33+ outils de sécurité Kubernetes

Noter. trad.: Si vous vous interrogez sur la sécurité dans l'infrastructure basée sur Kubernetes, cet excellent aperçu de Sysdig est un excellent point de départ pour un aperçu rapide des solutions actuelles. Il comprend à la fois des systèmes complexes d'acteurs du marché bien connus et des services publics beaucoup plus modestes qui résolvent un problème particulier. Et dans les commentaires, comme toujours, nous serons heureux de connaître votre expérience d'utilisation de ces outils et de voir des liens vers d'autres projets.

Produits logiciels de sécurité Kubernetes... il y en a tellement, chacun avec ses propres objectifs, portée et licences.

C'est pourquoi nous avons décidé de créer cette liste et d'inclure à la fois des projets open source et des plateformes commerciales de différents fournisseurs. Nous espérons que cela vous aidera à identifier ceux qui vous intéressent le plus et vous orientera dans la bonne direction en fonction de vos besoins spécifiques en matière de sécurité Kubernetes.

catégorie

Pour faciliter la navigation dans la liste, les outils sont organisés par fonction principale et application. Les sections suivantes ont été obtenues :

• Analyse d'images Kubernetes et analyse statique ;
• Sécurité d'exécution ;
• Sécurité du réseau Kubernetes ;
• Distribution d’images et gestion des secrets ;
• Audit de sécurité Kubernetes ;
• Produits commerciaux complets.

Nous allons passer aux choses sérieuses:

Analyse d'images Kubernetes

Ancre

• Site Web: Anchore.com
• Licence : gratuite (Apache) et offre commerciale

Anchore analyse les images de conteneurs et permet des contrôles de sécurité basés sur des politiques définies par l'utilisateur.

En plus de l'analyse habituelle des images de conteneurs pour les vulnérabilités connues de la base de données CVE, Anchore effectue de nombreuses vérifications supplémentaires dans le cadre de sa politique d'analyse : vérifie le Dockerfile, les fuites d'identifiants, les packages des langages de programmation utilisés (npm, maven, etc. .), les licences de logiciels et bien plus encore .

Clair

• Site Web: coreos.com/clair (maintenant sous la tutelle de Red Hat)
• Licence : gratuite (Apache)

Clair a été l'un des premiers projets Open Source de numérisation d'images. Il est largement connu comme le scanner de sécurité derrière le registre d'images Quay. (également depuis CoreOS - environ. traduction)Clair est en mesure de collecter des informations sur les CVE à partir d'un large éventail de sources, y compris des listes spécifiques aux CVE. Linux- répartition des vulnérabilités gérées par les équipes de sécurité Debian, Red Hat ou Ubuntu.

Contrairement à Anchore, Clair se concentre principalement sur la recherche de vulnérabilités et la mise en correspondance des données avec les CVE. Cependant, le produit offre aux utilisateurs certaines possibilités d'étendre les fonctions à l'aide de pilotes de plug-in.

dagda

• Site Web: github.com/eliasgranderubio/dagda
• Licence : gratuite (Apache)

Dagda effectue une analyse statique des images de conteneurs pour détecter les vulnérabilités connues, les chevaux de Troie, les virus, les logiciels malveillants et autres menaces.

Deux caractéristiques notables distinguent Dagda des autres outils similaires :

• Il s'intègre parfaitement à ClamAV, agissant non seulement comme un outil d'analyse des images de conteneurs, mais également comme un antivirus.
• Fournit également une protection d'exécution en recevant des événements en temps réel du démon Docker et en s'intégrant à Falco (voir ci-dessous) pour collecter les événements de sécurité pendant l'exécution du conteneur.

KubeXray

• Site Web: github.com/jfrog/kubexray
• Licence : Gratuite (Apache), mais nécessite les données de JFrog Xray (produit commercial)

KubeXray écoute les événements du serveur API Kubernetes et utilise les métadonnées de JFrog Xray pour garantir que seuls les pods correspondant à la politique actuelle sont lancés.

