टिप्पणी। अनुवाद।: यदि आप कुबेरनेट्स-आधारित बुनियादी ढांचे में सुरक्षा के बारे में सोच रहे हैं, तो सिसडिग का यह उत्कृष्ट अवलोकन वर्तमान समाधानों पर त्वरित नज़र डालने के लिए एक शानदार प्रारंभिक बिंदु है। इसमें जाने-माने बाज़ार खिलाड़ियों की जटिल प्रणालियाँ और बहुत अधिक सामान्य उपयोगिताएँ शामिल हैं जो किसी विशेष समस्या का समाधान करती हैं। और टिप्पणियों में, हमेशा की तरह, हमें इन उपकरणों का उपयोग करने के आपके अनुभव के बारे में सुनकर और अन्य परियोजनाओं के लिंक देखकर खुशी होगी।
कुबेरनेट्स सुरक्षा सॉफ़्टवेयर उत्पाद... उनमें से बहुत सारे हैं, प्रत्येक के अपने लक्ष्य, कार्यक्षेत्र और लाइसेंस हैं।
इसीलिए हमने यह सूची बनाने का निर्णय लिया और इसमें विभिन्न विक्रेताओं के ओपन सोर्स प्रोजेक्ट और वाणिज्यिक प्लेटफ़ॉर्म दोनों को शामिल किया। हमें उम्मीद है कि यह आपको उन लोगों की पहचान करने में मदद करेगा जो सबसे अधिक रुचिकर हैं और आपकी विशिष्ट कुबेरनेट्स सुरक्षा आवश्यकताओं के आधार पर आपको सही दिशा में इंगित करेंगे।
श्रेणियाँ
सूची को नेविगेट करना आसान बनाने के लिए, टूल को मुख्य फ़ंक्शन और एप्लिकेशन द्वारा व्यवस्थित किया जाता है। निम्नलिखित अनुभाग प्राप्त हुए:
एंकर कंटेनर छवियों का विश्लेषण करता है और उपयोगकर्ता द्वारा परिभाषित नीतियों के आधार पर सुरक्षा जांच की अनुमति देता है।
सीवीई डेटाबेस से ज्ञात कमजोरियों के लिए कंटेनर छवियों की सामान्य स्कैनिंग के अलावा, एंकर अपनी स्कैनिंग नीति के हिस्से के रूप में कई अतिरिक्त जांच करता है: डॉकरफाइल, क्रेडेंशियल लीक, प्रयुक्त प्रोग्रामिंग भाषाओं के पैकेज (एनपीएम, मावेन, आदि) की जांच करता है। .), सॉफ़्टवेयर लाइसेंस और भी बहुत कुछ।
क्लेयर छवि स्कैनिंग के लिए पहली ओपन सोर्स परियोजनाओं में से एक थी। इसे व्यापक रूप से क्वे इमेज रजिस्ट्री के पीछे सुरक्षा स्कैनर के रूप में जाना जाता है (CoreOS से भी - लगभग। अनुवाद). क्लेयर विभिन्न प्रकार के स्रोतों से सीवीई जानकारी एकत्र कर सकता है, जिसमें डेबियन, रेड हैट या उबंटू सुरक्षा टीमों द्वारा बनाए गए लिनक्स वितरण-विशिष्ट कमजोरियों की सूची भी शामिल है।
एंकर के विपरीत, क्लेयर मुख्य रूप से कमजोरियों को खोजने और सीवीई से डेटा का मिलान करने पर ध्यान केंद्रित करता है। हालाँकि, उत्पाद उपयोगकर्ताओं को प्लग-इन ड्राइवरों का उपयोग करके कार्यों का विस्तार करने के कुछ अवसर प्रदान करता है।
दग्दा ज्ञात कमजोरियों, ट्रोजन, वायरस, मैलवेयर और अन्य खतरों के लिए कंटेनर छवियों का स्थैतिक विश्लेषण करता है।
दो उल्लेखनीय विशेषताएं दग्दा को अन्य समान उपकरणों से अलग करती हैं:
यह पूरी तरह से एकीकृत हो जाता है ClamAV, न केवल कंटेनर छवियों को स्कैन करने के लिए एक उपकरण के रूप में, बल्कि एक एंटीवायरस के रूप में भी कार्य करता है।
डॉकर डेमॉन से वास्तविक समय की घटनाओं को प्राप्त करके और फाल्को के साथ एकीकृत करके रनटाइम सुरक्षा भी प्रदान करता है (निचे देखो) कंटेनर के चलने के दौरान सुरक्षा घटनाओं को एकत्र करने के लिए।
लाइसेंस: नि:शुल्क (अपाचे), लेकिन जेफ्रॉग एक्सरे (वाणिज्यिक उत्पाद) से डेटा की आवश्यकता है
