33+ zouti sekirite Kubernetes

Remak. trad.: Si w ap mande sou sekirite nan enfrastrikti ki baze sou Kubernetes, apèsi ekselan sa a soti nan Sysdig se yon bon pwen depa pou yon gade rapid nan solisyon aktyèl yo. Li gen ladan tou de sistèm konplèks soti nan jwè byen li te ye sou mache ak sèvis piblik pi modès ki rezoud yon pwoblèm patikilye. Ak nan kòmantè yo, kòm toujou, nou pral kontan tande sou eksperyans ou lè l sèvi avèk zouti sa yo ak wè lyen ki mennen nan lòt pwojè.

Pwodwi lojisyèl sekirite Kubernetes... gen anpil nan yo, yo chak ak pwòp objektif yo, dimansyon, ak lisans.

Se poutèt sa nou deside kreye lis sa a epi enkli tou de pwojè sous louvri ak platfòm komèsyal ki soti nan diferan fournisseurs. Nou espere ke li pral ede w idantifye sa yo ki pi enterese epi montre w nan bon direksyon an dapre bezwen espesifik Kubernetes sekirite ou yo.

Категории

Pou fè lis la pi fasil pou navige, zouti yo òganize pa fonksyon prensipal ak aplikasyon. Yo te jwenn seksyon sa yo:

• Kubernetes imaj analiz ak analiz estatik;
• Runtime sekirite;
• Sekirite rezo Kubernetes;
• Distribisyon imaj ak jesyon sekrè;
• Kubernetes kontwòl kontab sekirite;
• Pwodwi komèsyal konplè.

Ann desann nan biznis:

Analyse imaj Kubernetes yo

Anchor

• Sit wèb: anchore.com
• Lisans: gratis (Apache) ak òf komèsyal

Anchore analize imaj veso yo ak pèmèt chèk sekirite ki baze sou règleman itilizatè-defini.

Anplis de analiz nòmal nan imaj veso yo pou frajilite li te ye nan baz done CVE a, Anchore fè anpil chèk adisyonèl nan kad politik eskanè li yo: tcheke Dockerfile a, fwit kalifikasyon yo, pakè langaj pwogramasyon yo itilize (npm, maven, elatriye). .), lisans lojisyèl ak plis ankò.

Clair

• Sit wèb: coreos.com/clair (kounye a anba titèl Red Hat)
• Lisans: gratis (Apache)

Clair se te youn nan premye pwojè Open Source pou optik imaj. Li se lajman li te ye kòm eskanè a sekirite dèyè rejis la imaj Quay (tou nan CoreOS - approx. tradiksyon). Clair ka kolekte enfòmasyon CVE nan yon pakèt sous, tankou lis vilnerabilite espesifik distribisyon Linux yo kenbe pa ekip sekirite Debian, Red Hat oswa Ubuntu.

Kontrèman ak Anchore, Clair prensipalman konsantre sou jwenn frajilite ak matche done ak CVEs. Sepandan, pwodwi a ofri itilizatè kèk opòtinite pou elaji fonksyon lè l sèvi avèk chofè ploge nan.

dagda

• Sit wèb: github.com/eliasgranderubio/dagda
• Lisans: gratis (Apache)

Dagda fè analiz estatik nan imaj veso pou frajilite li te ye, trwayen, viris, malveyan ak lòt menas.

De karakteristik remakab fè distenksyon ant Dagda ak lòt zouti ki sanble:

• Li entegre parfe ak ClamAV, aji pa sèlman kòm yon zouti pou analize imaj veso, men tou kòm yon antivirus.
• Epitou bay pwoteksyon ègzekutabl lè li resevwa evènman an tan reyèl nan men demon Docker ak entegre ak Falco. (gade anba a) pou kolekte evènman sekirite pandan veso a ap kouri.

KubeXray

• Sit wèb: github.com/jfrog/kubexray
• Lisans: Gratis (Apache), men mande pou done ki soti nan JFrog Xray (pwodwi komèsyal)

KubeXray koute evènman ki soti nan sèvè API Kubernetes epi sèvi ak metadata ki soti nan JFrog Xray pou asire ke se sèlman gous ki koresponn ak politik aktyèl la lanse.

