🥇33+ ხელსაწყოები Kubernetes უსაფრთხოებისთვის

Შენიშვნა. თარგმნა: თუ გაინტერესებთ Kubernetes-ზე დაფუძნებული ინფრასტრუქტურის უსაფრთხოება, Sysdig-ის ეს შესანიშნავი მიმოხილვა შესანიშნავი საწყისი წერტილია მიმდინარე გადაწყვეტილებების სწრაფი გადახედვისთვის. იგი მოიცავს როგორც კომპლექსურ სისტემებს ბაზრის ცნობილი მოთამაშეებისგან, ასევე ბევრად უფრო მოკრძალებულ კომუნალურ კომპანიებს, რომლებიც წყვეტენ კონკრეტულ პრობლემას. და კომენტარებში, როგორც ყოველთვის, მოხარული ვიქნებით მოვისმინოთ თქვენი გამოცდილების შესახებ ამ ინსტრუმენტების გამოყენების შესახებ და ვნახოთ სხვა პროექტების ბმულები.

Kubernetes-ის უსაფრთხოების პროგრამული პროდუქტები... ძალიან ბევრი მათგანია, თითოეულს აქვს საკუთარი მიზნები, ფარგლები და ლიცენზიები.

სწორედ ამიტომ გადავწყვიტეთ შეგვექმნა ეს სია და შეგვეტანა როგორც ღია კოდის პროექტები, ასევე კომერციული პლატფორმები სხვადასხვა მომწოდებლებისგან. ვიმედოვნებთ, რომ ის დაგეხმარებათ იდენტიფიციროთ ის, ვინც ყველაზე საინტერესოა და მიგითითოთ სწორი მიმართულებით თქვენი კონკრეტული Kubernetes უსაფრთხოების საჭიროებიდან გამომდინარე.

კატეგორია

სიაში ნავიგაციის გასაადვილებლად, ინსტრუმენტები ორგანიზებულია ძირითადი ფუნქციისა და აპლიკაციის მიხედვით. მიიღეს შემდეგი სექციები:

Kubernetes გამოსახულების სკანირება და სტატიკური ანალიზი;
გაშვების უსაფრთხოება;
Kubernetes ქსელის უსაფრთხოება;
გამოსახულების განაწილება და საიდუმლოების მართვა;
Kubernetes უსაფრთხოების აუდიტი;
ყოვლისმომცველი კომერციული პროდუქტები.

მოდით გადავიდეთ საქმეზე:

Kubernetes სურათების სკანირება

წამყვანი

საიტი: anchore.com
ლიცენზია: უფასო (Apache) და კომერციული შეთავაზება

Anchore აანალიზებს კონტეინერების სურათებს და უშვებს უსაფრთხოების შემოწმებას მომხმარებლის მიერ განსაზღვრულ პოლიტიკაზე დაყრდნობით.

გარდა კონტეინერის სურათების ჩვეულებრივი სკანირებისა ცნობილი დაუცველობისთვის CVE მონაცემთა ბაზიდან, Anchore ახორციელებს ბევრ დამატებით შემოწმებას, როგორც მისი სკანირების პოლიტიკის ნაწილი: ამოწმებს Dockerfile-ს, რწმუნებათა სიგელების გაჟონვას, გამოყენებული პროგრამირების ენების პაკეტებს (npm, maven და ა.შ. .), პროგრამული უზრუნველყოფის ლიცენზიები და მრავალი სხვა.

წმინდა

საიტი: coreos.com/clair (ახლა Red Hat-ის მეურვეობის ქვეშ)
ლიცენზია: უფასო (Apache)

Clair იყო ერთ-ერთი პირველი ღია კოდის პროექტი გამოსახულების სკანირებისთვის. იგი ფართოდ არის ცნობილი, როგორც უსაფრთხოების სკანერი Quay გამოსახულების რეესტრის უკან (ასევე CoreOS-დან - დაახლ. თარგმანი). Clair-ს შეუძლია შეაგროვოს CVE ინფორმაცია მრავალფეროვანი წყაროდან, მათ შორის Linux-ის განაწილების სპეციფიკური დაუცველობის სიების ჩათვლით, რომლებიც ინახება Debian, Red Hat ან Ubuntu უსაფრთხოების გუნდების მიერ.

