Nco tseg. txhais.: Yog tias koj xav paub txog kev ruaj ntseg hauv Kubernetes-raws li kev tsim kho vaj tse, qhov kev pom zoo los ntawm Sysdig yog qhov pib zoo rau kev saib sai ntawm cov kev daws teeb meem tam sim no. Nws suav nrog ob qho tib si txoj hauv kev los ntawm cov neeg ua lag luam paub zoo thiab ntau yam khoom siv me me uas daws tau qhov teeb meem tshwj xeeb. Thiab nyob rau hauv cov lus, ib txwm, peb yuav zoo siab hnov ββββtxog koj qhov kev paub siv cov cuab yeej no thiab pom cov kev txuas mus rau lwm qhov project.
Kubernetes kev ruaj ntseg software khoom ... muaj ntau ntawm lawv, txhua tus muaj lawv tus kheej lub hom phiaj, muaj peev xwm, thiab ntawv tso cai.
Tias yog vim li cas peb thiaj txiav txim siab los tsim cov npe no thiab suav nrog ob qho tib si qhib qhov project thiab kev lag luam platform los ntawm cov neeg muag khoom sib txawv. Peb cia siab tias nws yuav pab koj txheeb xyuas cov uas nyiam tshaj plaws thiab taw qhia koj mus rau qhov yog raws li koj qhov tshwj xeeb Kubernetes kev xav tau kev nyab xeeb.
Pawg
Txhawm rau ua kom cov npe yooj yim rau kev taw qhia, cov cuab yeej tau teeb tsa los ntawm lub luag haujlwm tseem ceeb thiab daim ntawv thov. Cov ntu hauv qab no tau txais:
- Kubernetes scanning duab thiab kev soj ntsuam zoo li qub;
- Runtime kev ruaj ntseg;
- Kubernetes kev ruaj ntseg network;
- Cov duab faib thiab kev tswj tsis pub lwm tus paub;
- Kubernetes kev soj ntsuam kev ruaj ntseg;
- Cov khoom lag luam dav dav.
Cia peb mus ua lag luam:
Scanning Kubernetes cov duab
Thauj tog rau nkoj
- lub vas sab:
- Daim ntawv tso cai: pub dawb (Apache) thiab kev lag luam
Anchore txheeb xyuas cov duab ntim thiab tso cai rau kev kuaj xyuas kev nyab xeeb raws li cov neeg siv cov cai tswjfwm.
Ntxiv rau qhov niaj zaus luam theej duab lub thawv rau kev paub txog qhov tsis zoo los ntawm CVE database, Anchore ua ntau yam kev kuaj xyuas ntxiv raws li ib feem ntawm nws txoj cai scanning: tshuaj xyuas Dockerfile, cov ntaub ntawv pov thawj, cov pob ntawm cov lus programming siv (npm, maven, thiab lwm yam. .), software licences thiab ntau ntxiv.
Clair
- lub vas sab: (tam sim no nyob rau hauv kev tutelage ntawm Red Hat)
- Daim ntawv tso cai: dawb (Apache)
Clair yog ib qho ntawm thawj qhov Open Source tej yaam num rau scanning duab. Nws yog dav paub raws li kev ruaj ntseg scanner tom qab Quay daim ntawv teev npe (tseem los ntawm CoreOS - kwv yees. txhais lus). Clair tuaj yeem sau CVE cov ntaub ntawv los ntawm ntau qhov chaw, suav nrog cov npe ntawm Linux faib-kev tsis muaj peev xwm tswj hwm los ntawm Debian, Red Hat, lossis Ubuntu kev ruaj ntseg pab pawg.
Tsis zoo li Anchore, Clair feem ntau tsom rau kev nrhiav qhov tsis zoo thiab sib piv cov ntaub ntawv rau CVEs. Txawm li cas los xij, cov khoom lag luam muab cov neeg siv qee lub sijhawm los nthuav cov haujlwm siv cov tsav tsheb plug-in.
Dagda
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Dagda ua qhov kev soj ntsuam zoo li qub ntawm cov duab ntim rau paub qhov tsis zoo, Trojans, kab mob, malware thiab lwm yam kev hem thawj.
Ob qhov tseem ceeb nta txawv Dagda los ntawm lwm cov cuab yeej zoo sib xws:
- Nws integrates zoo kawg nkaus nrog , ua yeeb yam tsis yog tsuas yog ib qho cuab yeej rau luam theej duab lub thawv, tab sis kuj yog ib qho antivirus.
