Noter. trad.: Si vous vous interrogez sur la sécurité dans l'infrastructure basée sur Kubernetes, cet excellent aperçu de Sysdig est un excellent point de départ pour un aperçu rapide des solutions actuelles. Il comprend à la fois des systèmes complexes d'acteurs du marché bien connus et des services publics beaucoup plus modestes qui résolvent un problème particulier. Et dans les commentaires, comme toujours, nous serons heureux de connaître votre expérience d'utilisation de ces outils et de voir des liens vers d'autres projets.
Produits logiciels de sécurité Kubernetes... il y en a tellement, chacun avec ses propres objectifs, portée et licences.
C'est pourquoi nous avons décidé de créer cette liste et d'inclure à la fois des projets open source et des plateformes commerciales de différents fournisseurs. Nous espérons que cela vous aidera à identifier ceux qui vous intéressent le plus et vous orientera dans la bonne direction en fonction de vos besoins spécifiques en matière de sécurité Kubernetes.
catégorie
Pour faciliter la navigation dans la liste, les outils sont organisés par fonction principale et application. Les sections suivantes ont été obtenues :
- Analyse d'images Kubernetes et analyse statique ;
- Sécurité d'exécution ;
- Sécurité du réseau Kubernetes ;
- Distribution d’images et gestion des secrets ;
- Audit de sécurité Kubernetes ;
- Produits commerciaux complets.
Nous allons passer aux choses sérieuses:
Analyse d'images Kubernetes
Ancre
- Site Web:
- Licence : gratuite (Apache) et offre commerciale
Anchore analyse les images de conteneurs et permet des contrôles de sécurité basés sur des politiques définies par l'utilisateur.
En plus de l'analyse habituelle des images de conteneurs pour les vulnérabilités connues de la base de données CVE, Anchore effectue de nombreuses vérifications supplémentaires dans le cadre de sa politique d'analyse : vérifie le Dockerfile, les fuites d'identifiants, les packages des langages de programmation utilisés (npm, maven, etc. .), les licences de logiciels et bien plus encore .
Clair
- Site Web: (maintenant sous la tutelle de Red Hat)
- Licence : gratuite (Apache)
Clair a été l'un des premiers projets Open Source de numérisation d'images. Il est largement connu comme le scanner de sécurité derrière le registre d'images Quay. (également depuis CoreOS - environ. traduction). Clair peut collecter des informations CVE à partir d'une grande variété de sources, y compris des listes de vulnérabilités spécifiques à la distribution Linux maintenues par les équipes de sécurité Debian, Red Hat ou Ubuntu.
Contrairement à Anchore, Clair se concentre principalement sur la recherche de vulnérabilités et la mise en correspondance des données avec les CVE. Cependant, le produit offre aux utilisateurs certaines possibilités d'étendre les fonctions à l'aide de pilotes de plug-in.
dagda
- Site Web:
- Licence : gratuite (Apache)
Dagda effectue une analyse statique des images de conteneurs pour détecter les vulnérabilités connues, les chevaux de Troie, les virus, les logiciels malveillants et autres menaces.
Deux caractéristiques notables distinguent Dagda des autres outils similaires :
- Il s'intègre parfaitement à , agissant non seulement comme un outil d'analyse des images de conteneurs, mais également comme un antivirus.
- Fournit également une protection d'exécution en recevant des événements en temps réel du démon Docker et en s'intégrant à Falco (voir ci-dessous) pour collecter les événements de sécurité pendant l'exécution du conteneur.
KubeXray
- Site Web:
- Licence : Gratuite (Apache), mais nécessite les données de JFrog Xray (produit commercial)
KubeXray écoute les événements du serveur API Kubernetes et utilise les métadonnées de JFrog Xray pour garantir que seuls les pods correspondant à la politique actuelle sont lancés.
KubeXray audite non seulement les conteneurs nouveaux ou mis à jour dans les déploiements (similaire au contrôleur d'admission dans Kubernetes), mais vérifie également de manière dynamique la conformité des conteneurs en cours d'exécution avec les nouvelles politiques de sécurité, en supprimant les ressources qui font référence aux images vulnérables.
Snyk
- Site Web:
- Licence : versions gratuites (Apache) et commerciales
Snyk est un scanner de vulnérabilités inhabituel dans la mesure où il cible spécifiquement le processus de développement et est présenté comme une « solution essentielle » pour les développeurs.
