33+ Kubernetes feiligens ark

Noat. transl.: As jo ​​jo ôffreegje oer feiligens yn Kubernetes-basearre ynfrastruktuer, is dit treflike oersjoch fan Sysdig in geweldich útgongspunt foar in flugge blik op de hjoeddeistige oplossingen. It omfettet sawol komplekse systemen fan bekende merkspilers as folle beskiedener nutsbedriuwen dy't in bepaald probleem oplosse. En yn 'e opmerkingen, lykas altyd, sille wy bliid wêze om te hearren oer jo ûnderfining mei it brûken fan dizze ark en sjoch keppelings nei oare projekten.

Kubernetes-feiligenssoftwareprodukten ... d'r binne safolle fan har, elk mei har eigen doelen, omfang en lisinsjes.

Dêrom besleaten wy dizze list te meitsjen en sawol iepen boarne-projekten as kommersjele platfoarms fan ferskate leveransiers op te nimmen. Wy hoopje dat it jo sil helpe om dejingen te identifisearjen dy't it meast ynteressearje en jo yn 'e goeie rjochting wize op basis fan jo spesifike Kubernetes-feiligensbehoeften.

Categories

Om de list makliker te navigearjen, wurde de ark organisearre troch haadfunksje en applikaasje. De folgjende seksjes waarden krigen:

• Kubernetes ôfbylding skennen en statyske analyze;
• Runtime feiligens;
• Kubernetes netwurk feiligens;
• Image distribúsje en geheimen behear;
• Kubernetes feiligens audit;
• Wiidweidige kommersjele produkten.

Litte wy nei saken gean:

Kubernetes-ôfbyldings scannen

Anker

• Website: anchore.com
• Lisinsje: fergees (Apache) en kommersjeel oanbod

Anchore analysearret kontenerôfbyldings en lit befeiligingskontrôles ta basearre op brûker-definieare belied.

Neist it gewoane skennen fan kontenerôfbyldings foar bekende kwetsberens út 'e CVE-database, fiert Anchore in protte ekstra kontrôles út as ûnderdiel fan har skennenbelied: kontrolearret de Dockerfile, referinsjelekken, pakketten fan' e brûkte programmeartalen (npm, maven, ensfh. .), softwarelisinsjes en folle mear.

clair

• Website: coreos.com/clair (no ûnder lieding fan Red Hat)
• Lisinsje: fergees (Apache)

Clair wie ien fan 'e earste Open Source-projekten foar ôfbyldingsscannen. It is wiid bekend as de feiligensscanner efter it Quay-ôfbyldingsregister (ek fan CoreOS - ca. oersetting). Clair kin CVE-ynformaasje sammelje út in breed ferskaat oan boarnen, ynklusyf listen mei Linux-distribúsje-spesifike kwetsberens ûnderhâlden troch de Debian, Red Hat, of Ubuntu-befeiligingsteams.

Oars as Anchore, rjochtet Clair him primêr op it finen fan kwetsberens en oerienkommende gegevens oan CVE's. It produkt biedt brûkers lykwols wat mooglikheden om funksjes út te wreidzjen mei plug-in-bestjoerders.

dagda

• Website: github.com/eliasgranderubio/dagda
• Lisinsje: fergees (Apache)

Dagda docht statyske analyse fan kontenerôfbyldings foar bekende kwetsberens, Trojans, firussen, malware en oare bedrigingen.

Twa opmerklike funksjes ûnderskiede Dagda fan oare ferlykbere ark:

• It yntegrearret perfekt mei ClamAV, fungearret net allinich as ark foar it scannen fan kontenerôfbyldings, mar ek as antyvirus.
• Biedt ek runtime-beskerming troch realtime-eveneminten te ûntfangen fan 'e Docker-daemon en yntegrearje mei Falco (Sjoch hjirûnder) om feiligenseveneminten te sammeljen wylst de kontener rint.

KubeXray

• Website: github.com/jfrog/kubexray
• Lisinsje: Fergees (Apache), mar fereasket gegevens fan JFrog Xray (kommersjeel produkt)

KubeXray harket nei eveneminten fan 'e Kubernetes API-tsjinner en brûkt metadata fan JFrog Xray om te soargjen dat allinich pods dy't oerienkomme mei it hjoeddeistige belied wurde lansearre.

