33+ innealan tèarainteachd Kubernetes

Thoir an aire. eadar-theangachadh.: Ma tha thu a’ faighneachd mu thèarainteachd ann am bun-structar stèidhichte air Kubernetes, tha an sealladh sàr-mhath seo bho Sysdig na dheagh àite tòiseachaidh airson sùil aithghearr a thoirt air na fuasglaidhean gnàthach. Tha e a’ toirt a-steach an dà chuid siostaman iom-fhillte bho chluicheadairean margaidh ainmeil agus goireasan mòran nas lugha a dh ’fhuasgladh duilgheadas sònraichte. Agus anns na beachdan, mar as àbhaist, bidh sinn toilichte cluinntinn mun eòlas agad a’ cleachdadh nan innealan sin agus ceanglaichean gu pròiseactan eile fhaicinn.

Bathar bathar-bog tèarainteachd Kubernetes ... tha uimhir dhiubh ann, gach fear le na h-amasan, an raon agus na ceadan aca fhèin.

Sin as coireach gun do chuir sinn romhainn an liosta seo a chruthachadh agus a bhith a’ toirt a-steach an dà chuid pròiseactan stòr fosgailte agus àrd-ùrlaran malairteach bho dhiofar luchd-reic. Tha sinn an dòchas gun cuidich e thu le bhith ag aithneachadh an fheadhainn as inntinniche agus gad stiùireadh anns an t-slighe cheart stèidhichte air na feumalachdan tèarainteachd sònraichte Kubernetes agad.

Roinnean

Gus an liosta a dhèanamh nas fhasa a sheòladh, tha na h-innealan air an eagrachadh a rèir prìomh ghnìomh agus tagradh. Fhuaireadh na roinnean a leanas:

• Sganadh ìomhaighean Kubernetes agus mion-sgrùdadh statach;
• tèarainteachd runtime;
• tèarainteachd lìonra Kubernetes;
• Sgaoileadh ìomhaighean agus riaghladh dìomhaireachd;
• sgrùdadh tèarainteachd Kubernetes;
• Bathar malairteach farsaing.

Rachamaid sìos gu gnìomhachas:

Luchdaich a-nuas dealbhan Kubernetes

Anchor

• Làrach-lìn: anchor.com
• Cead: an-asgaidh (Apache) agus tairgse malairteach

Bidh Anchore a’ dèanamh anailis air ìomhaighean soithich agus a’ ceadachadh sgrùdaidhean tèarainteachd stèidhichte air poileasaidhean a tha air an sònrachadh leis an neach-cleachdaidh.

A bharrachd air an sganadh àbhaisteach de dhealbhan soithichean airson so-leòntachd aithnichte bho stòr-dàta CVE, bidh Anchore a’ dèanamh mòran sgrùdaidhean a bharrachd mar phàirt den phoileasaidh sganaidh aige: a’ sgrùdadh an Dockerfile, aoidion teisteanais, pacaidean de na cànanan prògramaidh a thathar a’ cleachdadh (npm, maven, msaa). .), ceadan bathar-bog agus mòran a bharrachd .

Clair

• Làrach-lìn: coreos.com/clair (a-nis fo thutelage Red Hat)
• Cead: an-asgaidh (Apache)

B’ e Clair aon de na ciad phròiseactan Open Source airson sganadh ìomhaighean. Tha e aithnichte gu farsaing mar an sganair tèarainteachd air cùl clàr ìomhaighean a’ Chidhe (cuideachd bho CoreOS - mu thuairmeas. eadar-theangachadh). Faodaidh Clair fiosrachadh CVE a chruinneachadh bho raon farsaing de stòran, a’ toirt a-steach liostaichean de chugallachd a tha sònraichte do sgaoileadh Linux air an cumail suas le sgiobaidhean tèarainteachd Debian, Red Hat, no Ubuntu.

Eu-coltach ri Anchore, tha Clair gu sònraichte ag amas air so-leòntachd a lorg agus dàta a mhaidseadh ri CVEn. Ach, tha an toradh a’ toirt beagan chothroman do luchd-cleachdaidh gnìomhan a leudachadh a’ cleachdadh draibhearan plug-in.

dagda

• Làrach-lìn: github.com/eliasgranderubio/dagda
• Cead: an-asgaidh (Apache)

Bidh Dagda a’ dèanamh mion-sgrùdadh statach air ìomhaighean soithichean airson so-leòntachd aithnichte, Trojans, bhìorasan, malware agus bagairtean eile.

Tha dà fheart sònraichte a’ dèanamh eadar-dhealachadh air Dagda bho innealan eile den aon seòrsa:

• Bidh e a’ fighe a-steach gu foirfe le ClamAV, ag obair chan ann a-mhàin mar inneal airson a bhith a’ sganadh ìomhaighean container, ach cuideachd mar anti-bhìoras.
• Bidh e cuideachd a’ toirt seachad dìon ùine ruith le bhith a’ faighinn tachartasan fìor-ùine bho dheamhan an Docker agus ag amalachadh le Falco (faic gu h-ìosal) gus tachartasan tèarainteachd a chruinneachadh fhad ‘s a tha an soitheach a’ ruith.

