Märk. tõlge.: Kui te muretsesite Kubernetes-põhise infrastruktuuri turvalisuse pärast, siis see Sysdigi suurepärane ülevaade on suurepärane lähtepunkt praeguste lahendustega tutvumiseks. See sisaldab nii tuntud turu mängijate põhjalikke süsteeme kui ka tagasihoidlikumaid utiliite, mis lahendavad teatud probleeme. Kommenteerides ootame endiselt teie kogemusi nende tööriistade kasutamisel ja linke teistele projektidele.

Kubernetes'i turvalisust tagavad tarkvaratooted… neid on nii palju ning igaühel on oma eesmärgid, rakendusalad ja litsentsid.
Just seetõttu otsustasime koostada selle nimekirja, mis sisaldab nii avatud projekte kui ka erinevate pakkujate kommertsplatvorme. Loodame, et see aitab teil valida kõige huvipakkuvamad ning suunab teid õigesse suunda, sõltuvalt konkreetsest Kubernetes'i turvalisuse vajadusest.
Kategooriad
Selle nimekirja navigeerimise lihtsustamiseks on tööriistad jagatud peamiste funktsioonide ja rakendusalade järgi. Tulemuseks on järgmised jaotised:
- Kubernetesi piltide skaneerimine ja staatiline analüüs;
- Runtime'i turvalisus;
- Kubernetesi võrguturvalisus;
- Piltide jagamine ja saladuste haldamine;
- Kubernetesi turbe auditeerimine;
- Kohandatud kommertstooteid.
Asume asja kallale:
Kubernetesi piltide skaneerimine
Anchore
- Veebileht:
- Litsents: avatud (Apache) ja äripakkumine

Anchore pakett analüüsib konteinerite pilte ja võimaldab teostada turvakontrolle vastavalt kasutaja seadistatud poliitikatele.
Lisaks tavapärasele konteinerite piltide skaneerimisele tuntud CVE haavatavuste kohta, teostab Anchore mitmeid täiendavaid kontrollimisi skaneerimise poliitika raames: kontrollib Dockerfile'i, andmete leket, kasutatavate programmeerimiskeelte (npm, maven jne) pakette, tarkvara litsentse ja palju muud.
Clair
- Veebileht: (nüüd Red Hati hoolduses)
- Litsents: avatud (Apache)

Clair oli üks esimesi open source projekte piltide skaneerimiseks. See on laialdaselt tuntud kui turvaskanner, mis on Quay piltide registri aluseks. (samuti CoreOS — kommentaar tõlkijalt.). Clair suudab koguda teavet CVE kohta suurest arvust allikatest, sealhulgas Linuxi distributiivide spetsiifilistest haavatavuste nimekirjadest, mida haldavad Debian, Red Hat või Ubuntu turvagruppide meeskonnad.
Erinevalt Anchore'ist tegeleb Clair peamiselt haavatuste otsimise ja andmete CVE-ga vasteid leidmisega. Tootel on siiski mõned funktsioonide laiendamise võimalused lisanduvaid draivereid kasutades.
Dagda
- Veebileht:
- Litsents: avatud (Apache)

Dagda viib läbi konteineripiltide staatilise analüüsi, otsides tuntud haavatavusi, trooja häkke, viiruseid, pahavarasid ja muid ohte.
Dagdat eristavad teistest sarnastest tööriistadest kaks märkimisväärset omadust:
- See integreerub suurepäraselt , olles mitte ainult konteineripiltide skaneerimise tööriist, vaid ka viirusetõrje.
- Samuti pakub see runtime-kaitset, saades reaalajas sündmusi Docker'i demonilt ja integreerudes Falco (vt allpool) turvaseisundis olevate sündmuste kogumiseks konteineri töö ajal.
KubeXray
- Veebileht:
- Litsents: avatud (Apache), kuid nõuab andmete saamist JFrog Xray'lt (äriliselt tootelt)