KubeXray kontrolearret net allinich nije as bywurke konteners yn ynset (lykas de tagongskontrôler yn Kubernetes), mar kontrolearret ek dynamysk rinnende konteners foar neilibjen fan nij feiligensbelied, en ferwiderje boarnen dy't ferwize nei kwetsbere ôfbyldings.

Snyk

• Website: snyk.io
• Lisinsje: fergees (Apache) en kommersjele ferzjes

Snyk is in ûngewoane kwetsberensscanner yn dat it spesifyk rjochtet op it ûntwikkelingsproses en wurdt promovearre as in "essensjele oplossing" foar ûntwikkelders.

Snyk ferbynt direkt mei koaderepositories, parseart it projektmanifest en analysearret de ymporteare koade tegearre mei direkte en yndirekte ôfhinklikens. Snyk stipet in protte populêre programmeartalen en kin ferburgen lisinsjerisiko's identifisearje.

Trivy

• Website: github.com/knqyf263/trivy
• Lisinsje: fergees (AGPL)

Trivy is in ienfâldige, mar krêftige kwetsberensscanner foar konteners dy't maklik yntegreart yn in CI / CD-pipeline. De opmerklike eigenskip is it gemak fan ynstallaasje en operaasje: de applikaasje bestiet út ien binêr en fereasket gjin ynstallaasje fan in databank of ekstra bibleteken.

It neidiel fan Trivy's ienfâld is dat jo moatte útfine hoe't jo de resultaten yn JSON-formaat kinne parse en trochstjoere, sadat oare Kubernetes-befeiligingsark se kinne brûke.

Runtime feiligens yn Kubernetes

Falco

• Website: falco.org
• Lisinsje: fergees (Apache)

Falco is in set ark foar it befeiligjen fan cloud runtime-omjouwings. In diel fan 'e projektfamylje CNCF.

Mei help fan Sysdig's Linux kernel-nivo-ark en profilearring fan systeemoprop lit Falco jo djip yn systeemgedrach dûke. De motor foar runtime-regels is yn steat om fertochte aktiviteit te detektearjen yn applikaasjes, konteners, de ûnderlizzende host, en de Kubernetes-orkestrator.

Falco leveret folsleine transparânsje yn 'e runtime en bedrigingsdeteksje troch spesjale aginten yn te setten op Kubernetes-knooppunten foar dizze doelen. As gefolch is d'r gjin needsaak om konteners te feroarjen troch koade fan tredden yn har yn te fieren of sidecarcontainers ta te foegjen.

Linux feiligens kaders foar runtime

Dizze native kaders foar de Linux-kernel binne gjin "Kubernetes-feiligens-ark" yn 'e tradisjonele sin, mar se binne it neamen wurdich om't se in wichtich elemint binne yn' e kontekst fan runtime-feiligens, dy't opnommen is yn it Kubernetes Pod Security Policy (PSP).

AppArmor hechtet in befeiligingsprofyl oan prosessen dy't rinne yn 'e kontener, definiearje triemsysteem privileezjes, regels foar netwurk tagong, ferbinende bibleteken, ensfh. Dit is in systeem basearre op Mandatory Access Control (MAC). Mei oare wurden, it foarkomt dat ferbeane aksjes wurde útfierd.

Feiligens ferbettere Linux (SELinux) is in avansearre befeiligingsmodule yn 'e Linux-kernel, yn guon aspekten fergelykber mei AppArmor en faak fergelike mei it. SELinux is superieur oan AppArmor yn krêft, fleksibiliteit en oanpassing. De neidielen dêrfan binne lange learkurve en ferhege kompleksiteit.

Secomp en seccomp-bpf kinne jo systeemoproppen filterje, de útfiering blokkearje fan dyjingen dy't potinsjeel gefaarlik binne foar it basis-OS en net nedich binne foar de normale wurking fan brûkersapplikaasjes. Secomp is op guon manieren gelyk oan Falco, hoewol it de spesifikaasjes fan konteners net wit.

Sysdig iepen boarne

• Website: www.sysdig.com/opensource
• Lisinsje: fergees (Apache)

Sysdig is in folslein ark foar it analysearjen, diagnoaze en debuggen fan Linux-systemen (wurket ek op Windows en macOS, mar mei beheinde funksjes). It kin brûkt wurde foar detaillearre ynformaasje sammeljen, ferifikaasje en forensyske analyze. (forensysk) it basissysteem en alle konteners dy't derop rinne.

