33+ Kubernetes biztonsági eszköz

Jegyzet. ford.: Ha kíváncsi a Kubernetes-alapú infrastruktúra biztonságára, a Sysdig remek áttekintése remek kiindulópont a jelenlegi megoldások gyors áttekintéséhez. Ez magában foglalja mind a jól ismert piaci szereplők komplex rendszereit, mind a sokkal szerényebb, egy adott problémát megoldó segédprogramokat. És a megjegyzésekben, mint mindig, örömmel fogunk hallani az eszközök használatával kapcsolatos tapasztalatairól, és látni fogjuk a linkeket más projektekhez.

Kubernetes biztonsági szoftvertermékek... nagyon sok van belőlük, mindegyiknek megvan a maga célja, hatóköre és licencei.

Ezért döntöttünk úgy, hogy létrehozzuk ezt a listát, és mind a nyílt forráskódú projekteket, mind a különböző gyártók kereskedelmi platformjait tartalmazza. Reméljük, hogy segít azonosítani azokat, amelyek a leginkább érdekelnek, és a Kubernetes biztonsági igényei alapján a megfelelő irányba mutat.

Категории

A lista könnyebb navigálása érdekében az eszközök fő funkció és alkalmazás szerint vannak rendezve. A következő szakaszok készültek:

• Kubernetes képszkennelés és statikus elemzés;
• Futásidejű biztonság;
• Kubernetes hálózati biztonság;
• Képterjesztés és titkok kezelése;
• Kubernetes biztonsági audit;
• Átfogó kereskedelmi termékek.

Lássunk munkához:

Kubernetes képek beolvasása

Horgony

• Honlap: anchore.com
• Licenc: ingyenes (Apache) és kereskedelmi ajánlat

Az Anchore elemzi a tárolóképeket, és lehetővé teszi a biztonsági ellenőrzéseket a felhasználó által meghatározott házirendek alapján.

A konténerképek szokásos szkennelése mellett a CVE-adatbázisból ismert sebezhetőségeket keresve, az Anchore számos további ellenőrzést is végrehajt a szkennelési politikája részeként: ellenőrzi a Dockerfile-t, a hitelesítő adatok szivárgását, a használt programozási nyelvek csomagjait (npm, maven stb.). .), szoftverlicencek és még sok más .

Clair

• Honlap: coreos.com/clair (most a Red Hat felügyelete alatt)
• Licenc: ingyenes (Apache)

A Clair volt az egyik első nyílt forráskódú képbeolvasási projekt. Széles körben a Quay képregisztrációja mögötti biztonsági szkennerként ismert (a CoreOS-ről is - kb. ford.). A Clair a legkülönfélébb forrásokból gyűjthet CVE-információkat, beleértve a Debian, Red Hat vagy Ubuntu biztonsági csapatok által karbantartott Linux disztribúció-specifikus sebezhetőségek listáját.

Az Anchore-tól eltérően a Clair elsősorban a sebezhetőségek felkutatására és az adatok CVE-khez való illesztésére összpontosít. A termék azonban lehetőséget kínál a felhasználóknak a funkciók bővítésére plug-in illesztőprogramok segítségével.

dagda

• Honlap: github.com/eliasgranderubio/dagda
• Licenc: ingyenes (Apache)

A Dagda a konténerképek statikus elemzését végzi az ismert sebezhetőségek, trójai programok, vírusok, rosszindulatú programok és egyéb fenyegetések szempontjából.

Két figyelemre méltó tulajdonság különbözteti meg a Dagdát a többi hasonló eszköztől:

• Tökéletesen integrálható vele ClamAV, amely nemcsak a konténerképek szkennelésének eszközeként, hanem vírusirtóként is működik.
• Futásidejű védelmet is biztosít azáltal, hogy valós idejű eseményeket fogad a Docker démontól, és integrálja a Falco-val (lásd lejjebb) biztonsági események gyűjtésére, miközben a tároló fut.

