33+ कुबेरनेट्स सुरक्षा उपकरण

टिप्पणी। अनुवाद।: यदि आप कुबेरनेट्स-आधारित बुनियादी ढांचे में सुरक्षा के बारे में सोच रहे हैं, तो सिसडिग का यह उत्कृष्ट अवलोकन वर्तमान समाधानों पर त्वरित नज़र डालने के लिए एक शानदार प्रारंभिक बिंदु है। इसमें जाने-माने बाज़ार खिलाड़ियों की जटिल प्रणालियाँ और बहुत अधिक सामान्य उपयोगिताएँ शामिल हैं जो किसी विशेष समस्या का समाधान करती हैं। और टिप्पणियों में, हमेशा की तरह, हमें इन उपकरणों का उपयोग करने के आपके अनुभव के बारे में सुनकर और अन्य परियोजनाओं के लिंक देखकर खुशी होगी।

कुबेरनेट्स सुरक्षा सॉफ़्टवेयर उत्पाद... उनमें से बहुत सारे हैं, प्रत्येक के अपने लक्ष्य, कार्यक्षेत्र और लाइसेंस हैं।

इसीलिए हमने यह सूची बनाने का निर्णय लिया और इसमें विभिन्न विक्रेताओं के ओपन सोर्स प्रोजेक्ट और वाणिज्यिक प्लेटफ़ॉर्म दोनों को शामिल किया। हमें उम्मीद है कि यह आपको उन लोगों की पहचान करने में मदद करेगा जो सबसे अधिक रुचिकर हैं और आपकी विशिष्ट कुबेरनेट्स सुरक्षा आवश्यकताओं के आधार पर आपको सही दिशा में इंगित करेंगे।

श्रेणियाँ

सूची को नेविगेट करना आसान बनाने के लिए, टूल को मुख्य फ़ंक्शन और एप्लिकेशन द्वारा व्यवस्थित किया जाता है। निम्नलिखित अनुभाग प्राप्त हुए:

• कुबेरनेट्स छवि स्कैनिंग और स्थैतिक विश्लेषण;
• रनटाइम सुरक्षा;
• कुबेरनेट्स नेटवर्क सुरक्षा;
• छवि वितरण और रहस्य प्रबंधन;
• कुबेरनेट्स सुरक्षा ऑडिट;
• व्यापक वाणिज्यिक उत्पाद।

चलो पहले कारोबार करें:

कुबेरनेट्स छवियों को स्कैन करना

लंगर

• वेबसाइट: एंकर.कॉम
• लाइसेंस: मुफ़्त (अपाचे) और वाणिज्यिक प्रस्ताव

एंकर कंटेनर छवियों का विश्लेषण करता है और उपयोगकर्ता द्वारा परिभाषित नीतियों के आधार पर सुरक्षा जांच की अनुमति देता है।

सीवीई डेटाबेस से ज्ञात कमजोरियों के लिए कंटेनर छवियों की सामान्य स्कैनिंग के अलावा, एंकर अपनी स्कैनिंग नीति के हिस्से के रूप में कई अतिरिक्त जांच करता है: डॉकरफाइल, क्रेडेंशियल लीक, प्रयुक्त प्रोग्रामिंग भाषाओं के पैकेज (एनपीएम, मावेन, आदि) की जांच करता है। .), सॉफ़्टवेयर लाइसेंस और भी बहुत कुछ।

स्पष्ट

• वेबसाइट: coreos.com/clair (अब रेड हैट के संरक्षण में)
• लाइसेंस: मुफ़्त (अपाचे)

क्लेयर छवि स्कैनिंग के लिए पहली ओपन सोर्स परियोजनाओं में से एक थी। इसे व्यापक रूप से क्वे इमेज रजिस्ट्री के पीछे सुरक्षा स्कैनर के रूप में जाना जाता है (CoreOS से भी - लगभग। अनुवाद). क्लेयर विभिन्न प्रकार के स्रोतों से सीवीई जानकारी एकत्र कर सकता है, जिसमें डेबियन, रेड हैट या उबंटू सुरक्षा टीमों द्वारा बनाए गए लिनक्स वितरण-विशिष्ट कमजोरियों की सूची भी शामिल है।

एंकर के विपरीत, क्लेयर मुख्य रूप से कमजोरियों को खोजने और सीवीई से डेटा का मिलान करने पर ध्यान केंद्रित करता है। हालाँकि, उत्पाद उपयोगकर्ताओं को प्लग-इन ड्राइवरों का उपयोग करके कार्यों का विस्तार करने के कुछ अवसर प्रदान करता है।

दगडा

• वेबसाइट: github.com/eliasgranderubio/dagda
• लाइसेंस: मुफ़्त (अपाचे)

दग्दा ज्ञात कमजोरियों, ट्रोजन, वायरस, मैलवेयर और अन्य खतरों के लिए कंटेनर छवियों का स्थैतिक विश्लेषण करता है।

दो उल्लेखनीय विशेषताएं दग्दा को अन्य समान उपकरणों से अलग करती हैं:

• यह पूरी तरह से एकीकृत हो जाता है ClamAV, न केवल कंटेनर छवियों को स्कैन करने के लिए एक उपकरण के रूप में, बल्कि एक एंटीवायरस के रूप में भी कार्य करता है।
• डॉकर डेमॉन से वास्तविक समय की घटनाओं को प्राप्त करके और फाल्को के साथ एकीकृत करके रनटाइम सुरक्षा भी प्रदान करता है (निचे देखो) कंटेनर के चलने के दौरान सुरक्षा घटनाओं को एकत्र करने के लिए।

