33+ Kubernetes öryggisverkfæri

Athugið. þýð.: Ef þú ert að velta fyrir þér öryggi í innviðum sem byggjast á Kubernetes, þá er þetta frábæra yfirlit frá Sysdig frábær upphafspunktur fyrir fljótlega yfirsýn yfir núverandi lausnir. Það felur í sér bæði flókin kerfi frá þekktum markaðsaðilum og mun hóflegri tól sem leysa tiltekið vandamál. Og í athugasemdunum, eins og alltaf, munum við vera fús til að heyra um reynslu þína af því að nota þessi verkfæri og sjá tengla á önnur verkefni.

Kubernetes öryggishugbúnaðarvörur... þær eru svo margar, hver með sín markmið, umfang og leyfi.

Þess vegna ákváðum við að búa til þennan lista og innihalda bæði opinn uppspretta verkefni og viðskiptavettvang frá mismunandi söluaðilum. Við vonum að það hjálpi þér að bera kennsl á þær sem hafa mestan áhuga og vísa þér í rétta átt miðað við sérstakar Kubernetes öryggisþarfir þínar.

Категории

Til að gera listann auðveldari yfirferðar eru verkfærin skipulögð eftir aðalaðgerðum og forritum. Eftirfarandi kaflar fengust:

• Kubernetes myndskönnun og kyrrstöðugreining;
• Runtime öryggi;
• Kubernetes netöryggi;
• Mynddreifing og leyndarmálastjórnun;
• Kubernetes öryggisúttekt;
• Alhliða viðskiptavörur.

Við skulum fara að vinna:

Skanna Kubernetes myndir

Akkeri

• Vefsíða: anchore.com
• Leyfi: ókeypis (Apache) og viðskiptatilboð

Anchore greinir gámamyndir og leyfir öryggisathugun á grundvelli notendaskilgreindra reglna.

Til viðbótar við venjulega skönnun á gámamyndum fyrir þekkta veikleika úr CVE gagnagrunninum, framkvæmir Anchore margar viðbótarathuganir sem hluti af skönnunarstefnu sinni: athugar Dockerfile, skilríkisleka, pakka af forritunarmálunum sem notuð eru (npm, maven, osfrv .), hugbúnaðarleyfi og margt fleira .

Clair

• Vefsíða: coreos.com/clair (nú undir handleiðslu Red Hat)
• Leyfi: ókeypis (Apache)

Clair var eitt af fyrstu Open Source verkefnunum fyrir myndskönnun. Það er víða þekkt sem öryggisskanna á bak við Quay myndaskrána (einnig frá CoreOS - ca. þýðing). Clair getur safnað CVE upplýsingum frá fjölmörgum aðilum, þar á meðal listum yfir Linux dreifingarsértæka veikleika sem Debian, Red Hat eða Ubuntu öryggisteymi viðhalda.

Ólíkt Anchore einbeitir Clair sér fyrst og fremst að því að finna veikleika og passa gögn við CVE. Hins vegar býður varan notendum upp á nokkur tækifæri til að auka aðgerðir með því að nota viðbótarrekla.

dagda

• Vefsíða: github.com/eliasgranderubio/dagda
• Leyfi: ókeypis (Apache)

Dagda framkvæmir kyrrstöðugreiningu á gámamyndum fyrir þekkta veikleika, Tróverji, vírusa, spilliforrit og aðrar ógnir.

Tveir athyglisverðir eiginleikar greina Dagda frá öðrum svipuðum verkfærum:

• Það fellur fullkomlega saman við ClamAV, virkar ekki aðeins sem tæki til að skanna gámamyndir, heldur einnig sem vírusvarnarefni.
• Veitir einnig keyrsluvörn með því að taka við rauntímaviðburðum frá Docker púknum og samþætta við Falco (sjá fyrir neðan) til að safna öryggisatburðum á meðan gámurinn er í gangi.

KubeXray

• Vefsíða: github.com/jfrog/kubexray
• Leyfi: Ókeypis (Apache), en krefst gagna frá JFrog Xray (auglýsingavara)

KubeXray hlustar á atburði frá Kubernetes API þjóninum og notar lýsigögn frá JFrog Xray til að tryggja að aðeins belg sem passa við núverandi stefnu séu ræst.