Anchore-ისგან განსხვავებით, Clair უპირველეს ყოვლისა ყურადღებას ამახვილებს მოწყვლადობის პოვნაზე და მონაცემების CVE-ებთან შესაბამისობაში. თუმცა, პროდუქტი მომხმარებლებს სთავაზობს ფუნქციების გაფართოების შესაძლებლობებს დანამატის დრაივერების გამოყენებით.

დაგდა

საიტი: github.com/eliasgranderubio/dagda
ლიცენზია: უფასო (Apache)

Dagda ახორციელებს კონტეინერის სურათების სტატიკურ ანალიზს ცნობილი დაუცველობის, ტროასების, ვირუსების, მავნე პროგრამებისა და სხვა საფრთხეებისთვის.

ორი მნიშვნელოვანი მახასიათებელი განასხვავებს დაგდას სხვა მსგავსი ხელსაწყოებისგან:

ის იდეალურად აერთიანებს ClamAV, მოქმედებს არა მხოლოდ როგორც ინსტრუმენტი კონტეინერის სურათების სკანირებისთვის, არამედ როგორც ანტივირუსი.
ასევე უზრუნველყოფს გაშვების დაცვას Docker-ის დემონისგან რეალურ დროში მოვლენების მიღებით და Falco-სთან ინტეგრირებით (იხილეთ ქვემოთ) უსაფრთხოების მოვლენების შეგროვება კონტეინერის მუშაობისას.

KubeXray

საიტი: github.com/jfrog/kubexray
ლიცენზია: უფასო (Apache), მაგრამ მოითხოვს მონაცემებს JFrog Xray-დან (კომერციული პროდუქტი)

KubeXray უსმენს მოვლენებს Kubernetes API სერვერიდან და იყენებს მეტამონაცემებს JFrog Xray-დან, რათა უზრუნველყოს მხოლოდ ამჟამინდელი წესების შესაბამისი პოდების გაშვება.

KubeXray არა მხოლოდ ამოწმებს ახალ ან განახლებულ კონტეინერებს განლაგებისას (მსგავსი დაშვების კონტროლერი Kubernetes-ში), არამედ დინამიურად ამოწმებს გაშვებულ კონტეინერებს უსაფრთხოების ახალ პოლიტიკებთან შესაბამისობაში, წაშლის რესურსებს, რომლებიც მიუთითებენ დაუცველ სურათებზე.

სნიკი

საიტი: snyk.io
ლიცენზია: უფასო (Apache) და კომერციული ვერსიები

Snyk არის არაჩვეულებრივი დაუცველობის სკანერი, რადგან ის კონკრეტულად მიზნად ისახავს განვითარების პროცესს და დაწინაურებულია, როგორც "არსებითი გადაწყვეტა" დეველოპერებისთვის.

Snyk პირდაპირ აკავშირებს კოდის საცავებს, აანალიზებს პროექტის მანიფესტს და აანალიზებს იმპორტირებულ კოდს პირდაპირ და არაპირდაპირ დამოკიდებულებებთან ერთად. Snyk მხარს უჭერს ბევრ პოპულარულ პროგრამირების ენას და შეუძლია ფარული ლიცენზიის რისკების იდენტიფიცირება.

წვრილმანი

საიტი: github.com/knqyf263/trivy
ლიცენზია: უფასო (AGPL)

Trivy არის მარტივი, მაგრამ ძლიერი დაუცველობის სკანერი კონტეინერებისთვის, რომელიც ადვილად ინტეგრირდება CI/CD მილსადენში. მისი აღსანიშნავი მახასიათებელია ინსტალაციისა და მუშაობის სიმარტივე: აპლიკაცია შედგება ერთი ორობითისაგან და არ საჭიროებს მონაცემთა ბაზის ან დამატებით ბიბლიოთეკების ინსტალაციას.