KubeXray

• Honlap: github.com/jfrog/kubexray
• Licenc: Ingyenes (Apache), de a JFrog Xray (kereskedelmi termék) adatai szükségesek

A KubeXray figyeli a Kubernetes API-kiszolgáló eseményeit, és a JFrog Xray metaadatait használja annak biztosítására, hogy csak az aktuális házirendnek megfelelő pod-ok induljanak el.

A KubeXray nemcsak az új vagy frissített tárolókat ellenőrzi a telepítésekben (hasonlóan a Kubernetes hozzáférés-vezérlőjéhez), hanem dinamikusan ellenőrzi a futó tárolók új biztonsági szabályzatainak való megfelelését is, és eltávolítja a sebezhető képekre hivatkozó erőforrásokat.

Snyk

• Honlap: snyk.io
• Licenc: ingyenes (Apache) és kereskedelmi verziók

A Snyk egy szokatlan sebezhetőség-ellenőrző, mivel kifejezetten a fejlesztési folyamatot célozza meg, és „alapvető megoldásként” reklámozzák a fejlesztők számára.

A Snyk közvetlenül csatlakozik a kódtárolókhoz, elemzi a projekt jegyzékét, és elemzi az importált kódot a közvetlen és közvetett függőségekkel együtt. A Snyk számos népszerű programozási nyelvet támogat, és képes azonosítani a rejtett licenckockázatokat.

Apróság

• Honlap: github.com/knqyf263/trivy
• Licenc: ingyenes (AGPL)

A Trivy egy egyszerű, de hatékony sebezhetőség-ellenőrző konténerekhez, amely könnyen integrálható a CI/CD-folyamatba. Figyelemre méltó jellemzője a könnyű telepítés és kezelés: az alkalmazás egyetlen binárisból áll, és nem igényel adatbázis vagy további könyvtárak telepítését.

A Trivy egyszerűségének hátránya, hogy ki kell találnia, hogyan lehet az eredményeket JSON formátumban elemezni és továbbítani, hogy más Kubernetes biztonsági eszközök is használhassák őket.

Futásidejű biztonság a Kubernetesben

Falco

• Honlap: falco.org
• Licenc: ingyenes (Apache)

A Falco egy eszközkészlet a felhőalapú futási környezetek biztosításához. A projektcsalád része CNCF.

A Sysdig Linux kernel-szintű eszközeinek és rendszerhívás-profiljának használatával a Falco lehetővé teszi, hogy mélyen elmerüljön a rendszer viselkedésében. A futásidejű szabályok motorja képes észlelni a gyanús tevékenységeket az alkalmazásokban, tárolókban, az alapul szolgáló gazdagépben és a Kubernetes hangszerelőben.

A Falco teljes átláthatóságot biztosít a futásidőben és a fenyegetésészlelésben azáltal, hogy speciális ügynököket telepít a Kubernetes csomópontokra erre a célra. Ennek eredményeként nincs szükség a konténerek módosítására harmadik féltől származó kód bevezetésével vagy oldalkocsis konténerek hozzáadásával.

Linux biztonsági keretrendszerek futtatáshoz

Ezek a Linux kernel natív keretrendszerei nem a hagyományos értelemben vett „Kubernetes biztonsági eszközök”, de érdemes megemlíteni őket, mert fontos elemei a futásidejű biztonságnak, amelyet a Kubernetes Pod Security Policy (PSP) tartalmaz.

AppArmor biztonsági profilt csatol a tárolóban futó folyamatokhoz, fájlrendszer-jogosultságokat, hálózati hozzáférési szabályokat, könyvtárak csatlakoztatását stb. Ez egy kötelező hozzáférés-szabályozáson (MAC) alapuló rendszer. Más szóval, megakadályozza a tiltott műveletek végrehajtását.

