33+ uirlisí slándála Kubernetes

Nóta. aistrigh.: Má tá tú ag smaoineamh ar shlándáil i mbonneagar Kubernetes-bhunaithe, is pointe tosaigh iontach é an forbhreathnú iontach seo ó Sysdig chun breathnú tapa ar na réitigh atá ann faoi láthair. Áiríonn sé córais chasta ó imreoirí aitheanta margaidh agus fóntais i bhfad níos measartha a réitíonn fadhb ar leith. Agus sna tuairimí, mar i gcónaí, beidh áthas orainn a chloisteáil faoi do thaithí ag baint úsáide as na huirlisí seo agus naisc le tionscadail eile a fheiceáil.

Táirgí bogearraí slándála Kubernetes... tá an oiread sin acu ann, agus a spriocanna, a scóip agus a gceadúnais féin ag gach ceann acu.

Sin an fáth a shocraigh muid an liosta seo a chruthú agus tionscadail foinse oscailte agus ardáin tráchtála ó dhíoltóirí éagsúla a áireamh. Tá súil againn go gcabhróidh sé leat na cinn is mó spéise a aithint agus tú a chur sa treo ceart bunaithe ar do shainriachtanais slándála Kubernetes.

Категории

Chun an liosta a dhéanamh níos éasca le nascleanúint a dhéanamh, eagraítear na huirlisí de réir príomhfheidhm agus feidhmchláir. Fuarthas na hailt seo a leanas:

• scanadh íomhá Kubernetes agus anailís statach;
• slándáil am rite;
• slándáil líonra Kubernetes;
• Dáileadh íomhá agus bainistíocht rúin;
• iniúchadh slándála Kubernetes;
• Táirgí tráchtála cuimsitheacha.

Rachaimid i mbun gnó:

Scanadh íomhánna Kubernetes

Ancaire

• Láithreán Gréasáin: ancaire.com
• Ceadúnas: saor in aisce (Apache) agus tairiscint tráchtála

Déanann Anchore anailís ar íomhánna coimeádáin agus ceadaíonn sé seiceálacha slándála bunaithe ar bheartais atá sainithe ag an úsáideoir.

Chomh maith leis an scanadh is gnách ar íomhánna coimeádáin le haghaidh leochaileachtaí aitheanta ó bhunachar sonraí CVE, déanann Anchore go leor seiceálacha breise mar chuid dá bheartas scanadh: seiceálann sé an Dockerfile, sceitheanna inchreidte, pacáistí na dteangacha ríomhchlárúcháin a úsáidtear (npm, maven, etc. .), ceadúnais bogearraí agus go leor eile .

Glan

• Láithreán Gréasáin: coreos.com/clair (anois faoi thutelage Red Hat)
• Ceadúnas: saor in aisce (Apache)

Bhí Clair ar cheann de na chéad tionscadail Foinse Oscailte le haghaidh scanadh íomhánna. Tugtar an scanóir slándála taobh thiar de chlár íomhá Quay air (chomh maith ó CoreOS - thart. aistriúchán). Is féidir le Clair faisnéis CVE a bhailiú ó raon leathan foinsí, lena n-áirítear liostaí de leochaileachtaí a bhaineann go sonrach le dáileadh Linux arna chothabháil ag foirne slándála Debian, Red Hat, nó Ubuntu.

Murab ionann agus Anchore, díríonn Clair go príomha ar leochaileachtaí a aimsiú agus sonraí a mheaitseáil le CVEanna. Mar sin féin, tugann an táirge roinnt deiseanna d'úsáideoirí feidhmeanna a leathnú ag baint úsáide as tiománaithe plug-in.

dagda

• Láithreán Gréasáin: github.com/eliasgranderubio/dagda
• Ceadúnas: saor in aisce (Apache)

Déanann Dagda anailís statach ar íomhánna coimeádáin le haghaidh leochaileachtaí aitheanta, Trojans, víris, malware agus bagairtí eile.

Déanann dhá ghné shuntasacha idirdhealú idir Dagda agus uirlisí eile dá samhail:

• Comhtháthaíonn sé go foirfe le ClamAV, ag gníomhú ní hamháin mar uirlis chun íomhánna coimeádán a scanadh, ach freisin mar antivirus.
• Soláthraíonn sé freisin cosaint runtime trí imeachtaí fíor-ama a fháil ón Deamhan Docker agus comhtháthú le Falco (Féach thíos) chun imeachtaí slándála a bhailiú agus an coimeádán ar siúl.