KubeXray Kubernetes API सर्वर से घटनाओं को सुनता है और यह सुनिश्चित करने के लिए JFrog Xray से मेटाडेटा का उपयोग करता है कि केवल वर्तमान नीति से मेल खाने वाले पॉड लॉन्च किए जाएं।
KubeXray न केवल तैनाती में नए या अद्यतन कंटेनरों का ऑडिट करता है (कुबेरनेट्स में प्रवेश नियंत्रक के समान), बल्कि नई सुरक्षा नीतियों के अनुपालन के लिए चल रहे कंटेनरों की गतिशील रूप से जांच भी करता है, कमजोर छवियों को संदर्भित करने वाले संसाधनों को हटा देता है।
Snyk एक असामान्य भेद्यता स्कैनर है जिसमें यह विशेष रूप से विकास प्रक्रिया को लक्षित करता है और इसे डेवलपर्स के लिए "आवश्यक समाधान" के रूप में प्रचारित किया जाता है।
Snyk सीधे कोड रिपॉजिटरी से जुड़ता है, प्रोजेक्ट मेनिफ़ेस्ट को पार्स करता है और प्रत्यक्ष और अप्रत्यक्ष निर्भरता के साथ आयातित कोड का विश्लेषण करता है। Snyk कई लोकप्रिय प्रोग्रामिंग भाषाओं का समर्थन करता है और छिपे हुए लाइसेंस जोखिमों की पहचान कर सकता है।
ट्रिवी कंटेनरों के लिए एक सरल लेकिन शक्तिशाली भेद्यता स्कैनर है जो आसानी से सीआई/सीडी पाइपलाइन में एकीकृत हो जाता है। इसकी उल्लेखनीय विशेषता इसकी स्थापना और संचालन में आसानी है: एप्लिकेशन में एक एकल बाइनरी होती है और इसके लिए डेटाबेस या अतिरिक्त लाइब्रेरी की स्थापना की आवश्यकता नहीं होती है।
ट्रिवी की सरलता का नकारात्मक पक्ष यह है कि आपको यह पता लगाना होगा कि परिणामों को JSON प्रारूप में कैसे पार्स और अग्रेषित किया जाए ताकि अन्य कुबेरनेट्स सुरक्षा उपकरण उनका उपयोग कर सकें।
फाल्को क्लाउड रनटाइम वातावरण को सुरक्षित करने के लिए उपकरणों का एक सेट है। प्रोजेक्ट परिवार का हिस्सा सीएनसीएफ.
Sysdig के लिनक्स कर्नेल-स्तरीय टूलींग और सिस्टम कॉल प्रोफाइलिंग का उपयोग करके, फाल्को आपको सिस्टम व्यवहार में गहराई से गोता लगाने की अनुमति देता है। इसका रनटाइम नियम इंजन अनुप्रयोगों, कंटेनरों, अंतर्निहित होस्ट और कुबेरनेट्स ऑर्केस्ट्रेटर में संदिग्ध गतिविधि का पता लगाने में सक्षम है।
फाल्को इन उद्देश्यों के लिए कुबेरनेट्स नोड्स पर विशेष एजेंटों को तैनात करके रनटाइम और खतरे का पता लगाने में पूर्ण पारदर्शिता प्रदान करता है। परिणामस्वरूप, कंटेनरों में तृतीय-पक्ष कोड डालकर या साइडकार कंटेनर जोड़कर उन्हें संशोधित करने की कोई आवश्यकता नहीं है।
रनटाइम के लिए लिनक्स सुरक्षा ढाँचे
लिनक्स कर्नेल के लिए ये मूल ढाँचे पारंपरिक अर्थों में "कुबेरनेट्स सुरक्षा उपकरण" नहीं हैं, लेकिन वे उल्लेख के लायक हैं क्योंकि वे रनटाइम सुरक्षा के संदर्भ में एक महत्वपूर्ण तत्व हैं, जो कुबेरनेट्स पॉड सुरक्षा नीति (पीएसपी) में शामिल है।
AppArmor कंटेनर में चल रही प्रक्रियाओं के लिए एक सुरक्षा प्रोफ़ाइल संलग्न करता है, फ़ाइल सिस्टम विशेषाधिकारों, नेटवर्क एक्सेस नियमों, कनेक्टिंग लाइब्रेरीज़ आदि को परिभाषित करता है। यह अनिवार्य अभिगम नियंत्रण (MAC) पर आधारित प्रणाली है। दूसरे शब्दों में, यह निषिद्ध कार्यों को करने से रोकता है।
सुरक्षा-उन्नत लिनक्स (SELinux) लिनक्स कर्नेल में एक उन्नत सुरक्षा मॉड्यूल है, जो कुछ पहलुओं में AppArmor के समान है और अक्सर इसकी तुलना की जाती है। SELinux शक्ति, लचीलेपन और अनुकूलन में AppArmor से बेहतर है। इसके नुकसान सीखने की लंबी अवधि और बढ़ी हुई जटिलता हैं।
