Ngwa nchekwa 33+ Kubernetes

Rịba ama. ntụgharị asụsụ.: Ọ bụrụ na ị na-eche maka nchekwa na akụrụngwa dabeere na Kubernetes, nkọwa a magburu onwe ya sitere na Sysdig bụ nnukwu mmalite maka ileba anya ngwa ngwa na ngwọta dị ugbu a. Ọ na-agụnye ma usoro mgbagwoju anya sitere n'aka ndị na-ere ahịa ahịa a ma ama na ọtụtụ ihe ndị ọzọ dị mma na-edozi otu nsogbu. Na na nkwupụta, dị ka mgbe niile, anyị ga-enwe obi ụtọ ịnụ banyere ahụmahụ gị na-eji ngwá ọrụ ndị a na-ahụ njikọ na ndị ọzọ oru ngo.

Ngwaahịa sọftụwia nchekwa Kubernetes... enwere ọtụtụ n'ime ha, nke ọ bụla nwere ebumnuche, oke na ikike nke ya.

Ọ bụ ya mere anyị ji kpebie ịmepụta ndepụta a ma tinye ma ọrụ mepere emepe yana nyiwe azụmahịa sitere na ndị na-ere ahịa dị iche iche. Anyị na-atụ anya na ọ ga-enyere gị aka ịchọpụta ndị kacha amasị gị ma tụọ gị n'ụzọ ziri ezi dabere na mkpa nchekwa Kubernetes gị akọwapụtara.

Ngalaba

Iji mee ka ndepụta ahụ dị mfe ịnyagharịa, a na-ahazi ngwaọrụ ndị ahụ site na isi ọrụ na ngwa. E nwetara ngalaba ndị a:

• Nyocha ihe onyonyo Kubernetes na nyocha static;
• Nchekwa oge ojiri;
• Nchekwa netwọkụ Kubernetes;
• Nkesa onyonyo na njikwa ihe nzuzo;
• Nyocha nchekwa Kubernetes;
• Ngwaahịa azụmahịa zuru oke.

Ka anyị gbadaa n'azụmahịa:

Na-enyocha onyonyo Kubernetes

Arịlịka

• website: anchore.com
• Ikikere: n'efu (Apache) na onyinye azụmahịa

Anchore na-enyocha onyonyo akpa ma na-enye ohere nlele nchekwa dabere na atumatu akọwapụtara onye ọrụ.

Na mgbakwunye na nyocha ihe onyonyo akpa a na-emebu maka adịghị ike ama ama sitere na nchekwa data CVE, Anchore na-eme ọtụtụ nyocha ndị ọzọ dịka akụkụ nke amụma nyocha ya: na-enyocha Dockerfile, nzere nzere, ngwugwu nke asụsụ mmemme eji (npm, maven, wdg). .), Ikikere ngwanrọ na ọtụtụ ndị ọzọ.

Clair

• website: Coreos.com/clair (ugbu a n'okpuru nduzi nke Red Hat)
• Ikikere: efu (Apache)

Clair bụ otu n'ime ọrụ mepere emepe izizi maka nyocha onyonyo. A maara ya nke ọma dị ka nyocha nchekwa n'azụ ndekọ foto Quay (sitekwa na CoreOS - ihe ruru. ntụgharị asụsụ). Clair nwere ike ịnakọta ozi CVE site na isi mmalite dị iche iche, gụnyere ndepụta nke adịghị ike nkesa Linux nke ndị otu nchekwa Debian, Red Hat, ma ọ bụ Ubuntu debere.

N'adịghị ka Anchore, Clair na-elekwasị anya na ịchọta adịghị ike yana data dakọtara na CVE. Otú ọ dị, ngwaahịa ahụ na-enye ndị ọrụ ohere ụfọdụ iji gbasaa ọrụ site na iji ndị ọkwọ ụgbọala nkwụnye.

Daga

• website: github.com/eliasgrandebio/dagda
• Ikikere: efu (Apache)

Dagda na-eme nyocha static nke onyonyo akpa maka adịghị ike ama ama, Trojans, nje, malware na ihe egwu ndị ọzọ.

Akụkụ abụọ a ma ama na-ekewa Dagda na ngwaọrụ ndị ọzọ yiri ya:

• Ọ na-ejikọta ya nke ọma ClamAV, na-eme ọ bụghị naanị dị ka ngwá ọrụ maka nyocha ihe oyiyi akpa, kamakwa dị ka ihe mgbochi.
• Na-enyekwa nchebe oge ịgba ọsọ site na ịnweta ihe omume n'ezie site na Docker daemon na ijikọ na Falco (hụ okpuru) ịnakọta ihe nchekwa mgbe akpa na-agba ọsọ.