Sysdig stipet ek native container runtimes en Kubernetes metadata, en foegje ekstra dimensjes en labels ta oan alle systeemgedrachsynformaasje dy't it sammelt. D'r binne ferskate manieren om in Kubernetes-kluster te analysearjen mei Sysdig: jo kinne punt-yn-tiid capture útfiere fia kubectl capture of lansearje in ncurses-basearre ynteraktive interface mei in plugin kubectl dig.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• lisinsje: kommersjele

Aporeto biedt "feiligens skieden fan it netwurk en ynfrastruktuer." Dit betsjut dat Kubernetes-tsjinsten net allinich in lokale ID krije (dus ServiceAccount yn Kubernetes), mar ek in universele ID/fingerprint dy't brûkt wurde kin om feilich en ûnderling te kommunisearjen mei elke oare tsjinst, bygelyks yn in OpenShift-kluster.

Aporeto is yn steat om in unike ID te generearjen net allinich foar Kubernetes / konteners, mar ek foar hosts, wolkfunksjes en brûkers. Ofhinklik fan dizze identifiers en de set fan netwurkfeiligensregels ynsteld troch de behearder, sil kommunikaasje tastien of blokkearre wurde.

Calico

• Website: www.projectcalico.org
• Lisinsje: fergees (Apache)

Calico wurdt typysk ynset tidens in container orkestrator ynstallaasje, wêrtroch jo in firtuele netwurk kinne oanmeitsje dat konteners meiinoar ferbine. Njonken dizze basisnetwurkfunksjonaliteit wurket it Calico-projekt mei Kubernetes Network Policies en in eigen set fan netwurkfeiligensprofilen, stipet einpunt ACL's (tagongskontrôlelisten) en annotaasje-basearre netwurkfeiligensregels foar Ingress- en Egress-ferkear.

Silium

• Website: www.cilium.io
• Lisinsje: fergees (Apache)

Cilium fungearret as in brânmuorre foar konteners en leveret netwurkfeiligensfunksjes natuerlik ôfstimd op Kubernetes- en mikroservices-workloads. Cilium brûkt in nije Linux-kerneltechnology neamd BPF (Berkeley Packet Filter) om gegevens te filterjen, te kontrolearjen, troch te lieden en te korrigearjen.

Cilium is yn steat om belied foar netwurk tagong te brûken basearre op kontener-ID's mei Docker- of Kubernetes-etiketten en metadata. Cilium begrypt en filtert ek ferskate Layer 7-protokollen lykas HTTP of gRPC, wêrtroch jo in set fan REST-oproppen kinne definiearje dy't bygelyks tastien wurde tusken twa Kubernetes-ynset.

Istio

• Website: istio.io
• Lisinsje: fergees (Apache)

Istio is rûnom bekend foar it ymplementearjen fan it tsjinstmesh-paradigma troch it ynsetten fan in platfoarm-ûnôfhinklik kontrôlefleanmasine en it routing fan alle behearde tsjinstferkear fia dynamysk konfigurearbere Envoy-proxies. Istio profiteart fan dizze avansearre werjefte fan alle mikrotsjinsten en konteners om ferskate strategyen foar netwurkfeiligens út te fieren.

Istio's netwurkfeiligensmooglikheden omfetsje transparante TLS-fersifering om kommunikaasje automatysk te ferbetterjen tusken mikrotsjinsten nei HTTPS, en in proprietêr RBAC-identifikaasje- en autorisaasjesysteem om kommunikaasje tusken ferskate workloads yn it kluster te tastean / te wegerjen.

Noat. transl.: Om mear te learen oer Istio's feiligens-rjochte mooglikheden, lês dit artikel.

Tigera

• Website: www.tigera.io
• lisinsje: kommersjele

De "Kubernetes Firewall" neamd, dizze oplossing beklammet in nul-fertrouwen oanpak foar netwurkfeiligens.

Fergelykber mei oare native Kubernetes-netwurkoplossingen fertrout Tigera op metadata om de ferskate tsjinsten en objekten yn it kluster te identifisearjen en soarget foar deteksje fan runtimeproblemen, kontinuze kontrôle fan konformiteit, en netwurksichtberens foar multi-wolk as hybride monolithysk-containerisearre ynfrastruktuer.