KubeXray „kuuleb“ Kubernetes API-serveri sündmusi ja jälgib JFrog Xray metainformatsiooni abil, et käivitataks ainult pod’id, mis vastavad kehtivale poliitikale.
KubeXray ei tee mitte ainult auditeid uutele või uuendatud konteineritele deployment'ides (sarnane Kubernetes'e admission controller'ile), vaid kontrollib ka dünaamiliselt töötavaid konteinereid uute turvapoliitikate vastavuse osas, eemaldades ressursid, mis viitavad haavatavatele piltidele.
Snyk
- Veebileht:
- Litsents: tasuta (Apache) ja kaubanduslikud versioonid

Snyk on ebatavaline haavatavuste skanner, kuna see on suunatud otse arendusprotsessile ja turundatakse kui „hädavajalik lahendus“ arendajatele.
Snyk ühendub otse koodirepostega, analüüsib projekti manifesti ja hindab sisse imporditud koodi koos otseste ja kaudsete sõltuvustega. Snyk toetab paljusid populaarseid programmeerimiskeeli ja suudab tuvastada varjatud litsentsiriski.
Trivy
- Veebileht:
- Litsents: tasuta (AGPL)

Trivy — lihtne, kuid võimas haavatavuste skanner konteineritele, mis integreerub hõlpsasti CI/CD torustikku. Selle silmapaistev omadus on installimise ja kasutamise lihtsus: rakendus koosneb ühest binaarfailist ja ei vaja andmebaasi ega täiendavaid teeke.
Trivy lihtsuse varjukülg on see, et tuleb õppida, kuidas analüüsida ja edastada tulemusi JSON-formaadis, et teised Kubernetes'i turvatööriistad saaksid neid kasutada.
Kubernetes'i jooksuaegne turvalisus
Falco
- Veebileht:
- Litsents: avatud (Apache)

Falco on tööriistade komplekt pilve jooksukeskkondade turvamiseks. See kuulub projektide kogusse CNCF. .
Kasutades Sysdigi tööriistu Linuxi tuumatasemel ja süsteemikõnede profileerimist, võimaldab Falco süvitsi tungida süsteemi käitumisse. Selle jooksureeglite mehhanism suudab tuvastada kahtlast tegevust rakendustes, konteinerites, baasmasinas ja Kubernetes'i orkestratsioonis.
Falco tagab täielikku läbipaistvust runtime'i töös ja tuvastab ohud, paigaldades selleks spetsiaalseid agente Kubernetes'i sõlmedesse. Selle tulemusena kaob vajadus konteinerite modifitseerimise järele, lisades neile kolmanda osapoole koodi või kandes külgkonteinerid.
Linuxi turvafraimorkid runtime'i jaoks

Need Linuxi tuumale omased framerworkid ei ole tavapärases mõttes "Kubernetes'e turbinstrumentideks", kuid väärivad mainimist, kuna nad on olulised komponentid runtime'i turvallisuse kontekstis, mis on seotud Kubernetes'i Pod Security Policy'ga (PSP).
ühendab turvaprofili konteineris käivitatud protsessidega, määrates failisüsteemi õigused, võrguühenduse reeglid, raamatukogude ühendamise jne. See on kohustusliku ligipääsu juhtimise (Mandatory Access Control, MAC) põhine süsteem. Teisisõnu, see takistab keelatud tegevuste teostamist.
Security-Enhanced Linux () — see on Linuxi tuuma täiustatud turvafunktsioon, mis on mõnes osas sarnane AppArmorile ja seda võrreldakse temaga sageli. SELinux ületab AppArmorit oma võimsuse, paindlikkuse ja seadistuste täpsuse poolest. Selle puudusteks on pikaajaline omandamine ja suurenenud keerukus.
ja seccomp-bpf võimaldavad süsteemi kutseid filtreerida, blokeerides nende rakenduste täitmise, mis on potentsiaalselt ohtlikud põhiosale ja ei ole vajalikud kasutajarakenduste normaalseks toimimiseks. Seccomp on mõnes aspektis sarnane Falcole, kuid ei tunne konteinerite spetsiifikat.
Sysdig open source
- Veebileht:
- Litsents: avatud (Apache)

