🥇33+ כלי אבטחה של Kubernetes

הערה. תרגום: אם אתה תוהה לגבי בעיות אבטחה בתשתית מבוססת Kubernetes, סקירה מצוינת זו של Sysdig היא נקודת התחלה מצוינת להיכרות מהירה עם הפתרונות הרלוונטיים היום. הוא כולל גם מערכות מורכבות של שחקנים מוכרים בשוק, וגם כלי עזר הרבה יותר צנועים שמכסים בעיה מסוימת. ובתגובות, אנחנו, כמו תמיד, נשמח ללמוד על הניסיון שלכם בשימוש בכלים אלו ולראות קישורים לפרויקטים נוספים.

מוצרי תוכנת האבטחה של Kubernetes... יש כל כך הרבה, ולכל אחד יש מטרה, היקף ורישיונות משלו.

לכן החלטנו ליצור את הרשימה הזו וכללנו גם פרויקטי קוד פתוח וגם פלטפורמות מסחריות של ספקים שונים. אנו מקווים שזה יעזור לך לבחור את אלה המעניינים ביותר ולכוון אותך בכיוון הנכון בהתבסס על צרכי האבטחה הספציפיים שלך של Kubernetes.

קטגוריות

כדי להקל על הניווט ברשימה, הכלים מסווגים לפי פונקציה ויישום עיקריים. הסעיפים המתקבלים הם:

סריקת תמונות וניתוח סטטי של Kubernetes;
אבטחת זמן ריצה;
אבטחת רשת Kubernetes;
הפצת תמונות וניהול סודות;
ביקורת אבטחה Kubernetes;
מוצרים מסחריים מורכבים.

בוא ניגש לעניין:

סריקת תמונות Kubernetes

עוגן

אתר אינטרנט: anchore.com
רישיון: חינם (Apache) והצעה מסחרית

חבילת Anchore מנתחת תמונות מיכל ומאפשרת בדיקות אבטחה על סמך מדיניות מוגדרת על ידי המשתמש.

בנוסף לסריקה הרגילה של תמונות קונטיינר לאיתור נקודות תורפה ידועות ממסד הנתונים של CVE, Anchore מבצעת בדיקות נוספות רבות כחלק ממדיניות הסריקה: בדיקת Dockerfile, אישורי דליפה, חבילות של שפות תכנות בהן נעשה שימוש (npm, maven וכו'). , רישיונות תוכנה ועוד ועוד.

Clair

אתר אינטרנט: coreos.com/clair (עכשיו בהדרכת רד האט)
רישיון: חינם (Apache)

קלייר היה אחד מפרויקטי הקוד הפתוח הראשונים לסריקת תמונות. זה ידוע כסורק האבטחה מאחורי רישום התמונות של Quay. (גם מ-CoreOS - משוער. תרגום). קלייר מסוגלת לאסוף מידע על CVEs ממגוון רחב של מקורות, כולל רשימות של פגיעויות ספציפיות להפצה של לינוקס המתוחזקות על ידי צוותי האבטחה של Debian, Red Hat או Ubuntu.

בניגוד לאאנקור, קלייר מתמקדת בעיקר באיתור נקודות תורפה והתאמת נתונים ל-CVE. עם זאת, המוצר אכן מציע למשתמשים כמה אפשרויות להרחבת הפונקציונליות באמצעות מנהלי התקנים של פלאגין.

דגדה

אתר אינטרנט: github.com/eliasgranderubio/dagda
רישיון: חינם (Apache)

Dagda מנתחת באופן סטטי תמונות מיכל עבור פגיעויות ידועות, סוסים טרויאניים, וירוסים, תוכנות זדוניות ואיומים אחרים.