Snyk se connecte directement aux référentiels de code, analyse le manifeste du projet et analyse le code importé ainsi que les dépendances directes et indirectes. Snyk prend en charge de nombreux langages de programmation populaires et peut identifier les risques cachés liés aux licences.
Anecdote
- Site Web:
- Licence : gratuite (AGPL)
Trivy est un scanner de vulnérabilités simple mais puissant pour les conteneurs qui s'intègre facilement dans un pipeline CI/CD. Sa particularité notable est sa facilité d'installation et de fonctionnement : l'application est constituée d'un seul binaire et ne nécessite pas l'installation d'une base de données ou de bibliothèques supplémentaires.
L'inconvénient de la simplicité de Trivy est que vous devez trouver comment analyser et transmettre les résultats au format JSON afin que d'autres outils de sécurité Kubernetes puissent les utiliser.
Sécurité d'exécution dans Kubernetes
Falco
- Site Web:
- Licence : gratuite (Apache)
Falco est un ensemble d'outils permettant de sécuriser les environnements d'exécution cloud. Une partie de la famille du projet .
Grâce aux outils au niveau du noyau Linux et au profilage des appels système de Sysdig, Falco vous permet d'approfondir le comportement du système. Son moteur de règles d'exécution est capable de détecter les activités suspectes dans les applications, les conteneurs, l'hôte sous-jacent et l'orchestrateur Kubernetes.
Falco offre une transparence totale dans l'exécution et la détection des menaces en déployant des agents spéciaux sur les nœuds Kubernetes à ces fins. Par conséquent, il n’est pas nécessaire de modifier les conteneurs en y introduisant du code tiers ou en ajoutant des conteneurs side-car.
Cadres de sécurité Linux pour l'exécution
Ces frameworks natifs pour le noyau Linux ne sont pas des « outils de sécurité Kubernetes » au sens traditionnel, mais ils méritent d'être mentionnés car ils constituent un élément important dans le contexte de la sécurité d'exécution, qui est incluse dans la politique de sécurité des pods Kubernetes (PSP).
attache un profil de sécurité aux processus exécutés dans le conteneur, définissant les privilèges du système de fichiers, les règles d'accès au réseau, la connexion des bibliothèques, etc. Il s'agit d'un système basé sur le contrôle d'accès obligatoire (MAC). En d’autres termes, cela empêche la réalisation d’actions interdites.
Linux à sécurité améliorée () est un module de sécurité avancé du noyau Linux, similaire à certains égards à AppArmor et souvent comparé à celui-ci. SELinux est supérieur à AppArmor en termes de puissance, de flexibilité et de personnalisation. Ses inconvénients sont une longue courbe d’apprentissage et une complexité accrue.
et seccomp-bpf vous permettent de filtrer les appels système, de bloquer l'exécution de ceux qui sont potentiellement dangereux pour le système d'exploitation de base et qui ne sont pas nécessaires au fonctionnement normal des applications utilisateur. Seccomp est similaire à Falco à certains égards, même s'il ne connaît pas les spécificités des conteneurs.
Sysdig open source
- Site Web:
- Licence : gratuite (Apache)
Sysdig est un outil complet d'analyse, de diagnostic et de débogage des systèmes Linux (fonctionne également sous Windows et macOS, mais avec des fonctions limitées). Il peut être utilisé pour la collecte d’informations détaillées, la vérification et l’analyse médico-légale. (expertise médico-légale) le système de base et tous les conteneurs exécutés sur celui-ci.
Sysdig prend également en charge de manière native les environnements d'exécution des conteneurs et les métadonnées Kubernetes, en ajoutant des dimensions et des étiquettes supplémentaires à toutes les informations sur le comportement du système qu'il collecte. Il existe plusieurs façons d'analyser un cluster Kubernetes à l'aide de Sysdig : vous pouvez effectuer une capture à un moment précis via ou lancez une interface interactive basée sur ncurses à l'aide d'un plugin .
Sécurité du réseau Kubernetes
Aporeto
- Site Web:
- Licence : commerciale
Aporeto offre « une sécurité séparée du réseau et de l'infrastructure ». Cela signifie que les services Kubernetes reçoivent non seulement un identifiant local (c'est-à-dire ServiceAccount dans Kubernetes), mais également un identifiant/empreinte digitale universel qui peut être utilisé pour communiquer de manière sécurisée et mutuelle avec tout autre service, par exemple dans un cluster OpenShift.
