🥇33+ ابزار برای امنیت Kubernetes

توجه داشته باشید. ترجمه: اگر در مورد امنیت در زیرساخت مبتنی بر Kubernetes فکر می‌کنید، این نمای کلی عالی از Sysdig نقطه شروع عالی برای نگاهی سریع به راه‌حل‌های فعلی است. این شامل سیستم های پیچیده از بازیگران معروف بازار و ابزارهای بسیار ساده تر است که یک مشکل خاص را حل می کند. و در نظرات، مثل همیشه، خوشحال می شویم از تجربه شما در استفاده از این ابزارها و دیدن لینک های پروژه های دیگر مطلع شویم.

محصولات نرم افزار امنیتی Kubernetes... تعداد زیادی از آنها وجود دارد که هر کدام اهداف، دامنه و مجوزهای خاص خود را دارند.

به همین دلیل است که تصمیم گرفتیم این لیست را ایجاد کنیم و هم پروژه های منبع باز و هم پلتفرم های تجاری از فروشندگان مختلف را شامل شود. ما امیدواریم که به شما کمک کند مواردی را که بیشتر مورد علاقه هستند شناسایی کنید و بر اساس نیازهای امنیتی خاص Kubernetes شما را در جهت درست راهنمایی کند.

اسکن تصاویر Kubernetes

لنگر

وب سایت: anchore.com
مجوز: رایگان (آپاچی) و پیشنهاد تجاری

Anchore تصاویر کانتینر را تجزیه و تحلیل می کند و امکان بررسی های امنیتی را بر اساس خط مشی های تعریف شده توسط کاربر فراهم می کند.

علاوه بر اسکن معمول تصاویر کانتینر برای آسیب پذیری های شناخته شده از پایگاه داده CVE، Anchore بسیاری از بررسی های اضافی را به عنوان بخشی از خط مشی اسکن خود انجام می دهد: Dockerfile، نشت اعتبار، بسته های زبان های برنامه نویسی مورد استفاده (npm، maven و غیره را بررسی می کند. .)، مجوزهای نرم افزار و موارد دیگر.

واضح

وب سایت: coreos.com/clair (اکنون زیر نظر کلاه قرمزی)
مجوز: رایگان (آپاچی)

Clair یکی از اولین پروژه های متن باز برای اسکن تصویر بود. به طور گسترده ای به عنوان اسکنر امنیتی پشت رجیستری تصویر Quay شناخته می شود (همچنین از CoreOS - تقریبا ترجمه). Clair می‌تواند اطلاعات CVE را از منابع مختلف، از جمله لیست‌هایی از آسیب‌پذیری‌های توزیع لینوکس که توسط تیم‌های امنیتی Debian، Red Hat یا Ubuntu نگهداری می‌شوند، جمع‌آوری کند.

برخلاف Anchore، Clair در درجه اول بر یافتن آسیب‌پذیری‌ها و تطبیق داده‌ها با CVE تمرکز می‌کند. با این حال، این محصول به کاربران فرصت هایی برای گسترش عملکردها با استفاده از درایورهای افزونه ارائه می دهد.

داگدا

وب سایت: github.com/eliasgranderubio/dagda
مجوز: رایگان (آپاچی)

Dagda تجزیه و تحلیل استاتیک تصاویر کانتینر را برای آسیب پذیری های شناخته شده، تروجان ها، ویروس ها، بدافزارها و سایر تهدیدات انجام می دهد.

دو ویژگی قابل توجه Dagda را از سایر ابزارهای مشابه متمایز می کند:

کاملا با ClamAV درحال، نه تنها به عنوان ابزاری برای اسکن تصاویر کانتینر، بلکه به عنوان یک آنتی ویروس نیز عمل می کند.
همچنین با دریافت رویدادهای بلادرنگ از Daemon Docker و ادغام با Falco، محافظت در زمان اجرا را فراهم می کند (پایین را ببینید) برای جمع آوری رویدادهای امنیتی در حالی که کانتینر در حال اجرا است.

KubeXray

وب سایت: github.com/jfrog/kubexray
مجوز: رایگان (آپاچی)، اما به داده‌های JFrog Xray (محصول تجاری) نیاز دارد

KubeXray به رویدادها از سرور Kubernetes API گوش می دهد و از فراداده JFrog Xray استفاده می کند تا اطمینان حاصل کند که فقط پادهایی که با خط مشی فعلی مطابقت دارند راه اندازی می شوند.