- Kuj tseem muab kev tiv thaiv runtime los ntawm kev tau txais cov xwm txheej tiag tiag los ntawm Docker daemon thiab koom nrog Falco (saib hauv qab no) txhawm rau sau cov xwm txheej kev ruaj ntseg thaum lub thawv ua haujlwm.
KubeXray
- lub vas sab:
- Daim ntawv tso cai: Dawb (Apache), tab sis xav tau cov ntaub ntawv los ntawm JFrog Xray (cov khoom lag luam)
KubeXray mloog cov xwm txheej los ntawm Kubernetes API server thiab siv cov metadata los ntawm JFrog Xray kom ntseeg tau tias tsuas yog cov pods uas phim txoj cai tam sim no tau pib.
KubeXray tsis tsuas yog tshawb xyuas cov thawv tshiab lossis hloov kho tshiab hauv kev xa tawm (zoo ib yam li tus tswj hwm nkag hauv Kubernetes), tab sis kuj tseem tshawb xyuas cov thawv khiav kom ua raws li cov cai tshiab kev nyab xeeb, tshem tawm cov peev txheej uas siv cov duab tsis zoo.
Snyk
- lub vas sab:
- Daim ntawv tso cai: pub dawb (Apache) thiab cov khoom lag luam
Snyk yog ib qho txawv txav tsis zoo scanner nyob rau hauv uas nws tshwj xeeb lub hom phiaj ntawm txoj kev loj hlob thiab yog nce raws li "qhov tseem ceeb daws" rau cov neeg tsim khoom.
Snyk txuas ncaj qha mus rau code repositories, parses qhov project manifest thiab soj ntsuam cov cai txawv teb chaws nrog rau ncaj qha thiab indirect dependencies. Snyk txhawb ntau hom lus nrov programming thiab tuaj yeem txheeb xyuas qhov pheej hmoo ntawm daim ntawv tso cai zais cia.
Tsis paub
- lub vas sab:
- Daim ntawv tso cai: dawb (AGPL)
Trivy yog ib qho yooj yim tab sis muaj zog scanner rau cov thawv uas yooj yim integrates rau hauv CI / CD pipeline. Nws qhov tseem ceeb tshaj plaws yog nws qhov yooj yim ntawm kev teeb tsa thiab kev ua haujlwm: daim ntawv thov muaj ib qho binary thiab tsis xav tau kev teeb tsa ntawm cov ntaub ntawv lossis cov tsev qiv ntawv ntxiv.
Lub downside rau Trivy qhov yooj yim yog tias koj yuav tsum paub seb yuav ua li cas cais thiab xa cov txiaj ntsig hauv JSON hom kom lwm yam Kubernetes kev ruaj ntseg cov cuab yeej siv tau.
Runtime kev ruaj ntseg hauv Kubernetes
Falco
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Falco yog ib txheej ntawm cov cuab yeej rau kev ruaj ntseg huab khiav ib puag ncig. Ib feem ntawm tsev neeg qhov project .
Siv Sysdig's Linux kernel-theem tooling thiab system hu profiling, Falco tso cai rau koj mus tob rau hauv kev coj cwj pwm. Nws lub sijhawm khiav haujlwm lub cav muaj peev xwm txheeb xyuas cov haujlwm tsis txaus ntseeg hauv cov ntawv thov, ntim, tus tswv tsev, thiab Kubernetes orchestrator.
Falco muab tag nrho cov pob tshab hauv lub sijhawm khiav thiab kev hem thawj los ntawm kev xa cov neeg ua haujlwm tshwj xeeb ntawm Kubernetes nodes rau lub hom phiaj no. Yog li ntawd, tsis tas yuav hloov cov thawv los ntawm kev qhia tus neeg thib peb tus lej rau hauv lawv lossis ntxiv cov thawv sab hauv.
Linux kev ruaj ntseg moj khaum rau runtime
Cov txheej txheem ib txwm muaj rau Linux kernel tsis yog "Kubernetes cov cuab yeej kev ruaj ntseg" hauv cov lus ib txwm muaj, tab sis lawv tsim nyog hais vim lawv yog ib qho tseem ceeb hauv cov ntsiab lus ntawm kev ruaj ntseg runtime, uas suav nrog Kubernetes Pod Security Policy (PSP).
txuas ib qho kev ruaj ntseg profile rau cov txheej txheem khiav hauv lub thawv, txhais cov cai ntawm cov ntaub ntawv, cov cai nkag hauv network, txuas cov tsev qiv ntawv, thiab lwm yam. Qhov no yog ib qho system raws li Mandatory Access Control (MAC). Hauv lwm lo lus, nws tiv thaiv kev txwv tsis pub ua.