KubeXray

• website: github.com/jfrog/kubexray
• Ikikere: Free (Apache), mana chọrọ data sitere na JFrog Xray (ngwaahịa azụmahịa)

KubeXray na-ege ntị na mmemme sitere na sava Kubernetes API ma na-eji metadata sitere na JFrog Xray iji hụ na ọ bụ naanị pọd dabara na amụma dị ugbu a ka ewepụtara.

Ọ bụghị naanị KubeXray na-enyocha igbe ọhụrụ ma ọ bụ emelitere na mbugharị (dị ka onye na-ahụ maka nnabata na Kubernetes), kamakwa na-enyocha arịa ndị na-agba ọsọ maka nnabata na atumatu nchekwa ọhụrụ, na-ewepụ akụrụngwa na-ezo aka na onyonyo adịghị ike.

Onyegbula

• website: snyk.io
• Ikikere: n'efu (Apache) na ụdị azụmahịa

Snyk bụ nyocha enweghị ike pụrụ iche n'ihi na ọ na-elekwasị anya na usoro mmepe ma na-akwalite ya dị ka "ihe ngwọta dị mkpa" maka ndị mmepe.

Snyk na-ejikọ ozugbo na ebe nchekwa koodu, na-akọwapụta ọrụ a ma nyochaa koodu mbubata yana ndabere ozugbo na nke na-apụtaghị ìhè. Snyk na-akwado ọtụtụ asụsụ mmemme na-ewu ewu ma nwee ike ịchọpụta ihe egwu ikike zoro ezo.

Ihe na-adịghị mma

• website: github.com/knqyf263/trivy
• Ikikere: efu (AGPL)

Trivy bụ nyocha adịghị ike dị mfe mana dị ike maka arịa na-abanye ngwa ngwa n'ime pipeline CI/CD. Ihe a ma ama bụ ịdị mfe nke nrụnye na ịrụ ọrụ: ngwa ahụ nwere otu ọnụọgụ abụọ na ọ dịghị achọ ntinye nke nchekwa data ma ọ bụ ọba akwụkwọ ndị ọzọ.

Ihe dị njọ na Trivy dị mfe bụ na ị ga-achọpụta ka esi atụgharị na zipu nsonaazụ na usoro JSON ka ngwaọrụ nchekwa Kubernetes ndị ọzọ nwee ike iji ha.

Nchekwa oge ojiri na Kubernetes

Falco

• website: falco.org
• Ikikere: efu (Apache)

Falco bụ ngwa ọrụ iji chekwaa gburugburu oge ịgba ọsọ igwe ojii. Akụkụ nke ezinụlọ oru ngo CNCF.

Iji Sysdig's Linux kernel tooling and system call profiling, Falco na-enye gị ohere imikpu n'ime omume sistemụ. Njin iwu oge ya nwere ike ịchọpụta ọrụ a na-enyo enyo na ngwa, arịa, ndị ọbịa nọ n'okpuru, na onye na-akụ Kubernetes.

Falco na-enye nghọta zuru oke na oge ọsọ yana nchọpụta egwu site na ibuga ndị ọrụ pụrụ iche na ọnụ Kubernetes maka ebumnuche ndị a. N'ihi ya, ọ dịghị mkpa ịgbanwe arịa site na iwebata koodu ndị ọzọ n'ime ha ma ọ bụ na-agbakwunye akụkụ ụgbọ ala.

Linux nchekwa frameworks maka oge ojiri gaa

Usoro ndị a maka kernel Linux abụghị "ngwaọrụ nchekwa Kubernetes" n'echiche ọdịnala, mana ha kwesịrị ịkọwa n'ihi na ha bụ ihe dị mkpa n'ihe gbasara nchekwa oge, nke gụnyere na Kubernetes Pod Security Policy (PSP).

Ngwa na-etinye profaịlụ nchekwa na usoro na-agba ọsọ n'ime akpa, na-akọwa ihe ùgwù sistemụ faịlụ, iwu ịnweta netwọkụ, ọba akwụkwọ njikọ, wdg. Nke a bụ sistemụ dabere na njikwa nnweta amanyere amanye (MAC). N'ikwu ya n'ụzọ ọzọ, ọ na-egbochi ime omume amachibidoro ime.