KubeXray نه تنها کانتینرهای جدید یا به روز شده را در استقرارها بازرسی می کند (شبیه به کنترل کننده پذیرش در Kubernetes)، بلکه به صورت پویا کانتینرهای در حال اجرا را برای انطباق با سیاست های امنیتی جدید بررسی می کند و منابعی را که به تصاویر آسیب پذیر ارجاع می دهند حذف می کند.

اسنیک

وب سایت: snyk.io
مجوز: نسخه رایگان (آپاچی) و تجاری

Snyk یک اسکنر آسیب پذیری غیرمعمول است که به طور خاص فرآیند توسعه را هدف قرار می دهد و به عنوان یک "راه حل اساسی" برای توسعه دهندگان تبلیغ می شود.

Snyk مستقیماً به مخازن کد متصل می شود، مانیفست پروژه را تجزیه می کند و کدهای وارد شده را همراه با وابستگی های مستقیم و غیر مستقیم تجزیه و تحلیل می کند. Snyk از بسیاری از زبان های برنامه نویسی محبوب پشتیبانی می کند و می تواند خطرات مجوز پنهان را شناسایی کند.

بی اهمیت

وب سایت: github.com/knqyf263/trivy
مجوز: رایگان (AGPL)

Trivy یک اسکنر آسیب پذیری ساده اما قدرتمند برای کانتینرها است که به راحتی در خط لوله CI/CD ادغام می شود. ویژگی قابل توجه آن سهولت نصب و عملکرد آن است: برنامه از یک باینری واحد تشکیل شده است و نیازی به نصب پایگاه داده یا کتابخانه های اضافی ندارد.

نقطه ضعف سادگی Trivy این است که شما باید نحوه تجزیه و ارسال نتایج را در قالب JSON کشف کنید تا سایر ابزارهای امنیتی Kubernetes بتوانند از آنها استفاده کنند.

امنیت زمان اجرا در Kubernetes

Falco از

وب سایت: falco.org
مجوز: رایگان (آپاچی)

Falco مجموعه ای از ابزارها برای ایمن سازی محیط های زمان اجرا ابری است. بخشی از خانواده پروژه CNCF.

Falco با استفاده از ابزار در سطح هسته لینوکس Sysdig و پروفایل فراخوانی سیستم، به شما اجازه می دهد تا عمیقاً در رفتار سیستم فرو بروید. موتور قوانین زمان اجرا آن قادر به تشخیص فعالیت های مشکوک در برنامه ها، کانتینرها، میزبان اصلی و ارکستراتور Kubernetes است.

Falco شفافیت کاملی را در زمان اجرا و تشخیص تهدید با استقرار عوامل ویژه در گره های Kubernetes برای این اهداف فراهم می کند. در نتیجه، نیازی به تغییر کانتینرها با وارد کردن کد شخص ثالث به آنها یا افزودن کانتینرهای سایدکار نیست.

چارچوب های امنیتی لینوکس برای زمان اجرا

این چارچوب‌های بومی برای هسته لینوکس «ابزارهای امنیتی Kubernetes» به معنای سنتی نیستند، اما قابل ذکر هستند زیرا آنها عنصر مهمی در زمینه امنیت زمان اجرا هستند که در سیاست امنیتی Kubernetes Pod (PSP) گنجانده شده است.

AppArmor یک نمایه امنیتی به فرآیندهای در حال اجرا در کانتینر، تعریف امتیازات سیستم فایل، قوانین دسترسی به شبکه، اتصال کتابخانه ها و غیره متصل می کند. این یک سیستم مبتنی بر کنترل دسترسی اجباری (MAC) است. به عبارت دیگر از انجام اعمال حرام جلوگیری می کند.

لینوکس با امنیت بالا (SELinux را) یک ماژول امنیتی پیشرفته در هسته لینوکس است که از برخی جنبه ها شبیه AppArmor است و اغلب با آن مقایسه می شود. SELinux از نظر قدرت، انعطاف پذیری و سفارشی سازی از AppArmor برتر است. معایب آن منحنی یادگیری طولانی و افزایش پیچیدگی است.