Sysdig on täismetoodika Linuxi süsteemide analüüsi, diagnostika ja tõrkeotsingu tööriist (see töötab ka Windowsis ja macOS-is, kuid piiratud funktsioonide tasemega). Seda saab kasutada detailse teabe kogumiseks, kontrollimiseks ja kriminaaluurimiseks (forensics) põhisüsteemist ja kõikidest konteineritest, mis sellel töötavad.
Sysdig toetab algselt konteinerite täitmisümbrit ja Kubernetes'i metaandmeid, lisades täiendavaid mõõtmeid ja silte kogu kogutud süsteemi käitumise teabele. Kubernetes'i klastrit saab Sysdigiga analüüsida mitmel viisil: saate teostada fikseeritud aega jäädvustuse kaudu või käivitada interaktiivne ncurses'i liides pluginaga .
Kubernetes'i võrgu turvalisus
Aporeto
- Veebileht:
- Litsents: kommerts

Aporeto pakub "võrgu- ja infrastruktuurist eraldatud turvalisust". See tähendab, et Kubernetes'i teenused saavad mitte ainult kohalikku ID-d (st ServiceAccount Kubernetes'is), vaid ka universaalse identifikaatori/printsi, mida saab kasutada turvaliseks ja vastastikku kontrollitavaks suhtlemiseks iga teise teenusega, näiteks OpenShift'i klastris.
Aporeto suudab genereerida ainulaadse identifikaatori mitte ainult Kubernetes'i/konteinerite jaoks, vaid ka hostide, pilvefunktsioonide ja kasutajate jaoks. Olenevalt neist identifikaatoritest ja administraatori määratud võrgu turvareeglites, lubatakse või blokeeritakse suhtlused.
Calico
- Veebileht:
- Litsents: avatud (Apache)

Calico paigaldatakse tavaliselt konteinerite orkestratsiooni seadistamise ajal, luues virtuaalse võrgu konteinerite vahele. Lisaks sellele põhifunktsionaalsusele töötab Calico projekt Kubernetes Network Policies ja omaenda võrgu turvaprofiilide kogumiga, toetades ACL (juurdepääsu kontrolli loendeid) lõpp-punktide jaoks ning ankeetedel põhinevaid võrgu kaitse reegleid sisse- ja väljamineva liikluse jaoks.
Cilium
- Veebileht:
- Litsents: avatud (Apache)

Cilium toimib konteinerite tulemüürina ja pakub võrgu turvalisuse funktsioone, mis on algselt kohandatud Kubernetes'e ja mikroteenuste töökoormuste jaoks. Cilium kasutab uut Linuxi tuuma tehnoloogiat nimega BPF (Berkeley Packet Filter) andmete filtreerimiseks, jälgimiseks, suunamiseks ja töötlemiseks.
Cilium suudab rakendada võrgu juurdepääsu poliitikaid konteinerite identifikaatorite põhjal, kasutades Docker'i või Kubernetes'e silte ja metaandmeid. Cilium mõistab ja filtreerib ka erinevaid 7. taseme protokolle, nagu HTTP või gRPC, võimaldades määrata REST-i kõnesid, mis näiteks lubatakse kahe Kubernetes'e kasutuselevõtu vahel.
Istio
- Veebileht:
- Litsents: avatud (Apache)

Istio on laialt tuntud kui teenusete võrgu paradigmaga seotud teostus, mis käitab platvormist sõltumatut juhtimiskeskkonda ja suunab kogu haldatava teenuste liikluse dünaamiliselt konfigureeritavate Envoy vahetuste kaudu. Istio kasutab edasijõudnud lähenemisviisi, et integreerida kõik mikroteenused ja konteinerid, et rakendada erinevaid võrgu turvastrateegiaid.
Istio võrgu turvafunktsioonid hõlmavad läbipaistvat TLS-i krüptimist, et automaatselt täiustada kommunikatsiooniprotokolli mikroteenuste vahel HTTPS-iks, ja oma rollipõhist juurdepääsu kontrollimist (RBAC), et tuvastada ja autoriseerida andmete vahetust erinevate koormuste vahel klastris.
Märk. tõlge.: Lisainfot Istio turvaküsimustele keskenduvate võimete kohta leiate siit .
Tigera
- Veebileht:
- Litsents: kommerts