Trivy-ის სიმარტივის მინუსი არის ის, რომ თქვენ უნდა გაარკვიოთ, როგორ გააანალიზოთ და გადააგზავნოთ შედეგები JSON ფორმატში, რათა Kubernetes-ის უსაფრთხოების სხვა ინსტრუმენტებმა გამოიყენონ ისინი.

Runtime უსაფრთხოება Kubernetes-ში

Falco

საიტი: falco.org
ლიცენზია: უფასო (Apache)

Falco არის ინსტრუმენტების ნაკრები ღრუბლოვანი გაშვების გარემოს უზრუნველსაყოფად. პროექტის ოჯახის ნაწილი CNCF.

Sysdig-ის Linux-ის ბირთვის დონის ინსტრუმენტებისა და სისტემური ზარის პროფილირების გამოყენებით, Falco გაძლევთ საშუალებას ღრმად ჩაყვინთოთ სისტემის ქცევაში. მისი გაშვების წესების ძრავას შეუძლია საეჭვო აქტივობის აღმოჩენა აპლიკაციებში, კონტეინერებში, ძირითად ჰოსტსა და Kubernetes-ის ორკესტრატორში.

Falco უზრუნველყოფს სრულ გამჭვირვალობას მუშაობის დროს და საფრთხის გამოვლენაში ამ მიზნებისათვის Kubernetes-ის კვანძებზე სპეციალური აგენტების განლაგებით. შედეგად, არ არის საჭირო კონტეინერების შეცვლა მათში მესამე მხარის კოდის შეყვანით ან გვერდითი კარის კონტეინერების დამატებით.

Linux უსაფრთხოების ჩარჩოები გაშვებისთვის

Linux-ის ბირთვის ეს მშობლიური ჩარჩოები არ არის „Kubernetes უსაფრთხოების ინსტრუმენტები“ ტრადიციული გაგებით, მაგრამ მათი აღნიშვნა ღირს, რადგან ისინი მნიშვნელოვანი ელემენტია გაშვების უსაფრთხოების კონტექსტში, რომელიც შედის Kubernetes Pod უსაფრთხოების პოლიტიკაში (PSP).

AppArmor ანიჭებს უსაფრთხოების პროფილს კონტეინერში გაშვებულ პროცესებს, განსაზღვრავს ფაილური სისტემის პრივილეგიებს, ქსელში წვდომის წესებს, ბიბლიოთეკების დაკავშირებას და ა.შ. ეს არის სისტემა, რომელიც დაფუძნებულია სავალდებულო წვდომის კონტროლზე (MAC). სხვა სიტყვებით რომ ვთქვათ, ის ხელს უშლის აკრძალული მოქმედებების შესრულებას.

უსაფრთხოების გაძლიერებული Linux (SELinux) არის მოწინავე უსაფრთხოების მოდული Linux-ის ბირთვში, რომელიც ზოგიერთ ასპექტში მსგავსია AppArmor-თან და ხშირად მას ადარებენ. SELinux აღემატება AppArmor-ს სიმძლავრით, მოქნილობით და პერსონალიზებით. მისი ნაკლოვანებებია ხანგრძლივი სწავლის მრუდი და გაზრდილი სირთულე.

სეკკომპ და seccomp-bpf საშუალებას გაძლევთ გაფილტროთ სისტემური ზარები, დაბლოკოთ მათი შესრულება, რომლებიც პოტენციურად საშიშია საბაზო OS-სთვის და არ არის საჭირო მომხმარებლის აპლიკაციების ნორმალური მუშაობისთვის. Seccomp გარკვეულწილად ჰგავს Falco-ს, თუმცა მან არ იცის კონტეინერების სპეციფიკა.