KubeXray endurskoðar ekki aðeins nýja eða uppfærða gáma í dreifingum (svipað og aðgangsstýringin í Kubernetes), heldur athugar einnig hlaupandi gáma hvort þeir séu í samræmi við nýjar öryggisstefnur og fjarlægir tilföng sem vísa til viðkvæmra mynda.

Snyk

• Vefsíða: snyk.io
• Leyfi: ókeypis (Apache) og auglýsingaútgáfur

Snyk er óvenjulegur varnarleysisskanni að því leyti að hann beinist sérstaklega að þróunarferlinu og er kynntur sem „nauðsynleg lausn“ fyrir þróunaraðila.

Snyk tengist beint við kóðageymslur, greinir verkefnislýsinguna og greinir innflutta kóðann ásamt beinum og óbeinum ósjálfstæðum. Snyk styður mörg vinsæl forritunarmál og getur greint falinn leyfisáhættu.

Fáránlegt

• Vefsíða: github.com/knqyf263/trivy
• Leyfi: ókeypis (AGPL)

Trivy er einfaldur en öflugur varnarleysisskanni fyrir gáma sem fellur auðveldlega inn í CI/CD leiðslu. Athyglisverð eiginleiki þess er auðveld uppsetning og notkun: forritið samanstendur af einum tvöfaldri og krefst ekki uppsetningar á gagnagrunni eða viðbótarsöfnum.

Gallinn við einfaldleika Trivy er að þú verður að finna út hvernig á að flokka og senda niðurstöðurnar á JSON sniði svo að önnur Kubernetes öryggistól geti notað þau.

Runtime öryggi í Kubernetes

Falco

• Vefsíða: falco.org
• Leyfi: ókeypis (Apache)

Falco er sett af verkfærum til að tryggja skýjatímaumhverfi. Hluti af verkefnisfjölskyldunni CNCF.

Með því að nota Sysdig's Linux kjarna-stig verkfæri og kerfi kalla profiling, Falco gerir þér kleift að kafa djúpt í kerfi hegðun. Runtime regla vél hennar er fær um að greina grunsamlega virkni í forritum, gámum, undirliggjandi hýsil og Kubernetes hljómsveitarstjóranum.

Falco veitir fullkomið gagnsæi í keyrslutíma og uppgötvun ógnar með því að senda sérstaka umboðsmenn á Kubernetes hnúta í þessum tilgangi. Þar af leiðandi er engin þörf á að breyta gámum með því að setja kóða þriðja aðila inn í þá eða bæta við hliðarvagnsgámum.

Linux öryggisramma fyrir keyrslutíma

Þessir innfæddu rammar fyrir Linux kjarnann eru ekki „Kubernetes öryggisverkfæri“ í hefðbundnum skilningi, en vert er að minnast á þau vegna þess að þau eru mikilvægur þáttur í samhengi við keyrsluöryggi, sem er innifalið í Kubernetes Pod Security Policy (PSP).

AppArmor tengir öryggissnið við ferla sem keyra í ílátinu, skilgreinir skráarkerfisréttindi, netaðgangsreglur, tengir bókasöfn o.s.frv. Þetta er kerfi sem byggir á Mandatory Access Control (MAC). Með öðrum orðum kemur það í veg fyrir að bannaðar aðgerðir séu framkvæmdar.

Öryggisbætt Linux (SELinux) er háþróuð öryggiseining í Linux kjarnanum, svipuð í sumum þáttum og AppArmor og oft borin saman við hana. SELinux er betri en AppArmor í krafti, sveigjanleika og sérsniðnum. Ókostir þess eru langur námsferill og aukinn flækjustig.

Secomp og seccomp-bpf leyfa þér að sía kerfissímtöl, loka fyrir framkvæmd þeirra sem eru hugsanlega hættulegir fyrir grunnstýrikerfið og eru ekki nauðsynlegar fyrir eðlilega notkun notendaforrita. Secomp er svipað og Falco að sumu leyti, þó að það þekki ekki sérstöðu gáma.

Sysdig opinn uppspretta

• Vefsíða: www.sysdig.com/opensource
• Leyfi: ókeypis (Apache)

Sysdig er fullkomið tól til að greina, greina og kemba Linux kerfi (virkar líka á Windows og macOS, en með takmarkaða virkni). Það er hægt að nota til ítarlegrar upplýsingaöflunar, sannprófunar og réttargreiningar. (réttarlækningar) grunnkerfið og ílát sem keyra á því.

