33+ piranti keamanan Kubernetes

Cathetan. nerjemahake.: Yen sampeyan mikir babagan keamanan ing infrastruktur basis Kubernetes, ringkesan apik saka Sysdig iki minangka titik wiwitan sing apik kanggo ndeleng solusi saiki. Iku kalebu loro sistem Komplek saka pemain pasar kondhang lan utilitas luwih andhap asor sing ngatasi masalah tartamtu. Lan ing komentar, kaya biasane, kita bakal seneng ngrungokake pengalaman sampeyan nggunakake alat kasebut lan ndeleng tautan menyang proyek liyane.

Produk piranti lunak keamanan Kubernetes... akeh banget, saben duwe tujuan, ruang lingkup, lan lisensi dhewe-dhewe.

Pramila kita mutusake nggawe dhaptar iki lan kalebu proyek sumber terbuka lan platform komersial saka vendor sing beda. Muga-muga bisa mbantu sampeyan ngenali sing paling disenengi lan ngarahake sampeyan menyang arah sing bener adhedhasar kabutuhan keamanan Kubernetes tartamtu.

Kategori

Kanggo nggawe dhaptar luwih gampang navigasi, alat kasebut diatur miturut fungsi utama lan aplikasi. Bagean ing ngisor iki dijupuk:

• Pemindaian gambar lan analisis statis Kubernetes;
• keamanan Runtime;
• keamanan jaringan Kubernetes;
• Distribusi gambar lan manajemen rahasia;
• audit keamanan Kubernetes;
• Produk komersial sing komprehensif.

Ayo mudhun menyang bisnis:

Scanning gambar Kubernetes

Jangkar

• situs web: anchore.com
• Lisensi: tawaran gratis (Apache) lan komersial

Anchore nganalisa gambar wadhah lan ngidini mriksa keamanan adhedhasar kabijakan sing ditemtokake pangguna.

Saliyane pemindaian gambar wadhah biasa kanggo kerentanan sing dikenal saka database CVE, Anchore nindakake akeh pemeriksaan tambahan minangka bagean saka kabijakan pemindaian: mriksa file Docker, bocor kredensial, paket basa pamrograman sing digunakake (npm, maven, lsp. .), lisensi piranti lunak lan liya-liyane.

Clair

• situs web: coreos.com/clair (saiki di bawah pengawasan Red Hat)
• Lisensi: gratis (Apache)

Clair minangka salah sawijining proyek Open Source pisanan kanggo mindhai gambar. Dikenal minangka scanner keamanan ing mburi registri gambar Quay (uga saka CoreOS - kira-kira. ngartekne). Clair bisa ngumpulake informasi CVE saka macem-macem sumber, kalebu dhaptar kerentanan khusus distribusi Linux sing dikelola dening tim keamanan Debian, Red Hat, utawa Ubuntu.

Ora kaya Anchore, Clair utamane fokus ing nemokake kerentanan lan data sing cocog karo CVE. Nanging, produk nawakake pangguna sawetara kesempatan kanggo nggedhekake fungsi nggunakake driver plug-in.

dhadha

• situs web: github.com/eliasgranderubio/dagda
• Lisensi: gratis (Apache)

Dagda nindakake analisis statis gambar wadhah kanggo kerentanan dikenal, Trojan, virus, malware lan ancaman liyane.

Rong fitur penting sing mbedakake Dagda saka alat liyane sing padha:

• Iku nyawiji sampurna karo ClamAV, tumindak ora mung minangka alat kanggo mindhai gambar wadhah, nanging uga minangka antivirus.
• Uga nyedhiyakake proteksi runtime kanthi nampa acara nyata-wektu saka daemon Docker lan nggabungake karo Falco (ndeleng ngisor) kanggo ngumpulake acara keamanan nalika wadhah lagi mlaku.

KubeXray

• situs web: github.com/jfrog/kubexray
• Lisensi: Gratis (Apache), nanging mbutuhake data saka JFrog Xray (produk komersial)

KubeXray ngrungokake acara saka server API Kubernetes lan nggunakake metadata saka JFrog Xray kanggo mesthekake yen mung pods sing cocog karo kabijakan saiki sing diluncurake.

