33+ Kubernetese turbetööriistad

Märge. tõlge: Kui olete huvitatud Kubernetese-põhise infrastruktuuri turvalisusest, on see suurepärane Sysdigi ülevaade suurepärane lähtepunkt praeguste lahenduste kiireks vaatamiseks. See hõlmab nii tuntud turuosaliste keerukaid süsteeme kui ka palju tagasihoidlikumaid kommunaalteenuseid, mis lahendavad konkreetse probleemi. Ja kommentaarides, nagu alati, on meil hea meel kuulda teie kogemustest nende tööriistade kasutamisel ja näha linke teistele projektidele.

Kubernetese turbetarkvaratooted... neid on nii palju, igaühel oma eesmärgid, ulatus ja litsentsid.

Seetõttu otsustasime luua selle loendi ja hõlmata nii avatud lähtekoodiga projekte kui ka erinevate tarnijate kommertsplatvorme. Loodame, et see aitab teil tuvastada need, mis pakuvad kõige rohkem huvi, ja suunab teid õiges suunas, lähtudes teie konkreetsetest Kubernetese turbevajadustest.

Kategooria

Loendis navigeerimise hõlbustamiseks on tööriistad korraldatud põhifunktsioonide ja rakenduste järgi. Saadi järgmised lõigud:

• Kubernetese kujutiste skaneerimine ja staatiline analüüs;
• Runtime turvalisus;
• Kubernetese võrgu turvalisus;
• Piltide levitamine ja saladuste haldamine;
• Kubernetese turvaaudit;
• Põhjalikud kaubanduslikud tooted.

Asume asja juurde:

Kubernetese piltide skannimine

Ankur

• Koduleht: anchore.com
• Litsents: tasuta (Apache) ja kommertspakkumine

Anchore analüüsib konteineri kujutisi ja võimaldab kasutaja määratud poliitikate alusel turvakontrolle teha.

Lisaks tavapärasele konteineripiltide skannimisele CVE andmebaasist teadaolevate haavatavuste tuvastamiseks teostab Anchore oma skannimispoliitika raames palju täiendavaid kontrolle: kontrollib Dockerfile'i, mandaatide lekkeid, kasutatavate programmeerimiskeelte pakette (npm, maven jne). .), tarkvaralitsentsid ja palju muud .

selge

• Koduleht: coreos.com/clair (nüüd Red Hati eestkoste all)
• Litsents: tasuta (Apache)

Clair oli üks esimesi avatud lähtekoodiga projekte piltide skannimiseks. Seda tuntakse laialdaselt Quay pildiregistri taga oleva turvaskannerina (ka CoreOS-ist - u. tõlge). Clair saab koguda CVE-teavet väga erinevatest allikatest, sealhulgas Debiani, Red Hati või Ubuntu turvameeskondade hallatavate Linuxi levitamise spetsiifiliste haavatavuste loenditest.

Erinevalt Anchore'ist keskendub Clair peamiselt haavatavuste leidmisele ja andmete sobitamisele CVE-dega. Toode pakub kasutajatele aga mõningaid võimalusi funktsioonide laiendamiseks pistikprogrammi draiverite abil.

dagda

• Koduleht: github.com/eliasgranderubio/dagda
• Litsents: tasuta (Apache)

Dagda teostab konteineripiltide staatilist analüüsi teadaolevate turvaaukude, troojalaste, viiruste, pahavara ja muude ohtude suhtes.

Kaks märkimisväärset omadust eristavad Dagdat teistest sarnastest tööriistadest:

• See integreerub suurepäraselt ClamAV, mis ei toimi mitte ainult konteineripiltide skannimise vahendina, vaid ka viirusetõrjena.
• Pakub ka käitusaegset kaitset, võttes vastu reaalajas sündmusi Dockeri deemonilt ja integreerides Falcoga (vt allpool) turvasündmuste kogumiseks konteineri töötamise ajal.

KubeXray

• Koduleht: github.com/jfrog/kubexray
• Litsents: tasuta (Apache), kuid nõuab JFrog Xray andmeid (kaubanduslik toode)

KubeXray kuulab sündmusi Kubernetes API serverist ja kasutab JFrog Xray metaandmeid tagamaks, et käivitatakse ainult praegusele poliitikale vastavad kaustad.

