33+ Kubernetes-tietoturvatyökalua

Huomautus. käännös: Jos mietit Kubernetes-pohjaisen infrastruktuurin turvallisuutta, tämä Sysdigin erinomainen yleiskatsaus on loistava lähtökohta nykyisten ratkaisujen nopeaan katsaukseen. Se sisältää sekä tunnettujen markkinatoimijoiden monimutkaisia ​​järjestelmiä että paljon vaatimattomampia apuohjelmia, jotka ratkaisevat tietyn ongelman. Ja kommenteissa, kuten aina, kuulemme mielellämme kokemuksistasi näiden työkalujen käytöstä ja näemme linkkejä muihin projekteihin.

Kubernetes-tietoturvaohjelmistotuotteita... niitä on niin monia, jokaisella on omat tavoitteensa, laajuutensa ja lisenssinsä.

Siksi päätimme luoda tämän luettelon ja sisältää sekä avoimen lähdekoodin projekteja että kaupallisia alustoja eri toimittajilta. Toivomme, että se auttaa sinua tunnistamaan kiinnostavimmat ja ohjaamaan sinut oikeaan suuntaan erityisten Kubernetes-tietoturvatarpeidesi perusteella.

Категории

Jotta luettelossa olisi helpompi navigoida, työkalut on järjestetty päätoiminnon ja sovelluksen mukaan. Seuraavat osiot saatiin:

• Kubernetes-kuvaskannaus ja staattinen analyysi;
• Runtime turvallisuus;
• Kubernetes verkon turvallisuus;
• Kuvien jakelu ja salaisuuksien hallinta;
• Kubernetes turvallisuustarkastus;
• Kattavat kaupalliset tuotteet.

Ryhdytään hommiin:

Kubernetes-kuvien skannaus

Ankkuri

• Kotisivu: anchore.com
• Lisenssi: ilmainen (Apache) ja kaupallinen tarjous

Anchore analysoi konttikuvat ja sallii turvatarkastukset käyttäjän määrittämien käytäntöjen perusteella.

Tavanomaisen konttikuvien skannauksen CVE-tietokannan tunnettujen haavoittuvuuksien varalta Anchore suorittaa monia lisätarkastuksia osana skannauskäytäntöään: tarkistaa Docker-tiedoston, valtuustietovuodot, käytettyjen ohjelmointikielten paketit (npm, maven jne. .), ohjelmistolisenssit ja paljon muuta .

Kirkas

• Kotisivu: coreos.com/clair (nyt Red Hatin johdolla)
• Lisenssi: ilmainen (Apache)

Clair oli yksi ensimmäisistä avoimen lähdekoodin projekteista kuvien skannaukseen. Se tunnetaan laajalti Quayn kuvarekisterin takana olevana suojausskannerina (myös CoreOS:stä - noin käännös). Clair voi kerätä CVE-tietoja useista eri lähteistä, mukaan lukien luettelot Linux-jakelukohtaisista haavoittuvuuksista, joita ylläpitävät Debian-, Red Hat- tai Ubuntu-tietoturvatiimit.

Toisin kuin Anchore, Clair keskittyy ensisijaisesti haavoittuvuuksien etsimiseen ja tietojen yhdistämiseen CVE:ihin. Tuote tarjoaa käyttäjille kuitenkin mahdollisuuksia laajentaa toimintoja lisäajureilla.

dagda

• Kotisivu: github.com/eliasgranderubio/dagda
• Lisenssi: ilmainen (Apache)

Dagda suorittaa staattisen analyysin konttikuvista tunnettujen haavoittuvuuksien, troijalaisten, virusten, haittaohjelmien ja muiden uhkien varalta.

Kaksi merkittävää ominaisuutta erottaa Dagdan muista vastaavista työkaluista:

• Se integroituu täydellisesti ClamAV, joka ei toimi vain työkaluna konttikuvien skannaukseen, vaan myös virustorjuntaohjelmana.
• Tarjoaa myös ajonaikaisen suojauksen vastaanottamalla reaaliaikaisia ​​tapahtumia Docker-daemonilta ja integroimalla Falcon kanssa (Katso alempaa) kerätä turvatapahtumia kontin ollessa käynnissä.

