33+ Kubernetes segurtasun-tresna

Ohar. itzul.: Kubernetes-en oinarritutako azpiegituretako segurtasunari buruz galdetzen bazaizu, Sysdig-en ikuspegi orokor bikain hau abiapuntu bikaina da egungo soluzioei begirada azkar bat emateko. Merkatuko eragile ezagunen sistema konplexuak eta arazo jakin bat konpontzen duten utilitate askoz xumeagoak biltzen ditu. Eta iruzkinetan, beti bezala, poz-pozik egongo gara tresna hauek erabiliz zure esperientziaren berri izatea eta beste proiektu batzuetarako estekak ikustea.

Kubernetes segurtasun software produktuak... asko daude, bakoitza bere helburu, esparru eta lizentziarekin.

Horregatik erabaki dugu zerrenda hau sortzea eta kode irekiko proiektuak zein saltzaile ezberdinen plataforma komertzialak sartzea. Espero dugu interes handiena dutenak identifikatzen lagunduko dizula eta Kubernetesen segurtasun-behar espezifikoetan oinarrituta norabide egokian bideratzen zaitugula.

Категории

Zerrendan errazago nabigatzeko, tresnak funtzio eta aplikazio nagusien arabera antolatuta daude. Honako atal hauek lortu dira:

• Kubernetes irudien eskaneatzea eta analisi estatikoa;
• Runtime segurtasuna;
• Kubernetes sareko segurtasuna;
• Irudien banaketa eta sekretuen kudeaketa;
• Kubernetesen segurtasun-ikuskaritza;
• Produktu komertzial integralak.

Jar gaitezen negozioari:

Kubernetesen irudiak eskaneatzea

Aingura

• Web: anchore.com
• Lizentzia: doan (Apache) eta eskaintza komertziala

Anchore-k edukiontzien irudiak aztertzen ditu eta erabiltzaileak definitutako politiketan oinarritutako segurtasun-egiaztapenak ahalbidetzen ditu.

CVE datu-baseko ahultasun ezagunen edukiontzien irudien ohiko eskaneatzeaz gain, Anchore-k egiaztapen gehigarri asko egiten ditu bere eskaneatze-politikaren barruan: Dockerfile, kredentzial-filtrazioak, erabilitako programazio-lengoaien paketeak (npm, maven, etab.) egiaztatzen ditu. .), software lizentziak eta askoz gehiago.

Eguraldi

• Web: coreos.com/clair (orain Red Hat-en tutoretzapean)
• Lizentzia: doakoa (Apache)

Clair irudiak eskaneatzeko Open Source proiektuetako bat izan zen. Oso ezaguna da Quay irudien erregistroaren atzean dagoen segurtasun eskaner gisa (CoreOSetik ere - gutxi gorabehera. itzulpena). Clairek hainbat iturritatik bildu dezake CVE informazioa, Debian, Red Hat edo Ubuntu segurtasun taldeek mantentzen dituzten Linux banaketarako berariazko ahultasunen zerrendak barne.

Anchore ez bezala, Clair-ek ahultasunak aurkitzean eta datuak CVEekin lotzen ditu nagusiki. Hala ere, produktuak aukera batzuk eskaintzen dizkie erabiltzaileei funtzioak zabaltzeko plug-in kontrolatzaileak erabiliz.

dagda

• Web: github.com/eliasgranderubio/dagda
• Lizentzia: doakoa (Apache)

Dagda-k edukiontzien irudien analisi estatikoa egiten du ahultasun, troiar, birus, malware eta beste mehatxu batzuentzat.

Bi ezaugarri nabarmen bereizten dute Dagda antzeko beste tresnetatik:

• Ezin hobeto integratzen da ClamAV, edukiontzien irudiak eskaneatzeko tresna gisa ez ezik, birusen aurkako gisa ere jokatuz.
• Exekuzio-denboran babesa ere eskaintzen du Docker deabruaren denbora errealeko gertaerak jasoz eta Falco-rekin integratuz. (ikus behean) edukiontzia martxan dagoen bitartean segurtasun-gertaerak biltzeko.

