Nota. traducir: Si se pregunta acerca de la seguridad en la infraestructura basada en Kubernetes, esta excelente descripción general de Sysdig es un excelente punto de partida para echar un vistazo rápido a las soluciones actuales. Incluye tanto sistemas complejos de conocidos actores del mercado como utilidades mucho más modestas que resuelven un problema particular. Y en los comentarios, como siempre, estaremos encantados de conocer tu experiencia utilizando estas herramientas y ver enlaces a otros proyectos.
Productos de software de seguridad de Kubernetes... hay muchísimos, cada uno con sus propios objetivos, alcance y licencias.
Por eso decidimos crear esta lista e incluir tanto proyectos de código abierto como plataformas comerciales de diferentes proveedores. Esperamos que le ayude a identificar los que son de mayor interés y le oriente en la dirección correcta según sus necesidades específicas de seguridad de Kubernetes.
categoría
Para facilitar la navegación por la lista, las herramientas están organizadas por función principal y aplicación. Se obtuvieron las siguientes secciones:
- Escaneo de imágenes y análisis estático de Kubernetes;
- Seguridad en tiempo de ejecución;
- Seguridad de la red Kubernetes;
- Distribución de imágenes y gestión de secretos;
- Auditoría de seguridad de Kubernetes;
- Productos comerciales integrales.
Vamos a ir al grano:
Escaneando imágenes de Kubernetes
ancla
- Página Web:
- Licencia: gratuita (Apache) y oferta comercial
Anchore analiza imágenes de contenedores y permite controles de seguridad basados en políticas definidas por el usuario.
Además del escaneo habitual de imágenes de contenedores en busca de vulnerabilidades conocidas de la base de datos CVE, Anchore realiza muchas comprobaciones adicionales como parte de su política de escaneo: verifica el Dockerfile, fugas de credenciales, paquetes de los lenguajes de programación utilizados (npm, maven, etc. .), licencias de software y mucho más.
Clair
- Página Web: (ahora bajo la tutela de Red Hat)
- Licencia: gratuita (Apache)
Clair fue uno de los primeros proyectos de código abierto para escaneo de imágenes. Es ampliamente conocido como el escáner de seguridad detrás del registro de imágenes de Quay. (también de CoreOS - aprox. traducción). Clair puede recopilar información CVE de una amplia variedad de fuentes, incluidas listas de vulnerabilidades específicas de distribuciones de Linux mantenidas por los equipos de seguridad de Debian, Red Hat o Ubuntu.
A diferencia de Anchore, Clair se centra principalmente en encontrar vulnerabilidades y hacer coincidir datos con CVE. Sin embargo, el producto ofrece a los usuarios algunas oportunidades para ampliar las funciones mediante controladores enchufables.
Dagda
- Página Web:
- Licencia: gratuita (Apache)
Dagda realiza análisis estático de imágenes de contenedores en busca de vulnerabilidades conocidas, troyanos, virus, malware y otras amenazas.
Dos características notables distinguen a Dagda de otras herramientas similares:
- Se integra perfectamente con , actuando no sólo como herramienta para escanear imágenes de contenedores, sino también como antivirus.
- También proporciona protección en tiempo de ejecución al recibir eventos en tiempo real del demonio Docker y al integrarse con Falco. (vea abajo) para recopilar eventos de seguridad mientras el contenedor se está ejecutando.
KubeXray
- Página Web:
- Licencia: Gratis (Apache), pero requiere datos de JFrog Xray (producto comercial)
KubeXray escucha eventos del servidor API de Kubernetes y utiliza metadatos de JFrog Xray para garantizar que solo se inicien los pods que coincidan con la política actual.
KubeXray no solo audita contenedores nuevos o actualizados en implementaciones (similar al controlador de admisión en Kubernetes), sino que también verifica dinámicamente que los contenedores en ejecución cumplan con las nuevas políticas de seguridad, eliminando recursos que hacen referencia a imágenes vulnerables.
snyk
- Página Web:
- Licencia: versión gratuita (Apache) y comercial
Snyk es un escáner de vulnerabilidades inusual porque se dirige específicamente al proceso de desarrollo y se promociona como una "solución esencial" para los desarrolladores.
