33+ sigurnosnih alata Kubernetes

Bilješka. prev.: Ako se pitate o sigurnosti u infrastrukturi temeljenoj na Kubernetesu, ovaj izvrstan pregled iz Sysdiga odlična je polazna točka za brzi pregled trenutnih rješenja. Uključuje i složene sustave poznatih tržišnih igrača i mnogo skromnije alate koji rješavaju određeni problem. A u komentarima, kao i uvijek, bit će nam drago čuti vaše iskustvo korištenja ovih alata i vidjeti poveznice na druge projekte.

Sigurnosni softverski proizvodi Kubernetes... toliko ih je, svaki sa svojim ciljevima, opsegom i licencama.

Zato smo odlučili napraviti ovaj popis i uključiti projekte otvorenog koda i komercijalne platforme različitih dobavljača. Nadamo se da će vam pomoći identificirati one koji vas najviše zanimaju i uputiti vas u pravom smjeru na temelju vaših specifičnih Kubernetes sigurnosnih potreba.

Категории

Kako bi popis bio lakši za navigaciju, alati su organizirani prema glavnim funkcijama i aplikacijama. Dobiveni su sljedeći dijelovi:

• Kubernetes skeniranje slike i statička analiza;
• Runtime sigurnost;
• Sigurnost Kubernetes mreže;
• Distribucija slika i upravljanje tajnama;
• Kubernetes sigurnosna revizija;
• Sveobuhvatni komercijalni proizvodi.

Primimo se posla:

Skeniranje Kubernetes slika

Sidro

• Web stranica: sidro.com
• Licenca: besplatna (Apache) i komercijalna ponuda

Anchore analizira slike spremnika i omogućuje sigurnosne provjere na temelju korisnički definiranih pravila.

Uz uobičajeno skeniranje slika spremnika u potrazi za poznatim ranjivostima iz CVE baze podataka, Anchore provodi mnoge dodatne provjere kao dio svoje politike skeniranja: provjerava Dockerfile, curenje vjerodajnica, pakete korištenih programskih jezika (npm, maven, itd.). .), softverske licence i još mnogo toga .

Clair

• Web stranica: coreos.com/clair (sada pod pokroviteljstvom Red Hat-a)
• Licenca: besplatno (Apache)

Clair je bio jedan od prvih Open Source projekata za skeniranje slika. Nadaleko je poznat kao sigurnosni skener iza registra slika Quay (također iz CoreOS-a - cca. prijevod). Clair može prikupiti CVE informacije iz raznih izvora, uključujući popise ranjivosti specifičnih za distribuciju Linuxa koje održavaju Debian, Red Hat ili Ubuntu sigurnosni timovi.

Za razliku od Anchorea, Clair se prvenstveno fokusira na pronalaženje ranjivosti i povezivanje podataka s CVE-ovima. Međutim, proizvod nudi korisnicima neke mogućnosti za proširenje funkcija pomoću plug-in upravljačkih programa.

dagda

• Web stranica: github.com/eliasgranderubio/dagda
• Licenca: besplatno (Apache)

Dagda provodi statičku analizu slika spremnika za poznate ranjivosti, trojance, viruse, malware i druge prijetnje.

Dvije značajne značajke razlikuju Dagdu od drugih sličnih alata:

• Savršeno se integrira s ClamAV, djelujući ne samo kao alat za skeniranje slika spremnika, već i kao antivirus.
• Također pruža zaštitu tijekom izvođenja primanjem događaja u stvarnom vremenu od Docker demona i integracijom s Falcom (Pogledaj ispod) za prikupljanje sigurnosnih događaja dok spremnik radi.

KubeXray

• Web stranica: github.com/jfrog/kubexray
• Licenca: besplatno (Apache), ali zahtijeva podatke iz JFrog Xray (komercijalni proizvod)

KubeXray sluša događaje s Kubernetes API poslužitelja i koristi metapodatke iz JFrog Xraya kako bi osigurao pokretanje samo podova koji odgovaraju trenutnoj politici.