Trireme

• Website: www.aporeto.com/opensource
• Lisinsje: fergees (Apache)

Trireme-Kubernetes is in ienfâldige en rjochtlinige ymplemintaasje fan de spesifikaasje fan Kubernetes Network Policies. De meast opmerklike funksje is dat - yn tsjinstelling ta ferlykbere Kubernetes netwurkfeiligensprodukten - it gjin sintraal kontrôlefleanmasine nedich is om it mesh te koördinearjen. Dit makket de oplossing triviaal skaalber. Yn Trireme wurdt dit berikt troch it ynstallearjen fan in agint op elke knooppunt dy't direkt oanslút op de TCP / IP-stapel fan 'e host.

Ofbylding propagaasje en geheimenbehear

Grafeas

• Website: grafeas.io
• Lisinsje: fergees (Apache)

Grafeas is in iepen boarne API foar auditing en behear fan software supply chain. Op basisnivo is Grafeas in helpmiddel foar it sammeljen fan metadata en auditbefinings. It kin brûkt wurde om neilibjen fan best practices foar feiligens binnen in organisaasje te folgjen.

Dizze sintralisearre boarne fan wierheid helpt fragen te beantwurdzjen lykas:

• Wa sammele en tekene foar in bepaalde kontener?
• Hat it alle befeiligingsscans en kontrôles trochjûn dy't nedich binne troch it befeiligingsbelied? Wannear? Wat wiene de resultaten?
• Wa hat it ynset yn produksje? Hokker spesifike parameters waarden brûkt by ynset?

In-toto

• Website: in-toto.github.io
• Lisinsje: fergees (Apache)

In-toto is in ramt ûntworpen om yntegriteit, autentikaasje en kontrôle te leverjen fan 'e heule software-oanbodketen. By it ynsetten fan In-toto yn in ynfrastruktuer wurdt earst in plan definiearre dat de ferskate stappen yn 'e pipeline beskriuwt (repository, CI/CD-ark, QA-ark, artefaktsamlers, ensfh.) en de brûkers (ferantwurdlike persoanen) dy't meie inisjearje se.

In-toto kontrolearret de útfiering fan it plan, en kontrolearret dat elke taak yn 'e keten allinich goed wurdt útfierd troch autorisearre personiel en dat gjin unautorisearre manipulaasjes binne útfierd mei it produkt tidens beweging.

Portieris

• Website: github.com/IBM/portieris
• Lisinsje: fergees (Apache)

Portieris is in tagongskontrôler foar Kubernetes; brûkt om kontrôles foar fertrouwen fan ynhâld te hanthavenjen. Portieris brûkt in tsjinner Notaris (wy skreaunen oan it ein oer him dit artikel - ca. oersetting) as boarne fan wierheid om fertroude en ûndertekene artefakten te falidearjen (dus goedkarde kontenerôfbyldings).

As in wurkdruk wurdt oanmakke of wizige yn Kubernetes, downloadt Portieris de ûndertekeningynformaasje en ynhâldsbetrouwenbelied foar de oanfrege kontenerôfbyldings en makket, as nedich, op 'e flecht feroarings oan it JSON API-objekt om ûndertekene ferzjes fan dy ôfbyldings út te fieren.

Vault

• Website: www.vaultproject.io
• Lisinsje: fergees (MPL)

Vault is in feilige oplossing foar it bewarjen fan priveeynformaasje: wachtwurden, OAuth-tokens, PKI-sertifikaten, tagongsakkounts, Kubernetes-geheimen, ensfh. Vault stipet in protte avansearre funksjes, lykas it leasen fan efemere feiligenstokens of it organisearjen fan kaairotaasje.

Mei help fan it Helm-diagram kin Vault wurde ynset as in nije ynset yn in Kubernetes-kluster mei Consul as backend-opslach. It stipet native Kubernetes-boarnen lykas ServiceAccount-tokens en kin sels fungearje as de standertwinkel foar Kubernetes-geheimen.

Noat. transl.: Trouwens, juster hat it bedriuw HashiCorp, dat Vault ûntwikkelet, wat ferbetterings oankundige foar it brûken fan Vault yn Kubernetes, en benammen relatearje se oan it Helm-diagram. Lês mear yn developer blog.