CiùXray

• Làrach-lìn: github.com/jfrog/kubexray
• Cead: An-asgaidh (Apache), ach tha feum air dàta bho JFrog Xray (toradh malairteach)

Bidh KubeXray ag èisteachd ri tachartasan bhon t-seirbheisiche Kubernetes API agus a’ cleachdadh meata-dàta bho JFrog Xray gus dèanamh cinnteach nach tèid ach pods a tha a rèir a’ phoileasaidh làithreach a chuir air bhog.

Bidh KubeXray chan ann a-mhàin a’ sgrùdadh shoithichean ùra no ùraichte ann an cleachdadh (coltach ris an rianadair inntrigidh ann an Kubernetes), ach bidh e cuideachd a’ dèanamh sgrùdadh fiùghantach air soithichean ruith airson gèilleadh ri poileasaidhean tèarainteachd ùra, a’ toirt air falbh goireasan a tha a’ toirt iomradh air ìomhaighean so-leònte.

Snyk

• Làrach-lìn: snyk.io
• Cead: an-asgaidh (Apache) agus dreachan malairteach

Is e sganair so-leòntachd neo-àbhaisteach a th’ ann an Snyk leis gu bheil e ag amas gu sònraichte air a’ phròiseas leasachaidh agus air a bhrosnachadh mar “fhuasgladh riatanach” do luchd-leasachaidh.

Bidh Snyk a’ ceangal gu dìreach ri stòran còd, a’ parsadh follaiseachd a’ phròiseict agus a’ mion-sgrùdadh a’ chòd a chaidh a thoirt a-steach còmhla ri eisimeileachd dìreach is neo-dhìreach. Bidh Snyk a’ toirt taic do dh’ iomadh cànan prògramaidh mòr-chòrdte agus is urrainn dha cunnartan falaichte a chomharrachadh.

Tròcair

• Làrach-lìn: github.com/knqyf263/trivy
• Cead: an-asgaidh (AGPL)

Tha Trivy na sganair so-leòntachd sìmplidh ach cumhachdach airson soithichean a bhios gu furasta a’ fighe a-steach do loidhne-phìoban CI / CD. Is e am feart sònraichte aige cho furasta sa tha e a chuir a-steach agus obrachadh: tha an tagradh air a dhèanamh suas de aon dàna agus chan fheum e stòr-dàta no leabharlannan a bharrachd a chuir a-steach.

Is e an eas-bhuannachd a tha ann an sìmplidheachd Trivy gum feum thu faighinn a-mach mar as urrainn dhut na toraidhean a pharsadh agus a chuir air adhart ann an cruth JSON gus an urrainn dha innealan tèarainteachd Kubernetes eile an cleachdadh.

Tèarainteachd runtime ann an Kubernetes

Falco

• Làrach-lìn: falco.org
• Cead: an-asgaidh (Apache)

Tha Falco na sheata de dh’ innealan airson àrainneachdan ùine ruith sgòthan a dhèanamh tèarainte. Mar phàirt den teaghlach pròiseact CNCF.

A’ cleachdadh inneal ìre kernel Linux Sysdig agus pròifil gairm siostam, leigidh Falco leat dàibheadh ​​​​gu domhainn a-steach do ghiùlan siostaim. Tha an einnsean riaghailtean runtime aige comasach air gnìomhachd amharasach a lorg ann an tagraidhean, soithichean, an neach-aoigheachd bunaiteach, agus orcastra Kubernetes.

Bidh Falco a’ toirt seachad follaiseachd iomlan anns an ùine ruith agus lorg bagairtean le bhith a’ cleachdadh riochdairean sònraichte air nodan Kubernetes airson na h-adhbharan sin. Mar thoradh air an sin, chan eil feum air soithichean atharrachadh le bhith a’ toirt a-steach còd treas-phàrtaidh annta no a’ cur soithichean taobh-chàraichean a-steach.

Linux frèaman tèarainteachd airson runtime

Chan e “innealan tèarainteachd Kubernetes” a th’ anns na frèaman dùthchasach sin airson an kernel Linux san t-seagh thraidiseanta, ach is fhiach iomradh a thoirt orra leis gu bheil iad nam eileamaid chudromach ann an co-theacsa tèarainteachd runtime, a tha air a ghabhail a-steach ann am Poileasaidh Tèarainteachd Kubernetes Pod (PSP).

AppArmor a’ ceangal pròifil tèarainteachd ri pròiseasan a tha a’ ruith anns a’ ghobhar, a’ mìneachadh sochairean siostam faidhle, riaghailtean ruigsinneachd lìonra, a’ ceangal leabharlannan, msaa. Is e siostam a tha seo a tha stèidhichte air Smachd Ruigsinneachd Riatanach (MAC). Ann am faclan eile, tha e a’ cur casg air gnìomhan toirmisgte a bhith air an coileanadh.