क्यूबएक्सरे

• वेबसाइट: github.com/jfrog/kubexray
• लाइसेंस: नि:शुल्क (अपाचे), लेकिन जेफ्रॉग एक्सरे (वाणिज्यिक उत्पाद) से डेटा की आवश्यकता है

KubeXray Kubernetes API सर्वर से घटनाओं को सुनता है और यह सुनिश्चित करने के लिए JFrog Xray से मेटाडेटा का उपयोग करता है कि केवल वर्तमान नीति से मेल खाने वाले पॉड लॉन्च किए जाएं।

KubeXray न केवल तैनाती में नए या अद्यतन कंटेनरों का ऑडिट करता है (कुबेरनेट्स में प्रवेश नियंत्रक के समान), बल्कि नई सुरक्षा नीतियों के अनुपालन के लिए चल रहे कंटेनरों की गतिशील रूप से जांच भी करता है, कमजोर छवियों को संदर्भित करने वाले संसाधनों को हटा देता है।

संन्यासी

• वेबसाइट: snyk.io
• लाइसेंस: मुफ़्त (अपाचे) और व्यावसायिक संस्करण

Snyk एक असामान्य भेद्यता स्कैनर है जिसमें यह विशेष रूप से विकास प्रक्रिया को लक्षित करता है और इसे डेवलपर्स के लिए "आवश्यक समाधान" के रूप में प्रचारित किया जाता है।

Snyk सीधे कोड रिपॉजिटरी से जुड़ता है, प्रोजेक्ट मेनिफ़ेस्ट को पार्स करता है और प्रत्यक्ष और अप्रत्यक्ष निर्भरता के साथ आयातित कोड का विश्लेषण करता है। Snyk कई लोकप्रिय प्रोग्रामिंग भाषाओं का समर्थन करता है और छिपे हुए लाइसेंस जोखिमों की पहचान कर सकता है।

तुच्छ

• वेबसाइट: github.com/knqyf263/trivy
• लाइसेंस: मुफ़्त (एजीपीएल)

ट्रिवी कंटेनरों के लिए एक सरल लेकिन शक्तिशाली भेद्यता स्कैनर है जो आसानी से सीआई/सीडी पाइपलाइन में एकीकृत हो जाता है। इसकी उल्लेखनीय विशेषता इसकी स्थापना और संचालन में आसानी है: एप्लिकेशन में एक एकल बाइनरी होती है और इसके लिए डेटाबेस या अतिरिक्त लाइब्रेरी की स्थापना की आवश्यकता नहीं होती है।

ट्रिवी की सरलता का नकारात्मक पक्ष यह है कि आपको यह पता लगाना होगा कि परिणामों को JSON प्रारूप में कैसे पार्स और अग्रेषित किया जाए ताकि अन्य कुबेरनेट्स सुरक्षा उपकरण उनका उपयोग कर सकें।

कुबेरनेट्स में रनटाइम सुरक्षा

फाल्को

• वेबसाइट: falco.org
• लाइसेंस: मुफ़्त (अपाचे)

फाल्को क्लाउड रनटाइम वातावरण को सुरक्षित करने के लिए उपकरणों का एक सेट है। प्रोजेक्ट परिवार का हिस्सा सीएनसीएफ.

Sysdig के लिनक्स कर्नेल-स्तरीय टूलींग और सिस्टम कॉल प्रोफाइलिंग का उपयोग करके, फाल्को आपको सिस्टम व्यवहार में गहराई से गोता लगाने की अनुमति देता है। इसका रनटाइम नियम इंजन अनुप्रयोगों, कंटेनरों, अंतर्निहित होस्ट और कुबेरनेट्स ऑर्केस्ट्रेटर में संदिग्ध गतिविधि का पता लगाने में सक्षम है।

फाल्को इन उद्देश्यों के लिए कुबेरनेट्स नोड्स पर विशेष एजेंटों को तैनात करके रनटाइम और खतरे का पता लगाने में पूर्ण पारदर्शिता प्रदान करता है। परिणामस्वरूप, कंटेनरों में तृतीय-पक्ष कोड डालकर या साइडकार कंटेनर जोड़कर उन्हें संशोधित करने की कोई आवश्यकता नहीं है।

रनटाइम के लिए लिनक्स सुरक्षा ढाँचे

लिनक्स कर्नेल के लिए ये मूल ढाँचे पारंपरिक अर्थों में "कुबेरनेट्स सुरक्षा उपकरण" नहीं हैं, लेकिन वे उल्लेख के लायक हैं क्योंकि वे रनटाइम सुरक्षा के संदर्भ में एक महत्वपूर्ण तत्व हैं, जो कुबेरनेट्स पॉड सुरक्षा नीति (पीएसपी) में शामिल है।

AppArmor कंटेनर में चल रही प्रक्रियाओं के लिए एक सुरक्षा प्रोफ़ाइल संलग्न करता है, फ़ाइल सिस्टम विशेषाधिकारों, नेटवर्क एक्सेस नियमों, कनेक्टिंग लाइब्रेरीज़ आदि को परिभाषित करता है। यह अनिवार्य अभिगम नियंत्रण (MAC) पर आधारित प्रणाली है। दूसरे शब्दों में, यह निषिद्ध कार्यों को करने से रोकता है।

सुरक्षा-उन्नत लिनक्स (SELinux) लिनक्स कर्नेल में एक उन्नत सुरक्षा मॉड्यूल है, जो कुछ पहलुओं में AppArmor के समान है और अक्सर इसकी तुलना की जाती है। SELinux शक्ति, लचीलेपन और अनुकूलन में AppArmor से बेहतर है। इसके नुकसान सीखने की लंबी अवधि और बढ़ी हुई जटिलता हैं।