Käesolevas lahenduses, mida nimetatakse 'Kubernetesi tulemüüriks', keskendutakse nullkrediidi lähenemisele võrgu turvalisusele.
Kubernetes'i teiste võrgu lahendustega sarnasel viisil tugineb Tigera metaandmetele, et tuvastada erinevad teenused ja objektid klastris ning tagada probleemide avastamine reaalses ajas, pidev vastavuse kontroll ja võrgu läbipaistvus mitme pilve või hübriidsete monoliit-konteineritest infrastruktuuride jaoks.
Trireme
- Veebileht:
- Litsents: avatud (Apache)

Trireme-Kubernetes on lihtne ja arusaadav rakendus Kubernetes Network Policies spetsifikatsioonist. Selle kõige tähelepanuväärsem omadus on see, et erinevalt sarnastest Kubernetes'i võrgu turvalahendustest ei vaja see kesksed juhtimiselemente võrgu (mesh) koordineerimiseks. See muudab lahenduse triviaalseteks skaleeritavaks. Trireme'is saavutatakse see paigaldades agendi igale sõlmele, mis ühendub otse hosti TCP/IP-kihiga.
Piltide levitamine ja saladuste haldamine
Grafeas
- Veebileht:
- Litsents: avatud (Apache)

Grafeas — avatud lähtekoodiga API tarkvaratoe auditiks ja haldamiseks. Grafeas on põhiliselt tööriist metainfot ja auditite kokkuvõtteid koguda. Seda saab kasutada organisatsiooni parimate tavade järgimise jälgimiseks.
See keskne tõe allikas aitab vastata küsimustele nagu:
- Kes kogus ja allkirjastas konkreetse konteineri?
- Kas see läbis kõik turvaskenimise ja poliitika nõuetele vastavuse kontrollid? Millal? Millised olid tulemused?
- Kes paigaldas selle tootmisse? Milliseid parameetreid kasutati paigalduse ajal?
In-toto
- Veebileht:
- Litsents: avatud (Apache)

In-toto on raamistik, mis on loodud tarkvaraprotsessi terviklikkuse, autentimise ja auditi tagamiseks. In-toto rakendamisel infrastruktuuris määratakse esmalt plaan, mis kirjeldab erinevaid samme virtuaalses torustikus (repo, CI/CD tööriistad, QA tööriistad, artefaktide kogujad jne) ja kasutajate (vastutavate isikute) loendi, kellel on lubatud neid algatada.
In-toto tagab kontrolli plaani täitmise üle, tagades, et iga ülesanne ahelas täidetakse nõuetekohaselt ainult volitatud personali poolt ning toote käigus ei tehta mitte mingeid volitamata muudatusi.
Portieris
- Veebileht:
- Litsents: avatud (Apache)

Portieris on Kubernetes'e admission controller, mida kasutatakse sisu usaldusväärsuse sundkontrollide jaoks. Portieris kasutab serverit (me käsitlesime seda artikli lõpus — kommentaar tõlkijalt.) usaldusväärsete ja allkirjastatud artefaktide (st heakskiidetud konteinerite piltide) tõeallikana.
Kubernetes'es töökoormuse loomisel või muutmisel laadib Portieris alla allkirja ja sisu usaldusväärsuse poliitika teabe taotletud konteinerite piltide kohta ning vajadusel muudab reaalajas API JSON-objekti, et käivitada nende piltide allkirjastatud versioonid.
Vault
- Veebileht:
- Litsents: tasuta (MPL)

Vault on turvaline lahendus tundlike andmete, nagu paroolide, OAuth-tokenite, PKI-sertifikaatide, ligipääsu kontode ja Kubernetes'e saladuste hoidmiseks. Vault toetab tugevaid funktsioone, näiteks ajutiste turvatokenite rendi või võtmete vahetuse korraldamist.
Helm-chart'i abil saab Vault'i juurutada uutena deployment'e Kubernetes klusteris, kasutades Consulit backend’ina. See toetab natiivseid Kubernetes'e ressursse, nagu ServiceAccount tokenid, ja võib isegi toimida Kubernetes'e saladuste vaikimisi hoidla.
Märk. tõlge.: Muide, just eile kuulutas HashiCorp, Vault'i arendaja, välja mõned täiustused Vault'i kasutamiseks Kubernetes'es, sealhulgas Helm-chart'i osas. Üksikasjad leiate .
Kubernetes'e turbeauditi
Kube-bench
- Veebileht:
- Litsents: avatud (Apache)

