33+ alat keamanan Kubernetes

Catatan. terjemahan: Jika Anda bertanya-tanya tentang keamanan dalam infrastruktur berbasis Kubernetes, ikhtisar luar biasa dari Sysdig ini adalah titik awal yang bagus untuk melihat sekilas solusi saat ini. Ini mencakup sistem kompleks dari pelaku pasar terkenal dan utilitas yang jauh lebih sederhana yang memecahkan masalah tertentu. Dan di komentar, seperti biasa, kami akan senang mendengar pengalaman Anda menggunakan alat ini dan melihat tautan ke proyek lain.

Produk perangkat lunak keamanan Kubernetes... ada banyak sekali, masing-masing memiliki tujuan, cakupan, dan lisensinya sendiri.

Itu sebabnya kami memutuskan untuk membuat daftar ini dan menyertakan proyek sumber terbuka dan platform komersial dari vendor berbeda. Kami berharap ini akan membantu Anda mengidentifikasi hal-hal yang paling menarik dan mengarahkan Anda ke arah yang benar berdasarkan kebutuhan keamanan spesifik Kubernetes Anda.

Kategori

Untuk membuat daftar lebih mudah dinavigasi, alat-alat tersebut disusun berdasarkan fungsi utama dan aplikasi. Bagian berikut diperoleh:

• Pemindaian gambar Kubernetes dan analisis statis;
• Keamanan waktu proses;
• Keamanan jaringan Kubernetes;
• Distribusi gambar dan pengelolaan rahasia;
• Audit keamanan Kubernetes;
• Produk komersial yang komprehensif.

Mari kita mulai berbisnis:

Memindai gambar Kubernetes

Jangkar

• Situs web: jangkar.com
• Lisensi: gratis (Apache) dan penawaran komersial

Anchore menganalisis gambar kontainer dan mengizinkan pemeriksaan keamanan berdasarkan kebijakan yang ditentukan pengguna.

Selain pemindaian gambar kontainer yang biasa untuk mengetahui kerentanan yang diketahui dari database CVE, Anchore melakukan banyak pemeriksaan tambahan sebagai bagian dari kebijakan pemindaiannya: memeriksa Dockerfile, kebocoran kredensial, paket bahasa pemrograman yang digunakan (npm, maven, dll.) .), lisensi perangkat lunak dan banyak lagi.

Jelas

• Situs web: coreos.com/clair (sekarang di bawah pengawasan Red Hat)
• Lisensi: gratis (Apache)

Clair adalah salah satu proyek Open Source pertama untuk pemindaian gambar. Ini dikenal luas sebagai pemindai keamanan di balik registri gambar Quay (juga dari CoreOS - kira-kira. terjemahan). Clair dapat mengumpulkan informasi CVE dari berbagai sumber, termasuk daftar kerentanan khusus distribusi Linux yang dikelola oleh tim keamanan Debian, Red Hat, atau Ubuntu.

Berbeda dengan Anchore, Clair fokus utamanya mencari kerentanan dan mencocokkan data dengan CVE. Namun, produk ini menawarkan kepada pengguna beberapa peluang untuk memperluas fungsi menggunakan driver plug-in.

dagda

• Situs web: github.com/eliasgranderubio/dagda
• Lisensi: gratis (Apache)

Dagda melakukan analisis statis terhadap gambar kontainer untuk mengetahui kerentanan yang diketahui, Trojan, virus, malware, dan ancaman lainnya.

Dua fitur penting yang membedakan Dagda dari alat serupa lainnya:

• Ini terintegrasi sempurna dengan ClamAV, bertindak tidak hanya sebagai alat untuk memindai gambar kontainer, tetapi juga sebagai antivirus.
• Juga memberikan perlindungan runtime dengan menerima kejadian real-time dari daemon Docker dan berintegrasi dengan Falco (Lihat di bawah) untuk mengumpulkan kejadian keamanan saat container sedang berjalan.

KubeXray

• Situs web: github.com/jfrog/kubexray
• Lisensi: Gratis (Apache), tetapi memerlukan data dari JFrog Xray (produk komersial)

KubeXray mendengarkan kejadian dari server API Kubernetes dan menggunakan metadata dari JFrog Xray untuk memastikan bahwa hanya pod yang cocok dengan kebijakan saat ini yang diluncurkan.