Sysdig styður einnig innbyggt keyrslutíma gáma og Kubernetes lýsigögn, og bætir viðbótarvíddum og merkjum við allar upplýsingar um hegðun kerfisins sem það safnar. Það eru nokkrar leiðir til að greina Kubernetes klasa með Sysdig: þú getur framkvæmt tímafangatöku í gegnum kubectl handtaka eða ræstu gagnvirkt viðmót sem byggir á ncurses með því að nota viðbót kubectl grafa.

Kubernetes netöryggi

Aporeto

• Vefsíða: www.aporeto.com
• Leyfi: auglýsing

Aporeto býður upp á "öryggi aðskilið frá netinu og innviðum." Þetta þýðir að Kubernetes þjónusta fær ekki aðeins staðbundið auðkenni (þ.e. ServiceAccount í Kubernetes), heldur einnig alhliða auðkenni/fingrafar sem hægt er að nota til að eiga örugg og gagnkvæm samskipti við hvaða aðra þjónustu sem er, til dæmis í OpenShift klasa.

Aporeto er fær um að búa til einstakt auðkenni, ekki aðeins fyrir Kubernetes/gáma, heldur einnig fyrir gestgjafa, skýjaaðgerðir og notendur. Það fer eftir þessum auðkennum og netöryggisreglunum sem kerfisstjórinn setur, samskipti verða leyfð eða læst.

Calico

• Vefsíða: www.projectcalico.org
• Leyfi: ókeypis (Apache)

Calico er venjulega notað við uppsetningu gámasveitar, sem gerir þér kleift að búa til sýndarnet sem tengir saman gáma. Til viðbótar við þessa grunnnetvirkni vinnur Calico verkefnið með Kubernetes netreglum og eigin setti af netöryggissniðum, styður endapunkta ACL (aðgangsstýringarlistar) og skýringarmiðaðar netöryggisreglur fyrir Ingress og Egress umferð.

cilium

• Vefsíða: www.cilium.io
• Leyfi: ókeypis (Apache)

Cilium virkar sem eldveggur fyrir gáma og býður upp á netöryggisaðgerðir sem eru sérsniðnar að Kubernetes og örþjónustu vinnuálagi. Cilium notar nýja Linux kjarna tækni sem kallast BPF (Berkeley Packet Filter) til að sía, fylgjast með, beina og leiðrétta gögn.

Cilium er fær um að beita netaðgangsstefnu byggð á gámaauðkennum með því að nota Docker eða Kubernetes merki og lýsigögn. Cilium skilur og síar einnig ýmsar Layer 7 samskiptareglur eins og HTTP eða gRPC, sem gerir þér kleift að skilgreina safn af REST símtölum sem verða leyfðar á milli tveggja Kubernetes dreifingar, til dæmis.

Sama

• Vefsíða: istio.io
• Leyfi: ókeypis (Apache)

Istio er víðþekkt fyrir að innleiða þjónustumöskva hugmyndafræðina með því að dreifa vettvangsóháðri stjórnflugvél og beina allri stýrðri þjónustuumferð í gegnum virka stillanlega sendiboða. Istio nýtir sér þessa háþróuðu sýn á allar örþjónustur og ílát til að innleiða ýmsar netöryggisaðferðir.

Netöryggisgeta Istio felur í sér gagnsæ TLS dulkóðun til að uppfæra sjálfkrafa samskipti milli örþjónustu í HTTPS, og sérstakt RBAC auðkenningar- og heimildakerfi til að leyfa/hafna samskipti milli mismunandi vinnuálags í klasanum.

Athugið. þýð.: Til að læra meira um öryggismiðaða getu Istio, lestu Þessi grein.

Tigera

• Vefsíða: www.tigera.io
• Leyfi: auglýsing

Þessi lausn er kölluð „Kubernetes Firewall“ og leggur áherslu á núlltraustsaðferð við netöryggi.

Líkt og aðrar innfæddar Kubernetes netlausnir, treystir Tigera á lýsigögn til að bera kennsl á hinar ýmsu þjónustur og hluti í þyrpingunni og veitir uppgötvun vandamála á keyrslutíma, stöðuga eftirlitseftirlit og netsýnileika fyrir fjölskýja eða blendinga einlita gámainnviði.

