Nota. transl.: Se estás a preguntar sobre a seguridade na infraestrutura baseada en Kubernetes, esta excelente visión xeral de Sysdig é un excelente punto de partida para unha rápida ollada ás solucións actuais. Inclúe tanto sistemas complexos de coñecidos actores do mercado como utilidades moito máis modestas que resolven un problema particular. E nos comentarios, coma sempre, estaremos encantados de coñecer a túa experiencia usando estas ferramentas e ver enlaces a outros proxectos.
Os produtos de software de seguridade de Kubernetes... hai moitos deles, cada un cos seus propios obxectivos, alcance e licenzas.
É por iso que decidimos crear esta lista e incluír tanto proxectos de código aberto como plataformas comerciais de diferentes provedores. Agardamos que che axude a identificar os que máis te interesen e que che indiquen na dirección correcta en función das túas necesidades específicas de seguranza de Kubernetes.
Категории
Para facilitar a navegación pola lista, as ferramentas organízanse por función principal e aplicación. Obtivéronse os seguintes apartados:
- dixitalización de imaxes e análise estática de Kubernetes;
- seguridade en tempo de execución;
- seguridade da rede de Kubernetes;
- Distribución de imaxes e xestión de segredos;
- auditoría de seguridade de Kubernetes;
- Produtos comerciais integrales.
Imos ao negocio:
Escaneando imaxes de Kubernetes
Áncora
- Páxina web:
- Licenza: oferta gratuíta (Apache) e comercial
Anchore analiza as imaxes dos contedores e permite comprobacións de seguranza baseadas nas políticas definidas polo usuario.
Ademais da exploración habitual de imaxes de contedores para detectar vulnerabilidades coñecidas da base de datos CVE, Anchore realiza moitas comprobacións adicionais como parte da súa política de dixitalización: comproba o Dockerfile, as fugas de credenciais, os paquetes das linguaxes de programación utilizadas (npm, maven, etc.). .), licenzas de software e moito máis.
Claro
- Páxina web: (agora baixo a tutela de Red Hat)
- Licenza: gratuíta (Apache)
Clair foi un dos primeiros proxectos de código aberto para a dixitalización de imaxes. É amplamente coñecido como o escáner de seguridade detrás do rexistro de imaxes de Quay (tamén de CoreOS - aprox. tradución). Clair pode recoller información CVE dunha gran variedade de fontes, incluíndo listas de vulnerabilidades específicas da distribución de Linux mantidas polos equipos de seguridade de Debian, Red Hat ou Ubuntu.
A diferenza de Anchore, Clair céntrase principalmente en buscar vulnerabilidades e relacionar datos con CVE. Non obstante, o produto ofrece aos usuarios algunhas oportunidades para ampliar funcións mediante controladores de complementos.
dagda
- Páxina web:
- Licenza: gratuíta (Apache)
Dagda realiza análises estáticas de imaxes de contedores para detectar vulnerabilidades coñecidas, troianos, virus, malware e outras ameazas.
Dúas características notables distinguen a Dagda doutras ferramentas similares:
- Se integra perfectamente con , actuando non só como ferramenta para dixitalizar imaxes de contedores, senón tamén como antivirus.
- Tamén ofrece protección en tempo de execución ao recibir eventos en tempo real do daemon Docker e integrándose con Falco (Ver abaixo) para recoller eventos de seguridade mentres o contedor está a funcionar.
KubeXray
- Páxina web:
- Licenza: gratuíta (Apache), pero require datos de JFrog Xray (produto comercial)
KubeXray escoita eventos do servidor da API de Kubernetes e utiliza metadatos de JFrog Xray para garantir que só se lanzan pods que coincidan coa política actual.
KubeXray non só audita os contedores novos ou actualizados nas implantacións (semellante ao controlador de admisión en Kubernetes), senón que tamén verifica de forma dinámica que os contedores en execución cumpran coas novas políticas de seguridade, eliminando recursos que fan referencia a imaxes vulnerables.
Snyk
- Páxina web:
- Licenza: versións gratuítas (Apache) e comerciais
Snyk é un escáner de vulnerabilidades inusual xa que se dirixe específicamente ao proceso de desenvolvemento e promóvese como unha "solución esencial" para os desenvolvedores.