Seccomp و seccomp-bpf به شما امکان می دهد تماس های سیستمی را فیلتر کنید، اجرای آنهایی را که به طور بالقوه برای سیستم عامل پایه خطرناک هستند و برای عملکرد عادی برنامه های کاربر مورد نیاز نیستند، مسدود کنید. Seccomp از جهاتی شبیه به Falco است، اگرچه از مشخصات کانتینرها اطلاعی ندارد.

منبع باز Sysdig

وب سایت: www.sysdig.com/opensource
مجوز: رایگان (آپاچی)

Sysdig یک ابزار کامل برای تجزیه و تحلیل، تشخیص و اشکال زدایی سیستم های لینوکس است (همچنین در ویندوز و macOS کار می کند، اما با عملکردهای محدود). می توان از آن برای جمع آوری اطلاعات دقیق، تأیید و تجزیه و تحلیل پزشکی قانونی استفاده کرد. (پزشکی قانونی) سیستم پایه و هر کانتینری که روی آن اجرا می شود.

Sysdig همچنین به طور بومی از زمان اجرا کانتینر و ابرداده Kubernetes پشتیبانی می کند و ابعاد و برچسب های اضافی را به تمام اطلاعات رفتار سیستمی که جمع آوری می کند اضافه می کند. روش های مختلفی برای تجزیه و تحلیل یک خوشه Kubernetes با استفاده از Sysdig وجود دارد: می توانید از طریق آن عکس برداری نقطه در زمان انجام دهید. ضبط کوبکتل یا یک رابط تعاملی مبتنی بر ncurses را با استفاده از یک افزونه راه اندازی کنید حفاری کوبکتل.

امنیت شبکه Kubernetes

آپورتو

وب سایت: www.aporeto.com
مجوز: تجاری

آپورتو "امنیتی جدا از شبکه و زیرساخت" را ارائه می دهد. این بدان معناست که سرویس‌های Kubernetes نه تنها یک شناسه محلی (به عنوان مثال ServiceAccount در Kubernetes) دریافت می‌کنند، بلکه یک شناسه جهانی/اثرانگشت را نیز دریافت می‌کنند که می‌تواند برای برقراری ارتباط ایمن و متقابل با هر سرویس دیگری، به عنوان مثال در یک خوشه OpenShift، استفاده شود.

Aporeto قادر است یک شناسه منحصر به فرد را نه تنها برای Kubernetes/containerها، بلکه برای میزبان ها، توابع ابری و کاربران ایجاد کند. بسته به این شناسه ها و مجموعه قوانین امنیتی شبکه که توسط سرپرست تنظیم شده است، ارتباطات مجاز یا مسدود می شود.

چلوار

وب سایت: www.projectcalico.org
مجوز: رایگان (آپاچی)

Calico معمولاً در طول نصب ارکستراتور کانتینر مستقر می شود و به شما امکان می دهد یک شبکه مجازی ایجاد کنید که کانتینرها را به هم متصل می کند. علاوه بر این عملکرد اصلی شبکه، پروژه Calico با سیاست های شبکه Kubernetes و مجموعه پروفایل های امنیتی شبکه خود کار می کند، از ACL های نقطه پایانی (لیست های کنترل دسترسی) و قوانین امنیتی شبکه مبتنی بر حاشیه نویسی برای ترافیک ورودی و خروجی پشتیبانی می کند.

سیلیوم

وب سایت: www.cilium.io
مجوز: رایگان (آپاچی)

Cilium به عنوان یک دیوار آتش برای کانتینرها عمل می کند و ویژگی های امنیتی شبکه را به صورت بومی برای بارهای کاری Kubernetes و microservices ارائه می دهد. کیلیوم از یک فناوری هسته لینوکس جدید به نام BPF (فیلتر بسته برکلی) برای فیلتر، نظارت، تغییر مسیر و تصحیح داده ها استفاده می کند.

Cilium می‌تواند سیاست‌های دسترسی به شبکه را بر اساس شناسه‌های کانتینر با استفاده از برچسب‌ها و ابرداده‌های Docker یا Kubernetes اجرا کند. Cilium همچنین پروتکل‌های لایه 7 مختلف مانند HTTP یا gRPC را می‌فهمد و فیلتر می‌کند و به شما امکان می‌دهد مجموعه‌ای از تماس‌های REST را تعریف کنید که برای مثال بین دو استقرار Kubernetes مجاز خواهند بود.