KubeXray ora mung ngawasi kontaner anyar utawa dianyari ing penyebaran (padha karo pengontrol sing diakoni ing Kubernetes), nanging uga kanthi dinamis mriksa kontaner sing mlaku kanggo tundhuk karo kabijakan keamanan anyar, mbusak sumber daya sing ngrujuk gambar sing rawan.

Snyk

• situs web: snyk.io
• Lisensi: versi gratis (Apache) lan komersial

Snyk minangka scanner kerentanan sing ora biasa amarga target khusus proses pangembangan lan dipromosikan minangka "solusi penting" kanggo pangembang.

Snyk nyambung langsung menyang repositori kode, ngurai manifest project lan nganalisa kode sing diimpor bebarengan karo dependensi langsung lan ora langsung. Snyk ndhukung akeh basa pemrograman populer lan bisa ngenali risiko lisensi sing didhelikake.

trivy

• situs web: github.com/knqyf263/trivy
• Lisensi: gratis (AGPL)

Trivy minangka pemindai kerentanan sing gampang nanging kuat kanggo wadhah sing gampang digabung menyang pipa CI / CD. Fitur sing penting yaiku gampang instalasi lan operasi: aplikasi kasebut kalebu siji binar lan ora mbutuhake instalasi database utawa perpustakaan tambahan.

Kekurangan saka kesederhanaan Trivy yaiku sampeyan kudu ngerti carane ngurai lan nerusake asil ing format JSON supaya piranti keamanan Kubernetes liyane bisa digunakake.

Keamanan Runtime ing Kubernetes

Tang

• situs web: falco.org
• Lisensi: gratis (Apache)

Falco minangka piranti kanggo ngamanake lingkungan runtime awan. Bagéyan saka kulawarga project CNCF.

Nggunakake piranti tingkat kernel Linux Sysdig lan profil panggilan sistem, Falco ngidini sampeyan nyilem menyang prilaku sistem. Mesin aturan runtime bisa ndeteksi aktivitas sing curiga ing aplikasi, wadhah, host dhasar, lan orkestra Kubernetes.

Falco nyedhiyakake transparansi lengkap ing runtime lan deteksi ancaman kanthi nggunakake agen khusus ing simpul Kubernetes kanggo tujuan kasebut. Akibaté, ora perlu ngowahi wadhah kanthi ngenalake kode pihak katelu utawa nambahake wadhah sidecar.

Kerangka keamanan Linux kanggo runtime

Frameworks asli kanggo kernel Linux iki dudu "alat keamanan Kubernetes" ing pangertèn tradisional, nanging kudu disebutake amarga minangka unsur penting ing konteks keamanan runtime, sing kalebu ing Kebijakan Keamanan Kubernetes Pod (PSP).

AppArmor nempelake profil keamanan kanggo proses sing mlaku ing wadhah, nemtokake hak istimewa sistem file, aturan akses jaringan, nyambungake perpustakaan, lsp. Iki minangka sistem adhedhasar Mandatory Access Control (MAC). Ing tembung liyane, nyegah tumindak sing dilarang ditindakake.

Linux sing Ditingkatake Keamanan (SELinux) minangka modul keamanan canggih ing kernel Linux, padha ing sawetara aspek AppArmor lan asring dibandhingake. SELinux luwih unggul tinimbang AppArmor babagan kekuwatan, keluwesan lan kustomisasi. Kekurangane yaiku kurva sinau sing dawa lan tambah kerumitan.

Sekomp lan seccomp-bpf ngidini sampeyan nyaring panggilan sistem, mblokir eksekusi sing bisa mbebayani kanggo OS dasar lan ora dibutuhake kanggo operasi normal aplikasi pangguna. Seccomp meh padha karo Falco ing sawetara cara, sanajan ora ngerti spesifik kontainer.

Sysdig open source

• situs web: www.sysdig.com/opensource
• Lisensi: gratis (Apache)

Sysdig minangka alat lengkap kanggo nganalisa, diagnosa lan debugging sistem Linux (uga bisa digunakake ing Windows lan macOS, nanging kanthi fungsi winates). Bisa digunakake kanggo ngumpulake informasi rinci, verifikasi lan analisis forensik. (forensik) sistem dhasar lan sembarang kontaner mlaku ing.