KubeXray

• Web: github.com/jfrog/kubexray
• Lizentzia: Doan (Apache), baina JFrog Xray-ren datuak behar ditu (produktu komertziala)

KubeXray-k Kubernetes API zerbitzariaren gertaerak entzuten ditu eta JFrog Xray-ren metadatuak erabiltzen ditu uneko politikarekin bat datozen pod-ak soilik abiarazten direla ziurtatzeko.

KubeXray-k inplementazioetan edukiontzi berriak edo eguneratuak ikuskatzen ditu (Kubernetes-en onarpen-kontrolatzailearen antzekoa), baizik eta exekutatzen ari diren edukiontziak modu dinamikoan egiaztatzen ditu segurtasun-politika berriak betetzen ote diren, irudi ahulak aipatzen dituzten baliabideak kenduz.

Snyk

• Web: snyk.io
• Lizentzia: doako (Apache) eta merkataritzako bertsioak

Snyk ezohiko ahultasun-eskaner bat da, garapen-prozesuari bereziki zuzenduta dagoelako eta garatzaileentzako "funtsezko irtenbide" gisa sustatzen baita.

Snyk zuzenean konektatzen da kode biltegietara, proiektuaren manifestua analizatzen du eta inportatutako kodea aztertzen du zuzeneko eta zeharkako mendekotasunekin batera. Snyk-ek programazio-lengoaia ezagun asko onartzen ditu eta ezkutuko lizentzia arriskuak identifikatu ditzake.

Bitxikeria

• Web: github.com/knqyf263/trivy
• Lizentzia: doan (AGPL)

Trivy ahultasun eskaner sinple baina indartsua da CI/CD kanalizazio batean erraz integratzen den edukiontzietarako. Bere ezaugarri nabarmena instalatzeko eta funtzionatzeko erraztasuna da: aplikazioa bitar bakar batez osatuta dago eta ez du datu-baserik edo liburutegi gehigarririk instalatu behar.

Trivy-ren sinpletasunaren alde txarra da emaitzak JSON formatuan nola analizatu eta birbidaltzen asmatu behar duzula, Kubernetes-en beste segurtasun-tresnek erabil ditzaten.

Runtime segurtasuna Kubernetes-en

Falcon

• Web: falco.org
• Lizentzia: doakoa (Apache)

Falco hodeiko exekuzio-inguruneak ziurtatzeko tresna multzo bat da. Proiektuaren familiako parte CNCF.

Sysdig-en Linux kernel-mailako tresneria eta sistema-deien profila erabiliz, Falcok sistemaren portaeran sakontzeko aukera ematen du. Bere exekuzio-arauen motorra aplikazioetan, edukiontzietan, azpiko ostalarian eta Kubernetes orkestratzailean jarduera susmagarriak detektatzeko gai da.

Falco-k gardentasun osoa eskaintzen du exekuzio-denboran eta mehatxuen detekzioan, helburu horietarako Kubernetes nodoetan agente bereziak zabalduz. Ondorioz, ez dago edukiontziak aldatu beharrik hirugarrenen kodea sartuz edo sidecar edukiontziak gehituz.

Exekuziorako Linux segurtasun-esparruak

Linux nukleorako jatorrizko esparru hauek ez dira "Kubernetes segurtasun-tresnak" zentzu tradizionalean, baina aipatzekoak dira, exekuzio-denborako segurtasunaren testuinguruan elementu garrantzitsua direlako, Kubernetes Pod Security Policy (PSP) barnean dagoena.

AppArmor edukiontzian exekutatzen diren prozesuei segurtasun-profil bat eransten die, fitxategi-sistemaren pribilegioak definituz, sarera sartzeko arauak, liburutegiak konektatuz, etab. Derrigorrezko Sarbide Kontrolean (MAC) oinarritutako sistema da. Beste era batera esanda, debekatutako ekintzak egitea eragozten du.