Sysdig ღია წყარო

საიტი: www.sysdig.com/opensource
ლიცენზია: უფასო (Apache)

Sysdig არის სრული ინსტრუმენტი Linux სისტემების ანალიზის, დიაგნოსტიკისა და გამართვისთვის (ასევე მუშაობს Windows-ზე და macOS-ზე, მაგრამ შეზღუდული ფუნქციებით). ის შეიძლება გამოყენებულ იქნას დეტალური ინფორმაციის შეგროვების, გადამოწმებისა და სასამართლო ანალიზისთვის. (კრიმინალისტიკა) ბაზის სისტემა და მასზე გაშვებული ნებისმიერი კონტეინერი.

Sysdig ასევე მხარს უჭერს კონტეინერების გაშვებას და Kubernetes მეტამონაცემებს, ამატებს დამატებით განზომილებებს და ეტიკეტებს სისტემის ქცევის ყველა ინფორმაციას, რომელიც აგროვებს. კუბერნეტის კლასტერის ანალიზის რამდენიმე გზა არსებობს Sysdig-ის გამოყენებით: შეგიძლიათ შეასრულოთ დროში გადაღება kubectl დაჭერა ან გაუშვით ncurses-ზე დაფუძნებული ინტერაქტიული ინტერფეისი მოდულის გამოყენებით kubectl dig.

Kubernetes ქსელის უსაფრთხოება

აპორეტო

საიტი: www.aporeto.com
ლიცენზია: კომერციული

Aporeto გთავაზობთ "უსაფრთხოებას ქსელიდან და ინფრასტრუქტურისგან განცალკევებული". ეს ნიშნავს, რომ Kubernetes სერვისები იღებენ არა მხოლოდ ლოკალურ ID-ს (ანუ ServiceAccount-ში Kubernetes-ში), არამედ უნივერსალურ ID/თითის ანაბეჭდს, რომელიც შეიძლება გამოყენებულ იქნას უსაფრთხოდ და ურთიერთდაკავშირებულად ნებისმიერ სხვა სერვისთან, მაგალითად OpenShift კლასტერში.

Aporeto-ს შეუძლია შექმნას უნიკალური ID არა მხოლოდ Kubernetes/კონტეინერებისთვის, არამედ ჰოსტებისთვის, ღრუბლოვანი ფუნქციებისთვის და მომხმარებლებისთვის. ამ იდენტიფიკატორებიდან და ადმინისტრატორის მიერ დადგენილი ქსელის უსაფრთხოების წესების ნაკრებიდან გამომდინარე, კომუნიკაციები დაიშვება ან დაიბლოკება.

კალიკო

საიტი: www.projectcalico.org
ლიცენზია: უფასო (Apache)

Calico ჩვეულებრივ განლაგებულია კონტეინერების ორკესტრატორის ინსტალაციის დროს, რაც საშუალებას გაძლევთ შექმნათ ვირტუალური ქსელი, რომელიც ერთმანეთთან აკავშირებს კონტეინერებს. ქსელის ამ ძირითადი ფუნქციის გარდა, Calico პროექტი მუშაობს Kubernetes Network Policies-თან და ქსელის უსაფრთხოების პროფილების საკუთარ კომპლექტთან, მხარს უჭერს ბოლო წერტილების ACL-ებს (წვდომის კონტროლის სიებს) და ანოტაციაზე დაფუძნებულ ქსელის უსაფრთხოების წესებს Ingress და Egress ტრაფიკისთვის.

ცილიუმი

საიტი: www.cilium.io
ლიცენზია: უფასო (Apache)

Cilium მოქმედებს როგორც კონტეინერების ბუხარი და უზრუნველყოფს ქსელის უსაფრთხოების ფუნქციებს, რომლებიც მორგებულია Kubernetes-ისა და მიკროსერვისების დატვირთვაზე. Cilium იყენებს Linux-ის ბირთვის ახალ ტექნოლოგიას, სახელწოდებით BPF (Berkeley Packet Filter) მონაცემების გაფილტვრისთვის, მონიტორინგისთვის, გადამისამართებისთვის და კორექტირებისთვის.