Trireme

• Vefsíða: www.aporeto.com/opensource
• Leyfi: ókeypis (Apache)

Trireme-Kubernetes er einföld og einföld útfærsla á Kubernetes netstefnuforskriftinni. Mest áberandi eiginleiki er að - ólíkt svipuðum Kubernetes netöryggisvörum - það þarf ekki miðlæga stjórnvél til að samræma möskva. Þetta gerir lausnina léttvæga skalanlega. Í Trireme er þessu náð með því að setja umboðsmann á hvern hnút sem tengist beint við TCP/IP stafla gestgjafans.

Myndfjölgun og leyndarmálastjórnun

Grafeas

• Vefsíða: grafeas.io
• Leyfi: ókeypis (Apache)

Grafeas er opinn uppspretta API fyrir endurskoðun og stjórnun hugbúnaðar aðfangakeðju. Á grunnstigi er Grafeas tæki til að safna lýsigögnum og úttektarniðurstöðum. Það er hægt að nota til að fylgjast með samræmi við bestu starfsvenjur í öryggismálum innan stofnunar.

Þessi miðlæga uppspretta sannleika hjálpar til við að svara spurningum eins og:

• Hver safnaði og skrifaði undir tiltekinn gám?
• Hefur það staðist allar öryggisskannanir og athuganir sem krafist er í öryggisstefnunni? Hvenær? Hverjar voru niðurstöðurnar?
• Hver sendi það til framleiðslu? Hvaða sérstakar færibreytur voru notaðar við uppsetningu?

In-toto

• Vefsíða: in-toto.github.io
• Leyfi: ókeypis (Apache)

In-toto er rammi sem er hannaður til að veita heilleika, auðkenningu og endurskoðun á allri aðfangakeðju hugbúnaðarins. Þegar In-toto er notað í innviði er fyrst skilgreint áætlun sem lýsir hinum ýmsu skrefum í leiðslunni (geymsla, CI/CD verkfæri, QA verkfæri, gripasafnara o.s.frv.) og notendum (ábyrgir aðilar) sem hafa leyfi til að hefja þær.

In-toto fylgist með framkvæmd áætlunarinnar og sannreynir að sérhvert verkefni í keðjunni sé eingöngu framkvæmt á réttan hátt af viðurkenndu starfsfólki og að engar óviðkomandi meðhöndlun hafi verið framkvæmdar með vörunni meðan á hreyfingu stendur.

Portieris

• Vefsíða: github.com/IBM/portieris
• Leyfi: ókeypis (Apache)

Portieris er inntökustjóri fyrir Kubernetes; notað til að framfylgja eftirliti með trausti á efni. Portieris notar netþjón Lögbókanda (við skrifuðum um hann í lokin af þessari grein - ca. þýðing) sem uppspretta sannleika til að sannreyna trausta og undirritaða gripi (þ.e. samþykktar gámamyndir).

Þegar vinnuálag er búið til eða breytt í Kubernetes, halar Portieris niður undirskriftarupplýsingunum og efnistraustsstefnunni fyrir umbeðnar gámamyndir og, ef nauðsyn krefur, gerir breytingar á JSON API hlutnum í skyndi til að keyra undirritaðar útgáfur af þessum myndum.

Vault

• Vefsíða: www.vaultproject.io
• Leyfi: ókeypis (MPL)

Vault er örugg lausn til að geyma einkaupplýsingar: lykilorð, OAuth tákn, PKI vottorð, aðgangsreikninga, Kubernetes leyndarmál osfrv. Vault styður marga háþróaða eiginleika, svo sem að leigja skammvinn öryggistákn eða skipuleggja snúning lykla.

Með því að nota Helm töfluna er hægt að nota Vault sem nýja uppsetningu í Kubernetes klasa með Consul sem bakendageymslu. Það styður innfædd Kubernetes auðlindir eins og ServiceAccount tákn og getur jafnvel virkað sem sjálfgefin verslun fyrir Kubernetes leyndarmál.

Athugið. þýð.: Við the vegur, bara í gær tilkynnti fyrirtækið HashiCorp, sem þróar Vault, nokkrar endurbætur fyrir notkun Vault í Kubernetes, og sérstaklega tengjast þær Helm töflunni. Lestu meira í þróunarblogg.

