33+ Kubernetes-sekurecaj iloj

Notu. transl.: Se vi miras pri sekureco en Kubernetes-bazita infrastrukturo, ĉi tiu bonega superrigardo de Sysdig estas bonega deirpunkto por rapida rigardo al la nunaj solvoj. Ĝi inkluzivas ambaŭ kompleksajn sistemojn de konataj merkataj ludantoj kaj multe pli modestajn servaĵojn, kiuj solvas apartan problemon. Kaj en la komentoj, kiel ĉiam, ni ĝojos aŭdi pri via sperto uzante ĉi tiujn ilojn kaj vidos ligilojn al aliaj projektoj.

Kubernetes-sekurecaj programaroj... estas tiom da ili, ĉiu kun siaj propraj celoj, amplekso kaj licencoj.

Tial ni decidis krei ĉi tiun liston kaj inkluzivi kaj malfermfontajn projektojn kaj komercajn platformojn de malsamaj vendistoj. Ni esperas, ke ĝi helpos vin identigi tiujn, kiuj plej interesas kaj direkti vin en la ĝustan direkton laŭ viaj specifaj sekurecaj bezonoj de Kubernetes.

Kategorioj

Por fari la liston pli facile navigebla, la iloj estas organizitaj laŭ ĉefa funkcio kaj aplikaĵo. La sekvaj sekcioj estis akiritaj:

• Kubernetes bildskanado kaj statika analizo;
• Runtime sekureco;
• Kubernetes reto sekureco;
• Distribuado de bildoj kaj administrado de sekretoj;
• Kubernetes sekureca revizio;
• Ampleksaj komercaj produktoj.

Ni iru al la komerco:

Skanante bildojn de Kubernetes

Ankro

• retejo: anchore.com
• Permesilo: senpaga (Apache) kaj komerca oferto

Anchore analizas ujajn bildojn kaj permesas sekureckontrolojn bazitajn sur uzant-difinitaj politikoj.

Krom la kutima skanado de ujbildoj por konataj vundeblecoj de la CVE-datumbazo, Anchore faras multajn kromajn kontrolojn kiel parto de sia skanada politiko: kontrolas la Dockerfile, akreditaĵojn, pakaĵojn de la uzataj programlingvoj (npm, maven, ktp). .), programaraj permesiloj kaj multe pli.

clair

• retejo: coreos.com/clair (nun sub la kuratoreco de Red Hat)
• Licenco: senpaga (Apache)

Clair estis unu el la unuaj Open Source projektoj por bildskanado. Ĝi estas vaste konata kiel la sekureca skanilo malantaŭ la bilda registro de Quay (ankaŭ de CoreOS - ĉ. traduko). Clair povas kolekti CVE-informojn de ampleksa vario de fontoj, inkluzive de listoj de Linuksaj distribuaj specifaj vundeblecoj konservitaj de la sekurecaj teamoj de Debian, Red Hat aŭ Ubuntu.

Male al Anchore, Clair ĉefe temigas trovi vundeblecojn kaj kongrui datumojn al CVEoj. Tamen, la produkto ofertas al uzantoj kelkajn ŝancojn vastigi funkciojn uzante kromprogramojn.

dagda

• retejo: github.com/eliasgranderubio/dagda
• Licenco: senpaga (Apache)

Dagda faras statikan analizon de ujbildoj por konataj vundeblecoj, trojanoj, virusoj, malware kaj aliaj minacoj.

Du rimarkindaj ecoj distingas Dagda de aliaj similaj iloj:

• Ĝi integriĝas perfekte kun ClamAV, agante ne nur kiel ilo por skanado de ujbildoj, sed ankaŭ kiel antiviruso.
• Ankaŭ provizas rultempan protekton ricevante realtempajn eventojn de la Docker-demono kaj integriĝante kun Falco. (Vidu suben) kolekti sekurecajn eventojn dum la ujo funkcias.

KubeXray

• retejo: github.com/jfrog/kubexray
• Licenco: Senpaga (Apache), sed postulas datumojn de JFrog Xray (komerca produkto)

KubeXray aŭskultas eventojn de la Kubernetes API-servilo kaj uzas metadatenojn de JFrog Xray por certigi, ke nur balgoj kiuj kongruas kun la nuna politiko estas lanĉitaj.