KubeXray audite non seulement les conteneurs nouveaux ou mis à jour dans les déploiements (similaire au contrôleur d'admission dans Kubernetes), mais vérifie également de manière dynamique la conformité des conteneurs en cours d'exécution avec les nouvelles politiques de sécurité, en supprimant les ressources qui font référence aux images vulnérables.

Snyk

• Site Web: snyk.io
• Licence : versions gratuites (Apache) et commerciales

Snyk est un scanner de vulnérabilités inhabituel dans la mesure où il cible spécifiquement le processus de développement et est présenté comme une « solution essentielle » pour les développeurs.

Snyk se connecte directement aux référentiels de code, analyse le manifeste du projet et analyse le code importé ainsi que les dépendances directes et indirectes. Snyk prend en charge de nombreux langages de programmation populaires et peut identifier les risques cachés liés aux licences.

Anecdote

• Site Web: github.com/knqyf263/trivy
• Licence : gratuite (AGPL)

Trivy est un scanner de vulnérabilités simple mais puissant pour les conteneurs qui s'intègre facilement dans un pipeline CI/CD. Sa particularité notable est sa facilité d'installation et de fonctionnement : l'application est constituée d'un seul binaire et ne nécessite pas l'installation d'une base de données ou de bibliothèques supplémentaires.

L'inconvénient de la simplicité de Trivy est que vous devez trouver comment analyser et transmettre les résultats au format JSON afin que d'autres outils de sécurité Kubernetes puissent les utiliser.

Sécurité d'exécution dans Kubernetes

Falco

• Site Web: falco.org
• Licence : gratuite (Apache)

Falco est un ensemble d'outils permettant de sécuriser les environnements d'exécution cloud. Une partie de la famille du projet CNCF.

Utilisation des outils Sysdig pour travailler au niveau du noyau Linux Grâce au profilage et à la surveillance des appels système, Falco permet une analyse approfondie du comportement du système. Son moteur de règles d'exécution détecte les activités suspectes dans les applications, les conteneurs, l'hôte sous-jacent et l'orchestrateur Kubernetes.

Falco offre une transparence totale dans l'exécution et la détection des menaces en déployant des agents spéciaux sur les nœuds Kubernetes à ces fins. Par conséquent, il n’est pas nécessaire de modifier les conteneurs en y introduisant du code tiers ou en ajoutant des conteneurs side-car.

cadres de sécurité Linux pour l'exécution

Ces éléments sont natifs du noyau Linux Les frameworks ne sont pas des « outils de sécurité Kubernetes » au sens traditionnel du terme, mais il convient de les mentionner car ils constituent un élément important dans le contexte de la sécurité d'exécution, qui est incluse dans la politique de sécurité des pods Kubernetes (PSP).

AppArmor attache un profil de sécurité aux processus exécutés dans le conteneur, définissant les privilèges du système de fichiers, les règles d'accès au réseau, la connexion des bibliothèques, etc. Il s'agit d'un système basé sur le contrôle d'accès obligatoire (MAC). En d’autres termes, cela empêche la réalisation d’actions interdites.

Sécurité renforcée Linux (SELinux) est un module de sécurité étendu du noyau. Linux, similaire à certains égards à AppArmor et souvent comparé à celui-ci. SELinux Il surpasse AppArmor en termes de puissance, de flexibilité et d'options de personnalisation. Ses inconvénients résident dans sa longue période d'apprentissage et sa complexité accrue.

Seccomp et seccomp-bpf vous permettent de filtrer les appels système, de bloquer l'exécution de ceux qui sont potentiellement dangereux pour le système d'exploitation de base et qui ne sont pas nécessaires au fonctionnement normal des applications utilisateur. Seccomp est similaire à Falco à certains égards, même s'il ne connaît pas les spécificités des conteneurs.

Sysdig open source

• Site Web: www.sysdig.com/opensource
• Licence : gratuite (Apache)

Sysdig est un outil complet d'analyse, de diagnostic et de débogage. Linux-systèmes (fonctionne également sur Windows и macOS(mais avec des fonctionnalités limitées). Il peut être utilisé pour la collecte d'informations détaillées, la vérification et l'examen médico-légal. (expertise médico-légale) le système de base et tous les conteneurs exécutés sur celui-ci.