ایستیو

وب سایت: isio.io
مجوز: رایگان (آپاچی)

ایستیو به طور گسترده برای پیاده سازی پارادایم مش سرویس با استقرار یک صفحه کنترل مستقل از پلت فرم و مسیریابی تمام ترافیک سرویس مدیریت شده از طریق پراکسی های Envoy قابل تنظیم پویا شناخته شده است. ایستیو از این نمای پیشرفته همه میکروسرویس ها و کانتینرها برای پیاده سازی استراتژی های مختلف امنیت شبکه بهره می برد.

قابلیت‌های امنیتی شبکه ایستیو شامل رمزگذاری شفاف TLS برای ارتقای خودکار ارتباطات بین میکروسرویس‌ها به HTTPS و سیستم شناسایی و مجوز RBAC اختصاصی برای اجازه/انکار ارتباط بین بارهای کاری مختلف در خوشه است.

توجه داشته باشید. ترجمه: برای کسب اطلاعات بیشتر در مورد قابلیت های ایستیو متمرکز بر امنیت، بخوانید این مقاله.

ببر

وب سایت: www.tigera.io
مجوز: تجاری

این راه حل که "فایروال Kubernetes" نامیده می شود، بر رویکرد اعتماد صفر برای امنیت شبکه تأکید دارد.

مشابه دیگر راه‌حل‌های شبکه بومی Kubernetes، Tigera برای شناسایی سرویس‌ها و اشیاء مختلف در خوشه به ابرداده تکیه می‌کند و تشخیص مشکلات زمان اجرا، بررسی انطباق مداوم و دید شبکه را برای زیرساخت‌های چند ابری یا ترکیبی یکپارچه-کانتینری فراهم می‌کند.

Trireme

وب سایت: www.aporeto.com/opensource
مجوز: رایگان (آپاچی)

Trireme-Kubernetes یک پیاده سازی ساده و سرراست از مشخصات سیاست های شبکه Kubernetes است. قابل توجه ترین ویژگی این است که - بر خلاف محصولات مشابه امنیتی شبکه Kubernetes - برای هماهنگ کردن مش به یک صفحه کنترل مرکزی نیاز ندارد. این باعث می شود که راه حل به طور بی اهمیتی مقیاس پذیر باشد. در Trireme، این با نصب یک عامل بر روی هر گره که مستقیماً به پشته TCP/IP میزبان متصل می‌شود، به دست می‌آید.

انتشار تصویر و مدیریت اسرار

گرافیا

وب سایت: grafeas.io
مجوز: رایگان (آپاچی)

Grafeas یک API منبع باز برای حسابرسی و مدیریت زنجیره تامین نرم افزار است. در سطح پایه، Grafeas ابزاری برای جمع‌آوری فراداده و یافته‌های حسابرسی است. می توان از آن برای ردیابی مطابقت با بهترین شیوه های امنیتی در یک سازمان استفاده کرد.

این منبع متمرکز حقیقت به پاسخگویی به سوالاتی مانند:

چه کسی یک ظرف خاص را جمع آوری و امضا کرد؟
آیا تمام اسکن ها و بررسی های امنیتی مورد نیاز توسط سیاست امنیتی را پشت سر گذاشته است؟ چه زمانی؟ نتایج چه بود؟
چه کسی آن را برای تولید مستقر کرد؟ چه پارامترهای خاصی در طول استقرار استفاده شد؟

به طور کلی

وب سایت: in-toto.github.io
مجوز: رایگان (آپاچی)

In-toto چارچوبی است که برای ارائه یکپارچگی، احراز هویت و ممیزی کل زنجیره تامین نرم افزار طراحی شده است. هنگام استقرار In-toto در یک زیرساخت، ابتدا طرحی تعریف می‌شود که مراحل مختلف خط لوله (مخزن، ابزارهای CI/CD، ابزارهای QA، جمع‌آورندگان مصنوعات و غیره) و کاربران (افراد مسئول) را که مجاز به انجام آن هستند، توصیف می‌کند. آنها را آغاز کند.

In-toto بر اجرای طرح نظارت می کند و تأیید می کند که هر کار در زنجیره فقط توسط پرسنل مجاز به درستی انجام می شود و هیچ دستکاری غیرمجاز با محصول در حین جابجایی انجام نشده است.