KubeXray ne nur kontrolas novajn aŭ ĝisdatigitajn ujojn en deplojoj (similaj al la akceptoregilo en Kubernetes), sed ankaŭ dinamike kontrolas kurantajn ujojn por plenumado de novaj sekurecaj politikoj, forigante rimedojn kiuj referencas vundeblajn bildojn.

Snyk

• retejo: snyk.io
• Permesilo: senpagaj (Apache) kaj komercaj versioj

Snyk estas nekutima vundebleco skanilo ĉar ĝi specife celas la evoluprocezon kaj estas antaŭenigita kiel "esenca solvo" por programistoj.

Snyk konektas rekte al kodaj deponejoj, analizas la projektan manifeston kaj analizas la importitan kodon kune kun rektaj kaj nerektaj dependecoj. Snyk subtenas multajn popularajn programlingvojn kaj povas identigi kaŝitajn licencajn riskojn.

Trivy

• retejo: github.com/knqyf263/trivy
• Licenco: senpaga (AGPL)

Trivy estas simpla sed potenca vundebla skanilo por ujoj, kiuj facile integriĝas en CI/KD-dukton. Ĝia rimarkinda trajto estas ĝia facileco de instalado kaj funkciado: la aplikaĵo konsistas el ununura duuma kaj ne postulas instaladon de datumbazo aŭ pliaj bibliotekoj.

La malavantaĝo de la simpleco de Trivy estas, ke vi devas eltrovi kiel analizi kaj plusendi la rezultojn en JSON-formato por ke aliaj sekurecaj iloj de Kubernetes povu uzi ilin.

Rultempa sekureco en Kubernetes

Falco

• retejo: falco.org
• Licenco: senpaga (Apache)

Falco estas aro de iloj por sekurigi nubajn rultempajn mediojn. Parto de la projekta familio CNCF.

Uzante la Linuksan kern-nivelan ilaron de Sysdig kaj sisteman alvokan profiladon, Falco permesas vin plonĝi profunde en sisteman konduton. Ĝia rultempa regulmotoro kapablas detekti suspektindan agadon en aplikoj, ujoj, la subesta gastiganto kaj la Kubernetes-orkestro.

Falco provizas kompletan travideblecon en la rultempo kaj minaco-detekto deplojante specialajn agentojn sur Kubernetes-nodoj por ĉi tiuj celoj. Kiel rezulto, ne necesas modifi ujojn enkondukante triapartan kodon en ilin aŭ aldonante kromĉarujojn.

Linukso-sekurecaj kadroj por rultempo

Ĉi tiuj indiĝenaj kadroj por la Linukso-kerno ne estas "Kubernetes-sekurecaj iloj" en la tradicia signifo, sed ili estas menciindaj ĉar ili estas grava elemento en la kunteksto de rultempa sekureco, kiu estas inkluzivita en la Kubernetes Pod Security Policy (PSP).

AppArmor ligas sekurecprofilon al procezoj kurantaj en la ujo, difinante dosiersistemajn privilegiojn, retajn alirregulojn, konektante bibliotekojn, ktp. Ĉi tio estas sistemo bazita sur Mandatory Access Control (MAC). Alivorte, ĝi malhelpas malpermesitajn agojn esti faritaj.

Sekureco-Plibonigita Linukso (SELinux) estas altnivela sekureca modulo en la Linukso-kerno, simila en kelkaj aspektoj al AppArmor kaj ofte komparita kun ĝi. SELinux superas AppArmor en potenco, fleksebleco kaj personigo. Ĝiaj malavantaĝoj estas longa lernadkurbo kaj pliigita komplekseco.

Seccomp kaj seccomp-bpf permesas al vi filtri sistemajn vokojn, bloki la ekzekuton de tiuj, kiuj estas eble danĝeraj por la baza OS kaj ne necesas por la normala funkciado de uzantaj aplikaĵoj. Seccomp estas simila al Falco iel, kvankam ĝi ne konas la specifaĵojn de ujoj.

Sysdig malfermfonteco

• retejo: www.sysdig.com/opensource
• Licenco: senpaga (Apache)

Sysdig estas kompleta ilo por analizi, diagnozi kaj sencimigi Linuksajn sistemojn (ankaŭ funkcias ĉe Vindozo kaj macOS, sed kun limigitaj funkcioj). Ĝi povas esti uzata por detala informo-kolektado, konfirmo kaj krimmedicina analizo. (krimmedicino) la baza sistemo kaj ajnaj ujoj kurantaj sur ĝi.