Sysdig prend également en charge de manière native les environnements d'exécution des conteneurs et les métadonnées Kubernetes, en ajoutant des dimensions et des étiquettes supplémentaires à toutes les informations sur le comportement du système qu'il collecte. Il existe plusieurs façons d'analyser un cluster Kubernetes à l'aide de Sysdig : vous pouvez effectuer une capture à un moment précis via capture de Kubectl ou lancez une interface interactive basée sur ncurses à l'aide d'un plugin Kubectl creuser.

Sécurité du réseau Kubernetes

Aporeto

• Site Web: www.aporeto.com
• Licence : commerciale

Aporeto offre « une sécurité séparée du réseau et de l'infrastructure ». Cela signifie que les services Kubernetes reçoivent non seulement un identifiant local (c'est-à-dire ServiceAccount dans Kubernetes), mais également un identifiant/empreinte digitale universel qui peut être utilisé pour communiquer de manière sécurisée et mutuelle avec tout autre service, par exemple dans un cluster OpenShift.

Aporeto est capable de générer un identifiant unique non seulement pour Kubernetes/conteneurs, mais également pour les hôtes, les fonctions cloud et les utilisateurs. En fonction de ces identifiants et de l'ensemble des règles de sécurité du réseau définies par l'administrateur, les communications seront autorisées ou bloquées.

Calicot

• Site Web: www.projectcalico.org
• Licence : gratuite (Apache)

Calico est généralement déployé lors de l'installation d'un orchestrateur de conteneurs, vous permettant de créer un réseau virtuel qui interconnecte les conteneurs. En plus de cette fonctionnalité réseau de base, le projet Calico fonctionne avec les politiques réseau Kubernetes et son propre ensemble de profils de sécurité réseau, prend en charge les ACL de points de terminaison (listes de contrôle d'accès) et les règles de sécurité réseau basées sur des annotations pour le trafic d'entrée et de sortie.

Cil

• Site Web: www.cilium.io
• Licence : gratuite (Apache)

Cilium fait office de pare-feu pour les conteneurs et offre des fonctionnalités de sécurité réseau nativement adaptées aux charges de travail Kubernetes et microservices. Cilium utilise une technologie de pointe. Linux appelé BPF (Berkeley Packet Filter) pour filtrer, surveiller, rediriger et corriger les données.

Cilium est capable de déployer des politiques d'accès au réseau basées sur des ID de conteneurs à l'aide d'étiquettes et de métadonnées Docker ou Kubernetes. Cilium comprend et filtre également différents protocoles de couche 7 tels que HTTP ou gRPC, permettant de définir un ensemble d'appels REST qui seront autorisés entre deux déploiements Kubernetes par exemple.

Istio

• Site Web: istio.io
• Licence : gratuite (Apache)

Istio est largement connu pour avoir mis en œuvre le paradigme de maillage de services en déployant un plan de contrôle indépendant de la plate-forme et en acheminant tout le trafic des services gérés via des proxys Envoy configurables de manière dynamique. Istio profite de cette vue avancée de tous les microservices et conteneurs pour mettre en œuvre diverses stratégies de sécurité réseau.

Les capacités de sécurité réseau d'Istio incluent un cryptage TLS transparent pour mettre automatiquement à niveau les communications entre les microservices vers HTTPS, ainsi qu'un système d'identification et d'autorisation RBAC propriétaire pour autoriser/refuser la communication entre les différentes charges de travail du cluster.

Noter. trad. : Pour en savoir plus sur les fonctionnalités d'Istio axées sur la sécurité, lisez cet article.

Tigre

• Site Web: www.tigera.io
• Licence : commerciale

Appelée « pare-feu Kubernetes », cette solution met l'accent sur une approche de sécurité réseau sans confiance.

Semblable à d'autres solutions réseau Kubernetes natives, Tigera s'appuie sur des métadonnées pour identifier les différents services et objets du cluster et fournit une détection des problèmes d'exécution, une vérification continue de la conformité et une visibilité du réseau pour les infrastructures multi-cloud ou hybrides en conteneurs monolithiques.