חבילת Dagda שונה מכלים דומים אחרים בשתי דרכים בולטות:

זה משתלב היטב עם ClamAV, הפועל לא רק ככלי לסריקת תמונות מיכל, אלא גם כאנטי וירוס.
מספק גם הגנה בזמן ריצה על ידי קבלת אירועים בזמן אמת מהדמון Docker ושילוב עם Falco (ראה למטה) כדי לאסוף אירועי אבטחה בזמן שהמכולה פועלת.

KubeXray

אתר אינטרנט: github.com/jfrog/kubexray
רישיון: חינם (Apache), אך דורש נתונים מ-JFrog Xray (מוצר מסחרי)

KubeXray מאזין לאירועים משרת Kubernetes API ומשתמש במטא נתונים מ-JFrog Xray כדי להבטיח שרק פודים שתואמים למדיניות הנוכחית יתחילו.

KubeXray לא רק בודק קונטיינרים חדשים או מעודכנים בפריסות (בדומה לבקר הקבלה ב-Kubernetes), אלא גם בודק באופן דינמי קונטיינרים פועלים לגבי תאימות למדיניות אבטחה חדשה, ומסיר משאבים המתייחסים לתמונות פגיעות.

סניק

אתר אינטרנט: snyk.io
רישיון: גרסאות חינם (Apache) ומסחריות

Snyk הוא סורק פגיעות יוצא דופן במובן זה שהוא מכוון ספציפית לתהליך הפיתוח ומקודם כ"פתרון חיוני" למפתחים.

Snyk מתחבר ישירות למאגרי קוד, מנתח את המניפסט של הפרויקט ומנתח קוד מיובא יחד עם תלות ישירה ועקיפה. Snyk תומך בשפות תכנות פופולריות רבות ויכול לזהות סיכוני רישוי נסתרים.

טריווי

אתר אינטרנט: github.com/knqyf263/trivy
רישיון: חינם (AGPL)

Trivy הוא סורק פגיעות מיכל פשוט אך רב עוצמה המשתלב בקלות בצינור CI/CD. התכונה המדהימה שלו היא קלות ההתקנה והתפעול: האפליקציה מורכבת מקובץ בינארי אחד ואינה דורשת התקנה של מסד נתונים או ספריות נוספות.

החיסרון של הפשטות של Trivy הוא שאתה צריך להבין איך לנתח ולשלוח תוצאות JSON כדי שכלי אבטחה אחרים של Kubernetes יוכלו להשתמש בהם.

אבטחת זמן ריצה ב-Kubernetes

פאלקו

אתר אינטרנט: falco.org
רישיון: חינם (Apache)

Falco היא חבילת כלים לאבטחת זמני ריצה בענן. חלק ממשפחת פרויקטים CNCF.

באמצעות ערכת הכלים של Sysdig לעבודה ברמת ליבת לינוקס ויצירת פרופיל קריאות למערכת, Falco מאפשרת לך לצלול עמוק לתוך התנהגות המערכת. מנוע חוקי זמן הריצה שלו מסוגל לזהות פעילות חשודה באפליקציות, קונטיינרים, המארח הבסיסי ובמתזמר Kubernetes.

Falco מספקת שקיפות מלאה בתפעול בזמן ריצה ובזיהוי איומים על ידי הגדרת סוכנים מיוחדים בצמתי Kubernetes למטרה זו. כתוצאה מכך, אין צורך לשנות מכולות על ידי הזרקת קוד של צד שלישי לתוכם או תליית מכולות צדדיות.

מסגרות אבטחה של לינוקס לזמן ריצה

מסגרות אלו, מקוריות לליבה של לינוקס, אינן "כלי אבטחה של Kubernetes" במובן הרגיל, אך ראויות לציון כי הן מהוות מרכיב חשוב בהקשר של אבטחת זמן ריצה, הכלולה במדיניות האבטחה של Kubernetes Pod Security (PSP). .

AppArmor מצרף פרופיל אבטחה לתהליכים הפועלים בקונטיינר, הגדרת הרשאות מערכת קבצים, כללי גישה לרשת, קישור ספריות וכו'. זוהי מערכת מבוססת בקרת גישה חובה (MAC). במילים אחרות, היא מונעת ביצוע פעולות אסורות.

