εφοδιασμού λογισμικού. Κατά την ανάπτυξη In-toto σε μια υποδομή, αρχικά ορίζεται ένα σχέδιο που περιγράφει τα διάφορα βήματα στη διοχέτευση (αποθήκη, εργαλεία CI/CD, εργαλεία QA, συλλέκτες τεχνουργημάτων, κ.λπ.) και τους χρήστες (υπεύθυνα άτομα) που επιτρέπεται να ξεκινήστε τα.

Η In-toto παρακολουθεί την εκτέλεση του σχεδίου, επαληθεύοντας ότι κάθε εργασία στην αλυσίδα εκτελείται σωστά μόνο από εξουσιοδοτημένο προσωπικό και ότι δεν έχουν πραγματοποιηθεί μη εξουσιοδοτημένοι χειρισμοί με το προϊόν κατά τη μετακίνηση.

Πορτιέρης

• Website: github.com/IBM/portieris
• Άδεια χρήσης: δωρεάν (Apache)

Ο Portieris είναι ελεγκτής εισδοχής για την Kubernetes. χρησιμοποιείται για την επιβολή ελέγχων εμπιστοσύνης περιεχομένου. Ο Portieris χρησιμοποιεί διακομιστή Συμβολαιογράφος (γράψαμε για αυτόν στο τέλος του παρόντος άρθρου - περίπου. μετάφραση) ως πηγή αλήθειας για την επικύρωση αξιόπιστων και υπογεγραμμένων τεχνουργημάτων (δηλαδή εγκεκριμένων εικόνων κοντέινερ).

Όταν δημιουργείται ή τροποποιείται ένας φόρτος εργασίας στο Kubernetes, το Portieris κατεβάζει τις πληροφορίες υπογραφής και την πολιτική αξιοπιστίας περιεχομένου για τις ζητούμενες εικόνες κοντέινερ και, εάν είναι απαραίτητο, κάνει επιτόπου αλλαγές στο αντικείμενο JSON API για την εκτέλεση υπογεγραμμένων εκδόσεων αυτών των εικόνων.

Θόλος

• Website: www.vaultproject.io
• Άδεια χρήσης: δωρεάν (MPL)

Το Vault είναι μια ασφαλής λύση για την αποθήκευση προσωπικών πληροφοριών: κωδικούς πρόσβασης, διακριτικά OAuth, πιστοποιητικά PKI, λογαριασμοί πρόσβασης, μυστικά Kubernetes κ.λπ. Το Vault υποστηρίζει πολλές προηγμένες λειτουργίες, όπως η μίσθωση εφήμερων διακριτικών ασφαλείας ή η οργάνωση περιστροφής κλειδιού.

Χρησιμοποιώντας το διάγραμμα Helm, το Vault μπορεί να αναπτυχθεί ως νέα ανάπτυξη σε ένα σύμπλεγμα Kubernetes με το Consul ως αποθήκευση υποστήριξης. Υποστηρίζει εγγενείς πόρους Kubernetes, όπως διακριτικά ServiceAccount και μπορεί ακόμη και να λειτουργήσει ως το προεπιλεγμένο κατάστημα για τα μυστικά Kubernetes.

Σημείωση. μετάφρ.: Παρεμπιπτόντως, μόλις χθες η εταιρεία HashiCorp, η οποία αναπτύσσει το Vault, ανακοίνωσε κάποιες βελτιώσεις για τη χρήση του Vault στο Kubernetes, και συγκεκριμένα σχετίζονται με το Helm chart. Διαβάστε περισσότερα στο ιστολόγιο προγραμματιστή.

Έλεγχος ασφαλείας Kubernetes

Kube-πάγκος

• Website: github.com/aquasecurity/kube-bench
• Άδεια χρήσης: δωρεάν (Apache)

Το Kube-bench είναι μια εφαρμογή Go που ελέγχει εάν το Kubernetes αναπτύσσεται με ασφάλεια εκτελώντας δοκιμές από μια λίστα CIS Kubernetes Benchmark.

Το Kube-bench αναζητά μη ασφαλείς ρυθμίσεις διαμόρφωσης μεταξύ στοιχείων συμπλέγματος (κ.λπ., API, διαχείριση ελεγκτή, κ.λπ.), αμφισβητήσιμα δικαιώματα πρόσβασης σε αρχεία, μη προστατευμένους λογαριασμούς ή ανοιχτές θύρες, όρια πόρων, ρυθμίσεις για τον περιορισμό του αριθμού κλήσεων API για προστασία από επιθέσεις DoS , και τα λοιπά.