Snyk conéctase directamente aos repositorios de código, analiza o manifesto do proxecto e analiza o código importado xunto coas dependencias directas e indirectas. Snyk admite moitas linguaxes de programación populares e pode identificar riscos de licenza ocultos.
Trivy
- Páxina web:
- Licenza: gratuíta (AGPL)
Trivy é un escáner de vulnerabilidades sinxelo pero poderoso para contedores que se integra facilmente nunha canalización de CI/CD. A súa característica destacable é a súa facilidade de instalación e funcionamento: a aplicación consta dun único binario e non require a instalación dunha base de datos nin bibliotecas adicionais.
A desvantaxe da sinxeleza de Trivy é que tes que descubrir como analizar e reenviar os resultados en formato JSON para que outras ferramentas de seguranza de Kubernetes poidan usalos.
Seguridade en tempo de execución en Kubernetes
falcón
- Páxina web:
- Licenza: gratuíta (Apache)
Falco é un conxunto de ferramentas para protexer ambientes de execución na nube. Parte da familia do proxecto .
Usando as ferramentas a nivel de núcleo de Linux de Sysdig e o perfil de chamadas do sistema, Falco permítelle mergullarse no comportamento do sistema. O seu motor de regras de execución é capaz de detectar actividade sospeitosa en aplicacións, contedores, o host subxacente e o orquestrador de Kubernetes.
Falco ofrece total transparencia no tempo de execución e na detección de ameazas mediante a implantación de axentes especiais nos nós de Kubernetes para estes fins. Como resultado, non hai que modificar os contedores introducindo neles código de terceiros ou engadindo contedores sidecar.
Marcos de seguridade de Linux para o tempo de execución
Estes marcos nativos para o núcleo de Linux non son "ferramentas de seguranza de Kubernetes" no sentido tradicional, pero vale a pena mencionalos porque son un elemento importante no contexto da seguridade en tempo de execución, que se inclúe na Política de seguranza de pods de Kubernetes (PSP).
anexa un perfil de seguranza aos procesos que se executan no contedor, definindo privilexios do sistema de ficheiros, regras de acceso á rede, conexión de bibliotecas, etc. Este é un sistema baseado no Control de Acceso Obrigatorio (MAC). Noutras palabras, impide que se realicen accións prohibidas.
Linux con seguridade mellorada () é un módulo de seguridade avanzado no núcleo de Linux, similar nalgúns aspectos a AppArmor e moitas veces comparado con el. SELinux é superior a AppArmor en potencia, flexibilidade e personalización. As súas desvantaxes son unha longa curva de aprendizaxe e unha maior complexidade.
e seccomp-bpf permítenche filtrar chamadas ao sistema, bloquear a execución daquelas que son potencialmente perigosas para o SO base e non son necesarias para o funcionamento normal das aplicacións dos usuarios. Seccomp é semellante a Falco nalgúns aspectos, aínda que descoñece as características específicas dos contedores.
Sysdig código aberto
- Páxina web:
- Licenza: gratuíta (Apache)
Sysdig é unha ferramenta completa para analizar, diagnosticar e depurar sistemas Linux (tamén funciona en Windows e macOS, pero con funcións limitadas). Pódese usar para a recollida de información detallada, verificación e análise forense. (Forense) o sistema base e os contedores que funcionen nel.
Sysdig tamén admite de forma nativa os tempos de execución do contedor e os metadatos de Kubernetes, engadindo dimensións e etiquetas adicionais a toda a información de comportamento do sistema que recompila. Hai varias formas de analizar un clúster de Kubernetes usando Sysdig: pode realizar capturas puntuales mediante ou lanzar unha interface interactiva baseada en ncurses mediante un complemento .
Seguridade da rede de Kubernetes
Aporeto
- Páxina web:
- Licenza: comercial
Aporeto ofrece "seguridade separada da rede e da infraestrutura". Isto significa que os servizos de Kubernetes non só reciben un ID local (é dicir, ServiceAccount en Kubernetes), senón tamén un ID/pegada dixital universal que se pode usar para comunicarse de forma segura e mutua con calquera outro servizo, por exemplo nun clúster OpenShift.