Kubernetes Security Audit

Kube-bank

• Website: github.com/aquasecurity/kube-bench
• Lisinsje: fergees (Apache)

Kube-bench is in Go-applikaasje dy't kontrolearret oft Kubernetes feilich is ynset troch tests út in list út te fieren CIS Kubernetes Benchmark.

Kube-bench siket nei ûnfeilige konfiguraasjeynstellingen ûnder klusterkomponinten (etcd, API, controllerbehearder, ensfh.), Twifele triem tagongsrjochten, net beskerme akkounts as iepen havens, boarnekwota's, ynstellings foar it beheinen fan it oantal API-oproppen om te beskermjen tsjin DoS-oanfallen , ensfh.

Kube-jager

• Website: github.com/aquasecurity/kube-hunter
• Lisinsje: fergees (Apache)

Kube-jager jaget op potinsjele kwetsberens (lykas útfiering fan koade op ôfstân of iepenbiering fan gegevens) yn Kubernetes-klusters. Kube-hunter kin wurde útfierd as in scanner op ôfstân - yn dat gefal sil it it kluster evaluearje út it eachpunt fan in oanfaller fan tredden - of as in pod binnen it kluster.

In ûnderskiedend skaaimerk fan Kube-hunter is syn "aktive jacht" modus, wêryn't it net allinich problemen rapporteart, mar ek besiket te profitearjen fan kwetsberens ûntdutsen yn 'e doelgroep dy't har operaasje mooglik skealje kinne. Dus brûk mei foarsichtigens!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Lisinsje: fergees (MIT)

Kubeaudit is in konsole-ark oarspronklik ûntwikkele by Shopify om Kubernetes-konfiguraasje te kontrolearjen foar ferskate feiligensproblemen. Bygelyks, it helpt te identifisearjen konteners dy't ûnbeheind rinne, rinne as root, misbrûk fan privileezjes, of it brûken fan de standert ServiceAccount.

Kubeaudit hat oare nijsgjirrige funksjes. It kin bygelyks lokale YAML-bestannen analysearje, konfiguraasjefouten identifisearje dy't liede kinne ta feiligensproblemen en automatysk reparearje.

Kubesec

• Website: kubesec.io
• Lisinsje: fergees (Apache)

Kubesec is in spesjaal ark yn dat it direkt YAML-bestannen scant dy't Kubernetes-boarnen beskriuwe, op syk nei swakke parameters dy't de feiligens kinne beynfloedzje.

It kin bygelyks tefolle privileezjes en tagongsrjochten ûntdekke dy't oan in pod binne ferliend, in kontener útfiere mei root as standertbrûker, ferbining meitsje mei de netwurknammeromte fan 'e host, of gefaarlike mounts lykas /proc host of Docker socket. In oar nijsgjirrich skaaimerk fan Kubesec is de online demo-tsjinst, wêryn jo YAML kinne uploade en it direkt analysearje.

Iepenje Policy Agent

• Website: www.openpolicyagent.org
• Lisinsje: fergees (Apache)

It konsept fan OPA (Open Policy Agent) is om befeiligingsbelied en bêste praktiken foar feiligens te ûntkoppelen fan in spesifyk runtime-platfoarm: Docker, Kubernetes, Mesosphere, OpenShift, of elke kombinaasje dêrfan.

Jo kinne bygelyks OPA ynsette as in backend foar de Kubernetes-tagongscontroller, en delegearje befeiligingsbeslissingen deroan. Op dizze manier kin de OPA-agint oanfragen op 'e flecht falidearje, ôfwize en sels wizigje, en soargje derfoar dat de opjûne feiligensparameters foldien wurde. OPA's feiligensbelied is skreaun yn har eigen DSL-taal, Rego.

Noat. transl.: Wy skreau mear oer OPA (en SPIFFE) yn dit spul.

Wiidweidige kommersjele ark foar Kubernetes feiligens analyze

Wy besletten om in aparte kategory te meitsjen foar kommersjele platfoarms, om't se typysk meardere feiligensgebieten dekke. In algemien idee fan har mooglikheden kin krigen wurde út 'e tabel:

* Avansearre ûndersyk en post mortem analyze mei folsleine systeem oprop kaping.

