33+ Kubernetes անվտանգության գործիքներ

Նշում. թարգմ.Եթե ​​դուք հետաքրքրվում եք Kubernetes-ի վրա հիմնված ենթակառուցվածքի անվտանգության մասին, Sysdig-ի այս հիանալի ակնարկը հիանալի մեկնարկային կետ է ընթացիկ լուծումներին արագ դիտելու համար: Այն ներառում է ինչպես բարդ համակարգեր շուկայի հայտնի խաղացողներից, այնպես էլ շատ ավելի համեստ կոմունալ ծառայություններ, որոնք լուծում են որոշակի խնդիր: Եվ մեկնաբանություններում, ինչպես միշտ, մենք ուրախ կլինենք լսել այս գործիքների օգտագործման ձեր փորձի մասին և տեսնել այլ նախագծերի հղումներ:

Kubernetes-ի անվտանգության ծրագրային ապահովման արտադրանքները... դրանք այնքան շատ են, որոնցից յուրաքանչյուրն ունի իր նպատակները, շրջանակը և արտոնագրերը:

Այդ իսկ պատճառով մենք որոշեցինք ստեղծել այս ցանկը և ներառել ինչպես բաց կոդով նախագծեր, այնպես էլ տարբեր վաճառողների առևտրային հարթակներ: Հուսով ենք, որ դա կօգնի ձեզ բացահայտել ամենահետաքրքիրներին և ցույց տալ ձեզ ճիշտ ուղղությամբ՝ ելնելով ձեր հատուկ Kubernetes-ի անվտանգության կարիքներից:

Категории

Ցանկում ավելի հեշտ նավարկելու համար գործիքները կազմակերպվում են ըստ հիմնական գործառույթի և հավելվածի: Ստացվել են հետևյալ բաժինները.

• Kubernetes պատկերի սկանավորում և ստատիկ վերլուծություն;
• Գործողության անվտանգություն;
• Kubernetes ցանցի անվտանգություն;
• Պատկերների բաշխում և գաղտնիքների կառավարում;
• Kubernetes անվտանգության աուդիտ;
• Համապարփակ կոմերցիոն արտադրանք.

Եկեք անցնենք գործին.

Kubernetes պատկերների սկանավորում

Խարիսխ

• Կայք: anchore.com
• Լիցենզիա՝ անվճար (Apache) և կոմերցիոն առաջարկ

Anchore-ը վերլուծում է բեռնարկղերի պատկերները և թույլ է տալիս անվտանգության ստուգումներ՝ հիմնվելով օգտագործողի կողմից սահմանված քաղաքականության վրա:

Բացի CVE տվյալների բազայից հայտնի խոցելիության համար կոնտեյների պատկերների սովորական սկանավորումից, Anchore-ը իրականացնում է բազմաթիվ լրացուցիչ ստուգումներ՝ որպես իր սկանավորման քաղաքականության մաս՝ ստուգում է Dockerfile-ը, հավատարմագրերի արտահոսքը, օգտագործվող ծրագրավորման լեզուների փաթեթները (npm, maven և այլն): .), ծրագրային ապահովման լիցենզիաներ և շատ ավելին:

Պարզ

• Կայք: coreos.com/clair (այժմ Red Hat-ի խնամակալության ներքո)
• Լիցենզիա՝ անվճար (Apache)

Clair-ը պատկերների սկանավորման առաջին բաց կոդով նախագծերից մեկն էր: Այն լայնորեն հայտնի է որպես Quay պատկերների ռեգիստրի հետևում գտնվող անվտանգության սկաներ (նաև CoreOS-ից - մոտ. թարգմանություն). Clair-ը կարող է հավաքել CVE-ի տեղեկատվություն տարբեր աղբյուրներից, ներառյալ Linux-ի բաշխման հատուկ խոցելիության ցուցակները, որոնք պահպանվում են Debian, Red Hat կամ Ubuntu անվտանգության թիմերի կողմից:

Ի տարբերություն Anchore-ի, Clair-ը հիմնականում կենտրոնանում է խոցելիության հայտնաբերման և CVE-ների հետ տվյալների համապատասխանության վրա: Այնուամենայնիվ, արտադրանքը օգտվողներին առաջարկում է որոշ հնարավորություններ ընդլայնելու գործառույթները՝ օգտագործելով plug-in դրայվերները:

Դագդա

• Կայք: github.com/eliasgranderubio/dagda
• Լիցենզիա՝ անվճար (Apache)

Dagda-ն իրականացնում է բեռնարկղերի պատկերների ստատիկ վերլուծություն հայտնի խոցելիության, տրոյականների, վիրուսների, չարամիտ ծրագրերի և այլ սպառնալիքների համար:

Երկու ուշագրավ առանձնահատկություններ տարբերում են Dagda-ն նմանատիպ այլ գործիքներից.