Seccomp और seccomp-bpf आपको सिस्टम कॉल को फ़िल्टर करने, उन कॉलों के निष्पादन को अवरुद्ध करने की अनुमति देता है जो बेस ओएस के लिए संभावित रूप से खतरनाक हैं और उपयोगकर्ता अनुप्रयोगों के सामान्य संचालन के लिए आवश्यक नहीं हैं। सेकॉम्प कुछ मायनों में फाल्को के समान है, हालांकि यह कंटेनरों की विशिष्टताओं को नहीं जानता है।

सिसडिग खुला स्रोत

• वेबसाइट: www.sysdig.com/opensource
• लाइसेंस: मुफ़्त (अपाचे)

Sysdig Linux सिस्टम के विश्लेषण, निदान और डिबगिंग के लिए एक संपूर्ण टूल है (Windows और macOS पर भी काम करता है, लेकिन सीमित कार्यों के साथ)। इसका उपयोग विस्तृत जानकारी एकत्र करने, सत्यापन और फोरेंसिक विश्लेषण के लिए किया जा सकता है। (फोरेंसिक) आधार प्रणाली और उस पर चलने वाले कोई भी कंटेनर।

Sysdig मूल रूप से कंटेनर रनटाइम और Kubernetes मेटाडेटा का भी समर्थन करता है, जो इसे एकत्रित सभी सिस्टम व्यवहार जानकारी में अतिरिक्त आयाम और लेबल जोड़ता है। Sysdig का उपयोग करके Kubernetes क्लस्टर का विश्लेषण करने के कई तरीके हैं: आप पॉइंट-इन-टाइम कैप्चर कर सकते हैं कुबेक्टल कैप्चर या एक प्लगइन का उपयोग करके एक ncurses-आधारित इंटरैक्टिव इंटरफ़ेस लॉन्च करें कुबेक्टल खुदाई.

कुबेरनेट्स नेटवर्क सुरक्षा

Aporeto

• वेबसाइट: www.aporeto.com
• लाइसेंस: वाणिज्यिक

एपोरेटो "नेटवर्क और बुनियादी ढांचे से अलग सुरक्षा" प्रदान करता है। इसका मतलब यह है कि कुबेरनेट्स सेवाओं को न केवल एक स्थानीय आईडी (यानी कुबेरनेट्स में सर्विसअकाउंट) प्राप्त होती है, बल्कि एक सार्वभौमिक आईडी/फिंगरप्रिंट भी प्राप्त होता है जिसका उपयोग किसी अन्य सेवा के साथ सुरक्षित रूप से और पारस्परिक रूप से संचार करने के लिए किया जा सकता है, उदाहरण के लिए ओपनशिफ्ट क्लस्टर में।

एपोरेटो न केवल कुबेरनेट्स/कंटेनरों के लिए, बल्कि होस्ट, क्लाउड फ़ंक्शंस और उपयोगकर्ताओं के लिए भी एक अद्वितीय आईडी उत्पन्न करने में सक्षम है। इन पहचानकर्ताओं और व्यवस्थापक द्वारा निर्धारित नेटवर्क सुरक्षा नियमों के आधार पर, संचार की अनुमति दी जाएगी या अवरुद्ध किया जाएगा।

कैलिकौ

• वेबसाइट: www.projectcalico.org
• लाइसेंस: मुफ़्त (अपाचे)

केलिको को आमतौर पर कंटेनर ऑर्केस्ट्रेटर इंस्टॉलेशन के दौरान तैनात किया जाता है, जिससे आप एक वर्चुअल नेटवर्क बना सकते हैं जो कंटेनरों को आपस में जोड़ता है। इस बुनियादी नेटवर्क कार्यक्षमता के अलावा, केलिको प्रोजेक्ट कुबेरनेट्स नेटवर्क नीतियों और नेटवर्क सुरक्षा प्रोफाइल के अपने सेट के साथ काम करता है, एंडपॉइंट एसीएल (एक्सेस कंट्रोल लिस्ट) और इनग्रेस और इग्रेस ट्रैफिक के लिए एनोटेशन-आधारित नेटवर्क सुरक्षा नियमों का समर्थन करता है।

पपनी

• वेबसाइट: www.silium.io
• लाइसेंस: मुफ़्त (अपाचे)

सिलियम कंटेनरों के लिए फ़ायरवॉल के रूप में कार्य करता है और कुबेरनेट्स और माइक्रोसर्विसेज़ वर्कलोड के अनुरूप नेटवर्क सुरक्षा सुविधाएँ प्रदान करता है। डेटा को फ़िल्टर करने, मॉनिटर करने, पुनर्निर्देशित करने और सही करने के लिए सिलियम BPF (बर्कले पैकेट फ़िल्टर) नामक एक नई लिनक्स कर्नेल तकनीक का उपयोग करता है।

सिलियम डॉकर या कुबेरनेट्स लेबल और मेटाडेटा का उपयोग करके कंटेनर आईडी के आधार पर नेटवर्क एक्सेस नीतियों को तैनात करने में सक्षम है। सिलियम HTTP या gRPC जैसे विभिन्न लेयर 7 प्रोटोकॉल को भी समझता है और फ़िल्टर करता है, जिससे आप REST कॉल के एक सेट को परिभाषित कर सकते हैं, जिसे उदाहरण के लिए दो कुबेरनेट्स परिनियोजन के बीच अनुमति दी जाएगी।