Linux emelitere nchekwa (SELinux) bụ modul nchekwa dị elu na Linux kernel, nke yiri n'akụkụ ụfọdụ na AppArmor ma jiri ya tụnyere ya. SELinux dị elu karịa AppArmor na ike, mgbanwe na nhazi. Ọdịmma ya bụ ogologo mmụta usoro na ụbara mgbagwoju anya.

Seccomp na seccomp-bpf na-enye gị ohere inyocha oku sistemu, gbochie ogbugbu nke ndị nwere ike dị ize ndụ maka isi OS na anaghị achọ maka ọrụ nkịtị nke ngwa onye ọrụ. Seccomp yiri Falco n'ụzọ ụfọdụ, n'agbanyeghị na ọ maghị nkọwa nke arịa.

Sysdig mepere emepe

• website: www.sysdig.com/opensource
• Ikikere: efu (Apache)

Sysdig bụ ngwa zuru oke maka nyocha, nyocha na debugging sistemụ Linux (na-arụkwa ọrụ na Windows na macOS, mana enwere obere ọrụ). Enwere ike iji ya maka nchịkọta ozi zuru ezu, nkwenye na nyocha nyocha. (forensiks) usoro ntọala na arịa ọ bụla na-agba ọsọ na ya.

Sysdig na-akwadokwa oge ịgba ọsọ akpa na Kubernetes metadata, na-agbakwunye akụkụ ndị ọzọ na akara na ozi omume sistemụ ọ na-anakọta. Enwere ụzọ dị iche iche iji nyochaa ụyọkọ Kubernetes site na iji Sysdig: ị nwere ike ijide oge n'ime oge site na. kubectl ijide ma ọ bụ malite ncurses interface mmekọrịta site na iji ngwa mgbakwunye kubectl igwu.

Nchekwa netwọkụ Kubernetes

Aporeto

• website: www.aporeto.com
• Ikikere: azụmahịa

Aporeto na-enye "nchekwa kewapụrụ na netwọk na akụrụngwa." Nke a pụtara na ọrụ Kubernetes ọ bụghị naanị na-enweta NJ mpaghara (ya bụ ServiceAccount na Kubernetes), kamakwa ID/mkppịpị mkpịsị aka zuru ụwa ọnụ nke enwere ike iji mee ka ya na ọrụ ọ bụla nwee mkparịta ụka n'enweghị nsogbu, dịka ọmụmaatụ na ụyọkọ OpenShift.

Aporeto nwere ike ịmepụta ID pụrụ iche ọ bụghị naanị maka Kubernetes / akpa, kamakwa maka ndị ọbịa, ọrụ igwe ojii na ndị ọrụ. Dabere na njirimara ndị a yana usoro iwu nchekwa netwọkụ nke onye nchịkwa setịpụrụ, a ga-ahapụ ma ọ bụ gbochie nkwukọrịta.

calico

• website: www.projectcalico.org
• Ikikere: efu (Apache)

A na-ebugharị Calico n'oge nrụnye ndị na-agụ ihe na-eme akpa, na-enye gị ohere ịmepụta netwọk mebere nke na-ejikọta arịa. Na mgbakwunye na ọrụ netwọkụ a bụ isi, ọrụ Calico na-arụ ọrụ na amụma Kubernetes Network yana usoro profaịlụ nchekwa netwọkụ ya, na-akwado njedebe ACL (ndepụta njikwa ohere) yana iwu nchekwa netwọkụ dabere na nkọwa maka okporo ụzọ Ingress na Egress.

cilium

• website: www.cilium.io
• Ikikere: efu (Apache)

Cilium na-arụ ọrụ dị ka firewall maka arịa ma na-enye atụmatụ nchekwa netwọkụ nke ahaziri maka Kubernetes na obere ọrụ ọrụ. Cilium na-eji teknụzụ kernel Linux ọhụrụ a na-akpọ BPF (Berkeley Packet Filter) iji nzacha, nyochaa, redirect na dezie data.

Cilium nwere ike ibuga amụma ịnweta netwọkụ dabere na NJ akpa site na iji akara Docker ma ọ bụ Kubernetes na metadata. Cilium na-aghọta na nzacha dị iche iche Layer 7 protocols dị ka HTTP ma ọ bụ gRPC, na-enye gị ohere ịkọwa otu set nke REST oku ga-ekwe n'etiti abụọ Kubernetes mbugharị, ọmụmaatụ.