Fokozott biztonságú Linux (SELinux) egy fejlett biztonsági modul a Linux kernelben, bizonyos szempontból hasonló az AppArmorhoz, és gyakran ahhoz hasonlítják. A SELinux teljesítményében, rugalmasságában és testreszabhatóságában felülmúlja az AppArmort. Hátránya a hosszú tanulási görbe és a megnövekedett komplexitás.

Seccomp A seccomp-bpf és a seccomp-bpf lehetővé teszi a rendszerhívások szűrését, blokkolja azokat, amelyek potenciálisan veszélyesek az alap operációs rendszerre, és nem szükségesek a felhasználói alkalmazások normál működéséhez. A Seccomp bizonyos szempontból hasonlít a Falcóra, bár nem ismeri a konténerek sajátosságait.

Sysdig nyílt forráskódú

• Honlap: www.sysdig.com/opensource
• Licenc: ingyenes (Apache)

A Sysdig egy teljes eszköz a Linux rendszerek elemzéséhez, diagnosztizálásához és hibakereséséhez (Windows és macOS rendszeren is működik, de korlátozott funkciókkal). Használható részletes információgyűjtésre, ellenőrzésre és kriminalisztikai elemzésre. (kriminalisztika) az alaprendszert és a rajta futó konténereket.

A Sysdig natív módon támogatja a tárolók futtatókörnyezetét és a Kubernetes metaadatokat is, további dimenziókat és címkéket adva az összes összegyűjtött rendszer viselkedési információjához. Számos módja van a Kubernetes-fürt Sysdig segítségével történő elemzésének: pont-időben rögzítheti a kubectl rögzítés vagy indítson el egy ncurses alapú interaktív felületet egy plugin segítségével kubectl dig.

Kubernetes hálózati biztonság

Aporeto

• Honlap: www.aporeto.com
• Engedély: kereskedelmi

Az Aporeto "a hálózattól és az infrastruktúrától elkülönített biztonságot kínál". Ez azt jelenti, hogy a Kubernetes-szolgáltatások nem csak egy helyi azonosítót (vagyis a Kubernetesben ServiceAccount-ot) kapnak, hanem egy univerzális azonosítót/ujjlenyomatot is, amely biztonságosan és kölcsönösen kommunikálhat bármely más szolgáltatással, például egy OpenShift-fürtben.

Az Aporeto nemcsak a Kubernetes/tárolók, hanem a gazdagépek, felhőfunkciók és felhasználók számára is képes egyedi azonosítót generálni. Ezektől az azonosítóktól és a rendszergazda által beállított hálózati biztonsági szabályoktól függően a kommunikáció engedélyezett vagy blokkolt lesz.

Karton

• Honlap: www.projectcalico.org
• Licenc: ingyenes (Apache)

A Calico rendszerint a konténer-hangszerelő telepítése során kerül telepítésre, lehetővé téve egy virtuális hálózat létrehozását, amely összekapcsolja a tárolókat. Ezen az alapvető hálózati funkción kívül a Calico projekt együttműködik a Kubernetes hálózati házirendekkel és saját hálózati biztonsági profiljaival, támogatja a végponti ACL-eket (access control lists) és a megjegyzés alapú hálózati biztonsági szabályokat a be- és kimenő forgalomhoz.

cilium

• Honlap: www.cilium.io
• Licenc: ingyenes (Apache)

A Cilium a tárolók tűzfalaként működik, és a Kubernetes és a mikroszolgáltatások munkaterheléséhez natív módon szabott hálózati biztonsági funkciókat kínál. A Cilium a BPF (Berkeley Packet Filter) nevű új Linux kernel technológiát használja az adatok szűrésére, figyelésére, átirányítására és javítására.

A Cilium képes a Docker- vagy Kubernetes-címkéket és metaadatokat használó konténerazonosítókon alapuló hálózati hozzáférési házirendek telepítésére. A Cilium emellett megérti és szűri a különböző 7. rétegbeli protokollokat, például a HTTP-t vagy a gRPC-t, lehetővé téve például a két Kubernetes-telepítés között engedélyezett REST-hívások készletének meghatározását.