KubeXray mitte ainult ei auditeeri juurutustes uusi või värskendatud konteinereid (sarnaselt Kubernetese sissepääsukontrolleriga), vaid kontrollib dünaamiliselt ka töötavate konteinerite vastavust uutele turvapoliitikatele, eemaldades haavatavatele piltidele viitavad ressursid.

Snyk

• Koduleht: snyk.io
• Litsents: tasuta (Apache) ja kommertsversioonid

Snyk on ebatavaline haavatavuse skanner, kuna see on suunatud konkreetselt arendusprotsessile ja seda reklaamitakse arendajate jaoks "olulise lahendusena".

Snyk loob ühenduse otse koodihoidlatega, analüüsib projekti manifesti ja analüüsib imporditud koodi koos otseste ja kaudsete sõltuvustega. Snyk toetab paljusid populaarseid programmeerimiskeeli ja suudab tuvastada varjatud litsentsiriske.

Trivy

• Koduleht: github.com/knqyf263/trivy
• Litsents: tasuta (AGPL)

Trivy on lihtne, kuid võimas haavatavuse skanner konteinerite jaoks, mis integreerub hõlpsalt CI/CD torujuhtmesse. Selle tähelepanuväärne omadus on paigaldamise ja kasutamise lihtsus: rakendus koosneb ühest kahendfailist ega nõua andmebaasi ega täiendavate teekide installimist.

Trivy lihtsuse negatiivne külg on see, et peate välja mõtlema, kuidas tulemusi JSON-vormingus sõeluda ja edastada, et teised Kubernetese turbetööriistad saaksid neid kasutada.

Runtime turvalisus Kubernetesis

Falco

• Koduleht: falco.org
• Litsents: tasuta (Apache)

Falco on tööriistade komplekt pilve käitusaja keskkondade turvamiseks. Osa projektiperest CNCF.

Kasutades Sysdigi Linuxi kerneli tasemel tööriistu ja süsteemikõnede profileerimist, võimaldab Falco sukelduda sügavale süsteemi käitumisse. Selle käitusreeglite mootor suudab tuvastada kahtlase tegevuse rakendustes, konteinerites, aluseks olevas hostis ja Kubernetese orkestraatoris.

Falco tagab tööaja ja ohtude tuvastamise täieliku läbipaistvuse, juurutades Kubernetese sõlmedesse nendel eesmärkidel spetsiaalseid agente. Seetõttu ei ole vaja konteinereid muuta, lisades neisse kolmanda osapoole koodi või lisades külgkorvi konteinereid.

Linuxi turberaamistikud käitusaja jaoks

Need Linuxi tuuma natiivsed raamistikud ei ole traditsioonilises mõttes Kubernetese turbetööriistad, kuid need väärivad mainimist, kuna need on Kubernetes Podi turbepoliitika (PSP) sisalduva käitusaegse turbe kontekstis oluline element.

AppArmor lisab konteineris töötavatele protsessidele turbeprofiili, määratledes failisüsteemi õigused, võrgu juurdepääsureeglid, ühendades teeke jne. See süsteem põhineb kohustuslikul juurdepääsukontrollil (MAC). Teisisõnu takistab see keelatud toimingute sooritamist.

Täiustatud turvalisusega Linux (SELinux) on Linuxi kerneli täiustatud turbemoodul, mis on mõnes aspektis sarnane AppArmoriga ja sageli sellega võrreldav. SELinux on AppArmorist parem võimsuse, paindlikkuse ja kohandamise poolest. Selle puudused on pikk õppimiskõver ja suurenenud keerukus.

Seccomp ja seccomp-bpf võimaldavad filtreerida süsteemikõnesid, blokeerida nende käivitamise, mis on potentsiaalselt ohtlikud baas-OS-i jaoks ja mida pole vaja kasutajarakenduste normaalseks tööks. Seccomp sarnaneb mõnes mõttes Falcoga, kuigi ta ei tunne konteinerite spetsiifikat.

Sysdig avatud lähtekoodiga

• Koduleht: www.sysdig.com/opensource
• Litsents: tasuta (Apache)

Sysdig on täielik tööriist Linuxi süsteemide analüüsimiseks, diagnoosimiseks ja silumiseks (töötab ka Windowsis ja macOS-is, kuid piiratud funktsioonidega). Seda saab kasutada üksikasjaliku teabe kogumiseks, kontrollimiseks ja kohtuekspertiisi analüüsiks. (kohtuekspertiisi) baassüsteem ja kõik sellel töötavad konteinerid.