پورتیریس

وب سایت: github.com/IBM/portieris
مجوز: رایگان (آپاچی)

Portieris یک کنترل کننده پذیرش برای Kubernetes است. برای اجرای بررسی های اعتماد محتوا استفاده می شود. پورتیریس از سرور استفاده می کند دفتر اسناد رسمی (در پایان در مورد او نوشتیم از این مقاله - تقریبا ترجمه) به عنوان منبعی از حقیقت برای اعتبار بخشیدن به مصنوعات مورد اعتماد و امضا شده (به عنوان مثال، تصاویر ظرف مورد تایید).

وقتی حجم کاری در Kubernetes ایجاد یا تغییر می‌کند، Portieris اطلاعات امضا و خط‌مشی اعتماد محتوا را برای تصاویر کانتینر درخواستی دانلود می‌کند و در صورت لزوم، تغییراتی را در لحظه در شیء JSON API ایجاد می‌کند تا نسخه‌های امضا شده آن تصاویر را اجرا کند.

طاق

وب سایت: www.vaultproject.io
مجوز: رایگان (MPL)

Vault یک راه حل امن برای ذخیره اطلاعات خصوصی است: رمزهای عبور، نشانه های OAuth، گواهی های PKI، حساب های دسترسی، اسرار Kubernetes و غیره. Vault از بسیاری از ویژگی های پیشرفته مانند اجاره توکن های امنیتی زودگذر یا سازماندهی چرخش کلید پشتیبانی می کند.

با استفاده از نمودار Helm، Vault را می توان به عنوان یک استقرار جدید در یک خوشه Kubernetes با Consul به عنوان ذخیره سازی پشتیبان مستقر کرد. از منابع بومی Kubernetes مانند توکن های ServiceAccount پشتیبانی می کند و حتی می تواند به عنوان فروشگاه پیش فرض اسرار Kubernetes عمل کند.

توجه داشته باشید. ترجمه: به هر حال، همین دیروز، شرکت HashiCorp که Vault را توسعه می دهد، بهبودهایی را برای استفاده از Vault در Kubernetes اعلام کرد، و به ویژه آنها به نمودار Helm مربوط می شوند. ادامه مطلب را در وبلاگ توسعه دهنده.

ممیزی امنیتی Kubernetes

نیمکت کوبه

وب سایت: github.com/aquasecurity/kube-bench
مجوز: رایگان (آپاچی)

Kube-bench یک برنامه Go است که بررسی می کند که آیا Kubernetes به طور ایمن مستقر شده است یا خیر با اجرای تست ها از یک لیست. معیار CIS Kubernetes.

Kube-bench به دنبال تنظیمات پیکربندی ناامن در بین اجزای خوشه (etcd، API، مدیریت کنترلر و غیره)، حقوق دسترسی مشکوک به فایل، حساب‌های محافظت نشده یا پورت‌های باز، سهمیه‌های منابع، تنظیمات محدود کردن تعداد تماس‌های API برای محافظت در برابر حملات DoS است. ، و غیره.

شکارچی کوبه

وب سایت: github.com/aquasecurity/kube-hunter
مجوز: رایگان (آپاچی)

Kube-hunter به دنبال آسیب‌پذیری‌های احتمالی (مانند اجرای کد از راه دور یا افشای داده‌ها) در خوشه‌های Kubernetes است. Kube-hunter می تواند به عنوان یک اسکنر از راه دور اجرا شود - در این صورت خوشه را از دیدگاه یک مهاجم شخص ثالث ارزیابی می کند - یا به عنوان یک pod در داخل خوشه.

ویژگی متمایز Kube-hunter حالت "شکار فعال" آن است که در طی آن نه تنها مشکلات را گزارش می کند، بلکه سعی می کند از آسیب پذیری های کشف شده در خوشه هدف که به طور بالقوه می تواند به عملکرد آن آسیب برساند، استفاده کند. پس با احتیاط استفاده کنید!