• Այն հիանալի կերպով ինտեգրվում է ClamAV, որը գործում է ոչ միայն որպես կոնտեյներների պատկերների սկանավորման գործիք, այլ նաև որպես հակավիրուս:
• Նաև ապահովում է գործարկման ժամանակի պաշտպանություն՝ ստանալով իրական ժամանակի իրադարձություններ Docker daemon-ից և ինտեգրվելով Falco-ին (տես ներքեւում) հավաքել անվտանգության միջոցառումները, երբ բեռնարկղը աշխատում է:

KubeXray

• Կայք: github.com/jfrog/kubexray
• Լիցենզիա՝ անվճար (Apache), բայց պահանջում է տվյալներ JFrog Xray-ից (առևտրային արտադրանք)

KubeXray-ը լսում է իրադարձությունները Kubernetes API սերվերից և օգտագործում է JFrog Xray-ի մետատվյալներ՝ համոզվելու, որ գործարկվեն միայն ընթացիկ քաղաքականությանը համապատասխանող փոդերը:

KubeXray-ը ոչ միայն ստուգում է նոր կամ թարմացված կոնտեյներները տեղակայման մեջ (նման է Kubernetes-ի ընդունման կարգավորիչին), այլ նաև դինամիկ կերպով ստուգում է գործող կոնտեյներները՝ անվտանգության նոր քաղաքականության հետ համապատասխանության համար՝ հեռացնելով խոցելի պատկերներին հղում կատարող ռեսուրսները:

Սնիկ

• Կայք: snyk.io
• Լիցենզիա՝ անվճար (Apache) և կոմերցիոն տարբերակներ

Snyk-ը անսովոր խոցելիության սկաներ է նրանով, որ այն հատուկ ուղղված է զարգացման գործընթացին և գովազդվում է որպես «էական լուծում» մշակողների համար:

Snyk-ը ուղղակիորեն միանում է կոդերի պահեստներին, վերլուծում է նախագծի մանիֆեստը և վերլուծում ներմուծված կոդը ուղղակի և անուղղակի կախվածությունների հետ միասին: Snyk-ն աջակցում է ծրագրավորման շատ հայտնի լեզուների և կարող է բացահայտել թաքնված լիցենզիայի ռիսկերը:

Մանրուք

• Կայք: github.com/knqyf263/trivy
• Լիցենզիա՝ անվճար (AGPL)

Trivy-ն բեռնարկղերի համար խոցելիության պարզ, բայց հզոր սկաներ է, որը հեշտությամբ ինտեգրվում է CI/CD խողովակաշարի մեջ: Դրա ուշագրավ առանձնահատկությունը տեղադրման և շահագործման հեշտությունն է. հավելվածը բաղկացած է մեկ երկուականից և չի պահանջում տվյալների բազայի կամ լրացուցիչ գրադարանների տեղադրում:

Trivy-ի պարզության բացասական կողմն այն է, որ դուք պետք է պարզեք, թե ինչպես վերլուծել և փոխանցել արդյունքները JSON ձևաչափով, որպեսզի Kubernetes-ի այլ անվտանգության գործիքներ կարողանան օգտագործել դրանք:

Runtime անվտանգություն Kubernetes-ում

Ֆալկո

• Կայք: falco.org
• Լիցենզիա՝ անվճար (Apache)

Falco-ն ամպային գործարկման միջավայրեր ապահովելու գործիքների հավաքածու է: Ծրագրի ընտանիքի մի մասը CNCF.

Օգտագործելով Sysdig-ի Linux միջուկի մակարդակի գործիքավորումը և համակարգային զանգերի պրոֆիլավորումը՝ Falco-ն թույլ է տալիս խորը սուզվել համակարգի վարքագծի մեջ: Գործարկման ժամանակի կանոնների շարժիչն ի վիճակի է հայտնաբերել կասկածելի գործունեությունը հավելվածներում, կոնտեյներներում, հիմքում ընկած հաղորդիչում և Kubernetes-ի նվագախմբում:

Falco-ն ապահովում է ամբողջական թափանցիկություն գործարկման ժամանակի և սպառնալիքների հայտնաբերման մեջ՝ այդ նպատակների համար հատուկ գործակալներ տեղակայելով Kubernetes հանգույցներում: Արդյունքում, բեռնարկղերը փոփոխելու կարիք չկա՝ դրանց մեջ ներդնելով երրորդ կողմի կոդ կամ ավելացնելով կողային բեռնարկղեր։

Linux-ի անվտանգության շրջանակներ գործարկման ժամանակի համար

Linux միջուկի այս բնիկ շրջանակները «Kubernetes անվտանգության գործիքներ» չեն ավանդական իմաստով, բայց դրանք արժե նշել, քանի որ դրանք կարևոր տարր են գործարկման ժամանակի անվտանգության համատեքստում, որը ներառված է Kubernetes Pod Security Policy-ում (PSP):

AppArmor անվտանգության պրոֆիլը կցում է կոնտեյներով աշխատող գործընթացներին՝ սահմանելով ֆայլային համակարգի արտոնություններ, ցանցի մուտքի կանոններ, գրադարանների միացում և այլն։ Սա համակարգ է, որը հիմնված է պարտադիր մուտքի վերահսկման (MAC) վրա: Այսինքն՝ դա թույլ չի տալիս արգելված գործողություններ կատարել։