Seccomp और seccomp-bpf आपको सिस्टम कॉल को फ़िल्टर करने, उन कॉलों के निष्पादन को अवरुद्ध करने की अनुमति देता है जो बेस ओएस के लिए संभावित रूप से खतरनाक हैं और उपयोगकर्ता अनुप्रयोगों के सामान्य संचालन के लिए आवश्यक नहीं हैं। सेकॉम्प कुछ मायनों में फाल्को के समान है, हालांकि यह कंटेनरों की विशिष्टताओं को नहीं जानता है।
Sysdig Linux सिस्टम के विश्लेषण, निदान और डिबगिंग के लिए एक संपूर्ण टूल है (Windows और macOS पर भी काम करता है, लेकिन सीमित कार्यों के साथ)। इसका उपयोग विस्तृत जानकारी एकत्र करने, सत्यापन और फोरेंसिक विश्लेषण के लिए किया जा सकता है। (फोरेंसिक) आधार प्रणाली और उस पर चलने वाले कोई भी कंटेनर।
Sysdig मूल रूप से कंटेनर रनटाइम और Kubernetes मेटाडेटा का भी समर्थन करता है, जो इसे एकत्रित सभी सिस्टम व्यवहार जानकारी में अतिरिक्त आयाम और लेबल जोड़ता है। Sysdig का उपयोग करके Kubernetes क्लस्टर का विश्लेषण करने के कई तरीके हैं: आप पॉइंट-इन-टाइम कैप्चर कर सकते हैं कुबेक्टल कैप्चर या एक प्लगइन का उपयोग करके एक ncurses-आधारित इंटरैक्टिव इंटरफ़ेस लॉन्च करें कुबेक्टल खुदाई.
एपोरेटो "नेटवर्क और बुनियादी ढांचे से अलग सुरक्षा" प्रदान करता है। इसका मतलब यह है कि कुबेरनेट्स सेवाओं को न केवल एक स्थानीय आईडी (यानी कुबेरनेट्स में सर्विसअकाउंट) प्राप्त होती है, बल्कि एक सार्वभौमिक आईडी/फिंगरप्रिंट भी प्राप्त होता है जिसका उपयोग किसी अन्य सेवा के साथ सुरक्षित रूप से और पारस्परिक रूप से संचार करने के लिए किया जा सकता है, उदाहरण के लिए ओपनशिफ्ट क्लस्टर में।
एपोरेटो न केवल कुबेरनेट्स/कंटेनरों के लिए, बल्कि होस्ट, क्लाउड फ़ंक्शंस और उपयोगकर्ताओं के लिए भी एक अद्वितीय आईडी उत्पन्न करने में सक्षम है। इन पहचानकर्ताओं और व्यवस्थापक द्वारा निर्धारित नेटवर्क सुरक्षा नियमों के आधार पर, संचार की अनुमति दी जाएगी या अवरुद्ध किया जाएगा।
केलिको को आमतौर पर कंटेनर ऑर्केस्ट्रेटर इंस्टॉलेशन के दौरान तैनात किया जाता है, जिससे आप एक वर्चुअल नेटवर्क बना सकते हैं जो कंटेनरों को आपस में जोड़ता है। इस बुनियादी नेटवर्क कार्यक्षमता के अलावा, केलिको प्रोजेक्ट कुबेरनेट्स नेटवर्क नीतियों और नेटवर्क सुरक्षा प्रोफाइल के अपने सेट के साथ काम करता है, एंडपॉइंट एसीएल (एक्सेस कंट्रोल लिस्ट) और इनग्रेस और इग्रेस ट्रैफिक के लिए एनोटेशन-आधारित नेटवर्क सुरक्षा नियमों का समर्थन करता है।
सिलियम कंटेनरों के लिए फ़ायरवॉल के रूप में कार्य करता है और कुबेरनेट्स और माइक्रोसर्विसेज़ वर्कलोड के अनुरूप नेटवर्क सुरक्षा सुविधाएँ प्रदान करता है। डेटा को फ़िल्टर करने, मॉनिटर करने, पुनर्निर्देशित करने और सही करने के लिए सिलियम BPF (बर्कले पैकेट फ़िल्टर) नामक एक नई लिनक्स कर्नेल तकनीक का उपयोग करता है।
सिलियम डॉकर या कुबेरनेट्स लेबल और मेटाडेटा का उपयोग करके कंटेनर आईडी के आधार पर नेटवर्क एक्सेस नीतियों को तैनात करने में सक्षम है। सिलियम HTTP या gRPC जैसे विभिन्न लेयर 7 प्रोटोकॉल को भी समझता है और फ़िल्टर करता है, जिससे आप REST कॉल के एक सेट को परिभाषित कर सकते हैं, जिसे उदाहरण के लिए दो कुबेरनेट्स परिनियोजन के बीच अनुमति दी जाएगी।