Snyk se conecta directamente a los repositorios de código, analiza el manifiesto del proyecto y analiza el código importado junto con las dependencias directas e indirectas. Snyk admite muchos lenguajes de programación populares y puede identificar riesgos de licencia ocultos.
curiosidades
- Página Web:
- Licencia: gratuita (AGPL)
Trivy es un escáner de vulnerabilidades simple pero potente para contenedores que se integra fácilmente en una canalización de CI/CD. Su característica destacable es su facilidad de instalación y funcionamiento: la aplicación consta de un único binario y no requiere instalación de base de datos ni bibliotecas adicionales.
La desventaja de la simplicidad de Trivy es que hay que descubrir cómo analizar y reenviar los resultados en formato JSON para que otras herramientas de seguridad de Kubernetes puedan utilizarlos.
Seguridad en tiempo de ejecución en Kubernetes
Falco
- Página Web:
- Licencia: gratuita (Apache)
Falco es un conjunto de herramientas para proteger los entornos de ejecución en la nube. Parte de la familia del proyecto. .
Utilizando las herramientas a nivel del kernel de Linux de Sysdig y el perfilado de llamadas al sistema, Falco le permite profundizar en el comportamiento del sistema. Su motor de reglas de tiempo de ejecución es capaz de detectar actividad sospechosa en aplicaciones, contenedores, el host subyacente y el orquestador de Kubernetes.
Falco proporciona total transparencia en el tiempo de ejecución y detección de amenazas mediante la implementación de agentes especiales en los nodos de Kubernetes para estos fines. Como resultado, no es necesario modificar los contenedores introduciendo código de terceros en ellos o agregando contenedores complementarios.
Marcos de seguridad de Linux para tiempo de ejecución
Estos marcos nativos para el kernel de Linux no son “herramientas de seguridad de Kubernetes” en el sentido tradicional, pero vale la pena mencionarlos porque son un elemento importante en el contexto de la seguridad en tiempo de ejecución, que se incluye en la Política de seguridad de pods (PSP) de Kubernetes.
adjunta un perfil de seguridad a los procesos que se ejecutan en el contenedor, definiendo privilegios del sistema de archivos, reglas de acceso a la red, conexión de bibliotecas, etc. Este es un sistema basado en Control de Acceso Obligatorio (MAC). En otras palabras, impide que se realicen acciones prohibidas.
Linux con seguridad mejorada () es un módulo de seguridad avanzado en el kernel de Linux, similar en algunos aspectos a AppArmor y, a menudo, comparado con él. SELinux es superior a AppArmor en potencia, flexibilidad y personalización. Sus desventajas son una larga curva de aprendizaje y una mayor complejidad.
y seccomp-bpf le permiten filtrar llamadas al sistema, bloquear la ejecución de aquellas que son potencialmente peligrosas para el sistema operativo base y no son necesarias para el funcionamiento normal de las aplicaciones del usuario. Seccomp es similar a Falco en algunos aspectos, aunque no conoce los detalles de los contenedores.
Código abierto Sysdig
- Página Web:
- Licencia: gratuita (Apache)
Sysdig es una completa herramienta para analizar, diagnosticar y depurar sistemas Linux (también funciona en Windows y macOS, pero con funciones limitadas). Se puede utilizar para la recopilación, verificación y análisis forense de información detallada. (medicina forense) el sistema base y cualquier contenedor que se ejecute en él.
Sysdig también admite de forma nativa tiempos de ejecución de contenedores y metadatos de Kubernetes, agregando dimensiones y etiquetas adicionales a toda la información de comportamiento del sistema que recopila. Hay varias formas de analizar un clúster de Kubernetes utilizando Sysdig: puede realizar una captura en un momento dado a través de o iniciar una interfaz interactiva basada en ncurses usando un complemento .
Seguridad de la red Kubernetes
Aporeto
- Página Web:
- Licencia: comercial
Aporeto ofrece "seguridad separada de la red y la infraestructura". Esto significa que los servicios de Kubernetes no solo reciben una identificación local (es decir, ServiceAccount en Kubernetes), sino también una identificación/huella digital universal que se puede usar para comunicarse de forma segura y mutua con cualquier otro servicio, por ejemplo, en un clúster de OpenShift.
Aporeto es capaz de generar una identificación única no solo para Kubernetes/contenedores, sino también para hosts, funciones de la nube y usuarios. Dependiendo de estos identificadores y del conjunto de reglas de seguridad de la red marcadas por el administrador, se permitirán o bloquearán las comunicaciones.