KubeXray pa sèlman odit kontenè nouvo oswa mete ajou nan deplwaman (menm jan ak kontwolè admisyon an nan Kubernetes), men tou, dinamik tcheke kontenè k ap kouri pou konfòmite ak nouvo politik sekirite, retire resous ki fè referans a imaj vilnerab yo.

Snyk

• Sit wèb: snyk.io
• Lisans: gratis (Apache) ak vèsyon komèsyal yo

Snyk se yon eskanè vilnerabilite etranj paske li espesyalman vize pwosesis devlopman epi li ankouraje kòm yon "solisyon esansyèl" pou devlopè yo.

Snyk konekte dirèkteman nan repozitwa kòd, analize manifest pwojè a epi analize kòd enpòte a ansanm ak depandans dirèk ak endirèk. Snyk sipòte anpil lang pwogramasyon popilè epi li ka idantifye risk lisans kache.

Trivy

• Sit wèb: github.com/knqyf263/trivy
• Lisans: gratis (AGPL)

Trivy se yon eskanè vilnerabilite senp men pwisan pou resipyan ki fasil entegre nan yon tiyo CI/CD. Karakteristik remakab li yo se fasilite li nan enstalasyon ak operasyon: aplikasyon an konsiste de yon sèl binè epi li pa mande pou enstalasyon yon baz done oswa bibliyotèk adisyonèl.

Dezavantaj nan senplisite Trivy a se ke ou dwe konnen ki jan yo analize ak voye rezilta yo nan fòma JSON pou ke lòt zouti sekirite Kubernetes ka itilize yo.

Runtime sekirite nan Kubernetes

Falco

• Sit wèb: falco.org
• Lisans: gratis (Apache)

Falco se yon seri zouti pou sekirize anviwònman nwaj ègzekutabl. Yon pati nan fanmi pwojè a CNCF.

Sèvi ak zouti Sysdig nan nivo nwayo Linux ak profilage apèl sistèm, Falco pèmèt ou plonje byen fon nan konpòtman sistèm lan. Motè règ ègzekutabl li yo kapab detekte aktivite sispèk nan aplikasyon yo, resipyan yo, lame ki kache a, ak òkèstratè Kubernetes la.

Falco bay transparans konplè nan tan an ak deteksyon menas pa deplwaye ajan espesyal sou nœuds Kubernetes pou rezon sa yo. Kòm yon rezilta, pa gen okenn nesesite pou modifye resipyan pa entwodwi kòd twazyèm pati nan yo oswa ajoute resipyan sidecar.

kad sekirite Linux pou ègzekutabl

Kad natif natal sa yo pou Kernel Linux yo pa "Zouti sekirite Kubernetes" nan sans tradisyonèl yo, men yo vo mansyone paske yo se yon eleman enpòtan nan yon kontèks sekirite ègzekutabl, ki enkli nan Kubernetes Pod Security Policy (PSP).

AppArmor tache yon pwofil sekirite nan pwosesis k ap kouri nan veso a, defini privilèj sistèm fichye, règ aksè rezo, konekte bibliyotèk, elatriye. Sa a se yon sistèm ki baze sou Kontwòl Aksè Obligatwa (MAC). Nan lòt mo, li anpeche aksyon entèdi yo te fèt.

Sekirite-Enhanced Linux (SELinux) se yon modil sekirite avanse nan nwayo Linux, ki sanble ak AppArmor nan kèk aspè e souvan konpare ak li. SELinux siperyè AppArmor nan pouvwa, fleksibilite ak personnalisation. Dezavantaj li yo se koub aprantisaj long ak konpleksite ogmante.

Seccomp ak seccomp-bpf pèmèt ou filtre apèl sistèm, bloke ekzekisyon sa yo ki potansyèlman danjere pou eksplwatasyon baz la epi yo pa nesesè pou operasyon nòmal aplikasyon itilizatè yo. Seccomp se menm jan ak Falco nan kèk fason, byenke li pa konnen spesifik yo nan resipyan.

Sysdig sous louvri

• Sit wèb: www.sysdig.com/opensource
• Lisans: gratis (Apache)

Sysdig se yon zouti konplè pou analize, dyagnostik ak debogaj sistèm Linux (tou travay sou Windows ak macOS, men ak fonksyon limite). Li ka itilize pou rasanble enfòmasyon detaye, verifikasyon ak analiz legal. (legal legal) sistèm baz la ak nenpòt resipyan k ap kouri sou li.