לינוקס משופרת באבטחה (SELinux) הוא מודול אבטחה מתקדם בליבת הלינוקס, דומה במובנים מסוימים ל-AppArmor ולעתים קרובות בהשוואה אליו. SELinux עולה על AppArmor מבחינת כוח, גמישות ועדינות. החסרונות שלו הם פיתוח ארוך ומורכבות מוגברת.

Secomp ו-seccomp-bpf מאפשרים לך לסנן קריאות מערכת, לחסום את הביצוע של אלה שעלולות להיות מסוכנות עבור מערכת ההפעלה הבסיסית ואינן נחוצות לפעולה רגילה של יישומי משתמש. Secomp דומה ל-Falco במובנים מסוימים, אם כי היא לא יודעת את הפרטים של מכולות.

קוד פתוח של Sysdig

אתר אינטרנט: www.sysdig.com/opensource
רישיון: חינם (Apache)

Sysdig הוא כלי שלם לניתוח, אבחון וניפוי באגים של מערכות לינוקס (עובד גם על Windows ו-macOS, אך עם תכונות מוגבלות). זה יכול לשמש לאיסוף מידע מפורט, אימות וזיהוי פלילי (זיהוי פלילי) מערכת הבסיס וכל מיכלים הפועלים עליה.

Sysdig גם תומך באופן מקורי בקובצי הפעלה ומטא נתונים של Kubernetes, ומוסיף מימדים ותוויות נוספות לכל מידע התנהגות המערכת שנאסף. ישנן מספר דרכים לנתח אשכול Kubernetes באמצעות Sysdig: אתה יכול ללכוד נקודת זמן באמצעות לכידת kubectl או להפעיל ממשק אינטראקטיבי המבוסס על ncurses באמצעות התוסף kubectl לחפור.

אבטחת רשת Kubernetes

אפורטו

אתר אינטרנט: www.aporeto.com
רישיון: מסחרי

Aporeto מציעה "אבטחה מופרדת מרשת ותשתית". משמעות הדבר היא ששירותי Kubernetes לא רק מקבלים מזהה מקומי (כלומר, ServiceAccount ב- Kubernetes), אלא גם מזהה אוניברסלי/טביעת אצבע שניתן להשתמש בהם לאינטראקציה מאובטחת ומאומתת הדדית עם כל שירות אחר, כמו באשכול OpenShift.

Aporeto מסוגלת ליצור מזהה ייחודי לא רק עבור Kubernetes/מכולות אלא גם עבור מארחים, פונקציות ענן ומשתמשים. בהתאם למזהים אלה ולמערכת כללי אבטחת הרשת שנקבעו על ידי המנהל, תתאפשר או תחסום תקשורת.

קאליקו

אתר אינטרנט: www.projectcalico.org
רישיון: חינם (Apache)

Calico נפרס בדרך כלל במהלך התקנת מתזמר הקונטיינרים, המאפשר ליצור רשת וירטואלית המקשרת קונטיינרים. בנוסף לפונקציונליות הרשת הבסיסית הזו, פרויקט Calico עובד עם מדיניות הרשת של Kubernetes ועם סט פרופילי אבטחת רשת משלו, תומך בנקודות קצה ACL (רשימות בקרת גישה) ובכללי אבטחת רשת מבוססי הערות עבור תעבורת כניסה ויציאה.

סיליום

אתר אינטרנט: www.cilium.io
רישיון: חינם (Apache)

Cilium פועלת בתור חומת אש של מיכל ומספקת תכונות אבטחת רשת המותאמות באופן מקורי לעומסי עבודה של Kubernetes ומיקרו-שירותים. Cilium משתמש בטכנולוגיית ליבת לינוקס חדשה בשם BPF (Berkeley Packet Filter) כדי לסנן, לנטר, להפנות ולתקן נתונים.