Trirème

• Site Web: www.aporeto.com/opensource
• Licence : gratuite (Apache)

Trireme-Kubernetes est une implémentation simple et directe de la spécification Kubernetes Network Policies. Sa principale caractéristique est que, contrairement à d'autres produits de sécurité réseau Kubernetes, il ne nécessite pas de plan de contrôle central pour coordonner le maillage. Cela rend la solution extrêmement facile à mettre à l'échelle. Trireme y parvient en installant un agent sur chaque nœud qui se connecte directement à TCP/IP-pile hôte.

Propagation des images et gestion des secrets

Grafeas

• Site Web: grafeas.io
• Licence : gratuite (Apache)

Grafeas est une API open source pour l'audit et la gestion de la chaîne d'approvisionnement logicielle. À la base, Grafeas est un outil de collecte de métadonnées et de résultats d'audit. Il peut être utilisé pour suivre la conformité aux meilleures pratiques de sécurité au sein d’une organisation.

Cette source centralisée de vérité permet de répondre à des questions telles que :

• Qui a collecté et signé pour un conteneur particulier ?
• A-t-il réussi toutes les analyses et vérifications de sécurité requises par la politique de sécurité ? Quand? Quels ont été les résultats ?
• Qui l'a déployé en production ? Quels paramètres spécifiques ont été utilisés lors du déploiement ?

Dans son intégralité

• Site Web: in-toto.github.io
• Licence : gratuite (Apache)

In-toto est un framework conçu pour assurer l'intégrité, l'authentification et l'audit de l'ensemble de la chaîne d'approvisionnement logicielle. Lors du déploiement d'In-toto dans une infrastructure, un plan est d'abord défini qui décrit les différentes étapes du pipeline (référentiel, outils CI/CD, outils QA, collecteurs d'artefacts, etc.) et les utilisateurs (personnes responsables) qui sont autorisés à les initier.

In-toto surveille l'exécution du plan, en vérifiant que chaque tâche de la chaîne est exécutée correctement par du personnel autorisé uniquement et qu'aucune manipulation non autorisée n'a été effectuée avec le produit pendant le mouvement.

Portiéris

• Site Web: github.com/IBM/portieris
• Licence : gratuite (Apache)

Portieris est un contrôleur d'admission pour Kubernetes ; utilisé pour appliquer des contrôles de confiance du contenu. Portieris utilise un serveur Notaire (nous avons écrit sur lui à la fin cet article - environ. traduction) comme source de vérité pour valider les artefacts fiables et signés (c'est-à-dire les images de conteneurs approuvées).

Lorsqu'une charge de travail est créée ou modifiée dans Kubernetes, Portieris télécharge les informations de signature et la politique de confiance du contenu pour les images de conteneur demandées et, si nécessaire, apporte des modifications à la volée à l'objet API JSON pour exécuter des versions signées de ces images.

Voûte

• Site Web: www.vaultproject.io
• Licence : gratuite (MPL)

Vault est une solution sécurisée de stockage d'informations privées : mots de passe, tokens OAuth, certificats PKI, comptes d'accès, secrets Kubernetes, etc. Vault prend en charge de nombreuses fonctionnalités avancées, telles que la location de jetons de sécurité éphémères ou l'organisation de la rotation des clés.

À l'aide de la charte Helm, Vault peut être déployé en tant que nouveau déploiement dans un cluster Kubernetes avec Consul comme stockage back-end. Il prend en charge les ressources Kubernetes natives telles que les jetons ServiceAccount et peut même servir de magasin par défaut pour les secrets Kubernetes.

Noter. trad.: D'ailleurs, hier encore, la société HashiCorp, qui développe Vault, a annoncé quelques améliorations pour l'utilisation de Vault dans Kubernetes, et notamment celles liées à la charte Helm. Lire la suite dans blog de développeur.

Audit de sécurité Kubernetes

Banc Kube

• Site Web: github.com/aquasecurity/kube-bench
• Licence : gratuite (Apache)

Kube-bench est une application Go qui vérifie si Kubernetes est déployé de manière sécurisée en exécutant des tests à partir d'une liste Évaluation de référence CIS Kubernetes.

