Oltre 33 strumenti di sicurezza Kubernetes

Nota. trad.: Se ti stai interrogando sulla sicurezza nell'infrastruttura basata su Kubernetes, questa eccellente panoramica di Sysdig è un ottimo punto di partenza per una rapida occhiata alle soluzioni attuali. Comprende sia sistemi complessi di noti attori del mercato sia utilità molto più modeste che risolvono un particolare problema. E nei commenti, come sempre, saremo felici di conoscere la tua esperienza nell'utilizzo di questi strumenti e vedere collegamenti ad altri progetti.

I prodotti software di sicurezza Kubernetes... ce ne sono tantissimi, ciascuno con i propri obiettivi, ambito e licenze.

Ecco perché abbiamo deciso di creare questo elenco e includere sia progetti open source che piattaforme commerciali di diversi fornitori. Ci auguriamo che ti aiuti a identificare quelli di maggior interesse e ti indichi la giusta direzione in base alle tue specifiche esigenze di sicurezza Kubernetes.

categoria

Per facilitare la navigazione nell'elenco, gli strumenti sono organizzati per funzione principale e applicazione. Sono state ottenute le seguenti sezioni:

• Scansione delle immagini Kubernetes e analisi statica;
• Sicurezza durante l'esecuzione;
• Sicurezza della rete Kubernetes;
• Distribuzione delle immagini e gestione dei segreti;
• Controllo della sicurezza Kubernetes;
• Prodotti commerciali completi.

Andiamo al sodo:

Scansione di immagini Kubernetes

ancora

• Sito web: Anchore.com
• Licenza: gratuita (Apache) e offerta commerciale

Anchore analizza le immagini dei contenitori e consente controlli di sicurezza in base a policy definite dall'utente.

Oltre alla consueta scansione delle immagini del contenitore per le vulnerabilità note dal database CVE, Anchore esegue molti controlli aggiuntivi come parte della sua politica di scansione: controlla il Dockerfile, le perdite di credenziali, i pacchetti dei linguaggi di programmazione utilizzati (npm, maven, ecc.) .), licenze software e molto altro ancora .

Chiaro

• Sito web: coreos.com/clair (ora sotto la tutela di Red Hat)
• Licenza: gratuita (Apache)

Clair è stato uno dei primi progetti Open Source per la scansione di immagini. È ampiamente noto come lo scanner di sicurezza dietro il registro delle immagini di Quay (anche da CoreOS - ca. traduzione). Clair può raccogliere informazioni CVE da un'ampia varietà di fonti, inclusi elenchi di vulnerabilità specifiche della distribuzione Linux gestiti dai team di sicurezza Debian, Red Hat o Ubuntu.

A differenza di Anchore, Clair si concentra principalmente sulla ricerca di vulnerabilità e sulla corrispondenza dei dati con i CVE. Tuttavia, il prodotto offre agli utenti alcune opportunità per espandere le funzioni utilizzando driver plug-in.

Dada

• Sito web: github.com/eliasgranderubio/dagda
• Licenza: gratuita (Apache)

Dagda esegue analisi statiche delle immagini del contenitore per vulnerabilità note, trojan, virus, malware e altre minacce.

Due caratteristiche notevoli distinguono Dagda da altri strumenti simili:

• Si integra perfettamente con ClamAV, agendo non solo come strumento per la scansione delle immagini dei contenitori, ma anche come antivirus.
• Fornisce inoltre protezione runtime ricevendo eventi in tempo reale dal demone Docker e integrandosi con Falco (vedi sotto) per raccogliere eventi di sicurezza mentre il contenitore è in esecuzione.

KubeXray

• Sito web: github.com/jfrog/kubexray
• Licenza: gratuita (Apache), ma richiede dati da JFrog Xray (prodotto commerciale)

KubeXray ascolta gli eventi dal server API Kubernetes e utilizza i metadati di JFrog Xray per garantire che vengano avviati solo i pod che corrispondono alla policy corrente.