KubeXray ne samo da revidira nove ili ažurirane spremnike u implementacijama (slično kontroleru pristupa u Kubernetesu), već i dinamički provjerava usklađenost pokrenutih spremnika s novim sigurnosnim pravilima, uklanjajući resurse koji upućuju na ranjive slike.

Snyk

• Web stranica: snyk.io
• Licenca: besplatna (Apache) i komercijalna verzija

Snyk je neobičan skener ranjivosti po tome što posebno cilja razvojni proces i promovira se kao "bitno rješenje" za programere.

Snyk se povezuje izravno na repozitorije koda, analizira manifest projekta i analizira uvezeni kod zajedno s izravnim i neizravnim ovisnostima. Snyk podržava mnoge popularne programske jezike i može identificirati skrivene licencne rizike.

Trivy

• Web stranica: github.com/knqyf263/trivy
• Licenca: besplatno (AGPL)

Trivy je jednostavan, ali moćan skener ranjivosti za spremnike koji se lako integrira u CI/CD cjevovod. Njegova značajna značajka je jednostavnost instalacije i rada: aplikacija se sastoji od jedne binarne datoteke i ne zahtijeva instalaciju baze podataka ili dodatnih biblioteka.

Loša strana jednostavnosti Trivyja je ta što morate smisliti kako raščlaniti i proslijediti rezultate u JSON formatu kako bi ih drugi Kubernetes sigurnosni alati mogli koristiti.

Sigurnost izvođenja u Kubernetesu

soko

• Web stranica: falco.org
• Licenca: besplatno (Apache)

Falco je skup alata za osiguranje okruženja u oblaku. Dio projektne obitelji CNCF.

Korištenjem Sysdigovog alata na razini jezgre Linuxa i profiliranja sistemskih poziva, Falco vam omogućuje da zaronite duboko u ponašanje sustava. Njegov mehanizam za pravila izvođenja sposoban je detektirati sumnjive aktivnosti u aplikacijama, spremnicima, osnovnom hostu i Kubernetes orkestratoru.

Falco pruža potpunu transparentnost u vremenu izvođenja i detekciji prijetnji postavljanjem posebnih agenata na Kubernetes čvorove u te svrhe. Kao rezultat toga, nema potrebe mijenjati spremnike uvođenjem koda treće strane u njih ili dodavanjem kontejnera s prikolicom.

Linux sigurnosni okviri za vrijeme izvođenja

Ovi izvorni okviri za Linux kernel nisu "Kubernetesovi sigurnosni alati" u tradicionalnom smislu, ali vrijedni su spomena jer su važan element u kontekstu sigurnosti izvođenja, koja je uključena u Kubernetes Pod Security Policy (PSP).

AppArmor prilaže sigurnosni profil procesima koji se izvode u spremniku, definirajući privilegije datotečnog sustava, pravila pristupa mreži, povezujući biblioteke itd. Ovo je sustav temeljen na obaveznoj kontroli pristupa (MAC). Drugim riječima, sprječava izvođenje zabranjenih radnji.

Linux s poboljšanom sigurnošću (Uklanjanje poteškoća) je napredni sigurnosni modul u jezgri Linuxa, sličan u nekim aspektima AppArmoru i često uspoređen s njim. SELinux je superiorniji od AppArmora u snazi, fleksibilnosti i prilagodbi. Njegovi nedostaci su duga krivulja učenja i povećana složenost.

Seccomp i seccomp-bpf omogućuju filtriranje poziva sustava, blokiranje izvršavanja onih koji su potencijalno opasni za osnovni OS i nisu potrebni za normalan rad korisničkih aplikacija. Seccomp je na neki način sličan Falcu, iako ne poznaje specifičnosti kontejnera.

Sysdig otvorenog koda

• Web stranica: www.sysdig.com/opensource
• Licenca: besplatno (Apache)

Sysdig je kompletan alat za analizu, dijagnosticiranje i otklanjanje pogrešaka Linux sustava (također radi na Windows i macOS, ali s ograničenim funkcijama). Može se koristiti za detaljno prikupljanje informacija, provjeru i forenzičku analizu. (forenzika) osnovni sustav i sve spremnike koji rade na njemu.