KubeXray

• Kotisivu: github.com/jfrog/kubexray
• Lisenssi: Ilmainen (Apache), mutta vaatii tietoja JFrog Xraylta (kaupallinen tuote)

KubeXray kuuntelee tapahtumia Kubernetes API -palvelimelta ja käyttää JFrog Xrayn metatietoja varmistaakseen, että vain nykyistä käytäntöä vastaavat podit käynnistetään.

KubeXray ei ainoastaan ​​tarkasta uusia tai päivitettyjä säiliöitä käyttöönotuksissa (kuten Kubernetesin pääsynohjain), vaan myös dynaamisesti tarkistaa käynnissä olevien säilöjen uusien suojauskäytäntöjen noudattamisen ja poistaa resurssit, jotka viittaavat haavoittuviin kuviin.

snyk

• Kotisivu: snyk.io
• Lisenssi: ilmainen (Apache) ja kaupallinen versio

Snyk on epätavallinen haavoittuvuuksien skanneri, koska se kohdistuu erityisesti kehitysprosessiin ja sitä mainostetaan "olennaisena ratkaisuna" kehittäjille.

Snyk muodostaa yhteyden suoraan koodivarastoihin, jäsentää projektiluettelon ja analysoi tuodun koodin suorien ja epäsuorien riippuvuuksien kanssa. Snyk tukee monia suosittuja ohjelmointikieliä ja voi tunnistaa piilotetut lisenssiriskit.

Trivy

• Kotisivu: github.com/knqyf263/trivy
• Lisenssi: ilmainen (AGPL)

Trivy on yksinkertainen mutta tehokas haavoittuvuuksien skanneri konteille, joka integroituu helposti CI/CD-putkistoon. Sen huomionarvoinen ominaisuus on sen helppokäyttöisyys ja helppokäyttöisyys: sovellus koostuu yhdestä binaarista, eikä se vaadi tietokannan tai lisäkirjastojen asentamista.

Trivyn yksinkertaisuuden haittapuoli on, että sinun on selvitettävä, kuinka tulokset jäsennetään ja välitetään JSON-muodossa, jotta muut Kubernetes-tietoturvatyökalut voivat käyttää niitä.

Ajonaikainen suojaus Kubernetesissa

Falco

• Kotisivu: falco.org
• Lisenssi: ilmainen (Apache)

Falco on joukko työkaluja pilvikäyttöympäristöjen turvaamiseen. Osa projektiperhettä CNCF.

Sysdigin Linux-ydintason työkalujen ja järjestelmäkutsuprofiloinnin avulla Falco antaa sinun sukeltaa syvälle järjestelmän toimintaan. Sen ajonaikaiset säännöt -moottori pystyy havaitsemaan epäilyttävän toiminnan sovelluksissa, säilöissä, taustalla olevassa isännässä ja Kubernetes-orkesterissa.

Falco tarjoaa täydellisen läpinäkyvyyden ajonaikaiseen ja uhkien havaitsemiseen ottamalla Kubernetes-solmuihin erityisagentteja näihin tarkoituksiin. Tämän seurauksena kontteja ei tarvitse muokata lisäämällä niihin kolmannen osapuolen koodia tai lisäämällä sivuvaunukontteja.

Linuxin suojauskehykset suoritusaikaa varten

Nämä Linux-ytimen alkuperäiset puitteet eivät ole "Kubernetes-tietoturvatyökaluja" perinteisessä merkityksessä, mutta ne ovat mainitsemisen arvoisia, koska ne ovat tärkeä elementti ajonaikaisessa suojauksessa, joka sisältyy Kubernetes Pod -turvakäytäntöön (PSP).

AppArmor liittää suojausprofiilin säilössä käynnissä oleviin prosesseihin, määrittelee tiedostojärjestelmän oikeudet, verkkokäyttösäännöt, yhdistävät kirjastot jne. Tämä järjestelmä perustuu pakolliseen pääsynhallintaan (MAC). Toisin sanoen se estää kiellettyjen toimien suorittamisen.