Calicó
- Página Web:
- Licencia: gratuita (Apache)
Calico generalmente se implementa durante la instalación de un orquestador de contenedores, lo que le permite crear una red virtual que interconecta contenedores. Además de esta funcionalidad de red básica, el proyecto Calico trabaja con políticas de red de Kubernetes y su propio conjunto de perfiles de seguridad de red, admite ACL (listas de control de acceso) de terminales y reglas de seguridad de red basadas en anotaciones para el tráfico de entrada y salida.
Cilio
- Página Web:
- Licencia: gratuita (Apache)
Cilium actúa como un firewall para contenedores y proporciona funciones de seguridad de red adaptadas de forma nativa a Kubernetes y cargas de trabajo de microservicios. Cilium utiliza una nueva tecnología del kernel de Linux llamada BPF (Berkeley Packet Filter) para filtrar, monitorear, redirigir y corregir datos.
Cilium es capaz de implementar políticas de acceso a la red basadas en ID de contenedores utilizando etiquetas y metadatos de Docker o Kubernetes. Cilium también comprende y filtra varios protocolos de Capa 7, como HTTP o gRPC, lo que le permite definir un conjunto de llamadas REST que se permitirán entre dos implementaciones de Kubernetes, por ejemplo.
Istio
- Página Web:
- Licencia: gratuita (Apache)
Istio es ampliamente conocido por implementar el paradigma de malla de servicios mediante la implementación de un plano de control independiente de la plataforma y el enrutamiento de todo el tráfico de servicios administrados a través de proxies Envoy configurables dinámicamente. Istio aprovecha esta vista avanzada de todos los microservicios y contenedores para implementar varias estrategias de seguridad de red.
Las capacidades de seguridad de red de Istio incluyen cifrado TLS transparente para actualizar automáticamente las comunicaciones entre microservicios a HTTPS y un sistema propietario de identificación y autorización RBAC para permitir/denegar la comunicación entre diferentes cargas de trabajo en el clúster.
Nota. traducir: Para obtener más información sobre las capacidades centradas en la seguridad de Istio, lea .
tigrea
- Página Web:
- Licencia: comercial
Esta solución, denominada "Kubernetes Firewall", enfatiza un enfoque de confianza cero para la seguridad de la red.
Al igual que otras soluciones de redes nativas de Kubernetes, Tigera se basa en metadatos para identificar los diversos servicios y objetos en el clúster y proporciona detección de problemas en tiempo de ejecución, verificación continua del cumplimiento y visibilidad de la red para infraestructuras de múltiples nubes o híbridas en contenedores monolíticos.
trirreme
- Página Web:
- Licencia: gratuita (Apache)
Trireme-Kubernetes es una implementación simple y directa de la especificación de políticas de red de Kubernetes. La característica más notable es que, a diferencia de productos similares de seguridad de red de Kubernetes, no requiere un plano de control central para coordinar la malla. Esto hace que la solución sea trivialmente escalable. En Trireme, esto se logra instalando un agente en cada nodo que se conecta directamente a la pila TCP/IP del host.
Propagación de imágenes y gestión de secretos
Grafeas
- Página Web:
- Licencia: gratuita (Apache)
Grafeas es una API de código abierto para la gestión y auditoría de la cadena de suministro de software. En un nivel básico, Grafeas es una herramienta para recopilar metadatos y resultados de auditoría. Se puede utilizar para realizar un seguimiento del cumplimiento de las mejores prácticas de seguridad dentro de una organización.
Esta fuente centralizada de verdad ayuda a responder preguntas como:
- ¿Quién recogió y firmó un contenedor en particular?
- ¿Ha pasado todos los análisis y comprobaciones de seguridad requeridos por la política de seguridad? ¿Cuando? ¿Cuáles fueron los resultados?
- ¿Quién lo implementó en producción? ¿Qué parámetros específicos se utilizaron durante la implementación?
En Toto
- Página Web:
- Licencia: gratuita (Apache)
In-toto es un marco diseñado para proporcionar integridad, autenticación y auditoría de toda la cadena de suministro de software. Al implementar In-toto en una infraestructura, primero se define un plan que describe los distintos pasos del proceso (repositorio, herramientas de CI/CD, herramientas de control de calidad, recopiladores de artefactos, etc.) y los usuarios (personas responsables) a quienes se les permite iniciarlos.