Security-Enhanced Linux () yog qhov kev ruaj ntseg zoo tshaj plaws hauv Linux ntsiav, zoo ib yam hauv qee yam rau AppArmor thiab feem ntau piv rau nws. SELinux yog qhov zoo tshaj rau AppArmor hauv lub zog, hloov pauv thiab hloov kho. Nws qhov tsis zoo yog qhov kev kawm ntev nkhaus thiab nce qhov nyuaj.
thiab seccomp-bpf tso cai rau koj los lim cov kev hu xov tooj, thaiv qhov kev ua tiav ntawm cov uas muaj peev xwm txaus ntshai rau lub hauv paus OS thiab tsis xav tau rau kev ua haujlwm ib txwm siv ntawm cov neeg siv. Seccomp zoo ib yam li Falco hauv qee txoj kev, txawm hais tias nws tsis paub qhov tshwj xeeb ntawm ntim.
Sysdig qhib qhov chaw
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Sysdig yog ib qho cuab yeej ua tiav rau kev tshuaj xyuas, kuaj xyuas thiab kho cov kab ke Linux (tseem ua haujlwm ntawm Windows thiab macOS, tab sis nrog cov haujlwm tsawg). Nws tuaj yeem siv rau kev sau cov ntaub ntawv ntxaws ntxaws, kev txheeb xyuas thiab kev tshuaj xyuas forensic. (forensics) lub hauv paus system thiab txhua lub thawv khiav ntawm nws.
Sysdig kuj tseem txhawb nqa lub thawv runtimes thiab Kubernetes metadata, ntxiv qhov ntev thiab cov ntawv cim rau txhua qhov kev coj tus cwj pwm cov ntaub ntawv nws sau. Muaj ntau ntau txoj hauv kev los txheeb xyuas Kubernetes pawg siv Sysdig: koj tuaj yeem ua qhov point-in-time capture ntawm los yog tso ib qho kev sib tham sib cuam tshuam uas siv lub plugin .
Kubernetes Network Security
Aporeto
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Aporeto muab "kev ruaj ntseg cais tawm ntawm lub network thiab infrastructure." Qhov no txhais tau hais tias Kubernetes cov kev pabcuam tsis yog tsuas yog tau txais tus ID hauv zos (piv txwv li ServiceAccount hauv Kubernetes), tab sis kuj muaj tus ID thoob ntiaj teb / tus ntiv tes uas siv tau los sib txuas lus ruaj ntseg thiab sib koom nrog lwm yam kev pabcuam, piv txwv li hauv OpenShift pawg.
Aporeto muaj peev xwm tsim ib tus ID tshwj xeeb tsis yog rau Kubernetes / ntim khoom nkaus xwb, tab sis kuj rau cov tswv, huab ua haujlwm thiab cov neeg siv. Nyob ntawm cov txheej txheem no thiab cov txheej txheem kev ruaj ntseg network tsim los ntawm tus thawj tswj hwm, kev sib txuas lus yuav raug tso cai lossis thaiv.
Calico
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Calico feem ntau yog siv thaum lub thawv ntim khoom nruab nrog, tso cai rau koj los tsim lub network virtual uas cuam tshuam cov ntim khoom. Ntxiv rau qhov kev ua haujlwm yooj yim hauv lub network no, Calico project ua haujlwm nrog Kubernetes Network Txoj Cai thiab nws tus kheej cov txheej txheem kev ruaj ntseg network, txhawb nqa qhov kawg ACLs (cov npe tswj hwm) thiab cov lus piav qhia raws li kev ruaj ntseg network rau Ingress thiab Egress tsheb.
cilium
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Cilium ua lub firewall rau ntim thiab muab kev ruaj ntseg network nta ib txwm haum rau Kubernetes thiab microservices workloads. Cilium siv lub tshuab tshiab Linux kernel hu ua BPF (Berkeley Packet Filter) los lim, saib xyuas, hloov pauv thiab kho cov ntaub ntawv.