Kubernetes öryggisúttekt

Kube-bekkur

• Vefsíða: github.com/aquasecurity/kube-bench
• Leyfi: ókeypis (Apache)

Kube-bench er Go forrit sem athugar hvort Kubernetes sé sett á öruggan hátt með því að keyra próf af lista CIS Kubernetes viðmið.

Kube-bekkur leitar að óöruggum stillingum meðal klasaíhluta (o.s.frv., API, stjórnandi stjórnanda o.s.frv.), vafasömum skráaaðgangsréttindum, óvörðum reikningum eða opnum höfnum, auðlindakvóta, stillingum til að takmarka fjölda API-kalla til að verjast DoS árásum , o.s.frv.

Kube-veiðimaður

• Vefsíða: github.com/aquasecurity/kube-hunter
• Leyfi: ókeypis (Apache)

Kube-hunter leitar að mögulegum veikleikum (svo sem fjarkeyrslu kóða eða birting gagna) í Kubernetes klösum. Hægt er að keyra Kube-hunter sem fjarskanni - í því tilviki mun hann meta klasann frá sjónarhóli þriðja aðila árásarmanns - eða sem fræbelgur inni í klasanum.

Einkennandi eiginleiki Kube-hunter er „virk veiði“ ham hans, þar sem hann tilkynnir ekki aðeins um vandamál, heldur reynir einnig að nýta sér veikleika sem uppgötvast í markþyrpingunni sem gætu hugsanlega skaðað starfsemi hans. Svo notaðu það með varúð!

Kubeaudit

• Vefsíða: github.com/Shopify/kubeaudit
• Leyfi: ókeypis (MIT)

Kubeaudit er stjórnborðsverkfæri sem upphaflega var þróað hjá Shopify til að endurskoða Kubernetes stillingar fyrir ýmis öryggisvandamál. Til dæmis hjálpar það að bera kennsl á gáma sem keyra ótakmarkað, keyra sem rót, misnota réttindi eða nota sjálfgefna þjónustureikninginn.

Kubeaudit hefur aðra áhugaverða eiginleika. Til dæmis getur það greint staðbundnar YAML skrár, greint stillingargalla sem gætu leitt til öryggisvandamála og lagað þau sjálfkrafa.

Kubesec

• Vefsíða: kubesec.io
• Leyfi: ókeypis (Apache)

Kubesec er sérstakt tól að því leyti að það skannar beint YAML skrár sem lýsa Kubernetes auðlindum og leitar að veikum breytum sem gætu haft áhrif á öryggi.

Til dæmis getur það greint óhófleg réttindi og heimildir sem eru veittar hólf, keyrt ílát með rót sem sjálfgefinn notanda, tengst nafnrými hýsilsins eða hættulegar festingar eins og /proc hýsil eða Docker tengi. Annar áhugaverður eiginleiki Kubesec er kynningarþjónustan sem er fáanleg á netinu, þar sem þú getur hlaðið YAML inn og greint það strax.

Opna stefnumiðlara

• Vefsíða: www.openpolicyagent.org
• Leyfi: ókeypis (Apache)

Hugmyndin um OPA (Open Policy Agent) er að aftengja öryggisstefnur og bestu starfsvenjur í öryggismálum frá tilteknum keyrsluvettvangi: Docker, Kubernetes, Mesosphere, OpenShift, eða hvaða samsetningu sem er.

Til dæmis geturðu notað OPA sem stuðning fyrir Kubernetes aðgangsstjórann og framselt öryggisákvarðanir til hans. Þannig getur OPA umboðsmaðurinn staðfest, hafnað og jafnvel breytt beiðnum á flugi og tryggt að tilgreindar öryggisbreytur séu uppfylltar. Öryggisreglur OPA eru skrifaðar á eigin DSL tungumáli, Rego.

Athugið. þýð.: Við skrifuðum meira um OPA (og SPIFFE) í þetta efni.

Alhliða viðskiptatæki fyrir Kubernetes öryggisgreiningu

Við ákváðum að búa til sérstakan flokk fyrir viðskiptavettvang vegna þess að þeir ná venjulega yfir mörg öryggissvæði. Almenna hugmynd um getu þeirra er hægt að fá í töflunni:

* Ítarleg skoðun og greining eftir slátrun með fullkomnu ræning kerfissímtala.