Kubeaudit

وب سایت: github.com/Shopify/kubeaudit
مجوز: رایگان (MIT)

Kubeaudit یک ابزار کنسول است که در اصل در Shopify برای بررسی پیکربندی Kubernetes برای مسائل امنیتی مختلف توسعه یافته است. به عنوان مثال، به شناسایی کانتینرهایی کمک می کند که بدون محدودیت اجرا می شوند، در حال اجرا به عنوان روت هستند، از امتیازات سوء استفاده می کنند، یا از ServiceAccount پیش فرض استفاده می کنند.

Kubeaudit ویژگی های جالب دیگری نیز دارد. به عنوان مثال، می‌تواند فایل‌های YAML محلی را تجزیه و تحلیل کند، نقص‌های پیکربندی که می‌تواند منجر به مشکلات امنیتی شود را شناسایی کرده و به‌طور خودکار آنها را برطرف کند.

کوبسک

وب سایت: kubesec.io
مجوز: رایگان (آپاچی)

Kubesec یک ابزار ویژه است که مستقیماً فایل های YAML را که منابع Kubernetes را توصیف می کنند اسکن می کند و به دنبال پارامترهای ضعیفی است که می تواند بر امنیت تأثیر بگذارد.

به عنوان مثال، می‌تواند امتیازات و مجوزهای بیش از حد اعطا شده به یک پاد، اجرای کانتینری با root به عنوان کاربر پیش‌فرض، اتصال به فضای نام شبکه میزبان، یا نصب‌های خطرناکی مانند /proc هاست یا سوکت داکر یکی دیگر از ویژگی های جالب Kubesec، سرویس آزمایشی موجود به صورت آنلاین است که می توانید YAML را در آن آپلود کرده و بلافاصله آن را تجزیه و تحلیل کنید.

باز کردن نماینده سیاست

وب سایت: www.openpolicyagent.org
مجوز: رایگان (آپاچی)

مفهوم OPA (نماینده سیاست باز) جدا کردن سیاست های امنیتی و بهترین شیوه های امنیتی از یک پلت فرم زمان اجرا خاص است: Docker، Kubernetes، Mesosphere، OpenShift یا هر ترکیبی از آنها.

به عنوان مثال، می توانید OPA را به عنوان یک Backend برای کنترل کننده پذیرش Kubernetes مستقر کنید و تصمیمات امنیتی را به آن واگذار کنید. به این ترتیب، عامل OPA می‌تواند درخواست‌ها را تأیید، رد و حتی اصلاح کند و اطمینان حاصل کند که پارامترهای امنیتی مشخص شده برآورده شده‌اند. سیاست های امنیتی OPA به زبان اختصاصی DSL آن، Rego نوشته شده است.

توجه داشته باشید. ترجمه: ما در مورد OPA (و SPIFFE) بیشتر نوشتیم این ماده.

ابزارهای تجاری جامع برای تجزیه و تحلیل امنیتی Kubernetes

ما تصمیم گرفتیم یک دسته جداگانه برای پلتفرم های تجاری ایجاد کنیم زیرا آنها معمولاً چندین حوزه امنیتی را پوشش می دهند. یک ایده کلی از قابلیت های آنها را می توان از جدول به دست آورد:

* معاینه پیشرفته و تجزیه و تحلیل پس از مرگ با کامل ربودن تماس سیستمی.

Aqua Security

وب سایت: www.aquasec.com
مجوز: تجاری

این ابزار تجاری برای کانتینرها و بارهای کاری ابری طراحی شده است. فراهم می کند:

اسکن تصویر یکپارچه با یک رجیستری ظرف یا خط لوله CI/CD.
حفاظت در زمان اجرا با جستجوی تغییرات در کانتینرها و سایر فعالیت های مشکوک.
فایروال بومی کانتینر؛
امنیت برای بدون سرور در خدمات ابری؛
تست انطباق و ممیزی همراه با ثبت رویداد.

توجه داشته باشید. ترجمه: همچنین شایان ذکر است که وجود دارد جزء رایگان محصول به نام میکرواسکنر، که به شما امکان می دهد تصاویر کانتینر را از نظر آسیب پذیری اسکن کنید. مقایسه ای از قابلیت های آن با نسخه های پولی ارائه شده است این جدول.

کپسول 8

وب سایت: capsule8.com
مجوز: تجاری

Capsule8 با نصب آشکارساز بر روی یک خوشه محلی یا ابری Kubernetes در زیرساخت ادغام می شود. این آشکارساز تله متری میزبان و شبکه را جمع آوری می کند و آن را با انواع مختلف حملات مرتبط می کند.