Sysdig uga asli ndhukung runtimes wadhah lan metadata Kubernetes, nambah dimensi tambahan lan label kanggo kabeh informasi prilaku sistem dikumpulake. Ana sawetara cara kanggo nganalisis kluster Kubernetes nggunakake Sysdig: sampeyan bisa nindakake panangkepan point-in-time liwat kubectl dijupuk utawa miwiti antarmuka interaktif adhedhasar ncurses nggunakake plugin kubectl dig.

Keamanan Jaringan Kubernetes

Aporeto

• situs web: www.aporeto.com
• Lisensi: komersial

Aporeto nawakake "keamanan sing dipisahake saka jaringan lan infrastruktur." Iki tegese layanan Kubernetes ora mung nampa ID lokal (yaiku ServiceAccount ing Kubernetes), nanging uga ID universal/sidik jari sing bisa digunakake kanggo komunikasi kanthi aman lan bebarengan karo layanan liyane, contone ing kluster OpenShift.

Aporeto saged ngasilaken ID unik ora mung kanggo Kubernetes / wadhah, nanging uga kanggo host, fungsi maya lan pangguna. Gumantung saka pengenal kasebut lan set aturan keamanan jaringan sing disetel dening administrator, komunikasi bakal diidini utawa diblokir.

Calico

• situs web: www.projectcalico.org
• Lisensi: gratis (Apache)

Calico biasane disebarake sajrone instalasi orkestra kontainer, ngidini sampeyan nggawe jaringan virtual sing nyambungake kontaner. Saliyane fungsi jaringan dhasar iki, proyek Calico bisa dianggo karo Kabijakan Jaringan Kubernetes lan profil keamanan jaringan dhewe, ndhukung ACL titik pungkasan (dhaptar kontrol akses) lan aturan keamanan jaringan adhedhasar anotasi kanggo lalu lintas Ingress lan Egress.

cilium

• situs web: www.cilium.io
• Lisensi: gratis (Apache)

Cilium tumindak minangka firewall kanggo kontaner lan nyedhiyakake fitur keamanan jaringan sing disesuaikan karo beban kerja Kubernetes lan microservices. Cilium nggunakake teknologi kernel Linux anyar sing diarani BPF (Berkeley Packet Filter) kanggo nyaring, ngawasi, ngarahake lan mbenerake data.

Cilium bisa ngetrapake kabijakan akses jaringan adhedhasar ID wadah nggunakake label lan metadata Docker utawa Kubernetes. Cilium uga mangertos lan nyaring macem-macem Layer 7 protokol kayata HTTP utawa gRPC, ngijini sampeyan kanggo nemtokake pesawat saka REST telpon sing bakal diijini antarane loro panyebaran Kubernetes, contone.

Istio

• situs web: istio.io
• Lisensi: gratis (Apache)

Istio misuwur amarga ngetrapake paradigma bolong layanan kanthi nggunakake pesawat kontrol independen platform lan nuntun kabeh lalu lintas layanan sing dikelola liwat proxy Utusan sing bisa dikonfigurasi kanthi dinamis. Istio njupuk kauntungan saka tampilan majeng kabeh microservices lan kontaner kanggo ngleksanakake macem-macem strategi keamanan jaringan.

Kapabilitas keamanan jaringan Istio kalebu enkripsi TLS transparan kanggo nganyarke komunikasi kanthi otomatis ing antarane layanan mikro menyang HTTPS, lan sistem identifikasi lan wewenang RBAC eksklusif kanggo ngidini / nolak komunikasi antarane beban kerja sing beda ing kluster.

Cathetan. nerjemahake.: Kanggo mangerteni sing luwih lengkap babagan kabisan fokus keamanan Istio, waca artikel iki.

macan

• situs web: www.tigera.io
• Lisensi: komersial

Diarani "Kubernetes Firewall," solusi iki nandheske pendekatan nul-kapercayan kanggo keamanan jaringan.

Kaya karo solusi jaringan Kubernetes asli liyane, Tigera ngandelake metadata kanggo ngenali macem-macem layanan lan obyek ing kluster lan nyedhiyakake deteksi masalah runtime, pamriksa kepatuhan terus-terusan, lan visibilitas jaringan kanggo infrastruktur multi-cloud utawa hibrida monolitik-kontainer.