Azonos

• Honlap: istio.io
• Licenc: ingyenes (Apache)

Az Istio széles körben ismert a szolgáltatásháló-paradigma megvalósításáról egy platformfüggetlen vezérlősík telepítésével és az összes felügyelt szolgáltatási forgalom dinamikusan konfigurálható Envoy-proxykon keresztül történő irányításával. Az Istio kihasználja az összes mikroszolgáltatás és tároló ezen fejlett nézetét a különféle hálózati biztonsági stratégiák megvalósításához.

Az Istio hálózatbiztonsági képességei közé tartozik az átlátszó TLS-titkosítás, amely automatikusan HTTPS-re frissíti a mikroszolgáltatások közötti kommunikációt, valamint egy szabadalmaztatott RBAC azonosítási és engedélyezési rendszer, amely lehetővé teszi/megtagadja a kommunikációt a fürt különböző munkaterhelései között.

Jegyzet. ford.: Ha többet szeretne megtudni az Istio biztonságra összpontosító képességeiről, olvassa el a következőt: ezt a cikket.

Tigera

• Honlap: www.tigera.io
• Engedély: kereskedelmi

A „Kubernetes Firewall”-nak nevezett megoldás a hálózati biztonság nulla bizalmi megközelítését hangsúlyozza.

Más natív Kubernetes hálózati megoldásokhoz hasonlóan a Tigera metaadatokra támaszkodik a fürt különböző szolgáltatásainak és objektumainak azonosításához, és futásidejű problémák észlelését, folyamatos megfelelőség-ellenőrzést és hálózati láthatóságot biztosít a többfelhős vagy hibrid monolit konténeres infrastruktúrák számára.

Háromevezős görög gálya

• Honlap: www.aporeto.com/opensource
• Licenc: ingyenes (Apache)

A Trireme-Kubernetes a Kubernetes hálózati házirendek specifikációjának egyszerű és egyértelmű megvalósítása. A legfigyelemreméltóbb tulajdonsága, hogy - a hasonló Kubernetes hálózatbiztonsági termékekkel ellentétben - nem igényel központi vezérlősíkot a háló koordinálásához. Ez triviálisan méretezhetővé teszi a megoldást. A Trireme-ben ezt úgy érik el, hogy minden csomópontra telepítenek egy ügynököt, amely közvetlenül csatlakozik a gazdagép TCP/IP-verméhez.

Képterjesztés és titkok kezelése

Grafeas

• Honlap: grafeas.io
• Licenc: ingyenes (Apache)

A Grafeas egy nyílt forráskódú API a szoftverellátási lánc auditálásához és kezeléséhez. Alapvetően a Grafeas metaadatok és ellenőrzési megállapítások gyűjtésére szolgáló eszköz. Használható a legjobb biztonsági gyakorlatoknak való megfelelés nyomon követésére a szervezeten belül.

Ez a központosított igazságforrás segít megválaszolni a következő kérdéseket:

• Ki gyűjtött és írt alá egy adott konténert?
• Sikerült a biztonsági szabályzat által előírt összes biztonsági vizsgálaton és ellenőrzésen? Amikor? Milyen eredmények születtek?
• Ki telepítette a gyártásba? Milyen konkrét paramétereket használtak a telepítés során?

Totóban

• Honlap: in-toto.github.io
• Licenc: ingyenes (Apache)

Az In-toto egy olyan keretrendszer, amely a teljes szoftverellátási lánc integritását, hitelesítését és auditálását biztosítja. Az In-toto infrastruktúrában való üzembe helyezésekor először egy tervet kell meghatározni, amely leírja a folyamat különböző lépéseit (repozitórium, CI/CD eszközök, minőségbiztosítási eszközök, műtermékgyűjtők stb.) és a felhasználókat (felelős személyeket), akik számára engedélyezett kezdeményezni őket.