इस्तियो व्यापक रूप से एक प्लेटफ़ॉर्म-स्वतंत्र नियंत्रण विमान को तैनात करके और गतिशील रूप से कॉन्फ़िगर करने योग्य एन्वॉय प्रॉक्सी के माध्यम से सभी प्रबंधित सेवा ट्रैफ़िक को रूट करके सेवा जाल प्रतिमान को लागू करने के लिए जाना जाता है। इस्तियो विभिन्न नेटवर्क सुरक्षा रणनीतियों को लागू करने के लिए सभी माइक्रोसर्विसेज और कंटेनरों के इस उन्नत दृष्टिकोण का लाभ उठाता है।
इस्तियो की नेटवर्क सुरक्षा क्षमताओं में माइक्रोसर्विसेज के बीच संचार को HTTPS में स्वचालित रूप से अपग्रेड करने के लिए पारदर्शी टीएलएस एन्क्रिप्शन और क्लस्टर में विभिन्न कार्यभार के बीच संचार की अनुमति/अस्वीकार करने के लिए एक मालिकाना आरबीएसी पहचान और प्राधिकरण प्रणाली शामिल है।
टिप्पणी। अनुवाद।: इस्तियो की सुरक्षा-केंद्रित क्षमताओं के बारे में अधिक जानने के लिए पढ़ें यह लेख.
"कुबेरनेट्स फ़ायरवॉल" कहा जाने वाला यह समाधान नेटवर्क सुरक्षा के लिए शून्य-विश्वास दृष्टिकोण पर जोर देता है।
अन्य देशी कुबेरनेट्स नेटवर्किंग समाधानों के समान, टाइगरा क्लस्टर में विभिन्न सेवाओं और वस्तुओं की पहचान करने के लिए मेटाडेटा पर निर्भर करता है और मल्टी-क्लाउड या हाइब्रिड मोनोलिथिक-कंटेनराइज्ड इंफ्रास्ट्रक्चर के लिए रनटाइम समस्या का पता लगाने, निरंतर अनुपालन जांच और नेटवर्क दृश्यता प्रदान करता है।
ट्राइरेमे-कुबेरनेट्स कुबेरनेट्स नेटवर्क नीतियों विनिर्देश का एक सरल और सीधा कार्यान्वयन है। सबसे उल्लेखनीय विशेषता यह है कि - समान कुबेरनेट्स नेटवर्क सुरक्षा उत्पादों के विपरीत - इसमें जाल को समन्वयित करने के लिए केंद्रीय नियंत्रण विमान की आवश्यकता नहीं होती है। यह समाधान को तुच्छ रूप से स्केलेबल बनाता है। ट्राइरेमे में, यह प्रत्येक नोड पर एक एजेंट स्थापित करके प्राप्त किया जाता है जो सीधे होस्ट के टीसीपी/आईपी स्टैक से जुड़ता है।
ग्राफ़ियस सॉफ़्टवेयर आपूर्ति श्रृंखला ऑडिटिंग और प्रबंधन के लिए एक खुला स्रोत एपीआई है। बुनियादी स्तर पर, ग्राफ़ियस मेटाडेटा और ऑडिट निष्कर्ष एकत्र करने का एक उपकरण है। इसका उपयोग किसी संगठन के भीतर सुरक्षा सर्वोत्तम प्रथाओं के अनुपालन को ट्रैक करने के लिए किया जा सकता है।
सत्य का यह केंद्रीकृत स्रोत निम्नलिखित प्रश्नों के उत्तर देने में सहायता करता है:
किसी विशेष कंटेनर को किसने एकत्र किया और उस पर हस्ताक्षर किए?
क्या इसने सुरक्षा नीति के लिए आवश्यक सभी सुरक्षा स्कैन और जाँचें पास कर ली हैं? कब? परिणाम क्या थे?
इसे उत्पादन में किसने तैनात किया? तैनाती के दौरान कौन से विशिष्ट पैरामीटर का उपयोग किया गया था?
इन-टोटो एक ढांचा है जिसे संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला की अखंडता, प्रमाणीकरण और ऑडिटिंग प्रदान करने के लिए डिज़ाइन किया गया है। किसी बुनियादी ढांचे में इन-टोटो को तैनात करते समय, सबसे पहले एक योजना को परिभाषित किया जाता है जो पाइपलाइन में विभिन्न चरणों (रिपोजिटरी, सीआई/सीडी उपकरण, क्यूए उपकरण, आर्टिफैक्ट कलेक्टर इत्यादि) और उपयोगकर्ताओं (जिम्मेदार व्यक्तियों) का वर्णन करता है जिन्हें इसकी अनुमति है। उन्हें आरंभ करें.