Aqua Security

• Vefsíða: www.aquasec.com
• Leyfi: auglýsing

Þetta auglýsingatól er hannað fyrir gáma og skýjaálag. Það veitir:

• Myndskönnun samþætt við gámaskrá eða CI/CD leiðslu;
• Runtime vernd með leit að breytingum á gámum og annarri grunsamlegri starfsemi;
• Innfæddur eldveggur í gáma;
• Öryggi fyrir netþjónalausa í skýjaþjónustu;
• Samræmisprófun og endurskoðun ásamt atburðaskráningu.

Athugið. þýð.: Það er líka rétt að taka það fram að það eru til ókeypis hluti vörunnar sem heitir MicroScanner, sem gerir þér kleift að skanna gámamyndir fyrir veikleika. Samanburður á getu þess við greiddar útgáfur er kynntur í þetta borð.

Hylki 8

• Vefsíða: capsule8.com
• Leyfi: auglýsing

Capsule8 fellur inn í innviðina með því að setja upp skynjarann ​​á staðbundnum eða skýja Kubernetes klasa. Þessi skynjari safnar hýsil- og netfjarmælingum og tengir það við mismunandi gerðir af árásum.

Capsule8 teymið lítur á verkefni sitt sem snemma uppgötvun og forvarnir gegn árásum með nýjum (0-dagur) varnarleysi. Capsule8 getur hlaðið niður uppfærðum öryggisreglum beint til skynjara til að bregðast við nýuppgötvuðum ógnum og hugbúnaðarveikleikum.

Kavírin

• Vefsíða: www.cavirin.com
• Leyfi: auglýsing

Cavirin starfar sem verktaki við fyrirtæki fyrir ýmsar stofnanir sem taka þátt í öryggisstöðlum. Það getur ekki aðeins skannað myndir, heldur getur það líka fellt inn í CI/CD leiðsluna og hindrað óhefðbundnar myndir áður en þær fara inn í lokaðar geymslur.

Öryggispakka Cavirin notar vélanám til að meta netöryggisstöðu þína og býður upp á ráð til að bæta öryggi og bæta samræmi við öryggisstaðla.

Stjórnstöð Google Cloud Security

• Vefsíða: cloud.google.com/security-command-center
• Leyfi: auglýsing

Cloud Security Command Center hjálpar öryggisteymum að safna gögnum, bera kennsl á ógnir og útrýma þeim áður en þær skaða fyrirtækið.

Eins og nafnið gefur til kynna er Google Cloud SCC sameinað stjórnborð sem getur samþætt og stjórnað ýmsum öryggisskýrslum, eignabókhaldsvélum og öryggiskerfum þriðja aðila frá einum miðstýrðum uppruna.

Samhæfða API sem Google Cloud SCC býður upp á gerir það auðvelt að samþætta öryggisatburði sem koma frá ýmsum aðilum, svo sem Sysdig Secure (gámaöryggi fyrir forrit sem eru innfædd í skýjum) eða Falco (Open Source runtime security).

Lagskipt innsýn (Qualys)

• Vefsíða: layeredinsight.com
• Leyfi: auglýsing

Layered Insight (nú hluti af Qualys Inc) er byggt á hugmyndinni um „innbyggt öryggi“. Eftir að hafa skannað upprunalegu myndina með tilliti til veikleika með því að nota tölfræðilega greiningu og CVE athuganir, kemur Layered Insight í staðinn fyrir tækjamynd sem inniheldur umboðsmanninn sem tvöfalda.

Þessi umboðsmaður inniheldur keyrsluöryggispróf til að greina netumferð gáma, I/O flæði og virkni forrita. Að auki getur það framkvæmt viðbótaröryggisskoðun sem tilgreind er af innviðastjórnanda eða DevOps teymum.

NeuVector

• Vefsíða: neuvector.com
• Leyfi: auglýsing

NeuVector athugar gámaöryggi og veitir keyrsluvörn með því að greina netvirkni og hegðun forrita, búa til einstakt öryggissnið fyrir hvern gám. Það getur líka hindrað ógnir á eigin spýtur, einangrað grunsamlega virkni með því að breyta staðbundnum eldveggsreglum.

Netsamþætting NeuVector, þekkt sem Security Mesh, er fær um djúpa pakkagreiningu og lag 7 síun fyrir allar nettengingar í þjónustunetinu.