Trireme

• situs web: www.aporeto.com/opensource
• Lisensi: gratis (Apache)

Trireme-Kubernetes minangka implementasine prasaja lan langsung saka spesifikasi Kabijakan Jaringan Kubernetes. Fitur sing paling penting yaiku - ora kaya produk keamanan jaringan Kubernetes sing padha - ora mbutuhake pesawat kontrol tengah kanggo koordinasi bolong. Iki ndadekake solusi trivially keukur. Ing Trireme, iki digayuh kanthi nginstal agen ing saben simpul sing langsung nyambung menyang tumpukan TCP/IP host.

Panyebaran Gambar lan Manajemen Rahasia

Grafeas

• situs web: grafeas.io
• Lisensi: gratis (Apache)

Grafeas minangka API sumber terbuka kanggo audit lan manajemen rantai pasokan piranti lunak. Ing tingkat dhasar, Grafeas minangka alat kanggo ngumpulake metadata lan temuan audit. Bisa digunakake kanggo nglacak selaras karo praktik paling apik keamanan ing sawijining organisasi.

Sumber bebener sing terpusat iki mbantu njawab pitakonan kaya:

• Sapa sing ngumpulake lan mlebu kanggo wadhah tartamtu?
• Apa wis lulus kabeh pindai keamanan lan mriksa sing dibutuhake dening kabijakan keamanan? kapan? Apa asile?
• Sapa sing nyebarake menyang produksi? Parameter spesifik apa sing digunakake sajrone panyebaran?

Ing-toto

• situs web: in-toto.github.io
• Lisensi: gratis (Apache)

In-toto minangka kerangka sing dirancang kanggo nyedhiyakake integritas, otentikasi lan audit kabeh rantai pasokan piranti lunak. Nalika nyebarake In-toto ing prasarana, rencana pisanan ditetepake sing nggambarake macem-macem langkah ing saluran pipa (gudang, piranti CI/CD, alat QA, kolektor artefak, lsp.) lan pangguna (wong sing tanggung jawab) sing diijini miwiti wong-wong mau.

In-toto ngawasi eksekusi rencana kasebut, mesthekake yen saben tugas ing rantai ditindakake kanthi bener dening personel sing sah mung lan ora ana manipulasi sing ora sah ditindakake karo produk sajrone gerakan.

Portieris

• situs web: github.com/IBM/portieris
• Lisensi: gratis (Apache)

Portieris minangka controller diakoni kanggo Kubernetes; digunakake kanggo ngleksanakake mriksa kapercayan isi. Portieris nggunakake server Notaris (kita nulis babagan dheweke ing pungkasan wacana iki - kira-kira. ngartekne) minangka sumber bebener kanggo ngesyahke artefak dipercaya lan mlebu (i.e. gambar wadhah disetujoni).

Nalika beban kerja digawe utawa diowahi ing Kubernetes, Portieris ndownload informasi tandha lan kabijakan kapercayan konten kanggo gambar wadhah sing dijaluk lan, yen perlu, nggawe owah-owahan langsung menyang obyek JSON API kanggo mbukak versi sing ditandatangani saka gambar kasebut.

Wikipedia

• situs web: www.vaultproject.io
• Lisensi: gratis (MPL)

Vault minangka solusi sing aman kanggo nyimpen informasi pribadi: sandhi, token OAuth, sertifikat PKI, akun akses, rahasia Kubernetes, lsp. Vault ndhukung akeh fitur canggih, kayata nyewakake token keamanan ephemeral utawa ngatur rotasi tombol.

Nggunakake grafik Helm, Vault bisa disebarake minangka penyebaran anyar ing kluster Kubernetes kanthi Konsul minangka panyimpenan backend. Ndhukung sumber daya Kubernetes asli kaya token ServiceAccount lan bisa uga minangka toko standar kanggo rahasia Kubernetes.

Cathetan. nerjemahake.: Ngomong-ngomong, wingi perusahaan HashiCorp, sing ngembangake Vault, ngumumake sawetara dandan kanggo nggunakake Vault ing Kubernetes, lan utamane ana hubungane karo grafik Helm. Waca liyane ing pangembang blog.