Aporeto est capable de générer un identifiant unique non seulement pour Kubernetes/conteneurs, mais également pour les hôtes, les fonctions cloud et les utilisateurs. En fonction de ces identifiants et de l'ensemble des règles de sécurité du réseau définies par l'administrateur, les communications seront autorisées ou bloquées.
Calicot
- Site Web:
- Licence : gratuite (Apache)
Calico est généralement déployé lors de l'installation d'un orchestrateur de conteneurs, vous permettant de créer un réseau virtuel qui interconnecte les conteneurs. En plus de cette fonctionnalité réseau de base, le projet Calico fonctionne avec les politiques réseau Kubernetes et son propre ensemble de profils de sécurité réseau, prend en charge les ACL de points de terminaison (listes de contrôle d'accès) et les règles de sécurité réseau basées sur des annotations pour le trafic d'entrée et de sortie.
Cil
- Site Web:
- Licence : gratuite (Apache)
Cilium agit comme un pare-feu pour les conteneurs et fournit des fonctionnalités de sécurité réseau nativement adaptées aux charges de travail Kubernetes et microservices. Cilium utilise une nouvelle technologie du noyau Linux appelée BPF (Berkeley Packet Filter) pour filtrer, surveiller, rediriger et corriger les données.
Cilium est capable de déployer des politiques d'accès au réseau basées sur des ID de conteneurs à l'aide d'étiquettes et de métadonnées Docker ou Kubernetes. Cilium comprend et filtre également différents protocoles de couche 7 tels que HTTP ou gRPC, permettant de définir un ensemble d'appels REST qui seront autorisés entre deux déploiements Kubernetes par exemple.
Istio
- Site Web:
- Licence : gratuite (Apache)
Istio est largement connu pour avoir mis en œuvre le paradigme de maillage de services en déployant un plan de contrôle indépendant de la plate-forme et en acheminant tout le trafic des services gérés via des proxys Envoy configurables de manière dynamique. Istio profite de cette vue avancée de tous les microservices et conteneurs pour mettre en œuvre diverses stratégies de sécurité réseau.
Les capacités de sécurité réseau d'Istio incluent un cryptage TLS transparent pour mettre automatiquement à niveau les communications entre les microservices vers HTTPS, ainsi qu'un système d'identification et d'autorisation RBAC propriétaire pour autoriser/refuser la communication entre les différentes charges de travail du cluster.
Noter. trad. : Pour en savoir plus sur les fonctionnalités d'Istio axées sur la sécurité, lisez .
Tigre
- Site Web:
- Licence : commerciale
Appelée « pare-feu Kubernetes », cette solution met l'accent sur une approche de sécurité réseau sans confiance.
Semblable à d'autres solutions réseau Kubernetes natives, Tigera s'appuie sur des métadonnées pour identifier les différents services et objets du cluster et fournit une détection des problèmes d'exécution, une vérification continue de la conformité et une visibilité du réseau pour les infrastructures multi-cloud ou hybrides en conteneurs monolithiques.
Trirème
- Site Web:
- Licence : gratuite (Apache)
Trireme-Kubernetes est une implémentation simple et directe de la spécification des politiques réseau Kubernetes. La caractéristique la plus remarquable est que, contrairement aux produits de sécurité réseau Kubernetes similaires, il ne nécessite pas de plan de contrôle central pour coordonner le maillage. Cela rend la solution trivialement évolutive. Dans Trireme, cela est réalisé en installant un agent sur chaque nœud qui se connecte directement à la pile TCP/IP de l'hôte.
Propagation des images et gestion des secrets
Grafeas
- Site Web:
- Licence : gratuite (Apache)
Grafeas est une API open source pour l'audit et la gestion de la chaîne d'approvisionnement logicielle. À la base, Grafeas est un outil de collecte de métadonnées et de résultats d'audit. Il peut être utilisé pour suivre la conformité aux meilleures pratiques de sécurité au sein d’une organisation.
Cette source centralisée de vérité permet de répondre à des questions telles que :
- Qui a collecté et signé pour un conteneur particulier ?
- A-t-il réussi toutes les analyses et vérifications de sécurité requises par la politique de sécurité ? Quand? Quels ont été les résultats ?
- Qui l'a déployé en production ? Quels paramètres spécifiques ont été utilisés lors du déploiement ?
Dans son intégralité
- Site Web:
- Licence : gratuite (Apache)
In-toto est un framework conçu pour assurer l'intégrité, l'authentification et l'audit de l'ensemble de la chaîne d'approvisionnement logicielle. Lors du déploiement d'In-toto dans une infrastructure, un plan est d'abord défini qui décrit les différentes étapes du pipeline (référentiel, outils CI/CD, outils QA, collecteurs d'artefacts, etc.) et les utilisateurs (personnes responsables) qui sont autorisés à les initier.