Segurtasuna hobetutako Linux (SELinux) Linux nukleoko segurtasun-modulu aurreratua da, AppArmor-en antzekoa eta askotan harekin alderatuta. SELinux AppArmor baino handiagoa da potentzian, malgutasunean eta pertsonalizazioan. Bere desabantailak ikaskuntza kurba luzea eta konplexutasuna areagotzea dira.

Seccomp eta seccomp-bpf sistema-deiak iragazteko, oinarrizko OSrako arriskutsuak izan daitezkeen eta erabiltzailearen aplikazioen funtzionamendu normalerako beharrezkoak ez direnen exekuzioa blokeatzeko aukera ematen dute. Seccomp Falcoren antzekoa da nolabait, edukiontzien berezitasunak ezagutzen ez dituen arren.

Sysdig kode irekia

• Web: www.sysdig.com/opensource
• Lizentzia: doakoa (Apache)

Sysdig Linux sistemak aztertzeko, diagnostikatzeko eta arazketarako tresna osoa da (Windows eta macOS-en ere funtzionatzen du, baina funtzio mugatuekin). Informazio zehatza biltzeko, egiaztatzeko eta auzitegi-analisirako erabil daiteke. (forentsea) oinarrizko sistema eta bertan ibiltzen diren edukiontziak.

Sysdig-ek jatorrizko edukiontzien exekuzio-denborak eta Kubernetes metadatuak ere onartzen ditu, eta dimentsio eta etiketa gehigarriak gehitzen ditu biltzen duen sistemaren portaera-informazio guztiari. Kubernetes kluster bat Sysdig erabiliz aztertzeko hainbat modu daude: momentuko harrapaketa egin dezakezu kubectl harrapaketa edo abiarazi ncurses-en oinarritutako interfaze interaktibo bat plugin bat erabiliz kubectl dig.

Kubernetes sareko segurtasuna

Aporeto

• Web: www.aporeto.com
• Lizentzia: komertziala

Aporetok "saretik eta azpiegituretatik bereizita dagoen segurtasuna" eskaintzen du. Horrek esan nahi du Kubernetes-eko zerbitzuek tokiko ID bat (hau da, ServiceAccount Kubernetes-en) ez ezik, ID/hatz-marka unibertsala ere jasotzen dutela, beste edozein zerbitzurekin modu seguruan eta elkarrekin komunikatzeko erabil daitekeena, adibidez OpenShift kluster batean.

Aporetok ID bakarra sortzeko gai da Kubernetes/edukiontzientzat ez ezik, ostalarientzat, hodeiko funtzioentzat eta erabiltzaileentzat ere. Identifikatzaile horien eta administratzaileak ezarritako sareko segurtasun arauen arabera, komunikazioak baimendu edo blokeatuko dira.

Calico

• Web: www.projectcalico.org
• Lizentzia: doakoa (Apache)

Calico edukiontzi-orkestratzaileen instalazioan zabaltzen da normalean, edukiontziak elkarren artean konektatzen dituen sare birtual bat sortzeko aukera emanez. Oinarrizko sareko funtzionaltasun honetaz gain, Calico proiektuak Kubernetes sareko politikak eta sareko segurtasun-profilen multzo propioekin lan egiten du, amaierako ACLak (sarbide-kontrol-zerrendak) eta oharpenetan oinarritutako sareko segurtasun-arauak onartzen ditu Ingress eta Egress trafikorako.

Zilioa

• Web: www.cilium.io
• Lizentzia: doakoa (Apache)

Cilium-ek edukiontzientzako suebaki gisa jarduten du eta sareko segurtasun-eginbideak eskaintzen ditu Kubernetes eta mikrozerbitzuen lan-kargara natiboki egokituta. Cilium-ek BPF (Berkeley Packet Filter) izeneko Linux kernel teknologia berria erabiltzen du datuak iragazteko, kontrolatzeko, birbideratzeko eta zuzentzeko.

Cilium-ek sarerako sarbide-politikak zabaltzeko gai da edukiontzi IDetan oinarrituta Docker edo Kubernetes etiketak eta metadatuak erabiliz. Cilium-ek 7. geruzako hainbat protokolo ere ulertzen eta iragazten ditu, hala nola HTTP edo gRPC, eta, adibidez, Kubernetes bi inplementazioen artean onartuko diren REST dei multzo bat defini dezakezu.