Aporeto é capaz de xerar un ID único non só para Kubernetes/contedores, senón tamén para hosts, funcións na nube e usuarios. Dependendo destes identificadores e do conxunto de regras de seguridade da rede que estableza o administrador, as comunicacións serán permitidas ou bloqueadas.
chita
- Páxina web:
- Licenza: gratuíta (Apache)
Calico adoita implantarse durante a instalación dun orquestrator de contedores, o que lle permite crear unha rede virtual que interconecta os contedores. Ademais desta funcionalidade básica de rede, o proxecto Calico funciona coas políticas de rede de Kubernetes e o seu propio conxunto de perfís de seguranza de rede, admite ACL de puntos finais (listas de control de acceso) e regras de seguridade de rede baseadas en anotacións para o tráfico de entrada e saída.
Cilio
- Páxina web:
- Licenza: gratuíta (Apache)
Cilium actúa como un firewall para contedores e ofrece funcións de seguranza na rede adaptadas nativamente ás cargas de traballo de Kubernetes e microservizos. Cilium usa unha nova tecnoloxía do núcleo de Linux chamada BPF (Berkeley Packet Filter) para filtrar, supervisar, redirixir e corrixir datos.
Cilium é capaz de implementar políticas de acceso á rede baseadas nos ID de contedores utilizando etiquetas e metadatos de Docker ou Kubernetes. Cilium tamén comprende e filtra varios protocolos de capa 7 como HTTP ou gRPC, o que lle permite definir un conxunto de chamadas REST que se permitirán entre dúas implementacións de Kubernetes, por exemplo.
Istio
- Páxina web:
- Licenza: gratuíta (Apache)
Istio é amplamente coñecido por implementar o paradigma de malla de servizo mediante a implantación dun plano de control independente da plataforma e o enrutamento de todo o tráfico de servizos xestionados a través de proxies Envoy configurables de forma dinámica. Istio aproveita esta vista avanzada de todos os microservizos e contedores para implementar varias estratexias de seguridade de rede.
As capacidades de seguridade da rede de Istio inclúen o cifrado TLS transparente para actualizar automaticamente as comunicacións entre microservizos a HTTPS e un sistema propietario de identificación e autorización RBAC para permitir/negar a comunicación entre as diferentes cargas de traballo do clúster.
Nota. transl.: Para obter máis información sobre as capacidades enfocadas á seguridade de Istio, le .
Tigera
- Páxina web:
- Licenza: comercial
Chamada "Firewall Kubernetes", esta solución enfatiza un enfoque de confianza cero para a seguridade da rede.
Do mesmo xeito que outras solucións nativas de rede de Kubernetes, Tigera confía nos metadatos para identificar os distintos servizos e obxectos do clúster e ofrece detección de problemas de execución, comprobación continua do cumprimento e visibilidade da rede para infraestruturas híbridas de contedores monolíticos ou multinube.
Trirreme
- Páxina web:
- Licenza: gratuíta (Apache)
Trireme-Kubernetes é unha implementación sinxela e directa da especificación das políticas de rede de Kubernetes. A característica máis notable é que, a diferenza dos produtos de seguridade de rede Kubernetes similares, non require un plano de control central para coordinar a malla. Isto fai que a solución sexa trivialmente escalable. En Trireme, isto conséguese instalando un axente en cada nodo que se conecta directamente á pila TCP/IP do host.
Propagación de imaxes e xestión de segredos
Grafeas
- Páxina web:
- Licenza: gratuíta (Apache)
Grafeas é unha API de código aberto para a auditoría e xestión da cadea de subministración de software. A nivel básico, Grafeas é unha ferramenta para recoller metadatos e resultados de auditoría. Pódese usar para rastrexar o cumprimento das mellores prácticas de seguridade dentro dunha organización.
Esta fonte centralizada de verdade axuda a responder preguntas como:
- Quen recolleu e asinou un determinado contedor?
- Pasou todas as comprobacións e análises de seguridade requiridas pola política de seguridade? Cando? Cales foron os resultados?
- Quen o implantou na produción? Que parámetros específicos se utilizaron durante a implantación?
En total
- Páxina web:
- Licenza: gratuíta (Apache)
In-toto é un marco deseñado para proporcionar integridade, autenticación e auditoría de toda a cadea de subministración de software. Cando se implementa In-toto nunha infraestrutura, primeiro defínese un plan que describe os distintos pasos do pipeline (repositorio, ferramentas de CI/CD, ferramentas de control de calidade, colectores de artefactos, etc.) e os usuarios (persoas responsables) aos que se lles permite inicialos.