KubeXray non solo controlla i contenitori nuovi o aggiornati nelle distribuzioni (simile al controller di ammissione in Kubernetes), ma controlla anche dinamicamente i contenitori in esecuzione per verificarne la conformità con le nuove politiche di sicurezza, rimuovendo le risorse che fanno riferimento a immagini vulnerabili.

Snyk

• Sito web: snyk.io
• Licenza: versione gratuita (Apache) e commerciale

Snyk è uno scanner di vulnerabilità insolito in quanto prende di mira specificamente il processo di sviluppo e viene promosso come una "soluzione essenziale" per gli sviluppatori.

Snyk si connette direttamente ai repository di codice, analizza il manifest del progetto e analizza il codice importato insieme alle dipendenze dirette e indirette. Snyk supporta molti linguaggi di programmazione popolari ed è in grado di identificare i rischi nascosti delle licenze.

curiosità

• Sito web: github.com/knqyf263/trivy
• Licenza: gratuita (AGPL)

Trivy è uno scanner di vulnerabilità semplice ma potente per contenitori che si integra facilmente in una pipeline CI/CD. La sua caratteristica notevole è la facilità di installazione e funzionamento: l'applicazione è costituita da un unico binario e non richiede l'installazione di un database o di librerie aggiuntive.

Lo svantaggio della semplicità di Trivy è che devi capire come analizzare e inoltrare i risultati in formato JSON in modo che altri strumenti di sicurezza Kubernetes possano utilizzarli.

Sicurezza del runtime in Kubernetes

Falco

• Sito web: falco.org
• Licenza: gratuita (Apache)

Falco è un insieme di strumenti per proteggere gli ambienti runtime cloud. Parte della famiglia di progetti CNCF.

Utilizzando gli strumenti a livello di kernel Linux di Sysdig e la profilazione delle chiamate di sistema, Falco ti consente di approfondire il comportamento del sistema. Il suo motore di regole di runtime è in grado di rilevare attività sospette nelle applicazioni, nei contenitori, nell'host sottostante e nell'orchestratore Kubernetes.

Falco fornisce completa trasparenza nel runtime e nel rilevamento delle minacce distribuendo agenti speciali sui nodi Kubernetes per questi scopi. Di conseguenza, non è necessario modificare i contenitori introducendovi codice di terze parti o aggiungendo contenitori sidecar.

Framework di sicurezza Linux per il runtime

Questi framework nativi per il kernel Linux non sono “strumenti di sicurezza Kubernetes” nel senso tradizionale, ma vale la pena menzionarli perché sono un elemento importante nel contesto della sicurezza runtime, che è inclusa nella Kubernetes Pod Security Policy (PSP).

AppArmor associa un profilo di sicurezza ai processi in esecuzione nel contenitore, definendo i privilegi del file system, le regole di accesso alla rete, collegando le librerie, ecc. Si tratta di un sistema basato sul Mandatory Access Control (MAC). In altre parole, impedisce che vengano eseguite azioni vietate.

Linux con sicurezza avanzata (SELinux) è un modulo di sicurezza avanzato nel kernel Linux, simile per alcuni aspetti ad AppArmor e spesso paragonato ad esso. SELinux è superiore ad AppArmor in termini di potenza, flessibilità e personalizzazione. I suoi svantaggi sono la lunga curva di apprendimento e la maggiore complessità.

Seccomp e seccomp-bpf consentono di filtrare le chiamate di sistema, bloccare l'esecuzione di quelle potenzialmente pericolose per il sistema operativo di base e non necessarie per il normale funzionamento delle applicazioni utente. Seccomp è per certi versi simile a Falco, anche se non conosce le specificità dei container.

Sysdig open source

• Sito web: www.sysdig.com/opensource
• Licenza: gratuita (Apache)

Sysdig è uno strumento completo per l'analisi, la diagnosi e il debug dei sistemi Linux (funziona anche su Windows e macOS, ma con funzioni limitate). Può essere utilizzato per la raccolta dettagliata di informazioni, la verifica e l'analisi forense. (forense) il sistema di base e tutti i contenitori in esecuzione su di esso.

