🥇Kubernetes セキュリティのための 33 以上のツール

ノート。翻訳。: Kubernetes ベースのインフラストラクチャのセキュリティについて疑問がある場合は、Sysdig のこの優れた概要は、現在のソリューションを簡単に確認するための優れた出発点となります。これには、有名な市場参加者による複雑なシステムと、特定の問題を解決するはるかに小規模なユーティリティの両方が含まれています。いつものように、コメント欄で、これらのツールの使用体験や他のプロジェクトへのリンクを喜んで聞きます。

Kubernetes セキュリティソフトウェア製品には非常に多くの製品があり、それぞれに独自の目的、範囲、ライセンスがあります。

そのため、私たちはこのリストを作成し、オープンソースプロジェクトとさまざまなベンダーの商用プラットフォームの両方を含めることにしました。最も関心のあるものを特定し、特定の Kubernetes セキュリティニーズに基づいて正しい方向に導くのに役立つことを願っています。

Kubernetes イメージのスキャン

アンカー

ウェブサイト：アンカーレ.com
ライセンス: 無料 (Apache) および商用提供

Anchore はコンテナイメージを分析し、ユーザー定義のポリシーに基づいてセキュリティチェックを可能にします。

CVE データベースからの既知の脆弱性に対するコンテナイメージの通常のスキャンに加え、Anchore はスキャンポリシーの一環として多くの追加チェックを実行します。Dockerfile、認証情報の漏洩、使用されているプログラミング言語のパッケージ (npm、maven など) をチェックします。 .)、ソフトウェアライセンスなど。

明確な

ウェブサイト： coreos.com/クレア (現在は Red Hat の指導下にあります)
ライセンス：無料（Apache）

Clair は、画像スキャンに関する最初のオープンソースプロジェクトの XNUMX つです。 Quay イメージレジストリの背後にあるセキュリティスキャナとして広く知られています。 (CoreOSからも - 約。翻訳)。 Clair は、Debian、Red Hat、または Ubuntu セキュリティチームによって管理されている Linux ディストリビューション固有の脆弱性のリストなど、さまざまなソースから CVE 情報を収集できます。

Anchore とは異なり、Clair は主に脆弱性の発見とデータと CVE の照合に重点を置いています。ただし、この製品はユーザーにプラグインドライバーを使用して機能を拡張する機会を提供します。

ダグダ

ウェブサイト： github.com/eliasgranderubio/dagda
ライセンス：無料（Apache）

Dagda は、既知の脆弱性、トロイの木馬、ウイルス、マルウェア、その他の脅威についてコンテナイメージの静的分析を実行します。

Dagda を他の同様のツールと区別する XNUMX つの注目すべき機能:

と完全に統合されます ClamAVの、コンテナイメージをスキャンするツールとしてだけでなく、ウイルス対策としても機能します。
また、Docker デーモンからリアルタイムイベントを受信し、Falco と統合することにより、ランタイム保護も提供します。 （下記参照） コンテナーの実行中にセキュリティイベントを収集します。

KubeXray

ウェブサイト： github.com/jfrog/kubexray
ライセンス: 無料 (Apache)、ただし JFrog Xray (商用製品) からのデータが必要

KubeXray は、Kubernetes API サーバーからのイベントをリッスンし、JFrog Xray からのメタデータを使用して、現在のポリシーに一致するポッドのみが起動されるようにします。

KubeXray は、デプロイメント内の新規または更新されたコンテナー (Kubernetes のアドミッションコントローラーと同様) を監査するだけでなく、実行中のコンテナーが新しいセキュリティポリシーに準拠しているかどうかを動的にチェックし、脆弱なイメージを参照するリソースを削除します。

スナック

ウェブサイト： snyk.io
ライセンス: 無料 (Apache) および商用バージョン

Snyk は、特に開発プロセスをターゲットにしており、開発者にとって「必須のソリューション」として宣伝されているという点で、珍しい脆弱性スキャナです。

Snyk はコードリポジトリに直接接続し、プロジェクトマニフェストを解析し、インポートされたコードを直接および間接的な依存関係とともに分析します。 Snyk は多くの一般的なプログラミング言語をサポートしており、隠れたライセンスリスクを特定できます。

雑学

ウェブサイト： github.com/knqyf263/trivy
ライセンス: 無料 (AGPL)

Trivy は、CI/CD パイプラインに簡単に統合できる、コンテナ用のシンプルかつ強力な脆弱性スキャナです。その注目すべき機能は、インストールと操作が簡単であることです。アプリケーションは単一のバイナリで構成されており、データベースや追加のライブラリをインストールする必要はありません。

Trivy のシンプルさの欠点は、結果を他の Kubernetes セキュリティツールで使用できるように、結果を解析して JSON 形式で転送する方法を理解する必要があることです。

Kubernetes のランタイムセキュリティ

ファルコ

ウェブサイト：ファルコ.org
ライセンス：無料（Apache）

Falco は、クラウドランタイム環境を保護するためのツールセットです。プロジェクトファミリーの一員 CNCF.