StackRox

• Vefsíða: www.stackrox.com
• Leyfi: auglýsing

StackRox gámaöryggisvettvangurinn leitast við að ná yfir allan líftíma Kubernetes forrita í klasa. Eins og aðrir viðskiptavettvangar á þessum lista, býr StackRox til keyrslusnið byggt á gámahegðun sem sést og vekur sjálfkrafa viðvörun fyrir frávik.

Að auki greinir StackRox Kubernetes stillingar með því að nota Kubernetes CIS og aðrar reglubækur til að meta gámasamræmi.

Sysdig Secure

• Vefsíða: sysdig.com/products/secure
• Leyfi: auglýsing

Sysdig Secure verndar forrit í gegnum allan ílátið og Kubernetes líftímann. Hann skannar myndir gáma, veitir keyrslutímavörn samkvæmt gögnum um vélnám, framkvæmir krem. sérfræðiþekkingu til að bera kennsl á veikleika, hindra ógnir, fylgjast með samræmi við setta staðla og endurskoða starfsemi í örþjónustum.

Sysdig Secure samþættist CI/CD verkfæri eins og Jenkins og stjórnar myndum sem eru hlaðnar úr Docker skrám, sem kemur í veg fyrir að hættulegar myndir birtist í framleiðslu. Það veitir einnig alhliða keyrsluöryggi, þar á meðal:

• ML-undirstaða runtime profiling og fráviksgreining;
• keyrslustefnur byggðar á kerfisviðburðum, K8s-endurskoðun API, sameiginlegum samfélagsverkefnum (FIM - eftirlit með heiðarleika skráa; cryptojacking) og ramma MITER ATT&CK;
• viðbrögð og úrlausn atvika.

Tenable Container Security

• Vefsíða: www.tenable.com/products/tenable-io/container-security
• Leyfi: auglýsing

Áður en gámarnir komu til sögunnar var Tenable víða þekkt í greininni sem fyrirtækið á bak við Nessus, vinsælt tæki til varnarleysisleitar og öryggisúttektar.

Tenable Container Security nýtir sérfræðiþekkingu fyrirtækisins á tölvuöryggi til að samþætta CI/CD leiðslu við varnarleysisgagnagrunna, sérhæfða uppgötvunarpakka fyrir spilliforrit og ráðleggingar til að leysa öryggisógnir.

Twistlock (Palo Alto Networks)

• Vefsíða: www.twistlock.com
• Leyfi: auglýsing

Twistlock kynnir sig sem vettvang með áherslu á skýjaþjónustu og gáma. Twistlock styður ýmsa skýjaveitur (AWS, Azure, GCP), gámahópa (Kubernetes, Mesospehere, OpenShift, Docker), netþjónalausa keyrslutíma, möskva ramma og CI/CD verkfæri.

Til viðbótar við hefðbundnar öryggisaðferðir eins og CI/CD leiðslusamþættingu eða myndskönnun, notar Twistlock vélanám til að búa til gámasértæk hegðunarmynstur og netreglur.

Fyrir nokkru síðan var Twistlock keypt af Palo Alto Networks, sem á Evident.io og RedLock verkefnin. Ekki er enn vitað hvernig nákvæmlega þessir þrír pallar verða samþættir PRISMA frá Palo Alto.

Hjálpaðu til við að búa til besta vörulistann yfir Kubernetes öryggisverkfæri!

Við kappkostum að gera þessa vörulista eins fullkomna og hægt er og til þess þurfum við hjálp þína! Hafðu samband við okkur (@sysdig) ef þú ert með flott tól í huga sem er þess virði að vera með á þessum lista, eða þú finnur villu/úreltar upplýsingar.

Þú getur líka gerst áskrifandi að okkar mánaðarlegt fréttabréf með fréttum frá vistkerfi skýja og sögum um áhugaverð verkefni úr Kubernetes öryggisheiminum.

PS frá þýðanda

Lestu líka á blogginu okkar:

• «Kynning á netstefnu Kubernetes fyrir öryggissérfræðinga»;
• «Docker og Kubernetes í öryggisviðkvæmu umhverfi»;
• «9 bestu starfsvenjur fyrir Kubernetes öryggi»;
• «11 leiðir til að (ekki) verða fórnarlamb Kubernetes hakks»;
• «OPA og SPIFFE eru tvö ný verkefni hjá CNCF fyrir öryggi skýjaforrita'.

Heimild: www.habr.com