In-toto surveille l'exécution du plan, en vérifiant que chaque tâche de la chaîne est exécutée correctement par du personnel autorisé uniquement et qu'aucune manipulation non autorisée n'a été effectuée avec le produit pendant le mouvement.
Portiéris
- Site Web:
- Licence : gratuite (Apache)
Portieris est un contrôleur d'admission pour Kubernetes ; utilisé pour appliquer des contrôles de confiance du contenu. Portieris utilise un serveur (nous avons écrit sur lui à la fin - environ. traduction) comme source de vérité pour valider les artefacts fiables et signés (c'est-à-dire les images de conteneurs approuvées).
Lorsqu'une charge de travail est créée ou modifiée dans Kubernetes, Portieris télécharge les informations de signature et la politique de confiance du contenu pour les images de conteneur demandées et, si nécessaire, apporte des modifications à la volée à l'objet API JSON pour exécuter des versions signées de ces images.
Voûte
- Site Web:
- Licence : gratuite (MPL)
Vault est une solution sécurisée de stockage d'informations privées : mots de passe, tokens OAuth, certificats PKI, comptes d'accès, secrets Kubernetes, etc. Vault prend en charge de nombreuses fonctionnalités avancées, telles que la location de jetons de sécurité éphémères ou l'organisation de la rotation des clés.
À l'aide de la charte Helm, Vault peut être déployé en tant que nouveau déploiement dans un cluster Kubernetes avec Consul comme stockage back-end. Il prend en charge les ressources Kubernetes natives telles que les jetons ServiceAccount et peut même servir de magasin par défaut pour les secrets Kubernetes.
Noter. trad.: D'ailleurs, hier encore, la société HashiCorp, qui développe Vault, a annoncé quelques améliorations pour l'utilisation de Vault dans Kubernetes, et notamment celles liées à la charte Helm. Lire la suite dans .
Audit de sécurité Kubernetes
Banc Kube
- Site Web:
- Licence : gratuite (Apache)
Kube-bench est une application Go qui vérifie si Kubernetes est déployé de manière sécurisée en exécutant des tests à partir d'une liste .
Kube-bench recherche les paramètres de configuration non sécurisés parmi les composants du cluster (etcd, API, gestionnaire de contrôleur, etc.), les droits d'accès aux fichiers douteux, les comptes non protégés ou les ports ouverts, les quotas de ressources, les paramètres de limitation du nombre d'appels d'API pour se protéger contre les attaques DoS. , etc.
Soyez un chasseur
- Site Web:
- Licence : gratuite (Apache)
Kube-hunter recherche les vulnérabilités potentielles (telles que l'exécution de code à distance ou la divulgation de données) dans les clusters Kubernetes. Kube-hunter peut être exécuté comme un scanner distant - auquel cas il évaluera le cluster du point de vue d'un attaquant tiers - ou comme un pod à l'intérieur du cluster.
Une particularité de Kube-hunter est son mode « chasse active », au cours duquel il signale non seulement les problèmes, mais tente également de tirer parti des vulnérabilités découvertes dans le cluster cible qui pourraient potentiellement nuire à son fonctionnement. A utiliser donc avec prudence !
Kubeaudit
- Site Web:
- Licence : gratuite (MIT)
Kubeaudit est un outil de console développé à l'origine chez Shopify pour auditer la configuration de Kubernetes pour divers problèmes de sécurité. Par exemple, il permet d'identifier les conteneurs s'exécutant sans restriction, s'exécutant en tant que root, abusant des privilèges ou utilisant le ServiceAccount par défaut.
Kubeaudit possède d’autres fonctionnalités intéressantes. Par exemple, il peut analyser les fichiers YAML locaux, identifier les failles de configuration susceptibles d'entraîner des problèmes de sécurité et les corriger automatiquement.
Kubésec
- Site Web:
- Licence : gratuite (Apache)
Kubesec est un outil spécial dans la mesure où il analyse directement les fichiers YAML qui décrivent les ressources Kubernetes, à la recherche de paramètres faibles susceptibles d'affecter la sécurité.
Par exemple, il peut détecter les privilèges et autorisations excessifs accordés à un pod, l'exécution d'un conteneur avec root comme utilisateur par défaut, la connexion à l'espace de noms réseau de l'hôte ou des montages dangereux comme /proc hôte ou socket Docker. Une autre fonctionnalité intéressante de Kubesec est le service de démonstration disponible en ligne, dans lequel vous pouvez télécharger YAML et l'analyser immédiatement.
