33+ Kubernetes անվտանգության գործիքներ

Նշում. թարգմ.Եթե ​​դուք հետաքրքրվում եք Kubernetes-ի վրա հիմնված ենթակառուցվածքի անվտանգության մասին, Sysdig-ի այս հիանալի ակնարկը հիանալի մեկնարկային կետ է ընթացիկ լուծումներին արագ դիտելու համար: Այն ներառում է ինչպես բարդ համակարգեր շուկայի հայտնի խաղացողներից, այնպես էլ շատ ավելի համեստ կոմունալ ծառայություններ, որոնք լուծում են որոշակի խնդիր: Եվ մեկնաբանություններում, ինչպես միշտ, մենք ուրախ կլինենք լսել այս գործիքների օգտագործման ձեր փորձի մասին և տեսնել այլ նախագծերի հղումներ:

Kubernetes-ի անվտանգության ծրագրային ապահովման արտադրանքները... դրանք այնքան շատ են, որոնցից յուրաքանչյուրն ունի իր նպատակները, շրջանակը և արտոնագրերը:

Այդ իսկ պատճառով մենք որոշեցինք ստեղծել այս ցանկը և ներառել ինչպես բաց կոդով նախագծեր, այնպես էլ տարբեր վաճառողների առևտրային հարթակներ: Հուսով ենք, որ դա կօգնի ձեզ բացահայտել ամենահետաքրքիրներին և ցույց տալ ձեզ ճիշտ ուղղությամբ՝ ելնելով ձեր հատուկ Kubernetes-ի անվտանգության կարիքներից:

Категории

Ցանկում ավելի հեշտ նավարկելու համար գործիքները կազմակերպվում են ըստ հիմնական գործառույթի և հավելվածի: Ստացվել են հետևյալ բաժինները.

• Kubernetes պատկերի սկանավորում և ստատիկ վերլուծություն;
• Գործողության անվտանգություն;
• Kubernetes ցանցի անվտանգություն;
• Պատկերների բաշխում և գաղտնիքների կառավարում;
• Kubernetes անվտանգության աուդիտ;
• Համապարփակ կոմերցիոն արտադրանք.

Եկեք անցնենք գործին.

Kubernetes պատկերների սկանավորում

Խարիսխ

• Կայք: anchore.com
• Լիցենզիա՝ անվճար (Apache) և կոմերցիոն առաջարկ

Anchore-ը վերլուծում է բեռնարկղերի պատկերները և թույլ է տալիս անվտանգության ստուգումներ՝ հիմնվելով օգտագործողի կողմից սահմանված քաղաքականության վրա:

Բացի CVE տվյալների բազայից հայտնի խոցելիության համար կոնտեյների պատկերների սովորական սկանավորումից, Anchore-ը իրականացնում է բազմաթիվ լրացուցիչ ստուգումներ՝ որպես իր սկանավորման քաղաքականության մաս՝ ստուգում է Dockerfile-ը, հավատարմագրերի արտահոսքը, օգտագործվող ծրագրավորման լեզուների փաթեթները (npm, maven և այլն): .), ծրագրային ապահովման լիցենզիաներ և շատ ավելին:

Պարզ

• Կայք: coreos.com/clair (այժմ Red Hat-ի խնամակալության ներքո)
• Լիցենզիա՝ անվճար (Apache)

Clair-ը պատկերների սկանավորման առաջին բաց կոդով նախագծերից մեկն էր: Այն լայնորեն հայտնի է որպես Quay պատկերների ռեգիստրի հետևում գտնվող անվտանգության սկաներ (նաև CoreOS-ից - մոտ. թարգմանություն). Clair умеет собирать информацию о CVE из большого числа источников, включая списки специфических для Linux-дистрибутивов уязвимостей, которые ведут команды по безопасности Debian, Կարմիր գլխարկ կամ Ubuntu.

Ի տարբերություն Anchore-ի, Clair-ը հիմնականում կենտրոնանում է խոցելիության հայտնաբերման և CVE-ների հետ տվյալների համապատասխանության վրա: Այնուամենայնիվ, արտադրանքը օգտվողներին առաջարկում է որոշ հնարավորություններ ընդլայնելու գործառույթները՝ օգտագործելով plug-in դրայվերները:

Դագդա

• Կայք: github.com/eliasgranderubio/dagda
• Լիցենզիա՝ անվճար (Apache)

Dagda-ն իրականացնում է բեռնարկղերի պատկերների ստատիկ վերլուծություն հայտնի խոցելիության, տրոյականների, վիրուսների, չարամիտ ծրագրերի և այլ սպառնալիքների համար:

Երկու ուշագրավ առանձնահատկություններ տարբերում են Dagda-ն նմանատիպ այլ գործիքներից.