Istio

• Web: istio.io
• Lizentzia: doakoa (Apache)

Istio oso ezaguna da zerbitzu-sarearen paradigma ezartzeagatik, plataformatik independentea den kontrol-planoa zabalduz eta kudeatutako zerbitzu-trafiko guztia dinamikoki konfiguragarriak diren Envoy proxyen bidez bideratuz. Istio-k mikrozerbitzu eta edukiontzi guztien ikuspegi aurreratu hau aprobetxatzen du sareko segurtasun estrategia ezberdinak ezartzeko.

Istio-ren sareko segurtasun-gaitasunek TLS enkriptazio gardena barne hartzen dute mikrozerbitzuen arteko komunikazioak HTTPSra automatikoki berritzeko, eta RBAC identifikazio- eta baimen-sistema jabedun bat klusterreko lan-karga ezberdinen arteko komunikazioa ahalbidetzeko/ukatzeko.

Ohar. itzul.: Istioren segurtasunean oinarritutako gaitasunei buruz gehiago jakiteko, irakurri Artikulu honetan.

Tigera

• Web: www.tigera.io
• Lizentzia: komertziala

"Kubernetes Firewall" izenekoa, irtenbide honek sareko segurtasunerako zero-trust ikuspegia azpimarratzen du.

Kubernetes sareko beste soluzio jatorrizko batzuen antzera, Tigerak metadatuetan oinarritzen da klusterreko hainbat zerbitzu eta objektu identifikatzeko eta exekuzio-denboran arazoak detektatzeko, etengabeko betetze-egiaztapena eta sarearen ikusgarritasuna eskaintzen ditu hodei anitzeko edo hibridoen edukiontzi monolitikoen azpiegituretarako.

Trireme

• Web: www.aporeto.com/opensource
• Lizentzia: doakoa (Apache)

Trireme-Kubernetes Kubernetes Network Policies zehaztapenaren ezarpen sinple eta zuzena da. Ezaugarri aipagarriena da - Kubernetes sareko segurtasun produktuen antzekoak ez bezala - ez duela kontrol-plano zentral bat behar sareak koordinatzeko. Honek soluzioa hutsalki eskalagarria egiten du. Trireme-n, ostalariaren TCP/IP pilara zuzenean konektatzen den nodo bakoitzean agente bat instalatuz lortzen da.

Irudien Hedapena eta Sekretuen Kudeaketa

Grafeas

• Web: grafeas.io
• Lizentzia: doakoa (Apache)

Grafeas softwarearen hornikuntza-katearen auditoria eta kudeaketarako kode irekiko API bat da. Oinarrizko mailan, Grafeas metadatuak eta auditoretzaren aurkikuntzak biltzeko tresna da. Erakunde baten segurtasun-jardunbide egokien betetzearen jarraipena egiteko erabil daiteke.

Egia iturri zentralizatu honek honelako galderei erantzuten laguntzen du:

• Nork bildu eta sinatu zuen edukiontzi jakin baterako?
• Segurtasun-politikak eskatzen dituen segurtasun-analisi eta egiaztapen guztiak gainditu ditu? Noiz? Zeintzuk izan ziren emaitzak?
• Nork zabaldu zuen ekoizpenera? Zein parametro zehatz erabili ziren hedapenean?

In-toto

• Web: in-toto.github.io
• Lizentzia: doakoa (Apache)

In-toto softwarearen hornikuntza-kate osoaren osotasuna, autentifikazioa eta auditoria eskaintzeko diseinatutako esparrua da. In-toto azpiegitura batean zabaltzen denean, lehenik eta behin plan bat definitzen da, kanalizazioko urratsak (biltegia, CI/CD tresnak, QA tresnak, artefaktu-biltzaileak, etab.) eta erabiltzaileak (arduradunak) deskribatzen dituena. abiarazi.