Անվտանգության ընդլայնված Linux (SELinux- ը) Linux-ի միջուկում անվտանգության առաջադեմ մոդուլ է, որը որոշ առումներով նման է AppArmor-ին և հաճախ համեմատվում է դրա հետ: SELinux-ը գերազանցում է AppArmor-ին հզորությամբ, ճկունությամբ և հարմարեցմամբ: Դրա թերություններն են երկար ուսուցման կորը և ավելացված բարդությունը:

Seccomp և seccomp-bpf-ը թույլ է տալիս զտել համակարգային զանգերը, արգելափակել դրանց կատարումը, որոնք պոտենցիալ վտանգավոր են հիմնական ՕՀ-ի համար և անհրաժեշտ չեն օգտատերերի հավելվածների բնականոն աշխատանքի համար: Seccomp-ը որոշ առումներով նման է Falco-ին, թեև չգիտի բեռնարկղերի առանձնահատկությունները:

Sysdig բաց կոդով

• Կայք: www.sysdig.com/opensource
• Լիցենզիա՝ անվճար (Apache)

Sysdig-ը Linux համակարգերի վերլուծության, ախտորոշման և վրիպազերծման ամբողջական գործիք է (աշխատում է նաև Windows-ի և macOS-ի վրա, բայց սահմանափակ գործառույթներով): Այն կարող է օգտագործվել մանրամասն տեղեկատվության հավաքման, ստուգման և դատաբժշկական վերլուծության համար: (դատաբժշկական փորձաքննություն) բազային համակարգը և դրա վրա աշխատող ցանկացած տարա:

Sysdig-ը նաև աջակցում է բեռնարկղերի գործարկման ժամանակներին և Kubernetes-ի մետատվյալներին՝ ավելացնելով լրացուցիչ չափումներ և պիտակներ իր հավաքած համակարգի վարքագծի բոլոր տեղեկություններին: Sysdig-ի միջոցով Kubernetes կլաստերը վերլուծելու մի քանի եղանակ կա. դուք կարող եք կատարել կետը ժամանակի նկարահանում kubectl գրավում կամ գործարկել ncurses-ի վրա հիմնված ինտերակտիվ ինտերֆեյս՝ օգտագործելով plugin-ը kubectl փորել.

Kubernetes ցանցային անվտանգություն

Ապորետո

• Կայք: www.aporeto.com
• Լիցենզիա՝ կոմերցիոն

Aporeto-ն առաջարկում է «անվտանգություն՝ անջատված ցանցից և ենթակառուցվածքից»: Սա նշանակում է, որ Kubernetes ծառայությունները ոչ միայն ստանում են տեղական ID (այսինքն՝ ServiceAccount Kubernetes-ում), այլ նաև ունիվերսալ ID/մատնահետք, որը կարող է օգտագործվել ցանկացած այլ ծառայության հետ ապահով և փոխադարձ հաղորդակցվելու համար, օրինակ՝ OpenShift կլաստերում:

Aporeto-ն ի վիճակի է ստեղծել եզակի ID ոչ միայն Kubernetes/կոնտեյներների, այլ նաև հյուրընկալողների, ամպային գործառույթների և օգտատերերի համար: Կախված այս նույնացուցիչներից և ադմինիստրատորի կողմից սահմանված ցանցի անվտանգության կանոններից, հաղորդակցությունները կթույլատրվեն կամ կարգելափակվեն:

Calico- ն

• Կայք: www.projectcalico.org
• Լիցենզիա՝ անվճար (Apache)

Calico-ն սովորաբար տեղադրվում է կոնտեյներային նվագախմբի տեղադրման ժամանակ՝ թույլ տալով ստեղծել վիրտուալ ցանց, որը փոխկապակցում է բեռնարկղերը: Ի լրումն այս հիմնական ցանցի ֆունկցիոնալության, Calico նախագիծն աշխատում է Kubernetes Network Policies-ի և ցանցի անվտանգության իր սեփական պրոֆիլների հետ, աջակցում է վերջնակետի ACL-ներին (մուտքի վերահսկման ցուցակները) և անոտացիայի վրա հիմնված ցանցի անվտանգության կանոնները Ingress և Egress տրաֆիկի համար:

Ցիլիում

• Կայք: www.cilium.io
• Լիցենզիա՝ անվճար (Apache)

Cilium-ը գործում է որպես կոնտեյներների համար նախատեսված firewall և ապահովում է ցանցի անվտանգության առանձնահատկություններ, որոնք հարմարեցված են Kubernetes-ի և microservices-ի աշխատանքային ծանրաբեռնվածությանը: Cilium-ն օգտագործում է Linux միջուկի նոր տեխնոլոգիա, որը կոչվում է BPF (Berkeley Packet Filter)՝ տվյալները զտելու, վերահսկելու, վերահղելու և ուղղելու համար:

Cilium-ը կարող է կիրառել ցանցի մուտքի քաղաքականություն՝ հիմնված կոնտեյների ID-ների վրա՝ օգտագործելով Docker կամ Kubernetes պիտակներ և մետատվյալներ: Cilium-ը նաև հասկանում և զտում է 7-րդ շերտի տարբեր արձանագրություններ, ինչպիսիք են HTTP-ը կամ gRPC-ն, ինչը թույլ է տալիս սահմանել REST զանգերի մի շարք, որոնք թույլատրվելու են, օրինակ, Kubernetes-ի երկու տեղակայման միջև:

Իստիո

• Կայք: istio.io
• Լիցենզիա՝ անվճար (Apache)

Istio-ն լայնորեն հայտնի է ծառայության ցանցի պարադիգմը կիրառելով` տեղադրելով պլատֆորմից անկախ կառավարման հարթություն և ուղղորդելով ողջ կառավարվող սպասարկման տրաֆիկը դինամիկ կարգավորվող Envoy վստահված անձանց միջոցով: Istio-ն օգտվում է բոլոր միկրոծառայությունների և կոնտեյներների այս առաջադեմ տեսակետից՝ ցանցային անվտանգության տարբեր ռազմավարություններ իրականացնելու համար:

Istio-ի ցանցային անվտանգության հնարավորությունները ներառում են թափանցիկ TLS կոդավորումը՝ միկրոծառայությունների միջև հաղորդակցությունը HTTPS-ի ավտոմատ կերպով թարմացնելու համար, և RBAC նույնականացման և թույլտվության սեփական համակարգ՝ կլաստերի տարբեր աշխատանքային բեռների միջև հաղորդակցությունը թույլատրելու/մերժելու համար:

Նշում. թարգմ.Istio-ի անվտանգության վրա հիմնված հնարավորությունների մասին ավելին իմանալու համար կարդացեք այս հոդվածը.

Վագր

• Կայք: www.tigera.io
• Լիցենզիա՝ կոմերցիոն

Այս լուծումը, որը կոչվում է «Kubernetes Firewall», ընդգծում է ցանցային անվտանգության զրոյական վստահության մոտեցումը:

Kubernetes-ի այլ տեղական ցանցային լուծումների նման, Tigera-ն հենվում է մետատվյալների վրա՝ կլաստերի տարբեր ծառայություններն ու օբյեկտները հայտնաբերելու համար և ապահովում է գործարկման ժամանակի խնդիրների հայտնաբերում, համապատասխանության շարունակական ստուգում և ցանցի տեսանելիություն բազմաբնույթ կամ հիբրիդային մոնոլիտ կոնտեյներային ենթակառուցվածքների համար:

Տրիերմա

• Կայք: www.aporeto.com/opensource
• Լիցենզիա՝ անվճար (Apache)

Trireme-Kubernetes-ը Kubernetes ցանցային քաղաքականության հստակեցման պարզ և պարզ իրականացումն է: Ամենաուշագրավ առանձնահատկությունն այն է, որ, ի տարբերություն Kubernetes ցանցի անվտանգության նմանատիպ արտադրանքների, այն չի պահանջում կենտրոնական կառավարման հարթություն ցանցը համակարգելու համար: Սա լուծումը դարձնում է աննշան մասշտաբային: Trireme-ում դա ձեռք է բերվում յուրաքանչյուր հանգույցի վրա գործակալ տեղադրելով, որն ուղղակիորեն միանում է հյուրընկալողի TCP/IP ստեկին:

Պատկերների տարածում և գաղտնիքների կառավարում

Գրաֆեաներ

• Կայք: grafeas.io
• Լիցենզիա՝ անվճար (Apache)

Grafeas-ը բաց կոդով API է ծրագրային ապահովման մատակարարման շղթայի աուդիտի և կառավարման համար: Հիմնական մակարդակում Grafeas-ը մետատվյալների և աուդիտի արդյունքների հավաքագրման գործիք է: Այն կարող է օգտագործվել կազմակերպության ներսում անվտանգության լավագույն փորձին համապատասխանությանը հետևելու համար:

Ճշմարտության այս կենտրոնացված աղբյուրը օգնում է պատասխանել այնպիսի հարցերի, ինչպիսիք են.

• Ո՞վ է հավաքել և ստորագրել որոշակի կոնտեյների համար:
• Արդյո՞ք այն անցել է անվտանգության քաղաքականության պահանջվող բոլոր անվտանգության ստուգումները և ստուգումները: Երբ? Ի՞նչ արդյունքներ եղան։
• Ո՞վ է այն գործարկել արտադրության մեջ: Ի՞նչ կոնկրետ պարամետրեր են օգտագործվել տեղակայման ժամանակ:

In-toto

• Կայք: in-toto.github.io
• Լիցենզիա՝ անվճար (Apache)

In-toto-ն շրջանակ է, որը նախատեսված է ծրագրային ապահովման մատակարարման ողջ շղթայի ամբողջականությունը, իսկությունը և աուդիտ ապահովելու համար: Ենթակառուցվածքում In-toto տեղակայելիս նախ սահմանվում է պլան, որը նկարագրում է խողովակաշարի տարբեր քայլերը (պահեստ, CI/CD գործիքներ, ՈԱ գործիքներ, արտեֆակտ հավաքողներ և այլն) և օգտագործողներին (պատասխանատու անձինք), որոնց թույլատրվում է. նախաձեռնել դրանք:

In-toto-ն վերահսկում է պլանի կատարումը՝ ստուգելով, որ շղթայի յուրաքանչյուր առաջադրանք պատշաճ կերպով կատարվում է միայն լիազորված անձնակազմի կողմից, և որ շարժման ընթացքում արտադրանքի հետ չարտոնված մանիպուլյացիաներ չեն իրականացվել:

Պորտիերիս

• Կայք: github.com/IBM/portieris
• Լիցենզիա՝ անվճար (Apache)

Portieris-ը Kubernetes-ի ընդունելության վերահսկիչ է. օգտագործվում է բովանդակության վստահության ստուգումներ իրականացնելու համար: Portieris-ը օգտագործում է սերվեր Նոտարական (վերջում գրել ենք նրա մասին այս հոդվածը - մոտ. թարգմանություն) որպես ճշմարտության աղբյուր՝ վստահելի և ստորագրված արտեֆակտները (այսինքն՝ հաստատված կոնտեյների պատկերները) վավերացնելու համար։

Երբ Kubernetes-ում աշխատանքային ծանրաբեռնվածություն է ստեղծվում կամ փոփոխվում, Portieris-ը ներբեռնում է ստորագրման տեղեկատվության և բովանդակության վստահության քաղաքականությունը պահանջվող կոնտեյների պատկերների համար և, անհրաժեշտության դեպքում, անմիջապես փոփոխություններ է կատարում JSON API օբյեկտում՝ այդ պատկերների ստորագրված տարբերակները գործարկելու համար:

Կամար

• Կայք: www.vaultproject.io
• Լիցենզիա՝ անվճար (MPL)

Vault-ը անվտանգ լուծում է անձնական տեղեկատվության պահպանման համար՝ գաղտնաբառեր, OAuth նշաններ, PKI վկայագրեր, մուտքի հաշիվներ, Kubernetes գաղտնիքներ և այլն: Vault-ն աջակցում է բազմաթիվ առաջադեմ առանձնահատկություններ, ինչպիսիք են անվտանգության ժամանակավոր նշանների վարձակալումը կամ բանալիների ռոտացիայի կազմակերպումը:

Օգտագործելով Helm աղյուսակը, Vault-ը կարող է տեղակայվել որպես նոր տեղակայում Kubernetes կլաստերում, որտեղ Consul-ը որպես հետին պահեստային պահոց: Այն աջակցում է հայրենի Kubernetes ռեսուրսներին, ինչպիսիք են ServiceAccount նշանները և կարող է նույնիսկ գործել որպես Kubernetes գաղտնիքների լռելյայն պահեստ:

Նշում. թարգմ.Ի դեպ, հենց երեկ HashiCorp ընկերությունը, որը մշակում է Vault-ը, հայտարարեց Kubernetes-ում Vault-ի օգտագործման որոշ բարելավումների մասին, և մասնավորապես դրանք վերաբերում են Helm աղյուսակին: Կարդալ ավելին մշակողի բլոգ.

Kubernetes անվտանգության աուդիտ

Կուբե-պահեստային

• Կայք: github.com/aquasecurity/kube-bench
• Լիցենզիա՝ անվճար (Apache)

Kube-bench-ը Go հավելված է, որը ստուգում է, թե արդյոք Kubernetes-ը ապահով է տեղակայվել՝ ցուցակից թեստերի միջոցով։ ԱՊՀ Kubernetes ուղենիշ.

Kube-bench-ը փնտրում է անապահով կազմաձևման կարգավորումներ կլաստերի բաղադրիչների միջև (etcd, API, վերահսկիչի կառավարիչ և այլն), կասկածելի ֆայլերի մուտքի իրավունքներ, անպաշտպան հաշիվներ կամ բաց նավահանգիստներ, ռեսուրսների քվոտաներ, API-ի զանգերի քանակը սահմանափակելու կարգավորումներ՝ DoS հարձակումներից պաշտպանվելու համար: և այլն։

Կուբե-որսորդ

• Կայք: github.com/aquasecurity/kube-hunter
• Լիցենզիա՝ անվճար (Apache)

Kube-hunter-ը փնտրում է պոտենցիալ խոցելիություններ (օրինակ՝ հեռակա կոդի կատարումը կամ տվյալների բացահայտումը) Kubernetes կլաստերներում: Kube-hunter-ը կարող է գործարկվել որպես հեռակառավարվող սկաներ, որի դեպքում այն ​​կգնահատի կլաստերը երրորդ կողմի հարձակվողի տեսանկյունից, կամ որպես պատիճ կլաստերի ներսում:

Kube-hunter-ի տարբերակիչ առանձնահատկությունը նրա «ակտիվ որսի» ռեժիմն է, որի ընթացքում նա ոչ միայն հայտնում է խնդիրների մասին, այլև փորձում է օգտվել թիրախային կլաստերում հայտնաբերված խոցելիություններից, որոնք կարող են վնասել դրա գործունեությանը: Այնպես որ, օգտագործեք զգուշությամբ:

Kubeaudit

• Կայք: github.com/Shopify/kubeaudit
• Լիցենզիա՝ անվճար (MIT)

Kubeaudit-ը կոնսոլային գործիք է, որն ի սկզբանե մշակվել է Shopify-ում՝ անվտանգության տարբեր խնդիրների համար Kubernetes-ի կոնֆիգուրացիան ստուգելու համար: Օրինակ՝ այն օգնում է բացահայտել բեռնարկղերը, որոնք աշխատում են անսահմանափակ, աշխատում են որպես root, չարաշահում են արտոնությունները կամ օգտագործում են լռելյայն ServiceAccount-ը:

Kubeaudit-ն ունի այլ հետաքրքիր առանձնահատկություններ. Օրինակ, այն կարող է վերլուծել տեղական YAML ֆայլերը, բացահայտել կազմաձևման թերությունները, որոնք կարող են հանգեցնել անվտանգության խնդիրների և ինքնաբերաբար շտկել դրանք:

Կուբեսեց

• Կայք: kubesec.io
• Լիցենզիա՝ անվճար (Apache)

Kubesec-ը հատուկ գործիք է, որով ուղղակիորեն սկանավորում է YAML ֆայլերը, որոնք նկարագրում են Kubernetes-ի ռեսուրսները՝ փնտրելով թույլ պարամետրեր, որոնք կարող են ազդել անվտանգության վրա:

Օրինակ՝ այն կարող է հայտնաբերել փոդին տրված չափից դուրս արտոնություններ և թույլտվություններ, որպես կանխադրված օգտատեր գործարկել կոնտեյներ, որը միանում է հյուրընկալողի ցանցի անվանատարածքին կամ վտանգավոր մոնտաժներ, ինչպիսիք են. /proc հյուրընկալող կամ Docker վարդակից: Kubesec-ի մեկ այլ հետաքրքիր առանձնահատկություն է առցանց հասանելի ցուցադրական ծառայությունը, որի մեջ կարող եք վերբեռնել YAML և անմիջապես վերլուծել այն:

Բաց քաղաքականության գործակալ

• Կայք: www.openpolicyagent.org
• Լիցենզիա՝ անվճար (Apache)

OPA-ի (Open Policy Agent) հայեցակարգը անվտանգության քաղաքականության և անվտանգության լավագույն փորձի անջատումն է կոնկրետ գործարկման հարթակից՝ Docker, Kubernetes, Mesosphere, OpenShift կամ դրանց ցանկացած համակցություն:

Օրինակ, դուք կարող եք տեղակայել OPA-ն որպես Kubernetes ընդունման վերահսկիչի հետին պլան՝ նրան փոխանցելով անվտանգության որոշումները: Այս կերպ, OPA գործակալը կարող է վավերացնել, մերժել և նույնիսկ փոփոխել հարցումները անմիջապես՝ ապահովելով, որ նշված անվտանգության պարամետրերը բավարարված են: OPA-ի անվտանգության քաղաքականությունը գրված է իր սեփական DSL լեզվով՝ Rego-ով:

Նշում. թարգմ.Մենք ավելին գրել ենք OPA-ի (և SPIFFE) մասին այս իրերը.

Համապարփակ կոմերցիոն գործիքներ Kubernetes-ի անվտանգության վերլուծության համար

Մենք որոշեցինք ստեղծել առանձին կատեգորիա առևտրային հարթակների համար, քանի որ դրանք սովորաբար ընդգրկում են անվտանգության բազմաթիվ ոլորտներ: Նրանց հնարավորությունների մասին ընդհանուր պատկերացում կարելի է ստանալ աղյուսակից.

* Ընդլայնված փորձաքննություն և հետմահու վերլուծություն՝ ամբողջական համակարգային զանգերի առևանգում.

Aqua Security

• Կայք: www.aquasec.com
• Լիցենզիա՝ կոմերցիոն

Այս առևտրային գործիքը նախատեսված է բեռնարկղերի և ամպային ծանրաբեռնվածության համար: Այն ապահովում է.

• Պատկերի սկանավորում՝ ինտեգրված կոնտեյների ռեեստրի կամ CI/CD խողովակաշարի հետ;
• Runtime պաշտպանություն բեռնարկղերում փոփոխությունների և այլ կասկածելի գործողությունների որոնմամբ.
• Կոնտեյներ-հայրենի firewall;
• Անվտանգություն առանց սերվերի ամպային ծառայություններում;
• Համապատասխանության փորձարկում և աուդիտ՝ համակցված իրադարձությունների գրանցման հետ:

Նշում. թարգմ.Հարկ է նաև նշել, որ կան ապրանքի ազատ բաղադրիչը կոչվում է MicroScanner, որը թույլ է տալիս սկանավորել կոնտեյների պատկերները խոցելիության համար: Ներկայացված է դրա հնարավորությունների համեմատությունը վճարովի տարբերակների հետ այս աղյուսակը.