Cilium מסוגל לפרוס מדיניות גישה לרשת המבוססת על מזהי מיכל באמצעות תוויות ומטא נתונים של Docker או Kubernetes. Cilium גם מבין ומסנן פרוטוקולים שונים של שכבה 7 כגון HTTP או gRPC, ומאפשר לך להגדיר את סט קריאות ה-REST שיותרו בין שתי פריסות Kubernetes, למשל.

Istio

אתר אינטרנט: istio.io
רישיון: חינם (Apache)

Istio ידועה בהטמעת פרדיגמת רשת השירות על ידי פריסת מישור בקרה בלתי תלוי בפלטפורמה והפניה מחדש של כל תעבורת השירות המנוהלת באמצעות פרוקסי Envoy הניתנים להגדרה דינמית. Istio מנצל את התצוגה המתקדמת הזו של כל המיקרו-שירותים והמכולות כדי ליישם אסטרטגיות אבטחת רשת שונות.

יכולות אבטחת הרשת של Istio כוללות הצפנת TLS שקופה לשדרוג אוטומטי של פרוטוקול התקשורת בין שירותי מיקרו ל-HTTPS, ומערכת אימות והרשאה מקורית של RBAC כדי לאפשר/למנע תקשורת בין עומסי עבודה שונים באשכול.

הערה. תרגום: למידע נוסף על היכולות הממוקדות באבטחה של Istio, ראה מאמר זה.

נמרה

אתר אינטרנט: www.tigera.io
רישיון: מסחרי

פתרון זה, המכונה "חומת האש של Kubernetes", מדגיש גישה של אפס אמון לאבטחת רשת.

כמו פתרונות רשת מקוריים אחרים של Kubernetes, Tigera מסתמכת על מטא נתונים כדי לזהות שירותים ואובייקטים שונים באשכול ומספקת זיהוי בעיות בזמן ריצה, תאימות מתמשכת ונראות רשת עבור תשתיות מרובות עננים או היברידיות עם מכולות מונוליטיות.

טרירמה

אתר אינטרנט: www.aporeto.com/opensource
רישיון: חינם (Apache)

Trireme-Kubernetes הוא יישום פשוט ונקי של מפרט מדיניות הרשת של Kubernetes. התכונה הבולטת ביותר היא שבניגוד למוצרי אבטחת רשת דומים של Kubernetes - אין צורך במישור בקרה מרכזי כדי לתאם את הרשת (רשת). זה הופך את הפתרון להרחבה בצורה טריוויאלית. Trireme משיגה זאת על ידי התקנת סוכן בכל צומת שמתחבר ישירות לערימת ה-TCP/IP של המארח.

הפצת תמונות וניהול סודות

גרפיאס

אתר אינטרנט: grapheas.io
רישיון: חינם (Apache)

Grafeas הוא API בקוד פתוח לביקורת וניהול שרשרת אספקת התוכנה. ברמה בסיסית, Grafeas הוא כלי לאיסוף מטא נתונים ותוצאות ביקורת. ניתן להשתמש בו כדי לעקוב אחר תאימות לשיטות עבודה מומלצות לאבטחה בארגון.

מקור ריכוזי זה לאמת עוזר לענות על שאלות כמו:

מי הרכיב והחתים מכולה מסוימת?
האם הוא עבר את כל סורקי האבטחה ובדיקות מדיניות האבטחה? מתי? מה היו התוצאות?
מי פרס את זה לייצור? באילו פרמטרים נעשה שימוש במהלך הפריסה?

בטוטו

אתר אינטרנט: in-toto.github.io
רישיון: חינם (Apache)

In-toto היא מסגרת שנועדה לספק שלמות, אימות וביקורת עבור כל שרשרת האספקה של התוכנה. בעת פריסת In-toto לתשתית, מוגדרת תחילה תוכנית המתארת את השלבים השונים בצנרת (מאגר, כלי CI/CD, כלי QA, בוני חפצים וכו') ואת המשתמשים (האחראים) המורשים לעשות זאת. ליזום אותם.