In-toto-k planaren exekuzioaren jarraipena egiten du, kateko zeregin bakoitza baimendutako langileek soilik egiten dutela eta produktuarekin mugimenduan zehar baimenik gabeko manipulaziorik egin ez dela egiaztatuz.

Portieris

• Web: github.com/IBM/portieris
• Lizentzia: doakoa (Apache)

Portieris Kubernetesen onarpen kontrolatzailea da; edukiaren konfiantza egiaztapenak betearazteko erabiltzen da. Portierisek zerbitzari bat erabiltzen du notario (bukaeran berari buruz idatzi genuen Artikulu hau - gutxi gorabehera. itzulpena) fidagarriak eta sinatutako artefaktuak (hau da, onartutako edukiontzien irudiak) baliozkotzeko egia iturri gisa.

Kubernetesen lan-karga bat sortzen edo aldatzen denean, Portierisek sinadura-informazioa eta edukiaren konfiantza-politika deskargatzen ditu eskatutako edukiontzi-irudien eta, behar izanez gero, aldaketak egiten ditu JSON API objektuan, irudi horien bertsio sinatutako bertsioak exekutatzeko.

Boveda

• Web: www.vaultproject.io
• Lizentzia: doakoa (MPL)

Vault informazio pribatua gordetzeko irtenbide segurua da: pasahitzak, OAuth tokenak, PKI ziurtagiriak, sarbide kontuak, Kubernetes sekretuak, etab. Vault-ek funtzio aurreratu asko onartzen ditu, hala nola segurtasun-token iragankorrak alokatzea edo gakoen biraketa antolatzea.

Helm diagrama erabiliz, Vault inplementazio berri gisa inplementa daiteke Kubernetes kluster batean Consul backend biltegiratze gisa duela. Kuberneteseko jatorrizko baliabideak onartzen ditu ServiceAccount tokenak, esaterako, eta Kubernetes sekretuen biltegi lehenetsi gisa ere jardun daiteke.

Ohar. itzul.: Bide batez, atzo bertan Vault garatzen duen HashiCorp konpainiak hobekuntza batzuk iragarri zituen Kubernetesen Bault erabiltzeko, eta bereziki Helm-en diagramarekin erlazionatuta daude. Irakurri gehiago atalean garatzaileen bloga.

Kubernetes Segurtasun Auditoria

Kube-bankua

• Web: github.com/aquasecurity/kube-bench
• Lizentzia: doakoa (Apache)

Kube-bench Go aplikazio bat da, Kubernetes modu seguruan inplementatzen den egiaztatzen duena, zerrenda bateko probak eginez. CIS Kubernetes Benchmark.

Kube-bench-ek konfigurazio-ezarpen seguruak bilatzen ditu klusterren osagaien artean (etab., APIa, kontrolagailu-kudeatzailea, etab.), fitxategien sarbide-eskubide zalantzagarriak, babesik gabeko kontuak edo portu irekiak, baliabide-kuotak, DoS erasoetatik babesteko API deien kopurua mugatzeko ezarpenak. , etab.

Kube-ehiztaria

• Web: github.com/aquasecurity/kube-hunter
• Lizentzia: doakoa (Apache)

Kube-hunter-ek ahultasun potentzialak bilatzen ditu (adibidez, urruneko kodearen exekuzioa edo datuak ezagutarazi) Kubernetes klusterretan. Kube-hunter urruneko eskaner gisa exekutatu daiteke -kasu horretan klusterra ebaluatuko du hirugarrenen erasotzaile baten ikuspuntutik- edo kluster barruko pod gisa.

Kube-hunter-en ezaugarri bereizgarri bat bere "ehiza aktiboa" modua da, eta horretan arazoak salatzeaz gain, bere funtzionamendua kaltetu dezaketen helburuko klusterrean aurkitutako ahultasunak aprobetxatzen saiatzen da. Beraz, erabili kontuz!

Kubeaudit

• Web: github.com/Shopify/kubeaudit
• Lizentzia: doakoa (MIT)

Kubeaudit jatorriz Shopify-n garatutako kontsola tresna da Kubernetesen konfigurazioa ikuskatzeko hainbat segurtasun-arazoetarako. Esaterako, mugarik gabe exekutatzen ari diren edukiontziak identifikatzen laguntzen du, root gisa exekutatzen, pribilegioak abusatzen edo ServiceAccount lehenetsia erabiltzen.