Istio

• website: isio.io
• Ikikere: efu (Apache)

A maara Istio n'ọtụtụ ebe maka mmejuputa usoro nchikota ọrụ site na ibuga ụgbọ elu na-ahụ maka ikpo okwu na-ebugharị okporo ụzọ ọrụ niile a na-achịkwa site na proxies envoy na-agbanwe agbanwe. Istio na-eji ohere a dị elu nke microservices na arịa niile iji mejuputa atumatu nchekwa netwọkụ dị iche iche.

Ikike nchekwa netwọkụ nke Istio gụnyere izo ya ezo TLS nke ọma iji kwalite nkwukọrịta ozugbo n'etiti microservices gaa na HTTPS, yana njirimara RBAC nwere ikike na sistemụ ikike iji nye ohere / jụ nkwurịta okwu n'etiti ibu ọrụ dị iche iche na ụyọkọ ahụ.

Rịba ama. ntụgharị asụsụ.: Iji mụtakwuo maka ike nchekwa nke Istio lekwasịrị anya, gụọ isiokwu a.

Agụ

• website: www.tigera.io
• Ikikere: azụmahịa

A na-akpọ "Kubernetes Firewall," ngwọta a na-emesi usoro ntụkwasị obi efu na nchekwa netwọk ike.

N'otu aka ahụ ngwọta ịkparịta ụka n'Ịntanet Kubernetes ndị ọzọ, Tigera na-adabere na metadata iji chọpụta ọrụ na ihe dị iche iche dị na ụyọkọ ahụ ma na-enye nchọpụta oge ọsọ ọsọ, nlele nnabata na-aga n'ihu, na visibiliti netwọk maka igwe ojii ma ọ bụ ngwakọ monolithic nwere akụrụngwa.

Trireme

• website: www.aporeto.com/opensource
• Ikikere: efu (Apache)

Trireme-Kubernetes bụ mmemme dị mfe na kwụ ọtọ nke nkọwapụta amụma netwọkụ Kubernetes. Ihe kachasị ama ama bụ na - n'adịghị ka ngwaahịa nchekwa netwọkụ Kubernetes yiri ya - ọ chọghị ụgbọ elu njikwa etiti iji hazie ntupu. Nke a na-eme ka ngwọta ya dị ntakịrị. Na Trireme, a na-enweta nke a site na ịwụnye onye nnọchite anya n'ọnụ ọnụ nke ọ bụla na-ejikọ ozugbo na ngwugwu TCP/IP nke onye ọbịa.

Mgbasa onyonyo na njikwa ihe nzuzo

Grafeas

• website: grafeas.io
• Ikikere: efu (Apache)

Grafeas bụ API mepere emepe maka nleba anya na njikwa akụrụngwa akụrụngwa. N'ọkwa bụ isi, Grafeas bụ ngwa ọrụ maka ịnakọta metadata na nyocha nyocha. Enwere ike iji ya soro nrube isi na omume nchekwa kacha mma n'ime ụlọ ọrụ.

Isi iyi eziokwu nke etiti a na-enyere aka ịza ajụjụ dịka:

• Onye nakọtara wee bịanye aka maka otu akpa?
• Ọ gafeela nyocha na nyocha niile nke iwu nchekwa chọrọ? Mgbe ole? Gịnị si na ya pụta?
• Onye bufere ya na mmepụta? Kedu kpọmkwem paramita ejiri mee ihe n'oge mbugharị?

N'ime-toto

• website: n'ime-toto.github.io
• Ikikere: efu (Apache)

In-toto bụ usoro emebere iji weta iguzosi ike n'ezi ihe, nyocha na nyocha nke usoro ọkọnọ software niile. Mgbe a na-ebuga In-toto na akụrụngwa, a na-ebu ụzọ kọwaa atụmatụ nke na-akọwa usoro dị iche iche na pipeline (ebe nchekwa, ngwá ọrụ CI / CD, ngwá ọrụ QA, ndị na-anakọta ihe, wdg) na ndị ọrụ (ndị nwere ọrụ) bụ ndị a na-ahapụ. ibido ha.

In-toto na-enyocha mmezu nke atụmatụ a, na-achọpụta na ọrụ ọ bụla n'ime agbụ ahụ na-arụ ọrụ nke ọma site n'aka ndị ọrụ ikike naanị yana na ọnweghị ikike na-enweghị ikike ejiri ngwaahịa ahụ mee n'oge mmegharị ahụ.