Kube-bench on Go-keeles rakendus, mis kontrollib, kas Kubernetes on turvaliselt juurutatud, viies läbi teste CIS Kubernetes Benchmark'i nimekirjast. .
Kube-bench otsib ohtlikke konfiguratsiooniparameetreid klastrikomponentide (nt etcd, API, controller manager jms), kahtlaseid failipääsude õigusi, kaitsmata kontosid või avatud porte, ressursikvoote, API kõnet piirangu seadistusi DoS-rünnakute ennetamiseks jne.
Kube-hunter
- Veebileht:
- Litsents: avatud (Apache)

Kube-hunter «jahtib» potentsiaalseid haavatavusi (nt kaugkäivitamine või andmete avamine) Kubernetes'i klastrites. Kube-hunterit saab käivitada kauglaskurina — sel juhul hindab see klastrit vahepealset ründajana — või pod'ina klastris.
Kube-hunter'i eripäraks on «aktiivse jahtimise» režiim, mille käigus see mitte ainult ei teata probleemidest, vaid püüab ka ära kasutada sihtklastris leitud haavatavusi, mis võivad potentsiaalselt kahjustada selle tööd. Seetõttu kasutage ettevaatlikult!
Kubeaudit
- Veebileht:
- Litsents: avatud (MIT)

Kubeaudit — käsureaadiosüsteem, mis on algselt arendatud Shopify poolt Kubernetes'i konfiguratsiooni auditiks, et tuvastada erinevaid turbeprobleeme. See aitab näiteks avastada konteinerid, mis töötavad piiranguteta, superkasutaja õigustega, kuritarvitades privileege või kasutades vaike ServiceAccount'i.
Kubeaudit'il on ka teisi huvitavaid võimalusi. Näiteks suudab see analüüsida kohalikke YAML-faile, tuvastades konfiguratsiooni puudujäägid, mis võivad põhjustada turbeprobleeme, ja automaatselt neid parandada.
Kubesec
- Veebileht:
- Litsents: avatud (Apache)

Kubesec on eriline tööriist, kuna see skaneerib otse YAML-faile, mis kirjeldavad Kubernetes'i ressursse, otsides nõrku parameetreid, mis võivad mõjutada turvalisust.
See võib näiteks avastada üleliigseid õigusi ja lubasid, mis on antud pod'ile, konteineri käivitamist root'ina vaikimisi kasutajana, ühendamist hosti võrgu nimel paiknevasse ruumi või ohtlikke montaaže nagu /proc Dockeri hosti või socketi. Veel üks huvitav võimalus Kubesec on veebis saadaval demoteenus, kuhu saab üles laadida YAML-i ja kohe analüüsi läbi viia.
Open Policy Agent
- Veebileht:
- Litsents: avatud (Apache)

OPA (Open Policy Agent) kontseptsioon seisneb selles, et eraldi hoitakse turvapoliitikad ja parimad turvapraktikad konkreetsest tööaegplatvormist: Docker, Kubernetes, Mesosphere, OpenShift või nende kombinatsioon.
Näiteks võib OPA-d juurutada Kubernetes'e vastuvõtukontrolleri tagaplaanina, delegeerides turvalisuse otsused sellele. Nii suudab OPA agent kontrollida, tagasi lükata ja isegi päringuid reaalajas muuta, tagades määratud turvanõuete täitmise. OPA turvapoliitikad on kirjutatud selle enda DSL keeles Rego.
Märk. tõlge.: Rohkem OPA (ja SPIFFE) kohta oleme kirjutanud .
Kompleksne kommertsinstrumentide tööriistade komplekt Kubernetes'e turvaanalüüsiks
Otsustasime luua eraldi kategooria kommertslahendustele, kuna need katavad tavaliselt mitmeid turvalisuse valdkondi. Ülevaate nende võimalustest saab tabelist:

* Suurenenud ekspertiis ja post mortem analüüs koos täieliku .
Aqua Security
- Veebileht:
- Litsents: kommerts

See äritööriist on mõeldud konteinerite ja pilve töökoormuste jaoks. See pakub:
- Piltide skaneerimise, integreeritud konteineriregistriga või CI/CD torustikuga;
- Käitusaja kaitset, mis tuvastab muutusi konteinerites ja muud kahtlast tegevust;
- Konteineritele loomulik tulemüür;
- Serverless turvalisus pilveteenustes;
- Nõuetele vastavuse kontroll ja audit koos sündmuste logimisega.
Märk. tõlge.: Tasub märkida, et olemas on ka tasuta toote komponent nimega , mis võimaldab konteinerite pilte haavatavuste skaneerimiseks. Selle võimaluste võrdlemine tasuliste versioonidega on esitatud .
Capsule8
- Veebileht:
- Litsents: kommerts

Capsule8 integreerub infrastruktuuri, paigaldades detektori kohalikku või pilve Kubernetes klastrisse. See detektor kogub hosti ja võrgu telemeetriat, seostades seda erinevate rünnakutüüpidega.
Capsule8 meeskond näeb oma ülesandena varajast rünnakute avastamist ja ennetamist, kasutades värskeid (0-päev) haavatavused. Capsule8 suudab laadida täiendatud turvareegleid otse detektoritesse vastuseks hiljuti avastatud ohtudele ja tarkvara haavatavustele.
Cavirin
- Veebileht:
- Litsents: kommerts

Cavirin tegutseb ettevõtte partnerina erinevatele turvastandardite organisatsioonidele. See suudab mitte ainult skaneerida kujutisi, vaid ka integreeruda CI/CD torustikku, blokeerides mitte-vastavad kujutised enne nende sisenemist erarepositooriumitesse.
Cavirin turvapakett kasutab masinõpet küberküberturbe seisundi hindamiseks, pakub soovitusi turvalisuse suurendamiseks ja vastavuse tõstmiseks turvastandarditele.
Google Cloud Security Command Center
- Veebileht:
- Litsents: kommerts

Cloud Security Command Center aitab turvameeskondadel koguda andmeid, tuvastada ohte ja kõrvaldada need enne, kui need ettevõttele kahju teevad.
Nagu nimestki selgub, on Google Cloud SCC ühtne juhtpaneel, kuhu saab integreerida erinevaid turvalisuse aruandeid, varade haldamise mehhanisme ja kolmandate osapoolte turvasüsteeme ning neid hallata ühest, kesksetest allikatest.
Google Cloud SCC pakub interoperatiivset API-d, mis lihtsustab turvalisuse sündmuste integreerimist erinevatest allikatest, nagu Sysdig Secure (konteineriturve pilvetoetatud rakendustele) või Falco (avatud lähtekoodiga käituskeskkonna turvasüsteem).
Layered Insight (Qualys)
- Veebileht:
- Litsents: kommerts

Layered Insight (praegu osa Qualys Inc) põhineb mõttel "integreeritud turvalisus". Pärast esialgse pildi skaneerimist haavatavuste tuvastamiseks statistilise analüüsi meetodite abil ja CVE-de kontrollimist asendab Layered Insight selle instrumenteeritud pildiga, mis sisaldab binaarsete agentide vormis agenti.
See agent sisaldab käituskeskkonna turvateste konteineri võrgu liikluse, I/O voogude ja rakendustegevuse analüüsimiseks. Lisaks saab ta teostada täiendavaid turvakontrolle, mille määrab infrastruktuuri administraator või DevOps meeskonnad.
NeuVector
- Veebileht:
- Litsents: kommerts