Κουμπε-κυνηγός

• Website: github.com/aquasecurity/kube-hunter
• Άδεια χρήσης: δωρεάν (Apache)

Το Kube-hunter αναζητά πιθανές ευπάθειες (όπως η απομακρυσμένη εκτέλεση κώδικα ή η αποκάλυψη δεδομένων) στα συμπλέγματα Kubernetes. Το Kube-hunter μπορεί να εκτελεστεί ως απομακρυσμένος σαρωτής - οπότε θα αξιολογήσει το σύμπλεγμα από την οπτική γωνία ενός εισβολέα τρίτου μέρους - ή ως pod μέσα στο σύμπλεγμα.

Ένα χαρακτηριστικό γνώρισμα του Kube-hunter είναι η λειτουργία «ενεργού κυνηγιού», κατά την οποία όχι μόνο αναφέρει προβλήματα, αλλά προσπαθεί επίσης να εκμεταλλευτεί τις ευπάθειες που ανακαλύφθηκαν στο σύμπλεγμα στόχων που θα μπορούσαν ενδεχομένως να βλάψουν τη λειτουργία του. Χρησιμοποιήστε λοιπόν με προσοχή!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Άδεια: δωρεάν (MIT)

Το Kubeaudit είναι ένα εργαλείο κονσόλας που αναπτύχθηκε αρχικά στο Shopify για τον έλεγχο της διαμόρφωσης του Kubernetes για διάφορα ζητήματα ασφαλείας. Για παράδειγμα, βοηθά στον εντοπισμό κοντέινερ που εκτελούνται απεριόριστα, εκτελούνται ως root, κάνουν κατάχρηση δικαιωμάτων ή χρησιμοποιούν τον προεπιλεγμένο λογαριασμό υπηρεσίας.

Το Kubeaudit έχει και άλλα ενδιαφέροντα χαρακτηριστικά. Για παράδειγμα, μπορεί να αναλύσει τοπικά αρχεία YAML, να εντοπίσει ελαττώματα διαμόρφωσης που θα μπορούσαν να οδηγήσουν σε προβλήματα ασφάλειας και να τα διορθώσει αυτόματα.

Kubesec

• Website: kubesec.io
• Άδεια χρήσης: δωρεάν (Apache)

Το Kubesec είναι ένα ειδικό εργαλείο στο ότι σαρώνει απευθείας αρχεία YAML που περιγράφουν πόρους Kubernetes, αναζητώντας αδύναμες παραμέτρους που θα μπορούσαν να επηρεάσουν την ασφάλεια.

Για παράδειγμα, μπορεί να εντοπίσει υπερβολικά δικαιώματα και δικαιώματα που έχουν εκχωρηθεί σε ένα pod, να εκτελεί ένα κοντέινερ με root ως προεπιλεγμένο χρήστη, να συνδέεται με τον χώρο ονομάτων δικτύου του κεντρικού υπολογιστή ή επικίνδυνες προσαρτήσεις όπως /proc υποδοχής υποδοχής ή Docker. Ένα άλλο ενδιαφέρον χαρακτηριστικό του Kubesec είναι η υπηρεσία επίδειξης που είναι διαθέσιμη στο διαδίκτυο, στην οποία μπορείτε να ανεβάσετε το YAML και να το αναλύσετε αμέσως.

Open Policy Agent

• Website: www.openpolicyagent.org
• Άδεια χρήσης: δωρεάν (Apache)

Η έννοια του OPA (Open Policy Agent) είναι να αποσυνδέει τις πολιτικές ασφαλείας και τις βέλτιστες πρακτικές ασφάλειας από μια συγκεκριμένη πλατφόρμα χρόνου εκτέλεσης: Docker, Kubernetes, Mesosphere, OpenShift ή οποιονδήποτε συνδυασμό αυτών.

Για παράδειγμα, μπορείτε να αναπτύξετε το OPA ως backend για τον ελεγκτή εισαγωγής Kubernetes, αναθέτοντας σε αυτόν αποφάσεις ασφαλείας. Με αυτόν τον τρόπο, ο πράκτορας OPA μπορεί να επικυρώσει, να απορρίψει, ακόμη και να τροποποιήσει αιτήματα εν κινήσει, διασφαλίζοντας ότι πληρούνται οι καθορισμένες παράμετροι ασφαλείας. Οι πολιτικές ασφαλείας της OPA είναι γραμμένες στην ιδιόκτητη γλώσσα DSL, Rego.