Sysdig supporta anche nativamente i runtime dei contenitori e i metadati Kubernetes, aggiungendo ulteriori dimensioni ed etichette a tutte le informazioni sul comportamento del sistema che raccoglie. Esistono diversi modi per analizzare un cluster Kubernetes utilizzando Sysdig: puoi eseguire l'acquisizione point-in-time tramite cattura kubectl oppure avvia un'interfaccia interattiva basata su ncurses utilizzando un plug-in kubectl scavare.

Sicurezza della rete Kubernetes

Aporeto

• Sito web: www.aporeto.com
• Licenza: commerciale

Aporeto offre "sicurezza separata dalla rete e dalle infrastrutture". Ciò significa che i servizi Kubernetes non solo ricevono un ID locale (ovvero ServiceAccount in Kubernetes), ma anche un ID/impronta digitale universale che può essere utilizzato per comunicare in modo sicuro e reciproco con qualsiasi altro servizio, ad esempio in un cluster OpenShift.

Aporeto è in grado di generare un ID univoco non solo per Kubernetes/container, ma anche per host, funzioni cloud e utenti. A seconda di questi identificatori e dell'insieme di regole di sicurezza della rete impostate dall'amministratore, le comunicazioni verranno consentite o bloccate.

Calico

• Sito web: www.projectcalico.org
• Licenza: gratuita (Apache)

Calico viene in genere distribuito durante l'installazione di un orchestrator di contenitori, consentendo di creare una rete virtuale che interconnette i contenitori. Oltre a questa funzionalità di rete di base, il progetto Calico funziona con le policy di rete Kubernetes e il proprio set di profili di sicurezza di rete, supporta ACL endpoint (elenchi di controllo degli accessi) e regole di sicurezza di rete basate su annotazioni per il traffico in entrata e in uscita.

Ciglio

• Sito web: www.cilium.io
• Licenza: gratuita (Apache)

Cilium funge da firewall per i container e fornisce funzionalità di sicurezza di rete personalizzate in modo nativo per Kubernetes e carichi di lavoro di microservizi. Cilium utilizza una nuova tecnologia del kernel Linux chiamata BPF (Berkeley Packet Filter) per filtrare, monitorare, reindirizzare e correggere i dati.

Cilium è in grado di implementare policy di accesso alla rete basate su ID contenitore utilizzando etichette e metadati Docker o Kubernetes. Cilium inoltre comprende e filtra vari protocolli Layer 7 come HTTP o gRPC, consentendoti di definire una serie di chiamate REST che saranno consentite tra due distribuzioni Kubernetes, ad esempio.

Istio

• Sito web: istio.io
• Licenza: gratuita (Apache)

Istio è ampiamente noto per l'implementazione del paradigma della rete di servizi distribuendo un piano di controllo indipendente dalla piattaforma e instradando tutto il traffico dei servizi gestiti attraverso proxy Envoy configurabili dinamicamente. Istio sfrutta questa visione avanzata di tutti i microservizi e contenitori per implementare varie strategie di sicurezza della rete.

Le funzionalità di sicurezza della rete di Istio includono la crittografia TLS trasparente per aggiornare automaticamente le comunicazioni tra i microservizi a HTTPS e un sistema proprietario di identificazione e autorizzazione RBAC per consentire/negare la comunicazione tra diversi carichi di lavoro nel cluster.

Nota. trad.: per saperne di più sulle funzionalità incentrate sulla sicurezza di Istio, leggi questo articolo.

Tigera

• Sito web: www.tigera.io
• Licenza: commerciale

Chiamata “Kubernetes Firewall”, questa soluzione enfatizza un approccio zero-trust alla sicurezza della rete.

Analogamente ad altre soluzioni di rete native Kubernetes, Tigera si affida ai metadati per identificare i vari servizi e oggetti nel cluster e fornisce rilevamento dei problemi di runtime, controllo continuo della conformità e visibilità della rete per infrastrutture multi-cloud o ibride monolitiche containerizzate.