Az In-toto figyelemmel kíséri a terv végrehajtását, ellenőrzi, hogy a lánc minden egyes feladatát csak arra feljogosított személyzet végezze-e megfelelően, és a termékkel a mozgás során nem történt-e jogosulatlan manipuláció.

Portieris

• Honlap: github.com/IBM/portieris
• Licenc: ingyenes (Apache)

A Portieris a Kubernetes beléptetési vezérlője; a tartalom megbízhatósági ellenőrzésének kikényszerítésére szolgál. Portieris szervert használ Jegyző (a végén írtunk róla ez a cikk - kb. ford.) mint az igazság forrása a megbízható és aláírt műtermékek (azaz jóváhagyott tárolóképek) érvényesítéséhez.

Amikor egy munkaterhelést létrehoznak vagy módosítanak a Kubernetesben, a Portieris letölti az aláírási információkat és a tartalom megbízhatósági házirendjét a kért tárolóképekhez, és szükség esetén menet közben módosítja a JSON API objektumot, hogy futtassa a képek aláírt verzióit.

Boltozat

• Honlap: www.vaultproject.io
• Licenc: ingyenes (MPL)

A Vault biztonságos megoldás a személyes adatok tárolására: jelszavak, OAuth-tokenek, PKI-tanúsítványok, hozzáférési fiókok, Kubernetes-titkok stb. A Vault számos speciális funkciót támogat, például átmeneti biztonsági tokenek bérbeadását vagy kulcsforgatás megszervezését.

A Helm diagram használatával a Vault új telepítésként üzembe helyezhető egy Kubernetes-fürtben, a Consul háttértárolóval. Támogatja a natív Kubernetes-erőforrásokat, például a ServiceAccount tokeneket, és akár a Kubernetes-titkok alapértelmezett tárolójaként is működhet.

Jegyzet. ford.: Egyébként a Vault-t fejlesztő HashiCorp éppen tegnap jelentett be néhány fejlesztést a Vault Kubernetesben való használatához, és ezek különösen a Helm diagramra vonatkoznak. Bővebben itt fejlesztői blog.

Kubernetes biztonsági audit

Kube-pad

• Honlap: github.com/aquasecurity/kube-bench
• Licenc: ingyenes (Apache)

A Kube-bench egy Go alkalmazás, amely listából tesztek futtatásával ellenőrzi, hogy a Kubernetes biztonságosan telepítve van-e CIS Kubernetes Benchmark.

A Kube-bench nem biztonságos konfigurációs beállításokat keres a fürt összetevői között (stb, API, vezérlőkezelő stb.), megkérdőjelezhető fájl-hozzáférési jogokat, nem védett fiókokat vagy nyitott portokat, erőforráskvótákat, az API-hívások számának korlátozására szolgáló beállításokat a DoS támadások elleni védelem érdekében. stb.

Legyen vadász

• Honlap: github.com/aquasecurity/kube-hunter
• Licenc: ingyenes (Apache)

A Kube-hunter potenciális sebezhetőségekre (például távoli kódfuttatásra vagy adatközlésre) vadászik a Kubernetes-fürtökben. A Kube-hunter futtatható távoli szkennerként – ebben az esetben egy külső támadó szemszögéből fogja kiértékelni a fürtöt – vagy a fürtön belüli podként.

A Kube-hunter jellegzetessége az „aktív vadászat” mód, amely során nem csak problémákat jelez, hanem megpróbálja kihasználni a célfürtben felfedezett sebezhetőségeket, amelyek potenciálisan károsíthatják a működését. Tehát óvatosan használja!

Kubeaudit

• Honlap: github.com/Shopify/kubeaudit
• Licenc: ingyenes (MIT)

A Kubeaudit egy konzoleszköz, amelyet eredetileg a Shopifynál fejlesztettek ki, hogy a Kubernetes konfigurációját különféle biztonsági problémákkal vizsgálja. Segít például azonosítani azokat a tárolókat, amelyek korlátlanul futnak, rootként futnak, visszaélnek a jogosultságokkal vagy az alapértelmezett ServiceAccount-ot használják.