تیم Capsule8 وظیفه خود را تشخیص زودهنگام و پیشگیری از حملات با استفاده از جدید می داند (0 روزه) آسیب پذیری ها Capsule8 می تواند قوانین امنیتی به روز شده را مستقیماً در آشکارسازها در پاسخ به تهدیدهای تازه کشف شده و آسیب پذیری های نرم افزاری دانلود کند.

کاویرین

وب سایت: www.cavirin.com
مجوز: تجاری

Cavirin به عنوان یک پیمانکار در سمت شرکت برای آژانس های مختلف درگیر در استانداردهای ایمنی عمل می کند. نه تنها می تواند تصاویر را اسکن کند، بلکه می تواند در خط لوله CI/CD ادغام شود و تصاویر غیر استاندارد را قبل از ورود به مخازن بسته مسدود کند.

مجموعه امنیتی Cavirin از یادگیری ماشینی برای ارزیابی وضعیت امنیت سایبری شما استفاده می کند و نکاتی را برای بهبود امنیت و بهبود انطباق با استانداردهای امنیتی ارائه می دهد.

مرکز فرماندهی امنیت Google Cloud

وب سایت: cloud.google.com/security-command-center
مجوز: تجاری

مرکز فرماندهی امنیت ابری به تیم‌های امنیتی کمک می‌کند تا داده‌ها را جمع‌آوری کنند، تهدیدها را شناسایی کرده و قبل از اینکه به شرکت آسیب برسانند، آنها را از بین ببرند.

همانطور که از نام آن پیداست، Google Cloud SCC یک کنترل پنل یکپارچه است که می تواند انواع گزارش های امنیتی، موتورهای حسابداری دارایی و سیستم های امنیتی شخص ثالث را از یک منبع متمرکز و واحد یکپارچه و مدیریت کند.

API قابل همکاری ارائه شده توسط Google Cloud SCC ادغام رویدادهای امنیتی که از منابع مختلف مانند Sysdig Secure (امنیت کانتینر برای برنامه‌های بومی ابری) یا Falco (امنیت زمان اجرا منبع باز) می‌آیند را آسان می‌کند.

بینش لایه ای (Qualys)

وب سایت: layeredinsight.com
مجوز: تجاری

Layered Insight (اکنون بخشی از Qualys Inc) بر اساس مفهوم "امنیت جاسازی شده" ساخته شده است. پس از اسکن تصویر اصلی برای آسیب‌پذیری‌ها با استفاده از تجزیه و تحلیل آماری و بررسی‌های CVE، Layered Insight آن را با یک تصویر ابزاردار جایگزین می‌کند که عامل را به‌عنوان یک باینری شامل می‌شود.

این عامل شامل تست های امنیتی زمان اجرا برای تجزیه و تحلیل ترافیک شبکه کانتینری، جریان های ورودی/خروجی و فعالیت برنامه می باشد. علاوه بر این، می تواند بررسی های امنیتی اضافی مشخص شده توسط سرپرست زیرساخت یا تیم های DevOps را انجام دهد.

NeuVector

وب سایت: neuvector.com
مجوز: تجاری

NeuVector امنیت کانتینر را بررسی می‌کند و با تجزیه و تحلیل فعالیت شبکه و رفتار برنامه‌ها، حفاظت از زمان اجرا را فراهم می‌کند و یک نمایه امنیتی جداگانه برای هر کانتینر ایجاد می‌کند. همچنین می‌تواند تهدیدها را به تنهایی مسدود کند و با تغییر قوانین فایروال محلی، فعالیت‌های مشکوک را جدا کند.

یکپارچه سازی شبکه NeuVector که به نام Security Mesh شناخته می شود، قادر به تجزیه و تحلیل بسته های عمیق و فیلتر لایه 7 برای تمام اتصالات شبکه در مش سرویس است.

StackRox

وب سایت: www.stackrox.com
مجوز: تجاری

پلتفرم امنیتی کانتینر StackRox تلاش می‌کند تا کل چرخه حیات برنامه‌های Kubernetes را در یک خوشه پوشش دهد. مانند سایر پلتفرم های تجاری در این لیست، StackRox یک نمایه زمان اجرا بر اساس رفتار کانتینر مشاهده شده ایجاد می کند و به طور خودکار برای هر گونه انحراف هشدار می دهد.