Turvallisesti tehostettu Linux (SELinux) on edistyksellinen suojausmoduuli Linux-ytimessä, jollain tavalla samanlainen kuin AppArmor ja usein siihen verrattu. SELinux ylittää AppArmorin tehon, joustavuuden ja mukauttamisen suhteen. Sen haittoja ovat pitkä oppimiskäyrä ja lisääntynyt monimutkaisuus.

Seccomp ja seccomp-bpf antavat sinun suodattaa järjestelmäkutsut, estää niiden suorittamisen, jotka ovat mahdollisesti vaarallisia peruskäyttöjärjestelmälle ja joita ei tarvita käyttäjäsovellusten normaaliin toimintaan. Seccomp on jollain tapaa samanlainen kuin Falco, vaikka se ei tunne konttien erityispiirteitä.

Sysdig avoin lähdekoodi

• Kotisivu: www.sysdig.com/opensource
• Lisenssi: ilmainen (Apache)

Sysdig on täydellinen työkalu Linux-järjestelmien analysointiin, diagnosointiin ja virheenkorjaukseen (toimii myös Windowsissa ja macOS:ssä, mutta rajoitetuilla toiminnoilla). Sitä voidaan käyttää yksityiskohtaiseen tiedon keräämiseen, todentamiseen ja rikostekniseen analyysiin. (rikoslääketieteen) perusjärjestelmä ja kaikki siinä olevat säiliöt.

Sysdig tukee myös alkuperäisesti säilön ajonaikoja ja Kubernetes-metatietoja lisäämällä uusia ulottuvuuksia ja tunnisteita kaikkiin keräämiinsä järjestelmän käyttäytymistietoihin. On olemassa useita tapoja analysoida Kubernetes-klusteria Sysdigin avulla: voit suorittaa pisteen sieppauksen kubectl-kaappaus tai käynnistä ncurses-pohjainen interaktiivinen käyttöliittymä laajennuksen avulla kubectl dig.

Kubernetes Network Security

Aporeto

• Kotisivu: www.aporeto.com
• Lisenssi: kaupallinen

Aporeto tarjoaa "verkosta ja infrastruktuurista erotetun turvallisuuden". Tämä tarkoittaa, että Kubernetes-palvelut eivät saa vain paikallista tunnusta (eli ServiceAccount Kubernetesissa), vaan myös yleisen tunnuksen/sormenjäljen, jonka avulla voidaan kommunikoida turvallisesti ja keskinäisesti minkä tahansa muun palvelun kanssa, esimerkiksi OpenShift-klusterissa.

Aporeto pystyy luomaan yksilöllisen tunnuksen paitsi Kubernetesille/säilöille, myös isännille, pilvitoiminnoille ja käyttäjille. Näistä tunnisteista ja järjestelmänvalvojan asettamista verkon suojaussäännöistä riippuen viestintä sallitaan tai estetään.

kalikoo

• Kotisivu: www.projectcalico.org
• Lisenssi: ilmainen (Apache)

Calico otetaan yleensä käyttöön konttiorkesteriasennuksen aikana, jolloin voit luoda virtuaalisen verkon, joka yhdistää säiliöt toisiinsa. Tämän perusverkon toiminnallisuuden lisäksi Calico-projekti toimii Kubernetes Network Policies -verkkokäytäntöjen ja oman verkon suojausprofiilien kanssa, tukee päätepisteiden ACL-luetteloita (access control lists) ja huomautuspohjaisia ​​verkon suojaussääntöjä sisään- ja ulostuloliikenteelle.

ripsi

• Kotisivu: www.cilium.io
• Lisenssi: ilmainen (Apache)

Cilium toimii palomuurina konteille ja tarjoaa verkon suojausominaisuuksia, jotka on räätälöity Kubernetesin ja mikropalveluiden työkuormille. Cilium käyttää uutta Linux-ydintekniikkaa nimeltä BPF (Berkeley Packet Filter) tietojen suodattamiseen, valvontaan, uudelleenohjaamiseen ja korjaamiseen.