Aqua Feiligens

• Website: www.bilker.net
• lisinsje: kommersjele

Dit kommersjele ark is ûntworpen foar konteners en wolkwurkloads. It soarget foar:

• Ofbyldingsscannen yntegrearre mei in kontenerregister of CI / CD-pipeline;
• Runtime beskerming mei sykjen nei feroarings yn konteners en oare fertochte aktiviteit;
• Container-native firewall;
• Feiligens foar serverless yn wolktsjinsten;
• Konformiteitstests en auditing kombinearre mei barren logging.

Noat. transl.: It is ek de muoite wurdich opskriuwen dat der binne frije komponint fan it produkt neamd MicroScanner, wêrtroch jo kontenerôfbyldings kinne scannen foar kwetsberens. In ferliking fan syn mooglikheden mei betelle ferzjes wurdt presintearre yn dizze tabel.

Kapsule 8

• Website: capsule8.com
• lisinsje: kommersjele

Capsule8 yntegreart yn 'e ynfrastruktuer troch de detektor te ynstallearjen op in lokale of wolk Kubernetes-kluster. Dizze detektor sammelet host- en netwurktelemetry, en korrelearret it mei ferskate soarten oanfallen.

It Capsule8-team sjocht har taak as iere opspoaring en previnsje fan oanfallen mei nije (0-dei) kwetsberens. Capsule8 kin bywurke befeiligingsregels direkt downloade nei detektors yn reaksje op nij ûntdutsen bedrigingen en software-kwetsberheden.

Cavirin

• Website: www.cavirin.com
• lisinsje: kommersjele

Cavirin fungearret as oannimmer fan it bedriuw foar ferskate ynstânsjes belutsen by feiligensnoarmen. Net allinich kin it ôfbyldings scannen, mar it kin ek yntegrearje yn 'e CI / CD-pipeline, blokkearje net-standertôfbyldings foardat se sletten repositories ynfiere.

De befeiligingssuite fan Cavirin brûkt masine learen om jo posysje foar cyberfeiligens te beoardieljen, en biedt tips om feiligens te ferbetterjen en it neilibjen fan feiligensnoarmen te ferbetterjen.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• lisinsje: kommersjele

Cloud Security Command Center helpt feiligensteams gegevens te sammeljen, bedrigingen te identifisearjen en se te eliminearjen foardat se it bedriuw skealje.

Lykas de namme al fermoeden docht, is Google Cloud SCC in unifoarme kontrôlepaniel dat in ferskaat oan befeiligingsrapporten, asset-accountingmotoren en befeiligingssystemen fan tredden kin yntegrearje en beheare út ien sintralisearre boarne.

De ynteroperabele API oanbean troch Google Cloud SCC makket it maklik om befeiligingseveneminten te yntegrearjen dy't komme út ferskate boarnen, lykas Sysdig Secure (containerfeiligens foar cloud-native applikaasjes) of Falco (Open Source runtime feiligens).

Layered Insight (Qualys)

• Website: layeredinsight.com
• lisinsje: kommersjele

Layered Insight (no diel fan Qualys Inc) is boud op it konsept fan "ynbêde feiligens." Nei it scannen fan 'e orizjinele ôfbylding foar kwetsberens mei statistyske analyze en CVE-kontrôles, ferfangt Layered Insight it mei in ynstruminteare ôfbylding dy't de agint omfettet as in binêr.

Dizze agint befettet runtime-feiligenstests om kontenernetwurkferkear, I/O-streamen en applikaasjeaktiviteit te analysearjen. Derneist kin it ekstra feiligenskontrôles útfiere oantsjutte troch de ynfrastruktuerbehearder of DevOps-teams.

NeuVector

• Website: neuvector.com
• lisinsje: kommersjele

NeuVector kontrolearret kontenerfeiligens en leveret runtime beskerming troch analysearjen fan netwurkaktiviteit en applikaasjegedrach, it meitsjen fan in yndividueel feiligensprofyl foar elke kontener. It kin ek bedrigingen op himsels blokkearje, fertochte aktiviteit isolearje troch lokale firewallregels te feroarjen.

NeuVector's netwurkyntegraasje, bekend as Security Mesh, is by steat fan djippe pakketanalyse en laach 7-filtering foar alle netwurkferbiningen yn 'e tsjinstmesh.