Sysdig sipòte tou natif natal ègzekutabl veso ak metadata Kubernetes, ajoute dimansyon ak etikèt adisyonèl nan tout enfòmasyon sou konpòtman sistèm li kolekte. Gen plizyè fason pou analize yon gwoup Kubernetes lè l sèvi avèk Sysdig: ou ka fè kaptire pwen-an-tan atravè kubectl kaptire oswa lanse yon koòdone entèaktif ki baze sou ncurses lè l sèvi avèk yon Plugin kubectl fouye.

Sekirite rezo Kubernetes

Aporeto

• Sit wèb: www.aporeto.com
• Lisans: komèsyal

Aporeto ofri "sekirite separe de rezo a ak enfrastrikti." Sa vle di ke sèvis Kubernetes pa sèlman resevwa yon ID lokal (sa vle di ServiceAccount nan Kubernetes), men tou, yon ID inivèsèl/anprent ki ka itilize pou kominike an sekirite ak mityèlman ak nenpòt lòt sèvis, pou egzanp nan yon gwoup OpenShift.

Aporeto se kapab jenere yon idantite inik non sèlman pou Kubernetes / resipyan, men tou pou gen tout pouvwa a, fonksyon nwaj ak itilizatè yo. Tou depan de idantifyan sa yo ak seri règ sekirite rezo administratè a tabli, yo pral pèmèt yo oswa bloke kominikasyon yo.

endyèn

• Sit wèb: www.projectcalico.org
• Lisans: gratis (Apache)

Calico anjeneral deplwaye pandan yon enstalasyon orchestrator veso, sa ki pèmèt ou kreye yon rezo vityèl ki konekte resipyan yo. Anplis de fonksyon rezo debaz sa a, pwojè Calico a travay avèk Politik Rezo Kubernetes ak pwòp seri pwofil sekirite rezo li yo, sipòte pwen final ACL (lis kontwòl aksè) ak règ sekirite rezo ki baze sou anons pou trafik Antre ak Sòti.

sily

• Sit wèb: www.cilium.io
• Lisans: gratis (Apache)

Cilium aji kòm yon pare-feu pou resipyan epi li bay karakteristik sekirite rezo yo ki adapte natif natal pou chaj travay Kubernetes ak mikwosèvis yo. Cilium itilize yon nouvo teknoloji nwayo Linux ki rele BPF (Berkeley Packet Filter) pou filtre, kontwole, redireksyon ak korije done yo.

Cilium kapab deplwaye règleman aksè rezo ki baze sou idantite veso lè l sèvi avèk etikèt Docker oswa Kubernetes ak metadata. Cilium tou konprann ak filtre plizyè pwotokòl Kouch 7 tankou HTTP oswa gRPC, sa ki pèmèt ou defini yon seri apèl REST ki pral pèmèt ant de deplwaman Kubernetes, pou egzanp.

Istio

• Sit wèb: istio.io
• Lisans: gratis (Apache)

Istio se lajman li te ye pou mete ann aplikasyon paradigm nan may sèvis pa deplwaye yon avyon kontwòl platfòm endepandan ak routage tout trafik sèvis jere atravè proxy Envoy dinamik configurable. Istio pran avantaj de vi avanse sa a sou tout mikwosèvis ak kontenè pou aplike divès estrateji sekirite rezo.

Kapasite sekirite rezo Istio genyen ladan yo transparan cryptage TLS pou otomatikman amelyore kominikasyon ant mikwosèvis yo nan HTTPS, ak yon idantifikasyon RBAC propriétaires ak sistèm otorizasyon pou pèmèt/nye kominikasyon ant diferan chaj travay nan gwoup la.

Remak. trad.: Pou aprann plis sou kapasite Istio ki konsantre sou sekirite a, li atik sa a.

Tigera

• Sit wèb: www.tigera.io
• Lisans: komèsyal

Yo rele "Kubernetes Firewall la," solisyon sa a mete aksan sou yon apwòch zewo-konfyans nan sekirite rezo a.