Sysdig toetab loomulikult ka konteineri käitusaegu ja Kubernetese metaandmeid, lisades kogu kogutavale süsteemikäitumisteabele täiendavaid dimensioone ja silte. Kubernetese klastri analüüsimiseks Sysdigi abil on mitu võimalust: saate teha ajahetke jäädvustamise kubectl püüdmine või käivitage pistikprogrammi abil ncurses-põhine interaktiivne liides kubectl kaevama.

Kubernetese võrgu turvalisus

Aporeto

• Koduleht: www.aporeto.com
• Litsents: kaubanduslik

Aporeto pakub "võrgust ja infrastruktuurist eraldatud turvalisust". See tähendab, et Kubernetese teenused ei saa mitte ainult kohalikku ID-d (st Kubernetesis ServiceAccount), vaid ka universaalset ID-d/sõrmejälge, mida saab kasutada turvaliseks ja vastastikuseks suhtlemiseks mis tahes muu teenusega, näiteks OpenShifti klastris.

Aporeto on võimeline genereerima unikaalset ID-d mitte ainult Kubernetese/konteinerite, vaid ka hostide, pilvefunktsioonide ja kasutajate jaoks. Sõltuvalt nendest identifikaatoritest ja administraatori määratud võrgu turvareeglitest lubatakse või blokeeritakse side.

Calico

• Koduleht: www.projectcalico.org
• Litsents: tasuta (Apache)

Calico juurutatakse tavaliselt konteinerite orkestraatori installimise ajal, mis võimaldab teil luua virtuaalse võrgu, mis ühendab konteinereid omavahel. Lisaks sellele põhilisele võrgufunktsioonile töötab Calico projekt Kubernetes Network Policies'i ja oma võrguturbeprofiilide komplektiga, toetab lõpp-punktide ACL-e (juurdepääsu kontrolli loendeid) ja annotatsioonipõhiseid võrguturbereegleid sisend- ja väljumisliikluse jaoks.

tsilium

• Koduleht: www.cilium.io
• Litsents: tasuta (Apache)

Cilium toimib konteinerite tulemüürina ja pakub Kubernetese ja mikroteenuste töökoormustele kohandatud võrguturbefunktsioone. Cilium kasutab andmete filtreerimiseks, jälgimiseks, ümbersuunamiseks ja parandamiseks uut Linuxi tuumatehnoloogiat nimega BPF (Berkeley Packet Filter).

Cilium suudab Dockeri või Kubernetese siltide ja metaandmete abil juurutada konteineri ID-del põhinevaid võrgule juurdepääsu poliitikaid. Cilium mõistab ja filtreerib ka erinevaid 7. kihi protokolle, nagu HTTP või gRPC, võimaldades teil määratleda REST-kõnede komplekti, mis on lubatud näiteks kahe Kubernetese juurutuse vahel.

Istio

• Koduleht: istio.io
• Litsents: tasuta (Apache)

Istio on laialdaselt tuntud teenindusvõrgu paradigma juurutamise poolest, juurutades platvormist sõltumatu juhttasandi ja suunates kogu hallatava teenuseliikluse dünaamiliselt konfigureeritavate Envoy puhverserverite kaudu. Istio kasutab seda kõigi mikroteenuste ja konteinerite täiustatud vaadet erinevate võrguturbestrateegiate rakendamiseks.

Istio võrguturbevõimalused hõlmavad läbipaistvat TLS-krüptimist, et uuendada mikroteenuste vahelist sidet automaatselt HTTPS-ile, ning patenteeritud RBAC-i identifitseerimis- ja autoriseerimissüsteemi, mis võimaldab/keelab klastri erinevate töökoormuste vahelist suhtlust.

Märge. tõlge: Istio turvalisusele keskendunud võimaluste kohta lisateabe saamiseks lugege see artikkel.

Tiiger

• Koduleht: www.tigera.io
• Litsents: kaubanduslik

Kubernetese tulemüüriks kutsutud lahendus rõhutab null-usalduspõhist lähenemisviisi võrgu turvalisusele.

Sarnaselt teistele kohalikele Kubernetese võrgulahendustele tugineb Tigera klastri erinevate teenuste ja objektide tuvastamiseks metaandmetele ning pakub mitme pilve või hübriidsete monoliitsete konteinerite infrastruktuuride puhul käitusaegset probleemide tuvastamist, pidevat vastavuskontrolli ja võrgu nähtavust.