Sysdig također izvorno podržava runtimes spremnika i Kubernetes metapodatke, dodajući dodatne dimenzije i oznake svim informacijama o ponašanju sustava koje prikuplja. Postoji nekoliko načina za analizu Kubernetes klastera pomoću Sysdiga: možete izvršiti snimanje u određenom trenutku putem kubectl hvatanje ili pokrenite interaktivno sučelje temeljeno na ncurses pomoću dodatka kubectl kopati.

Mrežna sigurnost Kubernetes

Aporeto

• Web stranica: www.aporeto.com
• Licenca: komercijalna

Aporeto nudi "sigurnost odvojenu od mreže i infrastrukture." To znači da usluge Kubernetesa ne samo da primaju lokalni ID (tj. ServiceAccount u Kubernetesu), već i univerzalni ID/otisak prsta koji se može koristiti za sigurnu i uzajamnu komunikaciju s bilo kojom drugom uslugom, na primjer u OpenShift klasteru.

Aporeto je sposoban generirati jedinstveni ID ne samo za Kubernetes/kontejnere, već i za hostove, funkcije oblaka i korisnike. Ovisno o ovim identifikatorima i skupu mrežnih sigurnosnih pravila koje je postavio administrator, komunikacije će biti dopuštene ili blokirane.

platno

• Web stranica: www.projectcalico.org
• Licenca: besplatno (Apache)

Calico se obično postavlja tijekom instalacije orkestratora spremnika, što vam omogućuje stvaranje virtualne mreže koja međusobno povezuje spremnike. Uz ovu osnovnu mrežnu funkcionalnost, projekt Calico radi s mrežnim pravilima Kubernetes i vlastitim skupom mrežnih sigurnosnih profila, podržava ACL-ove krajnjih točaka (popis kontrole pristupa) i mrežna sigurnosna pravila temeljena na komentarima za ulazni i izlazni promet.

Trepetljika

• Web stranica: www.cilium.io
• Licenca: besplatno (Apache)

Cilium djeluje kao vatrozid za spremnike i pruža značajke mrežne sigurnosti izvorno prilagođene radnim opterećenjima Kubernetesa i mikroservisa. Cilium koristi novu tehnologiju jezgre Linuxa nazvanu BPF (Berkeley Packet Filter) za filtriranje, praćenje, preusmjeravanje i ispravljanje podataka.

Cilium je sposoban implementirati pravila pristupa mreži na temelju ID-ova spremnika koristeći Docker ili Kubernetes oznake i metapodatke. Cilium također razumije i filtrira različite protokole sloja 7 kao što su HTTP ili gRPC, omogućujući vam da definirate skup REST poziva koji će biti dopušteni između dvije Kubernetes implementacije, na primjer.

Istio

• Web stranica: istio.io
• Licenca: besplatno (Apache)

Istio je nadaleko poznat po implementaciji mrežne paradigme usluge postavljanjem kontrolne ravnine neovisne o platformi i usmjeravanjem cjelokupnog upravljanog prometa usluga kroz dinamički konfigurabilne Envoy proxyje. Istio koristi prednosti ovog naprednog prikaza svih mikroservisa i spremnika za implementaciju različitih strategija mrežne sigurnosti.

Istiove mrežne sigurnosne mogućnosti uključuju transparentnu TLS enkripciju za automatsku nadogradnju komunikacije između mikroservisa na HTTPS i vlasnički RBAC identifikacijski i autorizacijski sustav za dopuštanje/odbijanje komunikacije između različitih radnih opterećenja u klasteru.

Bilješka. prev.: Da biste saznali više o Istiovim mogućnostima usmjerenim na sigurnost, pročitajte ovaj članak.

Tigera

• Web stranica: www.tigera.io
• Licenca: komercijalna

Nazvano "Kubernetes Firewall", ovo rješenje naglašava pristup sigurnosti mreže bez povjerenja.

Slično drugim izvornim Kubernetes mrežnim rješenjima, Tigera se oslanja na metapodatke za identifikaciju različitih usluga i objekata u klasteru i pruža otkrivanje problema tijekom izvođenja, kontinuiranu provjeru usklađenosti i mrežnu vidljivost za multi-cloud ili hibridne monolitne kontejnerske infrastrukture.