CubeXray

• Láithreán Gréasáin: github.com/jfrog/kubexray
• Ceadúnas: Saor in aisce (Apache), ach teastaíonn sonraí ó JFrog Xray (táirge tráchtála)

Éisteann KubeXray le himeachtaí ó fhreastalaí Kubernetes API agus, ag baint úsáide as meiteashonraí ó JFrog Xray, cinntíonn sé nach seoltar ach pods a mheaitseálann an polasaí reatha.

Ní hamháin go ndéanann KubeXray iniúchadh ar choimeádáin nua nó nuashonraithe in imscaradh (cosúil leis an rialtóir iontrála i Kubernetes), ach déanann sé seiceáil dinimiciúil freisin ar choimeádáin reatha le haghaidh comhlíonadh na mbeartas slándála nua, ag baint acmhainní a thagraíonn d'íomhánna leochaileacha.

Snyk

• Láithreán Gréasáin: snyk.io
• Ceadúnas: saor in aisce (Apache) agus leaganacha tráchtála

Is scanóir leochaileachta neamhghnách é Snyk sa mhéid is go díríonn sé go sonrach ar an bpróiseas forbartha agus go gcuirtear chun cinn é mar "réiteach riachtanach" d'fhorbróirí.

Nascann Snyk go díreach le stórtha cód, parsálann sé léiriú an tionscadail agus déanann sé anailís ar an gcód allmhairithe mar aon le spleáchais dhíreacha agus indíreacha. Tacaíonn Snyk le go leor teangacha ríomhchlárúcháin a bhfuil tóir orthu agus is féidir leis rioscaí ceadúnais ceilte a aithint.

Fánach

• Láithreán Gréasáin: github.com/knqyf263/trivy
• Ceadúnas: saor in aisce (AGPL)

Is scanóir leochaileachta simplí ach cumhachtach é Trivy do choimeádáin a chomhtháthaíonn go héasca i bpíblíne CI/CD. Is í an ghné shuntasach atá aige ná a éascaíocht a bhaineann le suiteáil agus oibriú: tá an feidhmchlár comhdhéanta de dhénártha amháin agus ní gá bunachar sonraí ná leabharlanna breise a shuiteáil.

Is é an míbhuntáiste a bhaineann le simplíocht Trivy ná go gcaithfidh tú a dhéanamh amach conas na torthaí a pharsáil agus a chur ar aghaidh i bhformáid JSON ionas gur féidir le huirlisí slándála Kubernetes eile iad a úsáid.

Slándáil runtime i Kubernetes

Falco

• Láithreán Gréasáin: falco.org
• Ceadúnas: saor in aisce (Apache)

Is sraith uirlisí é Falco chun timpeallachtaí ama rite néal a dhaingniú. Cuid de theaghlach an tionscadail CNCF.

Ag baint úsáide as uirlisiú leibhéal eithne Linux Sysdig agus próifíliú glaonna córais, ligeann Falco duit dul go domhain in iompar an chórais. Tá a inneall rialacha am rite in ann gníomhaíocht amhrasach a bhrath i bhfeidhmchláir, i gcoimeádáin, san óstach bunúsach, agus san cheolfhoireann Kubernetes.

Soláthraíonn Falco trédhearcacht iomlán san am rite agus braite bagairtí trí ghníomhairí speisialta a imscaradh ar nóid Kubernetes chun na gcríoch sin. Mar thoradh air sin, ní gá coimeádáin a mhodhnú trí chód tríú páirtí a thabhairt isteach nó coimeádáin taobhcharr a chur leis.

Creataí slándála Linux le haghaidh am rite

Ní “uirlisí slándála Kubernetes” iad na creataí dúchasacha seo don eithne Linux sa chiall thraidisiúnta, ach is fiú iad a lua toisc gur gné thábhachtach iad i gcomhthéacs slándála ama rite, atá san áireamh i mBeartas Slándála Kubernetes Pod (PSP).

AppArmor cuireann sé próifíl slándála i gceangal le próisis a ritheann sa choimeádán, lena sainítear pribhléidí an chórais comhad, rialacha rochtana líonra, nascann leabharlanna, etc. Is córas é seo atá bunaithe ar Rialú Rochtana Éigeantaigh (MAC). I bhfocail eile, cuireann sé cosc ​​ar ghníomhartha toirmiscthe a dhéanamh.