• Այն հիանալի կերպով ինտեգրվում է ClamAV, որը գործում է ոչ միայն որպես կոնտեյներների պատկերների սկանավորման գործիք, այլ նաև որպես հակավիրուս:
• Նաև ապահովում է գործարկման ժամանակի պաշտպանություն՝ ստանալով իրական ժամանակի իրադարձություններ Docker daemon-ից և ինտեգրվելով Falco-ին (տես ներքեւում) հավաքել անվտանգության միջոցառումները, երբ բեռնարկղը աշխատում է:

KubeXray

• Կայք: github.com/jfrog/kubexray
• Լիցենզիա՝ անվճար (Apache), բայց պահանջում է տվյալներ JFrog Xray-ից (առևտրային արտադրանք)

KubeXray-ը լսում է իրադարձությունները Kubernetes API սերվերից և օգտագործում է JFrog Xray-ի մետատվյալներ՝ համոզվելու, որ գործարկվեն միայն ընթացիկ քաղաքականությանը համապատասխանող փոդերը:

KubeXray-ը ոչ միայն ստուգում է նոր կամ թարմացված կոնտեյներները տեղակայման մեջ (նման է Kubernetes-ի ընդունման կարգավորիչին), այլ նաև դինամիկ կերպով ստուգում է գործող կոնտեյներները՝ անվտանգության նոր քաղաքականության հետ համապատասխանության համար՝ հեռացնելով խոցելի պատկերներին հղում կատարող ռեսուրսները:

Սնիկ

• Կայք: snyk.io
• Լիցենզիա՝ անվճար (Apache) և կոմերցիոն տարբերակներ

Snyk-ը անսովոր խոցելիության սկաներ է նրանով, որ այն հատուկ ուղղված է զարգացման գործընթացին և գովազդվում է որպես «էական լուծում» մշակողների համար:

Snyk-ը ուղղակիորեն միանում է կոդերի պահեստներին, վերլուծում է նախագծի մանիֆեստը և վերլուծում ներմուծված կոդը ուղղակի և անուղղակի կախվածությունների հետ միասին: Snyk-ն աջակցում է ծրագրավորման շատ հայտնի լեզուների և կարող է բացահայտել թաքնված լիցենզիայի ռիսկերը:

Մանրուք

• Կայք: github.com/knqyf263/trivy
• Լիցենզիա՝ անվճար (AGPL)

Trivy-ն բեռնարկղերի համար խոցելիության պարզ, բայց հզոր սկաներ է, որը հեշտությամբ ինտեգրվում է CI/CD խողովակաշարի մեջ: Դրա ուշագրավ առանձնահատկությունը տեղադրման և շահագործման հեշտությունն է. հավելվածը բաղկացած է մեկ երկուականից և չի պահանջում տվյալների բազայի կամ լրացուցիչ գրադարանների տեղադրում:

Trivy-ի պարզության բացասական կողմն այն է, որ դուք պետք է պարզեք, թե ինչպես վերլուծել և փոխանցել արդյունքները JSON ձևաչափով, որպեսզի Kubernetes-ի այլ անվտանգության գործիքներ կարողանան օգտագործել դրանք:

Runtime անվտանգություն Kubernetes-ում

Ֆալկո

• Կայք: falco.org
• Լիցենզիա՝ անվճար (Apache)

Falco-ն ամպային գործարկման միջավայրեր ապահովելու գործիքների հավաքածու է: Ծրագրի ընտանիքի մի մասը CNCF.

Используя инструментарий Sysdig для работы на уровне ядра Linux и профилирование системных вызовов, Falco позволяет глубоко погрузиться в поведение системы. Его механизм runtime-правил способен обнаруживать подозрительную активность в приложениях, контейнерах, базовом хосте и оркестраторе Kubernetes.

Falco-ն ապահովում է ամբողջական թափանցիկություն գործարկման ժամանակի և սպառնալիքների հայտնաբերման մեջ՝ այդ նպատակների համար հատուկ գործակալներ տեղակայելով Kubernetes հանգույցներում: Արդյունքում, բեռնարկղերը փոփոխելու կարիք չկա՝ դրանց մեջ ներդնելով երրորդ կողմի կոդ կամ ավելացնելով կողային բեռնարկղեր։

Фреймворки безопасности Linux для runtime

Эти родные для ядра Linux фреймворки не являются «инструментами безопасности Kubernetes» в привычном смысле, однако заслуживают упоминания, поскольку выступают важным элементом в контексте безопасности в runtime, что включается в Kubernetes Pod Security Policy (PSP).

AppArmor անվտանգության պրոֆիլը կցում է կոնտեյներով աշխատող գործընթացներին՝ սահմանելով ֆայլային համակարգի արտոնություններ, ցանցի մուտքի կանոններ, գրադարանների միացում և այլն։ Սա համակարգ է, որը հիմնված է պարտադիր մուտքի վերահսկման (MAC) վրա: Այսինքն՝ դա թույլ չի տալիս արգելված գործողություններ կատարել։

Բարելավված անվտանգություն Linux (SELinux) — это модуль расширенной безопасности в ядре Linux, в некоторых аспектах похожий на AppArmor и часто сравниваемый с ним. SELinux превосходит AppArmor по мощности, гибкости и тонкости настроек. Его недостатки — длительное освоение и повышенная сложность.