A Kubeaudit más érdekes funkciókkal is rendelkezik. Például képes elemezni a helyi YAML fájlokat, azonosítani azokat a konfigurációs hibákat, amelyek biztonsági problémákhoz vezethetnek, és automatikusan kijavíthatja azokat.

Kubesec

• Honlap: kubesec.io
• Licenc: ingyenes (Apache)

A Kubesec egy speciális eszköz, mivel közvetlenül ellenőrzi a Kubernetes-erőforrásokat leíró YAML-fájlokat, és olyan gyenge paramétereket keres, amelyek hatással lehetnek a biztonságra.

Például észlelheti a pod-nak adott túlzott jogosultságokat és engedélyeket, egy tároló futtatását root felhasználóként, a gazdagép hálózati névteréhez való csatlakozást, vagy veszélyes csatolásokat, mint pl. /proc host vagy Docker aljzat. A Kubesec másik érdekessége az online elérhető demó szolgáltatás, amelybe feltöltheti a YAML-t és azonnal elemezheti azt.

Nyílt házirend-ügynök

• Honlap: www.openpolicyagent.org
• Licenc: ingyenes (Apache)

Az OPA (Open Policy Agent) koncepciója a biztonsági házirendek és a legjobb biztonsági gyakorlatok szétválasztása egy adott futásidejű platformtól: Docker, Kubernetes, Mesosphere, OpenShift vagy ezek bármely kombinációja.

Például telepítheti az OPA-t háttérprogramként a Kubernetes hozzáférés-vezérlőhöz, átruházva rá a biztonsági döntéseket. Így az OPA ügynök menet közben tudja érvényesíteni, elutasítani, sőt módosítani is tudja a kéréseket, biztosítva a megadott biztonsági paraméterek teljesülését. Az OPA biztonsági szabályzatai saját DSL-nyelvén, a Rego-n íródnak.

Jegyzet. ford.: Az OPA-ról (és a SPIFFE-ről) bővebben itt írtunk ezt az anyagot.

Átfogó kereskedelmi eszközök a Kubernetes biztonsági elemzéséhez

Úgy döntöttünk, hogy külön kategóriát hozunk létre a kereskedelmi platformok számára, mivel ezek jellemzően több biztonsági területet fednek le. Képességeikről általános képet kaphat a táblázatból:

* Fejlett vizsgálat és post mortem elemzés teljes rendszerhívás-eltérítés.

Aqua Security

• Honlap: www.aquasec.com
• Engedély: kereskedelmi

Ez a kereskedelmi eszköz konténerekhez és felhőalapú munkaterhelésekhez készült. Ez biztosítja:

• Konténernyilvántartásba vagy CI/CD-folyamatba integrált képszkennelés;
• Futásidejű védelem a tárolók változásainak és egyéb gyanús tevékenységek keresésével;
• konténer-natív tűzfal;
• Biztonság szerver nélküli felhőszolgáltatásokhoz;
• Megfelelőségi tesztelés és auditálás eseménynaplózással kombinálva.

Jegyzet. ford.: Azt is érdemes megjegyezni, hogy vannak nevű termék ingyenes összetevője MicroScanner, amely lehetővé teszi a tárolók képeinek a biztonsági rések keresését. Képességeinek összehasonlítása a fizetős verziókkal itt található ezt a táblázatot.

Kapszula 8

• Honlap: capsula8.com
• Engedély: kereskedelmi

A Capsule8 úgy integrálódik az infrastruktúrába, hogy az érzékelőt helyi vagy felhőbeli Kubernetes-fürtre telepíti. Ez az érzékelő összegyűjti a gazdagép és a hálózati telemetriát, és korrelálja azokat a különböző típusú támadásokkal.