Linux leasaichte tèarainteachd (SELinux) na mhodal tèarainteachd adhartach anns an kernel Linux, coltach ri cuid de thaobhan ri AppArmor agus gu tric an taca ris. Tha SELinux nas fheàrr na AppArmor ann an cumhachd, sùbailteachd agus gnàthachadh. Is e na h-eas-bhuannachdan aige lùb ionnsachaidh fada agus barrachd iom-fhillteachd.

Seccomp agus leigidh seccomp-bpf leat gairmean siostam a shìoladh, casg a chuir air coileanadh an fheadhainn a dh’ fhaodadh a bhith cunnartach airson an OS bunaiteach agus nach eil riatanach airson obrachadh àbhaisteach thagraidhean luchd-cleachdaidh. Tha Seccomp coltach ri Falco ann an cuid de dhòighean, ged nach eil fios aige air mion-fhiosrachadh mu shoithichean.

Sysdig stòr fosgailte

• Làrach-lìn: www.sysdig.com/opensource
• Cead: an-asgaidh (Apache)

Tha Sysdig na inneal coileanta airson mion-sgrùdadh, lorg agus dì-bhugachadh siostaman Linux (cuideachd ag obair air Windows agus macOS, ach le gnìomhan cuibhrichte). Faodar a chleachdadh airson cruinneachadh fiosrachaidh mionaideach, dearbhadh agus mion-sgrùdadh forensic. (foireansach) an siostam bunaiteach agus soithichean sam bith a tha a 'ruith air.

Bidh Sysdig cuideachd gu dùthchasach a’ toirt taic do amannan ruith soithichean agus meata-dàta Kubernetes, a’ cur tomhasan agus bileagan a bharrachd ris a h-uile fiosrachadh giùlan siostaim a bhios e a’ tional. Tha grunn dhòighean ann air cruinneachadh Kubernetes a sgrùdadh a’ cleachdadh Sysdig: faodaidh tu glacadh puing-ann-ùine a dhèanamh tro glacadh kubectl no cuir air bhog eadar-aghaidh eadar-ghnìomhach stèidhichte air ncurses a’ cleachdadh plugan cladhaich kubectl.

Tèarainteachd lìonra Kubernetes

Aporeto

• Làrach-lìn: www.aporeto.com
• Cead: malairteach

Tha Aporeto a 'tabhann "tèarainteachd air a sgaradh bhon lìonra agus bun-structair." Tha seo a’ ciallachadh gum faigh seirbheisean Kubernetes chan e a-mhàin ID ionadail (ie ServiceAccount ann an Kubernetes), ach cuideachd ID / lorgan-meòir uile-choitcheann a dh’ fhaodar a chleachdadh gus conaltradh gu tèarainte agus le chèile le seirbheis sam bith eile, mar eisimpleir ann am brabhsair OpenShift.

Tha Aporeto comasach air ID sònraichte a ghineadh chan ann a-mhàin airson Kubernetes / soithichean, ach cuideachd airson luchd-aoigheachd, gnìomhan sgòthan agus luchd-cleachdaidh. A rèir nan aithnichearan sin agus an t-seata de riaghailtean tèarainteachd lìonra a shuidhich an rianadair, bidh conaltradh ceadaichte no bacadh.

Calico

• Làrach-lìn: www.projectcalico.org
• Cead: an-asgaidh (Apache)

Mar as trice bidh Calico air a chleachdadh aig àm stàladh orchestrator container, a’ toirt cothrom dhut lìonra brìgheil a chruthachadh a bhios ag eadar-cheangal soithichean. A bharrachd air a’ ghnìomhachd lìonra bunaiteach seo, tha pròiseact Calico ag obair le Poileasaidhean Lìonra Kubernetes agus an t-seata aige fhèin de phròifil tèarainteachd lìonra, a’ toirt taic do ACLs endpoint (liostaichean smachd ruigsinneachd) agus riaghailtean tèarainteachd lìonra stèidhichte air notaichean airson trafaic Ingress agus Egress.

cilium

• Làrach-lìn: www.cilium.io
• Cead: an-asgaidh (Apache)

Tha Cilium ag obair mar bhalla-teine ​​​​airson soithichean agus a’ toirt seachad feartan tèarainteachd lìonra a tha air an dealbhadh gu dùthchasach airson eallach obrach Kubernetes agus microservices. Bidh Cilium a’ cleachdadh teicneòlas kernel Linux ùr ris an canar BPF (Berkeley Packet Filter) gus dàta a shìoladh, a sgrùdadh, ath-stiùireadh agus a cheartachadh.