Cilium pystyy ottamaan käyttöön säilötunnuksiin perustuvia verkkokäyttökäytäntöjä Docker- tai Kubernetes-tunnisteiden ja metatietojen avulla. Cilium ymmärtää ja suodattaa myös erilaisia ​​Layer 7 -protokollia, kuten HTTP tai gRPC, jolloin voit määrittää REST-kutsujen joukon, jotka sallitaan esimerkiksi kahden Kubernetes-asennuksen välillä.

Sama

• Kotisivu: istio.io
• Lisenssi: ilmainen (Apache)

Istio tunnetaan laajalti palveluverkkoparadigman toteuttamisesta ottamalla käyttöön alustasta riippumattoman ohjaustason ja reitittämällä kaiken hallitun palveluliikenteen dynaamisesti konfiguroitavien Envoy-välityspalvelinten kautta. Istio hyödyntää tätä edistynyttä näkymää kaikista mikropalveluista ja konteista erilaisten verkkoturvastrategioiden toteuttamiseen.

Istion verkkoturvaominaisuuksiin kuuluu läpinäkyvä TLS-salaus, joka päivittää automaattisesti mikropalvelujen välisen tiedonsiirron HTTPS:ksi, sekä oma RBAC-tunnistus- ja valtuutusjärjestelmä, joka mahdollistaa/estää tiedonsiirron klusterin eri työkuormien välillä.

Huomautus. käännös: Saat lisätietoja Istion tietoturvaan keskittyvistä ominaisuuksista lukemalla tässä artikkelissa.

Tigera

• Kotisivu: www.tigera.io
• Lisenssi: kaupallinen

Tämä "Kubernetes-palomuuriksi" kutsuttu ratkaisu korostaa nollaluottamusta koskevaa lähestymistapaa verkon tietoturvaan.

Muiden alkuperäisten Kubernetes-verkkoratkaisujen tapaan Tigera luottaa metatietoihin tunnistaakseen klusterin eri palvelut ja objektit ja tarjoaa ajonaikaisen ongelmien havaitsemisen, jatkuvan vaatimustenmukaisuuden tarkistuksen ja verkon näkyvyyden monipilvi- tai hybridi-monoliittinen säiliöinfrastruktuurille.

Trireme

• Kotisivu: www.aporeto.com/opensource
• Lisenssi: ilmainen (Apache)

Trireme-Kubernetes on Kubernetes Network Policies -määrityksen yksinkertainen ja suoraviivainen toteutus. Merkittävin ominaisuus on, että - toisin kuin vastaavat Kubernetes-verkkoturvatuotteet - se ei vaadi keskusohjaustasoa meshin koordinoimiseen. Tämä tekee ratkaisusta triviaalisti skaalautuvan. Triremessä tämä saavutetaan asentamalla agentti jokaiseen solmuun, joka muodostaa yhteyden suoraan isännän TCP/IP-pinoon.

Kuvan leviäminen ja salaisuuksien hallinta

Grafeas

• Kotisivu: grafeas.io
• Lisenssi: ilmainen (Apache)

Grafeas on avoimen lähdekoodin API ohjelmistojen toimitusketjun auditointiin ja hallintaan. Perustasolla Grafeas on työkalu metatietojen ja tarkastuslöydösten keräämiseen. Sen avulla voidaan seurata parhaiden turvallisuuskäytäntöjen noudattamista organisaatiossa.

Tämä keskitetty totuuden lähde auttaa vastaamaan seuraaviin kysymyksiin:

• Kuka keräsi ja allekirjoitti tietyn kontin?
• Onko se läpäissyt kaikki suojauskäytännön edellyttämät turvatarkistukset ja -tarkastukset? Kun? Mitkä olivat tulokset?
• Kuka otti sen tuotantoon? Mitä erityisiä parametreja käytettiin käyttöönoton aikana?

Totossa

• Kotisivu: in-toto.github.io
• Lisenssi: ilmainen (Apache)

In-toto on kehys, joka on suunniteltu tarjoamaan koko ohjelmiston toimitusketjun eheys, autentikointi ja auditointi. Kun In-toto otetaan käyttöön infrastruktuurissa, määritellään ensin suunnitelma, jossa kuvataan eri vaiheet (varasto, CI/CD-työkalut, laadunvarmistustyökalut, artefaktien kerääjät jne.) ja käyttäjät (vastuuhenkilöt), joilla on lupa aloittaa ne.