Trirema

• Web stranica: www.aporeto.com/opensource
• Licenca: besplatno (Apache)

Trireme-Kubernetes je jednostavna i izravna implementacija Kubernetes specifikacije mrežnih pravila. Najznačajnija značajka je da - za razliku od sličnih Kubernetes mrežnih sigurnosnih proizvoda - ne zahtijeva središnju kontrolnu ravninu za koordinaciju mreže. To rješenje čini trivijalno skalabilnim. U Trireme se to postiže instaliranjem agenta na svaki čvor koji se izravno povezuje na TCP/IP stog hosta.

Širenje slike i upravljanje tajnama

Grafeas

• Web stranica: grafeas.io
• Licenca: besplatno (Apache)

Grafeas je API otvorenog koda za reviziju i upravljanje lancem nabave softvera. Na osnovnoj razini, Grafeas je alat za prikupljanje metapodataka i nalaza revizije. Može se koristiti za praćenje usklađenosti s najboljim sigurnosnim praksama unutar organizacije.

Ovaj centralizirani izvor istine pomaže odgovoriti na pitanja poput:

• Tko je preuzeo i potpisao određeni kontejner?
• Je li prošao sva sigurnosna skeniranja i provjere koje zahtijeva sigurnosna politika? Kada? Kakvi su bili rezultati?
• Tko ga je stavio u proizvodnju? Koji su specifični parametri korišteni tijekom postavljanja?

In-toto

• Web stranica: in-toto.github.io
• Licenca: besplatno (Apache)

In-toto je okvir dizajniran za pružanje integriteta, autentifikacije i revizije cijelog lanca nabave softvera. Prilikom postavljanja In-toto-a u infrastrukturu, prvo se definira plan koji opisuje različite korake u cjevovodu (repozitorij, CI/CD alati, QA alati, sakupljači artefakata, itd.) i korisnike (odgovorne osobe) kojima je dopušteno inicirati ih.

In-toto nadzire izvršenje plana, provjeravajući da svaki zadatak u lancu ispravno obavlja samo ovlašteno osoblje i da nisu izvršene neovlaštene manipulacije s proizvodom tijekom kretanja.

Portieris

• Web stranica: github.com/IBM/portieris
• Licenca: besplatno (Apache)

Portieris je kontrolor pristupa za Kubernetes; koristi se za provođenje provjere pouzdanosti sadržaja. Portieris koristi poslužitelj Bilježnik (o njemu smo pisali na kraju ovaj članak - cca. prijevod) kao izvor istine za provjeru provjerenih i potpisanih artefakata (tj. odobrenih slika spremnika).

Kada se radno opterećenje stvori ili izmijeni u Kubernetesu, Portieris preuzima informacije o potpisivanju i pravila o povjerenju sadržaja za tražene slike spremnika i, ako je potrebno, vrši izmjene u hodu JSON API objekta za pokretanje potpisanih verzija tih slika.

svod

• Web stranica: www.vaultproject.io
• Licenca: besplatno (MPL)

Vault je sigurno rješenje za pohranu privatnih informacija: lozinki, OAuth tokena, PKI certifikata, pristupnih računa, Kubernetes tajni itd. Vault podržava mnoge napredne značajke, kao što je iznajmljivanje efemernih sigurnosnih tokena ili organiziranje rotacije ključeva.

Pomoću grafikona Helm, Vault se može implementirati kao nova implementacija u Kubernetes klasteru s Consulom kao pozadinskom pohranom. Podržava izvorne Kubernetes resurse kao što su ServiceAccount tokeni i može čak djelovati kao zadana pohrana za Kubernetes tajne.

Bilješka. prev.: Usput, upravo je jučer tvrtka HashiCorp, koja razvija Vault, najavila neka poboljšanja za korištenje Vaulta u Kubernetesu, a posebno se odnose na Helm grafikon. Pročitajte više u blog programera.

Kubernetes sigurnosna revizija

Kube-klupa

• Web stranica: github.com/aquasecurity/kube-bench
• Licenca: besplatno (Apache)

Kube-bench je Go aplikacija koja provjerava je li Kubernetes sigurno implementiran pokretanjem testova s ​​popisa CIS Kubernetes Benchmark.