Trireme

• Sito web: www.aporeto.com/opensource
• Licenza: gratuita (Apache)

Trireme-Kubernetes è un'implementazione semplice e diretta della specifica delle policy di rete Kubernetes. La caratteristica più notevole è che, a differenza di prodotti simili per la sicurezza di rete Kubernetes, non richiede un piano di controllo centrale per coordinare la mesh. Ciò rende la soluzione banalmente scalabile. In Trireme, ciò si ottiene installando un agente su ciascun nodo che si connette direttamente allo stack TCP/IP dell'host.

Propagazione delle immagini e gestione dei segreti

Grafeas

• Sito web: grafeas.io
• Licenza: gratuita (Apache)

Grafeas è un'API open source per il controllo e la gestione della catena di fornitura di software. A livello base, Grafeas è uno strumento per la raccolta di metadati e risultati di audit. Può essere utilizzato per monitorare la conformità alle migliori pratiche di sicurezza all'interno di un'organizzazione.

Questa fonte di verità centralizzata aiuta a rispondere a domande come:

• Chi ha ritirato e firmato per un particolare contenitore?
• Ha superato tutte le scansioni e i controlli di sicurezza richiesti dalla politica di sicurezza? Quando? Quali sono stati i risultati?
• Chi lo ha distribuito alla produzione? Quali parametri specifici sono stati utilizzati durante la distribuzione?

In toto

• Sito web: in-toto.github.io
• Licenza: gratuita (Apache)

In-toto è un framework progettato per garantire integrità, autenticazione e controllo dell'intera catena di fornitura del software. Quando si distribuisce In-toto in un'infrastruttura, viene innanzitutto definito un piano che descrive le varie fasi della pipeline (repository, strumenti CI/CD, strumenti QA, raccoglitori di artefatti, ecc.) e gli utenti (persone responsabili) a cui è consentito avviarli.

In-toto monitora l'esecuzione del piano, verificando che ogni attività della catena sia eseguita correttamente solo da personale autorizzato e che non siano state effettuate manipolazioni non autorizzate del prodotto durante la movimentazione.

Portieri

• Sito web: github.com/IBM/portieris
• Licenza: gratuita (Apache)

Portieris è un controller di ammissione per Kubernetes; utilizzato per applicare i controlli di attendibilità dei contenuti. Portieris utilizza un server Notaio (abbiamo scritto di lui alla fine questo articolo - ca. traduzione) come fonte di verità per convalidare artefatti attendibili e firmati (ovvero immagini di contenitori approvati).

Quando un carico di lavoro viene creato o modificato in Kubernetes, Portieris scarica le informazioni sulla firma e la policy di attendibilità dei contenuti per le immagini del contenitore richieste e, se necessario, apporta modifiche al volo all'oggetto API JSON per eseguire versioni firmate di tali immagini.

Volta

• Sito web: www.vaultproject.io
• Licenza: gratuita (MPL)

Vault è una soluzione sicura per l'archiviazione di informazioni private: password, token OAuth, certificati PKI, account di accesso, segreti Kubernetes, ecc. Vault supporta molte funzionalità avanzate, come il noleggio di token di sicurezza temporanei o l'organizzazione della rotazione delle chiavi.

Utilizzando il grafico Helm, Vault può essere distribuito come nuova distribuzione in un cluster Kubernetes con Consul come spazio di archiviazione backend. Supporta risorse Kubernetes native come i token ServiceAccount e può anche fungere da archivio predefinito per i segreti Kubernetes.

Nota. trad.: A proposito, proprio ieri la società HashiCorp, che sviluppa Vault, ha annunciato alcuni miglioramenti per l'utilizzo di Vault in Kubernetes, e in particolare riguardano il grafico Helm. Leggi di più in blog degli sviluppatori.

Controllo della sicurezza di Kubernetes

Panca Kube

• Sito web: github.com/aquasecurity/kube-bench
• Licenza: gratuita (Apache)

Kube-bench è un'applicazione Go che verifica se Kubernetes è distribuito in modo sicuro eseguendo test da un elenco Benchmark CIS Kubernetes.