Linux feabhsaithe le slándáil (SELinux) is modúl slándála ardleibhéil é san eithne Linux, atá cosúil i ngnéithe áirithe le AppArmor agus go minic i gcomparáid leis. Tá SELinux níos fearr ná AppArmor i gcumhacht, solúbthacht agus saincheaptha. Is iad na míbhuntáistí a bhaineann leis ná cuar foghlama fada agus castacht mhéadaithe.

Seccomp agus ligeann seccomp-bpf duit glaonna córais a scagadh, bac a chur ar fhorghníomhú na ndaoine sin a d'fhéadfadh a bheith contúirteach don OS bonn agus nach bhfuil ag teastáil le haghaidh gnáthoibriú na n-iarratas úsáideora. Tá Seccomp cosúil le Falco ar roinnt bealaí, cé nach bhfuil a fhios aige sonraí na gcoimeádán.

Sysdig foinse oscailte

• Láithreán Gréasáin: www.sysdig.com/opensource
• Ceadúnas: saor in aisce (Apache)

Is uirlis iomlán é Sysdig chun córais Linux a anailísiú, a dhiagnóisiú agus a dhífhabhtú (oibríonn sé ar Windows agus macOS freisin, ach le feidhmeanna teoranta). Is féidir é a úsáid le haghaidh bailiú faisnéise mionsonraithe, fíorú agus anailís fhóiréinseach. (fóiréinsic) an bunchóras agus aon choimeádáin a ritheann air.

Tacaíonn Sysdig ó dhúchas freisin le hamanna rite coimeádán agus meiteashonraí Kubernetes, ag cur toisí agus lipéid bhreise leis an bhfaisnéis iompraíochta córais go léir a bhailíonn sé. Tá roinnt bealaí ann chun anailís a dhéanamh ar bhraisle Kubernetes ag baint úsáide as Sysdig: is féidir leat gabháil pointe-in-am a dhéanamh trí ghabháil kubectl nó lainseáil comhéadan idirghníomhach ncurses-bhunaithe ag baint úsáide as breiseán tochailt kubectl.

Slándáil Líonra Kubernetes

Aporeto

• Láithreán Gréasáin: www.aporeto.com
• Ceadúnas: tráchtála

Cuireann Aporeto "slándáil scartha ón ngréasán agus ón mbonneagar." Ciallaíonn sé seo go bhfaigheann seirbhísí Kubernetes ní amháin aitheantas áitiúil (i.e. ServiceAccount in Kubernetes), ach freisin ID uilíoch/méarloirg is féidir a úsáid chun cumarsáid a dhéanamh go slán agus go frithpháirteach le haon seirbhís eile, mar shampla i mbraisle OpenShift.

Tá Aporeto in ann aitheantas uathúil a ghiniúint, ní hamháin do Kubernetes/coimeádáin, ach freisin d’óstaigh, feidhmeanna scamall agus úsáideoirí. Ag brath ar na haitheantóirí sin agus ar an tsraith rialacha slándála líonra arna leagan síos ag an riarthóir, ceadófar nó cuirfear bac ar chumarsáid.

Calico

• Láithreán Gréasáin: www.projectcalico.org
• Ceadúnas: saor in aisce (Apache)

Is gnách go n-imscartar Calico le linn suiteála ceoltóra coimeádáin, rud a ligeann duit líonra fíorúil a chruthú a idirnascann coimeádáin. Chomh maith leis an bhfeidhmiúlacht líonra bhunúsach seo, oibríonn tionscadal Calico le Polasaithe Líonra Kubernetes agus a shraith próifílí slándála líonra féin, tacaíonn sé le ACLanna críochphointí (liostaí rialaithe rochtana) agus rialacha slándála líonra bunaithe ar nótaí do thrácht Ingress agus Egress.

Ciliam

• Láithreán Gréasáin: www.cilium.io
• Ceadúnas: saor in aisce (Apache)

Feidhmíonn Cilium mar bhalla dóiteáin do choimeádáin agus cuireann sé gnéithe slándála líonra ar fáil atá in oiriúint ó dhúchas d'ualaí oibre Kubernetes agus microservices. Úsáideann Cilium teicneolaíocht eithne Linux nua ar a dtugtar BPF (Berkeley Packet Filter) chun sonraí a scagadh, a mhonatóiriú, a atreorú agus a cheartú.

Tá Cilium in ann beartais rochtana líonra a imscaradh bunaithe ar IDanna coimeádán ag baint úsáide as lipéid agus meiteashonraí Docker nó Kubernetes. Tuigeann agus scagann Cilium prótacail éagsúla Sraith 7 ar nós HTTP nó gRPC freisin, rud a ligeann duit sraith glaonna REST a shainiú a cheadófar idir dhá imscaradh Kubernetes, mar shampla.