In-toto valvoo suunnitelman toteutumista ja varmistaa, että vain valtuutetut henkilöt suorittavat jokaisen ketjun tehtävän kunnolla ja että tuotteelle ei ole tehty luvattomia käsittelyjä liikkeen aikana.

Portieris

• Kotisivu: github.com/IBM/portieris
• Lisenssi: ilmainen (Apache)

Portieris on Kubernetesin sisäänpääsyn valvoja; käytetään sisällön luotettavuuden tarkistamiseen. Portieris käyttää palvelinta Notaari (kirjoitimme hänestä lopussa tässä artikkelissa - noin käännös) totuuden lähteenä luotettujen ja allekirjoitettujen artefaktien (eli hyväksyttyjen säilökuvien) vahvistamiseksi.

Kun työkuorma luodaan tai sitä muokataan Kubernetesissa, Portieris lataa pyydettyjen säilökuvien allekirjoitustiedot ja sisällön luottamuskäytännön ja tekee tarvittaessa lennossa muutoksia JSON-sovellusliittymäobjektiin suorittaakseen näiden kuvien allekirjoitetut versiot.

Holvi

• Kotisivu: www.vaultproject.io
• Lisenssi: ilmainen (MPL)

Holvi on turvallinen ratkaisu yksityisten tietojen tallentamiseen: salasanat, OAuth-tunnukset, PKI-varmenteet, pääsytilit, Kubernetes-salaisuudet jne. Holvi tukee monia edistyneitä ominaisuuksia, kuten lyhytaikaisten suojaustunnusten vuokraamista tai avainten kiertojen järjestämistä.

Helm-kaavion avulla Holvi voidaan ottaa käyttöön uutena käyttöönottona Kubernetes-klusterissa Consulin taustatallennustilana. Se tukee alkuperäisiä Kubernetes-resursseja, kuten ServiceAccount-tunnuksia, ja voi jopa toimia Kubernetes-salaisuuksien oletusvarastona.

Huomautus. käännös: Muuten, juuri eilen Holvia kehittävä yritys HashiCorp ilmoitti joitain parannuksia Vaultin käyttöön Kubernetesissa, ja erityisesti ne liittyvät Helm-kaavioon. Lue lisää kohdasta kehittäjäblogi.

Kubernetes Security Audit

Kube-penkki

• Kotisivu: github.com/aquasecurity/kube-bench
• Lisenssi: ilmainen (Apache)

Kube-bench on Go-sovellus, joka tarkistaa, onko Kubernetes otettu käyttöön turvallisesti suorittamalla testejä luettelosta CIS Kubernetes Benchmark.

Kube-bench etsii epävarmoja kokoonpanoasetuksia klusterin komponenteista (etcd, API, ohjaimen hallinta jne.), kyseenalaisia ​​tiedostojen käyttöoikeuksia, suojaamattomia tilejä tai avoimia portteja, resurssikiintiöitä, API-kutsujen määrää rajoittavia asetuksia suojatakseen DoS-hyökkäyksiltä , jne.

Ole metsästäjä

• Kotisivu: github.com/aquasecurity/kube-hunter
• Lisenssi: ilmainen (Apache)

Kube-hunter etsii Kubernetes-klusterien mahdollisia haavoittuvuuksia (kuten koodin etäsuoritusta tai tietojen paljastamista). Kube-hunteria voidaan ajaa etäskannerina - jolloin se arvioi klusterin kolmannen osapuolen hyökkääjän näkökulmasta - tai klusterin sisällä olevana podina.

Kube-hunterin erottuva piirre on sen "aktiivinen metsästys" -tila, jonka aikana se ei vain ilmoita ongelmista, vaan yrittää myös hyödyntää kohdeklusterista löydettyjä haavoittuvuuksia, jotka voivat mahdollisesti vahingoittaa sen toimintaa. Käytä siis varoen!