Cilium muaj peev xwm siv tau cov cai nkag mus rau hauv lub network raws li lub thawv IDs siv Docker lossis Kubernetes cov ntawv lo thiab cov ntaub ntawv metadata. CILIUMS tseem nkag siab thiab cov ntxaij lim dej ntau txheej txheej txheej http lossis GRPC, tso cai rau koj los txhais cov khoom seem uas yuav tau tso cai, piv txwv.
Istio
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Istio tau paub dav dav rau kev siv cov kev pabcuam mesh paradigm los ntawm kev siv lub platform-ywj siab tswj lub dav hlau thiab routing tag nrho cov kev tswj xyuas kev khiav tsheb los ntawm dynamically configurable Envoy proxies. Istio siv qhov zoo ntawm qhov kev pom siab ntawm txhua qhov microservices thiab ntim khoom los siv ntau yam kev ruaj ntseg network.
Istio's network kev ruaj ntseg muaj peev xwm suav nrog pob tshab TLS encryption kom hloov kho kev sib txuas lus ntawm microservices mus rau HTTPS, thiab ib tus tswv cuab RBAC kev txheeb xyuas thiab kev tso cai los tso cai / tsis kam sib txuas lus ntawm cov haujlwm sib txawv hauv pawg.
Nco tseg. txhais.: Xav paub ntau ntxiv txog Istio qhov kev nyab xeeb tsom rau lub peev xwm, nyeem .
Tigera
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Hu ua "Kubernetes Firewall," qhov kev daws teeb meem no qhia txog qhov tsis muaj kev ntseeg siab rau kev ruaj ntseg network.
Zoo ib yam li lwm haiv neeg Kubernetes kev sib tham daws teeb meem, Tigera tso siab rau cov ntaub ntawv metadata txhawm rau txheeb xyuas ntau yam kev pabcuam thiab cov khoom hauv pawg thiab muab kev tshawb nrhiav qhov teeb meem ntawm lub sijhawm, kev soj ntsuam kev ua raws li niaj hnub no, thiab kev pom hauv network rau ntau huab lossis hybrid monolithic-containerized infrastructures.
Trireme
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Trireme-Kubernetes yog qhov kev siv yooj yim thiab ncaj nraim ntawm Kubernetes Network Policy specification. Qhov tseem ceeb tshaj plaws yog tias - tsis zoo li Kubernetes cov khoom lag luam kev ruaj ntseg network zoo sib xws - nws tsis tas yuav muaj lub dav hlau tswj hwm los tswj cov mesh. Qhov no ua rau kev daws teeb meem tsis yooj yim. Hauv Trireme, qhov no ua tiav los ntawm kev txhim kho tus neeg sawv cev ntawm txhua qhov ntawm qhov txuas ncaj qha rau tus tswv tsev TCP / IP pawg.
Cov duab nthuav tawm thiab kev tswj hwm zais cia
Grafeas
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Grafeas yog qhov qhib API rau software muab saw hlau soj ntsuam thiab tswj. Nyob rau theem pib, Grafeas yog ib qho cuab yeej rau kev sau cov metadata thiab tshawb xyuas cov kev tshawb pom. Nws tuaj yeem siv los taug qab kev ua raws li kev nyab xeeb zoo tshaj plaws hauv ib lub koom haum.
Lub hauv paus ntsiab lus ntawm qhov tseeb no pab teb cov lus nug xws li:
- Leej twg sau thiab kos npe rau ib lub thawv tshwj xeeb?
- Nws puas tau dhau tag nrho cov kev kuaj xyuas kev nyab xeeb thiab cov tshev uas xav tau los ntawm txoj cai tswjfwm? Thaum twg? Cov txiaj ntsig tau li cas?
- Leej twg xa nws mus rau kev tsim khoom? Dab tsi tshwj xeeb parameter tau siv thaum xa tawm?
Hauv-toto
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Nyob rau hauv-toto yog ib lub moj khaum tsim los muab kev ncaj ncees, authentication thiab auditing ntawm tag nrho cov software mov saw. Thaum siv In-toto hauv ib qho kev tsim kho vaj tse, ib txoj kev npaj yog thawj zaug uas piav qhia txog ntau yam hauv cov raj xa dej (repository, CI/CD cov cuab yeej, QA cov cuab yeej, cov khoom sau khoom, thiab lwm yam) thiab cov neeg siv (cov neeg saib xyuas) uas tau tso cai rau pib lawv.