In-toto שולט בביצוע התוכנית על ידי וידוא שכל משימה בשרשרת מבוצעת כהלכה רק על ידי צוות מורשה וכי לא בוצעו מניפולציות לא מורשות עם המוצר במהלך התנועה.

פורטיריס

אתר אינטרנט: github.com/IBM/portieris
רישיון: חינם (Apache)

Portieris הוא בקר קבלה עבור Kubernetes; משמש לאכיפת בדיקות אמון בתוכן. Portieris משתמש בשרת נוֹטָרִיוֹן (כתבנו עליו בסוף במאמר זה - משוער. תרגום) כמקור אמת לאימות חפצים מהימנים וחתומים (כלומר, תמונות מיכל מאושרות).

כאשר אתה יוצר או משנה עומס עבודה ב-Kubernetes, Portieris טוענת את מידע החתימה ואת מדיניות אמון התוכן עבור תמונות המכולה המבוקשות, ובמידת הצורך, מבצעת שינויים באובייקט ה-API JSON תוך כדי כדי להפעיל את הגרסאות החתומות של תמונות אלו.

קמרון

אתר אינטרנט: www.vaultproject.io
רישיון: חינם (MPL)

Vault הוא פתרון מאובטח לאחסון מידע רגיש: סיסמאות, אסימוני OAuth, אישורי PKI, חשבונות גישה, סודות Kubernetes ועוד. הכספת תומכת בתכונות מתקדמות רבות, כגון השכרת אסימוני אבטחה ארעיים או ארגון סיבוב מפתחות.

באמצעות תרשים ה-Helm, ניתן לפרוס את Vault כפריסה חדשה באשכול Kubernetes עם Consul כאחסון עורפי. הוא תומך במשאבי Kubernetes מקוריים כמו אסימוני ServiceAccount ויכול אפילו לשמש כחנות הסודית של Kubernetes המוגדרת כברירת מחדל.

הערה. תרגום: אגב, רק אתמול, HashiCorp, המפתחת את Vault, הכריזה על כמה שיפורים לשימוש ב-Vault ב-Kubernetes, ובמיוחד, הם מתייחסים לתרשים Helm. קרא את הפרטים ב בלוג מפתחים.

ביקורת אבטחה של Kubernetes

ספסל קוב

אתר אינטרנט: github.com/aquasecurity/kube-bench
רישיון: חינם (Apache)

Kube-bench הוא יישום Go שבודק אם Kubernetes נפרס בבטחה על ידי הפעלת בדיקות מרשימה CIS Kubernetes Benchmark.

Kube-bench מחפש הגדרות תצורה לא מאובטחות בין רכיבי אשכול (וכו', API, מנהל בקר וכו'), הרשאות קבצים מפוקפקות, חשבונות לא מאובטחים או יציאות פתוחות, מכסות משאבים, הגדרות מגבלת שיחות API להגנה מפני התקפות DoS וכו'.

צייד קוביות

אתר אינטרנט: github.com/aquasecurity/kube-hunter
רישיון: חינם (Apache)

Kube-Hunter "צוד" אחר פגיעויות אפשריות (כמו ביצוע קוד מרחוק או חשיפת נתונים) באשכולות Kubernetes. ניתן להפעיל את Kube-hunter כסורק מרוחק - במקרה זה הוא יעריך את האשכול מנקודת מבטו של תוקף צד שלישי - או כפוד בתוך האשכול.

מאפיין ייחודי של Kube-hunter הוא מצב "ציד פעיל", שבמהלכו הוא לא רק מדווח על בעיות, אלא גם מנסה לנצל נקודות תורפה שנמצאו באשכול היעד שעלולות לפגוע בפעולתו. אז השתמש בזהירות!