Kube-bench cerca impostazioni di configurazione non sicure tra i componenti del cluster (etcd, API, controller manager, ecc.), diritti di accesso ai file discutibili, account non protetti o porte aperte, quote di risorse, impostazioni per limitare il numero di chiamate API per proteggersi dagli attacchi DoS , eccetera.

Sii un cacciatore

• Sito web: github.com/aquasecurity/kube-hunter
• Licenza: gratuita (Apache)

Kube-hunter va alla ricerca di potenziali vulnerabilità (come l'esecuzione di codice remoto o la divulgazione di dati) nei cluster Kubernetes. Kube-hunter può essere eseguito come scanner remoto, nel qual caso valuterà il cluster dal punto di vista di un aggressore di terze parti, o come pod all'interno del cluster.

Una caratteristica distintiva di Kube-hunter è la sua modalità di “caccia attiva”, durante la quale non solo segnala problemi, ma cerca anche di sfruttare le vulnerabilità scoperte nel cluster target che potrebbero potenzialmente comprometterne il funzionamento. Quindi usare con cautela!

Kubeaudit

• Sito web: github.com/Shopify/kubeaudit
• Licenza: gratuita (MIT)

Kubeaudit è uno strumento console originariamente sviluppato su Shopify per verificare la configurazione di Kubernetes per vari problemi di sicurezza. Ad esempio, aiuta a identificare i contenitori eseguiti senza restrizioni, eseguiti come root, che abusano dei privilegi o che utilizzano il ServiceAccount predefinito.

Kubeaudit ha altre caratteristiche interessanti. Ad esempio, può analizzare file YAML locali, identificare difetti di configurazione che potrebbero portare a problemi di sicurezza e risolverli automaticamente.

Kubesec

• Sito web: kubesec.io
• Licenza: gratuita (Apache)

Kubesec è uno strumento speciale in quanto esegue direttamente la scansione dei file YAML che descrivono le risorse Kubernetes, alla ricerca di parametri deboli che potrebbero influire sulla sicurezza.

Ad esempio, può rilevare privilegi e autorizzazioni eccessivi concessi a un pod, eseguire un contenitore con root come utente predefinito, connettersi allo spazio dei nomi di rete dell'host o montaggi pericolosi come /proc host o socket Docker. Un'altra caratteristica interessante di Kubesec è il servizio demo disponibile online, nel quale è possibile caricare YAML e analizzarlo immediatamente.

Agente di politica aperto

• Sito web: www.openpolicyagent.org
• Licenza: gratuita (Apache)

Il concetto di OPA (Open Policy Agent) è quello di separare le policy di sicurezza e le migliori pratiche di sicurezza da una piattaforma runtime specifica: Docker, Kubernetes, Mesosphere, OpenShift o qualsiasi combinazione di essi.

Ad esempio, puoi distribuire OPA come backend per il controller di ammissione Kubernetes, delegandogli le decisioni sulla sicurezza. In questo modo, l'agente OPA può convalidare, rifiutare e persino modificare le richieste al volo, garantendo che i parametri di sicurezza specificati siano soddisfatti. Le politiche di sicurezza di OPA sono scritte nel suo linguaggio DSL proprietario, Rego.

Nota. trad.: Abbiamo scritto di più su OPA (e SPIFFE) in questa roba.

Strumenti commerciali completi per l'analisi della sicurezza Kubernetes

Abbiamo deciso di creare una categoria separata per le piattaforme commerciali perché in genere coprono più aree di sicurezza. Un'idea generale delle loro capacità può essere ottenuta dalla tabella:

* Esame avanzato e analisi post mortem completa dirottamento delle chiamate di sistema.

Sicurezza dell'acqua

• Sito web: www.aquasec.com
• Licenza: commerciale

Questo strumento commerciale è progettato per contenitori e carichi di lavoro cloud. Fornisce:

• Scansione delle immagini integrata con un registro dei contenitori o una pipeline CI/CD;
• Protezione runtime con ricerca di modifiche nei contenitori e altre attività sospette;
• Firewall nativo del contenitore;
• Sicurezza per servizi serverless in cloud;
• Test e audit di conformità combinati con la registrazione degli eventi.