In-toto monitoriza la ejecución del plan, verificando que cada tarea de la cadena sea realizada correctamente únicamente por personal autorizado y que no se hayan realizado manipulaciones no autorizadas con el producto durante el movimiento.
Portieris
- Página Web:
- Licencia: gratuita (Apache)
Portieris es un controlador de admisión para Kubernetes; se utiliza para hacer cumplir las comprobaciones de confianza del contenido. Portieris utiliza un servidor (escribimos sobre él al final - aprox. traducción) como fuente de verdad para validar artefactos confiables y firmados (es decir, imágenes de contenedores aprobadas).
Cuando se crea o modifica una carga de trabajo en Kubernetes, Portieris descarga la información de firma y la política de confianza del contenido para las imágenes del contenedor solicitadas y, si es necesario, realiza cambios sobre la marcha en el objeto API JSON para ejecutar versiones firmadas de esas imágenes.
Bóveda
- Página Web:
- Licencia: gratuita (MPL)
Vault es una solución segura para almacenar información privada: contraseñas, tokens OAuth, certificados PKI, cuentas de acceso, secretos de Kubernetes, etc. Vault admite muchas funciones avanzadas, como el arrendamiento de tokens de seguridad efímeros o la organización de la rotación de claves.
Usando el gráfico de Helm, Vault se puede implementar como una nueva implementación en un clúster de Kubernetes con Consul como almacenamiento de backend. Admite recursos nativos de Kubernetes, como tokens ServiceAccount, e incluso puede actuar como almacén predeterminado para los secretos de Kubernetes.
Nota. traducir: Por cierto, ayer la empresa HashiCorp, que desarrolla Vault, anunció algunas mejoras en el uso de Vault en Kubernetes y, en particular, se relacionan con el gráfico Helm. Leer más en .
Auditoría de seguridad de Kubernetes
banco Kube
- Página Web:
- Licencia: gratuita (Apache)
Kube-bench es una aplicación Go que comprueba si Kubernetes está implementado de forma segura ejecutando pruebas desde una lista. .
Kube-bench busca configuraciones inseguras entre los componentes del clúster (etcd, API, administrador de controladores, etc.), derechos de acceso a archivos cuestionables, cuentas desprotegidas o puertos abiertos, cuotas de recursos, configuraciones para limitar la cantidad de llamadas API para proteger contra ataques DoS , etc.
cazador de Kube
- Página Web:
- Licencia: gratuita (Apache)
Kube-hunter busca posibles vulnerabilidades (como la ejecución remota de código o la divulgación de datos) en los clústeres de Kubernetes. Kube-hunter se puede ejecutar como un escáner remoto (en cuyo caso evaluará el clúster desde el punto de vista de un atacante externo) o como un pod dentro del clúster.
Una característica distintiva de Kube-hunter es su modo de "caza activa", durante el cual no solo informa problemas, sino que también intenta aprovechar las vulnerabilidades descubiertas en el clúster objetivo que podrían dañar su funcionamiento. ¡Así que úselo con precaución!
Kubeaudit
- Página Web:
- Licencia: gratuita (MIT)
Kubeaudit es una herramienta de consola desarrollada originalmente en Shopify para auditar la configuración de Kubernetes en busca de diversos problemas de seguridad. Por ejemplo, ayuda a identificar contenedores que se ejecutan sin restricciones, que se ejecutan como root, que abusan de privilegios o que utilizan la cuenta de servicio predeterminada.
Kubeaudit tiene otras características interesantes. Por ejemplo, puede analizar archivos YAML locales, identificar fallas de configuración que podrían provocar problemas de seguridad y solucionarlos automáticamente.
Kubesec
- Página Web:
- Licencia: gratuita (Apache)
Kubesec es una herramienta especial porque escanea directamente archivos YAML que describen los recursos de Kubernetes, en busca de parámetros débiles que podrían afectar la seguridad.
Por ejemplo, puede detectar privilegios y permisos excesivos otorgados a un pod, ejecutar un contenedor con root como usuario predeterminado, conectarse al espacio de nombres de red del host o montajes peligrosos como /proc host o conector Docker. Otra característica interesante de Kubesec es el servicio de demostración disponible en línea, en el que puedes cargar YAML y analizarlo inmediatamente.