Kubeaudit

• Kotisivu: github.com/Shopify/kubeaudit
• Lisenssi: ilmainen (MIT)

Kubeaudit on konsolityökalu, joka on alun perin kehitetty Shopifyssa tarkastamaan Kubernetes-kokoonpanon eri tietoturvaongelmia. Se auttaa esimerkiksi tunnistamaan säilöjä, jotka toimivat rajoittamattomasti, toimivat pääkäyttäjänä, käyttävät väärin oikeuksia tai käyttävät oletusarvoista ServiceAccountia.

Kubeauditilla on muita mielenkiintoisia ominaisuuksia. Se voi esimerkiksi analysoida paikallisia YAML-tiedostoja, tunnistaa kokoonpanovirheitä, jotka voivat johtaa tietoturvaongelmiin, ja korjata ne automaattisesti.

Kubesec

• Kotisivu: kubesec.io
• Lisenssi: ilmainen (Apache)

Kubesec on erikoistyökalu, koska se skannaa suoraan YAML-tiedostoja, jotka kuvaavat Kubernetes-resursseja ja etsivät heikkoja parametreja, jotka voivat vaikuttaa turvallisuuteen.

Se voi esimerkiksi havaita podille myönnetyt liialliset oikeudet ja luvat, kontin käyttämisen rootin oletuskäyttäjänä, yhteyden muodostamisen isännän verkon nimiavaruuteen tai vaarallisia liitäntöjä, kuten /proc isäntä tai Docker-liitäntä. Toinen Kubececin mielenkiintoinen ominaisuus on verkossa saatavilla oleva demopalvelu, johon voit ladata YAML:n ja analysoida sen välittömästi.

Open Policy Agent

• Kotisivu: www.openpolicyagent.org
• Lisenssi: ilmainen (Apache)

OPA:n (Open Policy Agent) ideana on irrottaa suojauskäytännöt ja suojauksen parhaat käytännöt tietystä ajonaikaisesta alustasta: Docker, Kubernetes, Mesosphere, OpenShift tai mikä tahansa näiden yhdistelmä.

Voit esimerkiksi ottaa OPA:n käyttöön Kubernetes-pääsynohjaimen taustaohjelmana ja delegoida sille turvallisuuspäätökset. Tällä tavalla OPA-agentti voi validoida, hylätä ja jopa muokata pyyntöjä lennossa ja varmistaa, että määritetyt suojausparametrit täyttyvät. OPA:n suojauskäytännöt on kirjoitettu sen omalla DSL-kielellä Rego.

Huomautus. käännös: Kirjoitimme lisää OPA:sta (ja SPIFFEstä) vuonna tämä juttu.

Kattavat kaupalliset työkalut Kubernetes-tietoturvaanalyysiin

Päätimme luoda erillisen kategorian kaupallisille alustoille, koska ne kattavat yleensä useita turvallisuusalueita. Yleinen käsitys niiden kyvyistä voidaan saada taulukosta:

* Edistynyt tutkimus ja post mortem -analyysi täydellisenä järjestelmäpuhelun kaappaus.

Aqua Security

• Kotisivu: www.aquasec.com
• Lisenssi: kaupallinen

Tämä kaupallinen työkalu on suunniteltu konteille ja pilvityökuormille. Se tarjoaa:

• Säiliörekisteriin tai CI/CD-putkeen integroitu kuvanskannaus;
• Ajonaikainen suojaus, joka etsii muutoksia konteissa ja muussa epäilyttävässä toiminnassa;
• Säiliön alkuperäinen palomuuri;
• Suojaus palvelimettomille pilvipalveluille;
• Vaatimustenmukaisuuden testaus ja auditointi yhdistettynä tapahtumalokiin.

Huomautus. käännös: On myös syytä huomata, että niitä on ns. tuotteen ilmainen komponentti MicroScanner, jonka avulla voit skannata säilökuvia haavoittuvuuksien varalta. Sen ominaisuuksien vertailu maksullisiin versioihin esitetään tämä pöytä.

Kapseli 8

• Kotisivu: capsula8.com
• Lisenssi: kaupallinen

Capsule8 integroituu infrastruktuuriin asentamalla ilmaisimen paikalliseen tai pilvi Kubernetes-klusteriin. Tämä ilmaisin kerää isäntä- ja verkkotelemetriaa ja korreloi sen erityyppisten hyökkäysten kanssa.