Sysdig の Linux カーネルレベルのツールとシステムコールプロファイリングを使用すると、Falco を使用してシステムの動作を深く掘り下げることができます。そのランタイムルールエンジンは、アプリケーション、コンテナー、基盤となるホスト、および Kubernetes オーケストレーター内の不審なアクティビティを検出できます。

Falco は、これらの目的のために Kubernetes ノードに特別なエージェントをデプロイすることで、ランタイムと脅威の検出における完全な透明性を提供します。その結果、サードパーティのコードをコンテナに導入したり、サイドカーコンテナを追加したりしてコンテナを変更する必要はありません。

ランタイム用の Linux セキュリティフレームワーク

Linux カーネル用のこれらのネイティブフレームワークは、従来の意味での「Kubernetes セキュリティツール」ではありませんが、Kubernetes ポッドセキュリティポリシー (PSP) に含まれるランタイムセキュリティのコンテキストにおいて重要な要素であるため、言及する価値があります。

AppArmor コンテナ内で実行されているプロセスにセキュリティプロファイルを添付し、ファイルシステム権限、ネットワークアクセスルール、接続ライブラリなどを定義します。これは、Mandatory Access Control (MAC) に基づくシステムです。つまり、禁止されている行為の実行を防止します。

セキュリティ強化された Linux (SELinuxの) は、Linux カーネルの高度なセキュリティモジュールであり、いくつかの点で AppArmor に似ており、よく比較されます。 SELinux は、パワー、柔軟性、カスタマイズの点で AppArmor よりも優れています。欠点は、学習時間が長くなり、複雑さが増すことです。

セコンプおよび seccomp-bpf を使用すると、システムコールをフィルタリングし、ベース OS にとって潜在的に危険で、ユーザーアプリケーションの通常の動作には必要のないシステムコールの実行をブロックできます。 Seccomp は、コンテナの詳細については知りませんが、いくつかの点で Falco に似ています。

Sysdig オープンソース

ウェブサイト： www.sysdig.com/opensource
ライセンス：無料（Apache）

Sysdig は、Linux システムを分析、診断、デバッグするための完全なツールです (Windows および macOS でも動作しますが、機能は限られています)。詳細な情報収集、検証、フォレンジック分析に使用できます。 (法医学) 基本システムとその上で実行されているコンテナ。

Sysdig は、コンテナーランタイムと Kubernetes メタデータもネイティブにサポートし、収集するすべてのシステム動作情報に追加のディメンションとラベルを追加します。 Sysdig を使用して Kubernetes クラスターを分析するには、いくつかの方法があります。次のようにしてポイントインタイムキャプチャを実行できます。 kubectl キャプチャまたは、プラグインを使用して ncurses ベースの対話型インターフェイスを起動します kubectl ディグ.

Kubernetesネットワークセキュリティ

アポレート

ウェブサイト： www.aporeto.com
ライセンス: 商用

Aporetoは「ネットワークやインフラから切り離されたセキュリティ」を提供します。これは、Kubernetes サービスがローカル ID (つまり、Kubernetes の ServiceAccount) を受け取るだけでなく、OpenShift クラスターなどの他のサービスと安全かつ相互に通信するために使用できるユニバーサル ID/フィンガープリントも受け取ることを意味します。

Aporeto は、Kubernetes/コンテナだけでなく、ホスト、クラウド機能、ユーザーに対しても一意の ID を生成できます。これらの識別子と管理者が設定した一連のネットワークセキュリティルールに応じて、通信が許可またはブロックされます。

サラサ

ウェブサイト： www.projectcalico.org
ライセンス：無料（Apache）

Calico は通常、コンテナーオーケストレーターのインストール中にデプロイされ、コンテナーを相互接続する仮想ネットワークを作成できるようになります。この基本的なネットワーク機能に加えて、Calico プロジェクトは、Kubernetes ネットワークポリシーおよび独自のネットワークセキュリティプロファイルのセットと連携し、エンドポイント ACL (アクセスコントロールリスト) と、イングレスおよびエグレストラフィックのアノテーションベースのネットワークセキュリティルールをサポートします。