KubeXray tidak hanya mengaudit container baru atau yang diperbarui dalam penerapan (mirip dengan pengontrol penerimaan di Kubernetes), tetapi juga secara dinamis memeriksa kepatuhan container yang berjalan terhadap kebijakan keamanan baru, menghapus sumber daya yang mereferensikan gambar yang rentan.

Snyk

• Situs web: snyk.io
• Lisensi: versi gratis (Apache) dan komersial

Snyk adalah pemindai kerentanan yang tidak biasa karena secara khusus menargetkan proses pengembangan dan dipromosikan sebagai "solusi penting" bagi pengembang.

Snyk terhubung langsung ke repositori kode, mem-parsing manifes proyek dan menganalisis kode yang diimpor bersama dengan ketergantungan langsung dan tidak langsung. Snyk mendukung banyak bahasa pemrograman populer dan dapat mengidentifikasi risiko lisensi yang tersembunyi.

Sepele

• Situs web: github.com/knqyf263/trivy
• Lisensi: gratis (AGPL)

Trivy adalah pemindai kerentanan yang sederhana namun kuat untuk container yang mudah diintegrasikan ke dalam pipeline CI/CD. Fitur utamanya adalah kemudahan instalasi dan pengoperasian: aplikasi terdiri dari biner tunggal dan tidak memerlukan instalasi database atau perpustakaan tambahan.

Kelemahan dari kesederhanaan Trivy adalah Anda harus mengetahui cara mengurai dan meneruskan hasilnya dalam format JSON sehingga alat keamanan Kubernetes lainnya dapat menggunakannya.

Keamanan runtime di Kubernetes

Falco

• Situs web: falco.org
• Lisensi: gratis (Apache)

Falco adalah seperangkat alat untuk mengamankan lingkungan runtime cloud. Bagian dari keluarga proyek CNCF.

Dengan menggunakan perkakas tingkat kernel Linux dan pembuatan profil panggilan sistem dari Sysdig, Falco memungkinkan Anda mendalami perilaku sistem. Mesin aturan runtime-nya mampu mendeteksi aktivitas mencurigakan dalam aplikasi, container, host yang mendasarinya, dan orkestrator Kubernetes.

Falco memberikan transparansi penuh dalam runtime dan deteksi ancaman dengan mengerahkan agen khusus pada node Kubernetes untuk tujuan ini. Hasilnya, tidak perlu memodifikasi container dengan memasukkan kode pihak ketiga ke dalamnya atau menambahkan container sidecar.

Kerangka kerja keamanan Linux untuk runtime

Kerangka kerja asli untuk kernel Linux ini bukanlah “alat keamanan Kubernetes” dalam pengertian tradisional, namun layak untuk disebutkan karena merupakan elemen penting dalam konteks keamanan runtime, yang termasuk dalam Kebijakan Keamanan Pod Kubernetes (PSP).

AppArmor melampirkan profil keamanan ke proses yang berjalan di wadah, menentukan hak istimewa sistem file, aturan akses jaringan, menghubungkan perpustakaan, dll. Ini adalah sistem berdasarkan Mandatory Access Control (MAC). Dengan kata lain, hal ini mencegah dilakukannya tindakan yang dilarang.

Linux dengan Keamanan yang Ditingkatkan (SELinux) adalah modul keamanan tingkat lanjut di kernel Linux, serupa dalam beberapa aspek dengan AppArmor dan sering dibandingkan dengannya. SELinux lebih unggul dari AppArmor dalam hal kekuatan, fleksibilitas, dan penyesuaian. Kerugiannya adalah kurva belajar yang panjang dan kompleksitas yang meningkat.

Secomp dan seccomp-bpf memungkinkan Anda memfilter panggilan sistem, memblokir eksekusi panggilan yang berpotensi berbahaya bagi OS dasar dan tidak diperlukan untuk pengoperasian normal aplikasi pengguna. Seccomp mirip dengan Falco dalam beberapa hal, meskipun tidak mengetahui secara spesifik containernya.

Sumber terbuka Sysdig

• Situs web: www.sysdig.com/opensource
• Lisensi: gratis (Apache)

Sysdig adalah alat lengkap untuk menganalisis, mendiagnosis, dan men-debug sistem Linux (juga berfungsi pada Windows dan macOS, tetapi dengan fungsi terbatas). Ini dapat digunakan untuk pengumpulan informasi rinci, verifikasi dan analisis forensik. (forensik) sistem dasar dan semua container yang berjalan di atasnya.