इन-टोटो योजना के कार्यान्वयन की निगरानी करता है, यह सत्यापित करता है कि श्रृंखला में प्रत्येक कार्य केवल अधिकृत कर्मियों द्वारा ठीक से किया जाता है और आंदोलन के दौरान उत्पाद के साथ कोई अनधिकृत हेरफेर नहीं किया गया है।
पोर्टिएरिस कुबेरनेट्स के लिए एक प्रवेश नियंत्रक है; सामग्री विश्वास जाँच को लागू करने के लिए उपयोग किया जाता है। पोर्टिएरिस एक सर्वर का उपयोग करता है नोटरी(हमने उसके बारे में अंत में लिखा था इस लेख का - लगभग। अनुवाद) विश्वसनीय और हस्ताक्षरित कलाकृतियों (यानी अनुमोदित कंटेनर छवियां) को मान्य करने के लिए सत्य के स्रोत के रूप में।
जब कुबेरनेट्स में कोई कार्यभार बनाया या संशोधित किया जाता है, तो पोर्टिएरिस अनुरोधित कंटेनर छवियों के लिए हस्ताक्षर जानकारी और सामग्री विश्वास नीति डाउनलोड करता है और, यदि आवश्यक हो, तो उन छवियों के हस्ताक्षरित संस्करणों को चलाने के लिए JSON एपीआई ऑब्जेक्ट में ऑन-द-फ्लाई परिवर्तन करता है।
वॉल्ट निजी जानकारी संग्रहीत करने के लिए एक सुरक्षित समाधान है: पासवर्ड, OAuth टोकन, PKI प्रमाणपत्र, एक्सेस खाते, Kubernetes रहस्य, आदि। वॉल्ट कई उन्नत सुविधाओं का समर्थन करता है, जैसे अल्पकालिक सुरक्षा टोकन को पट्टे पर देना या कुंजी रोटेशन को व्यवस्थित करना।
हेल्म चार्ट का उपयोग करके, वॉल्ट को बैकएंड स्टोरेज के रूप में कॉन्सल के साथ कुबेरनेट्स क्लस्टर में एक नई तैनाती के रूप में तैनात किया जा सकता है। यह सर्विसअकाउंट टोकन जैसे देशी कुबेरनेट्स संसाधनों का समर्थन करता है और कुबेरनेट्स रहस्यों के लिए डिफ़ॉल्ट स्टोर के रूप में भी कार्य कर सकता है।
टिप्पणी। अनुवाद।: वैसे, कल ही कंपनी हाशीकॉर्प, जो वॉल्ट विकसित करती है, ने कुबेरनेट्स में वॉल्ट का उपयोग करने के लिए कुछ सुधारों की घोषणा की, और विशेष रूप से वे हेल्म चार्ट से संबंधित हैं। में और पढ़ें डेवलपर ब्लॉग.
क्यूब-बेंच एक गो एप्लिकेशन है जो किसी सूची से परीक्षण चलाकर जांच करता है कि कुबेरनेट्स को सुरक्षित रूप से तैनात किया गया है या नहीं सीआईएस कुबेरनेट्स बेंचमार्क.
क्यूब-बेंच क्लस्टर घटकों (आदि, एपीआई, नियंत्रक प्रबंधक, आदि) के बीच असुरक्षित कॉन्फ़िगरेशन सेटिंग्स, संदिग्ध फ़ाइल एक्सेस अधिकार, असुरक्षित खाते या खुले पोर्ट, संसाधन कोटा, DoS हमलों से बचाने के लिए एपीआई कॉल की संख्या को सीमित करने की सेटिंग्स की तलाश करता है। , वगैरह।
क्यूब-हंटर कुबेरनेट क्लस्टर्स में संभावित कमजोरियों (जैसे रिमोट कोड निष्पादन या डेटा प्रकटीकरण) की तलाश करता है। क्यूब-हंटर को एक रिमोट स्कैनर के रूप में चलाया जा सकता है - जिस स्थिति में यह तीसरे पक्ष के हमलावर के दृष्टिकोण से क्लस्टर का मूल्यांकन करेगा - या क्लस्टर के अंदर एक पॉड के रूप में।
क्यूब-हंटर की एक विशिष्ट विशेषता इसका "सक्रिय शिकार" मोड है, जिसके दौरान यह न केवल समस्याओं की रिपोर्ट करता है, बल्कि लक्ष्य क्लस्टर में खोजी गई कमजोरियों का लाभ उठाने की भी कोशिश करता है जो संभावित रूप से इसके संचालन को नुकसान पहुंचा सकता है। इसलिए सावधानी से प्रयोग करें!