Ouvrir l'agent de stratégie
- Site Web:
- Licence : gratuite (Apache)
Le concept d'OPA (Open Policy Agent) consiste à dissocier les politiques de sécurité et les meilleures pratiques de sécurité d'une plate-forme d'exécution spécifique : Docker, Kubernetes, Mesosphere, OpenShift ou toute combinaison de celles-ci.
Par exemple, vous pouvez déployer OPA comme backend pour le contrôleur d'admission Kubernetes, en lui déléguant les décisions de sécurité. De cette façon, l'agent OPA peut valider, rejeter et même modifier les demandes à la volée, garantissant ainsi que les paramètres de sécurité spécifiés sont respectés. Les politiques de sécurité de l'OPA sont rédigées dans son langage DSL propriétaire, Rego.
Noter. trad.: Nous avons écrit davantage sur OPA (et SPIFFE) dans .
Outils commerciaux complets pour l'analyse de la sécurité de Kubernetes
Nous avons décidé de créer une catégorie distincte pour les plateformes commerciales, car elles couvrent généralement plusieurs domaines de sécurité. Une idée générale de leurs capacités peut être obtenue à partir du tableau :
* Examen avancé et analyse post mortem avec .
Aqua sécurité
- Site Web:
- Licence : commerciale
Cet outil commercial est conçu pour les conteneurs et les charges de travail cloud. Il offre:
- Analyse d'images intégrée à un registre de conteneurs ou à un pipeline CI/CD ;
- Protection d'exécution avec recherche de modifications dans les conteneurs et autres activités suspectes ;
- Pare-feu natif du conteneur ;
- Sécurité pour le sans serveur dans les services cloud ;
- Tests de conformité et audit combinés à la journalisation des événements.
Noter. trad.: Il convient également de noter qu'il existe composant gratuit du produit appelé , qui vous permet d'analyser les images de conteneurs à la recherche de vulnérabilités. Une comparaison de ses capacités avec les versions payantes est présentée dans .
Gélule8
- Site Web:
- Licence : commerciale
Capsule8 s'intègre à l'infrastructure en installant le détecteur sur un cluster Kubernetes local ou cloud. Ce détecteur collecte la télémétrie de l'hôte et du réseau, la corrélant avec différents types d'attaques.
L'équipe Capsule8 considère que sa tâche est de détecter et de prévenir les attaques à l'aide de nouveaux (0 jours) vulnérabilités. Capsule8 peut télécharger des règles de sécurité mises à jour directement sur les détecteurs en réponse aux menaces et vulnérabilités logicielles nouvellement découvertes.
Cavirine
- Site Web:
- Licence : commerciale
Cavirin agit en tant qu'entrepreneur pour diverses agences impliquées dans les normes de sécurité. Non seulement il peut numériser des images, mais il peut également s'intégrer au pipeline CI/CD, bloquant les images non standard avant qu'elles n'entrent dans des référentiels fermés.
La suite de sécurité de Cavirin utilise l'apprentissage automatique pour évaluer votre posture de cybersécurité, offrant des conseils pour améliorer la sécurité et améliorer la conformité aux normes de sécurité.
Centre de commande de sécurité Google Cloud
- Site Web:
- Licence : commerciale
Cloud Security Command Center aide les équipes de sécurité à collecter des données, à identifier les menaces et à les éliminer avant qu'elles ne nuisent à l'entreprise.
Comme son nom l'indique, Google Cloud SCC est un panneau de contrôle unifié qui peut intégrer et gérer une variété de rapports de sécurité, de moteurs de comptabilité d'actifs et de systèmes de sécurité tiers à partir d'une source unique et centralisée.
L'API interopérable proposée par Google Cloud SCC facilite l'intégration d'événements de sécurité provenant de diverses sources, telles que Sysdig Secure (sécurité des conteneurs pour les applications cloud natives) ou Falco (sécurité du runtime Open Source).
Aperçu en couches (Qualys)
- Site Web:
- Licence : commerciale
Layered Insight (qui fait désormais partie de Qualys Inc) repose sur le concept de « sécurité intégrée ». Après avoir analysé l'image originale à la recherche de vulnérabilités à l'aide d'une analyse statistique et de contrôles CVE, Layered Insight la remplace par une image instrumentée qui inclut l'agent sous forme binaire.