Kubeauditek beste ezaugarri interesgarri batzuk ditu. Adibidez, tokiko YAML fitxategiak azter ditzake, segurtasun-arazoak sor ditzaketen konfigurazio akatsak identifikatu eta automatikoki konpondu.

Kubesec

• Web: kubesec.io
• Lizentzia: doakoa (Apache)

Kubesec tresna berezi bat da, Kubernetes baliabideak deskribatzen dituzten YAML fitxategiak zuzenean eskaneatzen baititu, segurtasunean eragina izan dezaketen parametro ahulen bila.

Adibidez, pod bati emandako gehiegizko pribilegio eta baimenak detekta ditzake, erabiltzaile lehenetsi gisa root duen edukiontzi bat exekutatu, ostalariaren sareko izen-espaziora konektatzea edo muntaketa arriskutsuak, esaterako. /proc ostalari edo Docker socket. Kubesec-en beste ezaugarri interesgarri bat sarean dagoen demo zerbitzua da, eta bertan YAML igo dezakezu eta berehala aztertu dezakezu.

Ireki politika-agentea

• Web: www.openpolicyagent.org
• Lizentzia: doakoa (Apache)

OPA (Open Policy Agent) kontzeptua segurtasun-politikak eta segurtasun-jardunbide onenak exekuzio-denborako plataforma zehatz batetik desakoplatzea da: Docker, Kubernetes, Mesosphere, OpenShift edo horien konbinazioren bat.

Esate baterako, OPA inplementa dezakezu Kubernetes onarpen-kontrolagailuaren backend gisa, segurtasun-erabakiak hari delegatuz. Modu honetan, OPA agenteak eskaerak berehala balioztatu, baztertu eta are alda ditzake, zehaztutako segurtasun-parametroak betetzen direla ziurtatuz. OPAren segurtasun-politikak bere DSL hizkuntzan idatzita daude, Rego.

Ohar. itzul.: OPA (eta SPIFFE) buruz gehiago idatzi dugu material hau.

Kubernetes segurtasun-analisirako tresna komertzial osoak

Plataforma komertzialen kategoria bereizi bat sortzea erabaki genuen normalean segurtasun-eremu anitz estaltzen dituztelako. Haien gaitasunen ideia orokorra taulatik lor daiteke:

* Azterketa aurreratua eta post mortem azterketa osoa sistema deien bahiketa.

Aqua Security

• Web: www.aquasec.com
• Lizentzia: komertziala

Tresna komertzial hau edukiontzietarako eta hodeiko lan kargarako diseinatuta dago. Hona hemen:

• Irudien eskaneatzea edukiontzien erregistroarekin edo CI/CD kanalizazioarekin integratuta;
• Exekuzio-denboraren babesa edukiontzietan aldaketak eta bestelako jarduera susmagarriak bilatuz;
• Edukiontzi-jatorrizko suebakia;
• Hodeiko zerbitzuetan zerbitzaririk gabeko segurtasuna;
• Betetze-probak eta auditoriak gertaeren erregistroarekin konbinatuta.

Ohar. itzul.: Badudela ere nabarmentzekoa da izeneko produktuaren doako osagaia MikroEskanerra, edukiontzien irudiak ahultasunen bila eskaneatzeko aukera ematen duena. Bere gaitasunen konparaketa ordainpeko bertsioekin aurkezten da taula hau.

kapsula 8

• Web: kapsula8.com
• Lizentzia: komertziala

Capsule8 azpiegituran integratzen da detektagailua Kubernetes kluster lokalean edo hodeian instalatuta. Detektagailu honek ostalariaren eta sarearen telemetria biltzen du, eraso mota ezberdinekin erlazionatuz.