Kubeaudit एक कंसोल टूल है जिसे मूल रूप से विभिन्न सुरक्षा मुद्दों के लिए Kubernetes कॉन्फ़िगरेशन का ऑडिट करने के लिए Shopify पर विकसित किया गया है। उदाहरण के लिए, यह अप्रतिबंधित चलने वाले, रूट के रूप में चलने वाले, विशेषाधिकारों का दुरुपयोग करने वाले, या डिफ़ॉल्ट ServiceAccount का उपयोग करने वाले कंटेनरों की पहचान करने में मदद करता है।
Kubeaudit में अन्य दिलचस्प विशेषताएं हैं। उदाहरण के लिए, यह स्थानीय YAML फ़ाइलों का विश्लेषण कर सकता है, कॉन्फ़िगरेशन दोषों की पहचान कर सकता है जो सुरक्षा समस्याओं का कारण बन सकते हैं, और स्वचालित रूप से उन्हें ठीक कर सकते हैं।
Kubesec एक विशेष उपकरण है जिसमें यह सीधे YAML फ़ाइलों को स्कैन करता है जो Kubernetes संसाधनों का वर्णन करते हैं, कमजोर मापदंडों की तलाश करते हैं जो सुरक्षा को प्रभावित कर सकते हैं।
उदाहरण के लिए, यह किसी पॉड को दिए गए अत्यधिक विशेषाधिकारों और अनुमतियों का पता लगा सकता है, डिफ़ॉल्ट उपयोगकर्ता के रूप में रूट के साथ एक कंटेनर चलाना, होस्ट के नेटवर्क नेमस्पेस से कनेक्ट करना, या खतरनाक माउंट जैसे /proc होस्ट या डॉकर सॉकेट। क्यूबसेक की एक और दिलचस्प विशेषता ऑनलाइन उपलब्ध डेमो सेवा है, जिसमें आप YAML अपलोड कर सकते हैं और तुरंत इसका विश्लेषण कर सकते हैं।
ओपीए (ओपन पॉलिसी एजेंट) की अवधारणा एक विशिष्ट रनटाइम प्लेटफॉर्म से सुरक्षा नीतियों और सुरक्षा सर्वोत्तम प्रथाओं को अलग करना है: डॉकर, कुबेरनेट्स, मेसोस्फीयर, ओपनशिफ्ट, या उसके किसी भी संयोजन।
उदाहरण के लिए, आप ओपीए को कुबेरनेट्स प्रवेश नियंत्रक के लिए बैकएंड के रूप में तैनात कर सकते हैं, इसे सुरक्षा निर्णय सौंप सकते हैं। इस तरह, ओपीए एजेंट तुरंत अनुरोधों को मान्य, अस्वीकार और यहां तक कि संशोधित भी कर सकता है, यह सुनिश्चित करते हुए कि निर्दिष्ट सुरक्षा पैरामीटर पूरे हो गए हैं। ओपीए की सुरक्षा नीतियां इसकी मालिकाना डीएसएल भाषा, रेगो में लिखी गई हैं।
टिप्पणी। अनुवाद।: हमने OPA (और SPIFFE) के बारे में और अधिक लिखा पदार्थ.
कुबेरनेट्स सुरक्षा विश्लेषण के लिए व्यापक वाणिज्यिक उपकरण
हमने वाणिज्यिक प्लेटफार्मों के लिए एक अलग श्रेणी बनाने का निर्णय लिया क्योंकि वे आम तौर पर कई सुरक्षा क्षेत्रों को कवर करते हैं। उनकी क्षमताओं का एक सामान्य विचार तालिका से प्राप्त किया जा सकता है:
* संपूर्णता के साथ उन्नत परीक्षण और पोस्टमार्टम विश्लेषण सिस्टम कॉल अपहरण.
यह व्यावसायिक उपकरण कंटेनरों और क्लाउड वर्कलोड के लिए डिज़ाइन किया गया है। यह प्रदान करता है:
कंटेनर रजिस्ट्री या सीआई/सीडी पाइपलाइन के साथ एकीकृत छवि स्कैनिंग;
कंटेनरों में परिवर्तन और अन्य संदिग्ध गतिविधि की खोज के साथ रनटाइम सुरक्षा;
कंटेनर-देशी फ़ायरवॉल;
क्लाउड सेवाओं में सर्वर रहित के लिए सुरक्षा;
अनुपालन परीक्षण और ऑडिटिंग को इवेंट लॉगिंग के साथ जोड़ा गया।
टिप्पणी। अनुवाद।: यह भी ध्यान देने योग्य बात है कि हैं उत्पाद का मुफ़्त घटक कहा जाता है माइक्रोस्कैनर, जो आपको कमजोरियों के लिए कंटेनर छवियों को स्कैन करने की अनुमति देता है। सशुल्क संस्करणों के साथ इसकी क्षमताओं की तुलना प्रस्तुत की गई है यह तालिका.