Kubeaudit

אתר אינטרנט: github.com/Shopify/kubeaudit
רישיון: חינם (MIT)

Kubeaudit הוא כלי מסוף שפותח במקור על ידי Shopify כדי לבדוק את תצורת Kubernetes שלך עבור בעיות אבטחה שונות. לדוגמה, זה עוזר לזהות קונטיינרים הפועלים ללא הבחנה, פועלים כשורש, מנצלים הרשאות לרעה או משתמשים ברירת המחדל של ServiceAccount.

ל- Kubeaudit יש גם תכונות מעניינות אחרות. לדוגמה, הוא יכול לנתח קבצי YAML מקומיים, לזהות פגמי תצורה שעלולים להוביל לבעיות אבטחה ולתקן אותם באופן אוטומטי.

Kubesec

אתר אינטרנט: kubesec.io
רישיון: חינם (Apache)

Kubesec מיוחדת בכך שהיא סורקת ישירות קבצי YAML משאבי Kubernetes לאיתור הגדרות חלשות שעלולות להשפיע על האבטחה.

לדוגמה, הוא יכול לזהות הרשאות והרשאות מוגזמות שניתנו לפוד, הפעלת קונטיינר עם root כמשתמש ברירת המחדל, התחברות למרחב השמות של הרשת של המארח, או חיבורים מסוכנים כמו /proc מארח או שקע Docker. תכונה מעניינת נוספת של Kubesec היא שירות הדגמה מקוון שבו אתה יכול להעלות את YAML ולנתח אותו מיד.

פתח את סוכן המדיניות

אתר אינטרנט: www.openpolicyagent.org
רישיון: חינם (Apache)

הרעיון של OPA (Open Policy Agent) הוא להפריד בין מדיניות אבטחה ושיטות אבטחה מומלצות מפלטפורמת זמן ריצה ספציפית: Docker, Kubernetes, Mesosphere, OpenShift, או כל שילוב ביניהם.

לדוגמה, אתה יכול לפרוס את OPA כ-backend עבור בקר קבלה של Kubernetes, ולהאציל לו החלטות אבטחה. בדרך זו, סוכן ה-OPA יוכל לבדוק, לדחות ואף לשנות בקשות תוך כדי תנועה, תוך הקפדה על כיבוד פרמטרי האבטחה שצוינו. מדיניות האבטחה ב-OPA כתובה ב-DSL משלה, Rego.

הערה. תרגום: כתבנו עוד על OPA (ו-SPIFFE) ב הדברים האלה.

כלי ניתוח אבטחה מסחריים של Kubernetes

החלטנו ליצור קטגוריה נפרדת לפלטפורמות מסחריות, מכיוון שהן נוטות לכסות כמה תחומי אבטחה בבת אחת. מושג כללי על היכולות שלהם ניתן לקבל מהטבלה:

* מומחיות מתקדמת וניתוח שלאחר המוות עם מלא לכידת שיחות מערכת.

אקווה ביטחון

אתר אינטרנט: www.aquasec.com
רישיון: מסחרי

כלי מסחרי זה מיועד למכולות ועומסי עבודה בענן. זה מספק:

סריקת תמונות משולבת עם רישום מיכל או צינור CI/CD;
הגנה בזמן ריצה עם חיפוש אחר שינויים בקונטיינרים ופעילות חשודה אחרת;
חומת אש מקורית של מיכל;
אבטחה ללא שרת בשירותי ענן;
ציות וביקורת בשילוב רישום אירועים.

הערה. תרגום: ראוי לציין גם שיש רכיב חינם של המוצר הנקרא מיקרוסורק, המאפשר לך לסרוק תמונות מיכל לאיתור נקודות תורפה. השוואה של התכונות שלו עם גרסאות בתשלום מוצגת ב טבלה זו.