Porteris

• website: github.com/IBM/porteris
• Ikikere: efu (Apache)

Portieris bụ onye njikwa nnabata maka Kubernetes; ejiri mee ka mmanye nyocha ntụkwasị obi ọdịnaya. Porteris na-eji ihe nkesa Ọta (anyị dere banyere ya na njedebe Akụkọ a - ihe ruru. ntụgharị asụsụ) dị ka isi iyi nke eziokwu iji kwado arịa ndị atụkwasịkwara obi na ndị bịanyere aka n'akwụkwọ (ya bụ foto akpa akwadoro).

Mgbe arụpụtara ma ọ bụ gbanwee ibu ọrụ na Kubernetes, Portieris na-ebudata ozi mbinye aka na amụma ntụkwasị obi ọdịnaya maka onyonyo akpa a rịọrọ, ọ bụrụ na ọ dị mkpa, na-eme mgbanwe na-efegharị na ihe JSON API ka ọ na-eme ụdị mbinye aka nke onyonyo ndị ahụ.

uko

• website: www.vaultproject.io
• Ikikere: efu (MPL)

Vault bụ ihe echekwabara maka ịchekwa ozi nkeonwe: okwuntughe, akara ngosi OAuth, asambodo PKI, akaụntụ nnweta, nzuzo Kubernetes, wdg. Vault na-akwado ọtụtụ atụmatụ dị elu, dị ka ịgbazinye akara nchekwa ephemeral ma ọ bụ ịhazi ntụgharị igodo.

N'iji chaatị Helm, enwere ike ibuga Vault dị ka ntinye ọhụrụ na ụyọkọ Kubernetes nwere Consul dị ka nchekwa azụ azụ. Ọ na-akwado akụrụngwa Kubernetes dị ka akara ServiceAccount ma nwee ike rụọ ọrụ dị ka ụlọ ahịa ndabere maka nzuzo Kubernetes.

Rịba ama. ntụgharị asụsụ.: Site n'ụzọ, nanị ụnyaahụ ụlọ ọrụ HashiCorp, nke na-emepe Vault, kwupụtara ụfọdụ ndozi maka iji Vault na Kubernetes, na karịsịa ha metụtara chaatị Helm. Gụkwuo n'ime blọọgụ onye nrụpụta.

Nchekwa Kubernetes

Kube-bench

• website: github.com/aquasecurity/kube-bench
• Ikikere: efu (Apache)

Kube-bench bụ ngwa Go na-enyocha ma etinyere Kubernetes na nchekwa site na ịme ule na ndepụta. CIS Kubernetes Benchmark.

Kube-bench na-achọ ntọala nhazi na-enweghị nchebe n'etiti akụrụngwa ụyọkọ (wdg, API, njikwa njikwa, wdg), ikike ịnweta faịlụ a na-enyo enyo, akaụntụ echedoro ma ọ bụ ọdụ ụgbọ mmiri mepere emepe, oke akụrụngwa, ntọala maka ịmachi ọnụ ọgụgụ oku API iji chebe megide mwakpo DoS. , wdg.

Kube-dinta

• website: github.com/aquasecurity/kube-hunter
• Ikikere: efu (Apache)

Kube-dinta na-achụ nta maka adịghị ike ndị nwere ike ime (dị ka mkpochapụ koodu dịpụrụ adịpụ ma ọ bụ mkpughe data) na ụyọkọ Kubernetes. Enwere ike ịgba ọsọ Kube-hunter dị ka ihe nyocha dịpụrụ adịpụ - nke a ga-enyocha ụyọkọ ahụ site n'echiche nke onye na-awakpo ndị ọzọ - ma ọ bụ dị ka pọd n'ime ụyọkọ ahụ.

Akụkụ pụrụ iche nke Kube-dinta bụ ụdị “ịchụ nta na-arụsi ọrụ ike” nke ọ bụghị naanị na-akọ nsogbu, kamakwa ọ na-anwa iji ohere adịghị ike achọpụtara na ụyọkọ ebumnuche nke nwere ike imebi ọrụ ya. Ya mere, jiri nlezianya mee ihe!

Kubeaudit

• website: github.com/Shopify/kubeaudit
• Ikikere: n'efu (MIT)

Kubeaudit bụ ngwa njikwa emepụtara na Shopify iji nyochaa nhazi Kubernetes maka nsogbu nchekwa dị iche iche. Dịka ọmụmaatụ, ọ na-enyere aka ịchọpụta arịa na-agba ọsọ na-enweghị mgbochi, na-agba ọsọ dị ka mgbọrọgwụ, na-eme ihe n'ụzọ na-ezighị ezi, ma ọ bụ na-eji akaụntụ Service ndabara.