Istio

• Láithreán Gréasáin: aiste.io
• Ceadúnas: saor in aisce (Apache)

Tá cáil ar Istio go forleathan as paraidím na mogaill seirbhíse a chur i bhfeidhm trí eitleán rialaithe neamhspleách ardáin a imscaradh agus an trácht seirbhíse bainistithe go léir a ródú trí sheachvótálaithe Toscaire atá inchumraithe go dinimiciúil. Baineann Istio leas as an dearcadh ardleibhéil seo ar na micrisheirbhísí agus na coimeádáin go léir chun straitéisí slándála líonra éagsúla a chur i bhfeidhm.

Áirítear ar chumais slándála líonra Istio criptiú TLS trédhearcach chun cumarsáid a uasghrádú go huathoibríoch idir micreasheirbhísí go HTTPS, agus córas sainaitheanta agus údaraithe RBAC dílseánaigh chun cumarsáid idir ualaí oibre éagsúla sa bhraisle a cheadú/a dhiúltú.

Nóta. aistrigh.: Le tuilleadh a fhoghlaim faoi chumais Istio atá dírithe ar shlándáil, léigh an t-alt seo.

Tíogair

• Láithreán Gréasáin: www.tigera.io
• Ceadúnas: tráchtála

Tugtar “Balla Dóiteáin Kubernetes” air, cuireann an réiteach seo béim ar chur chuige gan iontaoibh maidir le slándáil líonra.

Cosúil le réitigh líonraithe dúchais Kubernetes eile, bíonn Tigera ag brath ar mheiteashonraí chun na seirbhísí agus na cuspóirí éagsúla sa bhraisle a aithint agus soláthraíonn sé braiteadh eisiúint ama rite, seiceáil leanúnach comhlíonta, agus infheictheacht líonra le haghaidh bonneagair il-scamall nó hibrideach monolithic-chuimsitheach.

Trireme

• Láithreán Gréasáin: www.aporeto.com/opensource
• Ceadúnas: saor in aisce (Apache)

Is cur i bhfeidhm simplí agus simplí é Trireme-Kubernetes de shonraíocht Pholasaithe Líonra Kubernetes. Is í an ghné is suntasaí ná - murab ionann agus táirgí slándála líonra Kubernetes den chineál céanna - nach dteastaíonn eitleán rialaithe lárnach chun an mogalra a chomhordú. Déanann sé seo an réiteach inscálaithe go fánach. I Trireme, baintear é seo amach trí ghníomhaire a shuiteáil ar gach nód a nascann go díreach le stack TCP/IP an óstaigh.

Iomadú Íomhá agus Bainistíocht Rúin

Grafeas

• Láithreán Gréasáin: grafas.io
• Ceadúnas: saor in aisce (Apache)

Is API foinse oscailte é Grafeas le haghaidh iniúchta agus bainistíochta slabhra soláthair bogearraí. Ag leibhéal bunúsach, is uirlis é Grafeas chun meiteashonraí agus torthaí iniúchta a bhailiú. Is féidir é a úsáid chun comhlíonadh na gcleachtas slándála is fearr laistigh d’eagraíocht a rianú.

Cuidíonn foinse lárnach na fírinne seo le ceisteanna mar:

• Cé a bhailigh agus a shínigh do choimeádán ar leith?
• Ar éirigh leis gach scanadh agus seiceáil slándála a éilíonn an beartas slándála? Cathain? Cad iad na torthaí?
• Cé a d'imscar chuig táirgeadh é? Cad iad na paraiméadair ar leith a úsáideadh le linn imscaradh?

I-toto

• Láithreán Gréasáin: in-toto.github.io
• Ceadúnas: saor in aisce (Apache)

Is creat é In-toto atá deartha chun sláine, fíordheimhniú agus iniúchadh an tslabhra soláthair bogearraí iomlán a sholáthar. Agus In-toto á imscaradh i mbonneagar, sainmhínítear plean ar dtús a chuireann síos ar na céimeanna éagsúla atá sa phíblíne (stór, uirlisí CI/CD, uirlisí QA, bailitheoirí déantán, etc.) agus na húsáideoirí (daoine freagracha) a bhfuil cead acu déanamh amhlaidh. iad a thionscnamh.

Déanann In-toto monatóireacht ar chur i gcrích an phlean, ag fíorú gur pearsanra údaraithe amháin a dhéanann gach tasc sa slabhra i gceart agus nach ndearnadh aon ionramhálacha neamhúdaraithe leis an táirge le linn gluaiseachta.