Tha Cilium comasach air poileasaidhean ruigsinneachd lìonra a chleachdadh stèidhichte air IDan container a’ cleachdadh bileagan agus meata-dàta Docker no Kubernetes. Bidh Cilium cuideachd a’ tuigsinn agus a’ sìoladh diofar phròtacalan Layer 7 leithid HTTP no gRPC, a’ toirt cothrom dhut seata de ghairmean REST a mhìneachadh a bhios ceadaichte eadar dà chleachdadh Kubernetes, mar eisimpleir.

Istio

• Làrach-lìn: tio.io
• Cead: an-asgaidh (Apache)

Tha Istio ainmeil fad is farsaing airson a bhith a’ buileachadh paradigm mogal na seirbheis le bhith a’ cleachdadh plèana smachd neo-eisimeileach air àrd-ùrlar agus a’ stiùireadh a h-uile trafaic seirbheis fo stiùir tro luchd-ionaid Envoy a ghabhas rèiteachadh gu dinamach. Bidh Istio a’ gabhail brath air an t-sealladh adhartach seo de gach meanbh-sheirbheisean agus soithichean gus diofar ro-innleachdan tèarainteachd lìonra a chuir an gnìomh.

Tha comasan tèarainteachd lìonra Istio a’ toirt a-steach crioptachadh TLS follaiseach gus conaltradh eadar microservices ùrachadh gu HTTPS gu fèin-ghluasadach, agus siostam aithneachaidh agus ceadachaidh RBAC seilbh gus conaltradh a cheadachadh / a dhiùltadh eadar diofar eallach obrach sa bhuidheann.

Thoir an aire. eadar-theangachadh.: Airson barrachd ionnsachadh mu na comasan aig Istio a tha ag amas air tèarainteachd, leugh an artaigil seo.

Tìgear

• Làrach-lìn: www.tigera.io
• Cead: malairteach

Canar “Kubernetes Firewall,” tha am fuasgladh seo a’ cur cuideam air dòigh-obrach gun earbsa a thaobh tèarainteachd lìonra.

Coltach ri fuasglaidhean lìonraidh Kubernetes dùthchasach eile, tha Tigera an urra ri meata-dàta gus na diofar sheirbheisean agus nithean anns a ’bhuidheann a chomharrachadh agus a’ toirt seachad lorg cùis runtime, sgrùdadh gèillidh leantainneach, agus faicsinneachd lìonra airson bun-structaran ioma-sgòthan no tar-chinealach le monolithic.

Trireme

• Làrach-lìn: www.aporeto.com/opensource
• Cead: an-asgaidh (Apache)

Tha Trireme-Kubernetes na bhuileachadh sìmplidh agus dìreach air sònrachadh Poileasaidhean Lìonra Kubernetes. Is e am feart as sònraichte - eu-coltach ri toraidhean tèarainteachd lìonra Kubernetes coltach ris - nach eil feum air plèana smachd meadhanach gus am mogal a cho-òrdanachadh. Tha seo a’ fàgail gu bheil am fuasgladh gu math scalable. Ann an Trireme, tha seo air a choileanadh le bhith a’ stàladh àidseant air gach nód a tha a’ ceangal gu dìreach ri stac TCP/IP an aoigh.

Iomadachadh ìomhaighean agus riaghladh dìomhaireachd

Grafeas

• Làrach-lìn: grafeas.io
• Cead: an-asgaidh (Apache)

Tha Grafeas na API stòr fosgailte airson sgrùdadh agus riaghladh slabhraidh solair bathar-bog. Aig ìre bhunaiteach, tha Grafeas na inneal airson meata-dàta agus toraidhean sgrùdaidh a chruinneachadh. Faodar a chleachdadh gus sùil a chumail air gèilleadh ri cleachdaidhean tèarainteachd as fheàrr taobh a-staigh buidheann.

Bidh an stòr fìrinn meadhanaichte seo a’ cuideachadh le bhith a’ freagairt cheistean mar:

• Cò a chruinnich agus a chuir ainm ri soitheach sònraichte?
• A bheil e air a dhol seachad air a h-uile sganadh tèarainteachd agus sgrùdadh a tha riatanach leis a’ phoileasaidh tèarainteachd? Cuin? Dè na toraidhean a bh’ ann?
• Cò a chuir gu riochdachadh e? Dè na crìochan sònraichte a chaidh a chleachdadh aig àm cleachdadh?

Ann-toto

• Làrach-lìn: ann an-toto.github.io
• Cead: an-asgaidh (Apache)

Tha In-toto na fhrèam a chaidh a dhealbhadh gus ionracas, dearbhadh agus sgrùdadh a thoirt seachad air an t-sèine solair bathar-bog gu lèir. Nuair a thathar a’ cleachdadh In-toto ann am bun-structar, tha plana air a mhìneachadh an-toiseach a bheir cunntas air na diofar cheumannan san loidhne-phìoban (stòr-tasgaidh, innealan CI/CD, innealan QA, luchd-cruinneachaidh artifact, msaa) agus an luchd-cleachdaidh (daoine cunntachail) a tha ceadaichte. thòiseachadh orra.