Պարկուճ 8

• Կայք: capsule8.com
• Լիցենզիա՝ կոմերցիոն

Capsule8-ը ինտեգրվում է ենթակառուցվածքին՝ տեղադրելով դետեկտորը տեղական կամ ամպային Kubernetes կլաստերի վրա: Այս դետեկտորը հավաքում է հյուրընկալող և ցանցային հեռաչափությունը՝ այն փոխկապակցելով տարբեր տեսակի հարձակումների հետ:

Capsule8 թիմն իր խնդիրն է տեսնում հարձակումների վաղ հայտնաբերումն ու կանխարգելումը նորի միջոցով (0 օր) խոցելիություններ. Capsule8-ը կարող է ներբեռնել անվտանգության թարմացված կանոնները անմիջապես դետեկտորներում՝ ի պատասխան նոր հայտնաբերված սպառնալիքների և ծրագրային ապահովման խոցելիության:

Կավիրին

• Կայք: www.cavirin.com
• Լիցենզիա՝ կոմերցիոն

Cavirin-ը հանդես է գալիս որպես ընկերության կողմից կապալառու տարբեր գործակալությունների համար, որոնք ներգրավված են անվտանգության չափանիշներին: Այն ոչ միայն կարող է սկանավորել պատկերները, այլև կարող է ինտեգրվել CI/CD խողովակաշարին՝ արգելափակելով ոչ ստանդարտ պատկերները, նախքան դրանք փակ պահեստներ մտնելը:

Cavirin-ի անվտանգության հավաքածուն օգտագործում է մեքենայական ուսուցում՝ գնահատելու ձեր կիբերանվտանգության կեցվածքը՝ առաջարկելով խորհուրդներ՝ բարելավելու անվտանգությունը և բարելավել անվտանգության չափանիշներին համապատասխանությունը:

Google Cloud Security Command Center

• Կայք: cloud.google.com/security-command-center
• Լիցենզիա՝ կոմերցիոն

Cloud Security Command Center-ն օգնում է անվտանգության թիմերին հավաքել տվյալներ, բացահայտել սպառնալիքները և վերացնել դրանք՝ նախքան դրանք վնասել ընկերությանը:

Ինչպես անունն է հուշում, Google Cloud SCC-ը միասնական կառավարման վահանակ է, որը կարող է ինտեգրել և կառավարել մի շարք անվտանգության հաշվետվություններ, ակտիվների հաշվառման շարժիչներ և երրորդ կողմի անվտանգության համակարգեր մեկ կենտրոնացված աղբյուրից:

Google Cloud SCC-ի կողմից առաջարկվող փոխգործունակ API-ն հեշտացնում է անվտանգության միջոցառումների ինտեգրումը, որոնք գալիս են տարբեր աղբյուրներից, ինչպիսիք են Sysdig Secure-ը (կոնտեյների անվտանգությունը ամպի բնիկ հավելվածների համար) կամ Falco-ն (բաց կոդով գործարկման ժամանակի անվտանգություն):

Շերտավոր պատկերացում (Qualys)

• Կայք: layeredinsight.com
• Լիցենզիա՝ կոմերցիոն

Layered Insight-ը (այժմ Qualys Inc-ի մաս) կառուցված է «ներկառուցված անվտանգության» հայեցակարգի վրա: Վիճակագրական վերլուծության և CVE ստուգումների միջոցով բնօրինակ պատկերը խոցելիության սկանավորումից հետո Layered Insight-ը այն փոխարինում է գործիքավորված պատկերով, որը ներառում է գործակալը որպես երկուական:

Այս գործակալը պարունակում է գործարկման ժամանակի անվտանգության թեստեր՝ վերլուծելու կոնտեյներային ցանցի տրաֆիկը, I/O հոսքերը և կիրառական գործունեությունը: Բացի այդ, այն կարող է կատարել անվտանգության լրացուցիչ ստուգումներ, որոնք նշված են ենթակառուցվածքի ադմինիստրատորի կամ DevOps թիմերի կողմից:

NeuVector

• Կայք: neuvector.com
• Լիցենզիա՝ կոմերցիոն

NeuVector-ը ստուգում է կոնտեյների անվտանգությունը և ապահովում է գործարկման ժամանակի պաշտպանություն՝ վերլուծելով ցանցի գործունեությունը և հավելվածի վարքագիծը՝ ստեղծելով անհատական ​​անվտանգության պրոֆիլ յուրաքանչյուր կոնտեյների համար: Այն կարող է նաև ինքնուրույն արգելափակել սպառնալիքները՝ մեկուսացնելով կասկածելի գործողությունները՝ փոխելով տեղական firewall կանոնները:

NeuVector-ի ցանցային ինտեգրումը, որը հայտնի է որպես Security Mesh, ի վիճակի է խորը փաթեթների վերլուծության և 7-րդ շերտի զտման ծառայության ցանցի բոլոր ցանցային միացումների համար:

StackRox

• Կայք: www.stackrox.com
• Լիցենզիա՝ կոմերցիոն

StackRox կոնտեյներների անվտանգության հարթակը ձգտում է ծածկել Kubernetes հավելվածների ողջ կյանքի ցիկլը կլաստերի մեջ: Ինչպես այս ցուցակի մյուս առևտրային հարթակները, StackRox-ը ստեղծում է գործարկման ժամանակի պրոֆիլ՝ հիմնված կոնտեյների դիտարկված վարքագծի վրա և ավտոմատ կերպով ահազանգում է ցանկացած շեղումների համար:

Բացի այդ, StackRox-ը վերլուծում է Kubernetes-ի կոնֆիգուրացիաները՝ օգտագործելով Kubernetes CIS-ը և այլ կանոնակարգեր՝ բեռնարկղերի համապատասխանությունը գնահատելու համար:

Sysdig Secure

• Կայք: sysdig.com/products/secure
• Լիցենզիա՝ կոմերցիոն

Sysdig Secure-ը պաշտպանում է հավելվածները ողջ կոնտեյների և Kubernetes-ի կյանքի ցիկլի ընթացքում: Նա սկանավորում է պատկերները տարաներ, ապահովում է գործարկման ժամանակի պաշտպանություն ըստ մեքենայական ուսուցման տվյալների, կատարում է կրեմ. փորձաքննություն՝ բացահայտելու խոցելիությունը, արգելափակում է սպառնալիքները, մոնիտորինգը սահմանված չափանիշներին համապատասխանելը և միկրոծառայություններում աուդիտի գործունեությունը:

Sysdig Secure-ը ինտեգրվում է CI/CD գործիքների հետ, ինչպիսիք են Jenkins-ը և վերահսկում է Docker ռեգիստրներից բեռնված պատկերները՝ կանխելով վտանգավոր պատկերների հայտնվելը արտադրության մեջ: Այն նաև ապահովում է գործարկման ժամանակի համապարփակ անվտանգություն, ներառյալ՝

• ML-ի վրա հիմնված գործարկման ժամանակի պրոֆիլավորում և անոմալիաների հայտնաբերում;
• Համակարգային իրադարձությունների, K8s-աուդիտի API-ի, համատեղ համայնքային նախագծերի (FIM - ֆայլերի ամբողջականության մոնիտորինգ, կրիպտոժքինգ) և շրջանակի վրա հիմնված գործարկման քաղաքականություն MITER AT&CK;
• միջադեպերի արձագանքը և լուծումը.

Պայմանական կոնտեյների անվտանգություն

• Կայք: www.tenable.com/products/tenable-io/container-security
• Լիցենզիա՝ կոմերցիոն

Մինչ բեռնարկղերի հայտնվելը, Tenable-ը լայնորեն հայտնի էր արդյունաբերության մեջ որպես Nessus-ի ետևում գտնվող ընկերություն, որը հայտնի խոցելիության որսի և անվտանգության աուդիտի գործիք է:

Tenable Container Security-ն օգտագործում է ընկերության համակարգչային անվտանգության փորձը, որպեսզի ինտեգրվի CI/CD խողովակաշարը խոցելիության տվյալների բազաների, չարամիտ ծրագրերի հայտնաբերման մասնագիտացված փաթեթների և անվտանգության սպառնալիքների լուծման վերաբերյալ առաջարկությունների հետ:

Twistlock (Palo Alto Networks)

• Կայք: www.twistlock.com
• Լիցենզիա՝ կոմերցիոն

Twistlock-ը իրեն գովազդում է որպես հարթակ, որը կենտրոնացած է ամպային ծառայությունների և բեռնարկղերի վրա: Twistlock-ն աջակցում է տարբեր ամպային պրովայդերների (AWS, Azure, GCP), կոնտեյներային խմբավարներին (Kubernetes, Mesospehere, OpenShift, Docker), առանց սերվերի գործարկման ժամանակներին, ցանցային շրջանակներին և CI/CD գործիքներին:

Ի լրումն սովորական ձեռնարկության կարգի անվտանգության տեխնիկայի, ինչպիսիք են CI/CD խողովակաշարի ինտեգրումը կամ պատկերի սկանավորումը, Twistlock-ն օգտագործում է մեքենայական ուսուցում` կոնտեյների հատուկ վարքագծային օրինաչափություններ և ցանցային կանոններ ստեղծելու համար:

Որոշ ժամանակ առաջ Twistlock-ը գնեց Palo Alto Networks-ը, որին պատկանում են Evident.io և RedLock նախագծերը։ Դեռ հայտնի չէ, թե կոնկրետ ինչպես են ինտեգրվելու այս երեք հարթակները PRISM Պալո Ալտոյից։

Օգնեք ստեղծել Kubernetes անվտանգության գործիքների լավագույն կատալոգը:

Մենք ձգտում ենք այս կատալոգը հնարավորինս ամբողջական դարձնել, և դրա համար մենք ձեր օգնության կարիքն ունենք: Կապվեք մեզ հետ (@sysdig) եթե մտքում ունեք հիանալի գործիք, որն արժանի է ներառվելու այս ցանկում, կամ գտնում եք սխալ/հնացած տեղեկատվություն:

Կարող եք նաև բաժանորդագրվել մեր ամսական տեղեկագիր ամպային հայրենի էկոհամակարգի նորություններով և Kubernetes անվտանգության աշխարհի հետաքրքիր նախագծերի մասին պատմություններով:

PS թարգմանչից

Կարդացեք նաև մեր բլոգում.

• «Անվտանգության մասնագետների համար Kubernetes ցանցային քաղաքականության ներածություն";
• «Docker-ը և Kubernetes-ը անվտանգության զգայուն միջավայրերում";
• «9 Kubernetes անվտանգության լավագույն փորձ";
• «Kubernetes-ի հաքի զոհ (չ) դառնալու 11 եղանակ";
• «OPA-ն և SPIFFE-ը CNCF-ի երկու նոր նախագծեր են՝ ամպային հավելվածների անվտանգության համար.

Source: www.habr.com