繊毛

ウェブサイト： www.cilium.io
ライセンス：無料（Apache）

Cilium はコンテナのファイアウォールとして機能し、Kubernetes およびマイクロサービスのワークロードにネイティブに調整されたネットワークセキュリティ機能を提供します。 Cilium は、BPF (Berkeley Packet Filter) と呼ばれる新しい Linux カーネルテクノロジを使用して、データのフィルタリング、監視、リダイレクト、修正を行います。

Cilium は、Docker または Kubernetes のラベルとメタデータを使用して、コンテナ ID に基づいてネットワークアクセスポリシーを展開できます。 Cilium は、HTTP や gRPC などのさまざまなレイヤー 7 プロトコルも理解してフィルタリングするため、たとえば XNUMX つの Kubernetes デプロイメント間で許可される一連の REST 呼び出しを定義できます。

イスティオ

ウェブサイト： istio.io
ライセンス：無料（Apache）

Istio は、プラットフォームに依存しないコントロールプレーンを展開し、すべての管理対象サービストラフィックを動的に構成可能な Envoy プロキシを通じてルーティングすることにより、サービスメッシュパラダイムを実装することで広く知られています。 Istio は、すべてのマイクロサービスとコンテナーのこの高度なビューを利用して、さまざまなネットワークセキュリティ戦略を実装します。

Istio のネットワークセキュリティ機能には、マイクロサービス間の通信を HTTPS に自動的にアップグレードする透過 TLS 暗号化と、クラスター内の異なるワークロード間の通信を許可/拒否する独自の RBAC 識別および承認システムが含まれます。

ノート。翻訳。: Istio のセキュリティに重点を置いた機能について詳しくは、こちらをお読みください。この記事.

タイガーラ

ウェブサイト： www.tigera.io
ライセンス: 商用

「Kubernetes ファイアウォール」と呼ばれるこのソリューションは、ネットワークセキュリティに対するゼロトラストアプローチを強調しています。

他のネイティブ Kubernetes ネットワーキングソリューションと同様に、Tigera はメタデータに依存してクラスター内のさまざまなサービスとオブジェクトを識別し、実行時の問題検出、継続的なコンプライアンスチェック、およびマルチクラウドまたはハイブリッドのモノリシックコンテナー化インフラストラクチャのネットワーク可視化を提供します。

三段櫂船

ウェブサイト： www.aporeto.com/opensource
ライセンス：無料（Apache）

Trireme-Kubernetes は、Kubernetes ネットワークポリシー仕様のシンプルかつ直接的な実装です。最も注目すべき機能は、同様の Kubernetes ネットワークセキュリティ製品とは異なり、メッシュを調整するための中央コントロールプレーンを必要としないことです。これにより、ソリューションは簡単にスケーラブルになります。 Trireme では、これは、ホストの TCP/IP スタックに直接接続する各ノードにエージェントをインストールすることによって実現されます。

イメージの伝播と秘密の管理

グラフェアス

ウェブサイト：グラフェアス.io
ライセンス：無料（Apache）

Grafeas は、ソフトウェアサプライチェーンの監査と管理のためのオープンソース API です。基本レベルでは、Grafeas はメタデータと監査結果を収集するためのツールです。これを使用して、組織内のセキュリティのベストプラクティスへの準拠を追跡できます。

この一元化された信頼できる情報源は、次のような質問に答えるのに役立ちます。

特定のコンテナを収集して署名したのは誰ですか?
セキュリティポリシーで要求されるすべてのセキュリティスキャンとチェックに合格しましたか? いつ？結果はどうでしたか？
誰がそれを運用環境にデプロイしましたか? 導入中にどのような特定のパラメータが使用されましたか?

イントト

ウェブサイト： toto.github.io 内
ライセンス：無料（Apache）

In-toto は、ソフトウェアサプライチェーン全体の整合性、認証、監査を提供するように設計されたフレームワークです。 In-toto をインフラストラクチャにデプロイする場合、パイプライン内のさまざまなステップ (リポジトリ、CI/CD ツール、QA ツール、アーティファクトコレクターなど) と、実行を許可されるユーザー (責任者) を説明する計画が最初に定義されます。それらを開始します。

In-toto は計画の実行を監視し、チェーン内の各タスクが許可された担当者のみによって適切に実行されていること、および移動中に製品に不正な操作が行われていないことを検証します。