קפסולה8

אתר אינטרנט: capsule8.com
רישיון: מסחרי

Capsule8 משתלבת בתשתית על ידי התקנת הגלאי באשכול Kubernetes מקומי או ענן. גלאי זה אוסף טלמטריה מארח ורשת, ומתאם אותה עם סוגים שונים של התקפות.

צוות Capsule8 מחויב לגילוי מוקדם ומניעת התקפות באמצעות טרי (0 ימים) פגיעות. Capsule8 יכולה להעלות כללי אבטחה מעודכנים ישירות לגלאים בתגובה לאיומים שהתגלו לאחרונה ופגיעויות תוכנה.

Cavirin

אתר אינטרנט: www.cavirin.com
רישיון: מסחרי

Cavirin פועלת כצד נגד של החברה עבור סוכנויות תקני אבטחה שונות. לא רק שהוא יכול לסרוק תמונות, אלא שהוא גם יכול להשתלב בצינור ה-CI/CD, ולחסום תמונות שאינן תואמות לפני שהן נכנסות למאגרים פרטיים.

חבילת האבטחה של Cavirin משתמשת בלמידת מכונה כדי להעריך את מצב אבטחת הסייבר, מציעה עצות כיצד להגביר את האבטחה ולשפר את תאימות האבטחה.

מרכז הפיקוד של Google Cloud Security

אתר אינטרנט: cloud.google.com/security-command-center
רישיון: מסחרי

Cloud Security Command Center עוזר לצוותי אבטחה לאסוף נתונים, לזהות איומים ולתקן אותם לפני שהם פוגעים בחברה.

כפי שהשם מרמז, Google Cloud SCC הוא לוח בקרה מאוחד שיכול לשלב ולנהל דוחות אבטחה שונים, מנועי מעקב אחר נכסים ומערכות אבטחה של צד שלישי ממקור אחד ומרוכז.

ממשק ה-API ההדדית המוצע על ידי Google Cloud SCC מאפשר שילוב של אירועי אבטחה המגיעים ממקורות שונים כגון Sysdig Secure (אבטחת מיכל עבור יישומים מקוריים בענן) או Falco (אבטחת זמן ריצה בקוד פתוח).

תובנות שכבות (Qualys)

אתר אינטרנט: layeredinsight.com
רישיון: מסחרי

Layered Insight (כיום חלק מ-Qualys Inc) בנויה על הרעיון של "אבטחה משובצת". לאחר סריקת התמונה המקורית לאיתור נקודות תורפה תוך שימוש בשיטות ניתוח סטטיסטי וביצוע בדיקות CVE, Layered Insight מחליפה אותה בתמונה מכשירנית הכוללת סוכן בצורה של בינארי.

סוכן זה מכיל מבחני אבטחה בזמן ריצה לניתוח תעבורת רשת קונטיינר, זרימות קלט/פלט ופעילות יישומים. בנוסף, הוא יכול לבצע בדיקות אבטחה נוספות שצוינו על ידי מנהל התשתית או צוותי DevOps.

NeuVector

אתר אינטרנט: neuvector.com
רישיון: מסחרי

NeuVector מבצעת בדיקות אבטחה של מיכל והגנה על זמן ריצה על ידי ניתוח פעילות רשת והתנהגות יישומים, יצירת פרופיל אבטחה אינדיבידואלי עבור כל מיכל. זה יכול גם לחסום איומים בעצמו על ידי בידוד פעילות חשודה על ידי שינוי כללי חומת האש המקומית.

שילוב הרשת של NeuVector, המכונה Security Mesh, מסוגל לבצע בדיקת מנות עמוקה וסינון שכבה 7 עבור כל חיבורי הרשת ברשת שירות.

Stackrox

אתר אינטרנט: www.stackrox.com
רישיון: מסחרי

פלטפורמת האבטחה למכולות StackRox שואפת לכסות את כל מחזור החיים של יישומי Kubernetes באשכול. כמו פלטפורמות מסחריות אחרות ברשימה זו, StackRox מייצרת פרופיל זמן ריצה המבוסס על התנהגות קונטיינר שנצפה ומעלה אוטומטית אזעקה על כל סטייה.