Agente de políticas abierto
- Página Web:
- Licencia: gratuita (Apache)
El concepto de OPA (Open Policy Agent) es desacoplar las políticas de seguridad y las mejores prácticas de seguridad de una plataforma de ejecución específica: Docker, Kubernetes, Mesosphere, OpenShift o cualquier combinación de ellas.
Por ejemplo, puede implementar OPA como backend para el controlador de admisión de Kubernetes, delegándole decisiones de seguridad. De esta manera, el agente OPA puede validar, rechazar e incluso modificar solicitudes sobre la marcha, garantizando que se cumplan los parámetros de seguridad especificados. Las políticas de seguridad de OPA están escritas en su lenguaje DSL propietario, Rego.
Nota. traducir: Escribimos más sobre OPA (y SPIFFE) en .
Herramientas comerciales integrales para el análisis de seguridad de Kubernetes
Decidimos crear una categoría separada para plataformas comerciales porque normalmente cubren múltiples áreas de seguridad. Se puede obtener una idea general de sus capacidades a partir de la tabla:
* Examen avanzado y análisis post mortem con completo. .
Seguridad Aqua
- Página Web:
- Licencia: comercial
Esta herramienta comercial está diseñada para contenedores y cargas de trabajo en la nube. Proporciona:
- Escaneo de imágenes integrado con un registro de contenedores o canalización CI/CD;
- Protección en tiempo de ejecución con búsqueda de cambios en contenedores y otras actividades sospechosas;
- Cortafuegos nativo de contenedor;
- Seguridad para servicios sin servidor en la nube;
- Pruebas y auditorías de cumplimiento combinadas con registro de eventos.
Nota. traducir: También vale la pena señalar que hay componente libre del producto llamado , que le permite escanear imágenes de contenedores en busca de vulnerabilidades. Una comparación de sus capacidades con las versiones pagas se presenta en .
Cápsula8
- Página Web:
- Licencia: comercial
Capsule8 se integra en la infraestructura instalando el detector en un clúster de Kubernetes local o en la nube. Este detector recopila telemetría del host y de la red, correlacionándola con diferentes tipos de ataques.
El equipo de Capsule8 considera que su tarea es la detección temprana y la prevención de ataques utilizando nuevos (0 días) vulnerabilidades. Capsule8 puede descargar reglas de seguridad actualizadas directamente a los detectores en respuesta a amenazas y vulnerabilidades de software recientemente descubiertas.
cavirín
- Página Web:
- Licencia: comercial
Cavirin actúa como contratista de la empresa para varias agencias involucradas en las normas de seguridad. No solo puede escanear imágenes, sino que también puede integrarse en el proceso de CI/CD, bloqueando imágenes no estándar antes de que ingresen a repositorios cerrados.
La suite de seguridad de Cavirin utiliza el aprendizaje automático para evaluar su postura de ciberseguridad y ofrece consejos para mejorar la seguridad y mejorar el cumplimiento de los estándares de seguridad.
Centro de comando de seguridad de Google Cloud
- Página Web:
- Licencia: comercial
Cloud Security Command Center ayuda a los equipos de seguridad a recopilar datos, identificar amenazas y eliminarlas antes de que dañen a la empresa.
Como sugiere el nombre, Google Cloud SCC es un panel de control unificado que puede integrar y administrar una variedad de informes de seguridad, motores de contabilidad de activos y sistemas de seguridad de terceros desde una única fuente centralizada.
La API interoperable que ofrece Google Cloud SCC facilita la integración de eventos de seguridad provenientes de diversas fuentes, como Sysdig Secure (seguridad de contenedores para aplicaciones nativas de la nube) o Falco (seguridad de tiempo de ejecución de código abierto).
Información en capas (Qualys)
- Página Web:
- Licencia: comercial
Layered Insight (ahora parte de Qualys Inc) se basa en el concepto de "seguridad integrada". Después de escanear la imagen original en busca de vulnerabilidades mediante análisis estadístico y comprobaciones CVE, Layered Insight la reemplaza con una imagen instrumentada que incluye el agente como binario.