कैप्सूल8 स्थानीय या क्लाउड कुबेरनेट्स क्लस्टर पर डिटेक्टर स्थापित करके बुनियादी ढांचे में एकीकृत होता है। यह डिटेक्टर होस्ट और नेटवर्क टेलीमेट्री एकत्र करता है, इसे विभिन्न प्रकार के हमलों से जोड़ता है।
कैप्सूल8 टीम अपने कार्य को नए हमलों का शीघ्र पता लगाने और रोकने के रूप में देखती है (0-दिन) कमजोरियाँ। कैप्सूल8 नए खोजे गए खतरों और सॉफ़्टवेयर कमजोरियों के जवाब में अद्यतन सुरक्षा नियमों को सीधे डिटेक्टरों पर डाउनलोड कर सकता है।
कैविरिन सुरक्षा मानकों में शामिल विभिन्न एजेंसियों के लिए कंपनी-साइड ठेकेदार के रूप में कार्य करता है। यह न केवल छवियों को स्कैन कर सकता है, बल्कि यह सीआई/सीडी पाइपलाइन में भी एकीकृत हो सकता है, गैर-मानक छवियों को बंद रिपॉजिटरी में प्रवेश करने से पहले अवरुद्ध कर सकता है।
कैविरिन का सुरक्षा सूट आपकी साइबर सुरक्षा स्थिति का आकलन करने के लिए मशीन लर्निंग का उपयोग करता है, सुरक्षा में सुधार और सुरक्षा मानकों के अनुपालन में सुधार के लिए सुझाव प्रदान करता है।
क्लाउड सिक्योरिटी कमांड सेंटर सुरक्षा टीमों को डेटा एकत्र करने, खतरों की पहचान करने और कंपनी को नुकसान पहुंचाने से पहले उन्हें खत्म करने में मदद करता है।
जैसा कि नाम से पता चलता है, Google क्लाउड SCC एक एकीकृत नियंत्रण कक्ष है जो एक ही, केंद्रीकृत स्रोत से विभिन्न सुरक्षा रिपोर्ट, परिसंपत्ति लेखांकन इंजन और तृतीय-पक्ष सुरक्षा प्रणालियों को एकीकृत और प्रबंधित कर सकता है।
Google क्लाउड SCC द्वारा प्रस्तावित इंटरऑपरेबल एपीआई विभिन्न स्रोतों से आने वाली सुरक्षा घटनाओं को एकीकृत करना आसान बनाता है, जैसे कि सिसडिग सिक्योर (क्लाउड-नेटिव एप्लिकेशन के लिए कंटेनर सुरक्षा) या फाल्को (ओपन सोर्स रनटाइम सुरक्षा)।
लेयर्ड इनसाइट (अब क्वालिस इंक का हिस्सा) "एम्बेडेड सुरक्षा" की अवधारणा पर बनाया गया है। सांख्यिकीय विश्लेषण और सीवीई जांच का उपयोग करके कमजोरियों के लिए मूल छवि को स्कैन करने के बाद, लेयर्ड इनसाइट इसे एक उपकरण वाली छवि से बदल देता है जिसमें एजेंट को बाइनरी के रूप में शामिल किया जाता है।
इस एजेंट में कंटेनर नेटवर्क ट्रैफ़िक, I/O प्रवाह और एप्लिकेशन गतिविधि का विश्लेषण करने के लिए रनटाइम सुरक्षा परीक्षण शामिल हैं। इसके अलावा, यह इंफ्रास्ट्रक्चर एडमिनिस्ट्रेटर या DevOps टीमों द्वारा निर्दिष्ट अतिरिक्त सुरक्षा जांच कर सकता है।
न्यूवेक्टर कंटेनर सुरक्षा की जाँच करता है और नेटवर्क गतिविधि और एप्लिकेशन व्यवहार का विश्लेषण करके, प्रत्येक कंटेनर के लिए एक व्यक्तिगत सुरक्षा प्रोफ़ाइल बनाकर रनटाइम सुरक्षा प्रदान करता है। यह स्थानीय फ़ायरवॉल नियमों को बदलकर संदिग्ध गतिविधि को अलग करते हुए, खतरों को स्वयं भी रोक सकता है।
न्यूवेक्टर का नेटवर्क एकीकरण, जिसे सिक्योरिटी मेश के रूप में जाना जाता है, सर्विस मेश में सभी नेटवर्क कनेक्शनों के लिए गहरे पैकेट विश्लेषण और लेयर 7 फ़िल्टरिंग में सक्षम है।
स्टैकरॉक्स कंटेनर सुरक्षा प्लेटफ़ॉर्म एक क्लस्टर में कुबेरनेट्स अनुप्रयोगों के संपूर्ण जीवनचक्र को कवर करने का प्रयास करता है। इस सूची के अन्य वाणिज्यिक प्लेटफार्मों की तरह, स्टैकरॉक्स देखे गए कंटेनर व्यवहार के आधार पर एक रनटाइम प्रोफ़ाइल तैयार करता है और किसी भी विचलन के लिए स्वचालित रूप से अलार्म उठाता है।