Portieris

• Láithreán Gréasáin: github.com/IBM/portieris
• Ceadúnas: saor in aisce (Apache)

Is rialtóir iontrála é Portieris do Kubernetes; a úsáidtear chun seiceálacha muiníne inneachair a fhorfheidhmiú. Úsáideann Portieris freastalaí Nótaire (scríobh muid mar gheall air ag an deireadh An t-alt seo - thart. aistriúchán) mar fhoinse fírinne chun déantáin iontaofa agus sínithe a bhailíochtú (i.e. íomhánna coimeádáin ceadaithe).

Nuair a chruthaítear nó nuair a athraítear ualach oibre in Kubernetes, íoslódálann Portieris an fhaisnéis sínithe agus an beartas muiníne inneachair le haghaidh na n-íomhánna coimeádáin iarrtha agus, más gá, déanann sé athruithe ar an eitilt ar oibiacht JSON API chun leaganacha sínithe de na híomhánna sin a rith.

Bóthair

• Láithreán Gréasáin: www.vaultproject.io
• Ceadúnas: saor in aisce (MPL)

Is réiteach slán é Vault chun faisnéis phríobháideach a stóráil: pasfhocail, comharthaí OAuth, teastais PKI, cuntais rochtana, rúin Kubernetes, etc. Tacaíonn cruinneachán le go leor ardghnéithe, mar shampla comharthaí slándála gearrthéarmacha a léasú nó eochairuainíocht a eagrú.

Ag baint úsáide as an gcairt Helm, is féidir Vault a imscaradh mar imscaradh nua i mbraisle Kubernetes le Consal mar stóráil backend. Tacaíonn sé le hacmhainní dúchais Kubernetes cosúil le comharthaí ServiceAccount agus féadann sé feidhmiú mar an stór réamhshocraithe do rúin Kubernetes fiú.

Nóta. aistrigh.: Dála an scéil, díreach inné d'fhógair an chuideachta HashiCorp, a fhorbraíonn Vault, roinnt feabhsuithe maidir le húsáid Vault i Kubernetes, agus go háirithe baineann siad leis an gcairt Helm. Léigh tuilleadh i blag forbróra.

Iniúchadh Slándála Kubernetes

Ciúb-binse

• Láithreán Gréasáin: github.com/aquasecurity/kube-bench
• Ceadúnas: saor in aisce (Apache)

Is feidhmchlár Go é Kube-bench a seiceálann cibé an bhfuil Kubernetes imlonnaithe go slán trí thástálacha a rith ó liosta Tagarmharc CIS Kubernetes.

Lorgaíonn Kube-bench socruithe cumraíochta neamhdhaingean i measc na gcomhpháirteanna braisle (srl, API, bainisteoir rialaitheora, srl.), cearta rochtana amhrasacha ar chomhaid, cuntais gan chosaint nó calafoirt oscailte, cuótaí acmhainne, socruithe chun líon na nglaonna API a theorannú chun cosaint a dhéanamh ar ionsaithe DoS , etc.

Ciúb-sealgair

• Láithreán Gréasáin: github.com/aquasecurity/kube-hunter
• Ceadúnas: saor in aisce (Apache)

Bíonn Kube-hunter ag lorg leochaileachtaí féideartha (cosúil le forghníomhú cianchóid nó nochtadh sonraí) i mbraislí Kubernetes. Is féidir Kube-Hunter a reáchtáil mar scanóir cianda - agus sa chás sin déanfaidh sé an braisle a mheas ó thaobh ionsaitheoir tríú páirtí - nó mar phod taobh istigh den bhraisle.

Gné shainiúil de Kube-hunter ná a mhodh “seilg ghníomhach”, ina dtuairiscíonn sé ní hamháin fadhbanna, ach déanann sé iarracht freisin leas a bhaint as leochaileachtaí a aimsítear sa bhraisle sprice a d’fhéadfadh dochar a dhéanamh dá oibríocht. Mar sin bain úsáid as go cúramach!

Kubeaudit

• Láithreán Gréasáin: github.com/Shopify/kubeaudit
• Ceadúnas: saor in aisce (MIT)

Is uirlis consól é Kubeaudit a forbraíodh ar dtús ag Shopify chun cumraíocht Kubernetes a iniúchadh le haghaidh saincheisteanna slándála éagsúla. Mar shampla, cabhraíonn sé le coimeádáin a ritheann gan srian a aithint, ag rith mar fhréamh, ag mí-úsáid pribhléidí, nó ag baint úsáide as an ServiceAccount réamhshocraithe.