Trireme

• Koduleht: www.aporeto.com/opensource
• Litsents: tasuta (Apache)

Trireme-Kubernetes on Kubernetese võrgupoliitika spetsifikatsiooni lihtne ja arusaadav rakendus. Kõige tähelepanuväärsem omadus on see, et erinevalt sarnastest Kubernetese võrguturbetoodetest ei vaja see võrgu koordineerimiseks keskset juhttasapinda. See muudab lahenduse triviaalselt skaleeritavaks. Triremes saavutatakse see agenti installimisega igasse sõlme, mis loob otseühenduse hosti TCP/IP-virnaga.

Piltide levitamine ja saladuste haldamine

Grafeas

• Koduleht: grafeas.io
• Litsents: tasuta (Apache)

Grafeas on avatud lähtekoodiga API tarkvara tarneahela auditeerimiseks ja haldamiseks. Põhitasemel on Grafeas metaandmete ja auditi leidude kogumise tööriist. Seda saab kasutada organisatsioonisisese turvalisuse parimate tavade järgimise jälgimiseks.

See tsentraliseeritud tõeallikas aitab vastata järgmistele küsimustele:

• Kes kogus konkreetse konteineri ja allkirjastas selle?
• Kas see on läbinud kõik turvapoliitikaga nõutavad turvakontrollid? Millal? Millised olid tulemused?
• Kes selle tootmisse juurutas? Milliseid konkreetseid parameetreid juurutamise ajal kasutati?

In-toto

• Koduleht: in-toto.github.io
• Litsents: tasuta (Apache)

In-toto on raamistik, mis on loodud kogu tarkvara tarneahela terviklikkuse, autentimise ja auditeerimise tagamiseks. In-toto juurutamisel infrastruktuuris määratletakse esmalt plaan, mis kirjeldab erinevaid protsessi etappe (hoidla, CI/CD tööriistad, kvaliteedikontrolli tööriistad, artefaktide kogujad jne) ja kasutajaid (vastutavad isikud), kellel on lubatud neid algatada.

In-toto jälgib plaani täitmist, veendudes, et kõiki ahela ülesandeid täidavad nõuetekohaselt ainult volitatud töötajad ja et tootega ei ole liikumise ajal tehtud volitamata manipuleerimisi.

Portieris

• Koduleht: github.com/IBM/portieris
• Litsents: tasuta (Apache)

Portieris on Kubernetese sissepääsukontroller; kasutatakse sisu usaldusväärsuse kontrollimiseks. Portieris kasutab serverit Notar (me kirjutasime temast lõpus selle artikli - u. tõlge) tõe allikana usaldusväärsete ja allkirjastatud artefaktide (st kinnitatud konteineri kujutiste) kinnitamiseks.

Kui Kubernetesis luuakse või muudetakse töökoormust, laadib Portieris alla nõutud konteineri kujutiste allkirjastamisteabe ja sisu usaldusreeglid ning teeb vajadusel JSON API objektis jooksvalt muudatusi, et käitada nende piltide allkirjastatud versioone.

võlvkelder

• Koduleht: www.vaultproject.io
• Litsents: tasuta (MPL)

Vault on turvaline lahendus privaatse teabe salvestamiseks: paroolid, OAuthi märgid, PKI-sertifikaadid, juurdepääsukontod, Kubernetese saladused jne. Vault toetab paljusid täiustatud funktsioone, nagu lühiajaliste turvamärkide rentimine või võtmete vaheldumise korraldamine.

Helmi diagrammi kasutades saab Vaulti juurutada uue juurutusena Kubernetese klastris, mille taustamälu on Consul. See toetab natiivseid Kubernetese ressursse, nagu ServiceAccount märgid, ja võib isegi toimida Kubernetese saladuste vaikehoidlana.

Märge. tõlge: Muide, just eile teatas Vaulti arendav ettevõte HashiCorp mõningatest täiustustest Vaulti kasutamiseks Kubernetesis ja eelkõige on need seotud Helmi diagrammiga. Loe lähemalt sisse arendaja blogi.