Kube-bench recherche les paramètres de configuration non sécurisés parmi les composants du cluster (etcd, API, gestionnaire de contrôleur, etc.), les droits d'accès aux fichiers douteux, les comptes non protégés ou les ports ouverts, les quotas de ressources, les paramètres de limitation du nombre d'appels d'API pour se protéger contre les attaques DoS. , etc.

Soyez un chasseur

• Site Web: github.com/aquasecurity/kube-hunter
• Licence : gratuite (Apache)

Kube-hunter recherche les vulnérabilités potentielles (telles que l'exécution de code à distance ou la divulgation de données) dans les clusters Kubernetes. Kube-hunter peut être exécuté comme un scanner distant - auquel cas il évaluera le cluster du point de vue d'un attaquant tiers - ou comme un pod à l'intérieur du cluster.

Une particularité de Kube-hunter est son mode « chasse active », au cours duquel il signale non seulement les problèmes, mais tente également de tirer parti des vulnérabilités découvertes dans le cluster cible qui pourraient potentiellement nuire à son fonctionnement. A utiliser donc avec prudence !

Kubeaudit

• Site Web: github.com/Shopify/kubeaudit
• Licence : gratuite (MIT)

Kubeaudit est un outil de console développé à l'origine chez Shopify pour auditer la configuration de Kubernetes pour divers problèmes de sécurité. Par exemple, il permet d'identifier les conteneurs s'exécutant sans restriction, s'exécutant en tant que root, abusant des privilèges ou utilisant le ServiceAccount par défaut.

Kubeaudit possède d’autres fonctionnalités intéressantes. Par exemple, il peut analyser les fichiers YAML locaux, identifier les failles de configuration susceptibles d'entraîner des problèmes de sécurité et les corriger automatiquement.

Kubésec

• Site Web: kubesec.io
• Licence : gratuite (Apache)

Kubesec est un outil spécial dans la mesure où il analyse directement les fichiers YAML qui décrivent les ressources Kubernetes, à la recherche de paramètres faibles susceptibles d'affecter la sécurité.

Par exemple, il peut détecter les privilèges et autorisations excessifs accordés à un pod, l'exécution d'un conteneur avec root comme utilisateur par défaut, la connexion à l'espace de noms réseau de l'hôte ou des montages dangereux comme /proc hôte ou socket Docker. Une autre fonctionnalité intéressante de Kubesec est le service de démonstration disponible en ligne, dans lequel vous pouvez télécharger YAML et l'analyser immédiatement.

Ouvrir l'agent de stratégie

• Site Web: www.openpolicyagent.org
• Licence : gratuite (Apache)

Le concept d'OPA (Open Policy Agent) consiste à dissocier les politiques de sécurité et les meilleures pratiques de sécurité d'une plate-forme d'exécution spécifique : Docker, Kubernetes, Mesosphere, OpenShift ou toute combinaison de celles-ci.

Par exemple, vous pouvez déployer OPA comme backend pour le contrôleur d'admission Kubernetes, en lui déléguant les décisions de sécurité. De cette façon, l'agent OPA peut valider, rejeter et même modifier les demandes à la volée, garantissant ainsi que les paramètres de sécurité spécifiés sont respectés. Les politiques de sécurité de l'OPA sont rédigées dans son langage DSL propriétaire, Rego.

Noter. trad.: Nous avons écrit davantage sur OPA (et SPIFFE) dans ce materiel.

Outils commerciaux complets pour l'analyse de la sécurité de Kubernetes

Nous avons décidé de créer une catégorie distincte pour les plateformes commerciales, car elles couvrent généralement plusieurs domaines de sécurité. Une idée générale de leurs capacités peut être obtenue à partir du tableau :

* Examen avancé et analyse post mortem avec détournement d'appel système.