A Capsule8 csapata feladatának tekinti a támadások korai felismerését és megelőzését új eszközökkel (0 nap) sebezhetőségek. A Capsule8 közvetlenül az érzékelőkbe töltheti le a frissített biztonsági szabályokat, válaszul az újonnan felfedezett fenyegetésekre és szoftversérülékenységekre.

Cavirin

• Honlap: www.cavirin.com
• Engedély: kereskedelmi

A Cavirin cégoldali vállalkozóként működik a biztonsági előírásokkal foglalkozó különféle ügynökségeknél. Nemcsak képeket tud beolvasni, hanem integrálódni is tud a CI/CD folyamatba, blokkolva a nem szabványos képeket, mielőtt azok bekerülnének a zárt tárolókba.

A Cavirin biztonsági csomagja gépi tanulást használ az Ön kiberbiztonsági helyzetének felmérésére, és tippeket kínál a biztonság javításához és a biztonsági szabványoknak való megfelelés javításához.

Google Cloud Security Command Center

• Honlap: cloud.google.com/security-command-center
• Engedély: kereskedelmi

A Cloud Security Command Center segít a biztonsági csapatoknak adatgyűjtésben, azonosítani a fenyegetéseket, és megszüntetni azokat, mielőtt kárt okoznának a vállalatnak.

Ahogy a neve is sugallja, a Google Cloud SCC egy egységes vezérlőpult, amely egyetlen központi forrásból képes integrálni és kezelni a különféle biztonsági jelentéseket, vagyonelszámolási motorokat és harmadik féltől származó biztonsági rendszereket.

A Google Cloud SCC által kínált interoperábilis API megkönnyíti a különféle forrásokból származó biztonsági események integrálását, mint például a Sysdig Secure (konténerbiztonság a felhőalapú alkalmazásokhoz) vagy a Falco (nyílt forráskódú futásidejű biztonság).

Layered Insight (Qualys)

• Honlap: layeredinsight.com
• Engedély: kereskedelmi

A Layered Insight (ma a Qualys Inc. része) a „beágyazott biztonság” koncepciójára épül. Miután statisztikai elemzéssel és CVE-ellenőrzésekkel megvizsgálta az eredeti képet a biztonsági résekért, a Layered Insight lecseréli egy olyan műszeres képre, amely az ügynököt binárisként tartalmazza.

Ez az ügynök futásidejű biztonsági teszteket tartalmaz a tárolóhálózati forgalom, az I/O-folyamatok és az alkalmazástevékenység elemzéséhez. Ezenkívül az infrastruktúra-adminisztrátor vagy a DevOps-csapatok által meghatározott további biztonsági ellenőrzéseket is végrehajthat.

NeuVector

• Honlap: neuvector.com
• Engedély: kereskedelmi

A NeuVector ellenőrzi a tároló biztonságát, és futásidejű védelmet biztosít a hálózati tevékenységek és az alkalmazások viselkedésének elemzésével, és minden tárolóhoz egyedi biztonsági profilt hoz létre. Önmagában is képes blokkolni a fenyegetéseket, és a helyi tűzfalszabályok megváltoztatásával elkülöníti a gyanús tevékenységeket.

A NeuVector Security Mesh néven ismert hálózati integrációja képes mély csomagelemzésre és 7. rétegű szűrésre a szolgáltatáshálóban lévő összes hálózati kapcsolathoz.

StackRox

• Honlap: www.stackrox.com
• Engedély: kereskedelmi

A StackRox konténerbiztonsági platform arra törekszik, hogy a Kubernetes-alkalmazások teljes életciklusát lefedje egy fürtben. A listán szereplő többi kereskedelmi platformhoz hasonlóan a StackRox is létrehoz egy futásidejű profilt a megfigyelt konténer viselkedése alapján, és automatikusan riasztást ad minden eltérés esetén.

Ezenkívül a StackRox a Kubernetes CIS és más szabálykönyvek segítségével elemzi a Kubernetes konfigurációkat a tároló megfelelőségének értékeléséhez.