Este agente contiene pruebas de seguridad en tiempo de ejecución para analizar el tráfico de la red de contenedores, los flujos de E/S y la actividad de las aplicaciones. Además, puede realizar controles de seguridad adicionales especificados por el administrador de la infraestructura o los equipos de DevOps.
NeuVector
- Página Web:
- Licencia: comercial
NeuVector verifica la seguridad de los contenedores y brinda protección en tiempo de ejecución analizando la actividad de la red y el comportamiento de las aplicaciones, creando un perfil de seguridad individual para cada contenedor. También puede bloquear amenazas por sí solo, aislando actividades sospechosas cambiando las reglas del firewall local.
La integración de red de NeuVector, conocida como Security Mesh, es capaz de realizar un análisis profundo de paquetes y filtrado de capa 7 para todas las conexiones de red en la malla de servicios.
pilarox
- Página Web:
- Licencia: comercial
La plataforma de seguridad de contenedores StackRox se esfuerza por cubrir todo el ciclo de vida de las aplicaciones Kubernetes en un clúster. Al igual que otras plataformas comerciales en esta lista, StackRox genera un perfil de tiempo de ejecución basado en el comportamiento observado del contenedor y automáticamente genera una alarma ante cualquier desviación.
Además, StackRox analiza las configuraciones de Kubernetes utilizando Kubernetes CIS y otros libros de reglas para evaluar el cumplimiento de los contenedores.
Sysdig seguro
- Página Web:
- Licencia: comercial
Sysdig Secure protege las aplicaciones durante todo el ciclo de vida del contenedor y de Kubernetes. Él contenedores, proporciona según datos de aprendizaje automático, realiza crema. experiencia para identificar vulnerabilidades, bloquear amenazas, monitorear y audita la actividad en microservicios.
Sysdig Secure se integra con herramientas CI/CD como Jenkins y controla las imágenes cargadas desde los registros de Docker, evitando que aparezcan imágenes peligrosas en producción. También proporciona seguridad integral en tiempo de ejecución, que incluye:
- Detección de anomalías y perfiles en tiempo de ejecución basados en ML;
- políticas de tiempo de ejecución basadas en eventos del sistema, API de auditoría K8s, proyectos comunitarios conjuntos (FIM - monitoreo de integridad de archivos; cryptojacking) y marco ;
- respuesta y resolución de incidencias.
Seguridad sostenible de contenedores
- Página Web:
- Licencia: comercial
Antes de la llegada de los contenedores, Tenable era ampliamente conocida en la industria como la empresa detrás de Nessus, una popular herramienta de auditoría de seguridad y búsqueda de vulnerabilidades.
Tenable Container Security aprovecha la experiencia en seguridad informática de la empresa para integrar un canal de CI/CD con bases de datos de vulnerabilidades, paquetes de detección de malware especializados y recomendaciones para resolver amenazas de seguridad.
Bloqueo giratorio (Palo Alto Networks)
- Página Web:
- Licencia: comercial
Twistlock se promociona como una plataforma centrada en contenedores y servicios en la nube. Twistlock admite varios proveedores de nube (AWS, Azure, GCP), orquestadores de contenedores (Kubernetes, Mesospehere, OpenShift, Docker), tiempos de ejecución sin servidor, marcos de malla y herramientas de CI/CD.
Además de las técnicas de seguridad convencionales de nivel empresarial, como la integración de canales de CI/CD o el escaneo de imágenes, Twistlock utiliza el aprendizaje automático para generar patrones de comportamiento y reglas de red específicos de los contenedores.
Hace algún tiempo, Twistlock fue comprado por Palo Alto Networks, propietaria de los proyectos Evident.io y RedLock. Aún no se sabe cómo se integrarán exactamente estas tres plataformas en de Palo Alto.
¡Ayude a crear el mejor catálogo de herramientas de seguridad de Kubernetes!
Nos esforzamos en que este catálogo sea lo más completo posible, ¡y para ello necesitamos tu ayuda! Contáctenos () si tiene una herramienta interesante en mente que valga la pena incluir en esta lista, o si encuentra un error/información desactualizada.
También puedes suscribirte a nuestro con noticias del ecosistema nativo de la nube e historias sobre proyectos interesantes del mundo de la seguridad de Kubernetes.
PD del traductor
Lea también en nuestro blog:
- «";
- «";
- «";
- «";
- «".
Fuente: habr.com