Kubernetese turvaaudit

Kube-pink

• Koduleht: github.com/aquasecurity/kube-bench
• Litsents: tasuta (Apache)

Kube-bench on Go rakendus, mis kontrollib, kas Kubernetes on turvaliselt juurutatud, käivitades loendist teste SRÜ Kubernetese võrdlusalus.

Kube-bench otsib klastri komponentide hulgast ebaturvalisi konfiguratsiooniseadeid (jne, API, kontrollerihaldur jne), küsitavaid failide juurdepääsuõigusi, kaitsmata kontosid või avatud porte, ressursikvoote, API-kõnede arvu piiramise seadeid, et kaitsta DoS-i rünnakute eest. , jne.

Kube-kütt

• Koduleht: github.com/aquasecurity/kube-hunter
• Litsents: tasuta (Apache)

Kube-hunter otsib Kubernetese klastrites võimalikke haavatavusi (nt koodi kaugkäivitamine või andmete avaldamine). Kube-hunterit saab käivitada kaugskannerina – sel juhul hindab see klastrit kolmanda osapoole ründaja vaatepunktist – või klastri sees oleva podina.

Kube-hunteri eripäraks on selle "aktiivse jahi" režiim, mille käigus see mitte ainult ei teata probleemidest, vaid püüab ära kasutada ka sihtklastris avastatud turvaauke, mis võivad selle tööd kahjustada. Nii et kasutage ettevaatlikult!

Kubeaudit

• Koduleht: github.com/Shopify/kubeaudit
• Litsents: tasuta (MIT)

Kubeaudit on konsoolitööriist, mis algselt töötati välja Shopifys, et kontrollida Kubernetese konfiguratsiooni erinevate turvaprobleemide jaoks. Näiteks aitab see tuvastada konteinereid, mis töötavad piiranguteta, töötavad administraatorina, kuritarvitavad õigusi või kasutavad vaiketeenusekontot.

Kubeauditil on muidki huvitavaid funktsioone. Näiteks saab see analüüsida kohalikke YAML-faile, et tuvastada konfiguratsioonivead, mis võivad põhjustada turvaprobleeme, ja need automaatselt parandada.

Kubesec

• Koduleht: kubesec.io
• Litsents: tasuta (Apache)

Kubesec on spetsiaalne tööriist, kuna see skannib otse YAML-faile, mis kirjeldavad Kubernetese ressursse, otsides nõrku parameetreid, mis võivad turvalisust mõjutada.

Näiteks võib see tuvastada liigseid privileege ja õigusi, mis on antud podile, konteineri käitamist, mille vaikekasutaja on root, ühenduse loomist hosti võrgu nimeruumiga või ohtlikke kinnitusi, nagu /proc hosti või Dockeri pistikupesa. Veel üks huvitav Kubeseci funktsioon on veebis saadaval olev demoteenus, millesse saate YAMLi üles laadida ja seda kohe analüüsida.

Avatud poliitikaagent

• Koduleht: www.openpolicyagent.org
• Litsents: tasuta (Apache)

OPA (Open Policy Agent) kontseptsioon on eraldada turvapoliitikad ja turvalisuse parimad tavad konkreetsest käitusplatvormist: Docker, Kubernetes, Mesosphere, OpenShift või nende mis tahes kombinatsioon.

Näiteks saate OPA juurutada Kubernetese sissepääsukontrolleri taustaprogrammina, delegeerides sellele turvaotsused. Nii saab OPA agent taotlusi käigu pealt valideerida, tagasi lükata ja isegi muuta, tagades määratud turvaparameetrite täitmise. OPA turbepoliitikad on kirjutatud selle patenteeritud DSL-keeles Rego.

Märge. tõlge: Kirjutasime OPA (ja SPIFFE) kohta lähemalt aastal see materjal.

Põhjalikud kaubanduslikud tööriistad Kubernetese turbeanalüüsi jaoks

Otsustasime luua kommertsplatvormide jaoks eraldi kategooria, kuna need hõlmavad tavaliselt mitut turvavaldkonda. Üldise ettekujutuse nende võimalustest saab tabelist:

* Täiustatud läbivaatus ja tapajärgne analüüs koos täieliku süsteemikõne kaaperdamine.