Sysdig ankaŭ denaske subtenas ujajn rultempojn kaj Kubernetes-metadatenojn, aldonante kromajn dimensiojn kaj etikedojn al ĉiuj sistemaj kondut-informoj kiujn ĝi kolektas. Estas pluraj manieroj analizi Kubernetes-areton uzante Sysdig: vi povas fari ĝustatempan kapton per kubectl kapto aŭ lanĉi ncurses-bazitan interagan interfacon uzante kromprogramon kubectl dig.

Kubernetes Reta Sekureco

Aporeto

• retejo: www.aporeto.com
• Licenco: komerca

Aporeto proponas "sekurecon apartigita de la reto kaj infrastrukturo." Ĉi tio signifas, ke Kubernetes-servoj ne nur ricevas lokan identigilon (t.e. ServiceAccount en Kubernetes), sed ankaŭ universalan identigilon/fingrospuron, kiu povas esti uzata por sekure kaj reciproke komuniki kun iu ajn alia servo, ekzemple en OpenShift-areto.

Aporeto kapablas generi unikan identigilon ne nur por Kubernetes/ujoj, sed ankaŭ por gastigantoj, nubaj funkcioj kaj uzantoj. Depende de ĉi tiuj identigiloj kaj la aro de retaj sekurecaj reguloj fiksitaj de la administranto, komunikadoj estos permesitaj aŭ blokitaj.

Kalico

• retejo: www.projectcalico.org
• Licenco: senpaga (Apache)

Calico estas kutime deplojita dum ujo-orkestratorinstalado, permesante al vi krei virtualan reton, kiu interligas ujojn. Aldone al ĉi tiu baza retfunkcieco, la Calico-projekto funkcias kun Kubernetes Retaj Politikoj kaj sia propra aro de retaj sekurecprofiloj, subtenas finpunktojn ACL-ojn (listoj de alirkontrolo) kaj komentario-bazitaj retaj sekurecreguloj por Eniro kaj Eliro-trafiko.

Cilio

• retejo: www.cilium.io
• Licenco: senpaga (Apache)

Cilium funkcias kiel fajroŝirmilo por ujoj kaj disponigas retajn sekurecajn funkciojn denaske adaptitajn al Kubernetes kaj mikroservoj. Cilium uzas novan Linuksan kernan teknologion nomatan BPF (Berkeley Packet Filter) por filtri, monitori, alidirekti kaj korekti datumojn.

Cilium kapablas deploji retajn alirpolitikojn bazitajn sur ujo-identigiloj uzante etikedojn kaj metadatenojn de Docker aŭ Kubernetes. Cilium ankaŭ komprenas kaj filtras diversajn Tavolon 7-protokolojn kiel HTTP aŭ gRPC, permesante al vi difini aron da REST-vokoj kiuj estos permesitaj inter du Kubernetes-deplojoj, ekzemple.

Istio

• retejo: istio.io
• Licenco: senpaga (Apache)

Istio estas vaste konata pro efektivigado de la servo-maŝo-paradigmo deplojante platform-sendependan kontrolaviadilon kaj direktante ĉiun administritan servatrafikon per dinamike agordeblaj Envoy-prokuriloj. Istio utiligas ĉi tiun altnivelan vidon de ĉiuj mikroservoj kaj ujoj por efektivigi diversajn retajn sekurecajn strategiojn.

La retsekurecaj kapabloj de Istio inkluzivas travideblan TLS-ĉifradon por aŭtomate ĝisdatigi komunikadojn inter mikroservoj al HTTPS, kaj proprietan RBAC-identigon kaj rajtigan sistemon por permesi/nei komunikadon inter malsamaj laborkvantoj en la areto.

Notu. transl.: Por lerni pli pri la sekurec-fokusitaj kapabloj de Istio, legu ĉi tiu artikolo.

Tigero

• retejo: www.tigera.io
• Licenco: komerca

Nomita la "Kubernetes Fajromuro", ĉi tiu solvo emfazas nul-fidan aliron al reto-sekureco.

Simile al aliaj denaskaj interretaj solvoj de Kubernetes, Tigera dependas de metadatenoj por identigi la diversajn servojn kaj objektojn en la areto kaj disponigas rultempan problemon detekton, kontinuan konforman kontroladon kaj retan videblecon por plurnubaj aŭ hibridaj monolit-enhavitaj infrastrukturoj.