NeuVector tagab konteinerite turvaskannimise ja pakub runtime-kaitset, analüüsides võrguaktiivsust ja rakenduse käitumist, luues iga konteineri jaoks individuaalse ohutusprofiili. Samuti suudab see iseseisvalt blokeerida ohte, eraldades kahtlast tegevust kohaliku tulemüürireeglite muutmise teel.
NeuVectori võrguintegraatsioon, tuntud kui Security Mesh, suudab teostada süvitsi tungimist paketianalüüsiks ja filtreerimiseks 7. tasemel kõigi teenuse mesh'i võrguühenduste jaoks.
StackRox
- Veebileht:
- Litsents: kommerts

StackRoxi konteinerite turvaplatform püüdleb kogu Kubernetes rakenduste elu tsükli katmise poole klastris. Nagu ka teised selle nimekirja kaubanduslikud platvormid, genereerib StackRox runtime-profiili, tuginedes konteineri jälgitavale käitumisele, ja annab automaatselt häire kõrvalekallete korral.
Lisaks analüüsib StackRox Kubernetes'i konfiguratsioone, kasutades CIS Kubernetes'it ja teisi reeglite kogumeid konteinerite vastavuse hindamiseks.
Sysdig Secure
- Veebileht:
- Litsents: kommerts

Sysdig Secure kaitseb rakendusi kogu konteineri ja Kubernetes'e elu tsükli vältel. See konteinereid, tagab masinõppe andmete põhjal teostab kriminaalülevaate haavatavuste tuvastamiseks, blokeerib ohte, jälgib ja viib läbi mikroteenuste aktiivsuse auditeerimist.
Sysdig Secure integreerub CI/CD tööriistadega, nagu Jenkins, ja jälgib Dockeritest allalaaditud pilte, vältides ohtlike piltide ilmumist tootmisse. Ta tagab ka laiaulatusliku käitamisaja turvalisuse, sealhulgas:
- käitamisaja profileerimine ML-i ja anomaalia tuvastamise põhjal;
- käitamisaja poliitikad, mis põhinevad süsteemiüritustel, K8s-auditi API-l, kogukonna koostööprojektidel (FIM — failide terviklikkuse seire; cryptojacking) ja raamistikul ;
- reaktsioon ja juhtimine.
Tenable Container Security
- Veebileht:
- Litsents: kommerts

Enne konteinerite ilmumist oli Tenable tuntud kui ettevõte, mis arendas Nessust — populaarsest haavatavuste tuvastamise ja turbeauditi tööriistast.
Tenable Container Security kasutab ettevõtte küberjulgeoleku kogemust CI/CD torujuhtme integreerimiseks haavatavuste andmebaaside, spetsialiseeritud pahavara tuvastamise paketide ja turvauhtade leevendamiseks mõeldud soovitustega.
Twistlock (Palo Alto Networks)
- Veebileht:
- Litsents: kommerts

Twistlock positsioneerib end pilveteenuste ja konteinerite keskse platvormina. Twistlock toetab erinevaid pilveteenuse pakkujaid (AWS, Azure, GCP), konteinerihaldureid (Kubernetes, Mesosphere, OpenShift, Docker), serverless täitmiskeskkondi, mesh raamistikke ja CI/CD tööriistu.
Lisaks tavapärastele ettevõtte tasandi turvameetmetele, nagu CI/CD torujuhtmesse integreerimine või piltide skaneerimine, kasutab Twistlock masinõpet käitumismustrite ja võrgureeglite genereerimiseks, arvestades konteinerite eripära.
Mõni aeg tagasi ostis Twistlock ettevõte Palo Alto Networks, millel on projektid Evident.io ja RedLock. Veel ei ole teada, kuidas need kolm platvormi täpselt integreeritakse. Palo Altost.
Aidake luua paremat Kubernetes'e turvatootete katalooge!
Meie eesmärk on teha see kataloog võimalikult täiuslikuks ja selleks vajame teie abi! Võtke meiega ühendust (), kui teil on mõni suurepärane tööriist, mida tasub sellesse loetellu lisada, või kui leidsid vea/vana teabe.
Samuti saate liituda meie cloud-native ökosüsteemi uudiste ja huvitavate projektide lugudega Kubernetes'e maailmast.
P.S. tõlkija märkused
Lugege ka meie blogist:
- «»;
- «»;
- «»;
- «»;
- «».
Allikas: habr.com