StackRox

• Website: www.stackrox.com
• lisinsje: kommersjele

It StackRox-containerbefeiligingsplatfoarm stribbet dernei om de heule libbenssyklus fan Kubernetes-applikaasjes yn in kluster te dekken. Lykas oare kommersjele platfoarms op dizze list genereart StackRox in runtimeprofyl basearre op waarnommen kontenergedrach en makket automatysk in alaarm foar elke ôfwiking.

Derneist analysearret StackRox Kubernetes-konfiguraasjes mei it Kubernetes CIS en oare regelboeken om kontenerkonformiteit te evaluearjen.

Sysdig Secure

• Website: sysdig.com/products/secure
• lisinsje: kommersjele

Sysdig Secure beskermet applikaasjes troch de heule kontener en Kubernetes-libbenssyklus. Hy scant ôfbyldings containers, jout runtime beskerming neffens masine learen gegevens, fiert cream. ekspertize om kwetsberens te identifisearjen, bedrigingen blokkearje, monitors neilibjen fan fêststelde noarmen en audits aktiviteit yn mikroservices.

Sysdig Secure yntegreart mei CI / CD-ark lykas Jenkins en kontrolearret ôfbyldings laden fan Docker-registraasjes, foarkomt dat gefaarlike ôfbyldings yn produksje ferskine. It leveret ek wiidweidige runtime-feiligens, ynklusyf:

• ML-basearre runtime profilearring en anomaly-deteksje;
• runtime-belied basearre op systeemeveneminten, K8s-audit API, mienskiplike mienskipsprojekten (FIM - monitoring fan triemintegriteit; kryptojacking) en ramt MITER AT&CK;
• reaksje en oplossing fan ynsidinten.

Tenable Container Security

• Website: www.tenable.com/products/tenable-io/container-security
• lisinsje: kommersjele

Foar de komst fan konteners wie Tenable rûnom bekend yn 'e yndustry as it bedriuw efter Nessus, in populêr ark foar kwetsberensjacht en feiligenskontrôle.

Tenable Container Security brûkt de ekspertize fan kompjûterfeiligens fan it bedriuw om in CI/CD-pipeline te yntegrearjen mei databases foar kwetsberens, spesjalisearre pakketten foar detectie fan malware, en oanbefellings foar it oplossen fan feiligensbedrigingen.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• lisinsje: kommersjele

Twistlock promovearret himsels as in platfoarm rjochte op wolktsjinsten en konteners. Twistlock stipet ferskate wolkproviders (AWS, Azure, GCP), container orkestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverless runtimes, mesh-frameworks en CI / CD-ark.

Neist konvinsjonele befeiligingstechniken fan ûndernimming, lykas CI / CD-pipeline-yntegraasje of ôfbyldingsscannen, brûkt Twistlock masine-learen om kontenerspesifike gedrachspatroanen en netwurkregels te generearjen.

In skoft lyn waard Twistlock kocht troch Palo Alto Networks, dy't de projekten Evident.io en RedLock hat. It is noch net bekend hoe't dizze trije platfoarms krekt yntegreare wurde sille Prisma út Palo Alto.

Help mei it bouwen fan de bêste katalogus fan Kubernetes-befeiligingsark!

Wy stribje dernei om dizze katalogus sa folslein mooglik te meitsjen, en hjirfoar hawwe wy jo help nedich! Kontakt mei ús opnimme (@sysdig) as jo in koele ark yn gedachten hawwe dat it wurdich is op te nimmen yn dizze list, of jo fine in flater / ferâldere ynformaasje.

Jo kinne ek ynskriuwe op ús moanlikse nijsbrief mei nijs út it cloud-native ekosysteem en ferhalen oer nijsgjirrige projekten út 'e wrâld fan Kubernetes feiligens.

PS fan oersetter

Lês ek op ús blog:

• «In yntroduksje ta Kubernetes netwurkbelied foar befeiligingsprofessionals";
• «Docker en Kubernetes yn feiligensgefoelige omjouwings";
• «9 Kubernetes Feiligens Best Practices";
• «11 manieren om (net) in slachtoffer te wurden fan in Kubernetes-hack";
• «OPA en SPIFFE binne twa nije projekten by CNCF foar wolkapplikaasjefeiligens".

Boarne: www.habr.com