Nota. trad.: Vale anche la pena notare che ci sono componente gratuito del prodotto denominato Microscanner, che consente di scansionare le immagini del contenitore per individuare eventuali vulnerabilità. Un confronto delle sue capacità con le versioni a pagamento è presentato in questo tavolo.

Capsula8

• Sito web: capsule8.com
• Licenza: commerciale

Capsule8 si integra nell'infrastruttura installando il rilevatore su un cluster Kubernetes locale o cloud. Questo rilevatore raccoglie i dati di telemetria dell'host e della rete, correlandoli con diversi tipi di attacchi.

Il team di Capsule8 considera il proprio compito il rilevamento tempestivo e la prevenzione degli attacchi tramite nuovi (0 giorni) vulnerabilità. Capsule8 può scaricare le regole di sicurezza aggiornate direttamente sui rilevatori in risposta alle minacce e alle vulnerabilità del software appena scoperte.

Cavirin

• Sito web: www.cavirin.com
• Licenza: commerciale

Cavirin agisce come appaltatore aziendale per varie agenzie coinvolte negli standard di sicurezza. Non solo può scansionare le immagini, ma può anche integrarsi nella pipeline CI/CD, bloccando le immagini non standard prima che entrino in repository chiusi.

La suite di sicurezza di Cavirin utilizza l'apprendimento automatico per valutare la tua posizione in materia di sicurezza informatica, offrendo suggerimenti per migliorare la sicurezza e migliorare la conformità agli standard di sicurezza.

Centro di comando per la sicurezza di Google Cloud

• Sito web: cloud.google.com/security-command-center
• Licenza: commerciale

Cloud Security Command Center aiuta i team di sicurezza a raccogliere dati, identificare le minacce ed eliminarle prima che danneggino l'azienda.

Come suggerisce il nome, Google Cloud SCC è un pannello di controllo unificato in grado di integrare e gestire una varietà di report sulla sicurezza, motori di contabilità delle risorse e sistemi di sicurezza di terze parti da un'unica fonte centralizzata.

L'API interoperabile offerta da Google Cloud SCC semplifica l'integrazione di eventi di sicurezza provenienti da varie fonti, come Sysdig Secure (sicurezza dei contenitori per applicazioni native del cloud) o Falco (sicurezza runtime Open Source).

Intuizione a più livelli (Qualys)

• Sito web: layeredinsight.com
• Licenza: commerciale

Layered Insight (ora parte di Qualys Inc) si basa sul concetto di “sicurezza integrata”. Dopo aver scansionato l'immagine originale per individuare eventuali vulnerabilità utilizzando l'analisi statistica e i controlli CVE, Layered Insight la sostituisce con un'immagine strumentata che include l'agente come binario.

Questo agente contiene test di sicurezza in fase di esecuzione per analizzare il traffico di rete dei contenitori, i flussi di I/O e l'attività delle applicazioni. Inoltre, può eseguire ulteriori controlli di sicurezza specificati dall'amministratore dell'infrastruttura o dai team DevOps.

NeuVector

• Sito web: neutrovettore.com
• Licenza: commerciale

NeuVector controlla la sicurezza del contenitore e fornisce protezione in fase di esecuzione analizzando l'attività di rete e il comportamento delle applicazioni, creando un profilo di sicurezza individuale per ciascun contenitore. Può anche bloccare autonomamente le minacce, isolando attività sospette modificando le regole del firewall locale.

L'integrazione di rete di NeuVector, nota come Security Mesh, è in grado di eseguire un'analisi approfondita dei pacchetti e un filtraggio di livello 7 per tutte le connessioni di rete nella rete di servizi.