In-toto supervisa a execución do plan, verificando que cada tarefa da cadea é realizada correctamente só por persoal autorizado e que non se realizaron manipulacións non autorizadas co produto durante o movemento.
Porteiros
- Páxina web:
- Licenza: gratuíta (Apache)
Portieris é un controlador de admisión para Kubernetes; usado para facer cumprir as comprobacións de confianza do contido. Portieris usa un servidor (Escribimos sobre el ao final - aprox. tradución) como fonte de verdade para validar artefactos de confianza e asinados (é dicir, imaxes de contedores aprobadas).
Cando se crea ou modifica unha carga de traballo en Kubernetes, Portieris descarga a información de sinatura e a política de confianza de contido para as imaxes de contedores solicitadas e, se é necesario, realiza cambios ao voo no obxecto da API JSON para executar versións asinadas desas imaxes.
Bóveda
- Páxina web:
- Licenza: gratuíta (MPL)
Vault é unha solución segura para almacenar información privada: contrasinais, tokens OAuth, certificados PKI, contas de acceso, segredos de Kubernetes, etc. Vault admite moitas funcións avanzadas, como alugar fichas de seguridade efémeras ou organizar a rotación de chaves.
Usando o gráfico Helm, Vault pódese implementar como unha nova implantación nun clúster de Kubernetes con Consul como almacenamento de backend. Admite recursos nativos de Kubernetes como tokens de ServiceAccount e incluso pode actuar como o almacén predeterminado dos segredos de Kubernetes.
Nota. transl.: Por certo, onte mesmo a empresa HashiCorp, que desenvolve Vault, anunciou algunhas melloras para o uso de Vault en Kubernetes, e en concreto están relacionadas co gráfico Helm. Ler máis en .
Auditoría de seguridade de Kubernetes
Banco de Kube
- Páxina web:
- Licenza: gratuíta (Apache)
Kube-bench é unha aplicación Go que verifica se Kubernetes está implantado de forma segura realizando probas desde unha lista .
Kube-bench busca axustes de configuración inseguros entre os compoñentes do clúster (etcd, API, xestor de controladores, etc.), dereitos de acceso a ficheiros cuestionables, contas desprotexidas ou portos abertos, cotas de recursos, configuracións para limitar o número de chamadas á API para protexerse contra ataques DoS. , etc.
Cazador de Kube
- Páxina web:
- Licenza: gratuíta (Apache)
Kube-hunter busca posibles vulnerabilidades (como a execución remota de código ou a divulgación de datos) nos clústeres de Kubernetes. Kube-hunter pódese executar como un escáner remoto (nese caso avaliará o clúster desde o punto de vista dun atacante de terceiros) ou como un pod dentro do clúster.
Unha característica distintiva de Kube-hunter é o seu modo de "caza activa", durante o cal non só informa de problemas, senón que tamén intenta aproveitar as vulnerabilidades descubertas no clúster de destino que poden prexudicar o seu funcionamento. Así que usa con precaución!
Kubeaudit
- Páxina web:
- Licenza: gratuíto (MIT)
Kubeaudit é unha ferramenta de consola desenvolvida orixinalmente en Shopify para auditar a configuración de Kubernetes por varios problemas de seguridade. Por exemplo, axuda a identificar os contedores que se executan sen restricións, funcionan como root, abusan de privilexios ou utilizan a ServiceAccount predeterminada.
Kubeaudit ten outras características interesantes. Por exemplo, pode analizar ficheiros YAML locais, identificar fallos de configuración que poden provocar problemas de seguridade e solucionalos automaticamente.
Kubesec
- Páxina web:
- Licenza: gratuíta (Apache)
Kubesec é unha ferramenta especial xa que analiza directamente ficheiros YAML que describen os recursos de Kubernetes, buscando parámetros débiles que poidan afectar á seguridade.
Por exemplo, pode detectar privilexios e permisos excesivos concedidos a un pod, executar un contedor con root como usuario predeterminado, conectarse ao espazo de nomes da rede do host ou montaxes perigosas como /proc host ou socket Docker. Outra característica interesante de Kubesec é o servizo de demostración dispoñible en liña, no que pode cargar YAML e analizalo inmediatamente.