Bidh In-toto a’ cumail sùil air coileanadh a’ phlana, a’ dearbhadh gu bheil gach gnìomh san t-seine air a choileanadh gu ceart le luchd-obrach ùghdarraichte a-mhàin agus nach deach làimhseachadh gun chead a dhèanamh leis an toradh rè gluasad.

Portieris

• Làrach-lìn: github.com/IBM/portieris
• Cead: an-asgaidh (Apache)

Tha Portieris na rianadair inntrigidh airson Kubernetes; air a chleachdadh gus sgrùdaidhean earbsa susbaint a chuir an gnìomh. Bidh Portieris a’ cleachdadh frithealaiche Notari (sgrìobh sinn mu dheidhinn aig an deireadh den artaigil seo - mu thuairmeas. eadar-theangachadh) mar thùs fìrinn gus artifacts earbsach agus soidhnichte a dhearbhadh (ie ìomhaighean soithich ceadaichte).

Nuair a thèid eallach obrach a chruthachadh no atharrachadh ann an Kubernetes, bidh Portieris a’ luchdachadh sìos am fiosrachadh soidhnidh agus poileasaidh earbsa susbaint airson na h-ìomhaighean soithich a chaidh iarraidh agus, ma tha sin riatanach, nì e atharrachaidhean air-the-fly air nì JSON API gus dreachan soidhnichte de na h-ìomhaighean sin a ruith.

Bùrn

• Làrach-lìn: www.vaultproject.io
• Cead: an-asgaidh (MPL)

Tha Vault na fhuasgladh tèarainte airson fiosrachadh prìobhaideach a stòradh: faclan-faire, comharran OAuth, teisteanasan PKI, cunntasan ruigsinneachd, dìomhaireachdan Kubernetes, msaa. Bidh Vault a’ toirt taic do dh’ iomadh feart adhartach, leithid a bhith a’ faighinn comharran tèarainteachd fad-ùine air màl no a’ cur air dòigh prìomh chuairteachadh.

A’ cleachdadh clàr Helm, faodar Vault a chleachdadh mar chleachdadh ùr ann am buidheann Kubernetes le Consul mar stòradh backend. Bidh e a’ toirt taic do ghoireasan dùthchasach Kubernetes leithid ServiceAccount tokens agus faodaidh e eadhon a bhith mar an stòr bunaiteach airson dìomhaireachdan Kubernetes.

Thoir an aire. eadar-theangachadh.: Air an t-slighe, dìreach an-dè dh'ainmich a 'chompanaidh HashiCorp, a bhios a' leasachadh Vault, cuid de leasachaidhean airson a bhith a 'cleachdadh Vault ann an Kubernetes, agus gu sònraichte tha iad a' buntainn ris a 'chlàr Helm. Leugh tuilleadh ann an blog leasaiche.

Sgrùdadh tèarainteachd Kubernetes

Ciùb-beinne

• Làrach-lìn: github.com/aquasecurity/kube-bench
• Cead: an-asgaidh (Apache)

Is e tagradh Go a th’ ann an Kube-bench a nì sgrùdadh a bheil Kubernetes air a chleachdadh gu tèarainte le bhith a’ ruith dheuchainnean bho liosta Slat-tomhais CIS Kubernetes.

Bidh Kube-bench a’ coimhead airson suidheachaidhean rèiteachaidh mì-chinnteach am measg phàirtean brabhsair (msaa, API, manaidsear rianadair, msaa), còraichean inntrigidh faidhle ceasnachail, cunntasan gun dìon no puirt fosgailte, cuotathan stòrais, suidheachaidhean airson an àireamh de ghairmean API a chuingealachadh gus dìon an aghaidh ionnsaighean DoS , etc.

Kube-sealgair

• Làrach-lìn: github.com/aquasecurity/kube-hunter
• Cead: an-asgaidh (Apache)

Bidh sealgair Kube a’ sealg airson so-leòntachd a dh’ fhaodadh a bhith ann (leithid cur an gnìomh còd iomallach no foillseachadh dàta) ann an cruinneachaidhean Kubernetes. Faodar Kube-hunter a ruith mar sganair iomallach - anns an t-suidheachadh sin nì e measadh air a’ bhuidheann bho shealladh neach-ionnsaigh treas-phàrtaidh - no mar pod taobh a-staigh a’ bhraisle.

Is e feart sònraichte de shealgair Kube am modh “sealg gnìomhach” aige, nuair a bhios e chan ann a-mhàin ag aithris air duilgheadasan, ach cuideachd a ’feuchainn ri brath a ghabhail air so-leòntachd a chaidh a lorg anns a’ bhuidheann targaid a dh ’fhaodadh cron a dhèanamh air an obair aige. Mar sin cleachd gu faiceallach!