Aqua Security

• Koduleht: www.aquasec.com
• Litsents: kaubanduslik

See kaubanduslik tööriist on mõeldud konteinerite ja pilve töökoormuste jaoks. See pakub:

• Konteinerite registri või CI/CD torujuhtmega integreeritud kujutise skaneerimine;
• Runtime kaitse koos konteinerite muudatuste otsimisega ja muu kahtlase tegevusega;
• Konteinerpõhine tulemüür;
• Pilveteenuste serverivaba turvalisus;
• Vastavuse testimine ja auditeerimine koos sündmuste logimisega.

Märge. tõlge: Märkimist väärib ka see, et on nimega toote tasuta komponent MicroScanner, mis võimaldab teil skannida konteineripilte haavatavuste tuvastamiseks. Selle võimaluste võrdlus tasuliste versioonidega on esitatud see tabel.

Kapsel 8

• Koduleht: capsula8.com
• Litsents: kaubanduslik

Capsule8 integreerub infrastruktuuri, installides detektori kohalikku või pilve Kubernetese klastrisse. See detektor kogub hosti ja võrgu telemeetria andmeid, korreleerides seda erinevat tüüpi rünnakutega.

Capsule8 meeskond näeb oma ülesandena rünnakute varajast tuvastamist ja ennetamist, kasutades uut (0 päeva) haavatavused. Capsule8 saab värskendatud turvareeglid otse detektoritesse alla laadida vastuseks äsja avastatud ohtudele ja tarkvara haavatavustele.

Cavirin

• Koduleht: www.cavirin.com
• Litsents: kaubanduslik

Cavirin tegutseb ettevõttepoolse töövõtjana erinevatele ohutusstandarditega seotud agentuuridele. See mitte ainult ei suuda pilte skannida, vaid saab integreeruda ka CI/CD torujuhtmesse, blokeerides mittestandardsed kujutised enne nende sisenemist suletud hoidlatesse.

Cavirini turbekomplekt kasutab teie küberturvalisuse hindamiseks masinõpet, pakkudes näpunäiteid turvalisuse parandamiseks ja turvastandarditele vastavuse parandamiseks.

Google Cloud Security käsukeskus

• Koduleht: cloud.google.com/security-command-center
• Litsents: kaubanduslik

Cloud Security Command Center aitab turvameeskondadel koguda andmeid, tuvastada ohte ja kõrvaldada need enne, kui need kahjustavad ettevõtet.

Nagu nimigi ütleb, on Google Cloud SCC ühtne juhtpaneel, mis suudab ühest tsentraliseeritud allikast integreerida ja hallata mitmesuguseid turbearuandeid, varade arvestusmootoreid ja kolmandate osapoolte turvasüsteeme.

Google Cloud SCC pakutava koostalitlusvõimelise API abil on lihtne integreerida erinevatest allikatest pärinevaid turvasündmusi, nagu Sysdig Secure (konteineri turvalisus pilvepõhiste rakenduste jaoks) või Falco (avatud lähtekoodiga käitusaegne turvalisus).

Kihiline ülevaade (kvaliteet)

• Koduleht: layeredinsight.com
• Litsents: kaubanduslik

Layered Insight (nüüd Qualys Inc-i osa) põhineb "manustatud turvalisuse" kontseptsioonil. Pärast algkujutise skannimist haavatavuste tuvastamiseks statistilise analüüsi ja CVE-kontrollide abil asendab Layered Insight selle instrumenteeritud kujutisega, mis sisaldab agenti binaarfailina.

See agent sisaldab käitusaegseid turbeteste konteinerite võrguliikluse, I/O-voogude ja rakenduste tegevuse analüüsimiseks. Lisaks saab see läbi viia täiendavaid turvakontrolle, mille on määranud infrastruktuuri administraator või DevOpsi meeskonnad.

NeuVector

• Koduleht: neuvector.com
• Litsents: kaubanduslik

NeuVector kontrollib konteineri turvalisust ja pakub käitusaegset kaitset, analüüsides võrgutegevust ja rakenduste käitumist, luues iga konteineri jaoks individuaalse turvaprofiili. Samuti võib see blokeerida ohud iseseisvalt, isoleerides kahtlase tegevuse, muutes kohalikke tulemüürireegleid.

NeuVectori võrguintegratsioon, mida tuntakse kui Security Mesh, on võimeline pakettide sügavanalüüsiks ja 7. kihi filtreerimiseks kõigi teenindusvõrgus olevate võrguühenduste jaoks.