Abre axente de políticas
- Páxina web:
- Licenza: gratuíta (Apache)
O concepto de OPA (Open Policy Agent) é desvincular as políticas de seguranza e as mellores prácticas de seguridade dunha plataforma de tempo de execución específica: Docker, Kubernetes, Mesosphere, OpenShift ou calquera combinación das mesmas.
Por exemplo, pode implementar OPA como backend para o controlador de admisión de Kubernetes, delegando nel as decisións de seguridade. Deste xeito, o axente OPA pode validar, rexeitar e mesmo modificar solicitudes sobre a marcha, garantindo que se cumpren os parámetros de seguridade especificados. As políticas de seguridade de OPA están escritas na súa linguaxe propietaria DSL, Rego.
Nota. transl.: Escribimos máis sobre OPA (e SPIFFE) en .
Ferramentas comerciais completas para análise de seguridade de Kubernetes
Decidimos crear unha categoría separada para plataformas comerciais porque normalmente cobren varias áreas de seguridade. A partir da táboa pódese obter unha idea xeral das súas capacidades:
* Exame avanzado e análise post mortem completa .
Aqua Security
- Páxina web:
- Licenza: comercial
Esta ferramenta comercial está deseñada para contedores e cargas de traballo na nube. Ofrece:
- Escaneado de imaxes integrado cun rexistro de contedores ou canalización CI/CD;
- Protección en tempo de execución con busca de cambios nos contedores e outras actividades sospeitosas;
- Firewall nativo de contedores;
- Seguridade para servizos en nube sen servidor;
- Probas e auditorías de conformidade combinadas co rexistro de eventos.
Nota. transl.: Tamén cabe destacar que as hai compoñente gratuíto do produto chamado , que lle permite escanear imaxes de contedores para detectar vulnerabilidades. Preséntase unha comparación das súas capacidades coas versións de pago .
Cápsula 8
- Páxina web:
- Licenza: comercial
Capsule8 intégrase na infraestrutura instalando o detector nun clúster de Kubernetes local ou na nube. Este detector recolle a telemetría do host e da rede, correlacionándoa con diferentes tipos de ataques.
O equipo de Capsule8 considera que a súa tarefa é a detección precoz e a prevención de ataques utilizando novos (0 días) vulnerabilidades. Capsule8 pode descargar regras de seguranza actualizadas directamente aos detectores en resposta ás ameazas recentemente descubertas e ás vulnerabilidades do software.
Cavirina
- Páxina web:
- Licenza: comercial
Cavirin actúa como contratista da empresa para varias axencias implicadas nas normas de seguridade. Non só pode escanear imaxes, senón que tamén se pode integrar na canalización CI/CD, bloqueando as imaxes non estándar antes de que entren en repositorios pechados.
A suite de seguridade de Cavirin utiliza a aprendizaxe automática para avaliar a túa postura de ciberseguridade, ofrecendo consellos para mellorar a seguridade e mellorar o cumprimento dos estándares de seguridade.
Google Cloud Security Command Center
- Páxina web:
- Licenza: comercial
Cloud Security Command Center axuda aos equipos de seguridade a recoller datos, identificar ameazas e eliminalas antes de que danen á empresa.
Como o nome indica, Google Cloud SCC é un panel de control unificado que pode integrar e xestionar unha variedade de informes de seguridade, motores de contabilidade de activos e sistemas de seguridade de terceiros desde unha única fonte centralizada.
A API interoperable que ofrece Google Cloud SCC facilita a integración de eventos de seguranza procedentes de diversas fontes, como Sysdig Secure (seguridade de contedores para aplicacións nativas da nube) ou Falco (seguridade de execución de código aberto).
Perspectiva en capas (Qualys)
- Páxina web:
- Licenza: comercial
Layered Insight (agora parte de Qualys Inc) baséase no concepto de "seguridade integrada". Despois de escanear a imaxe orixinal en busca de vulnerabilidades mediante análises estatísticas e comprobacións CVE, Layered Insight substitúea por unha imaxe instrumentada que inclúe o axente como binario.