Kubeaudit

• Làrach-lìn: github.com/Shopify/kubeaudit
• Cead: an-asgaidh (MIT)

Tha Kubeaudit na inneal tòcan a chaidh a leasachadh an toiseach aig Shopify gus rèiteachadh Kubernetes a sgrùdadh airson diofar chùisean tèarainteachd. Mar eisimpleir, bidh e a’ cuideachadh le bhith ag aithneachadh shoithichean a tha a’ ruith gun bhacadh, a’ ruith mar fhreumh, a’ mì-ghnàthachadh shochairean, no a’ cleachdadh a’ Chunntas Seirbheis bunaiteach.

Tha feartan inntinneach eile aig Kubeaudit. Mar eisimpleir, is urrainn dha faidhlichean YAML ionadail a sgrùdadh, lochdan rèiteachaidh a chomharrachadh a dh’ fhaodadh duilgheadasan tèarainteachd adhbhrachadh, agus an càradh gu fèin-ghluasadach.

Ciùbais

• Làrach-lìn: cubesec.io
• Cead: an-asgaidh (Apache)

Tha Kubesec na inneal sònraichte leis gu bheil e gu dìreach a’ sganadh faidhlichean YAML a bheir cunntas air goireasan Kubernetes, a ’coimhead airson paramadairean lag a dh’ fhaodadh buaidh a thoirt air tèarainteachd.

Mar eisimpleir, lorgaidh e cus shochairean agus ceadan a chaidh a thoirt do pod, a’ ruith soitheach le freumh mar an neach-cleachdaidh bunaiteach, a’ ceangal ri àite-ainm lìonra an aoigh, no sreapan cunnartach mar /proc aoigheachd no socaid Docker. Is e feart inntinneach eile de Kubesec an t-seirbheis demo a tha ri fhaighinn air-loidhne, anns an urrainn dhut YAML a luchdachadh suas agus a sgrùdadh sa bhad.

Fosgailte Agent Poileasaidh

• Làrach-lìn: www.openpolicyagent.org
• Cead: an-asgaidh (Apache)

Is e bun-bheachd OPA (Gnìomh Poileasaidh Fosgailte) poileasaidhean tèarainteachd agus cleachdaidhean tèarainteachd as fheàrr a dhì-cheangal bho àrd-ùrlar ùine ruith sònraichte: Docker, Kubernetes, Mesosphere, OpenShift, no measgachadh sam bith dhiubh.

Mar eisimpleir, faodaidh tu OPA a chleachdadh mar chùl-taic airson rianadair inntrigidh Kubernetes, a’ tiomnadh cho-dhùnaidhean tèarainteachd dha. San dòigh seo, faodaidh an neach-ionaid OPA iarrtasan air an itealan a dhearbhadh, a dhiùltadh agus eadhon atharrachadh, a ’dèanamh cinnteach gu bheilear a’ coinneachadh ris na crìochan tèarainteachd ainmichte. Tha poileasaidhean tèarainteachd OPA sgrìobhte anns a’ chànan DSL seilbhe aca, Rego.

Thoir an aire. eadar-theangachadh.: Sgrìobh sinn barrachd mu OPA (agus SPIFFE) ann an an stuth seo.

Innealan malairteach coileanta airson mion-sgrùdadh tèarainteachd Kubernetes

Cho-dhùin sinn roinn air leth a chruthachadh airson àrd-ùrlaran malairteach oir mar as trice bidh iad a’ còmhdach grunn raointean tèarainteachd. Gheibhear beachd coitcheann air na comasan aca bhon chlàr:

* Sgrùdadh adhartach agus mion-sgrùdadh post mortem le coileanta fuadach call siostam.

Tèarainteachd Aqua

• Làrach-lìn: www.aquasec.com
• Cead: malairteach

Tha an inneal malairteach seo air a dhealbhadh airson soithichean agus eallach obrach sgòthan. Tha e a’ toirt seachad:

• Sganadh ìomhaighean ceangailte ri clàr container no loidhne-phìoban CI / CD;
• Dìon ùine ruith le bhith a’ lorg atharrachaidhean ann an soithichean agus gnìomhachd amharasach eile;
• Balla-teine ​​​​container;
• Tèarainteachd airson gun fhrithealaiche ann an seirbheisean neòil;
• Deuchainn gèillidh agus sgrùdadh còmhla ri logadh thachartasan.

Thoir an aire. eadar-theangachadh.: Is fhiach a thoirt fa-near cuideachd gu bheil pàirt an-asgaidh den toradh ris an canar Microsganadair, a leigeas leat ìomhaighean container a sganadh airson so-leòntachd. Tha coimeas eadar na comasan aige le dreachan pàighte air a thaisbeanadh ann an am bòrd seo.

Capsal 8

• Làrach-lìn: capsal8.com
• Cead: malairteach

Bidh Capsule8 a ’fighe a-steach don bhun-structar le bhith a’ stàladh an lorgaire air buidheann ionadail no sgòthan Kubernetes. Bidh an lorgaire seo a’ cruinneachadh telemetry aoigheachd is lìonra, ga cheangal ri diofar sheòrsaichean ionnsaighean.