Istio

• वेबसाइट: istio.io
• लाइसेंस: मुफ़्त (अपाचे)

इस्तियो व्यापक रूप से एक प्लेटफ़ॉर्म-स्वतंत्र नियंत्रण विमान को तैनात करके और गतिशील रूप से कॉन्फ़िगर करने योग्य एन्वॉय प्रॉक्सी के माध्यम से सभी प्रबंधित सेवा ट्रैफ़िक को रूट करके सेवा जाल प्रतिमान को लागू करने के लिए जाना जाता है। इस्तियो विभिन्न नेटवर्क सुरक्षा रणनीतियों को लागू करने के लिए सभी माइक्रोसर्विसेज और कंटेनरों के इस उन्नत दृष्टिकोण का लाभ उठाता है।

इस्तियो की नेटवर्क सुरक्षा क्षमताओं में माइक्रोसर्विसेज के बीच संचार को HTTPS में स्वचालित रूप से अपग्रेड करने के लिए पारदर्शी टीएलएस एन्क्रिप्शन और क्लस्टर में विभिन्न कार्यभार के बीच संचार की अनुमति/अस्वीकार करने के लिए एक मालिकाना आरबीएसी पहचान और प्राधिकरण प्रणाली शामिल है।

टिप्पणी। अनुवाद।: इस्तियो की सुरक्षा-केंद्रित क्षमताओं के बारे में अधिक जानने के लिए पढ़ें यह लेख.

तिगारा

• वेबसाइट: www.tigera.io
• लाइसेंस: वाणिज्यिक

"कुबेरनेट्स फ़ायरवॉल" कहा जाने वाला यह समाधान नेटवर्क सुरक्षा के लिए शून्य-विश्वास दृष्टिकोण पर जोर देता है।

अन्य देशी कुबेरनेट्स नेटवर्किंग समाधानों के समान, टाइगरा क्लस्टर में विभिन्न सेवाओं और वस्तुओं की पहचान करने के लिए मेटाडेटा पर निर्भर करता है और मल्टी-क्लाउड या हाइब्रिड मोनोलिथिक-कंटेनराइज्ड इंफ्रास्ट्रक्चर के लिए रनटाइम समस्या का पता लगाने, निरंतर अनुपालन जांच और नेटवर्क दृश्यता प्रदान करता है।

ट्राइरेम

• वेबसाइट: www.aporeto.com/opensource
• लाइसेंस: मुफ़्त (अपाचे)

ट्राइरेमे-कुबेरनेट्स कुबेरनेट्स नेटवर्क नीतियों विनिर्देश का एक सरल और सीधा कार्यान्वयन है। सबसे उल्लेखनीय विशेषता यह है कि - समान कुबेरनेट्स नेटवर्क सुरक्षा उत्पादों के विपरीत - इसमें जाल को समन्वयित करने के लिए केंद्रीय नियंत्रण विमान की आवश्यकता नहीं होती है। यह समाधान को तुच्छ रूप से स्केलेबल बनाता है। ट्राइरेमे में, यह प्रत्येक नोड पर एक एजेंट स्थापित करके प्राप्त किया जाता है जो सीधे होस्ट के टीसीपी/आईपी स्टैक से जुड़ता है।

छवि प्रसार और रहस्य प्रबंधन

Grafeas

• वेबसाइट: grafeas.io
• लाइसेंस: मुफ़्त (अपाचे)

ग्राफ़ियस सॉफ़्टवेयर आपूर्ति श्रृंखला ऑडिटिंग और प्रबंधन के लिए एक खुला स्रोत एपीआई है। बुनियादी स्तर पर, ग्राफ़ियस मेटाडेटा और ऑडिट निष्कर्ष एकत्र करने का एक उपकरण है। इसका उपयोग किसी संगठन के भीतर सुरक्षा सर्वोत्तम प्रथाओं के अनुपालन को ट्रैक करने के लिए किया जा सकता है।

सत्य का यह केंद्रीकृत स्रोत निम्नलिखित प्रश्नों के उत्तर देने में सहायता करता है:

• किसी विशेष कंटेनर को किसने एकत्र किया और उस पर हस्ताक्षर किए?
• क्या इसने सुरक्षा नीति के लिए आवश्यक सभी सुरक्षा स्कैन और जाँचें पास कर ली हैं? कब? परिणाम क्या थे?
• इसे उत्पादन में किसने तैनात किया? तैनाती के दौरान कौन से विशिष्ट पैरामीटर का उपयोग किया गया था?

पूरा

• वेबसाइट: in-toto.github.io
• लाइसेंस: मुफ़्त (अपाचे)

इन-टोटो एक ढांचा है जिसे संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला की अखंडता, प्रमाणीकरण और ऑडिटिंग प्रदान करने के लिए डिज़ाइन किया गया है। किसी बुनियादी ढांचे में इन-टोटो को तैनात करते समय, सबसे पहले एक योजना को परिभाषित किया जाता है जो पाइपलाइन में विभिन्न चरणों (रिपोजिटरी, सीआई/सीडी उपकरण, क्यूए उपकरण, आर्टिफैक्ट कलेक्टर इत्यादि) और उपयोगकर्ताओं (जिम्मेदार व्यक्तियों) का वर्णन करता है जिन्हें इसकी अनुमति है। उन्हें आरंभ करें.