इसके अतिरिक्त, स्टैकरॉक्स कंटेनर अनुपालन का मूल्यांकन करने के लिए कुबेरनेट्स सीआईएस और अन्य नियम पुस्तिकाओं का उपयोग करके कुबेरनेट्स कॉन्फ़िगरेशन का विश्लेषण करता है।
सिसडिग सिक्योर पूरे कंटेनर और कुबेरनेट्स जीवनचक्र में अनुप्रयोगों की सुरक्षा करता है। वह छवियों को स्कैन करता है कंटेनर, प्रदान करता है रनटाइम सुरक्षा मशीन लर्निंग डेटा के अनुसार क्रीम का प्रदर्शन करता है। कमजोरियों की पहचान करने, खतरों को रोकने, निगरानी करने की विशेषज्ञता स्थापित मानकों का अनुपालन और माइक्रोसर्विसेज में गतिविधि का ऑडिट करता है।
सिसडिग सिक्योर जेनकींस जैसे सीआई/सीडी टूल के साथ एकीकृत होता है और डॉकर रजिस्ट्रियों से लोड की गई छवियों को नियंत्रित करता है, जिससे खतरनाक छवियों को उत्पादन में प्रदर्शित होने से रोका जा सकता है। यह व्यापक रनटाइम सुरक्षा भी प्रदान करता है, जिसमें शामिल हैं:
एमएल-आधारित रनटाइम प्रोफाइलिंग और विसंगति का पता लगाना;
सिस्टम इवेंट, K8s-ऑडिट एपीआई, संयुक्त सामुदायिक परियोजनाओं (FIM - फ़ाइल अखंडता निगरानी; क्रिप्टोजैकिंग) और फ्रेमवर्क पर आधारित रनटाइम नीतियां MITER ATT और CK;
कंटेनरों के आगमन से पहले, टेनेबल को उद्योग में व्यापक रूप से नेसस, एक लोकप्रिय भेद्यता शिकार और सुरक्षा ऑडिटिंग उपकरण के पीछे की कंपनी के रूप में जाना जाता था।
टेनेबल कंटेनर सिक्योरिटी सीआई/सीडी पाइपलाइन को भेद्यता डेटाबेस, विशेष मैलवेयर डिटेक्शन पैकेज और सुरक्षा खतरों के समाधान के लिए सिफारिशों के साथ एकीकृत करने के लिए कंपनी की कंप्यूटर सुरक्षा विशेषज्ञता का लाभ उठाती है।
ट्विस्टलॉक खुद को क्लाउड सेवाओं और कंटेनरों पर केंद्रित एक मंच के रूप में प्रचारित करता है। ट्विस्टलॉक विभिन्न क्लाउड प्रदाताओं (एडब्ल्यूएस, एज़्योर, जीसीपी), कंटेनर ऑर्केस्ट्रेटर्स (कुबेरनेट्स, मेसोस्पेहेयर, ओपनशिफ्ट, डॉकर), सर्वर रहित रनटाइम, मेश फ्रेमवर्क और सीआई/सीडी टूल्स का समर्थन करता है।
पारंपरिक एंटरप्राइज़-ग्रेड सुरक्षा तकनीकों जैसे सीआई/सीडी पाइपलाइन एकीकरण या छवि स्कैनिंग के अलावा, ट्विस्टलॉक कंटेनर-विशिष्ट व्यवहार पैटर्न और नेटवर्क नियम उत्पन्न करने के लिए मशीन लर्निंग का उपयोग करता है।
कुछ समय पहले, ट्विस्टलॉक को पालो अल्टो नेटवर्क्स द्वारा खरीदा गया था, जो Evident.io और RedLock परियोजनाओं का मालिक है। यह अभी तक ज्ञात नहीं है कि इन तीन प्लेटफार्मों को वास्तव में कैसे एकीकृत किया जाएगा PRISMA पालो आल्टो से.
कुबेरनेट्स सुरक्षा उपकरणों की सर्वोत्तम सूची बनाने में सहायता करें!
हम इस कैटलॉग को यथासंभव संपूर्ण बनाने का प्रयास करते हैं और इसके लिए हमें आपकी सहायता की आवश्यकता है! संपर्क करें (@sysdig) यदि आपके पास कोई अच्छा टूल है जो इस सूची में शामिल करने योग्य है, या आपको कोई त्रुटि/पुरानी जानकारी मिलती है।
आप हमारी सदस्यता भी ले सकते हैं मासिक न्यूज़लेटर क्लाउड-नेटिव इकोसिस्टम से समाचारों और कुबेरनेट्स सुरक्षा की दुनिया से दिलचस्प परियोजनाओं के बारे में कहानियों के साथ।