Seccomp և seccomp-bpf-ը թույլ է տալիս զտել համակարգային զանգերը, արգելափակել դրանց կատարումը, որոնք պոտենցիալ վտանգավոր են հիմնական ՕՀ-ի համար և անհրաժեշտ չեն օգտատերերի հավելվածների բնականոն աշխատանքի համար: Seccomp-ը որոշ առումներով նման է Falco-ին, թեև չգիտի բեռնարկղերի առանձնահատկությունները:

Sysdig բաց կոդով

• Կայք: www.sysdig.com/opensource
• Լիցենզիա՝ անվճար (Apache)

Sysdig — полноценный инструмент для анализа, диагностики и отладки Linux-систем (также работает на Windows и macOS, но с ограниченными функциями). Его можно использовать для сбора детальной информации, проверки и криминальной экспертизы (դատաբժշկական փորձաքննություն) բազային համակարգը և դրա վրա աշխատող ցանկացած տարա:

Sysdig-ը նաև աջակցում է բեռնարկղերի գործարկման ժամանակներին և Kubernetes-ի մետատվյալներին՝ ավելացնելով լրացուցիչ չափումներ և պիտակներ իր հավաքած համակարգի վարքագծի բոլոր տեղեկություններին: Sysdig-ի միջոցով Kubernetes կլաստերը վերլուծելու մի քանի եղանակ կա. դուք կարող եք կատարել կետը ժամանակի նկարահանում kubectl գրավում կամ գործարկել ncurses-ի վրա հիմնված ինտերակտիվ ինտերֆեյս՝ օգտագործելով plugin-ը kubectl փորել.

Kubernetes ցանցային անվտանգություն

Ապորետո

• Կայք: www.aporeto.com
• Լիցենզիա՝ կոմերցիոն

Aporeto-ն առաջարկում է «անվտանգություն՝ անջատված ցանցից և ենթակառուցվածքից»: Սա նշանակում է, որ Kubernetes ծառայությունները ոչ միայն ստանում են տեղական ID (այսինքն՝ ServiceAccount Kubernetes-ում), այլ նաև ունիվերսալ ID/մատնահետք, որը կարող է օգտագործվել ցանկացած այլ ծառայության հետ ապահով և փոխադարձ հաղորդակցվելու համար, օրինակ՝ OpenShift կլաստերում:

Aporeto-ն ի վիճակի է ստեղծել եզակի ID ոչ միայն Kubernetes/կոնտեյներների, այլ նաև հյուրընկալողների, ամպային գործառույթների և օգտատերերի համար: Կախված այս նույնացուցիչներից և ադմինիստրատորի կողմից սահմանված ցանցի անվտանգության կանոններից, հաղորդակցությունները կթույլատրվեն կամ կարգելափակվեն:

Calico- ն

• Կայք: www.projectcalico.org
• Լիցենզիա՝ անվճար (Apache)

Calico-ն սովորաբար տեղադրվում է կոնտեյներային նվագախմբի տեղադրման ժամանակ՝ թույլ տալով ստեղծել վիրտուալ ցանց, որը փոխկապակցում է բեռնարկղերը: Ի լրումն այս հիմնական ցանցի ֆունկցիոնալության, Calico նախագիծն աշխատում է Kubernetes Network Policies-ի և ցանցի անվտանգության իր սեփական պրոֆիլների հետ, աջակցում է վերջնակետի ACL-ներին (մուտքի վերահսկման ցուցակները) և անոտացիայի վրա հիմնված ցանցի անվտանգության կանոնները Ingress և Egress տրաֆիկի համար:

Ցիլիում

• Կայք: www.cilium.io
• Լիցենզիա՝ անվճար (Apache)

Cilium выступает в качестве брандмауэра для контейнеров и предоставляет функции по обеспечению сетевой безопасности, изначально адаптированные к Kubernetes и рабочим нагрузкам микросервисов. Cilium использует новую технологию ядра Linux под названием BPF (Berkeley Packet Filter) для фильтрации, мониторинга, перенаправления и корректировки данных.

Cilium-ը կարող է կիրառել ցանցի մուտքի քաղաքականություն՝ հիմնված կոնտեյների ID-ների վրա՝ օգտագործելով Docker կամ Kubernetes պիտակներ և մետատվյալներ: Cilium-ը նաև հասկանում և զտում է 7-րդ շերտի տարբեր արձանագրություններ, ինչպիսիք են HTTP-ը կամ gRPC-ն, ինչը թույլ է տալիս սահմանել REST զանգերի մի շարք, որոնք թույլատրվելու են, օրինակ, Kubernetes-ի երկու տեղակայման միջև:

Իստիո

• Կայք: istio.io
• Լիցենզիա՝ անվճար (Apache)

Istio-ն լայնորեն հայտնի է ծառայության ցանցի պարադիգմը կիրառելով` տեղադրելով պլատֆորմից անկախ կառավարման հարթություն և ուղղորդելով ողջ կառավարվող սպասարկման տրաֆիկը դինամիկ կարգավորվող Envoy վստահված անձանց միջոցով: Istio-ն օգտվում է բոլոր միկրոծառայությունների և կոնտեյներների այս առաջադեմ տեսակետից՝ ցանցային անվտանգության տարբեր ռազմավարություններ իրականացնելու համար:

Istio-ի ցանցային անվտանգության հնարավորությունները ներառում են թափանցիկ TLS կոդավորումը՝ միկրոծառայությունների միջև հաղորդակցությունը HTTPS-ի ավտոմատ կերպով թարմացնելու համար, և RBAC նույնականացման և թույլտվության սեփական համակարգ՝ կլաստերի տարբեր աշխատանքային բեռների միջև հաղորդակցությունը թույլատրելու/մերժելու համար:

Նշում. թարգմ.Istio-ի անվտանգության վրա հիմնված հնարավորությունների մասին ավելին իմանալու համար կարդացեք այս հոդվածը.

Վագր

• Կայք: www.tigera.io
• Լիցենզիա՝ կոմերցիոն

Այս լուծումը, որը կոչվում է «Kubernetes Firewall», ընդգծում է ցանցային անվտանգության զրոյական վստահության մոտեցումը:

Kubernetes-ի այլ տեղական ցանցային լուծումների նման, Tigera-ն հենվում է մետատվյալների վրա՝ կլաստերի տարբեր ծառայություններն ու օբյեկտները հայտնաբերելու համար և ապահովում է գործարկման ժամանակի խնդիրների հայտնաբերում, համապատասխանության շարունակական ստուգում և ցանցի տեսանելիություն բազմաբնույթ կամ հիբրիդային մոնոլիտ կոնտեյներային ենթակառուցվածքների համար:

Տրիերմա

• Կայք: www.aporeto.com/opensource
• Լիցենզիա՝ անվճար (Apache)

Trireme-Kubernetes — это простая и понятная реализация спецификации Kubernetes Network Policies. Самой примечательной особенностью является то, что — в отличие от похожих продуктов для сетевой безопасности Kubernetes — оно не требует центральной control plane для координации сетки (mesh). Это делает решение тривиально масштабируемым. В Trireme это достигается путем установки агента на каждый узел, который напрямую подключается к TCP/IP-стеку хоста.

Պատկերների տարածում և գաղտնիքների կառավարում

Գրաֆեաներ

• Կայք: grafeas.io
• Լիցենզիա՝ անվճար (Apache)

Grafeas-ը բաց կոդով API է ծրագրային ապահովման մատակարարման շղթայի աուդիտի և կառավարման համար: Հիմնական մակարդակում Grafeas-ը մետատվյալների և աուդիտի արդյունքների հավաքագրման գործիք է: Այն կարող է օգտագործվել կազմակերպության ներսում անվտանգության լավագույն փորձին համապատասխանությանը հետևելու համար:

Ճշմարտության այս կենտրոնացված աղբյուրը օգնում է պատասխանել այնպիսի հարցերի, ինչպիսիք են.

• Ո՞վ է հավաքել և ստորագրել որոշակի կոնտեյների համար:
• Արդյո՞ք այն անցել է անվտանգության քաղաքականության պահանջվող բոլոր անվտանգության ստուգումները և ստուգումները: Երբ? Ի՞նչ արդյունքներ եղան։
• Ո՞վ է այն գործարկել արտադրության մեջ: Ի՞նչ կոնկրետ պարամետրեր են օգտագործվել տեղակայման ժամանակ:

In-toto

• Կայք: in-toto.github.io
• Լիցենզիա՝ անվճար (Apache)

In-toto-ն շրջանակ է, որը նախատեսված է ծրագրային ապահովման մատակարարման ողջ շղթայի ամբողջականությունը, իսկությունը և աուդիտ ապահովելու համար: Ենթակառուցվածքում In-toto տեղակայելիս նախ սահմանվում է պլան, որը նկարագրում է խողովակաշարի տարբեր քայլերը (պահեստ, CI/CD գործիքներ, ՈԱ գործիքներ, արտեֆակտ հավաքողներ և այլն) և օգտագործողներին (պատասխանատու անձինք), որոնց թույլատրվում է. նախաձեռնել դրանք:

In-toto-ն վերահսկում է պլանի կատարումը՝ ստուգելով, որ շղթայի յուրաքանչյուր առաջադրանք պատշաճ կերպով կատարվում է միայն լիազորված անձնակազմի կողմից, և որ շարժման ընթացքում արտադրանքի հետ չարտոնված մանիպուլյացիաներ չեն իրականացվել:

Պորտիերիս

• Կայք: github.com/IBM/portieris
• Լիցենզիա՝ անվճար (Apache)

Portieris-ը Kubernetes-ի ընդունելության վերահսկիչ է. օգտագործվում է բովանդակության վստահության ստուգումներ իրականացնելու համար: Portieris-ը օգտագործում է սերվեր Նոտարական (վերջում գրել ենք նրա մասին այս հոդվածը - մոտ. թարգմանություն) որպես ճշմարտության աղբյուր՝ վստահելի և ստորագրված արտեֆակտները (այսինքն՝ հաստատված կոնտեյների պատկերները) վավերացնելու համար։