Capsule8-tiimi näkee tehtävänsä hyökkäysten varhaisessa havaitsemisessa ja ehkäisyssä uusilla (0 päivää) haavoittuvuuksia. Capsule8 voi ladata päivitetyt suojaussäännöt suoraan ilmaisimiin vastauksena äskettäin löydettyihin uhkiin ja ohjelmiston haavoittuvuuksiin.

Cavirin

• Kotisivu: www.cavirin.com
• Lisenssi: kaupallinen

Cavirin toimii yrityspuolen urakoitsijana useille turvallisuusstandardeihin liittyville virastoille. Se ei vain voi skannata kuvia, vaan se voi myös integroitua CI/CD-putkeen ja estää ei-standardikuvat ennen kuin ne pääsevät suljettuihin arkistoihin.

Cavirinin tietoturvaohjelmisto käyttää koneoppimista arvioidakseen kyberturva-asentosi ja tarjoaa vinkkejä turvallisuuden parantamiseen ja turvallisuusstandardien noudattamisen parantamiseen.

Google Cloud Security Command Center

• Kotisivu: cloud.google.com/security-command-center
• Lisenssi: kaupallinen

Cloud Security Command Center auttaa tietoturvatiimejä keräämään tietoja, tunnistamaan uhat ja poistamaan ne ennen kuin ne vahingoittavat yritystä.

Kuten nimestä voi päätellä, Google Cloud SCC on yhtenäinen ohjauspaneeli, joka voi integroida ja hallita erilaisia ​​tietoturvaraportteja, omaisuuden kirjanpitomoottoreita ja kolmannen osapuolen turvajärjestelmiä yhdestä keskitetystä lähteestä.

Google Cloud SCC:n tarjoaman yhteentoimivan API:n avulla on helppo integroida eri lähteistä tulevia tietoturvatapahtumia, kuten Sysdig Secure (säilön suojaus pilvipohjaisille sovelluksille) tai Falco (Avoimen lähdekoodin ajonaikainen suojaus).

Layered Insight (Qualys)

• Kotisivu: layeredinsight.com
• Lisenssi: kaupallinen

Layered Insight (nykyisin osa Qualys Inc:tä) on rakennettu "sulautetun tietoturvan" käsitteeseen. Kun alkuperäinen kuva on skannattu haavoittuvuuksien varalta tilastoanalyysin ja CVE-tarkistusten avulla, Layered Insight korvaa sen instrumentoidulla kuvalla, joka sisältää agentin binaarimuodossa.

Tämä agentti sisältää ajonaikaisia ​​suojaustestejä konttiverkkoliikenteen, I/O-virtojen ja sovellustoiminnan analysoimiseksi. Lisäksi se voi suorittaa infrastruktuurin ylläpitäjän tai DevOps-tiimien määrittämiä lisäturvatarkastuksia.

NeuVector

• Kotisivu: neuvector.com
• Lisenssi: kaupallinen

NeuVector tarkistaa säilön suojauksen ja tarjoaa ajonaikaisen suojauksen analysoimalla verkon toimintaa ja sovellusten käyttäytymistä ja luomalla jokaiselle säilölle yksilöllisen suojausprofiilin. Se voi myös estää uhat yksinään ja eristää epäilyttävän toiminnan muuttamalla paikallisia palomuurisääntöjä.

NeuVectorin verkkointegraatio, joka tunnetaan nimellä Security Mesh, pystyy syväpakettianalyysiin ja kerroksen 7 suodatukseen kaikille palveluverkon verkkoyhteyksille.

StackRox

• Kotisivu: www.stackrox.com
• Lisenssi: kaupallinen

StackRox-kontin suojausalusta pyrkii kattamaan Kubernetes-sovellusten koko elinkaaren klusterissa. Kuten muutkin tässä luettelossa olevat kaupalliset alustat, StackRox luo ajonaikaisen profiilin havaitun kontin käyttäytymisen perusteella ja hälyttää automaattisesti mahdollisista poikkeamista.

Lisäksi StackRox analysoi Kubernetes-kokoonpanot Kubernetes CIS:n ja muiden sääntökirjojen avulla arvioidakseen säilön yhteensopivuutta.