Trireme

• retejo: www.aporeto.com/opensource
• Licenco: senpaga (Apache)

Trireme-Kubernetes estas simpla kaj simpla efektivigo de la specifo de Kubernetes Network Policies. La plej rimarkinda trajto estas ke - male al similaj Kubernetes-retaj sekurecproduktoj - ĝi ne postulas centran kontrolaviadilon por kunordigi la maŝon. Ĉi tio faras la solvon bagatele skalebla. En Trireme, ĉi tio estas atingita instalante agenton sur ĉiu nodo, kiu rekte konektas al la stako TCP/IP de la gastiganto.

Bilda Disvastigo kaj Sekreta Administrado

Grafeas

• retejo: grafeas.io
• Licenco: senpaga (Apache)

Grafeas estas malfermfonta API por kontrolado kaj administrado de programaro provizoĉeno. Sur baza nivelo, Grafeas estas ilo por kolekti metadatenojn kaj reviziajn rezultojn. Ĝi povas esti uzata por spuri konformecon al sekurecaj plej bonaj praktikoj ene de organizo.

Ĉi tiu centralizita fonto de vero helpas respondi demandojn kiel:

• Kiu kolektis kaj subskribis por aparta ujo?
• Ĉu ĝi trapasis ĉiujn sekurecajn skanaĵojn kaj kontrolojn postulatajn de la sekureca politiko? Kiam? Kio estis la rezultoj?
• Kiu deplojis ĝin al produktado? Kiuj specifaj parametroj estis uzitaj dum deplojo?

En-toto

• retejo: in-toto.github.io
• Licenco: senpaga (Apache)

In-toto estas kadro dizajnita por disponigi integrecon, aŭtentikigon kaj revizion de la tuta programara provizoĉeno. Dum deplojado de In-toto en infrastrukturo, plano unue estas difinita kiu priskribas la diversajn paŝojn en la dukto (deponejo, CI/KD-iloj, QA-iloj, artefaktaj kolektantoj, ktp.) kaj la uzantojn (respondecaj personoj) kiuj rajtas fari. iniciati ilin.

In-toto kontrolas la plenumon de la plano, kontrolante, ke ĉiu tasko en la ĉeno estas plenumita ĝuste de rajtigita dungitaro kaj ke neniuj neaŭtorizitaj manipuladoj estis faritaj kun la produkto dum movado.

Portieris

• retejo: github.com/IBM/portieris
• Licenco: senpaga (Apache)

Portieris estas akceptoregilo por Kubernetes; uzata por devigi enhavajn fidkontrolojn. Portieris uzas servilon Notario (ni skribis pri li fine ĉi tiu artikolo - ĉ. traduko) kiel fonto de vero por validigi fidindajn kaj subskribitajn artefaktojn (t.e. aprobitajn ujbildojn).

Kiam laborkvanto estas kreita aŭ modifita en Kubernetes, Portieris elŝutas la subskribajn informojn kaj enhavan fidan politikon por la petitaj ujbildoj kaj, se necese, faras tujŝanĝojn al la JSON API-objekto por ruli subskribitajn versiojn de tiuj bildoj.

volbo

• retejo: www.vaultproject.io
• Licenco: senpaga (MPL)

Vault estas sekura solvo por stoki privatajn informojn: pasvortoj, OAuth-ĵetonoj, PKI-atestiloj, alirkontoj, Kubernetes-sekretoj ktp. Vault subtenas multajn altnivelajn funkciojn, kiel luado de efemeraj sekurecaj ĵetonoj aŭ organizado de ŝlosilrotacio.

Uzante la Helm-diagramon, Vault povas esti deplojita kiel nova deplojo en Kubernetes-areto kun Consul kiel backend-stokado. Ĝi subtenas indiĝenajn Kubernetes-resursojn kiel ServiceAccount-ĵetonojn kaj eĉ povas funkcii kiel la defaŭlta vendejo por Kubernetes-sekretoj.

Notu. transl.: Cetere, ĝuste hieraŭ la kompanio HashiCorp, kiu disvolvas Vault, anoncis iujn plibonigojn por uzi Vault en Kubernetes, kaj precipe ili rilatas al la Helm-diagramo. Legu pli en blogo de programistoj.