Menm jan ak lòt solisyon rezo Kubernetes natif natal, Tigera konte sou metadata pou idantifye divès kalite sèvis ak objè ki nan gwoup la epi li bay deteksyon pwoblèm nan ègzekutabl, tcheke konfòmite kontinyèl, ak vizibilite rezo pou enfrastrikti milti-nwaj oswa ibrid monolitik ki gen kontenè.

Trireme

• Sit wèb: www.aporeto.com/opensource
• Lisans: gratis (Apache)

Trireme-Kubernetes se yon aplikasyon senp ak senp nan spesifikasyon Politik Rezo Kubernetes. Karakteristik ki pi remakab se ke - kontrèman ak pwodwi sekirite rezo Kubernetes ki sanble - li pa mande pou yon avyon kontwòl santral kowòdone may la. Sa fè solisyon an trivially évolutive. Nan Trireme, sa reyalize lè w enstale yon ajan sou chak ne ki konekte dirèkteman ak pil TCP/IP lame a.

Pwopagasyon Imaj ak Jesyon Sekrè

Grafeas

• Sit wèb: grafeas.io
• Lisans: gratis (Apache)

Grafeas se yon API sous louvri pou odit ak jesyon chèn ekipman pou lojisyèl. Nan yon nivo debaz, Grafeas se yon zouti pou kolekte metadata ak rezilta odit. Li ka itilize pou swiv konfòmite ak pi bon pratik sekirite nan yon òganizasyon.

Sous verite santralize sa a ede reponn kesyon tankou:

• Ki moun ki kolekte epi siyen pou yon veso patikilye?
• Èske li te pase tout analiz sekirite ak chèk politik sekirite a mande yo? Kilè? Ki rezilta yo te genyen?
• Ki moun ki deplwaye li nan pwodiksyon? Ki paramèt espesifik yo te itilize pandan deplwaman?

An-toto

• Sit wèb: in-toto.github.io
• Lisans: gratis (Apache)

In-toto se yon kad ki fèt pou bay entegrite, otantifikasyon ak odit tout chèn ekipman pou lojisyèl an. Lè w ap deplwaye In-toto nan yon enfrastrikti, yo premye defini yon plan ki dekri plizyè etap nan tiyo a (depo, zouti CI/CD, zouti QA, pèseptè zafè, elatriye) ak itilizatè yo (moun ki responsab) ki gen dwa pou inisye yo.

In-toto kontwole ekzekisyon plan an, verifye ke chak travay nan chèn lan fèt byen pa pèsonèl otorize sèlman e ke pa gen okenn manipilasyon san otorizasyon te fèt ak pwodwi a pandan mouvman an.

Portieri

• Sit wèb: github.com/IBM/portieris
• Lisans: gratis (Apache)

Portieris se yon kontwolè admisyon pou Kubernetes; itilize pou fè respekte verifikasyon konfyans nan kontni. Portieris sèvi ak yon sèvè Notè (nou te ekri sou li nan fen an Atik sa - approx. tradiksyon) kòm yon sous verite pou valide zafè ki fè konfyans ak siyen (sa vle di imaj veso ki apwouve).

Lè yo kreye oswa modifye yon kantite travay nan Kubernetes, Portieris telechaje enfòmasyon siyati yo ak règleman konfyans nan kontni pou imaj veso yo mande yo epi, si sa nesesè, fè chanjman sou vole nan objè JSON API a pou kouri vèsyon siyen imaj sa yo.

vout

• Sit wèb: www.vaultproject.io
• Lisans: gratis (MPL)

Vault se yon solisyon an sekirite pou estoke enfòmasyon prive: modpas, siy OAuth, sètifika PKI, kont aksè, sekrè Kubernetes, elatriye. Vault sipòte anpil karakteristik avanse, tankou lokasyon siy sekirite efemèr oswa òganize wotasyon kle.

Sèvi ak tablo Helm la, Vault ka deplwaye kòm yon nouvo deplwaman nan yon gwoup Kubernetes ak Consul kòm depo backend. Li sipòte resous natif natal Kubernetes tankou jeton ServiceAccount e li ka menm aji kòm magazen an default pou sekrè Kubernetes.

Remak. trad.: By wout la, jis yè konpayi an HashiCorp, ki devlope Vault, te anonse kèk amelyorasyon pou itilize Vault nan Kubernetes, ak an patikilye yo gen rapò ak tablo Helm la. Li plis nan blog pwomotè.