Audit Keamanan Kubernetes

Kube-bangku

• situs web: github.com/aquasecurity/kube-bench
• Lisensi: gratis (Apache)

Kube-bench minangka aplikasi Go sing mriksa apa Kubernetes disebar kanthi aman kanthi nganakake tes saka dhaptar CIS Kubernetes Benchmark.

Kube-bench nggoleki setelan konfigurasi sing ora aman ing antarane komponen kluster (etcd, API, manajer pengontrol, lsp.), hak akses file sing bisa dipertanyakan, akun sing ora dilindhungi utawa port mbukak, kuota sumber daya, setelan kanggo mbatesi jumlah panggilan API kanggo nglindhungi serangan DoS. , lsp.

Kube-hunter

• situs web: github.com/aquasecurity/kube-hunter
• Lisensi: gratis (Apache)

Kube-hunter mburu kerentanan potensial (kayata eksekusi kode remot utawa pambocoran data) ing kluster Kubernetes. Kube-hunter bisa mbukak minangka scanner remot - ing kasus iki bakal ngevaluasi kluster saka sudut pandang penyerang pihak katelu - utawa minangka pod nang kluster.

Fitur khas Kube-hunter yaiku mode "mburu aktif", sing ora mung nglaporake masalah, nanging uga nyoba ngupayakake kerentanan sing ditemokake ing kluster target sing bisa nyebabake operasi. Dadi gunakake kanthi ati-ati!

Kubeaudit

• situs web: github.com/Shopify/kubeaudit
• Lisensi: gratis (MIT)

Kubeaudit minangka alat konsol sing asline dikembangake ing Shopify kanggo ngaudit konfigurasi Kubernetes kanggo macem-macem masalah keamanan. Contone, mbantu ngenali kontaner sing mlaku tanpa watesan, mlaku minangka root, nyalahake hak istimewa, utawa nggunakake ServiceAccount standar.

Kubeaudit nduweni fitur menarik liyane. Contone, bisa nganalisa file YAML lokal, ngenali cacat konfigurasi sing bisa nyebabake masalah keamanan, lan ndandani kanthi otomatis.

Kubesec

• situs web: kubesec.io
• Lisensi: gratis (Apache)

Kubesec minangka alat khusus sing langsung mindai file YAML sing nggambarake sumber daya Kubernetes, nggoleki paramèter sing lemah sing bisa mengaruhi keamanan.

Contone, bisa ndeteksi hak istimewa lan ijin sing gedhe banget sing diwenehake menyang pod, mbukak wadhah kanthi root minangka pangguna standar, nyambung menyang ruang jeneng jaringan host, utawa gunung sing mbebayani kaya /proc host utawa soket Docker. Fitur menarik liyane saka Kubesec yaiku layanan demo sing kasedhiya online, ing ngendi sampeyan bisa ngunggah YAML lan langsung nganalisa.

Bukak Agen Kebijakan

• situs web: www.openpolicyagent.org
• Lisensi: gratis (Apache)

Konsep OPA (Agen Kebijakan Terbuka) yaiku kanggo ngilangi kabijakan keamanan lan praktik paling apik keamanan saka platform runtime tartamtu: Docker, Kubernetes, Mesosphere, OpenShift, utawa kombinasi apa wae.

Contone, sampeyan bisa masang OPA minangka backend kanggo kontroler diakoni Kubernetes, delegating kaputusan keamanan kanggo iku. Kanthi cara iki, agen OPA bisa ngesyahke, nolak, lan malah ngowahi panjalukan kanthi cepet, kanggo mesthekake yen paramèter keamanan sing ditemtokake wis ditemtokake. Kawicaksanan keamanan OPA ditulis ing basa DSL kepemilikan, Rego.

Cathetan. nerjemahake.: We wrote liyane babagan OPA (lan SPIFFE) ing materi iki.

Piranti komersial sing komprehensif kanggo analisis keamanan Kubernetes

Kita mutusake nggawe kategori sing kapisah kanggo platform komersial amarga biasane nyakup sawetara wilayah keamanan. Gagasan umum babagan kemampuane bisa dipikolehi saka tabel:

* Pemeriksaan lanjutan lan analisis post mortem kanthi lengkap pembajakan panggilan sistem.