Kubernetes Sekureca Revizio

Kube-benko

• retejo: github.com/aquasecurity/kube-bench
• Licenco: senpaga (Apache)

Kube-bench estas Go-apliko, kiu kontrolas ĉu Kubernetes estas sekure deplojita per testoj el listo. CIS Kubernetes Benchmark.

Kube-bench serĉas nesekurajn agordajn agordojn inter aretkomponentoj (k.t.p., API, regilo-manaĝero, ktp.), dubindajn dosierojn alirrajtojn, neprotektajn kontojn aŭ malfermajn havenojn, rimedkvotojn, agordojn por limigi la nombron da API-vokoj por protekti kontraŭ DoS-atakoj. , ktp.

Kube-ĉasisto

• retejo: github.com/aquasecurity/kube-hunter
• Licenco: senpaga (Apache)

Kube-ĉasisto ĉasas eblajn vundeblecojn (kiel ekzekuto de fora kodo aŭ malkaŝo de datumoj) en Kubernetes-aretoj. Kube-hunter povas esti rulita kiel fora skanilo - en kiu kazo ĝi taksos la areton el la vidpunkto de triaparta atakanto - aŭ kiel pod ene de la areto.

Karakterizaĵo de Kube-hunter estas ĝia "aktiva ĉasado" reĝimo, dum kiu ĝi ne nur raportas problemojn, sed ankaŭ provas utiligi vundeblecojn malkovritajn en la cela areto, kiuj eble povus damaĝi ĝian funkciadon. Do uzu kun singardemo!

Kubeaudit

• retejo: github.com/Shopify/kubeaudit
• Licenco: senpaga (MIT)

Kubeaudit estas konzola ilo origine evoluigita ĉe Shopify por revizii Kubernetes-agordon por diversaj sekurecaj problemoj. Ekzemple, ĝi helpas identigi ujojn kurantajn senrestrikte, funkciante kiel radiko, misuzante privilegiojn aŭ uzante la defaŭltan ServiceAccount.

Kubeaudit havas aliajn interesajn funkciojn. Ekzemple, ĝi povas analizi lokajn YAML-dosierojn, identigi agordajn difektojn, kiuj povus konduki al sekurecaj problemoj, kaj aŭtomate ripari ilin.

Kubesec

• retejo: kubesec.io
• Licenco: senpaga (Apache)

Kubesec estas speciala ilo ĉar ĝi rekte skanas YAML-dosierojn, kiuj priskribas Kubernetes-resursojn, serĉante malfortajn parametrojn, kiuj povus influi sekurecon.

Ekzemple, ĝi povas detekti troajn privilegiojn kaj permesojn donitajn al pod, rulante ujon kun radiko kiel la defaŭlta uzanto, konektante al la retnomspaco de la gastiganto, aŭ danĝerajn muntadojn kiel /proc gastiganto aŭ Docker-ingo. Alia interesa trajto de Kubesec estas la demo-servo disponebla interrete, en kiu oni povas alŝuti YAML kaj tuj analizi ĝin.

Malfermu Politikan Agenton

• retejo: www.openpolicyagent.org
• Licenco: senpaga (Apache)

La koncepto de OPA (Open Policy Agent) estas malkunligi sekurecpolitikojn kaj sekurecajn plej bonajn praktikojn de specifa rultempa platformo: Docker, Kubernetes, Mezosfero, OpenShift, aŭ ajna kombinaĵo de tio.

Ekzemple, vi povas disfaldi OPA kiel backend por la akceptoregilo de Kubernetes, delegante sekurecajn decidojn al ĝi. Tiel, la OPA-agento povas validigi, malakcepti, kaj eĉ modifi petojn sur la flugo, certigante ke la specifitaj sekurecaj parametroj estas plenumitaj. La sekurecpolitikoj de OPA estas skribitaj en ĝia proprieta DSL-lingvo, Rego.

Notu. transl.: Ni skribis pli pri OPA (kaj SPIFFE) en ĉi tiu materialo.

Ampleksaj komercaj iloj por sekureca analizo de Kubernetes

Ni decidis krei apartan kategorion por komercaj platformoj ĉar ili kutime kovras plurajn sekurecajn areojn. Ĝenerala ideo pri iliaj kapabloj povas esti akirita de la tabelo:

* Altnivela ekzameno kaj postmorta analizo kun kompleta sistemvoka kapero.