Tá gnéithe suimiúla eile ag Kubeaudit. Mar shampla, is féidir leis comhaid YAML áitiúla a anailísiú, lochtanna cumraíochta a aithint a d’fhéadfadh fadhbanna slándála a bheith mar thoradh orthu, agus iad a shocrú go huathoibríoch.

Cubesec

• Láithreán Gréasáin: cubesec.io
• Ceadúnas: saor in aisce (Apache)

Is uirlis speisialta é Kubesec sa mhéid is go ndéanann sé scanadh díreach ar chomhaid YAML a chuireann síos ar acmhainní Kubernetes, ag lorg paraiméadair lag a d'fhéadfadh cur isteach ar shlándáil.

Mar shampla, is féidir leis pribhléidí agus ceadanna iomarcacha a thugtar do phod a bhrath, coimeádán le fréamh a rith mar an t-úsáideoir réamhshocraithe, nascadh le spás ainm líonra an óstaigh, nó gléasanna contúirteacha mar /proc soicéad ósta nó Docker. Gné shuimiúil eile de Kubesec is ea an tseirbhís taispeána atá ar fáil ar líne, inar féidir leat YAML a uaslódáil agus anailís a dhéanamh air láithreach.

Gníomhaire Beartais Oscailte

• Láithreán Gréasáin: www.openpolicyagent.org
• Ceadúnas: saor in aisce (Apache)

Is é coincheap OPA (Gníomhaire Beartais Oscailte) ná beartais slándála agus dea-chleachtais slándála a dhíchúpláil ó ardán ama rite ar leith: Docker, Kubernetes, Mesosphere, OpenShift, nó aon teaglaim díobh sin.

Mar shampla, is féidir leat OPA a imscaradh mar inneall do rialtóir iontrála Kubernetes, ag tarmligean cinntí slándála chuige. Ar an mbealach seo, is féidir leis an ngníomhaire OPA iarratais ar an eitilt a bhailíochtú, a dhiúltú, agus fiú a mhodhnú, ag cinntiú go gcomhlíontar na paraiméadair slándála sonraithe. Tá beartais slándála OPA scríofa sa teanga DSL dílseánaigh, Rego.

Nóta. aistrigh.: Scríobhamar níos mó faoi OPA (agus SPIFFE) i an stuif seo.

Uirlisí cuimsitheacha tráchtála le haghaidh anailíse slándála Kubernetes

Shocraigh muid catagóir ar leith a chruthú d’ardáin thráchtála toisc go gclúdaíonn siad go hiondúil réimsí slándála iolracha. Is féidir smaoineamh ginearálta ar a gcumas a fháil ón tábla:

* Ardscrúdú agus anailís iarbháis le críochnú fuadach glaonna córais.

Slándáil Aqua

• Láithreán Gréasáin: www.aquasec.com
• Ceadúnas: tráchtála

Tá an uirlis tráchtála seo deartha le haghaidh coimeádáin agus ualaí oibre scamall. Soláthraíonn sé:

• Scanadh íomhá comhtháite le clárlann coimeádán nó píblíne CI/CD;
• Cosaint am rite le cuardach le haghaidh athruithe ar choimeádáin agus gníomhaíocht amhrasach eile;
• Balla dóiteáin coimeádán-dúchais;
• Slándáil gan freastalaí i seirbhísí néal;
• Tástáil agus iniúchadh comhlíonta in éineacht le logáil imeachtaí.

Nóta. aistrigh.: Is fiú a thabhairt faoi deara freisin go bhfuil comhpháirt saor in aisce den táirge ar a dtugtar Micreascannán, a ligeann duit íomhánna coimeádán a scanadh le haghaidh leochaileachtaí. Cuirtear comparáid idir a chumais le leaganacha íoctha i láthair i an tábla seo.

Capsúil8

• Láithreán Gréasáin: capsule8.com
• Ceadúnas: tráchtála

Comhtháthaíonn Capsule8 isteach sa bhonneagar tríd an brathadóir a shuiteáil ar bhraisle áitiúil nó scamall Kubernetes. Bailíonn an brathadóir seo teiliméadracht óstaigh agus líonra, á chomhghaolú le cineálacha éagsúla ionsaithe.