इन-टोटो योजना के कार्यान्वयन की निगरानी करता है, यह सत्यापित करता है कि श्रृंखला में प्रत्येक कार्य केवल अधिकृत कर्मियों द्वारा ठीक से किया जाता है और आंदोलन के दौरान उत्पाद के साथ कोई अनधिकृत हेरफेर नहीं किया गया है।

पोर्टिएरिस

• वेबसाइट: github.com/IBM/portieris
• लाइसेंस: मुफ़्त (अपाचे)

पोर्टिएरिस कुबेरनेट्स के लिए एक प्रवेश नियंत्रक है; सामग्री विश्वास जाँच को लागू करने के लिए उपयोग किया जाता है। पोर्टिएरिस एक सर्वर का उपयोग करता है नोटरी (हमने उसके बारे में अंत में लिखा था इस लेख का - लगभग। अनुवाद) विश्वसनीय और हस्ताक्षरित कलाकृतियों (यानी अनुमोदित कंटेनर छवियां) को मान्य करने के लिए सत्य के स्रोत के रूप में।

जब कुबेरनेट्स में कोई कार्यभार बनाया या संशोधित किया जाता है, तो पोर्टिएरिस अनुरोधित कंटेनर छवियों के लिए हस्ताक्षर जानकारी और सामग्री विश्वास नीति डाउनलोड करता है और, यदि आवश्यक हो, तो उन छवियों के हस्ताक्षरित संस्करणों को चलाने के लिए JSON एपीआई ऑब्जेक्ट में ऑन-द-फ्लाई परिवर्तन करता है।

मेहराब

• वेबसाइट: www.vaultproject.io
• लाइसेंस: मुफ़्त (एमपीएल)

वॉल्ट निजी जानकारी संग्रहीत करने के लिए एक सुरक्षित समाधान है: पासवर्ड, OAuth टोकन, PKI प्रमाणपत्र, एक्सेस खाते, Kubernetes रहस्य, आदि। वॉल्ट कई उन्नत सुविधाओं का समर्थन करता है, जैसे अल्पकालिक सुरक्षा टोकन को पट्टे पर देना या कुंजी रोटेशन को व्यवस्थित करना।

हेल्म चार्ट का उपयोग करके, वॉल्ट को बैकएंड स्टोरेज के रूप में कॉन्सल के साथ कुबेरनेट्स क्लस्टर में एक नई तैनाती के रूप में तैनात किया जा सकता है। यह सर्विसअकाउंट टोकन जैसे देशी कुबेरनेट्स संसाधनों का समर्थन करता है और कुबेरनेट्स रहस्यों के लिए डिफ़ॉल्ट स्टोर के रूप में भी कार्य कर सकता है।

टिप्पणी। अनुवाद।: वैसे, कल ही कंपनी हाशीकॉर्प, जो वॉल्ट विकसित करती है, ने कुबेरनेट्स में वॉल्ट का उपयोग करने के लिए कुछ सुधारों की घोषणा की, और विशेष रूप से वे हेल्म चार्ट से संबंधित हैं। में और पढ़ें डेवलपर ब्लॉग.

कुबेरनेट्स सुरक्षा ऑडिट

क्यूब-बेंच

• वेबसाइट: github.com/aquasecurity/kube-bench
• लाइसेंस: मुफ़्त (अपाचे)

क्यूब-बेंच एक गो एप्लिकेशन है जो किसी सूची से परीक्षण चलाकर जांच करता है कि कुबेरनेट्स को सुरक्षित रूप से तैनात किया गया है या नहीं सीआईएस कुबेरनेट्स बेंचमार्क.

क्यूब-बेंच क्लस्टर घटकों (आदि, एपीआई, नियंत्रक प्रबंधक, आदि) के बीच असुरक्षित कॉन्फ़िगरेशन सेटिंग्स, संदिग्ध फ़ाइल एक्सेस अधिकार, असुरक्षित खाते या खुले पोर्ट, संसाधन कोटा, DoS हमलों से बचाने के लिए एपीआई कॉल की संख्या को सीमित करने की सेटिंग्स की तलाश करता है। , वगैरह।

क्यूब-शिकारी

• वेबसाइट: github.com/aquasecurity/kube-hunter
• लाइसेंस: मुफ़्त (अपाचे)

क्यूब-हंटर कुबेरनेट क्लस्टर्स में संभावित कमजोरियों (जैसे रिमोट कोड निष्पादन या डेटा प्रकटीकरण) की तलाश करता है। क्यूब-हंटर को एक रिमोट स्कैनर के रूप में चलाया जा सकता है - जिस स्थिति में यह तीसरे पक्ष के हमलावर के दृष्टिकोण से क्लस्टर का मूल्यांकन करेगा - या क्लस्टर के अंदर एक पॉड के रूप में।

क्यूब-हंटर की एक विशिष्ट विशेषता इसका "सक्रिय शिकार" मोड है, जिसके दौरान यह न केवल समस्याओं की रिपोर्ट करता है, बल्कि लक्ष्य क्लस्टर में खोजी गई कमजोरियों का लाभ उठाने की भी कोशिश करता है जो संभावित रूप से इसके संचालन को नुकसान पहुंचा सकता है। इसलिए सावधानी से प्रयोग करें!