Sysdig Secure

• Honlap: sysdig.com/products/secure
• Engedély: kereskedelmi

A Sysdig Secure védi az alkalmazásokat a tároló és a Kubernetes teljes életciklusa során. Ő képeket szkennel konténereket, biztosít futásidejű védelem gépi tanulási adatok szerint krémet végez. szakértelem a sebezhetőségek azonosításához, a fenyegetések blokkolásához, a monitorozáshoz a megállapított szabványoknak való megfelelés és ellenőrzi a mikroszolgáltatásokban végzett tevékenységet.

A Sysdig Secure integrálható a CI/CD-eszközökkel, például a Jenkins-szel, és vezérli a Docker-nyilvántartásokból betöltött képeket, megakadályozva, hogy veszélyes képek jelenjenek meg az éles környezetben. Átfogó futásidejű biztonságot is nyújt, beleértve:

• ML-alapú futásidejű profilalkotás és anomáliák észlelése;
• futásidejű házirendek rendszereseményeken, K8s-audit API-n, közös közösségi projekteken (FIM - fájlintegritás-felügyelet; cryptojacking) és keretrendszeren alapuló MITER ATT&CK;
• reagálás és megoldás az eseményekre.

Tartható konténerbiztonság

• Honlap: www.tenable.com/products/tenable-io/container-security
• Engedély: kereskedelmi

A konténerek megjelenése előtt a Tenable széles körben ismert volt az iparágban, mint a Nessus, egy népszerű sebezhetőség-kereső és biztonsági auditáló eszköz mögött álló vállalat.

A Tenable Container Security kihasználja a vállalat számítógép-biztonsági szakértelmét, hogy integrálja a CI/CD-folyamatot sebezhetőségi adatbázisokkal, speciális rosszindulatú programfelderítő csomagokkal és ajánlásokkal a biztonsági fenyegetések megoldására.

Twistlock (Palo Alto Networks)

• Honlap: www.twistlock.com
• Engedély: kereskedelmi

A Twistlock felhőszolgáltatásokra és konténerekre összpontosító platformként hirdeti magát. A Twistlock különféle felhőszolgáltatókat (AWS, Azure, GCP), konténer-rendezőket (Kubernetes, Mesospehere, OpenShift, Docker), kiszolgáló nélküli futtatókörnyezeteket, mesh-keretrendszereket és CI/CD-eszközöket támogat.

A hagyományos vállalati szintű biztonsági technikákon, például a CI/CD folyamatintegráción vagy a képszkennelésen kívül a Twistlock gépi tanulást használ a konténer-specifikus viselkedési minták és hálózati szabályok létrehozásához.

Nem sokkal ezelőtt a Twistlockot megvásárolta a Palo Alto Networks, amely az Evident.io és a RedLock projekt tulajdonosa. Egyelőre nem tudni, hogy pontosan hogyan épül be ez a három platform PRISMA Palo Altóból.

Segítsen összeállítani a Kubernetes biztonsági eszközeinek legjobb katalógusát!

Arra törekszünk, hogy ez a katalógus a lehető legteljesebb legyen, ehhez szükségünk van az Ön segítségére! Lépjen kapcsolatba velünk (@sysdig).

Ön is előfizethet oldalunkra havi hírlevél a felhőalapú ökoszisztéma híreivel és érdekes projektekkel a Kubernetes biztonság világából.

PS a fordítótól

Olvassa el blogunkon is:

• «Bevezetés a Kubernetes hálózati irányelveibe biztonsági szakembereknek";
• «Docker és Kubernetes a biztonságra érzékeny környezetekben";
• «9 bevált gyakorlat a Kubernetes biztonsághoz";
• «11 módja annak, hogy (ne) váljon a Kubernetes-hack áldozatává";
• «Az OPA és az SPIFFE két új projekt a CNCF-nél a felhőalkalmazások biztonságával kapcsolatban".

Forrás: will.com