Capsule8 taldeak bere zeregina detekzio goiztiarra eta erasoak prebenitzea bezala ikusten du berria erabiliz (0 egun) ahultasunak. Capsule8-k segurtasun-arau eguneratuak zuzenean deskarga ditzake detektagailuetara, aurkitu berri diren mehatxuei eta software-ahuleziei erantzunez.

Kavirina

• Web: www.cavirin.com
• Lizentzia: komertziala

Cavirin-ek konpainiaren kontratista gisa jarduten du segurtasun-arauetan parte hartzen duten hainbat agentzientzat. Irudiak eskaneatzeaz gain, CI/CD kanalizazioan integra daiteke, estandarrak ez diren irudiak blokeatuz biltegi itxietan sartu aurretik.

Cavirin-en segurtasun-suiteak ikaskuntza automatikoa erabiltzen du zure zibersegurtasun-jarrera ebaluatzeko, segurtasuna hobetzeko eta segurtasun-estandarrak betetzen hobetzeko aholkuak eskainiz.

Google Cloud Security Command Center

• Web: cloud.google.com/security-command-center
• Lizentzia: komertziala

Cloud Security Command Center-ek segurtasun-taldeei datuak biltzen, mehatxuak identifikatzen eta konpainiari kalte egin aurretik kentzen laguntzen die.

Izenak dioen bezala, Google Cloud SCC kontrol-panel bateratua da, segurtasun-txostenak, aktiboen kontabilitate-motorrak eta hirugarrenen segurtasun-sistemak iturri zentralizatu bakar batetik integratu eta kudeatu ditzakeena.

Google Cloud SCC-k eskaintzen duen API elkarreragileari esker, hainbat iturritatik datozen segurtasun-gertaerak integratzea errazten da, hala nola Sysdig Secure (hodeiko jatorrizko aplikazioetarako edukiontzien segurtasuna) edo Falco (Kode irekiko exekuzio-segurtasuna).

Layered Insight (Qualys)

• Web: layeredinsight.com
• Lizentzia: komertziala

Layered Insight (orain Qualys Inc-en parte da) "segurtasun txertatua" kontzeptuan eraikita dago. Jatorrizko irudia ahultasunen bila eskaneatu ondoren, analisi estatistikoa eta CVE egiaztapenak erabiliz, Layered Insight-ek agentea bitar gisa barne hartzen duen irudi instrumentatu batekin ordezkatzen du.

Agente honek exekuzio garaiko segurtasun-probak ditu edukiontzien sareko trafikoa, I/O fluxuak eta aplikazioen jarduera aztertzeko. Horrez gain, azpiegituren administratzaileak edo DevOps taldeek zehaztutako segurtasun egiaztapen osagarriak egin ditzake.

NeuVector

• Web: neuvector.com
• Lizentzia: komertziala

NeuVector-ek edukiontzien segurtasuna egiaztatzen du eta exekuzio-denboran babesa eskaintzen du sareko jarduera eta aplikazioen portaera aztertuz, edukiontzi bakoitzeko segurtasun-profil indibiduala sortuz. Mehatxuak ere blokeatu ditzake bere kabuz, jarduera susmagarriak isolatuz tokiko suebakiaren arauak aldatuz.

NeuVector-en sare-integrazioa, Security Mesh bezala ezagutzen dena, paketeen azterketa sakona eta 7. geruza iragazteko gai da zerbitzu sareko sareko konexio guztietarako.

StackRox

• Web: www.stackrox.com
• Lizentzia: komertziala

StackRox edukiontzien segurtasun plataforma Kubernetes aplikazioen bizi-ziklo osoa kluster batean estaltzen ahalegintzen da. Zerrenda honetako beste plataforma komertzialek bezala, StackRox-ek exekuzio-denbora-profila sortzen du behatutako edukiontzien portaeran oinarrituta eta automatikoki alarma bat pizten du edozein desbiderapenetarako.

Gainera, StackRox-ek Kubernetes-en konfigurazioak aztertzen ditu Kubernetes CIS eta beste arau-liburu batzuk erabiliz edukiontzien betetzea ebaluatzeko.