Keamanan Aqua

• situs web: www.aquasec.com
• Lisensi: komersial

Alat komersial iki dirancang kanggo wadhah lan beban kerja awan. Iku nyedhiyakake:

• Pemindaian gambar terintegrasi karo pendaptaran wadah utawa pipa CI / CD;
• Perlindhungan wektu kanthi nggoleki owah-owahan ing wadhah lan kegiatan curiga liyane;
• Firewall asli kontainer;
• Keamanan kanggo serverless ing layanan awan;
• Tes kepatuhan lan audit digabungake karo logging acara.

Cathetan. nerjemahake.: Iku uga worth kang lagi nyimak sing ana komponèn free prodhuk disebut MicroScanner, sing ngijini sampeyan kanggo mindhai gambar wadhah kanggo vulnerabilities. Perbandingan kemampuan karo versi mbayar ditampilake ing meja iki.

Kapsul8

• situs web: kapsul8.com
• Lisensi: komersial

Capsule8 nggabungake menyang infrastruktur kanthi nginstal detektor ing kluster Kubernetes lokal utawa awan. Detektor iki nglumpukake telemetri host lan jaringan, hubungane karo macem-macem jinis serangan.

Tim Capsule8 ndeleng tugas minangka deteksi awal lan nyegah serangan nggunakake anyar (0-dina) vulnerabilities. Capsule8 bisa ndownload aturan keamanan sing dianyari langsung menyang detektor kanggo nanggepi ancaman lan kerentanan piranti lunak sing mentas ditemokake.

Cavirin

• situs web: www.cavirin.com
• Lisensi: komersial

Cavirin tumindak minangka kontraktor sisih perusahaan kanggo macem-macem agensi sing melu standar safety. Ora mung bisa mindai gambar, nanging uga bisa nggabungake menyang pipa CI / CD, mblokir gambar non-standar sadurunge mlebu repositori sing ditutup.

Suite keamanan Cavirin nggunakake pembelajaran mesin kanggo netepake postur keamanan siber sampeyan, menehi tips kanggo nambah keamanan lan nambah kepatuhan karo standar keamanan.

Pusat Komando Keamanan Google Cloud

• situs web: cloud.google.com/security-command-center
• Lisensi: komersial

Cloud Security Command Center mbantu tim keamanan ngumpulake data, ngenali ancaman, lan ngilangi sadurunge ngrusak perusahaan.

Minangka jeneng kasebut, Google Cloud SCC minangka panel kontrol terpadu sing bisa nggabungake lan ngatur macem-macem laporan keamanan, mesin akuntansi aset, lan sistem keamanan pihak katelu saka siji sumber terpusat.

API interoperable sing ditawakake Google Cloud SCC nggampangake nggabungake acara keamanan saka macem-macem sumber, kayata Sysdig Secure (keamanan kontainer kanggo aplikasi cloud-native) utawa Falco (keamanan runtime Open Source).

Wawasan Berlapis (Qualys)

• situs web: layeredinsight.com
• Lisensi: komersial

Layered Insight (saiki dadi bagean saka Qualys Inc) dibangun kanthi konsep "keamanan sing dipasang." Sawise mindhai gambar asli kanggo kerentanan nggunakake analisis statistik lan pamriksan CVE, Layered Insight ngganti gambar kasebut nganggo gambar instrumen sing kalebu agen minangka binar.

Agen iki ngemot tes keamanan runtime kanggo nganalisa lalu lintas jaringan wadah, aliran I / O lan kegiatan aplikasi. Kajaba iku, bisa nindakake pemeriksaan keamanan tambahan sing ditemtokake dening administrator infrastruktur utawa tim DevOps.

NeuVector

• situs web: neuvector.com
• Lisensi: komersial

NeuVector mriksa keamanan wadhah lan menehi proteksi runtime kanthi nganalisa aktivitas jaringan lan prilaku aplikasi, nggawe profil keamanan individu kanggo saben wadhah. Uga bisa mblokir ancaman dhewe, ngisolasi aktivitas curiga kanthi ngganti aturan firewall lokal.

Integrasi jaringan NeuVector, dikenal minangka Security Mesh, saged analisis paket jero lan lapisan 7 nyaring kanggo kabeh sambungan jaringan ing bolong layanan.