Kubeaudit

• वेबसाइट: github.com/Shopify/kubeaudit
• लाइसेंस: मुफ़्त (एमआईटी)

Kubeaudit एक कंसोल टूल है जिसे मूल रूप से विभिन्न सुरक्षा मुद्दों के लिए Kubernetes कॉन्फ़िगरेशन का ऑडिट करने के लिए Shopify पर विकसित किया गया है। उदाहरण के लिए, यह अप्रतिबंधित चलने वाले, रूट के रूप में चलने वाले, विशेषाधिकारों का दुरुपयोग करने वाले, या डिफ़ॉल्ट ServiceAccount का उपयोग करने वाले कंटेनरों की पहचान करने में मदद करता है।

Kubeaudit में अन्य दिलचस्प विशेषताएं हैं। उदाहरण के लिए, यह स्थानीय YAML फ़ाइलों का विश्लेषण कर सकता है, कॉन्फ़िगरेशन दोषों की पहचान कर सकता है जो सुरक्षा समस्याओं का कारण बन सकते हैं, और स्वचालित रूप से उन्हें ठीक कर सकते हैं।

कुबेसेक

• वेबसाइट: kubesec.io
• लाइसेंस: मुफ़्त (अपाचे)

Kubesec एक विशेष उपकरण है जिसमें यह सीधे YAML फ़ाइलों को स्कैन करता है जो Kubernetes संसाधनों का वर्णन करते हैं, कमजोर मापदंडों की तलाश करते हैं जो सुरक्षा को प्रभावित कर सकते हैं।

उदाहरण के लिए, यह किसी पॉड को दिए गए अत्यधिक विशेषाधिकारों और अनुमतियों का पता लगा सकता है, डिफ़ॉल्ट उपयोगकर्ता के रूप में रूट के साथ एक कंटेनर चलाना, होस्ट के नेटवर्क नेमस्पेस से कनेक्ट करना, या खतरनाक माउंट जैसे /proc होस्ट या डॉकर सॉकेट। क्यूबसेक की एक और दिलचस्प विशेषता ऑनलाइन उपलब्ध डेमो सेवा है, जिसमें आप YAML अपलोड कर सकते हैं और तुरंत इसका विश्लेषण कर सकते हैं।

ओपन पॉलिसी एजेंट

• वेबसाइट: www.openpolicyagent.org
• लाइसेंस: मुफ़्त (अपाचे)

ओपीए (ओपन पॉलिसी एजेंट) की अवधारणा एक विशिष्ट रनटाइम प्लेटफॉर्म से सुरक्षा नीतियों और सुरक्षा सर्वोत्तम प्रथाओं को अलग करना है: डॉकर, कुबेरनेट्स, मेसोस्फीयर, ओपनशिफ्ट, या उसके किसी भी संयोजन।

उदाहरण के लिए, आप ओपीए को कुबेरनेट्स प्रवेश नियंत्रक के लिए बैकएंड के रूप में तैनात कर सकते हैं, इसे सुरक्षा निर्णय सौंप सकते हैं। इस तरह, ओपीए एजेंट तुरंत अनुरोधों को मान्य, अस्वीकार और यहां तक ​​कि संशोधित भी कर सकता है, यह सुनिश्चित करते हुए कि निर्दिष्ट सुरक्षा पैरामीटर पूरे हो गए हैं। ओपीए की सुरक्षा नीतियां इसकी मालिकाना डीएसएल भाषा, रेगो में लिखी गई हैं।

टिप्पणी। अनुवाद।: हमने OPA (और SPIFFE) के बारे में और अधिक लिखा पदार्थ.

कुबेरनेट्स सुरक्षा विश्लेषण के लिए व्यापक वाणिज्यिक उपकरण

हमने वाणिज्यिक प्लेटफार्मों के लिए एक अलग श्रेणी बनाने का निर्णय लिया क्योंकि वे आम तौर पर कई सुरक्षा क्षेत्रों को कवर करते हैं। उनकी क्षमताओं का एक सामान्य विचार तालिका से प्राप्त किया जा सकता है:

* संपूर्णता के साथ उन्नत परीक्षण और पोस्टमार्टम विश्लेषण सिस्टम कॉल अपहरण.

एक्वा सिक्योरिटी

• वेबसाइट: www.aquasec.com
• लाइसेंस: वाणिज्यिक

यह व्यावसायिक उपकरण कंटेनरों और क्लाउड वर्कलोड के लिए डिज़ाइन किया गया है। यह प्रदान करता है:

• कंटेनर रजिस्ट्री या सीआई/सीडी पाइपलाइन के साथ एकीकृत छवि स्कैनिंग;
• कंटेनरों में परिवर्तन और अन्य संदिग्ध गतिविधि की खोज के साथ रनटाइम सुरक्षा;
• कंटेनर-देशी फ़ायरवॉल;
• क्लाउड सेवाओं में सर्वर रहित के लिए सुरक्षा;
• अनुपालन परीक्षण और ऑडिटिंग को इवेंट लॉगिंग के साथ जोड़ा गया।

टिप्पणी। अनुवाद।: यह भी ध्यान देने योग्य बात है कि हैं उत्पाद का मुफ़्त घटक कहा जाता है माइक्रोस्कैनर, जो आपको कमजोरियों के लिए कंटेनर छवियों को स्कैन करने की अनुमति देता है। सशुल्क संस्करणों के साथ इसकी क्षमताओं की तुलना प्रस्तुत की गई है यह तालिका.