Σημείωση. μετάφρ.: Γράψαμε περισσότερα για το OPA (και το SPIFFE) στο αυτό το υλικό.

Ολοκληρωμένα εμπορικά εργαλεία για ανάλυση ασφάλειας Kubernetes

Αποφασίσαμε να δημιουργήσουμε μια ξεχωριστή κατηγορία για εμπορικές πλατφόρμες επειδή συνήθως καλύπτουν πολλούς τομείς ασφαλείας. Μια γενική ιδέα για τις δυνατότητές τους μπορεί να ληφθεί από τον πίνακα:

* Προχωρημένη εξέταση και μεταθανάτια ανάλυση με πλήρη αεροπειρατεία κλήσεων συστήματος.

Ασφάλεια Aqua

• Website: www.aquasec.com
• Άδεια: εμπορική

Αυτό το εμπορικό εργαλείο έχει σχεδιαστεί για κοντέινερ και φόρτους εργασίας στο cloud. Παρέχει:

• Σάρωση εικόνας ενσωματωμένη με μητρώο κοντέινερ ή αγωγό CI/CD.
• Προστασία χρόνου εκτέλεσης με αναζήτηση αλλαγών σε κοντέινερ και άλλη ύποπτη δραστηριότητα.
• Εγγενές τείχος προστασίας κοντέινερ.
• Ασφάλεια για υπηρεσίες χωρίς διακομιστές σε υπηρεσίες cloud.
• Έλεγχος συμμόρφωσης και έλεγχος σε συνδυασμό με καταγραφή συμβάντων.

Σημείωση. μετάφρ.: Αξίζει επίσης να σημειωθεί ότι υπάρχουν δωρεάν συστατικό του προϊόντος που ονομάζεται MicroScanner, το οποίο σας επιτρέπει να σαρώνετε εικόνες κοντέινερ για τρωτά σημεία. Μια σύγκριση των δυνατοτήτων του με τις επί πληρωμή εκδόσεις παρουσιάζεται στο αυτό το τραπέζι.

Κάψουλα 8

• Website: capsule8.com
• Άδεια: εμπορική

Το Capsule8 ενσωματώνεται στην υποδομή εγκαθιστώντας τον ανιχνευτή σε ένα σύμπλεγμα τοπικού ή cloud Kubernetes. Αυτός ο ανιχνευτής συλλέγει τηλεμετρία κεντρικού υπολογιστή και δικτύου, συσχετίζοντάς την με διαφορετικούς τύπους επιθέσεων.

Η ομάδα Capsule8 βλέπει το καθήκον της ως τον έγκαιρο εντοπισμό και την πρόληψη επιθέσεων με τη χρήση νέων (0-ημέρα) τρωτά σημεία. Το Capsule8 μπορεί να κατεβάσει ενημερωμένους κανόνες ασφαλείας απευθείας σε ανιχνευτές ως απόκριση σε απειλές που ανακαλύφθηκαν πρόσφατα και τρωτά σημεία λογισμικού.

Καβιρίνη

• Website: www.cavirin.com
• Άδεια: εμπορική

Η Cavirin ενεργεί ως ανάδοχος της εταιρείας για διάφορους φορείς που ασχολούνται με τα πρότυπα ασφαλείας. Όχι μόνο μπορεί να σαρώσει εικόνες, αλλά μπορεί επίσης να ενσωματωθεί στη διοχέτευση CI/CD, αποκλείοντας τις μη τυπικές εικόνες πριν εισέλθουν σε κλειστά αποθετήρια.

Η σουίτα ασφαλείας του Cavirin χρησιμοποιεί μηχανική εκμάθηση για να αξιολογήσει τη στάση σας στον κυβερνοχώρο, προσφέροντας συμβουλές για τη βελτίωση της ασφάλειας και τη βελτίωση της συμμόρφωσης με τα πρότυπα ασφαλείας.

Κέντρο εντολών Google Cloud Security

• Website: cloud.google.com/security-command-center
• Άδεια: εμπορική

Το Cloud Security Command Center βοηθά τις ομάδες ασφαλείας να συλλέγουν δεδομένα, να εντοπίζουν απειλές και να τις εξαλείφουν προτού βλάψουν την εταιρεία.