In-toto soj ntsuam kev ua tiav ntawm txoj kev npaj, xyuas kom meej tias txhua txoj haujlwm hauv cov saw hlau ua tau zoo los ntawm cov neeg ua haujlwm raug tso cai nkaus xwb thiab tsis muaj kev tso cai tsis raug cai tau ua nrog cov khoom thaum lub sijhawm txav mus los.
Portieris
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Portieris yog tus tswj kev nkag rau Kubernetes; siv los tswj xyuas cov ntsiab lus ntseeg siab. Portieris siv lub server (Peb sau txog nws thaum kawg - kwv yees. txhais lus) raws li qhov tseeb ntawm kev lees paub cov khoom pov thawj uas ntseeg siab thiab kos npe (piv txwv li cov duab pom zoo).
Thaum lub chaw ua haujlwm raug tsim lossis hloov kho hauv Kubernetes, Portieris rub tawm cov ntaub ntawv kos npe thiab cov ntsiab lus kev ntseeg siab txoj cai rau cov duab uas tau thov thiab, yog tias tsim nyog, ua rau kev hloov pauv mus rau JSON API cov khoom kom khiav cov ntawv kos npe ntawm cov duab ntawd.
vault
- lub vas sab:
- Daim ntawv tso cai: dawb (MPL)
Vault yog ib txoj hauv kev ruaj ntseg rau khaws cov ntaub ntawv ntiag tug: passwords, OAuth tokens, PKI daim ntawv pov thawj, nkag mus rau cov nyiaj, Kubernetes secrets, thiab lwm yam. Vault txhawb nqa ntau yam kev tshaj lij, xws li leasing ephemeral security tokens lossis teeb tsa qhov tseem ceeb.
Siv daim ntawv qhia Helm, Vault tuaj yeem xa mus ua kev xa tawm tshiab hauv Kubernetes pawg nrog Consul ua qhov chaw khaws cia. Nws txhawb nqa cov peev txheej Kubernetes ib txwm muaj xws li ServiceAccount tokens thiab tuaj yeem ua raws li lub khw muag khoom rau Kubernetes zais cia.
Nco tseg. txhais.: Los ntawm txoj kev, nag hmo lub tuam txhab HashiCorp, uas tsim Vault, tshaj tawm qee qhov kev txhim kho rau kev siv Vault hauv Kubernetes, thiab tshwj xeeb tshaj yog lawv cuam tshuam nrog Helm daim ntawv. Nyeem ntxiv hauv .
Kubernetes Security Audit
Kub-bench
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Kube-lub rooj ntev zaum yog ib daim ntawv thov Go uas kuaj xyuas seb Kubernetes puas siv tau ruaj ntseg los ntawm kev ua haujlwm ntawm cov npe .
Kube-lub rooj ntev zaum saib rau kev teeb tsa tsis ruaj ntseg ntawm pawg pawg (thiab lwm yam, API, tus tswj hwm tus tswj hwm, thiab lwm yam), nug txog cov cai nkag mus rau cov ntaub ntawv, cov nyiaj tsis muaj kev tiv thaiv lossis qhib cov chaw nres nkoj, cov peev txheej quotas, chaw rau txwv tus lej API hu los tiv thaiv DoS tawm tsam , lwm.
Kub-hunter
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Kube-tus neeg yos hav zoov yos hav zoov rau qhov muaj peev xwm tsis muaj peev xwm (xws li kev tua cov lej nyob deb lossis nthuav tawm cov ntaub ntawv) hauv Kubernetes pawg. Kube-tus neeg yos hav zoov tuaj yeem khiav tau raws li lub chaw taws teeb scanner - nyob rau hauv rooj plaub twg nws yuav ntsuas cov pawg los ntawm qhov pom ntawm tus neeg sab nrauv tawm tsam - lossis ua lub plhaub hauv pawg.
Ib qho tshwj xeeb ntawm Kube-tus neeg yos hav zoov yog nws "kev yos hav zoov" hom, thaum lub sijhawm nws tsis tsuas yog qhia txog teeb meem, tab sis kuj sim ua kom zoo dua ntawm qhov tsis zoo uas pom nyob rau hauv lub hom phiaj pawg uas tuaj yeem ua rau muaj kev puas tsuaj rau nws txoj haujlwm. Yog li siv ceev faj!