StackRox

• Sito web: www.stackrox.com
• Licenza: commerciale

La piattaforma di sicurezza dei contenitori StackRox si impegna a coprire l'intero ciclo di vita delle applicazioni Kubernetes in un cluster. Come altre piattaforme commerciali presenti in questo elenco, StackRox genera un profilo di runtime basato sul comportamento osservato del contenitore e genera automaticamente un allarme per eventuali deviazioni.

Inoltre, StackRox analizza le configurazioni Kubernetes utilizzando Kubernetes CIS e altri manuali per valutare la conformità del contenitore.

Sysdig sicuro

• Sito web: sysdig.com/products/secure
• Licenza: commerciale

Sysdig Secure protegge le applicazioni durante l'intero ciclo di vita del container e di Kubernetes. Lui scansiona le immagini contenitori, fornisce protezione durante l'esecuzione secondo i dati di apprendimento automatico, esegue la crema. competenze per identificare vulnerabilità, bloccare minacce, monitorare rispetto degli standard stabiliti e controlla l'attività nei microservizi.

Sysdig Secure si integra con strumenti CI/CD come Jenkins e controlla le immagini caricate dai registri Docker, impedendo la comparsa di immagini pericolose in produzione. Fornisce inoltre una sicurezza di runtime completa, tra cui:

• Profilazione runtime basata su ML e rilevamento di anomalie;
• policy di runtime basate su eventi di sistema, API di controllo K8s, progetti congiunti della comunità (FIM - monitoraggio dell'integrità dei file; cryptojacking) e framework MITRE ATT & CK;
• risposta e risoluzione degli incidenti.

Sicurezza sostenibile dei container

• Sito web: www.tenable.com/products/tenable-io/container-security
• Licenza: commerciale

Prima dell’avvento dei container, Tenable era ampiamente conosciuta nel settore come la società dietro Nessus, un popolare strumento di caccia alle vulnerabilità e di controllo della sicurezza.

Tenable Container Security sfrutta l'esperienza dell'azienda in materia di sicurezza informatica per integrare una pipeline CI/CD con database di vulnerabilità, pacchetti specializzati di rilevamento di malware e consigli per la risoluzione delle minacce alla sicurezza.

Twistlock (Reti di Palo Alto)

• Sito web: www.twistlock.com
• Licenza: commerciale

Twistlock si propone come una piattaforma focalizzata su servizi cloud e contenitori. Twistlock supporta vari provider cloud (AWS, Azure, GCP), orchestratori di contenitori (Kubernetes, Mesospehere, OpenShift, Docker), runtime serverless, framework mesh e strumenti CI/CD.

Oltre alle tradizionali tecniche di sicurezza di livello aziendale come l'integrazione della pipeline CI/CD o la scansione delle immagini, Twistlock utilizza l'apprendimento automatico per generare modelli comportamentali e regole di rete specifici del contenitore.

Qualche tempo fa, Twistlock è stata acquistata da Palo Alto Networks, proprietaria dei progetti Evident.io e RedLock. Non è ancora noto come verranno integrate esattamente queste tre piattaforme PRISMA da Palo Alto.

Aiutaci a creare il miglior catalogo di strumenti di sicurezza Kubernetes!

Ci impegniamo a rendere questo catalogo il più completo possibile, e per questo abbiamo bisogno del tuo aiuto! Contattaci (@sysdig) se hai in mente uno strumento interessante che merita di essere incluso in questo elenco o trovi un errore/informazioni obsolete.

Puoi anche iscriverti al ns Newsletter mensile con notizie dall'ecosistema cloud-native e storie su progetti interessanti dal mondo della sicurezza Kubernetes.

PS da traduttore

Leggi anche sul nostro blog:

• «Un'introduzione alle policy di rete Kubernetes per i professionisti della sicurezza";
• «Docker e Kubernetes in ambienti sensibili alla sicurezza";
• «9 best practice per la sicurezza di Kubernetes";
• «11 modi per (non) diventare vittima di un hack di Kubernetes";
• «OPA e SPIFFE sono due nuovi progetti al CNCF per la sicurezza delle applicazioni cloud'.

Fonte: habr.com