StackRox

• situs web: www.stackrox.com
• Lisensi: komersial

Platform keamanan wadhah StackRox ngupayakake kabeh siklus urip aplikasi Kubernetes ing kluster. Kaya platform komersial liyane ing dhaptar iki, StackRox ngasilake profil runtime adhedhasar prilaku wadhah sing diamati lan kanthi otomatis ngunggahake weker kanggo panyimpangan apa wae.

Kajaba iku, StackRox nganalisa konfigurasi Kubernetes nggunakake Kubernetes CIS lan buku aturan liyane kanggo ngevaluasi kepatuhan wadah.

Sysdig Secure

• situs web: sysdig.com/products/secure
• Lisensi: komersial

Sysdig Secure nglindhungi aplikasi ing kabeh wadhah lan siklus urip Kubernetes. Dheweke mindai gambar kontaner, nyedhiyakake pangayoman runtime miturut data learning machine, nindakake krim. keahlian kanggo ngenali kerentanan, pamblokiran ancaman, monitor selaras karo standar sing ditetepake lan kegiatan audit ing layanan mikro.

Sysdig Secure nggabungake karo alat CI / CD kayata Jenkins lan ngontrol gambar sing dimuat saka registri Docker, nyegah gambar sing mbebayani katon ing produksi. Uga nyedhiyakake keamanan runtime lengkap, kalebu:

• Profil runtime basis ML lan deteksi anomali;
• kabijakan runtime adhedhasar acara sistem, K8s-audit API, proyek komunitas gabungan (FIM - pemantauan integritas file; cryptojacking) lan kerangka kerja MITER AT&CK;
• respon lan resolusi saka kedadean.

Keamanan Kontainer Tenable

• situs web: www.tenable.com/products/tenable-io/container-security
• Lisensi: komersial

Sadurunge tekane kontaner, Tenable dikenal ing industri minangka perusahaan ing mburi Nessus, alat mburu kerentanan lan audit keamanan sing populer.

Tenable Container Security nggunakake keahlian keamanan komputer perusahaan kanggo nggabungake pipa CI/CD kanthi database kerentanan, paket deteksi malware khusus, lan rekomendasi kanggo ngatasi ancaman keamanan.

Twistlock (Jaringan Palo Alto)

• situs web: www.twistlock.com
• Lisensi: komersial

Twistlock promosiake awake dhewe minangka platform sing fokus ing layanan awan lan kontaner. Twistlock ndhukung macem-macem panyedhiya maya (AWS, Azure, GCP), orkestra kontainer (Kubernetes, Mesospehere, OpenShift, Docker), runtime tanpa server, kerangka bolong lan alat CI / CD.

Saliyane teknik keamanan kelas perusahaan konvensional kayata integrasi pipa CI / CD utawa pemindaian gambar, Twistlock nggunakake pembelajaran mesin kanggo ngasilake pola prilaku lan aturan jaringan khusus wadah.

Sawetara wektu kepungkur, Twistlock dituku dening Palo Alto Networks, sing duwe proyek Evident.io lan RedLock. Durung dingerteni kepiye persis telung platform kasebut bakal digabungake Prisma saka Palo Alto.

Mbantu mbangun katalog alat keamanan Kubernetes sing paling apik!

Kita usaha kanggo nggawe katalog iki minangka lengkap sabisa, lan iki kita kudu bantuan Panjenengan! Hubungi kita (@sysdig) yen sampeyan duwe alat kelangan ing atine sing pantes kalebu ing dhaftar iki, utawa sampeyan nemokake kesalahan / informasi outdated.

Sampeyan uga bisa langganan kita newsletter saben wulan kanthi warta saka ekosistem asli awan lan crita babagan proyek menarik saka jagad keamanan Kubernetes.

PS saka penerjemah

Waca uga ing blog kita:

• «Pambuka kanggo Kabijakan Jaringan Kubernetes kanggo Profesional Keamanan";
• «Docker lan Kubernetes ing lingkungan sing nuntut keamanan";
• «9 Praktek Paling Apik kanggo Keamanan Kubernetes";
• «11 Cara kanggo (Ora) Dadi Korban Hack Kubernetes";
• «OPA lan SPIFFE minangka rong proyek anyar ing CNCF kanggo keamanan aplikasi awan".

Source: www.habr.com