Kubeaudit
- lub vas sab:
- Daim ntawv tso cai: dawb (MIT)
Kubeaudit yog lub cuab yeej console qub tsim los ntawm Shopify los tshuaj xyuas Kubernetes teeb tsa rau ntau yam teeb meem kev nyab xeeb. Piv txwv li, nws pab txheeb xyuas cov thawv uas tsis muaj kev txwv, khiav hauv paus, ua txhaum cai, lossis siv qhov ServiceAccount default.
Kubeaudit muaj lwm yam nthuav dav. Piv txwv li, nws tuaj yeem txheeb xyuas cov ntaub ntawv YAML hauv zos, txheeb xyuas cov teeb meem kev teeb tsa uas tuaj yeem ua rau muaj teeb meem kev nyab xeeb, thiab kho lawv.
Kubesec
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Kubesec yog ib qho cuab yeej tshwj xeeb uas nws ncaj qha luam theej duab YAML cov ntaub ntawv uas piav txog Kubernetes cov peev txheej, tab tom nrhiav rau qhov tsis muaj zog uas tuaj yeem cuam tshuam kev nyab xeeb.
Piv txwv li, nws tuaj yeem ntes cov cai ntau dhau thiab kev tso cai tso cai rau lub hauv paus, khiav lub thawv nrog cov hauv paus raws li tus neeg siv lub neej ntawd, txuas mus rau tus tswv lub network namespace, lossis cov khoom txaus ntshai xws li /proc host los yog Docker socket. Lwm qhov nthuav dav ntawm Kubesec yog qhov kev pabcuam demo muaj nyob hauv online, uas koj tuaj yeem upload YAML thiab soj ntsuam tam sim ntawd.
Qhib Tus Neeg Saib Xyuas Txoj Cai
- lub vas sab:
- Daim ntawv tso cai: dawb (Apache)
Lub tswv yim ntawm OPA (Open Policy Agent) yog txhawm rau txiav txim siab txog kev nyab xeeb thiab kev nyab xeeb zoo tshaj plaws los ntawm lub sijhawm ua haujlwm tshwj xeeb: Docker, Kubernetes, Mesosphere, OpenShift, lossis ib qho kev sib xyaw ua ke.
Piv txwv li, koj tuaj yeem xa OPA ua tus backend rau Kubernetes tus tswj kev nkag mus, xa cov kev txiav txim siab kev ruaj ntseg rau nws. Txoj kev no, tus neeg sawv cev OPA tuaj yeem lees paub, tsis lees paub, thiab txawm tias hloov pauv cov lus thov ntawm ya, ua kom ntseeg tau tias qhov ntsuas kev nyab xeeb tau ua tiav. OPA cov cai tswj kev ruaj ntseg tau sau ua nws hom lus DSL, Rego.
Nco tseg. txhais.: Peb tau sau ntau ntxiv txog OPA (thiab SPIFFE) hauv .
Cov cuab yeej ua lag luam zoo rau Kubernetes kev tsom xam kev nyab xeeb
Peb txiav txim siab los tsim ib pawg cais rau kev lag luam platforms vim tias lawv feem ntau npog ntau qhov chaw ruaj ntseg. Lub tswv yim dav dav ntawm lawv lub peev xwm tuaj yeem tau txais los ntawm lub rooj:
* Kev tshuaj xyuas qib siab thiab kev soj ntsuam tom qab mortem nrog ua tiav .
Aqua Kev Ruaj Ntseg
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Cov cuab yeej ua lag luam no yog tsim los rau cov thawv ntim khoom thiab huab ua haujlwm. Nws muab:
- Cov duab luam theej duab ua ke nrog lub thawv ntawv sau npe lossis CI / CD pipeline;
- Kev tiv thaiv lub sijhawm ua haujlwm nrog kev tshawb nrhiav cov kev hloov pauv hauv cov thawv ntim khoom thiab lwm yam haujlwm tsis txaus ntseeg;
- Thawv-native firewall;
- Kev ruaj ntseg rau serverless hauv huab kev pabcuam;
- Kev ntsuas kev ua raws cai thiab kev tshuaj xyuas ua ke nrog kev txheeb xyuas qhov xwm txheej.
Nco tseg. txhais.: Nws tseem tsim nyog sau cia tias muaj dawb tivthaiv ntawm cov khoom hu ua , uas tso cai rau koj luam theej duab lub thawv rau qhov tsis zoo. Ib qho kev sib piv ntawm nws lub peev xwm nrog them nyiaj version yog nthuav tawm hauv .