ポルティエリス

ウェブサイト： github.com/IBM/portieris
ライセンス：無料（Apache）

Portieris は Kubernetes のアドミッションコントローラーです。コンテンツの信頼性チェックを強制するために使用されます。ポルティエリスはサーバーを使用します公証人 （彼については最後に書きましたこの記事 - 約。翻訳) 信頼できる署名されたアーティファクト (承認されたコンテナイメージなど) を検証するための信頼できる情報源として使用されます。

Kubernetes でワークロードが作成または変更されると、Portieris は、要求されたコンテナーイメージの署名情報とコンテンツ信頼ポリシーをダウンロードし、必要に応じて JSON API オブジェクトにオンザフライ変更を加えて、それらのイメージの署名済みバージョンを実行します。

ボールト

ウェブサイト： www.vaultproject.io
ライセンス: 無料 (MPL)

Vault は、パスワード、OAuth トークン、PKI 証明書、アクセスアカウント、Kubernetes シークレットなどの個人情報を保存するための安全なソリューションです。 Vault は、一時的なセキュリティトークンのリースやキーのローテーションの整理など、多くの高度な機能をサポートしています。

Helm チャートを使用すると、Consul をバックエンドストレージとして使用して、Vault を Kubernetes クラスターに新しいデプロイメントとしてデプロイできます。 ServiceAccount トークンなどのネイティブ Kubernetes リソースをサポートし、Kubernetes シークレットのデフォルトストアとして機能することもできます。

ノート。翻訳。：ところで、つい昨日、Vault を開発している会社 HashiCorp が、Kubernetes で Vault を使用するためのいくつかの改善点を発表しました。特に、それらは Helm チャートに関連しています。続きを読む開発者ブログ.

Kubernetes セキュリティ監査

久部ベンチ

ウェブサイト： github.com/aquasecurity/kube-bench
ライセンス：無料（Apache）

Kube-bench は、リストからテストを実行することで Kubernetes が安全にデプロイされているかどうかをチェックする Go アプリケーションです CIS Kubernetes ベンチマーク.

Kube-bench は、クラスターコンポーネント (etcd、API、コントローラーマネージャーなど) 間の安全でない構成設定、疑わしいファイルアクセス権、保護されていないアカウントまたは開いているポート、リソースクォータ、DoS 攻撃から保護するための API 呼び出しの数を制限する設定を探します。、など。

キューブハンター

ウェブサイト： github.com/aquasecurity/kube-hunter
ライセンス：無料（Apache）

Kube-hunter は、Kubernetes クラスター内の潜在的な脆弱性 (リモートコード実行やデータ漏洩など) を探します。 Kube-hunter は、リモートスキャナーとして実行できます (この場合、サードパーティの攻撃者の観点からクラスターを評価します)。またはクラスター内のポッドとして実行できます。

Kube-hunter の特徴は、その「アクティブハンティング」モードです。このモードでは、問題を報告するだけでなく、ターゲットクラスタで発見された、クラスタの運用に悪影響を与える可能性のある脆弱性を利用しようとします。したがって、注意して使用してください。

クボーディット

ウェブサイト： github.com/Shopify/kubeaudit
ライセンス: 無料 (MIT)

Kubeaudit は、もともと Shopify で開発されたコンソールツールで、さまざまなセキュリティ問題について Kubernetes 構成を監査します。たとえば、無制限に実行されているコンテナ、root として実行されているコンテナ、特権を悪用しているコンテナ、またはデフォルトの ServiceAccount を使用しているコンテナを識別するのに役立ちます。

Kubeaudit には他にも興味深い機能があります。たとえば、ローカルの YAML ファイルを分析し、セキュリティ上の問題につながる可能性のある構成上の欠陥を特定し、それらを自動的に修正できます。

クベセック

ウェブサイト： kubesec.io
ライセンス：無料（Apache）

Kubesec は、Kubernetes リソースを記述する YAML ファイルを直接スキャンし、セキュリティに影響を与える可能性のある弱いパラメーターを探す特別なツールです。

たとえば、ポッドに付与された過剰な特権とアクセス許可、デフォルトユーザーとして root でコンテナを実行すること、ホストのネットワーク名前空間への接続、または次のような危険なマウントを検出できます。 /proc ホストまたは Docker ソケット。 Kubesec のもう XNUMX つの興味深い機能は、オンラインで利用できるデモサービスです。このサービスに YAML をアップロードして、すぐに分析できます。