Sysdig juga mendukung runtime container dan metadata Kubernetes, menambahkan dimensi dan label tambahan ke semua informasi perilaku sistem yang dikumpulkannya. Ada beberapa cara untuk menganalisis cluster Kubernetes menggunakan Sysdig: Anda dapat melakukan pengambilan point-in-time melalui tangkapan kubectl atau luncurkan antarmuka interaktif berbasis ncurses menggunakan plugin penggalian kubectl.

Keamanan Jaringan Kubernetes

Aporeto

• Situs web: www.aporeto.com
• Lisensi: komersial

Aporeto menawarkan "keamanan yang terpisah dari jaringan dan infrastruktur." Artinya, layanan Kubernetes tidak hanya menerima ID lokal (yaitu ServiceAccount di Kubernetes), namun juga ID universal/sidik jari yang dapat digunakan untuk berkomunikasi secara aman dan saling menguntungkan dengan layanan lain, misalnya dalam cluster OpenShift.

Aporeto mampu menghasilkan ID unik tidak hanya untuk Kubernetes/container, tetapi juga untuk host, fungsi cloud, dan pengguna. Bergantung pada pengidentifikasi ini dan seperangkat aturan keamanan jaringan yang ditetapkan oleh administrator, komunikasi akan diizinkan atau diblokir.

Belacu

• Situs web: www.projectcalico.org
• Lisensi: gratis (Apache)

Calico biasanya diterapkan selama instalasi orkestrator kontainer, memungkinkan Anda membuat jaringan virtual yang menghubungkan kontainer. Selain fungsionalitas jaringan dasar ini, proyek Calico bekerja dengan Kebijakan Jaringan Kubernetes dan serangkaian profil keamanan jaringannya sendiri, mendukung ACL titik akhir (daftar kontrol akses) dan aturan keamanan jaringan berbasis anotasi untuk lalu lintas Ingress dan Egress.

silia

• Situs web: www.cilium.io
• Lisensi: gratis (Apache)

Cilium bertindak sebagai firewall untuk container dan menyediakan fitur keamanan jaringan yang disesuaikan dengan beban kerja Kubernetes dan layanan mikro. Cilium menggunakan teknologi kernel Linux baru yang disebut BPF (Berkeley Packet Filter) untuk memfilter, memantau, mengarahkan ulang, dan mengoreksi data.

Cilium mampu menerapkan kebijakan akses jaringan berdasarkan ID kontainer menggunakan label dan metadata Docker atau Kubernetes. Cilium juga memahami dan memfilter berbagai protokol Layer 7 seperti HTTP atau gRPC, sehingga memungkinkan Anda menentukan serangkaian panggilan REST yang akan diizinkan antara dua penerapan Kubernetes, misalnya.

Istio

• Situs web: istio.io
• Lisensi: gratis (Apache)

Istio dikenal luas karena mengimplementasikan paradigma mesh layanan dengan menerapkan bidang kontrol yang tidak bergantung pada platform dan merutekan semua lalu lintas layanan yang dikelola melalui proxy Envoy yang dapat dikonfigurasi secara dinamis. Istio memanfaatkan pandangan lanjutan dari semua layanan mikro dan container untuk menerapkan berbagai strategi keamanan jaringan.

Kemampuan keamanan jaringan Istio mencakup enkripsi TLS transparan untuk secara otomatis meningkatkan komunikasi antara layanan mikro ke HTTPS, dan sistem identifikasi dan otorisasi RBAC yang dipatenkan untuk mengizinkan/menolak komunikasi antara beban kerja yang berbeda dalam cluster.

Catatan. terjemahan: Untuk mempelajari lebih lanjut tentang kemampuan Istio yang berfokus pada keamanan, baca Artikel ini.

Harimau

• Situs web: www.tigera.io
• Lisensi: komersial

Disebut “Kubernetes Firewall,” solusi ini menekankan pendekatan zero-trust terhadap keamanan jaringan.

Mirip dengan solusi jaringan asli Kubernetes lainnya, Tigera mengandalkan metadata untuk mengidentifikasi berbagai layanan dan objek di cluster dan menyediakan deteksi masalah runtime, pemeriksaan kepatuhan berkelanjutan, dan visibilitas jaringan untuk infrastruktur multi-cloud atau hybrid monolitik-containerized.