Capsule 8
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Capsule8 koom ua ke rau hauv cov txheej txheem los ntawm kev txhim kho lub tshuab ntes ntawm lub zos lossis huab Kubernetes pawg. Qhov no detector sau host thiab network telemetry, correlating nws nrog ntau hom kev tawm tsam.
Pab pawg Capsule8 pom nws txoj haujlwm raws li kev tshawb pom ntxov thiab kev tiv thaiv kev tawm tsam siv tshiab (0-hnub) yooj yim. Capsule8 tuaj yeem rub tawm cov cai tshiab kev ruaj ntseg ncaj qha rau cov neeg tshawb nrhiav hauv cov lus teb rau cov kev hem thawj tshiab thiab cov software tsis zoo.
Cavirin
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Cavirin ua ib lub tuam txhab-sib cog lus rau ntau lub koom haum koom nrog hauv cov qauv kev nyab xeeb. Tsis tsuas yog nws tuaj yeem luam theej duab cov duab, tab sis nws tuaj yeem koom ua ke rau hauv CI / CD pipeline, thaiv cov duab tsis zoo ua ntej lawv nkag mus rau qhov chaw kaw.
Cavirin's kev ruaj ntseg suite siv tshuab kev kawm los ntsuas koj lub cybersecurity posture, muab cov lus qhia los txhim kho kev ruaj ntseg thiab txhim kho kev ua raws li cov qauv kev ruaj ntseg.
Google Cloud Security Command Center
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Cloud Security Command Center pab pawg ruaj ntseg sau cov ntaub ntawv, txheeb xyuas cov kev hem thawj, thiab tshem tawm lawv ua ntej lawv ua phem rau lub tuam txhab.
Raws li lub npe qhia, Google Cloud SCC yog pawg tswj hwm kev sib koom ua ke uas tuaj yeem koom ua ke thiab tswj hwm ntau yam kev ceeb toom kev nyab xeeb, cov cuab yeej siv nyiaj txiag, thiab cov txheej txheem kev ruaj ntseg thib peb los ntawm ib qho, hauv nruab nrab qhov chaw.
Kev sib cuam tshuam API muab los ntawm Google Cloud SCC ua rau nws yooj yim rau kev sib koom ua ke kev nyab xeeb los ntawm ntau qhov chaw, xws li Sysdig Secure (khoom ruaj ntseg rau cov ntawv thov huab cua) lossis Falco (Open Source runtime security).
Layered Insight (Qualys)
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Layered Insight (tam sim no ib feem ntawm Qualys Inc) yog tsim los ntawm lub tswv yim ntawm "kev ruaj ntseg embedded." Tom qab luam theej duab thawj daim duab rau qhov tsis zoo siv kev txheeb xyuas kev txheeb xyuas thiab CVE cov tshev, Layered Insight hloov nws nrog cov duab ntsuas uas suav nrog tus neeg sawv cev ua binary.
Tus neeg sawv cev no muaj cov kev ntsuam xyuas kev ruaj ntseg hauv lub sijhawm los txheeb xyuas cov tsheb thauj mus los hauv lub network, I / O ntws thiab kev ua haujlwm ntawm daim ntawv thov. Tsis tas li ntawd, nws tuaj yeem ua qhov kev kuaj xyuas kev nyab xeeb ntxiv uas tau teev tseg los ntawm cov thawj coj hauv tsev lossis DevOps pawg.
NeuVector
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
NeuVector tshawb xyuas lub thawv kev ruaj ntseg thiab muab kev tiv thaiv lub sijhawm los ntawm kev txheeb xyuas kev ua haujlwm hauv network thiab kev siv tus cwj pwm, tsim kom muaj tus kheej kev ruaj ntseg profile rau txhua lub thawv. Nws tseem tuaj yeem thaiv cov kev hem thawj ntawm nws tus kheej, cais cov haujlwm tsis txaus ntseeg los ntawm kev hloov cov cai hauv zos firewall.
NeuVector's network kev koom ua ke, hu ua Security Mesh, muaj peev xwm tshawb xyuas pob ntawv sib sib zog nqus thiab txheej 7 lim rau txhua qhov kev sib txuas hauv network hauv kev pabcuam mesh.