Երբ Kubernetes-ում աշխատանքային ծանրաբեռնվածություն է ստեղծվում կամ փոփոխվում, Portieris-ը ներբեռնում է ստորագրման տեղեկատվության և բովանդակության վստահության քաղաքականությունը պահանջվող կոնտեյների պատկերների համար և, անհրաժեշտության դեպքում, անմիջապես փոփոխություններ է կատարում JSON API օբյեկտում՝ այդ պատկերների ստորագրված տարբերակները գործարկելու համար:

Կամար

• Կայք: www.vaultproject.io
• Լիցենզիա՝ անվճար (MPL)

Vault-ը անվտանգ լուծում է անձնական տեղեկատվության պահպանման համար՝ գաղտնաբառեր, OAuth նշաններ, PKI վկայագրեր, մուտքի հաշիվներ, Kubernetes գաղտնիքներ և այլն: Vault-ն աջակցում է բազմաթիվ առաջադեմ առանձնահատկություններ, ինչպիսիք են անվտանգության ժամանակավոր նշանների վարձակալումը կամ բանալիների ռոտացիայի կազմակերպումը:

Օգտագործելով Helm աղյուսակը, Vault-ը կարող է տեղակայվել որպես նոր տեղակայում Kubernetes կլաստերում, որտեղ Consul-ը որպես հետին պահեստային պահոց: Այն աջակցում է հայրենի Kubernetes ռեսուրսներին, ինչպիսիք են ServiceAccount նշանները և կարող է նույնիսկ գործել որպես Kubernetes գաղտնիքների լռելյայն պահեստ:

Նշում. թարգմ.Ի դեպ, հենց երեկ HashiCorp ընկերությունը, որը մշակում է Vault-ը, հայտարարեց Kubernetes-ում Vault-ի օգտագործման որոշ բարելավումների մասին, և մասնավորապես դրանք վերաբերում են Helm աղյուսակին: Կարդալ ավելին մշակողի բլոգ.

Kubernetes անվտանգության աուդիտ

Կուբե-պահեստային

• Կայք: github.com/aquasecurity/kube-bench
• Լիցենզիա՝ անվճար (Apache)

Kube-bench-ը Go հավելված է, որը ստուգում է, թե արդյոք Kubernetes-ը ապահով է տեղակայվել՝ ցուցակից թեստերի միջոցով։ ԱՊՀ Kubernetes ուղենիշ.

Kube-bench-ը փնտրում է անապահով կազմաձևման կարգավորումներ կլաստերի բաղադրիչների միջև (etcd, API, վերահսկիչի կառավարիչ և այլն), կասկածելի ֆայլերի մուտքի իրավունքներ, անպաշտպան հաշիվներ կամ բաց նավահանգիստներ, ռեսուրսների քվոտաներ, API-ի զանգերի քանակը սահմանափակելու կարգավորումներ՝ DoS հարձակումներից պաշտպանվելու համար: և այլն։

Կուբե-որսորդ

• Կայք: github.com/aquasecurity/kube-hunter
• Լիցենզիա՝ անվճար (Apache)

Kube-hunter-ը փնտրում է պոտենցիալ խոցելիություններ (օրինակ՝ հեռակա կոդի կատարումը կամ տվյալների բացահայտումը) Kubernetes կլաստերներում: Kube-hunter-ը կարող է գործարկվել որպես հեռակառավարվող սկաներ, որի դեպքում այն ​​կգնահատի կլաստերը երրորդ կողմի հարձակվողի տեսանկյունից, կամ որպես պատիճ կլաստերի ներսում:

Kube-hunter-ի տարբերակիչ առանձնահատկությունը նրա «ակտիվ որսի» ռեժիմն է, որի ընթացքում նա ոչ միայն հայտնում է խնդիրների մասին, այլև փորձում է օգտվել թիրախային կլաստերում հայտնաբերված խոցելիություններից, որոնք կարող են վնասել դրա գործունեությանը: Այնպես որ, օգտագործեք զգուշությամբ:

Kubeaudit

• Կայք: github.com/Shopify/kubeaudit
• Լիցենզիա՝ անվճար (MIT)

Kubeaudit-ը կոնսոլային գործիք է, որն ի սկզբանե մշակվել է Shopify-ում՝ անվտանգության տարբեր խնդիրների համար Kubernetes-ի կոնֆիգուրացիան ստուգելու համար: Օրինակ՝ այն օգնում է բացահայտել բեռնարկղերը, որոնք աշխատում են անսահմանափակ, աշխատում են որպես root, չարաշահում են արտոնությունները կամ օգտագործում են լռելյայն ServiceAccount-ը:

Kubeaudit-ն ունի այլ հետաքրքիր առանձնահատկություններ. Օրինակ, այն կարող է վերլուծել տեղական YAML ֆայլերը, բացահայտել կազմաձևման թերությունները, որոնք կարող են հանգեցնել անվտանգության խնդիրների և ինքնաբերաբար շտկել դրանք:

Կուբեսեց

• Կայք: kubesec.io
• Լիցենզիա՝ անվճար (Apache)

Kubesec-ը հատուկ գործիք է, որով ուղղակիորեն սկանավորում է YAML ֆայլերը, որոնք նկարագրում են Kubernetes-ի ռեսուրսները՝ փնտրելով թույլ պարամետրեր, որոնք կարող են ազդել անվտանգության վրա:

Օրինակ՝ այն կարող է հայտնաբերել փոդին տրված չափից դուրս արտոնություններ և թույլտվություններ, որպես կանխադրված օգտատեր գործարկել կոնտեյներ, որը միանում է հյուրընկալողի ցանցի անվանատարածքին կամ վտանգավոր մոնտաժներ, ինչպիսիք են. /proc հյուրընկալող կամ Docker վարդակից: Kubesec-ի մեկ այլ հետաքրքիր առանձնահատկություն է առցանց հասանելի ցուցադրական ծառայությունը, որի մեջ կարող եք վերբեռնել YAML և անմիջապես վերլուծել այն:

Բաց քաղաքականության գործակալ

• Կայք: www.openpolicyagent.org
• Լիցենզիա՝ անվճար (Apache)

OPA-ի (Open Policy Agent) հայեցակարգը անվտանգության քաղաքականության և անվտանգության լավագույն փորձի անջատումն է կոնկրետ գործարկման հարթակից՝ Docker, Kubernetes, Mesosphere, OpenShift կամ դրանց ցանկացած համակցություն:

Օրինակ, դուք կարող եք տեղակայել OPA-ն որպես Kubernetes ընդունման վերահսկիչի հետին պլան՝ նրան փոխանցելով անվտանգության որոշումները: Այս կերպ, OPA գործակալը կարող է վավերացնել, մերժել և նույնիսկ փոփոխել հարցումները անմիջապես՝ ապահովելով, որ նշված անվտանգության պարամետրերը բավարարված են: OPA-ի անվտանգության քաղաքականությունը գրված է իր սեփական DSL լեզվով՝ Rego-ով:

Նշում. թարգմ.Մենք ավելին գրել ենք OPA-ի (և SPIFFE) մասին այս իրերը.

Համապարփակ կոմերցիոն գործիքներ Kubernetes-ի անվտանգության վերլուծության համար

Մենք որոշեցինք ստեղծել առանձին կատեգորիա առևտրային հարթակների համար, քանի որ դրանք սովորաբար ընդգրկում են անվտանգության բազմաթիվ ոլորտներ: Նրանց հնարավորությունների մասին ընդհանուր պատկերացում կարելի է ստանալ աղյուսակից.

* Ընդլայնված փորձաքննություն և հետմահու վերլուծություն՝ ամբողջական համակարգային զանգերի առևանգում.

Aqua Security

• Կայք: www.aquasec.com
• Լիցենզիա՝ կոմերցիոն

Այս առևտրային գործիքը նախատեսված է բեռնարկղերի և ամպային ծանրաբեռնվածության համար: Այն ապահովում է.

• Պատկերի սկանավորում՝ ինտեգրված կոնտեյների ռեեստրի կամ CI/CD խողովակաշարի հետ;
• Runtime պաշտպանություն բեռնարկղերում փոփոխությունների և այլ կասկածելի գործողությունների որոնմամբ.
• Կոնտեյներ-հայրենի firewall;
• Անվտանգություն առանց սերվերի ամպային ծառայություններում;
• Համապատասխանության փորձարկում և աուդիտ՝ համակցված իրադարձությունների գրանցման հետ:

Նշում. թարգմ.Հարկ է նաև նշել, որ կան ապրանքի ազատ բաղադրիչը կոչվում է MicroScanner, որը թույլ է տալիս սկանավորել կոնտեյների պատկերները խոցելիության համար: Ներկայացված է դրա հնարավորությունների համեմատությունը վճարովի տարբերակների հետ այս աղյուսակը.

Պարկուճ 8

• Կայք: capsule8.com
• Լիցենզիա՝ կոմերցիոն

Capsule8-ը ինտեգրվում է ենթակառուցվածքին՝ տեղադրելով դետեկտորը տեղական կամ ամպային Kubernetes կլաստերի վրա: Այս դետեկտորը հավաքում է հյուրընկալող և ցանցային հեռաչափությունը՝ այն փոխկապակցելով տարբեր տեսակի հարձակումների հետ:

Capsule8 թիմն իր խնդիրն է տեսնում հարձակումների վաղ հայտնաբերումն ու կանխարգելումը նորի միջոցով (0 օր) խոցելիություններ. Capsule8-ը կարող է ներբեռնել անվտանգության թարմացված կանոնները անմիջապես դետեկտորներում՝ ի պատասխան նոր հայտնաբերված սպառնալիքների և ծրագրային ապահովման խոցելիության:

Կավիրին

• Կայք: www.cavirin.com
• Լիցենզիա՝ կոմերցիոն

Cavirin-ը հանդես է գալիս որպես ընկերության կողմից կապալառու տարբեր գործակալությունների համար, որոնք ներգրավված են անվտանգության չափանիշներին: Այն ոչ միայն կարող է սկանավորել պատկերները, այլև կարող է ինտեգրվել CI/CD խողովակաշարին՝ արգելափակելով ոչ ստանդարտ պատկերները, նախքան դրանք փակ պահեստներ մտնելը:

Cavirin-ի անվտանգության հավաքածուն օգտագործում է մեքենայական ուսուցում՝ գնահատելու ձեր կիբերանվտանգության կեցվածքը՝ առաջարկելով խորհուրդներ՝ բարելավելու անվտանգությունը և բարելավել անվտանգության չափանիշներին համապատասխանությունը:

Google Cloud Security Command Center

• Կայք: cloud.google.com/security-command-center
• Լիցենզիա՝ կոմերցիոն

Cloud Security Command Center-ն օգնում է անվտանգության թիմերին հավաքել տվյալներ, բացահայտել սպառնալիքները և վերացնել դրանք՝ նախքան դրանք վնասել ընկերությանը:

Ինչպես անունն է հուշում, Google Cloud SCC-ը միասնական կառավարման վահանակ է, որը կարող է ինտեգրել և կառավարել մի շարք անվտանգության հաշվետվություններ, ակտիվների հաշվառման շարժիչներ և երրորդ կողմի անվտանգության համակարգեր մեկ կենտրոնացված աղբյուրից:

Google Cloud SCC-ի կողմից առաջարկվող փոխգործունակ API-ն հեշտացնում է անվտանգության միջոցառումների ինտեգրումը, որոնք գալիս են տարբեր աղբյուրներից, ինչպիսիք են Sysdig Secure-ը (կոնտեյների անվտանգությունը ամպի բնիկ հավելվածների համար) կամ Falco-ն (բաց կոդով գործարկման ժամանակի անվտանգություն):

Շերտավոր պատկերացում (Qualys)

• Կայք: layeredinsight.com
• Լիցենզիա՝ կոմերցիոն

Layered Insight-ը (այժմ Qualys Inc-ի մաս) կառուցված է «ներկառուցված անվտանգության» հայեցակարգի վրա: Վիճակագրական վերլուծության և CVE ստուգումների միջոցով բնօրինակ պատկերը խոցելիության սկանավորումից հետո Layered Insight-ը այն փոխարինում է գործիքավորված պատկերով, որը ներառում է գործակալը որպես երկուական:

Այս գործակալը պարունակում է գործարկման ժամանակի անվտանգության թեստեր՝ վերլուծելու կոնտեյներային ցանցի տրաֆիկը, I/O հոսքերը և կիրառական գործունեությունը: Բացի այդ, այն կարող է կատարել անվտանգության լրացուցիչ ստուգումներ, որոնք նշված են ենթակառուցվածքի ադմինիստրատորի կամ DevOps թիմերի կողմից:

NeuVector

• Կայք: neuvector.com
• Լիցենզիա՝ կոմերցիոն

NeuVector-ը ստուգում է կոնտեյների անվտանգությունը և ապահովում է գործարկման ժամանակի պաշտպանություն՝ վերլուծելով ցանցի գործունեությունը և հավելվածի վարքագիծը՝ ստեղծելով անհատական ​​անվտանգության պրոֆիլ յուրաքանչյուր կոնտեյների համար: Այն կարող է նաև ինքնուրույն արգելափակել սպառնալիքները՝ մեկուսացնելով կասկածելի գործողությունները՝ փոխելով տեղական firewall կանոնները:

NeuVector-ի ցանցային ինտեգրումը, որը հայտնի է որպես Security Mesh, ի վիճակի է խորը փաթեթների վերլուծության և 7-րդ շերտի զտման ծառայության ցանցի բոլոր ցանցային միացումների համար:

StackRox

• Կայք: www.stackrox.com
• Լիցենզիա՝ կոմերցիոն

StackRox կոնտեյներների անվտանգության հարթակը ձգտում է ծածկել Kubernetes հավելվածների ողջ կյանքի ցիկլը կլաստերի մեջ: Ինչպես այս ցուցակի մյուս առևտրային հարթակները, StackRox-ը ստեղծում է գործարկման ժամանակի պրոֆիլ՝ հիմնված կոնտեյների դիտարկված վարքագծի վրա և ավտոմատ կերպով ահազանգում է ցանկացած շեղումների համար:

Բացի այդ, StackRox-ը վերլուծում է Kubernetes-ի կոնֆիգուրացիաները՝ օգտագործելով Kubernetes CIS-ը և այլ կանոնակարգեր՝ բեռնարկղերի համապատասխանությունը գնահատելու համար:

Sysdig Secure

• Կայք: sysdig.com/products/secure
• Լիցենզիա՝ կոմերցիոն

Sysdig Secure-ը պաշտպանում է հավելվածները ողջ կոնտեյների և Kubernetes-ի կյանքի ցիկլի ընթացքում: Նա սկանավորում է պատկերները տարաներ, ապահովում է գործարկման ժամանակի պաշտպանություն ըստ մեքենայական ուսուցման տվյալների, կատարում է կրեմ. փորձաքննություն՝ բացահայտելու խոցելիությունը, արգելափակում է սպառնալիքները, մոնիտորինգը սահմանված չափանիշներին համապատասխանելը և միկրոծառայություններում աուդիտի գործունեությունը:

Sysdig Secure-ը ինտեգրվում է CI/CD գործիքների հետ, ինչպիսիք են Jenkins-ը և վերահսկում է Docker ռեգիստրներից բեռնված պատկերները՝ կանխելով վտանգավոր պատկերների հայտնվելը արտադրության մեջ: Այն նաև ապահովում է գործարկման ժամանակի համապարփակ անվտանգություն, ներառյալ՝

• ML-ի վրա հիմնված գործարկման ժամանակի պրոֆիլավորում և անոմալիաների հայտնաբերում;
• Համակարգային իրադարձությունների, K8s-աուդիտի API-ի, համատեղ համայնքային նախագծերի (FIM - ֆայլերի ամբողջականության մոնիտորինգ, կրիպտոժքինգ) և շրջանակի վրա հիմնված գործարկման քաղաքականություն MITER AT&CK;
• միջադեպերի արձագանքը և լուծումը.

Պայմանական կոնտեյների անվտանգություն

• Կայք: www.tenable.com/products/tenable-io/container-security
• Լիցենզիա՝ կոմերցիոն

Մինչ բեռնարկղերի հայտնվելը, Tenable-ը լայնորեն հայտնի էր արդյունաբերության մեջ որպես Nessus-ի ետևում գտնվող ընկերություն, որը հայտնի խոցելիության որսի և անվտանգության աուդիտի գործիք է:

Tenable Container Security-ն օգտագործում է ընկերության համակարգչային անվտանգության փորձը, որպեսզի ինտեգրվի CI/CD խողովակաշարը խոցելիության տվյալների բազաների, չարամիտ ծրագրերի հայտնաբերման մասնագիտացված փաթեթների և անվտանգության սպառնալիքների լուծման վերաբերյալ առաջարկությունների հետ:

Twistlock (Palo Alto Networks)

• Կայք: www.twistlock.com
• Լիցենզիա՝ կոմերցիոն

Twistlock-ը իրեն գովազդում է որպես հարթակ, որը կենտրոնացած է ամպային ծառայությունների և բեռնարկղերի վրա: Twistlock-ն աջակցում է տարբեր ամպային պրովայդերների (AWS, Azure, GCP), կոնտեյներային խմբավարներին (Kubernetes, Mesospehere, OpenShift, Docker), առանց սերվերի գործարկման ժամանակներին, ցանցային շրջանակներին և CI/CD գործիքներին:

Ի լրումն սովորական ձեռնարկության կարգի անվտանգության տեխնիկայի, ինչպիսիք են CI/CD խողովակաշարի ինտեգրումը կամ պատկերի սկանավորումը, Twistlock-ն օգտագործում է մեքենայական ուսուցում` կոնտեյների հատուկ վարքագծային օրինաչափություններ և ցանցային կանոններ ստեղծելու համար:

Որոշ ժամանակ առաջ Twistlock-ը գնեց Palo Alto Networks-ը, որին պատկանում են Evident.io և RedLock նախագծերը։ Դեռ հայտնի չէ, թե կոնկրետ ինչպես են ինտեգրվելու այս երեք հարթակները PRISM Պալո Ալտոյից։

Օգնեք ստեղծել Kubernetes անվտանգության գործիքների լավագույն կատալոգը:

Մենք ձգտում ենք այս կատալոգը հնարավորինս ամբողջական դարձնել, և դրա համար մենք ձեր օգնության կարիքն ունենք: Կապվեք մեզ հետ (@sysdig) եթե մտքում ունեք հիանալի գործիք, որն արժանի է ներառվելու այս ցանկում, կամ գտնում եք սխալ/հնացած տեղեկատվություն:

Կարող եք նաև բաժանորդագրվել մեր ամսական տեղեկագիր ամպային հայրենի էկոհամակարգի նորություններով և Kubernetes անվտանգության աշխարհի հետաքրքիր նախագծերի մասին պատմություններով:

PS թարգմանչից

Կարդացեք նաև մեր բլոգում.

• «Անվտանգության մասնագետների համար Kubernetes ցանցային քաղաքականության ներածություն";
• «Docker-ը և Kubernetes-ը անվտանգության զգայուն միջավայրերում";
• «9 Kubernetes անվտանգության լավագույն փորձ";
• «Kubernetes-ի հաքի զոհ (չ) դառնալու 11 եղանակ";
• «OPA-ն և SPIFFE-ը CNCF-ի երկու նոր նախագծեր են՝ ամպային հավելվածների անվտանգության համար.

Source: www.habr.com