Kube-bench traži nesigurne konfiguracijske postavke među komponentama klastera (etcd, API, upravitelj kontrolera itd.), upitna prava pristupa datotekama, nezaštićene račune ili otvorene portove, kvote resursa, postavke za ograničavanje broja API poziva za zaštitu od DoS napada itd.

Kube-lovac

• Web stranica: github.com/aquasecurity/kube-hunter
• Licenca: besplatno (Apache)

Kube-hunter traži potencijalne ranjivosti (kao što je daljinsko izvršavanje koda ili otkrivanje podataka) u Kubernetes klasterima. Kube-hunter se može pokrenuti kao udaljeni skener - u kojem slučaju će procijeniti klaster sa stajališta napadača treće strane - ili kao pod unutar klastera.

Posebnost Kube-huntera je njegov način rada "aktivnog lova", tijekom kojeg ne samo da prijavljuje probleme, već i pokušava iskoristiti ranjivosti otkrivene u ciljnom klasteru koje bi potencijalno mogle naštetiti njegovom radu. Stoga koristite s oprezom!

Kubeaudit

• Web stranica: github.com/Shopify/kubeaudit
• Licenca: besplatno (MIT)

Kubeaudit je konzolni alat izvorno razvijen u Shopifyju za reviziju konfiguracije Kubernetesa za razne sigurnosne probleme. Na primjer, pomaže identificirati spremnike koji rade bez ograničenja, rade kao root, zloupotrebljavaju privilegije ili koriste zadani ServiceAccount.

Kubeaudit ima i druge zanimljive značajke. Na primjer, može analizirati lokalne YAML datoteke, identificirati konfiguracijske nedostatke koji bi mogli dovesti do sigurnosnih problema i automatski ih popraviti.

Kubesec

• Web stranica: kubesec.io
• Licenca: besplatno (Apache)

Kubesec je poseban alat jer izravno skenira YAML datoteke koje opisuju Kubernetes resurse, tražeći slabe parametre koji bi mogli utjecati na sigurnost.

Na primjer, može otkriti prekomjerne privilegije i dozvole dodijeljene podu, pokretanje spremnika s rootom kao zadanim korisnikom, povezivanje s mrežnim prostorom imena glavnog računala ili opasna montiranja kao što je /proc host ili Docker utičnica. Još jedna zanimljiva značajka Kubeseca je demo usluga dostupna online, u koju možete uploadati YAML i odmah ga analizirati.

Otvoreni agent za politiku

• Web stranica: www.openpolicyagent.org
• Licenca: besplatno (Apache)

Koncept OPA (Open Policy Agent) je odvojiti sigurnosne politike i sigurnosne najbolje prakse od određene platforme za izvršavanje: Docker, Kubernetes, Mesosphere, OpenShift ili bilo koja njihova kombinacija.

Na primjer, možete implementirati OPA kao pozadinu za Kubernetes kontroler pristupa, delegirajući mu sigurnosne odluke. Na ovaj način, OPA agent može potvrditi, odbiti, pa čak i modificirati zahtjeve u hodu, osiguravajući da su navedeni sigurnosni parametri ispunjeni. Sigurnosna pravila OPA-e napisana su u njegovom vlasničkom DSL jeziku, Rego.

Bilješka. prev.: Pisali smo više o OPA (i SPIFFE) u ovaj materijal.

Sveobuhvatni komercijalni alati za Kubernetes sigurnosnu analizu

Odlučili smo stvoriti zasebnu kategoriju za komercijalne platforme jer one obično pokrivaju više sigurnosnih područja. Opća ideja o njihovim mogućnostima može se dobiti iz tablice:

* Napredni pregled i obdukcija s kompletnom otmica sistemskog poziva.

Aqua sigurnost

• Web stranica: www.aquasec.com
• Licenca: komercijalna

Ovaj komercijalni alat dizajniran je za spremnike i radna opterećenja u oblaku. Pruža:

• Skeniranje slike integrirano s registrom spremnika ili CI/CD cjevovodom;
• Runtime zaštita s traženjem promjena u spremnicima i drugim sumnjivim aktivnostima;
• Izvorni vatrozid spremnika;
• Sigurnost za usluge u oblaku bez poslužitelja;
• Testiranje sukladnosti i revizija u kombinaciji s bilježenjem događaja.