Feiceann foireann Capsule8 gurb é an tasc atá acu ná ionsaithe a bhrath go luath agus a chosc trí úsáid a bhaint as ionsaithe nua (0-lá) leochaileachtaí. Is féidir le Capsule8 rialacha slándála nuashonraithe a íoslódáil go díreach chuig brathadóirí mar fhreagra ar bhagairtí nua-aimsithe agus leochaileachtaí bogearraí.

Cavirin

• Láithreán Gréasáin: www.cavirin.com
• Ceadúnas: tráchtála

Feidhmíonn Cavirin mar chonraitheoir ar thaobh na cuideachta do ghníomhaireachtaí éagsúla a bhfuil baint acu le caighdeáin sábháilteachta. Ní hamháin gur féidir leis íomhánna a scanadh, ach féadann sé comhtháthú isteach sa phíblíne CI/CD freisin, ag cur bac ar íomhánna neamhchaighdeánacha sula dtéann siad isteach i stórtha dúnta.

Úsáideann sraith slándála Cavirin foghlaim meaisín chun do staidiúir cibearshlándála a mheasúnú, ag tairiscint leideanna chun slándáil a fheabhsú agus chun comhlíonadh na gcaighdeán slándála a fheabhsú.

Lárionad Ordú Slándála Google Cloud

• Láithreán Gréasáin: cloud.google.com/security-command-center
• Ceadúnas: tráchtála

Cuidíonn Cloud Security Command Center le foirne slándála sonraí a bhailiú, bagairtí a aithint, agus deireadh a chur leo sula ndéanann siad dochar don chuideachta.

Mar a thugann an t-ainm le tuiscint, is painéal rialaithe aontaithe é Google Cloud SCC ar féidir leis éagsúlacht tuarascálacha slándála, innill chuntasaíochta sócmhainní, agus córais slándála tríú páirtí a chomhtháthú agus a bhainistiú ó fhoinse amháin láraithe.

Leis an API idir-inoibritheach a thairgeann Google Cloud SCC tá sé éasca imeachtaí slándála a thagann ó fhoinsí éagsúla a chomhtháthú, mar shampla Sysdig Secure (slándáil coimeádáin le haghaidh feidhmchláir dhúchasacha scamall) nó Falco (slándáil am rite Foinse Oscailte).

Léargas Sraitheanna (Qualys)

• Láithreán Gréasáin: layeredinsight.com
• Ceadúnas: tráchtála

Tá Layered Insight (anois mar chuid de Qualys Inc) bunaithe ar an gcoincheap "slándáil leabaithe." Tar éis an íomhá bhunaidh a scanadh le haghaidh leochaileachtaí ag baint úsáide as anailís staitistiúil agus seiceálacha CVE, cuireann Layered Insight ina ionad íomhá ionstraimithe a chuimsíonn an gníomhaire mar dhénártha.

Tá tástálacha slándála ama rite sa ghníomhaire seo chun trácht líonra coimeádán, sreafaí I/O agus gníomhaíocht feidhmchláir a anailísiú. Ina theannta sin, is féidir leis seiceálacha slándála breise a dhéanamh arna sonrú ag an riarthóir bonneagair nó ag foirne DevOps.

NeuVector

• Láithreán Gréasáin: nóvector.com
• Ceadúnas: tráchtála

Seiceálann NeuVector slándáil coimeádáin agus soláthraíonn sé cosaint am rite trí anailís a dhéanamh ar ghníomhaíocht líonra agus ar iompar feidhmchláir, ag cruthú próifíl slándála aonair do gach coimeádán. Is féidir leis freisin bac a chur ar bhagairtí ar a chuid féin, aonrú ghníomhaíocht amhrasach trí athrú rialacha áitiúla balla dóiteáin.

Tá comhtháthú líonra NeuVector, ar a dtugtar Mogall Slándála, in ann anailís dhomhain-phaicéad agus scagadh ciseal 7 do gach nasc líonra sa mhogalra seirbhíse.

StackRox

• Láithreán Gréasáin: www.stackrox.com
• Ceadúnas: tráchtála

Déanann ardán slándála coimeádán StackRox a dhícheall saolré iomlán na n-iarratas Kubernetes a chlúdach i mbraisle. Cosúil le hardáin tráchtála eile ar an liosta seo, gineann StackRox próifíl ama rite bunaithe ar iompar coimeádán breathnaithe agus ardaíonn sé aláram go huathoibríoch maidir le haon diallais.

Ina theannta sin, déanann StackRox anailís ar chumraíochtaí Kubernetes ag baint úsáide as Kubernetes CIS agus leabhair rialacha eile chun comhlíonadh coimeádán a mheas.