Trireme

• Situs web: www.aporeto.com/opensource
• Lisensi: gratis (Apache)

Trireme-Kubernetes adalah implementasi spesifikasi Kebijakan Jaringan Kubernetes yang sederhana dan mudah. Fitur yang paling menonjol adalah - tidak seperti produk keamanan jaringan Kubernetes serupa - fitur ini tidak memerlukan bidang kendali pusat untuk mengoordinasikan mesh. Hal ini membuat solusi menjadi mudah untuk diukur. Di Trireme, hal ini dicapai dengan menginstal agen pada setiap node yang terhubung langsung ke tumpukan TCP/IP host.

Propagasi Gambar dan Manajemen Rahasia

Grafea

• Situs web: grafeas.io
• Lisensi: gratis (Apache)

Grafeas adalah API sumber terbuka untuk audit dan manajemen rantai pasokan perangkat lunak. Pada tingkat dasar, Grafeas adalah alat untuk mengumpulkan metadata dan temuan audit. Ini dapat digunakan untuk melacak kepatuhan terhadap praktik terbaik keamanan dalam suatu organisasi.

Sumber kebenaran terpusat ini membantu menjawab pertanyaan seperti:

• Siapa yang mengumpulkan dan menandatangani wadah tertentu?
• Apakah sudah melewati semua pemindaian dan pemeriksaan keamanan yang diwajibkan oleh kebijakan keamanan? Kapan? Apa hasilnya?
• Siapa yang menerapkannya ke produksi? Parameter spesifik apa yang digunakan selama penerapan?

Di toto

• Situs web: di-toto.github.io
• Lisensi: gratis (Apache)

In-toto adalah kerangka kerja yang dirancang untuk memberikan integritas, otentikasi, dan audit seluruh rantai pasokan perangkat lunak. Saat menerapkan In-toto di infrastruktur, rencana pertama kali ditentukan yang menjelaskan berbagai langkah dalam pipeline (repositori, alat CI/CD, alat QA, pengumpul artefak, dll.) dan pengguna (orang yang bertanggung jawab) yang diizinkan untuk memulainya.

In-toto memantau pelaksanaan rencana, memverifikasi bahwa setiap tugas dalam rantai dilakukan dengan benar hanya oleh personel yang berwenang dan tidak ada manipulasi tidak sah yang dilakukan terhadap produk selama pergerakan.

Portieris

• Situs web: github.com/IBM/portieris
• Lisensi: gratis (Apache)

Portieris adalah pengontrol penerimaan untuk Kubernetes; digunakan untuk menerapkan pemeriksaan kepercayaan konten. Portieris menggunakan server Notaris (kami menulis tentang dia di akhir artikel ini - kira-kira. terjemahan) sebagai sumber kebenaran untuk memvalidasi artefak yang tepercaya dan ditandatangani (yaitu gambar container yang disetujui).

Saat beban kerja dibuat atau dimodifikasi di Kubernetes, Portieris mengunduh informasi penandatanganan dan kebijakan kepercayaan konten untuk image container yang diminta dan, jika perlu, membuat perubahan saat itu juga pada objek API JSON untuk menjalankan versi yang ditandatangani dari image tersebut.

Kubah

• Situs web: www.vaultproject.io
• Lisensi: gratis (MPL)

Vault adalah solusi aman untuk menyimpan informasi pribadi: kata sandi, token OAuth, sertifikat PKI, akun akses, rahasia Kubernetes, dll. Vault mendukung banyak fitur lanjutan, seperti menyewakan token keamanan sementara atau mengatur rotasi kunci.

Dengan menggunakan diagram Helm, Vault dapat diterapkan sebagai penerapan baru di kluster Kubernetes dengan Konsul sebagai penyimpanan backend. Ini mendukung sumber daya asli Kubernetes seperti token ServiceAccount dan bahkan dapat bertindak sebagai penyimpanan default untuk rahasia Kubernetes.

Catatan. terjemahan: Ngomong-ngomong, baru kemarin perusahaan HashiCorp, yang mengembangkan Vault, mengumumkan beberapa peningkatan dalam penggunaan Vault di Kubernetes, dan khususnya terkait dengan bagan Helm. Baca selengkapnya di blog pengembang.