Sysdig Secure

• Web: sysdig.com/products/secure
• Lizentzia: komertziala

Sysdig Secure-k edukiontzi osoan eta Kubernetesen bizi-ziklo osoan babesten ditu aplikazioak. Berak irudiak eskaneatzen ditu ontziak, eskaintzen runtime babesa ikaskuntza automatikoko datuen arabera, krema egiten du. ahultasunak identifikatzeko, mehatxuak blokeatzeko, monitoreak ezarritako estandarrak betetzea eta mikrozerbitzuetako jarduera ikuskatzen.

Sysdig Secure Jenkins bezalako CI/CD tresnekin integratzen da eta Docker erregistroetatik kargatutako irudiak kontrolatzen ditu, ekoizpenean irudi arriskutsuak ager ez daitezen. Era berean, exekuzio-denboraren segurtasun osoa eskaintzen du, besteak beste:

• ML-n oinarritutako exekuzio-denboraren profila eta anomalien detekzioa;
• exekuzio-politikak sistemaren gertaeretan, K8s-audit APIan, komunitateko proiektu bateratuetan (FIM - fitxategien osotasunaren monitorizazioa; cryptojacking) eta markoa. MITRE ATT&CK;
• intzidentziaren erantzuna eta ebazpena.

Edukiontzien segurtasun iraunkorra

• Web: www.tenable.com/products/tenable-io/container-security
• Lizentzia: komertziala

Edukiontzien etorrera baino lehen, Tenable oso ezaguna zen industrian Nessus-en atzean dagoen enpresa gisa, ahultasunen ehiza eta segurtasun-ikuskaritza tresna ezaguna.

Tenable Container Security-k konpainiaren segurtasun informatikoko espezializazioa baliatzen du CI/CD kanalizazio bat ahultasun datu-baseekin, malware detektatzeko pakete espezializatuekin eta segurtasun mehatxuak konpontzeko gomendioekin integratzeko.

Twistlock (Palo Alto Networks)

• Web: www.twistlock.com
• Lizentzia: komertziala

Twistlock hodeiko zerbitzu eta edukiontzietara bideratutako plataforma gisa sustatzen da. Twistlock-ek hainbat hodei-hornitzaile (AWS, Azure, GCP), edukiontzi-orkestratzaile (Kubernetes, Mesospehere, OpenShift, Docker), zerbitzaririk gabeko exekuzio-denborak, sare-esparruak eta CI/CD tresnak onartzen ditu.

Enpresa-mailako ohiko segurtasun teknikez gain, hala nola CI/CD kanalizazioaren integrazioa edo irudien eskaneatzea, Twistlock-ek ikaskuntza automatikoa erabiltzen du edukiontzien portaera-eredu espezifikoak eta sare-arauak sortzeko.

Duela denbora pixka bat, Evident.io eta RedLock proiektuen jabea den Palo Alto Networks-ek erosi zuen Twistlock. Oraindik ez da jakin hiru plataforma hauek nola integratuko diren zehazki PRISMA Palo Altotik.

Lagundu Kubernetes segurtasun tresnen katalogo onena sortzen!

Katalogo hau ahalik eta osatuena izan dadin ahalegintzen gara, eta horretarako zure laguntza behar dugu! Jarri gurekin harremanetan (@sysdig) zerrenda honetan sartzea merezi duen tresna polit bat baduzu buruan, edo informazio akats/zaharkitua aurkitzen baduzu.

Gurera ere harpidetu zaitezke hileroko buletina Hodeian jatorrizko ekosistemako albisteekin eta Kubernetes segurtasunaren munduko proiektu interesgarriei buruzko istorioekin.

PS itzultzailetik

Irakurri ere gure blogean:

• «Kubernetes sareko politiken sarrera Segurtasun profesionalentzako»;
• «Docker eta Kubernetes segurtasuna eskatzen duten inguruneetan»;
• «Kubernetes segurtasunerako 9 praktika onak»;
• «11 modu (Ez) Kubernetes Hack baten biktima bihurtzeko»;
• «OPA eta SPIFFE hodeiko aplikazioen segurtasunerako CNCFren bi proiektu berri dira'.

Iturria: www.habr.com