Όπως υποδηλώνει το όνομα, το Google Cloud SCC είναι ένας ενοποιημένος πίνακας ελέγχου που μπορεί να ενσωματώσει και να διαχειριστεί μια ποικιλία αναφορών ασφαλείας, μηχανές λογιστικής περιουσιακών στοιχείων και συστήματα ασφαλείας τρίτων από μια ενιαία, κεντρική πηγή.

Το διαλειτουργικό API που προσφέρεται από το Google Cloud SCC διευκολύνει την ενσωμάτωση συμβάντων ασφαλείας που προέρχονται από διάφορες πηγές, όπως το Sysdig Secure (ασφάλεια κοντέινερ για εγγενείς εφαρμογές στο cloud) ή το Falco (ασφάλεια χρόνου εκτέλεσης ανοιχτού κώδικα).

Layered Insight (Qualys)

• Website: layeredinsight.com
• Άδεια: εμπορική

Το Layered Insight (τώρα μέρος της Qualys Inc) βασίζεται στην έννοια της "ενσωματωμένης ασφάλειας". Μετά τη σάρωση της αρχικής εικόνας για τρωτά σημεία χρησιμοποιώντας στατιστική ανάλυση και ελέγχους CVE, το Layered Insight την αντικαθιστά με μια εικόνα με όργανα που περιλαμβάνει τον παράγοντα ως δυαδικό.

Αυτός ο πράκτορας περιέχει δοκιμές ασφαλείας χρόνου εκτέλεσης για την ανάλυση της κυκλοφορίας του δικτύου κοντέινερ, των ροών εισόδου/εξόδου και της δραστηριότητας εφαρμογών. Επιπλέον, μπορεί να εκτελέσει πρόσθετους ελέγχους ασφαλείας που καθορίζονται από τον διαχειριστή της υποδομής ή τις ομάδες DevOps.

NeuVector

• Website: neuvector.com
• Άδεια: εμπορική

Το NeuVector ελέγχει την ασφάλεια του κοντέινερ και παρέχει προστασία χρόνου εκτέλεσης αναλύοντας τη δραστηριότητα του δικτύου και τη συμπεριφορά εφαρμογών, δημιουργώντας ένα ατομικό προφίλ ασφαλείας για κάθε κοντέινερ. Μπορεί επίσης να μπλοκάρει τις απειλές από μόνο του, απομονώνοντας ύποπτη δραστηριότητα αλλάζοντας τους τοπικούς κανόνες του τείχους προστασίας.

Η ενοποίηση δικτύου του NeuVector, γνωστή ως Security Mesh, είναι ικανή για ανάλυση πακέτων σε βάθος και φιλτράρισμα επιπέδου 7 για όλες τις συνδέσεις δικτύου στο πλέγμα υπηρεσιών.

StackRox

• Website: www.stackrox.com
• Άδεια: εμπορική

Η πλατφόρμα ασφαλείας κοντέινερ StackRox προσπαθεί να καλύψει ολόκληρο τον κύκλο ζωής των εφαρμογών Kubernetes σε ένα σύμπλεγμα. Όπως και άλλες εμπορικές πλατφόρμες σε αυτήν τη λίστα, το StackRox δημιουργεί ένα προφίλ χρόνου εκτέλεσης με βάση την παρατηρούμενη συμπεριφορά του κοντέινερ και ενεργοποιεί αυτόματα έναν συναγερμό για τυχόν αποκλίσεις.

Επιπλέον, το StackRox αναλύει τις διαμορφώσεις του Kubernetes χρησιμοποιώντας το Kubernetes CIS και άλλα βιβλία κανόνων για να αξιολογήσει τη συμμόρφωση του κοντέινερ.

Sysdig Secure

• Website: sysdig.com/products/secure
• Άδεια: εμπορική

Το Sysdig Secure προστατεύει τις εφαρμογές σε ολόκληρο τον κύκλο ζωής του κοντέινερ και του Kubernetes. Αυτός σαρώνει εικόνες δοχεία, παρέχει προστασία χρόνου εκτέλεσης σύμφωνα με τα δεδομένα μηχανικής μάθησης, εκτελεί κρέμα. τεχνογνωσία για τον εντοπισμό τρωτών σημείων, μπλοκ απειλών, παρακολουθεί συμμόρφωση με τα καθιερωμένα πρότυπα και ελέγχει τη δραστηριότητα στις μικροϋπηρεσίες.