Dab neeg
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
StackRox thawv kev ruaj ntseg platform siv zog los npog tag nrho lub neej voj voog ntawm Kubernetes cov ntawv thov hauv ib pawg. Zoo li lwm cov lag luam platforms ntawm daim ntawv teev npe no, StackRox tsim ib lub sijhawm ua haujlwm raws li kev coj noj coj ua hauv lub thawv thiab cia li tsa lub tswb rau txhua qhov sib txawv.
Tsis tas li ntawd, StackRox txheeb xyuas Kubernetes cov kev teeb tsa siv Kubernetes CIS thiab lwm cov ntawv tswj hwm los ntsuas kev ua raws li lub thawv.
Sysdig ruaj ntseg
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Sysdig Secure tiv thaiv daim ntawv thov thoob plaws tag nrho lub thawv thiab Kubernetes lub neej voj voog. Nws ntim, muab raws li cov ntaub ntawv kawm tshuab, ua cov tshuaj nplaum. kev txawj ntse los txheeb xyuas qhov tsis zoo, thaiv kev hem, saib xyuas thiab tshawb xyuas cov haujlwm hauv microservices.
Sysdig Secure integrates nrog CI / CD cov cuab yeej xws li Jenkins thiab tswj cov dluab loaded los ntawm Docker registries, tiv thaiv cov duab txaus ntshai los ntawm kev tsim tawm. Nws kuj tseem muab kev ruaj ntseg runtime, suav nrog:
- ML-raws li runtime profileing thiab kuaj pom tsis zoo;
- runtime cov cai raws li cov txheej xwm txheej xwm, K8s-audit API, kev sib koom ua haujlwm hauv zej zog (FIM - kev saib xyuas cov ntaub ntawv ncaj ncees; cryptojacking) thiab lub moj khaum ;
- teb thiab daws teeb meem.
Tenable Container Security
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Ua ntej qhov tshwm sim ntawm cov thawv ntim khoom, Tenable tau paub dav hauv kev lag luam raws li lub tuam txhab tom qab Nessus, qhov nrov nrov kev yos hav zoov thiab kev soj ntsuam kev ruaj ntseg.
Tenable Container Security siv lub tuam txhab kev paub txog kev ruaj ntseg hauv computer los koom ua ke CI / CD pipeline nrog cov ntaub ntawv tsis muaj zog, tshwj xeeb malware nrhiav pob khoom, thiab cov lus pom zoo rau kev daws teeb meem kev nyab xeeb.
Twistlock (Palo Alto Networks)
- lub vas sab:
- Daim ntawv tso cai: coj mus muag
Twistlock txhawb nws tus kheej ua lub platform tsom rau huab kev pabcuam thiab ntim khoom. Twistlock txhawb ntau tus neeg muab kev pabcuam huab (AWS, Azure, GCP), thawv orchestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverless runtimes, mesh moj khaum thiab CI/CD cov cuab yeej.
Ntxiv nrog rau cov qauv kev lag luam-qib kev ruaj ntseg xws li CI / CD pipeline kev koom ua ke lossis kev soj ntsuam cov duab, Twistlock siv tshuab kev kawm los tsim cov qauv kev coj cwj pwm tshwj xeeb thiab cov cai hauv network.
Qee lub sij hawm dhau los, Twistlock tau yuav los ntawm Palo Alto Networks, uas yog tus tswv Evident.io thiab RedLock cov haujlwm. Nws tseem tsis tau paub meej npaum li cas peb lub platform no yuav raug muab tso rau hauv los ntawm Palo Alto.
Pab tsim cov catalog zoo tshaj plaws ntawm Kubernetes cov cuab yeej ruaj ntseg!
Peb sib zog ua kom cov ntawv teev npe no ua tiav raws li qhov ua tau, thiab rau qhov no peb xav tau koj kev pab! Tiv tauj peb () yog tias koj muaj cov cuab yeej txias hauv siab uas tsim nyog suav nrog hauv daim ntawv teev npe no, lossis koj pom qhov yuam kev / cov ntaub ntawv dhau los.
Koj tseem tuaj yeem sau npe rau peb nrog cov xov xwm los ntawm huab-native ib puag ncig ecosystem thiab cov dab neeg hais txog nthuav tej yaam num los ntawm lub ntiaj teb no ntawm Kubernetes kev ruaj ntseg.
PS los ntawm tus txhais lus
Nyeem kuj ntawm peb blog:
- «»;
- «»;
- «»;
- «»;
- Β«".
Tau qhov twg los: www.hab.com