Bilješka. prev.: Također je vrijedno napomenuti da postoje besplatna komponenta proizvoda tzv mikroskener, koji vam omogućuje skeniranje slika spremnika u potrazi za ranjivostima. Usporedba njegovih mogućnosti s plaćenim verzijama prikazana je u ovaj stol.

Kapsula8

• Web stranica: capsule8.com
• Licenca: komercijalna

Capsule8 se integrira u infrastrukturu instaliranjem detektora na lokalni ili cloud Kubernetes klaster. Ovaj detektor prikuplja telemetriju hosta i mreže, povezujući je s različitim vrstama napada.

Capsule8 tim svoju zadaću vidi kao rano otkrivanje i sprječavanje napada korištenjem novih (0 dana) ranjivosti. Capsule8 može preuzeti ažurirana sigurnosna pravila izravno na detektore kao odgovor na novootkrivene prijetnje i ranjivosti softvera.

Cavirin

• Web stranica: www.cavirin.com
• Licenca: komercijalna

Cavirin djeluje kao izvođač na strani tvrtke za razne agencije uključene u sigurnosne standarde. Ne samo da može skenirati slike, već se također može integrirati u CI/CD cjevovod, blokirajući nestandardne slike prije nego što uđu u zatvorena spremišta.

Cavirin sigurnosni paket koristi strojno učenje za procjenu vašeg stanja kibernetičke sigurnosti, nudeći savjete za poboljšanje sigurnosti i usklađenost sa sigurnosnim standardima.

Google Cloud Security Command Center

• Web stranica: cloud.google.com/security-command-center
• Licenca: komercijalna

Cloud Security Command Center pomaže sigurnosnim timovima prikupiti podatke, identificirati prijetnje i eliminirati ih prije nego što naštete tvrtki.

Kao što ime sugerira, Google Cloud SCC je objedinjena upravljačka ploča koja može integrirati i upravljati raznim sigurnosnim izvješćima, mehanizmima za računovodstvo imovine i sigurnosnim sustavima trećih strana iz jednog, centraliziranog izvora.

Interoperabilni API koji nudi Google Cloud SCC olakšava integraciju sigurnosnih događaja koji dolaze iz različitih izvora, kao što je Sysdig Secure (sigurnost spremnika za izvorne aplikacije u oblaku) ili Falco (sigurnost vremena izvođenja otvorenog koda).

Slojeviti uvid (Qualys)

• Web stranica: layeredinsight.com
• Licenca: komercijalna

Layered Insight (sada dio Qualys Inc.) izgrađen je na konceptu "ugrađene sigurnosti". Nakon skeniranja izvorne slike u potrazi za ranjivostima pomoću statističke analize i CVE provjera, Layered Insight je zamjenjuje instrumentiranom slikom koja uključuje agenta kao binarnu datoteku.

Ovaj agent sadrži sigurnosne testove vremena izvođenja za analizu mrežnog prometa spremnika, I/O tokova i aktivnosti aplikacije. Osim toga, može izvršiti dodatne sigurnosne provjere koje odredi administrator infrastrukture ili DevOps timovi.

NeuVector

• Web stranica: neuvector.com
• Licenca: komercijalna

NeuVector provjerava sigurnost spremnika i pruža zaštitu tijekom rada analizirajući mrežnu aktivnost i ponašanje aplikacije, stvarajući pojedinačni sigurnosni profil za svaki spremnik. Također može samostalno blokirati prijetnje, izolirajući sumnjive aktivnosti promjenom lokalnih pravila vatrozida.

NeuVectorova mrežna integracija, poznata kao Security Mesh, sposobna je za duboku analizu paketa i sloj 7 filtriranja za sve mrežne veze u uslužnoj mreži.