Cet agent contient des tests de sécurité d'exécution pour analyser le trafic réseau des conteneurs, les flux d'E/S et l'activité des applications. De plus, il peut effectuer des contrôles de sécurité supplémentaires spécifiés par l'administrateur de l'infrastructure ou les équipes DevOps.
NeuVecteur
- Site Web:
- Licence : commerciale
NeuVector vérifie la sécurité des conteneurs et fournit une protection d'exécution en analysant l'activité du réseau et le comportement des applications, créant ainsi un profil de sécurité individuel pour chaque conteneur. Il peut également bloquer les menaces de manière autonome, en isolant les activités suspectes en modifiant les règles de pare-feu locales.
L'intégration réseau de NeuVector, connue sous le nom de Security Mesh, est capable d'analyser en profondeur les paquets et de filtrer la couche 7 pour toutes les connexions réseau du maillage de services.
StackRox
- Site Web:
- Licence : commerciale
La plateforme de sécurité des conteneurs StackRox s'efforce de couvrir l'intégralité du cycle de vie des applications Kubernetes dans un cluster. Comme d'autres plates-formes commerciales de cette liste, StackRox génère un profil d'exécution basé sur le comportement observé du conteneur et déclenche automatiquement une alarme en cas d'écart.
De plus, StackRox analyse les configurations Kubernetes à l'aide de Kubernetes CIS et d'autres règles pour évaluer la conformité des conteneurs.
Sysdig sécurisé
- Site Web:
- Licence : commerciale
Sysdig Secure protège les applications tout au long du cycle de vie des conteneurs et de Kubernetes. Il conteneurs, fournit selon les données d'apprentissage automatique, effectue de la crème. expertise pour identifier les vulnérabilités, bloquer les menaces, surveiller et audite l’activité dans les microservices.
Sysdig Secure s'intègre aux outils CI/CD tels que Jenkins et contrôle les images chargées à partir des registres Docker, empêchant ainsi l'apparition d'images dangereuses en production. Il fournit également une sécurité d'exécution complète, notamment :
- Profilage d'exécution et détection d'anomalies basés sur le ML ;
- politiques d'exécution basées sur les événements système, l'API d'audit K8, les projets communautaires communs (FIM - surveillance de l'intégrité des fichiers ; cryptojacking) et le cadre ;
- réponse et résolution des incidents.
Sécurité des conteneurs Tenable
- Site Web:
- Licence : commerciale
Avant l'avènement des conteneurs, Tenable était largement connue dans l'industrie comme la société à l'origine de Nessus, un outil populaire de recherche de vulnérabilités et d'audit de sécurité.
Tenable Container Security exploite l'expertise de l'entreprise en matière de sécurité informatique pour intégrer un pipeline CI/CD avec des bases de données de vulnérabilités, des packages spécialisés de détection de logiciels malveillants et des recommandations pour résoudre les menaces de sécurité.
Verrouillage tournant (Palo Alto Networks)
- Site Web:
- Licence : commerciale
Twistlock se présente comme une plateforme axée sur les services cloud et les conteneurs. Twistlock prend en charge divers fournisseurs de cloud (AWS, Azure, GCP), orchestrateurs de conteneurs (Kubernetes, Mesospehere, OpenShift, Docker), environnements d'exécution sans serveur, frameworks de maillage et outils CI/CD.
En plus des techniques de sécurité conventionnelles de niveau entreprise telles que l'intégration de pipeline CI/CD ou l'analyse d'images, Twistlock utilise l'apprentissage automatique pour générer des modèles de comportement et des règles réseau spécifiques aux conteneurs.
Il y a quelque temps, Twistlock a été racheté par Palo Alto Networks, propriétaire des projets Evident.io et RedLock. On ne sait pas encore exactement comment ces trois plateformes seront intégrées dans de Palo Alto.
Aidez-nous à créer le meilleur catalogue d’outils de sécurité Kubernetes !
Nous nous efforçons de rendre ce catalogue le plus complet possible, et pour cela nous avons besoin de votre aide ! Contactez-nous () si vous avez en tête un outil intéressant qui mérite d'être inclus dans cette liste, ou si vous trouvez une erreur/des informations obsolètes.
Vous pouvez également vous abonner à notre avec des nouvelles de l'écosystème cloud natif et des histoires sur des projets intéressants du monde de la sécurité Kubernetes.
PS du traducteur
A lire aussi sur notre blog :
- «";
- «";
- «";
- «";
- «».
Source: habr.com