StackRox

• Koduleht: www.stackrox.com
• Litsents: kaubanduslik

StackRoxi konteineri turvaplatvorm püüab katta kogu Kubernetese rakenduste elutsükli klastris. Sarnaselt teistele selles loendis olevatele kommertsplatvormidele loob StackRox käitusaja profiili vaadeldava konteineri käitumise põhjal ja annab automaatselt häire kõrvalekallete korral.

Lisaks analüüsib StackRox Kubernetese konfiguratsioone, kasutades Kubernetese CIS-i ja muid reegliraamatuid, et hinnata konteineri vastavust.

Sysdig Secure

• Koduleht: sysdig.com/products/secure
• Litsents: kaubanduslik

Sysdig Secure kaitseb rakendusi kogu konteineri ja Kubernetese elutsükli jooksul. Ta skannib pilte konteinerid, annab käitusaegne kaitse masinõppe andmetel teostab kreemi. asjatundlikkus haavatavuste tuvastamiseks, ohtude blokeerimiseks, jälgimiseks vastavus kehtestatud standarditele ja auditeerib tegevust mikroteenustes.

Sysdig Secure integreerub CI/CD tööriistadega, nagu Jenkins, ja juhib Dockeri registritest laaditud pilte, vältides ohtlike piltide ilmumist tootmises. See pakub ka kõikehõlmavat käitusaegset turvalisust, sealhulgas:

• ML-põhine käitusaja profileerimine ja anomaaliate tuvastamine;
• käitusaegsed poliitikad, mis põhinevad süsteemisündmustel, K8s-audit API-l, kogukonna ühisprojektidel (FIM - faili terviklikkuse jälgimine; krüptoojacking) ja raamistik MITER ATT&CK;
• intsidentidele reageerimine ja nende lahendamine.

Vastupidav konteineri turvalisus

• Koduleht: www.tenable.com/products/tenable-io/container-security
• Litsents: kaubanduslik

Enne konteinerite tulekut oli Tenable tööstuses laialdaselt tuntud kui Nessuse, populaarse haavatavuse jahtimise ja turvaauditi tööriista taga asuv ettevõte.

Tenable Container Security kasutab ettevõtte arvutiturbeteadmisi, et integreerida CI/CD torujuhtmed haavatavuse andmebaaside, spetsiaalsete pahavara tuvastamise pakettide ja soovitustega turvaohtude lahendamiseks.

Twistlock (Palo Alto Networks)

• Koduleht: www.twistlock.com
• Litsents: kaubanduslik

Twistlock reklaamib end pilveteenustele ja konteineritele keskendunud platvormina. Twistlock toetab erinevaid pilveteenuse pakkujaid (AWS, Azure, GCP), konteinerite orkestraatoreid (Kubernetes, Mesospehere, OpenShift, Docker), serverita käitusaegu, võrguraamistikke ja CI/CD tööriistu.

Lisaks tavapärastele ettevõtte tasemel turbetehnikatele, nagu CI/CD torujuhtme integreerimine või kujutiste skannimine, kasutab Twistlock masinõpet konteinerispetsiifiliste käitumismustrite ja võrgureeglite loomiseks.

Mõni aeg tagasi ostis Twistlocki Palo Alto Networks, kellele kuuluvad projektid Evident.io ja RedLock. Kuidas need kolm platvormi täpselt integreeritakse, pole veel teada PRISMA Palo Altost.

Aidake luua parim Kubernetese turbetööriistade kataloog!

Püüame teha selle kataloogi võimalikult terviklikuks ja selleks vajame teie abi! Võta meiega ühendust (@sysdig), kui teil on meeles mõni lahe tööriist, mis väärib sellesse loendisse lisamist, või leiate vea/aegunud teabe.

Samuti saate tellida meie igakuine uudiskiri uudistega pilvepõhisest ökosüsteemist ja lugudega Kubernetese turvamaailma huvitavatest projektidest.

PS tõlkijalt

Loe ka meie blogist:

• «Sissejuhatus Kubernetese võrgupoliitikasse turbeprofessionaalidele";
• «Docker ja Kubernetes turvalisust nõudvates keskkondades";
• «9 Kubernetese turvalisuse parimat tava";
• «11 viisi, kuidas (mitte) saada Kubernetese häkkimise ohvriks";
• «OPA ja SPIFFE on kaks uut pilverakenduste turvalisuse projekti CNCF-is'.

Allikas: www.habr.com