Aqua sécurité

• Site Web: www.aquasec.com
• Licence : commerciale

Cet outil commercial est conçu pour les conteneurs et les charges de travail cloud. Il offre:

• Analyse d'images intégrée à un registre de conteneurs ou à un pipeline CI/CD ;
• Protection d'exécution avec recherche de modifications dans les conteneurs et autres activités suspectes ;
• Pare-feu natif du conteneur ;
• Sécurité pour le sans serveur dans les services cloud ;
• Tests de conformité et audit combinés à la journalisation des événements.

Noter. trad.: Il convient également de noter qu'il existe composant gratuit du produit appelé MicroScanner, qui vous permet d'analyser les images de conteneurs à la recherche de vulnérabilités. Une comparaison de ses capacités avec les versions payantes est présentée dans cette table.

Gélule8

• Site Web: capsule8.com
• Licence : commerciale

Capsule8 s'intègre à l'infrastructure en installant le détecteur sur un cluster Kubernetes local ou cloud. Ce détecteur collecte la télémétrie de l'hôte et du réseau, la corrélant avec différents types d'attaques.

L'équipe Capsule8 considère que sa tâche est de détecter et de prévenir les attaques à l'aide de nouveaux (0 jours) vulnérabilités. Capsule8 peut télécharger des règles de sécurité mises à jour directement sur les détecteurs en réponse aux menaces et vulnérabilités logicielles nouvellement découvertes.

Cavirine

• Site Web: www.cavirin.com
• Licence : commerciale

Cavirin agit en tant qu'entrepreneur pour diverses agences impliquées dans les normes de sécurité. Non seulement il peut numériser des images, mais il peut également s'intégrer au pipeline CI/CD, bloquant les images non standard avant qu'elles n'entrent dans des référentiels fermés.

La suite de sécurité de Cavirin utilise l'apprentissage automatique pour évaluer votre posture de cybersécurité, offrant des conseils pour améliorer la sécurité et améliorer la conformité aux normes de sécurité.

Centre de commande de sécurité Google Cloud

• Site Web: cloud.google.com/security-command-center
• Licence : commerciale

Cloud Security Command Center aide les équipes de sécurité à collecter des données, à identifier les menaces et à les éliminer avant qu'elles ne nuisent à l'entreprise.

Comme son nom l'indique, Google Cloud SCC est un panneau de contrôle unifié qui peut intégrer et gérer une variété de rapports de sécurité, de moteurs de comptabilité d'actifs et de systèmes de sécurité tiers à partir d'une source unique et centralisée.

L'API interopérable proposée par Google Cloud SCC facilite l'intégration d'événements de sécurité provenant de diverses sources, telles que Sysdig Secure (sécurité des conteneurs pour les applications cloud natives) ou Falco (sécurité du runtime Open Source).

Aperçu en couches (Qualys)

• Site Web: layeredinsight.com
• Licence : commerciale

Layered Insight (qui fait désormais partie de Qualys Inc) repose sur le concept de « sécurité intégrée ». Après avoir analysé l'image originale à la recherche de vulnérabilités à l'aide d'une analyse statistique et de contrôles CVE, Layered Insight la remplace par une image instrumentée qui inclut l'agent sous forme binaire.

Cet agent contient des tests de sécurité d'exécution pour analyser le trafic réseau des conteneurs, les flux d'E/S et l'activité des applications. De plus, il peut effectuer des contrôles de sécurité supplémentaires spécifiés par l'administrateur de l'infrastructure ou les équipes DevOps.

NeuVecteur

• Site Web: neuvector.com
• Licence : commerciale

NeuVector vérifie la sécurité des conteneurs et fournit une protection d'exécution en analysant l'activité du réseau et le comportement des applications, créant ainsi un profil de sécurité individuel pour chaque conteneur. Il peut également bloquer les menaces de manière autonome, en isolant les activités suspectes en modifiant les règles de pare-feu locales.

L'intégration réseau de NeuVector, connue sous le nom de Security Mesh, est capable d'analyser en profondeur les paquets et de filtrer la couche 7 pour toutes les connexions réseau du maillage de services.