कैप्सूल8

• वेबसाइट: कैप्सूल8.com
• लाइसेंस: वाणिज्यिक

कैप्सूल8 स्थानीय या क्लाउड कुबेरनेट्स क्लस्टर पर डिटेक्टर स्थापित करके बुनियादी ढांचे में एकीकृत होता है। यह डिटेक्टर होस्ट और नेटवर्क टेलीमेट्री एकत्र करता है, इसे विभिन्न प्रकार के हमलों से जोड़ता है।

कैप्सूल8 टीम अपने कार्य को नए हमलों का शीघ्र पता लगाने और रोकने के रूप में देखती है (0-दिन) कमजोरियाँ। कैप्सूल8 नए खोजे गए खतरों और सॉफ़्टवेयर कमजोरियों के जवाब में अद्यतन सुरक्षा नियमों को सीधे डिटेक्टरों पर डाउनलोड कर सकता है।

कैविरिन

• वेबसाइट: www.cavirin.com
• लाइसेंस: वाणिज्यिक

कैविरिन सुरक्षा मानकों में शामिल विभिन्न एजेंसियों के लिए कंपनी-साइड ठेकेदार के रूप में कार्य करता है। यह न केवल छवियों को स्कैन कर सकता है, बल्कि यह सीआई/सीडी पाइपलाइन में भी एकीकृत हो सकता है, गैर-मानक छवियों को बंद रिपॉजिटरी में प्रवेश करने से पहले अवरुद्ध कर सकता है।

कैविरिन का सुरक्षा सूट आपकी साइबर सुरक्षा स्थिति का आकलन करने के लिए मशीन लर्निंग का उपयोग करता है, सुरक्षा में सुधार और सुरक्षा मानकों के अनुपालन में सुधार के लिए सुझाव प्रदान करता है।

Google क्लाउड सुरक्षा कमांड सेंटर

• वेबसाइट: Cloud.google.com/security-command-center
• लाइसेंस: वाणिज्यिक

क्लाउड सिक्योरिटी कमांड सेंटर सुरक्षा टीमों को डेटा एकत्र करने, खतरों की पहचान करने और कंपनी को नुकसान पहुंचाने से पहले उन्हें खत्म करने में मदद करता है।

जैसा कि नाम से पता चलता है, Google क्लाउड SCC एक एकीकृत नियंत्रण कक्ष है जो एक ही, केंद्रीकृत स्रोत से विभिन्न सुरक्षा रिपोर्ट, परिसंपत्ति लेखांकन इंजन और तृतीय-पक्ष सुरक्षा प्रणालियों को एकीकृत और प्रबंधित कर सकता है।

Google क्लाउड SCC द्वारा प्रस्तावित इंटरऑपरेबल एपीआई विभिन्न स्रोतों से आने वाली सुरक्षा घटनाओं को एकीकृत करना आसान बनाता है, जैसे कि सिसडिग सिक्योर (क्लाउड-नेटिव एप्लिकेशन के लिए कंटेनर सुरक्षा) या फाल्को (ओपन सोर्स रनटाइम सुरक्षा)।

स्तरित अंतर्दृष्टि (क्वालिस)

• वेबसाइट: लेयर्डइनसाइट.कॉम
• लाइसेंस: वाणिज्यिक

लेयर्ड इनसाइट (अब क्वालिस इंक का हिस्सा) "एम्बेडेड सुरक्षा" की अवधारणा पर बनाया गया है। सांख्यिकीय विश्लेषण और सीवीई जांच का उपयोग करके कमजोरियों के लिए मूल छवि को स्कैन करने के बाद, लेयर्ड इनसाइट इसे एक उपकरण वाली छवि से बदल देता है जिसमें एजेंट को बाइनरी के रूप में शामिल किया जाता है।

इस एजेंट में कंटेनर नेटवर्क ट्रैफ़िक, I/O प्रवाह और एप्लिकेशन गतिविधि का विश्लेषण करने के लिए रनटाइम सुरक्षा परीक्षण शामिल हैं। इसके अलावा, यह इंफ्रास्ट्रक्चर एडमिनिस्ट्रेटर या DevOps टीमों द्वारा निर्दिष्ट अतिरिक्त सुरक्षा जांच कर सकता है।

न्यूवेक्टर

• वेबसाइट: neuvector.com
• लाइसेंस: वाणिज्यिक

न्यूवेक्टर कंटेनर सुरक्षा की जाँच करता है और नेटवर्क गतिविधि और एप्लिकेशन व्यवहार का विश्लेषण करके, प्रत्येक कंटेनर के लिए एक व्यक्तिगत सुरक्षा प्रोफ़ाइल बनाकर रनटाइम सुरक्षा प्रदान करता है। यह स्थानीय फ़ायरवॉल नियमों को बदलकर संदिग्ध गतिविधि को अलग करते हुए, खतरों को स्वयं भी रोक सकता है।

न्यूवेक्टर का नेटवर्क एकीकरण, जिसे सिक्योरिटी मेश के रूप में जाना जाता है, सर्विस मेश में सभी नेटवर्क कनेक्शनों के लिए गहरे पैकेट विश्लेषण और लेयर 7 फ़िल्टरिंग में सक्षम है।

स्टैकरॉक्स

• वेबसाइट: www.stackrox.com
• लाइसेंस: वाणिज्यिक

स्टैकरॉक्स कंटेनर सुरक्षा प्लेटफ़ॉर्म एक क्लस्टर में कुबेरनेट्स अनुप्रयोगों के संपूर्ण जीवनचक्र को कवर करने का प्रयास करता है। इस सूची के अन्य वाणिज्यिक प्लेटफार्मों की तरह, स्टैकरॉक्स देखे गए कंटेनर व्यवहार के आधार पर एक रनटाइम प्रोफ़ाइल तैयार करता है और किसी भी विचलन के लिए स्वचालित रूप से अलार्म उठाता है।

इसके अतिरिक्त, स्टैकरॉक्स कंटेनर अनुपालन का मूल्यांकन करने के लिए कुबेरनेट्स सीआईएस और अन्य नियम पुस्तिकाओं का उपयोग करके कुबेरनेट्स कॉन्फ़िगरेशन का विश्लेषण करता है।