Audit Keamanan Kubernetes

Bangku Kube

• Situs web: github.com/aquasecurity/kube-bench
• Lisensi: gratis (Apache)

Kube-bench adalah aplikasi Go yang memeriksa apakah Kubernetes di-deploy secara aman dengan menjalankan tes dari daftar Tolok Ukur CIS Kubernetes.

Kube-bench mencari pengaturan konfigurasi yang tidak aman di antara komponen cluster (etcd, API, manajer pengontrol, dll.), hak akses file yang dipertanyakan, akun yang tidak terlindungi atau port terbuka, kuota sumber daya, pengaturan untuk membatasi jumlah panggilan API untuk melindungi dari serangan DoS , dll.

Pemburu Kube

• Situs web: github.com/aquasecurity/kube-hunter
• Lisensi: gratis (Apache)

Kube-hunter memburu potensi kerentanan (seperti eksekusi kode jarak jauh atau pengungkapan data) di cluster Kubernetes. Kube-hunter dapat dijalankan sebagai pemindai jarak jauh - dalam hal ini ia akan mengevaluasi cluster dari sudut pandang penyerang pihak ketiga - atau sebagai pod di dalam cluster.

Ciri khas Kube-hunter adalah mode “perburuan aktif”, di mana ia tidak hanya melaporkan masalah, namun juga mencoba memanfaatkan kerentanan yang ditemukan di cluster target yang berpotensi membahayakan operasinya. Jadi gunakan dengan hati-hati!

Kubeaudit

• Situs web: github.com/Shopify/kubeaudit
• Lisensi: gratis (MIT)

Kubeaudit adalah alat konsol yang awalnya dikembangkan di Shopify untuk mengaudit konfigurasi Kubernetes untuk berbagai masalah keamanan. Misalnya, ini membantu mengidentifikasi container yang berjalan tidak dibatasi, berjalan sebagai root, menyalahgunakan hak istimewa, atau menggunakan ServiceAccount default.

Kubeaudit memiliki fitur menarik lainnya. Misalnya, ia dapat menganalisis file YAML lokal, mengidentifikasi kelemahan konfigurasi yang dapat menyebabkan masalah keamanan, dan memperbaikinya secara otomatis.

Kubesec

• Situs web: kubesec.io
• Lisensi: gratis (Apache)

Kubesec adalah alat khusus yang secara langsung memindai file YAML yang mendeskripsikan sumber daya Kubernetes, mencari parameter lemah yang dapat memengaruhi keamanan.

Misalnya, ia dapat mendeteksi hak istimewa dan izin berlebihan yang diberikan pada sebuah pod, menjalankan container dengan root sebagai pengguna default, menghubungkan ke namespace jaringan host, atau mount berbahaya seperti /proc host atau soket Docker. Fitur menarik lainnya dari Kubesec adalah layanan demo yang tersedia online, di mana Anda dapat mengunggah YAML dan segera menganalisisnya.

Buka Agen Kebijakan

• Situs web: www.openpolicyagent.org
• Lisensi: gratis (Apache)

Konsep OPA (Open Policy Agent) adalah memisahkan kebijakan keamanan dan praktik terbaik keamanan dari platform runtime tertentu: Docker, Kubernetes, Mesosphere, OpenShift, atau kombinasi keduanya.

Misalnya, Anda dapat menerapkan OPA sebagai backend untuk pengontrol penerimaan Kubernetes, dan mendelegasikan keputusan keamanan ke dalamnya. Dengan cara ini, agen OPA dapat memvalidasi, menolak, dan bahkan mengubah permintaan dengan cepat, memastikan bahwa parameter keamanan yang ditentukan terpenuhi. Kebijakan keamanan OPA ditulis dalam bahasa DSL miliknya, Rego.

Catatan. terjemahan: Kami menulis lebih banyak tentang OPA (dan SPIFFE) di bahan ini.

Alat komersial yang komprehensif untuk analisis keamanan Kubernetes

Kami memutuskan untuk membuat kategori terpisah untuk platform komersial karena biasanya mencakup beberapa area keamanan. Gambaran umum tentang kemampuan mereka dapat diperoleh dari tabel:

* Pemeriksaan lanjutan dan analisa post mortem dengan lengkap pembajakan panggilan sistem.