Sysdig Slán

• Láithreán Gréasáin: sysdig.com/products/secure
• Ceadúnas: tráchtála

Cosnaíonn Sysdig Secure feidhmchláir ar fud shaolré iomlán an choimeádáin agus Kubernetes. sé scanann íomhánna coimeádáin, soláthraíonn cosaint runtime de réir sonraí meaisínfhoghlama, feidhmíonn uachtar. saineolas chun leochaileachtaí a aithint, bagairtí a bhlocáil, monatóireacht a dhéanamh comhlíonadh na gcaighdeán seanbhunaithe agus déanann sé iniúchadh ar ghníomhaíocht i micrisheirbhísí.

Comhtháthaíonn Sysdig Secure le huirlisí CI/CD ar nós Jenkins agus rialaíonn sé íomhánna a luchtaítear ó chlárlanna Docker, rud a chuireann cosc ​​ar íomhánna contúirteacha a bheith le feiceáil i dtáirgeadh. Soláthraíonn sé slándáil chuimsitheach ama rite freisin, lena n-áirítear:

• Próifíliú ama rite bunaithe ar ML agus brath aimhrialtachta;
• beartais ama rite bunaithe ar imeachtaí córais, K8s-iniúchadh API, comhthionscadail phobail (FIM - monatóireacht ar shláine comhaid; cripteacúireacht) agus creat MITER ATT&CK;
• freagairt agus réiteach teagmhais.

Slándáil Coimeádán Inbhuanaithe

• Láithreán Gréasáin: www.tenable.com/products/tenable-io/container-security
• Ceadúnas: tráchtála

Roimh theacht na gcoimeádán, bhí Tenable ar eolas go forleathan sa tionscal mar an chuideachta taobh thiar de Nessus, uirlis leochaileachta fiaigh agus iniúchta slándála tóir.

Úsáideann Slándáil Coimeádán Inbhuanaithe saineolas slándála ríomhaire na cuideachta chun píblíne CI/CD a chomhtháthú le bunachair shonraí leochaileachta, pacáistí speisialaithe braite malware, agus moltaí chun bagairtí slándála a réiteach.

Twistlock (Líonraí Palo Alto)

• Láithreán Gréasáin: www.twistlock.com
• Ceadúnas: tráchtála

Cuireann Twistlock é féin chun cinn mar ardán atá dírithe ar sheirbhísí scamall agus coimeádáin. Tacaíonn Twistlock le soláthraithe scamall éagsúla (AWS, Azure, GCP), ceolfhoirne coimeádáin (Kubernetes, Mesospehere, OpenShift, Docker), amanna rite gan fhreastalaí, creataí mogaill agus uirlisí CI/CD.

I dteannta le gnáth-theicnící slándála de ghrád fiontair amhail comhtháthú píblíne CI/CD nó scanadh íomhánna, úsáideann Twistlock foghlaim meaisín chun patrúin iompraíochta coimeádán-shonracha agus rialacha líonra a ghiniúint.

Tamall ó shin, cheannaigh Palo Alto Networks Twistlock, ar leis na tionscadail Evident.io agus RedLock. Ní fios fós conas go díreach a dhéanfar na trí ardán seo a chomhtháthú isteach PRISMA ó Palo Alto.

Cabhraigh linn an chatalóg is fearr d'uirlisí slándála Kubernetes a thógáil!

Déanaimid ár ndícheall an catalóg seo a dhéanamh chomh hiomlán agus is féidir, agus teastaíonn do chabhair chuige seo! Glaoigh orainn (@sysdig) má tá uirlis fhionnuar i gcuimhne agat ar fiú í a áireamh ar an liosta seo, nó má fhaigheann tú earráid/eolas atá as dáta.

Is féidir leat síntiús a íoc freisin lenár nuachtlitir mhíosúil le nuacht ón éiceachóras scamall-dúchais agus scéalta faoi thionscadail suimiúla ó shaol na slándála Kubernetes.

PS ó aistritheoir

Léigh freisin ar ár mblag:

• «Réamhrá ar Bheartais Líonra Kubernetes do Ghairmithe Slándála";
• «Docker agus Kubernetes i dtimpeallachtaí slándála-íogair";
• «9 gCleachtas is Fearr maidir le Slándáil Kubernetes";
• «11 Bealaí chun (Gan) Bheith i d’Íospartach Hack Kubernetes";
• «Is dhá thionscadal nua iad OPA agus SPIFFE ag CNCF le haghaidh slándála feidhmchláir scamall'.

Foinse: will.com