Odit Sekirite Kubernetes

Kube-ban

• Sit wèb: github.com/aquasecurity/kube-bench
• Lisans: gratis (Apache)

Kube-bench se yon aplikasyon Go ki tcheke si Kubernetes deplwaye an sekirite lè li fè tès nan yon lis. CIS Kubernetes Benchmark.

Kube-bench ap chèche paramèt konfigirasyon ensekirite nan mitan eleman gwoup (etcd, API, manadjè kontwolè, elatriye), dwa aksè dosye dout, kont san pwoteksyon oswa pò louvri, kota resous, anviwònman pou limite kantite apèl API pou pwoteje kont atak DoS. , elatriye.

Kube-chasè

• Sit wèb: github.com/aquasecurity/kube-hunter
• Lisans: gratis (Apache)

Kube-hunter chase pou frajilite potansyèl (tankou ekzekisyon kòd aleka oswa divilgasyon done) nan grap Kubernetes. Kube-hunter ka kouri kòm yon eskanè aleka - nan ka sa a li pral evalye gwoup la nan pwen de vi yon atakè twazyèm pati - oswa kòm yon gous andedan gwoup la.

Yon karakteristik diferan nan Kube-hunter se mòd "lachas aktif" li yo, pandan ki li non sèlman rapòte pwoblèm, men tou, eseye pran avantaj de frajilite dekouvri nan gwoup la sib ki ta ka potansyèlman mal operasyon li yo. Se konsa, sèvi ak ak prekosyon!

Kubeaudit

• Sit wèb: github.com/Shopify/kubeaudit
• Lisans: gratis (MIT)

Kubeaudit se yon zouti konsole ki te devlope orijinèlman nan Shopify pou odit konfigirasyon Kubernetes pou divès pwoblèm sekirite. Pou egzanp, li ede idantifye resipyan yo kouri san restriksyon, kouri kòm rasin, abize privilèj, oswa itilize ServiceAccount default la.

Kubeaudit gen lòt karakteristik enteresan. Pou egzanp, li ka analize dosye YAML lokal yo, idantifye defo konfigirasyon ki ta ka mennen nan pwoblèm sekirite, epi otomatikman ranje yo.

Kubesec

• Sit wèb: kubesec.io
• Lisans: gratis (Apache)

Kubesec se yon zouti espesyal paske li dirèkteman analize dosye YAML ki dekri resous Kubernetes, kap chèche paramèt fèb ki ka afekte sekirite.

Pou egzanp, li ka detekte twòp privilèj ak otorizasyon yo akòde nan yon gous, kouri yon veso ki gen rasin kòm itilizatè a default, konekte ak espas non rezo lame a, oswa mòn danjere tankou /proc lame oswa priz Docker. Yon lòt karakteristik enteresan nan Kubesec se sèvis Demo ki disponib sou entènèt, kote ou ka telechaje YAML epi imedyatman analize li.

Louvri Policy Agent

• Sit wèb: www.openpolicyagent.org
• Lisans: gratis (Apache)

Konsèp OPA (Open Policy Agent) se dekouple politik sekirite ak pi bon pratik sekirite nan yon platfòm egzekite espesifik: Docker, Kubernetes, Mesosphere, OpenShift, oswa nenpòt konbinezon ladan l.

Pou egzanp, ou ka deplwaye OPA kòm yon backend pou kontwolè admisyon Kubernetes, delege desizyon sekirite nan li. Nan fason sa a, ajan OPA a ka valide, rejte, e menm modifye demann sou vole, asire ke paramèt sekirite yo espesifye yo satisfè. Règleman sekirite OPA yo ekri nan lang DSL pwòp li a, Rego.

Remak. trad.: Nou te ekri plis sou OPA (ak SPIFFE) nan materyèl sa a.

Zouti komèsyal konplè pou analiz sekirite Kubernetes

Nou deside kreye yon kategori separe pou platfòm komèsyal paske yo anjeneral kouvri plizyè zòn sekirite. Ou ka jwenn yon lide jeneral sou kapasite yo nan tablo a:

* Egzamen avanse ak analiz post mortem ak konplè vòl sistèm apèl.