Aqua Sekureco

• retejo: www.aquasec.com
• Licenco: komerca

Ĉi tiu komerca ilo estas desegnita por ujoj kaj nubaj laborŝarĝoj. Ĝi provizas:

• Bilda skanado integrita kun kontenera registro aŭ CI/KD-dukto;
• Rultempa protekto kun serĉo de ŝanĝoj en ujoj kaj alia suspektinda agado;
• Konten-denaska fajroŝirmilo;
• Sekureco por senservilo en nubaj servoj;
• Konforme-testado kaj revizio kombinita kun evento-registrado.

Notu. transl.: Indas ankaŭ rimarki, ke ekzistas libera komponanto de la produkto nomita MicroScanner, kiu permesas vin skani ujajn bildojn por vundeblecoj. Komparo de ĝiaj kapabloj kun pagitaj versioj estas prezentita en ĉi tiu tablo.

Kapsulo 8

• retejo: kapsulo8.com
• Licenco: komerca

Capsule8 integriĝas en la infrastrukturon instalante la detektilon sur loka aŭ nuba Kubernetes-areo. Ĉi tiu detektilo kolektas gastiganton kaj retan telemetrion, korelaciante ĝin kun malsamaj specoj de atakoj.

La teamo Capsule8 vidas sian taskon kiel frua detekto kaj antaŭzorgo de atakoj uzante novan (0-tago) vundeblecoj. Capsule8 povas elŝuti ĝisdatigitajn sekurecajn regulojn rekte al detektiloj en respondo al lastatempe malkovritaj minacoj kaj programaraj vundeblecoj.

Cavirin

• retejo: www.cavirin.com
• Licenco: komerca

Cavirin funkcias kiel firmao-flanka entreprenisto por diversaj agentejoj implikitaj en sekurecnormoj. Ĝi ne nur povas skani bildojn, sed ĝi ankaŭ povas integriĝi en la CI/KD-dukton, blokante ne-normajn bildojn antaŭ ol ili eniras fermitajn deponejojn.

La sekureca serio de Cavirin uzas maŝinlernadon por taksi vian cibersekurecan pozicion, proponante konsiletojn por plibonigi sekurecon kaj plibonigi konformecon al sekurecnormoj.

Google Cloud Security Command Center

• retejo: cloud.google.com/security-command-center
• Licenco: komerca

Cloud Security Command Center helpas al sekurecaj teamoj kolekti datumojn, identigi minacojn kaj forigi ilin antaŭ ol ili damaĝas la kompanion.

Kiel la nomo sugestas, Google Cloud SCC estas unuigita kontrolpanelo kiu povas integri kaj administri diversajn sekurecajn raportojn, aktivojn kontadajn motorojn kaj triajn sekurecajn sistemojn de ununura, centralizita fonto.

La interfunkciebla API ofertita de Google Cloud SCC faciligas integri sekurecajn eventojn venantajn de diversaj fontoj, kiel Sysdig Secure (ujo-sekureco por nubo-denaskaj aplikoj) aŭ Falco (Malfermfonta rultempa sekureco).

Tavoligita Enrigardo (Qualys)

• retejo: layeredinsight.com
• Licenco: komerca

Layered Insight (nun parto de Qualys Inc) estas konstruita sur la koncepto de "enigita sekureco". Post skanado de la originala bildo por vundeblecoj uzante statistikan analizon kaj CVE-kontrolojn, Layered Insight anstataŭigas ĝin per instrumentita bildo, kiu inkluzivas la agenton kiel binaron.

Ĉi tiu agento enhavas rultempajn sekurecajn testojn por analizi konteneran rettrafikon, I/O-fluojn kaj aplikaĵon. Krome, ĝi povas fari pliajn sekurecajn kontrolojn specifitajn de la infrastruktura administranto aŭ DevOps-teamoj.

NeuVector

• retejo: neuvector.com
• Licenco: komerca

NeuVector kontrolas ujo-sekurecon kaj provizas rultempan protekton analizante retan agadon kaj aplikan konduton, kreante individuan sekurecprofilon por ĉiu ujo. Ĝi ankaŭ povas bloki minacojn memstare, izolante suspektindan agadon ŝanĝante lokajn fajroŝirmigajn regulojn.

La reto-integriĝo de NeuVector, konata kiel Security Mesh, kapablas je profunda paka analizo kaj tavola 7 filtrado por ĉiuj retaj konektoj en la servomaŝo.