StackRox

• Web stranica: www.stackrox.com
• Licenca: komercijalna

Sigurnosna platforma StackRox kontejnera nastoji pokriti cijeli životni ciklus Kubernetes aplikacija u klasteru. Kao i druge komercijalne platforme na ovom popisu, StackRox generira profil vremena izvođenja na temelju promatranog ponašanja spremnika i automatski pokreće alarm za bilo kakva odstupanja.

Dodatno, StackRox analizira konfiguracije Kubernetesa koristeći Kubernetes CIS i druge pravilnike za ocjenu usklađenosti spremnika.

Sysdig Secure

• Web stranica: sysdig.com/products/secure
• Licenca: komercijalna

Sysdig Secure štiti aplikacije tijekom cijelog životnog ciklusa spremnika i Kubernetesa. On skenira slike kontejnere, pruža runtime zaštita prema podacima strojnog učenja izvodi kremu. stručnost za prepoznavanje ranjivosti, blokiranje prijetnji, nadzor usklađenost s utvrđenim standardima i aktivnosti revizije u mikroservisima.

Sysdig Secure integrira se s CI/CD alatima kao što je Jenkins i kontrolira slike učitane iz Docker registara, sprječavajući pojavljivanje opasnih slika u produkciji. Također pruža sveobuhvatnu sigurnost tijekom izvođenja, uključujući:

• Profiliranje vremena izvođenja temeljeno na ML-u i otkrivanje anomalija;
• runtime politike temeljene na sistemskim događajima, K8s-audit API, zajednički projekti zajednice (FIM - nadzor integriteta datoteka; cryptojacking) i framework MITRE ATT&CK;
• odgovor i rješavanje incidenata.

Održiva sigurnost spremnika

• Web stranica: www.tenable.com/products/tenable-io/container-security
• Licenca: komercijalna

Prije pojave kontejnera, Tenable je bio nadaleko poznat u industriji kao tvrtka koja stoji iza Nessusa, popularnog alata za traženje ranjivosti i sigurnosnu reviziju.

Tenable Container Security koristi stručnost tvrtke o računalnoj sigurnosti za integraciju CI/CD cjevovoda s bazama podataka ranjivosti, specijaliziranim paketima za otkrivanje zlonamjernog softvera i preporukama za rješavanje sigurnosnih prijetnji.

Twistlock (Palo Alto Networks)

• Web stranica: www.twistlock.com
• Licenca: komercijalna

Twistlock se promovira kao platforma usmjerena na cloud usluge i kontejnere. Twistlock podržava različite pružatelje usluga oblaka (AWS, Azure, GCP), orkestratore spremnika (Kubernetes, Mesospehere, OpenShift, Docker), runtimes bez poslužitelja, mrežne okvire i CI/CD alate.

Uz konvencionalne sigurnosne tehnike razine poduzeća kao što je integracija CI/CD cjevovoda ili skeniranje slika, Twistlock koristi strojno učenje za generiranje obrazaca ponašanja i mrežnih pravila specifičnih za spremnik.

Prije nekog vremena Twistlock je kupio Palo Alto Networks koji posjeduje projekte Evident.io i RedLock. Još nije poznato kako će se točno integrirati ove tri platforme PRISMA iz Palo Alta.

Pomozite izraditi najbolji katalog Kubernetes sigurnosnih alata!

Trudimo se da ovaj katalog bude što potpuniji, a za to nam je potrebna vaša pomoć! Kontaktirajte nas (@sysdig) ako imate na umu cool alat koji je vrijedan uključivanja u ovaj popis ili ste pronašli pogrešku/zastarjelu informaciju.

Također se možete pretplatiti na naš mjesečni bilten s novostima iz cloud-native ekosustava i pričama o zanimljivim projektima iz svijeta Kubernetes sigurnosti.

PS od prevoditelja

Pročitajte i na našem blogu:

• «Uvod u mrežna pravila Kubernetes za sigurnosne stručnjake»;
• «Docker i Kubernetes u sigurnosno zahtjevnim okruženjima»;
• «9 Kubernetes najboljih praksi za sigurnost»;
• «11 načina da (ne) postanete žrtva hakiranja Kubernetesa»;
• «OPA i SPIFFE dva su nova projekta CNCF-a za sigurnost aplikacija u oblaku".

Izvor: www.habr.com