StackRox

• Site Web: www.stackrox.com
• Licence : commerciale

La plateforme de sécurité des conteneurs StackRox s'efforce de couvrir l'intégralité du cycle de vie des applications Kubernetes dans un cluster. Comme d'autres plates-formes commerciales de cette liste, StackRox génère un profil d'exécution basé sur le comportement observé du conteneur et déclenche automatiquement une alarme en cas d'écart.

De plus, StackRox analyse les configurations Kubernetes à l'aide de Kubernetes CIS et d'autres règles pour évaluer la conformité des conteneurs.

Sysdig sécurisé

• Site Web: sysdig.com/products/secure
• Licence : commerciale

Sysdig Secure protège les applications tout au long du cycle de vie des conteneurs et de Kubernetes. Il scanne les images conteneurs, fournit protection d'exécution selon les données d'apprentissage automatique, effectue de la crème. expertise pour identifier les vulnérabilités, bloquer les menaces, surveiller le respect des normes établies et audite l’activité dans les microservices.

Sysdig Secure s'intègre aux outils CI/CD tels que Jenkins et contrôle les images chargées à partir des registres Docker, empêchant ainsi l'apparition d'images dangereuses en production. Il fournit également une sécurité d'exécution complète, notamment :

• Profilage d'exécution et détection d'anomalies basés sur le ML ;
• politiques d'exécution basées sur les événements système, l'API d'audit K8, les projets communautaires communs (FIM - surveillance de l'intégrité des fichiers ; cryptojacking) et le cadre MITRE ATT & CK;
• réponse et résolution des incidents.

Sécurité des conteneurs Tenable

• Site Web: www.tenable.com/products/tenable-io/container-security
• Licence : commerciale

Avant l'avènement des conteneurs, Tenable était largement connue dans l'industrie comme la société à l'origine de Nessus, un outil populaire de recherche de vulnérabilités et d'audit de sécurité.

Tenable Container Security exploite l'expertise de l'entreprise en matière de sécurité informatique pour intégrer un pipeline CI/CD avec des bases de données de vulnérabilités, des packages spécialisés de détection de logiciels malveillants et des recommandations pour résoudre les menaces de sécurité.

Verrouillage tournant (Palo Alto Networks)

• Site Web: www.twistlock.com
• Licence : commerciale

Twistlock se présente comme une plateforme axée sur les services cloud et les conteneurs. Twistlock prend en charge divers fournisseurs de cloud (AWS, Azure, GCP), orchestrateurs de conteneurs (Kubernetes, Mesospehere, OpenShift, Docker), environnements d'exécution sans serveur, frameworks de maillage et outils CI/CD.

En plus des techniques de sécurité conventionnelles de niveau entreprise telles que l'intégration de pipeline CI/CD ou l'analyse d'images, Twistlock utilise l'apprentissage automatique pour générer des modèles de comportement et des règles réseau spécifiques aux conteneurs.

Il y a quelque temps, Twistlock a été racheté par Palo Alto Networks, propriétaire des projets Evident.io et RedLock. On ne sait pas encore exactement comment ces trois plateformes seront intégrées dans PRISMA de Palo Alto.

Aidez-nous à créer le meilleur catalogue d’outils de sécurité Kubernetes !

Nous nous efforçons de rendre ce catalogue le plus complet possible, et pour cela nous avons besoin de votre aide ! Contactez-nous (@sysdig) si vous avez en tête un outil intéressant qui mérite d'être inclus dans cette liste, ou si vous trouvez une erreur/des informations obsolètes.

Vous pouvez également vous abonner à notre Actualités mensuelles avec des nouvelles de l'écosystème cloud natif et des histoires sur des projets intéressants du monde de la sécurité Kubernetes.

PS du traducteur

A lire aussi sur notre blog :

• «Une introduction aux politiques réseau Kubernetes pour les professionnels de la sécurité";
• «Docker et Kubernetes dans des environnements sensibles en matière de sécurité";
• «9 meilleures pratiques pour la sécurité de Kubernetes";
• «11 façons de (ne pas) devenir victime d'un piratage de Kubernetes";
• «OPA et SPIFFE, deux nouveaux projets à la CNCF pour la sécurité des applications cloud».

Source: habr.com