StackRox

• retejo: www.stackrox.com
• Licenco: komerca

La StackRox-ujo sekureca platformo klopodas kovri la tutan vivociklon de Kubernetes-aplikoj en areto. Kiel aliaj komercaj platformoj en ĉi tiu listo, StackRox generas rultempan profilon bazitan sur observita ujo-konduto kaj aŭtomate vekas alarmon por ajnaj devioj.

Aldone, StackRox analizas Kubernetes-agordojn uzante la Kubernetes CIS kaj aliajn regullibrojn por taksi kontenerkonformecon.

Sysdig Sekura

• retejo: sysdig.com/products/secure
• Licenco: komerca

Sysdig Secure protektas aplikojn tra la tuta ujo kaj la vivociklo de Kubernetes. Li skanas bildojn ujoj, provizas rultempa protekto laŭ maŝinlernado datumoj, elfaras kremo. kompetenteco por identigi vundeblecojn, bloki minacojn, monitorojn konforme al establitaj normoj kaj kontrolas agadon en mikroservoj.

Sysdig Secure integriĝas kun CI/KD-iloj kiel Jenkins kaj kontrolas bildojn ŝarĝitajn el Docker-registroj, malhelpante danĝerajn bildojn aperi en produktado. Ĝi ankaŭ disponigas ampleksan rultempan sekurecon, inkluzive de:

• ML-bazita rultempa profilado kaj anomaliodetekto;
• rultempaj politikoj bazitaj sur sistemaj eventoj, K8s-audit API, komunaj komunumaj projektoj (FIM - dosiera integrecmonitorado; kriptojacking) kaj kadro MITRE AT&CK;
• respondo kaj solvado de incidentoj.

Tenable Container Security

• retejo: www.tenable.com/products/tenable-io/container-security
• Licenco: komerca

Antaŭ la apero de ujoj, Tenable estis vaste konata en la industrio kiel la firmao malantaŭ Nessus, populara vundebleco-ĉasado kaj sekureca revizia ilo.

Tenable Container Security ekspluatas la komputilsekurecan kompetentecon de la firmao por integri CI/KD-dukton kun vundeblaj datumbazoj, specialiĝintaj malware-detektopakaĵoj kaj rekomendoj por solvi sekurecminacojn.

Twistlock (Palo Alto Networks)

• retejo: www.twistlock.com
• Licenco: komerca

Twistlock promocias sin kiel platformo koncentrita al nubaj servoj kaj ujoj. Twistlock subtenas diversajn nubajn provizantojn (AWS, Azure, GCP), ujajn orkestrantojn (Kubernetes, Mesospehere, OpenShift, Docker), senservilajn rultempojn, maŝkadrojn kaj CI/KD-iloj.

Aldone al konvenciaj entrepren-nivelaj sekurecteknikoj kiel ekzemple CI/KD-dukto-integriĝo aŭ bildskanado, Twistlock uzas maŝinlernadon por generi kontener-specifajn kondutpadronojn kaj retajn regulojn.

Antaŭ iom da tempo, Twistlock estis aĉetita de Palo Alto Networks, kiu posedas la projektojn Evident.io kaj RedLock. Oni ankoraŭ ne scias, kiel precize ĉi tiuj tri platformoj estos integritaj Prisma el Palo Alto.

Helpu konstrui la plej bonan katalogon de Kubernetes-sekurecaj iloj!

Ni strebas fari ĉi tiun katalogon kiel eble plej kompleta, kaj por tio ni bezonas vian helpon! Kontaktu nin (@sysdig) se vi havas bonegan ilon en menso, kiu indas esti inkluzivita en ĉi tiu listo, aŭ vi trovas eraron/malmodernan informon.

Vi ankaŭ povas aboni nian monata bulteno kun novaĵoj de la nubo-denaska ekosistemo kaj rakontoj pri interesaj projektoj el la mondo de Kubernetes sekureco.

PS de tradukisto

Legu ankaŭ en nia blogo:

• «Enkonduko al Kubernetes Retaj Politikoj por Sekurecaj Profesiuloj»;
• «Docker kaj Kubernetes en sekurec-sentemaj medioj»;
• «9 Plej bonaj Praktikoj pri Sekureco de Kubernetes»;
• «11 Manieroj (Ne) Fariĝi Viktimo de Kubernetes Hako»;
• «OPA kaj SPIFFE estas du novaj projektoj ĉe CNCF por sekureco de nuba aplikaĵo".

fonto: www.habr.com