Kubeaudit nwere atụmatụ ndị ọzọ na-atọ ụtọ. Dịka ọmụmaatụ, ọ nwere ike nyochaa faịlụ YAML mpaghara, chọpụta ntụpọ nhazi nke nwere ike ibute nsogbu nchekwa, wee dozie ha ozugbo.

Kubesec

• website: kubesec.io
• Ikikere: efu (Apache)

Kubesec bụ ngwa pụrụ iche na ọ na-enyocha faịlụ YAML ozugbo na-akọwa akụrụngwa Kubernetes, na-achọ paramita adịghị ike nke nwere ike imetụta nchekwa.

Dịka ọmụmaatụ, ọ nwere ike ịchọpụta oke oke oke na ikike enyere na pọd, na-eji akpa nwere mgbọrọgwụ dị ka onye ọrụ ndabara, jikọọ na aha netwọkụ nke onye ọbịa, ma ọ bụ ugwu dị ize ndụ dị ka. /proc onye ọbịa ma ọ bụ Docker soket. Akụkụ ọzọ na-atọ ụtọ nke Kubesec bụ ọrụ ngosi dị n'ịntanetị, nke ị nwere ike bulite YAML wee nyochaa ya ozugbo.

Mepee onye nnọchi anya amụma

• website: www.openpolicyagent.org
• Ikikere: efu (Apache)

Echiche nke OPA (Open Policy Agent) bụ imebi atumatu nchekwa na usoro nchekwa kachasị mma site na usoro oge ịgba ọsọ: Docker, Kubernetes, Mesosphere, OpenShift, ma ọ bụ ngwakọta ya.

Dịka ọmụmaatụ, ịnwere ike ibuga OPA ka ọ bụrụ ihe ndabere maka onye njikwa nnabata Kubernetes, na-enyefe mkpebi nchekwa na ya. N'ụzọ dị otú a, onye na-ahụ maka OPA nwere ike ịkwado, jụ, na ọbụna gbanwee arịrịọ na ofufe, na-ahụ na a na-ezute ihe nchekwa ndị akọwapụtara. Edere iwu nchekwa OPA n'asụsụ DSL nke ya, Rego.

Rịba ama. ntụgharị asụsụ.: Anyị dere ọzọ gbasara OPA (na SPIFFE) na ihe a.

Ngwa azụmahịa zuru oke maka nyocha nchekwa Kubernetes

Anyị kpebiri ịmepụta otu dị iche iche maka nyiwe azụmahịa n'ihi na ha na-ekpuchi ọtụtụ ebe nchekwa. Enwere ike nweta echiche zuru oke nke ike ha site na tebụl:

* Nnwale dị elu na nyocha gbasara ọnwụ zuru oke usoro oku hijacking.

Nchekwa aqua

• website: www.aquasec.com
• Ikikere: azụmahịa

Emebere ngwá ọrụ azụmahịa a maka arịa na ibu ọrụ igwe ojii. Ọ na-enye:

• Nyochaa onyonyo jikọtara ya na ndekọ akpa ma ọ bụ pipeline CI/CD;
• Nchedo oge ojiri na-achọ mgbanwe na arịa na ihe omume enyo ndị ọzọ;
• arịa-ọkụ ọkụ obodo;
• Nchekwa maka enweghị ihe nkesa na ọrụ igwe ojii;
• Nnwale nnabata na nyocha jikọtara yana ndekọ ihe omume.

Rịba ama. ntụgharị asụsụ.: Ọ dịkwa mma ịmara na e nwere free akụrụngwa nke ngwaahịa a na-akpọ MicroScanner, nke na-enye gị ohere inyocha ihe oyiyi akpa maka adịghị ike. Ntụnyere ikike ya na ụdị akwụ ụgwọ ka ewepụtara na okpokoro a.

Capsule 8

• website: Capsule 8.com
• Ikikere: azụmahịa

Capsule8 na-ejikọta n'ime akụrụngwa site na ịwụnye ihe nchọpụta na ụyọkọ Kubernetes mpaghara ma ọ bụ igwe ojii. Ihe nchọpụta a na-anakọta ndị ọbịa na telemetry netwọk, na-ejikọta ya na ụdị ọgụ dị iche iche.