Aqua Sekirite Sosyal

• Sit wèb: www.aquasec.com
• Lisans: komèsyal

Zouti komèsyal sa a fèt pou kontenè ak chaj travay nwaj yo. Li bay:

• Scanning imaj entegre ak yon rejis veso oswa yon tiyo CI/CD;
• Pwoteksyon ègzekutabl ak rechèch pou chanjman nan resipyan ak lòt aktivite sispèk;
• Firewall veso ki natif natal;
• Sekirite pou sèvis san sèvè nan nwaj yo;
• Tès konfòmite ak odit konbine avèk anrejistreman evènman yo.

Remak. trad.: Li se tou vo sonje ke gen eleman gratis nan pwodwi a rele MicroScanner, ki pèmèt ou eskane imaj veso pou frajilite yo. Yon konparezon nan kapasite li yo ak vèsyon peye yo prezante nan tab sa a.

Kapsil 8

• Sit wèb: capsule8.com
• Lisans: komèsyal

Capsule8 entegre nan enfrastrikti a lè w enstale detektè a sou yon gwoup Kubernetes lokal oswa nwaj. Detektè sa a kolekte telemetri lame ak rezo, korelasyon li ak diferan kalite atak.

Ekip Capsule8 la wè travay li kòm deteksyon bonè ak prevansyon atak lè l sèvi avèk nouvo (0-jou) frajilite yo. Capsule8 ka telechaje règleman sekirite ajou dirèkteman nan detektè yo an repons a menas ki fèk dekouvri ak frajilite lojisyèl.

Cavirin

• Sit wèb: www.cavirin.com
• Lisans: komèsyal

Cavirin aji kòm yon kontraktè bò konpayi pou plizyè ajans ki enplike nan estanda sekirite. Non sèlman li ka eskane imaj, men li kapab tou entegre nan tiyo CI/CD, bloke imaj ki pa estanda anvan yo antre nan depo fèmen.

Suite sekirite Cavirin a sèvi ak aprantisaj machin pou evalye pozisyon sekirite cybersecurity ou, ofri konsèy pou amelyore sekirite ak amelyore konfòmite ak estanda sekirite yo.

Sant Kòmandman Sekirite Google Cloud

• Sit wèb: cloud.google.com/security-command-center
• Lisans: komèsyal

Cloud Security Command Center ede ekip sekirite yo kolekte done, idantifye menas, epi elimine yo anvan yo fè konpayi an mal.

Kòm non an sijere, Google Cloud SCC se yon panèl kontwòl inifye ki ka entegre ak jere yon varyete de rapò sekirite, motè kontablite byen, ak sistèm sekirite twazyèm pati nan yon sèl sous santralize.

API entèoperab Google Cloud SCC ofri a fè li fasil pou entegre evènman sekirite ki soti nan divès sous, tankou Sysdig Secure (sekirite veso pou aplikasyon nwaj natif natal) oswa Falco (sekirite nan kouri nan Open Source).

Kouch Insight (Qualys)

• Sit wèb: layeredinsight.com
• Lisans: komèsyal

Layered Insight (kounye a yon pati nan Qualys Inc) bati sou konsèp "sekirite entegre." Apre eskanè imaj orijinal la pou frajilite lè l sèvi avèk analiz estatistik ak chèk CVE, Layered Insight ranplase li ak yon imaj enstriman ki gen ladan ajan an kòm yon binè.

Ajan sa a gen tès sekirite exécution pou analize trafik rezo conteneur, flux I/O ak aktivite aplikasyon. Anplis de sa, li ka fè chèk sekirite adisyonèl ki espesifye pa administratè a enfrastrikti oswa ekip DevOps.

NeuVector

• Sit wèb: neuvector.com
• Lisans: komèsyal

NeuVector tcheke sekirite veso a epi li bay pwoteksyon lè li analize aktivite rezo a ak konpòtman aplikasyon an, kreye yon pwofil sekirite endividyèl pou chak veso. Li kapab tou bloke menas poukont li, izole aktivite sispèk pa chanje règleman firewall lokal yo.

Entegrasyon rezo NeuVector a, ke yo rekonèt kòm Sekirite Mesh, se kapab analiz pake gwo twou san fon ak kouch 7 filtraj pou tout koneksyon rezo nan may sèvis la.