בנוסף, StackRox מנתחת תצורות Kubernetes באמצעות CIS Kubernetes וחומרי חוקים אחרים כדי להעריך תאימות למכולות.

Sysdig Secure

אתר אינטרנט: sysdig.com/products/secure
רישיון: מסחרי

Sysdig Secure מגן על יישומים לאורך כל מחזור החיים של המיכל ו-Kubernetes. הוא סורק תמונות מכולות, מספק הגנה בזמן ריצה לפי למידת מכונה, מבצע Crim. מומחיות לזיהוי נקודות תורפה, חסימת איומים, מעקבים עמידה בסטנדרטים שנקבעו ומבקרת פעילות בשירותי מיקרו.

Sysdig Secure משתלב עם כלי CI/CD כגון Jenkins ושולט בתמונות הנטענות מרשמים של Docker, ומונע מתמונות מסוכנות להופיע בייצור. זה גם מספק אבטחת זמן ריצה מקיפה, כולל:

פרופיל זמן ריצה מבוסס ML וזיהוי אנומליות;
מדיניות זמן ריצה המבוססת על אירועי מערכת, K8s-audit API, פרויקטים קהילתיים משותפים (FIM - ניטור שלמות קבצים; cryptojacking) ומסגרת MITER ATT & CK;
תגובה וביטול אירועים.

Tenable Container Security

אתר אינטרנט: www.tenable.com/products/tenable-io/container-security
רישיון: מסחרי

לפני הופעת הקונטיינרים, Tenable הייתה ידועה בתעשייה כחברה שפיתחה את Nessus, כלי פופולרי לאיתור פגיעות וביקורת אבטחה.

Tenable Container Security ממנפת את המומחיות של החברה באבטחת מחשבים כדי לשלב צינור CI/CD עם מסדי נתונים של פגיעות, חבילות מיוחדות לזיהוי תוכנות זדוניות ועצות אבטחה.

Twistlock (Palo Alto Networks)

אתר אינטרנט: www.twistlock.com
רישיון: מסחרי

Twistlock מקדמת את עצמה כפלטפורמה המתמקדת בשירותי ענן ומכולות. Twistlock תומך בספקי ענן שונים (AWS, Azure, GCP), מתזמני מיכל (Kubernetes, Mesospehere, OpenShift, Docker), זמני ריצה ללא שרת, מסגרות רשת וכלי CI/CD.

בנוסף לשיטות האבטחה הרגילות ברמה הארגונית כגון אינטגרציה של צינורות CI/CD או סריקת תמונות, Twistlock משתמשת למידת מכונה כדי ליצור דפוסי התנהגות וחוקי רשת ספציפיים למיכל.

לפני זמן מה, Twistlock נרכשה על ידי Palo Alto Networks, בעלת הפרויקטים Evident.io ו-RedLock. עדיין לא ידוע בדיוק כיצד ישולבו שלוש הפלטפורמות הללו פריזמה מפאלו אלטו.

עזור לבנות את קטלוג כלי האבטחה הטוב ביותר של Kubernetes!

אנו שואפים להפוך את הקטלוג הזה למלא ככל האפשר, ולשם כך אנו זקוקים לעזרתכם! צור קשר (@sysdig) אם יש לך כלי מגניב בראש שראוי להיכלל ברשימה זו, או שאתה מוצא באג/מידע מיושן.

אתה יכול גם להירשם אלינו ניוזלטר חודשי עם חדשות על המערכת האקולוגית מקורית בענן וסיפורים על פרויקטים מעניינים מעולם האבטחה של Kubernetes.

נ.ב מהמתרגם

קרא גם בבלוג שלנו:

מקור: www.habr.com

33+ כלי אבטחה של Kubernetes