Ndị otu Capsule8 na-ahụ ọrụ ya dị ka nchọpụta mmalite na mgbochi nke mwakpo site na iji ọhụrụ (0-ụbọchị) adịghị ike. Capsule8 nwere ike budata iwu nchekwa emelitere ozugbo na ndị nchọpụta maka nzaghachi egwu achọpụtara ọhụrụ yana adịghị ike ngwanrọ.

Cavirin

• website: www.cavirin.com
• Ikikere: azụmahịa

Cavirin na-arụ ọrụ dị ka onye na-arụ ọrụ n'akụkụ ụlọ ọrụ maka ụlọ ọrụ dị iche iche na-etinye aka na ụkpụrụ nchekwa. Ọ bụghị naanị na ọ nwere ike iṅomi ihe oyiyi, ma ọ nwekwara ike ịbanye na pipeline CI / CD, na-egbochi ihe oyiyi ndị na-abụghị ọkọlọtọ tupu ha abanye na ebe nchekwa.

Ụlọ nchekwa nchekwa Cavirin na-eji mmụta igwe iji nyochaa ọnọdụ cybersecurity gị, na-enye ndụmọdụ iji melite nchekwa yana melite nnabata na ụkpụrụ nchekwa.

Ebe nchekwa iwu Google Cloud

• website: cloud.google.com/security-command-center
• Ikikere: azụmahịa

Cloud Security Command Center na-enyere ndị otu nchekwa aka ịnakọta data, chọpụta ihe iyi egwu, ma kpochapụ ha tupu ha emebie ụlọ ọrụ ahụ.

Dị ka aha ahụ na-atụ aro, Google Cloud SCC bụ njikwa njikwa jikọtara ọnụ nke nwere ike ijikọ ma jikwaa akụkọ nchekwa dị iche iche, injin ndekọ ego, na sistemụ nchekwa ndị ọzọ sitere na otu isi mmalite.

API na-emekọrịta ihe nke Google Cloud SCC na-enye na-eme ka ọ dị mfe ijikọ ihe nchekwa na-abịa site na isi mmalite dị iche iche, dị ka Sysdig Secure (nchebe nchekwa maka ngwa igwe ojii) ma ọ bụ Falco (Open Source Runtime Security).

Nghọta Layered (Qualys)

• website: Layeredinsight.com
• Ikikere: azụmahịa

Ewubere Layered Insight (nke bụ akụkụ nke Qualys Inc ugbu a) n'echiche nke "nchekwa agbakwunyere." Mgbe nyochachara onyonyo izizi maka adịghị ike site na iji nyocha ndekọ ọnụ ọgụgụ yana nlele CVE, Layered Insight jiri onyonyo eji arụ ọrụ dochie ya nke gụnyere onye nnọchi anya dị ka ọnụọgụ abụọ.

Onye nnọchite anya a nwere ule nchekwa oge iji nyochaa okporo ụzọ netwọkụ akpa, aga I/O na mmemme ngwa. Na mgbakwunye, ọ nwere ike ịme nyocha nchekwa ndị ọzọ nke onye njikwa akụrụngwa ma ọ bụ ndị otu DevOps kwuru.

NeuVector

• website: neuvector.com
• Ikikere: azụmahịa

NeuVector na-enyocha nchekwa akpa ma na-enye nchebe oge ojiri gaa site na-enyocha ọrụ netwọkụ na omume ngwa, na-ekepụta profaịlụ nchekwa onye ọ bụla maka akpa ọ bụla. Ọ nwekwara ike igbochi egwu n'onwe ya, kewapụ ọrụ enyo site na ịgbanwe iwu firewall mpaghara.

Njikọ netwọkụ NeuVector, nke a maara dị ka Mesh Security, nwere ike nyochaa ngwugwu miri emi yana nzacha oyi akwa 7 maka njikọ netwọkụ niile dị na ntanetị ọrụ.

StackRox

• website: www.stackrox.com
• Ikikere: azụmahịa

Igwe nchekwa akpa StackRox na-agba mbọ ikpuchi usoro ndụ nke ngwa Kubernetes na ụyọkọ. Dị ka nyiwe azụmahịa ndị ọzọ dị na ndepụta a, StackRox na-ewepụta profaịlụ oge ịgba ọsọ dabere na omume akpa ahụ a na-ahụ anya ma na-ewelite mkpu ozugbo maka mgbagha ọ bụla.

Na mgbakwunye, StackRox na-enyocha nhazi Kubernetes site na iji Kubernetes CIS na akwụkwọ iwu ndị ọzọ iji nyochaa nnabata akpa.