StackRox

• Sit wèb: www.stackrox.com
• Lisans: komèsyal

Platfòm sekirite veso StackRox fè efò pou kouvri tout sik aplikasyon Kubernetes nan yon gwoup. Menm jan ak lòt platfòm komèsyal ki nan lis sa a, StackRox jenere yon pwofil tan ki baze sou konpòtman veso yo obsève epi li otomatikman leve yon alam pou nenpòt devyasyon.

Anplis de sa, StackRox analize konfigirasyon Kubernetes lè l sèvi avèk Kubernetes CIS la ak lòt liv règ pou evalye konfòmite veso.

Sysdig Secure

• Sit wèb: sysdig.com/products/secure
• Lisans: komèsyal

Sysdig Secure pwoteje aplikasyon yo atravè tout veso a ak sik lavi Kubernetes. Li eskane imaj yo kontenè, bay pwoteksyon ègzekutabl dapre done aprantisaj machin, fè krèm. ekspètiz yo idantifye frajilite, bloke menas, monitè konfòmite ak estanda etabli yo ak odit aktivite nan mikwosèvis.

Sysdig Secure entegre ak zouti CI/CD tankou Jenkins epi li kontwole imaj ki chaje nan rejis Docker, pou anpeche imaj danjere parèt nan pwodiksyon an. Li bay tou sekirite konplè, tankou:

• ML ki baze sou pwofil ègzekutabl ak deteksyon anomali;
• règleman ègzekutabl ki baze sou evènman sistèm, K8s-odit API, pwojè kominotè konjwen (FIM - siveyans entegrite dosye; cryptojacking) ak kad. MITRE AT&CK;
• repons ak rezolisyon ensidan yo.

Tenable Container Security

• Sit wèb: www.tenable.com/products/tenable-io/container-security
• Lisans: komèsyal

Anvan avenman resipyan yo, Tenable te lajman konnen nan endistri a kòm konpayi an dèyè Nessus, yon zouti popilè lachas vilnerabilite ak odit sekirite.

Tenable Container Security pwofite ekspètiz sekirite òdinatè konpayi an pou entegre yon tiyo CI/CD ak baz done vilnerabilite, pakè deteksyon malveyan espesyalize, ak rekòmandasyon pou rezoud menas sekirite yo.

Twistlock (Rezo Palo Alto)

• Sit wèb: www.twistlock.com
• Lisans: komèsyal

Twistlock ankouraje tèt li kòm yon platfòm konsantre sou sèvis nwaj ak resipyan. Twistlock sipòte plizyè founisè nwaj (AWS, Azure, GCP), orchestrator veso (Kubernetes, Mesospehere, OpenShift, Docker), ègzekutabl san sèvè, kad may ak zouti CI/CD.

Anplis teknik sekirite konvansyonèl klas antrepriz tankou entegrasyon tiyo CI/CD oswa optik imaj, Twistlock itilize aprantisaj machin pou jenere modèl konpòtman espesifik ak règ rezo a.

Kèk tan de sa, Twistlock te achte pa Palo Alto Networks, ki posede pwojè Evident.io ak RedLock. Li poko konnen ki jan egzakteman twa platfòm sa yo pral entegre nan Prisma soti nan Palo Alto.

Ede konstwi pi bon katalòg zouti sekirite Kubernetes!

Nou fè efò pou fè katalòg sa a pi konplè ke posib, e pou sa nou bezwen èd ou! Kontakte nou (@sysdig) si ou gen yon zouti fre nan tèt ou ki merite enklizyon nan lis sa a, oswa ou jwenn yon erè / enfòmasyon demode.

Ou kapab tou abònman nan nou an bilten mansyèl ak nouvèl ki soti nan ekosistèm nwaj natif natal ak istwa sou pwojè enteresan ki soti nan mond sekirite Kubernetes.

PS soti nan tradiktè

Li tou sou blog nou an:

• «Yon Entwodiksyon nan Règleman Rezo Kubernetes pou Pwofesyonèl Sekirite";
• «Docker ak Kubernetes nan anviwònman ki mande sekirite";
• «9 Meyè Pratik pou Sekirite Kubernetes";
• «11 Fason pou (pa) vin yon viktim yon Hack Kubernetes";
• «OPA ak SPIFFE se de nouvo pwojè nan CNCF pou sekirite aplikasyon nwaj yo'.

Sous: www.habr.com