Tha sgioba Capsule8 a 'faicinn an obair aca mar lorg tràth agus casg air ionnsaighean a' cleachdadh feadhainn ùra (0-latha) so-leòntachd. Faodaidh Capsule8 riaghailtean tèarainteachd ùraichte a luchdachadh sìos gu dìreach gu lorgairean mar fhreagairt air bagairtean a chaidh a lorg às ùr agus so-leòntachd bathar-bog.

Cavirin

• Làrach-lìn: www.cavirin.com
• Cead: malairteach

Tha Cavirin ag obair mar chunnradair taobh companaidh airson diofar bhuidhnean a tha an sàs ann an inbhean sàbhailteachd. Chan e a-mhàin gun urrainn dha ìomhaighean a sganadh, ach faodaidh e cuideachd amalachadh a-steach don loidhne-phìoban CI / CD, a’ bacadh ìomhaighean neo-àbhaisteach mus tèid iad a-steach do thasgaidhean dùinte.

Bidh sreath tèarainteachd Cavirin a’ cleachdadh ionnsachadh innealan gus do shuidheachadh cybersecurity a mheasadh, a’ tabhann mholaidhean gus tèarainteachd adhartachadh agus gèilleadh ri inbhean tèarainteachd a leasachadh.

Ionad Comand Tèarainteachd Google Cloud

• Làrach-lìn: cloud.google.com/security-command-center
• Cead: malairteach

Bidh Ionad Òrdugh Tèarainteachd Cloud a’ cuideachadh sgiobaidhean tèarainteachd gus dàta a chruinneachadh, bagairtean a chomharrachadh, agus cuir às dhaibh mus dèan iad cron air a’ chompanaidh.

Mar a tha an t-ainm a’ moladh, is e pannal smachd aonaichte a th’ ann an Google Cloud SCC as urrainn grunn aithisgean tèarainteachd, einnseanan cunntasachd so-mhaoin, agus siostaman tèarainteachd treas-phàrtaidh fhilleadh a-steach agus a riaghladh bho aon stòr meadhanaichte.

Tha an API eadar-obrachail a tha Google Cloud SCC a’ tabhann ga dhèanamh furasta tachartasan tèarainteachd fhilleadh a-steach bho ghrunn stòran, leithid Sysdig Secure (tèarainteachd soithichean airson tagraidhean dùthchasach sgòthan) no Falco (tèarainteachd ùine ruith Open Source).

Sealladh farsaing (Qualys)

• Làrach-lìn: layeredinsight.com
• Cead: malairteach

Tha Layered Insight (a-nis na phàirt de Qualys Inc) stèidhichte air a’ bhun-bheachd air “tèarainteachd freumhaichte.” Às deidh dha an ìomhaigh thùsail a sganadh airson so-leòntachd a’ cleachdadh mion-sgrùdadh staitistigeil agus sgrùdaidhean CVE, tha Layered Insight a’ cur ìomhaigh ionnsramaid na àite a tha a’ toirt a-steach an àidseant mar dhàna.

Tha deuchainnean tèarainteachd runtime aig an neach-ionaid seo gus sgrùdadh a dhèanamh air trafaic lìonra soithichean, sruthan I / O agus gnìomhachd tagraidh. A bharrachd air an sin, faodaidh e sgrùdaidhean tèarainteachd a bharrachd a dhèanamh air an sònrachadh le rianadair a’ bhun-structair no sgiobaidhean DevOps.

NeoVector

• Làrach-lìn: neuvector.com
• Cead: malairteach

Bidh NeuVector a’ sgrùdadh tèarainteachd container agus a’ toirt seachad dìon ùine ruith le bhith a’ dèanamh anailis air gnìomhachd lìonra agus giùlan tagraidh, a’ cruthachadh ìomhaigh tèarainteachd fa leth airson gach soitheach. Faodaidh e cuideachd bagairtean a bhacadh leis fhèin, a’ dealachadh gnìomhachd amharasach le bhith ag atharrachadh riaghailtean balla-teine ​​​​ionadail.

Tha amalachadh lìonra NeuVector, ris an canar Security Mesh, comasach air mion-sgrùdadh pacaid domhainn agus sìoladh còmhdach 7 airson a h-uile ceangal lìonra ann am mogal na seirbheis.

StacRox

• Làrach-lìn: www.stackrox.com
• Cead: malairteach

Bidh an àrd-ùrlar tèarainteachd container StackRox a’ feuchainn ri cuairt-beatha iomlan thagraidhean Kubernetes a chòmhdach ann am brabhsair. Coltach ri àrd-ùrlaran malairteach eile air an liosta seo, bidh StackRox a ’gineadh ìomhaigh runtime stèidhichte air giùlan container a chaidh fhaicinn agus a’ togail inneal-rabhaidh gu fèin-ghluasadach airson gluasadan sam bith.

A bharrachd air an sin, bidh StackRox a’ dèanamh mion-sgrùdadh air rèiteachaidhean Kubernetes a’ cleachdadh an Kubernetes CIS agus leabhraichean riaghailtean eile gus gèilleadh do shoithichean a mheasadh.