Το Sysdig Secure ενσωματώνεται με εργαλεία CI/CD όπως το Jenkins και ελέγχει τις εικόνες που φορτώνονται από τα μητρώα Docker, αποτρέποντας την εμφάνιση επικίνδυνων εικόνων στην παραγωγή. Παρέχει επίσης ολοκληρωμένη ασφάλεια χρόνου εκτέλεσης, συμπεριλαμβανομένων:

• Προφίλ χρόνου εκτέλεσης και ανίχνευση ανωμαλιών βάσει ML.
• πολιτικές χρόνου εκτέλεσης που βασίζονται σε συμβάντα συστήματος, K8s-audit API, κοινά κοινοτικά έργα (FIM - παρακολούθηση ακεραιότητας αρχείων, cryptojacking) και πλαίσιο MITER ATT & CK;
• ανταπόκριση και επίλυση περιστατικών.

Διατηρούμενη ασφάλεια κοντέινερ

• Website: www.tenable.com/products/tenable-io/container-security
• Άδεια: εμπορική

Πριν από την εμφάνιση των κοντέινερ, η Tenable ήταν ευρέως γνωστή στη βιομηχανία ως η εταιρεία πίσω από το Nessus, ένα δημοφιλές εργαλείο κυνηγιού ευπάθειας και ελέγχου ασφάλειας.

Το Tenable Container Security αξιοποιεί την τεχνογνωσία της εταιρείας σε θέματα ασφάλειας υπολογιστών για να ενσωματώσει μια διοχέτευση CI/CD με βάσεις δεδομένων ευπάθειας, εξειδικευμένα πακέτα εντοπισμού κακόβουλου λογισμικού και συστάσεις για την επίλυση απειλών ασφαλείας.

Twistlock (Δίκτυα Πάλο Άλτο)

• Website: www.twistlock.com
• Άδεια: εμπορική

Το Twistlock προβάλλεται ως μια πλατφόρμα που επικεντρώνεται σε υπηρεσίες cloud και κοντέινερ. Το Twistlock υποστηρίζει διάφορους παρόχους cloud (AWS, Azure, GCP), ενορχηστρωτές κοντέινερ (Kubernetes, Mesospehere, OpenShift, Docker), χρόνους εκτέλεσης χωρίς διακομιστή, πλαίσια πλέγματος και εργαλεία CI/CD.

Εκτός από τις συμβατικές τεχνικές ασφάλειας εταιρικού επιπέδου, όπως η ενσωμάτωση αγωγών CI/CD ή η σάρωση εικόνων, το Twistlock χρησιμοποιεί μηχανική εκμάθηση για τη δημιουργία μοτίβων συμπεριφοράς και κανόνων δικτύου ειδικά για κοντέινερ.

Πριν από λίγο καιρό, το Twistlock αγοράστηκε από την Palo Alto Networks, στην οποία ανήκουν τα έργα Evident.io και RedLock. Δεν είναι ακόμη γνωστό πώς ακριβώς θα ενσωματωθούν αυτές οι τρεις πλατφόρμες PRISMA από το Πάλο Άλτο.

Βοηθήστε στη δημιουργία του καλύτερου καταλόγου εργαλείων ασφαλείας Kubernetes!

Προσπαθούμε να κάνουμε αυτόν τον κατάλογο όσο το δυνατόν πιο ολοκληρωμένο και γι' αυτό χρειαζόμαστε τη βοήθειά σας! Επικοινωνήστε μαζί μας (@sysdig) εάν έχετε στο μυαλό σας ένα καλό εργαλείο που αξίζει να συμπεριληφθεί σε αυτήν τη λίστα ή εάν βρείτε ένα σφάλμα/παλαιωμένες πληροφορίες.

Μπορείτε επίσης να εγγραφείτε στο δικό μας μηνιαίο ενημερωτικό δελτίο με νέα από το εγγενές οικοσύστημα του cloud και ιστορίες για ενδιαφέροντα έργα από τον κόσμο της ασφάλειας Kubernetes.

ΥΓ από τον μεταφραστή

Διαβάστε επίσης στο blog μας:

• «Εισαγωγή στις πολιτικές δικτύου Kubernetes για επαγγελματίες ασφαλείας"?
• «Docker και Kubernetes σε περιβάλλοντα ευαίσθητα στην ασφάλεια"?
• «9 βέλτιστες πρακτικές για την ασφάλεια Kubernetes"?
• «11 Τρόποι για να (Μην) Γίνετε Θύμα Hack της Kubernetes"?
• «Το OPA και το SPIFFE είναι δύο νέα έργα στο CNCF για την ασφάλεια εφαρμογών cloud».

Πηγή: www.habr.com