ポリシーエージェントを開く

ウェブサイト： www.openpolicyagent.org
ライセンス：無料（Apache）

OPA (Open Policy Agent) の概念は、セキュリティポリシーとセキュリティのベストプラクティスを特定のランタイムプラットフォーム (Docker、Kubernetes、Mesosphere、OpenShift、またはそれらの組み合わせ) から切り離すことです。

たとえば、OPA を Kubernetes アドミッションコントローラーのバックエンドとしてデプロイし、セキュリティの決定をそれに委任できます。このようにして、OPA エージェントは、要求をその場で検証、拒否、さらには変更することができ、指定されたセキュリティパラメーターが確実に満たされていることを確認できます。 OPA のセキュリティポリシーは、独自の DSL 言語である Rego で記述されています。

ノート。翻訳。: OPA (および SPIFFE) について詳しくは、この素材.

Kubernetes セキュリティ分析のための包括的な商用ツール

商用プラットフォームは通常、複数のセキュリティ分野をカバーしているため、商用プラットフォーム用に別のカテゴリを作成することにしました。それらの機能の一般的なアイデアは、表から取得できます。

* 高度な検査と完全な死後分析システムコールハイジャック.

アクアセキュリティ

ウェブサイト： www.aquasec.com
ライセンス: 商用

この商用ツールは、コンテナーとクラウドワークロード向けに設計されています。それは以下を提供します:

コンテナレジストリまたは CI/CD パイプラインと統合されたイメージスキャン。
コンテナ内の変更やその他の不審なアクティビティを検索するランタイム保護。
コンテナネイティブのファイアウォール。
クラウドサービスにおけるサーバーレスのセキュリティ。
イベントログと組み合わせたコンプライアンステストと監査。

ノート。翻訳。: があることにも注目してください。 と呼ばれる製品の無料コンポーネントマイクロスキャナーを使用すると、コンテナーイメージの脆弱性をスキャンできます。有料バージョンとの機能の比較は、次のとおりです。この表.

カプセル8

ウェブサイト：カプセル8.com
ライセンス: 商用

Capsule8 は、ローカルまたはクラウドの Kubernetes クラスターに検出器をインストールすることでインフラストラクチャに統合します。この検出器はホストとネットワークのテレメトリを収集し、それをさまざまな種類の攻撃と関連付けます。

Capsule8 チームは、新しいツールを使用した攻撃の早期発見と防止が自分たちの任務であると考えています。 (0日) 脆弱性。 Capsule8 は、新しく発見された脅威やソフトウェアの脆弱性に対応して、更新されたセキュリティルールを検出器に直接ダウンロードできます。

キャビリン

ウェブサイト： www.cavirin.com
ライセンス: 商用

Cavirin は、安全基準に関わるさまざまな機関の企業側請負業者としての役割を果たしています。イメージをスキャンできるだけでなく、CI/CD パイプラインに統合して、非標準のイメージが閉じられたリポジトリに入る前にブロックすることもできます。

Cavirin のセキュリティスイートは、機械学習を使用してサイバーセキュリティの体制を評価し、セキュリティを向上させ、セキュリティ標準へのコンプライアンスを向上させるためのヒントを提供します。

Google Cloud セキュリティコマンドセンター

ウェブサイト： Cloud.google.com/security-command-center
ライセンス: 商用

Cloud Security Command Center は、セキュリティチームがデータを収集し、脅威を特定し、企業に損害を与える前にそれらを排除するのに役立ちます。

名前が示すように、Google Cloud SCC は、さまざまなセキュリティレポート、資産会計エンジン、サードパーティのセキュリティシステムを単一の一元的なソースから統合して管理できる統合コントロールパネルです。

Google Cloud SCC が提供する相互運用可能な API を使用すると、Sysdig Secure (クラウドネイティブアプリケーションのコンテナセキュリティ) や Falco (オープンソースランタイムセキュリティ) など、さまざまなソースからのセキュリティイベントを簡単に統合できます。

階層化されたインサイト (Qualys)

ウェブサイト：レイヤードインサイト.com
ライセンス: 商用

Layered Insight (現在は Qualys Inc の一部) は、「組み込みセキュリティ」の概念に基づいて構築されています。統計分析と CVE チェックを使用して元のイメージの脆弱性をスキャンした後、Layered Insight は、バイナリとしてエージェントを含むインストルメント化されたイメージに置き換えます。

このエージェントには、コンテナネットワークトラフィック、I/O フロー、アプリケーションアクティビティを分析するためのランタイムセキュリティテストが含まれています。さらに、インフラストラクチャ管理者または DevOps チームによって指定された追加のセキュリティチェックを実行できます。