Sysdig tèarainte

• Làrach-lìn: sysdig.com/products/secure
• Cead: malairteach

Bidh Sysdig Secure a’ dìon thagraidhean air feadh an t-soithich gu lèir agus cuairt-beatha Kubernetes. Tha e a’ sganadh ìomhaighean soithichean, a’ toirt seachad dìon runtime a rèir dàta ionnsachadh innealan, a 'coileanadh uachdar. eòlas gus so-leòntachd a chomharrachadh, casg a chuir air bagairtean, sgrùdairean gèilleadh ri inbhean stèidhichte agus a’ sgrùdadh gnìomhachd ann am microservices.

Bidh Sysdig Secure a’ fighe a-steach le innealan CI / CD leithid Jenkins agus a ’cumail smachd air ìomhaighean air an luchdachadh bho chlàran Docker, a’ casg ìomhaighean cunnartach bho bhith a ’nochdadh ann an riochdachadh. Bidh e cuideachd a’ toirt seachad tèarainteachd ùine ruith coileanta, a’ toirt a-steach:

• Pròifil runtime stèidhichte air ML agus lorg neo-riaghailteachd;
• poileasaidhean runtime stèidhichte air tachartasan siostam, K8s-audit API, co-phròiseactan coimhearsnachd (FIM - sgrùdadh ionracas faidhle; cryptojacking) agus frèam MITER AT&CK;
• freagairt agus fuasgladh thachartasan.

Tèarainteachd Container Gabhaltas

• Làrach-lìn: www.tenable.com/products/tenable-io/container-security
• Cead: malairteach

Mus tàinig soithichean, bha Tenable aithnichte gu farsaing anns a’ ghnìomhachas mar a’ chompanaidh air cùl Nessus, inneal seilge so-leòntachd mòr-chòrdte agus inneal sgrùdaidh tèarainteachd.

Bidh Tenable Container Security a’ cleachdadh eòlas tèarainteachd coimpiutair a’ chompanaidh gus loidhne-phìoban CI/CD fhilleadh a-steach le stòran-dàta so-leòntachd, pasganan lorg malware sònraichte, agus molaidhean airson bagairtean tèarainteachd fhuasgladh.

Twistlock (Lìonra Palo Alto)

• Làrach-lìn: www.twistlock.com
• Cead: malairteach

Bidh Twistlock ga bhrosnachadh fhèin mar àrd-ùrlar le fòcas air seirbheisean sgòthan agus soithichean. Bidh Twistlock a’ toirt taic do ghrunn sholaraichean sgòthan (AWS, Azure, GCP), orcastra soithichean (Kubernetes, Mesospehere, OpenShift, Docker), amannan ruith gun fhrithealaiche, frèaman mogal agus innealan CI / CD.

A bharrachd air dòighean tèarainteachd àbhaisteach aig ìre iomairt leithid amalachadh loidhne-phìoban CI/CD no sganadh ìomhaighean, bidh Twistlock a’ cleachdadh ionnsachadh innealan gus pàtrain giùlain sònraichte agus riaghailtean lìonra a ghineadh.

O chionn ùine, chaidh Twistlock a cheannach le Palo Alto Networks, leis a bheil na pròiseactan Evident.io agus RedLock. Chan eil fios fhathast ciamar a thèid na trì àrd-ùrlaran sin fhilleadh a-steach PRISMA bho Palo Alto.

Cuidich le bhith a’ togail a’ chatalog as fheàrr de dh’ innealan tèarainteachd Kubernetes!

Bidh sinn a’ dèanamh ar dìcheall an catalog seo a dhèanamh cho coileanta ‘s a ghabhas, agus airson seo feumaidh sinn do chuideachadh! Cuir fios thugainn (@ssdig) ma tha inneal fionnar agad nad inntinn a tha airidh air a thoirt a-steach don liosta seo, no ma lorgas tu mearachd / seann fhiosrachadh.

Faodaidh tu cuideachd fo-sgrìobhadh don ar cuairt-litir mhìosail le naidheachdan bhon eag-shiostam dùthchasach sgòthan agus sgeulachdan mu phròiseactan inntinneach bho shaoghal tèarainteachd Kubernetes.

PS bhon eadar-theangair

Leugh cuideachd air ar blog:

• «Ro-ràdh mu phoileasaidhean lìonra Kubernetes airson Proifeasantaich Tèarainteachd";
• «Docker agus Kubernetes ann an àrainneachdan a tha feumach air tèarainteachd";
• «9 Cleachdaidhean Tèarainteachd Kubernetes as Fheàrr";
• «11 dòighean air (Gun) a bhith nad neach-fulang Kubernetes Hack";
• «Tha OPA agus SPIFFE nan dà phròiseact ùr aig CNCF airson tèarainteachd tagradh sgòthan".

Source: www.habr.com