Sysdig Secure

• website: sysdig.com/products/secure
• Ikikere: azụmahịa

Sysdig Secure na-echebe ngwa n'ime akpa niile yana usoro ndụ Kubernetes. Ọ na-enyocha onyonyo containers, na-enye nchedo oge ojiri gaa dị ka igwe mmụta data, na-eme ude. nka iji chọpụta adịghị ike, igbochi egwu, nlekota oru nrube isi na ụkpụrụ ntọala na nyocha ọrụ na microservices.

Sysdig Secure jikọtara ya na ngwa CI/CD dị ka Jenkins ma na-achịkwa onyonyo ndị ebukọrọ na ndekọ Docker, na-egbochi onyonyo dị ize ndụ ịpụta na mmepụta. Ọ na-enyekwa nchekwa oge ojiri gaa, gụnyere:

• ML dabeere na oge ịgba ọsọ profaịlụ na nchọpụta anomaly;
• Amụma oge ịgba ọsọ dabere na mmemme sistemu, K8s-audit API, ọrụ imekọ ihe ọnụ obodo (FIM - nlekota nleba anya faịlụ; cryptojacking) na usoro. Ọnụ ego nke MITER AT&CK;
• nzaghachi na mkpebi nke ihe omume.

Nchekwa akpa nwere ike ime

• website: www.tenable.com/products/tenable-io/container-security
• Ikikere: azụmahịa

Tupu ọbịbịa nke arịa, a ma ama Tenable na ụlọ ọrụ ahụ dị ka ụlọ ọrụ dị n'azụ Nessus, ngwa ịchụ nta adịghị ike na nchekwa nchekwa.

Nchekwa Container Tenable na-enye ikike nchekwa kọmpụta ụlọ ọrụ ahụ iji jikọta pipeline CI/CD yana ọdụ data adịghị ike, ngwugwu nchọpụta malware pụrụ iche, yana ndụmọdụ maka idozi ihe egwu nchekwa.

Twistlock (Palo Alto netwọk)

• website: www.twistlock.com
• Ikikere: azụmahịa

Twistlock na-akwalite onwe ya dị ka ikpo okwu lekwasịrị anya na ọrụ igwe ojii na arịa. Twistlock na-akwado ndị na-eweta igwe ojii dị iche iche (AWS, Azure, GCP), ndị na-akụ akpa akpa (Kubernetes, Mesospehere, OpenShift, Docker), oge ịgba ọsọ na-enweghị ihe nkesa, ntupu ntupu na ngwaọrụ CI/CD.

Na mgbakwunye na usoro nchekwa ọkwa ọkwa ụlọ ọrụ dị ka njikọta pipeline CI/CD ma ọ bụ nyocha onyonyo, Twistlock na-eji mmụta igwe mepụta ụkpụrụ akparamagwa na iwu netwọkụ.

Oge ụfọdụ gara aga, Palo Alto Networks zụtara Twistlock, nke nwere ọrụ Evident.io na RedLock. Amabeghị kpọmkwem ka a ga-esi tinye usoro ikpo okwu atọ a n'ime PRISMA sitere na Palo Alto.

Nyere aka wuo katalọgụ kacha mma nke ngwaọrụ nchekwa Kubernetes!

Anyị na-agba mbọ ime katalọgụ a zuo oke dịka o kwere mee, maka nke a anyị chọrọ enyemaka gị! Kpọtụrụ anyị (@sysdig) ma ọ bụrụ na ị nwere ngwá ọrụ dị mma n'uche nke ruru eru itinye na ndepụta a, ma ọ bụ ịchọta ozi njehie / oge ochie.

Ị nwekwara ike ịdenye aha anyị akwụkwọ akụkọ kwa ọnwa ya na ozi sitere na gburugburu igwe ojii-ala ala na akụkọ gbasara ọrụ na-atọ ụtọ sitere na ụwa nke nchekwa Kubernetes.

PS sitere na onye ntụgharị

Gụọkwa na blọọgụ anyị:

• «Okwu mmalite nke amụma netwọkụ Kubernetes maka ndị ọkachamara nchekwa»;
• «Docker na Kubernetes na gburugburu ebe nchekwa chọrọ»;
• «Omume 9 kacha mma maka nchekwa Kubernetes»;
• «Ụzọ 11 iji (Ọ bụghị) bụrụ onye ihe metụtara mbanye anataghị ikike Kubernetes»;
• «OPA na SPIFFE bụ ọrụ ọhụrụ abụọ na CNCF maka nchekwa ngwa igwe ojii".

isi: www.habr.com