علاوه بر این، StackRox پیکربندی‌های Kubernetes را با استفاده از Kubernetes CIS و قوانین دیگر برای ارزیابی انطباق کانتینر تجزیه و تحلیل می‌کند.

Sysdig Secure

وب سایت: sysdig.com/products/secure
مجوز: تجاری

Sysdig Secure از برنامه ها در کل چرخه کانتینر و Kubernetes محافظت می کند. او تصاویر را اسکن می کند ظروف، فراهم می کند حفاظت در زمان اجرا با توجه به داده های یادگیری ماشین، کرم را انجام می دهد. تخصص برای شناسایی آسیب پذیری ها، مسدود کردن تهدیدها، نظارت انطباق با استانداردهای تعیین شده و فعالیت در میکروسرویس ها را ممیزی می کند.

Sysdig Secure با ابزارهای CI/CD مانند Jenkins ادغام می شود و تصاویر بارگذاری شده از رجیستری های Docker را کنترل می کند و از نمایش تصاویر خطرناک در تولید جلوگیری می کند. همچنین امنیت کامل در زمان اجرا را فراهم می کند، از جمله:

پروفایل زمان اجرا و تشخیص ناهنجاری مبتنی بر ML.
خط‌مشی‌های زمان اجرا بر اساس رویدادهای سیستم، K8s-audit API، پروژه‌های مشترک مشترک (FIM - نظارت بر یکپارچگی فایل؛ cryptojacking) و چارچوب میتر ATT و CK;
واکنش و حل و فصل حوادث

امنیت کانتینر قابل تحمل

وب سایت: www.tenable.com/products/tenable-io/container-security
مجوز: تجاری

قبل از ظهور کانتینرها، Tenable به طور گسترده در صنعت به عنوان شرکت پشتیبان Nessus، یک ابزار محبوب شکار آسیب‌پذیری و ممیزی امنیتی شناخته می‌شد.

Tenable Container Security از تخصص امنیت رایانه شرکت برای ادغام خط لوله CI/CD با پایگاه های داده آسیب پذیری، بسته های تخصصی تشخیص بدافزار و توصیه هایی برای حل تهدیدات امنیتی استفاده می کند.

Twistlock (شبکه های پالو آلتو)

وب سایت: www.twistlock.com
مجوز: تجاری

Twistlock خود را به عنوان یک پلتفرم متمرکز بر خدمات و کانتینرهای ابری تبلیغ می کند. Twistlock از ارائه دهندگان مختلف ابری (AWS، Azure، GCP)، ارکستراتورهای کانتینری (Kubernetes، Mesospehere، OpenShift، Docker)، زمان‌های اجرا بدون سرور، چارچوب‌های مش و ابزارهای CI/CD پشتیبانی می‌کند.

علاوه بر تکنیک‌های امنیتی معمولی درجه سازمانی مانند یکپارچه‌سازی خط لوله CI/CD یا اسکن تصویر، Twistlock از یادگیری ماشینی برای تولید الگوهای رفتاری خاص کانتینر و قوانین شبکه استفاده می‌کند.

مدتی پیش، Twistlock توسط Palo Alto Networks که مالک پروژه های Evident.io و RedLock است، خریداری شد. هنوز مشخص نیست که این سه پلتفرم دقیقا چگونه با هم ادغام خواهند شد PRISMA از پالو آلتو

به ساخت بهترین کاتالوگ ابزارهای امنیتی Kubernetes کمک کنید!

ما در تلاش هستیم تا این کاتالوگ را تا حد امکان کامل کنیم و برای این کار به کمک شما نیاز داریم! با ما تماس بگیرید (@sysdig) اگر ابزار جالبی در ذهن دارید که ارزش گنجاندن در این لیست را دارد، یا یک خطا/اطلاعات قدیمی پیدا کردید.

شما همچنین می توانید مشترک ما شوید خبرنامه ماهانه با اخباری از اکوسیستم بومی ابری و داستان هایی در مورد پروژه های جالب از دنیای امنیت Kubernetes.

PS از مترجم

در وبلاگ ما نیز بخوانید:

منبع: www.habr.com

33+ ابزار امنیتی Kubernetes

Категории