सिसडिग सिक्योर

• वेबसाइट: sysdig.com/products/secure
• लाइसेंस: वाणिज्यिक

सिसडिग सिक्योर पूरे कंटेनर और कुबेरनेट्स जीवनचक्र में अनुप्रयोगों की सुरक्षा करता है। वह छवियों को स्कैन करता है कंटेनर, प्रदान करता है रनटाइम सुरक्षा मशीन लर्निंग डेटा के अनुसार क्रीम का प्रदर्शन करता है। कमजोरियों की पहचान करने, खतरों को रोकने, निगरानी करने की विशेषज्ञता स्थापित मानकों का अनुपालन और माइक्रोसर्विसेज में गतिविधि का ऑडिट करता है।

सिसडिग सिक्योर जेनकींस जैसे सीआई/सीडी टूल के साथ एकीकृत होता है और डॉकर रजिस्ट्रियों से लोड की गई छवियों को नियंत्रित करता है, जिससे खतरनाक छवियों को उत्पादन में प्रदर्शित होने से रोका जा सकता है। यह व्यापक रनटाइम सुरक्षा भी प्रदान करता है, जिसमें शामिल हैं:

• एमएल-आधारित रनटाइम प्रोफाइलिंग और विसंगति का पता लगाना;
• सिस्टम इवेंट, K8s-ऑडिट एपीआई, संयुक्त सामुदायिक परियोजनाओं (FIM - फ़ाइल अखंडता निगरानी; क्रिप्टोजैकिंग) और फ्रेमवर्क पर आधारित रनटाइम नीतियां MITER ATT और CK;
• घटनाओं की प्रतिक्रिया और समाधान।

टिकाऊ कंटेनर सुरक्षा

• वेबसाइट: www.tenable.com/products/tenable-io/container-security
• लाइसेंस: वाणिज्यिक

कंटेनरों के आगमन से पहले, टेनेबल को उद्योग में व्यापक रूप से नेसस, एक लोकप्रिय भेद्यता शिकार और सुरक्षा ऑडिटिंग उपकरण के पीछे की कंपनी के रूप में जाना जाता था।

टेनेबल कंटेनर सिक्योरिटी सीआई/सीडी पाइपलाइन को भेद्यता डेटाबेस, विशेष मैलवेयर डिटेक्शन पैकेज और सुरक्षा खतरों के समाधान के लिए सिफारिशों के साथ एकीकृत करने के लिए कंपनी की कंप्यूटर सुरक्षा विशेषज्ञता का लाभ उठाती है।

ट्विस्टलॉक (पालो अल्टो नेटवर्क)

• वेबसाइट: www.twistlock.com
• लाइसेंस: वाणिज्यिक

ट्विस्टलॉक खुद को क्लाउड सेवाओं और कंटेनरों पर केंद्रित एक मंच के रूप में प्रचारित करता है। ट्विस्टलॉक विभिन्न क्लाउड प्रदाताओं (एडब्ल्यूएस, एज़्योर, जीसीपी), कंटेनर ऑर्केस्ट्रेटर्स (कुबेरनेट्स, मेसोस्पेहेयर, ओपनशिफ्ट, डॉकर), सर्वर रहित रनटाइम, मेश फ्रेमवर्क और सीआई/सीडी टूल्स का समर्थन करता है।

पारंपरिक एंटरप्राइज़-ग्रेड सुरक्षा तकनीकों जैसे सीआई/सीडी पाइपलाइन एकीकरण या छवि स्कैनिंग के अलावा, ट्विस्टलॉक कंटेनर-विशिष्ट व्यवहार पैटर्न और नेटवर्क नियम उत्पन्न करने के लिए मशीन लर्निंग का उपयोग करता है।

कुछ समय पहले, ट्विस्टलॉक को पालो अल्टो नेटवर्क्स द्वारा खरीदा गया था, जो Evident.io और RedLock परियोजनाओं का मालिक है। यह अभी तक ज्ञात नहीं है कि इन तीन प्लेटफार्मों को वास्तव में कैसे एकीकृत किया जाएगा PRISMA पालो आल्टो से.

कुबेरनेट्स सुरक्षा उपकरणों की सर्वोत्तम सूची बनाने में सहायता करें!

हम इस कैटलॉग को यथासंभव संपूर्ण बनाने का प्रयास करते हैं और इसके लिए हमें आपकी सहायता की आवश्यकता है! संपर्क करें (@sysdig) यदि आपके पास कोई अच्छा टूल है जो इस सूची में शामिल करने योग्य है, या आपको कोई त्रुटि/पुरानी जानकारी मिलती है।

आप हमारी सदस्यता भी ले सकते हैं मासिक न्यूज़लेटर क्लाउड-नेटिव इकोसिस्टम से समाचारों और कुबेरनेट्स सुरक्षा की दुनिया से दिलचस्प परियोजनाओं के बारे में कहानियों के साथ।

अनुवादक से पी.एस

हमारे ब्लॉग पर भी पढ़ें:

• «सुरक्षा पेशेवरों के लिए कुबेरनेट्स नेटवर्क नीतियों का परिचय";
• «सुरक्षा-मांग वाले वातावरण में डॉकर और कुबेरनेट्स";
• «कुबेरनेट्स सुरक्षा के लिए 9 सर्वोत्तम अभ्यास";
• «कुबेरनेट्स हैक का शिकार बनने (नहीं) के 11 तरीके";
• «क्लाउड एप्लिकेशन सुरक्षा के लिए सीएनसीएफ में OPA और SPIFFE दो नई परियोजनाएं हैं'.

स्रोत: www.habr.com