Keamanan Aqua

• Situs web: www.aquasec.com
• Lisensi: komersial

Alat komersial ini dirancang untuk kontainer dan beban kerja cloud. Ini menyediakan:

• Pemindaian gambar terintegrasi dengan registri kontainer atau saluran CI/CD;
• Perlindungan runtime dengan pencarian perubahan dalam container dan aktivitas mencurigakan lainnya;
• Firewall asli container;
• Keamanan untuk layanan cloud tanpa server;
• Pengujian dan audit kepatuhan dikombinasikan dengan pencatatan peristiwa.

Catatan. terjemahan: Perlu juga dicatat bahwa ada komponen bebas dari produk yang disebut Pemindai Mikro, yang memungkinkan Anda memindai gambar kontainer untuk mencari kerentanan. Perbandingan kemampuannya dengan versi berbayar disajikan di meja ini.

Kapsul8

• Situs web: kapsul8.com
• Lisensi: komersial

Capsule8 terintegrasi ke dalam infrastruktur dengan memasang detektor pada cluster Kubernetes lokal atau cloud. Detektor ini mengumpulkan telemetri host dan jaringan, menghubungkannya dengan berbagai jenis serangan.

Tim Capsule8 melihat tugasnya sebagai deteksi dini dan pencegahan serangan menggunakan teknologi baru (0 hari) kerentanan. Capsule8 dapat mengunduh aturan keamanan yang diperbarui langsung ke detektor sebagai respons terhadap ancaman yang baru ditemukan dan kerentanan perangkat lunak.

Kavirin

• Situs web: www.cavirin.com
• Lisensi: komersial

Cavirin bertindak sebagai kontraktor sisi perusahaan untuk berbagai lembaga yang terlibat dalam standar keselamatan. Tidak hanya dapat memindai gambar, tetapi juga dapat berintegrasi ke dalam saluran CI/CD, memblokir gambar non-standar sebelum memasuki repositori tertutup.

Rangkaian keamanan Cavirin menggunakan pembelajaran mesin untuk menilai postur keamanan siber Anda, menawarkan tips untuk meningkatkan keamanan dan meningkatkan kepatuhan terhadap standar keamanan.

Pusat Komando Keamanan Google Cloud

• Situs web: cloud.google.com/security-command-center
• Lisensi: komersial

Cloud Security Command Center membantu tim keamanan mengumpulkan data, mengidentifikasi ancaman, dan menghilangkannya sebelum membahayakan perusahaan.

Seperti namanya, Google Cloud SCC adalah panel kontrol terpadu yang dapat mengintegrasikan dan mengelola berbagai laporan keamanan, mesin akuntansi aset, dan sistem keamanan pihak ketiga dari satu sumber terpusat.

API interoperabilitas yang ditawarkan oleh Google Cloud SCC memudahkan integrasi peristiwa keamanan yang berasal dari berbagai sumber, seperti Sysdig Secure (keamanan container untuk aplikasi cloud-native) atau Falco (keamanan runtime Sumber Terbuka).

Wawasan Berlapis (Qualys)

• Situs web: layeredinsight.com
• Lisensi: komersial

Layered Insight (sekarang bagian dari Qualys Inc) dibangun berdasarkan konsep “keamanan tertanam.” Setelah memindai gambar asli untuk mencari kerentanan menggunakan analisis statistik dan pemeriksaan CVE, Layered Insight menggantinya dengan gambar berinstrumen yang menyertakan agen sebagai biner.

Agen ini berisi pengujian keamanan runtime untuk menganalisis lalu lintas jaringan kontainer, aliran I/O, dan aktivitas aplikasi. Selain itu, ia dapat melakukan pemeriksaan keamanan tambahan yang ditentukan oleh administrator infrastruktur atau tim DevOps.

NeuVektor

• Situs web: neuvector.com
• Lisensi: komersial

NeuVector memeriksa keamanan kontainer dan memberikan perlindungan runtime dengan menganalisis aktivitas jaringan dan perilaku aplikasi, membuat profil keamanan individual untuk setiap kontainer. Ia juga dapat memblokir ancamannya sendiri, mengisolasi aktivitas mencurigakan dengan mengubah aturan firewall lokal.