Este axente contén probas de seguridade en tempo de execución para analizar o tráfico da rede de contedores, os fluxos de E/S e a actividade das aplicacións. Ademais, pode realizar comprobacións de seguridade adicionais especificadas polo administrador da infraestrutura ou os equipos de DevOps.
NeuVector
- Páxina web:
- Licenza: comercial
NeuVector comproba a seguridade do contedor e ofrece protección durante o tempo de execución analizando a actividade da rede e o comportamento da aplicación, creando un perfil de seguranza individual para cada contedor. Tamén pode bloquear as ameazas por si só, illando a actividade sospeitosa cambiando as regras do firewall local.
A integración de rede de NeuVector, coñecida como Security Mesh, é capaz de realizar unha análise profunda de paquetes e un filtrado de capa 7 para todas as conexións de rede na malla de servizo.
StackRox
- Páxina web:
- Licenza: comercial
A plataforma de seguranza de contedores StackRox esfórzase por cubrir todo o ciclo de vida das aplicacións Kubernetes nun clúster. Do mesmo xeito que outras plataformas comerciais desta lista, StackRox xera un perfil de execución baseado no comportamento do contedor observado e activa automaticamente unha alarma por calquera desvío.
Ademais, StackRox analiza as configuracións de Kubernetes utilizando o CIS de Kubernetes e outros libros de regras para avaliar o cumprimento do contedor.
Sysdig Secure
- Páxina web:
- Licenza: comercial
Sysdig Secure protexe as aplicacións durante todo o ciclo de vida do contedor e de Kubernetes. El contedores, proporciona segundo datos de aprendizaxe automática, realiza crema. experiencia para identificar vulnerabilidades, bloquear ameazas, monitorear e auditorías da actividade en microservizos.
Sysdig Secure intégrase con ferramentas CI/CD como Jenkins e controla as imaxes cargadas desde os rexistros de Docker, evitando que aparezan imaxes perigosas na produción. Tamén ofrece unha seguridade completa en tempo de execución, incluíndo:
- Perfil de tempo de execución baseado en ML e detección de anomalías;
- políticas de tempo de execución baseadas en eventos do sistema, API de auditoría K8s, proxectos comunitarios conxuntos (FIM - seguimento da integridade de ficheiros; cryptojacking) e marco ;
- resposta e resolución de incidencias.
Seguridade de contedores tenable
- Páxina web:
- Licenza: comercial
Antes da chegada dos contedores, Tenable era moi coñecida na industria como a empresa detrás de Nessus, unha popular ferramenta de busca de vulnerabilidades e auditoría de seguridade.
Tenable Container Security aproveita a experiencia en seguridade informática da empresa para integrar unha canalización de CI/CD con bases de datos de vulnerabilidades, paquetes especializados de detección de malware e recomendacións para resolver ameazas de seguridade.
Twistlock (Palo Alto Networks)
- Páxina web:
- Licenza: comercial
Twistlock promóvese como unha plataforma centrada en servizos e contedores na nube. Twistlock admite varios provedores de nube (AWS, Azure, GCP), orquestadores de contedores (Kubernetes, Mesospehere, OpenShift, Docker), tempos de execución sen servidor, marcos de malla e ferramentas CI/CD.
Ademais das técnicas de seguridade convencionais de nivel empresarial, como a integración de pipeline CI/CD ou a dixitalización de imaxes, Twistlock usa a aprendizaxe automática para xerar patróns de comportamento e regras de rede específicos para o contenedor.
Hai tempo, Twistlock foi comprado por Palo Alto Networks, propietaria dos proxectos Evident.io e RedLock. Aínda non se sabe como se integrarán exactamente estas tres plataformas de Palo Alto.
Axuda a crear o mellor catálogo de ferramentas de seguranza de Kubernetes.
Esforzámonos para que este catálogo sexa o máis completo posible, e para iso necesitamos a vosa axuda! Contacta connosco () se tes unha ferramenta interesante en mente que merece ser incluída nesta lista, ou atopas un erro/información desactualizada.
Tamén podes subscribirte ao noso con noticias do ecosistema nativo da nube e historias sobre proxectos interesantes do mundo da seguridade de Kubernetes.
PS do tradutor
Lea tamén no noso blog:
- «»;
- «»;
- «»;
- «»;
- «».
Fonte: www.habr.com