ノイベクター

ウェブサイト： neuvector.com
ライセンス: 商用

NeuVector は、ネットワークアクティビティとアプリケーションの動作を分析し、コンテナごとに個別のセキュリティプロファイルを作成することで、コンテナのセキュリティをチェックし、ランタイム保護を提供します。また、ローカルのファイアウォールルールを変更することで、脅威を独自にブロックし、不審なアクティビティを隔離することもできます。

NeuVector のネットワーク統合はセキュリティメッシュとして知られており、サービスメッシュ内のすべてのネットワーク接続に対する詳細なパケット分析とレイヤー 7 フィルタリングが可能です。

StackRox

ウェブサイト： www.stackrox.com
ライセンス: 商用

StackRox コンテナセキュリティプラットフォームは、クラスタ内の Kubernetes アプリケーションのライフサイクル全体をカバーするよう努めています。このリストにある他の商用プラットフォームと同様に、StackRox は観察されたコンテナーの動作に基づいてランタイムプロファイルを生成し、逸脱があれば自動的にアラームを発します。

さらに、StackRox は、Kubernetes CIS およびその他のルールブックを使用して Kubernetes 構成を分析し、コンテナーのコンプライアンスを評価します。

シスディグセキュア

ウェブサイト： sysdig.com/products/secure
ライセンス: 商用

Sysdig Secure は、コンテナーと Kubernetes のライフサイクル全体を通じてアプリケーションを保護します。彼画像をスキャンしますコンテナ、提供ランタイム保護機械学習データに従ってクリームを実行します。脆弱性を特定し、脅威をブロックし、監視するための専門知識確立された基準への準拠マイクロサービスのアクティビティを監査します。

Sysdig Secure は、Jenkins などの CI/CD ツールと統合し、Docker レジストリからロードされたイメージを制御して、本番環境に危険なイメージが表示されるのを防ぎます。また、次のような包括的なランタイムセキュリティも提供します。

ML ベースのランタイムプロファイリングと異常検出。
システムイベント、K8s 監査 API、共同コミュニティプロジェクト (FIM - ファイル完全性監視、クリプトジャッキング) およびフレームワークに基づくランタイムポリシー MITER ATT＆CK;
インシデントへの対応と解決。

維持可能なコンテナのセキュリティ

ウェブサイト： www.tenable.com/products/tenable-io/container-security
ライセンス: 商用

コンテナーが登場する前、Tenable は、人気のある脆弱性ハンティングおよびセキュリティ監査ツールである Nessus の背後にある企業として業界で広く知られていました。

Tenable Container Security は、同社のコンピュータセキュリティの専門知識を活用して、CI/CD パイプラインを脆弱性データベース、特殊なマルウェア検出パッケージ、セキュリティ脅威を解決するための推奨事項と統合します。

ツイストロック (パロアルトネットワークス)

ウェブサイト： www.twistlock.com
ライセンス: 商用

Twistlock は、クラウドサービスとコンテナに焦点を当てたプラットフォームとして自社を宣伝しています。 Twistlock は、さまざまなクラウドプロバイダー (AWS、Azure、GCP)、コンテナオーケストレーター (Kubernetes、Mesospehere、OpenShift、Docker)、サーバーレスランタイム、メッシュフレームワーク、および CI/CD ツールをサポートします。

CI/CD パイプライン統合やイメージスキャンなどの従来のエンタープライズグレードのセキュリティ技術に加えて、Twistlock は機械学習を使用してコンテナ固有の動作パターンとネットワークルールを生成します。

少し前に、Twistlock は Evident.io プロジェクトと RedLock プロジェクトを所有するパロアルトネットワークスに買収されました。これら XNUMX つのプラットフォームがどのように正確に統合されるかはまだ不明です。 PRISMA パロアルト出身。

Kubernetes セキュリティツールの最高のカタログの作成にご協力ください。

私たちはこのカタログを可能な限り完全なものにするよう努めており、そのためには皆様のご協力が必要です。お問い合わせ（@sysdig) このリストに含める価値のある優れたツールを念頭に置いている場合、またはエラー/古い情報を見つけた場合。

購読することもできます月刊ニュースレタークラウドネイティブエコシステムからのニュースや、Kubernetes セキュリティの世界からの興味深いプロジェクトに関するストーリーが含まれます。

翻訳者からの追伸

私たちのブログもお読みください:

出所： habr.com

33 以上の Kubernetes セキュリティ ツール

Категории