Sysdig Secure

• Kotisivu: sysdig.com/products/secure
• Lisenssi: kaupallinen

Sysdig Secure suojaa sovelluksia koko kontin ja Kubernetesin elinkaaren ajan. Hän skannaa kuvia kontit, tarjoaa ajonaikainen suojaus koneoppimistietojen mukaan suorittaa kerman. asiantuntemus haavoittuvuuksien tunnistamiseen, uhkien estoon, valvontaan vahvistettujen standardien noudattaminen ja auditoi toimintaa mikropalveluissa.

Sysdig Secure integroituu CI/CD-työkaluihin, kuten Jenkinsiin, ja hallitsee Docker-rekistereistä ladattuja kuvia, mikä estää vaarallisten kuvien ilmestymisen tuotannossa. Se tarjoaa myös kattavan ajonaikaisen suojauksen, mukaan lukien:

• ML-pohjainen ajonaikainen profilointi ja poikkeamien havaitseminen;
• järjestelmätapahtumiin perustuvat ajonaikaiset käytännöt, K8s-audit API, yhteiset yhteisöprojektit (FIM - tiedostojen eheyden valvonta; kryptojacking) ja puitteet MITER ATT & CK;
• tapauksiin reagointi ja ratkaisu.

Kestävä konttiturvallisuus

• Kotisivu: www.tenable.com/products/tenable-io/container-security
• Lisenssi: kaupallinen

Ennen konttien tuloa Tenable tunnettiin alalla laajalti Nessuksen takana, joka on suosittu haavoittuvuuksien etsintä- ja turvatarkastustyökalu.

Tenable Container Security hyödyntää yrityksen tietoturvaosaamista integroidakseen CI/CD-putken haavoittuvuustietokantoihin, erikoistuneisiin haittaohjelmien tunnistuspaketteihin ja suosituksiin tietoturvauhkien ratkaisemiseksi.

Twistlock (Palo Alto Networks)

• Kotisivu: www.twistlock.com
• Lisenssi: kaupallinen

Twistlock mainostaa itseään pilvipalveluihin ja kontteihin keskittyvänä alustana. Twistlock tukee erilaisia ​​pilvipalveluntarjoajia (AWS, Azure, GCP), konttiorganisoijia (Kubernetes, Mesospehere, OpenShift, Docker), palvelimettomia ajonaikoja, mesh-kehyksiä ja CI/CD-työkaluja.

Perinteisten yritystason suojaustekniikoiden, kuten CI/CD-putkien integroinnin tai kuvaskannauksen, lisäksi Twistlock käyttää koneoppimista konttikohtaisten käyttäytymismallien ja verkkosääntöjen luomiseen.

Jokin aika sitten Twistlockin osti Palo Alto Networks, joka omistaa Evident.io- ja RedLock-projektit. Vielä ei tiedetä, miten nämä kolme alustaa integroidaan tarkasti PRISMA Palo Altosta.

Auta rakentamaan paras Kubernetes-tietoturvatyökalujen luettelo!

Pyrimme tekemään tästä luettelosta mahdollisimman täydellisen, ja tähän tarvitsemme apuasi! Ota meihin yhteyttä (@sysdig), jos sinulla on mielessäsi hieno työkalu, joka kannattaa sisällyttää tähän luetteloon, tai löydät virheen/vanhentuneita tietoja.

Voit myös tilata meidän kuukausittainen uutiskirje uutisia pilvipohjaisesta ekosysteemistä ja tarinoita mielenkiintoisista projekteista Kubernetes-tietoturvan maailmasta.

PS kääntäjältä

Lue myös blogistamme:

• «Johdatus Kubernetes-verkkokäytäntöihin tietoturva-ammattilaisille";
• «Docker ja Kubernetes turvallisuutta vaativissa ympäristöissä";
• «9 Kubernetes Securityn parhaat käytännöt";
• «11 tapaa (ei) joutua hakkerointiin Kubernetesissa";
• «OPA ja SPIFFE ovat kaksi uutta CNCF:n pilvisovellusten tietoturvaprojektia'.

Lähde: will.com