Integrasi jaringan NeuVector, yang dikenal sebagai Security Mesh, mampu melakukan analisis paket mendalam dan pemfilteran lapisan 7 untuk semua koneksi jaringan di mesh layanan.

tumpukanrox

• Situs web: www.stackrox.com
• Lisensi: komersial

Platform keamanan kontainer StackRox berupaya untuk mencakup seluruh siklus hidup aplikasi Kubernetes dalam sebuah cluster. Seperti platform komersial lainnya dalam daftar ini, StackRox menghasilkan profil runtime berdasarkan perilaku container yang diamati dan secara otomatis membunyikan alarm jika ada penyimpangan.

Selain itu, StackRox menganalisis konfigurasi Kubernetes menggunakan CIS Kubernetes dan buku aturan lainnya untuk mengevaluasi kepatuhan container.

Sysdig Aman

• Situs web: sysdig.com/products/secure
• Lisensi: komersial

Sysdig Secure melindungi aplikasi di seluruh container dan siklus hidup Kubernetes. Dia memindai gambar wadah, menyediakan perlindungan waktu proses menurut data pembelajaran mesin, melakukan krim. keahlian untuk mengidentifikasi kerentanan, memblokir ancaman, memantau kepatuhan terhadap standar yang ditetapkan dan mengaudit aktivitas di layanan mikro.

Sysdig Secure terintegrasi dengan alat CI/CD seperti Jenkins dan mengontrol gambar yang dimuat dari registri Docker, mencegah gambar berbahaya muncul dalam produksi. Ini juga memberikan keamanan runtime yang komprehensif, termasuk:

• Pembuatan profil runtime dan deteksi anomali berbasis ML;
• kebijakan runtime berdasarkan peristiwa sistem, API audit K8, proyek komunitas bersama (FIM - pemantauan integritas file; cryptojacking) dan kerangka kerja MITRE ATT & CK;
• respons dan penyelesaian insiden.

Keamanan Kontainer yang Dapat Dipertahankan

• Situs web: www.tenable.com/products/tenable-io/container-security
• Lisensi: komersial

Sebelum munculnya container, Tenable dikenal luas di industri sebagai perusahaan di balik Nessus, alat pemburu kerentanan dan audit keamanan yang populer.

Tenable Container Security memanfaatkan keahlian keamanan komputer perusahaan untuk mengintegrasikan pipeline CI/CD dengan database kerentanan, paket deteksi malware khusus, dan rekomendasi untuk mengatasi ancaman keamanan.

Twistlock (Jaringan Palo Alto)

• Situs web: www.twistlock.com
• Lisensi: komersial

Twistlock mempromosikan dirinya sebagai platform yang berfokus pada layanan dan kontainer cloud. Twistlock mendukung berbagai penyedia cloud (AWS, Azure, GCP), orkestrator container (Kubernetes, Mesospehere, OpenShift, Docker), runtime tanpa server, kerangka kerja mesh, dan alat CI/CD.

Selain teknik keamanan tingkat perusahaan konvensional seperti integrasi pipeline CI/CD atau pemindaian gambar, Twistlock menggunakan pembelajaran mesin untuk menghasilkan pola perilaku dan aturan jaringan khusus container.

Beberapa waktu lalu, Twistlock dibeli oleh Palo Alto Networks, pemilik proyek Evident.io dan RedLock. Belum diketahui secara pasti bagaimana ketiga platform ini akan diintegrasikan PRISMA dari Palo Alto.

Bantu buat katalog alat keamanan Kubernetes terbaik!

Kami berusaha keras untuk membuat katalog ini selengkap mungkin, dan untuk itu kami membutuhkan bantuan Anda! Hubungi kami (@sysdig) jika Anda memiliki alat keren yang layak dimasukkan dalam daftar ini, atau Anda menemukan kesalahan/informasi usang.

Anda juga dapat berlangganan kami buletin bulanan dengan berita dari ekosistem cloud-native dan cerita tentang proyek menarik dari dunia keamanan Kubernetes.

PS dari penerjemah

Baca juga di blog kami:

• «Pengantar Kebijakan Jaringan Kubernetes untuk Profesional Keamanan»;
• «Docker dan Kubernetes di lingkungan yang sensitif terhadap keamanan»;
• «9 Praktik Terbaik untuk Keamanan Kubernetes»;
• «11 Cara (Tidak) Menjadi Korban Peretasan Kubernetes»;
• «OPA dan SPIFFE adalah dua proyek baru di CNCF untuk keamanan aplikasi cloud'.

Sumber: www.habr.com