Cilium-ს შეუძლია განათავსოს ქსელში წვდომის პოლიტიკა კონტეინერების ID-ებზე დაფუძნებული Docker ან Kubernetes ეტიკეტებისა და მეტამონაცემების გამოყენებით. Cilium ასევე ესმის და ფილტრავს სხვადასხვა ფენის პროტოკოლებს, როგორიცაა HTTP ან gRPC, რაც საშუალებას გაძლევთ განსაზღვროთ REST ზარების ნაკრები, რომელიც დაშვებული იქნება, მაგალითად, Kubernetes-ის ორ განლაგებას შორის.

ისტიო

საიტი: istio.io
ლიცენზია: უფასო (Apache)

Istio ფართოდ არის ცნობილი სერვისის ქსელის პარადიგმის დანერგვით პლატფორმისგან დამოუკიდებელი საკონტროლო სიბრტყის განლაგებით და ყველა მართული სერვისის ტრაფიკის მარშრუტით დინამიურად კონფიგურირებადი Envoy პროქსიების მეშვეობით. Istio იყენებს ყველა მიკროსერვისისა და კონტეინერების ამ მოწინავე ხედს ქსელის უსაფრთხოების სხვადასხვა სტრატეგიის განსახორციელებლად.

Istio-ს ქსელის უსაფრთხოების შესაძლებლობები მოიცავს გამჭვირვალე TLS დაშიფვრას მიკროსერვისებს შორის კომუნიკაციების ავტომატურად განახლებისთვის HTTPS-მდე და RBAC იდენტიფიკაციისა და ავტორიზაციის საკუთრებაში არსებულ სისტემას კლასტერში სხვადასხვა დატვირთვას შორის კომუნიკაციის დასაშვებად/უარსაყოფად.

Შენიშვნა. თარგმნა: Istio-ს უსაფრთხოებაზე ორიენტირებული შესაძლებლობების შესახებ მეტი ინფორმაციისთვის წაიკითხეთ ეს მუხლი.

ვეფხვი

საიტი: www.tigera.io
ლიცენზია: კომერციული

"Kubernetes Firewall"-ს უწოდებენ, ეს გამოსავალი ხაზს უსვამს ქსელის უსაფრთხოების ნულოვანი ნდობის მიდგომას.

Kubernetes-ის სხვა მშობლიური ქსელური გადაწყვეტილებების მსგავსად, Tigera ეყრდნობა მეტამონაცემებს კლასტერში სხვადასხვა სერვისებისა და ობიექტების იდენტიფიცირებისთვის და უზრუნველყოფს სამუშაო დროის პრობლემების ამოცნობას, შესაბამისობის მუდმივ შემოწმებას და ქსელის ხილვადობას მრავალ ღრუბლოვანი ან ჰიბრიდული მონოლითური კონტეინერირებული ინფრასტრუქტურისთვის.

ტრირემა

საიტი: www.aporeto.com/opensource
ლიცენზია: უფასო (Apache)

Trireme-Kubernetes არის Kubernetes ქსელის პოლიტიკის სპეციფიკაციის მარტივი და პირდაპირი განხორციელება. ყველაზე შესამჩნევი თვისება ის არის, რომ - განსხვავებით Kubernetes-ის მსგავსი ქსელის უსაფრთხოების პროდუქტებისგან - მას არ სჭირდება ცენტრალური კონტროლის თვითმფრინავი ქსელის კოორდინაციისთვის. ეს ხდის გამოსავალს ტრივიალურად მასშტაბურს. Trireme-ში ეს მიიღწევა აგენტის დაყენებით თითოეულ კვანძზე, რომელიც პირდაპირ უერთდება ჰოსტის TCP/IP სტეკს.

გამოსახულების გავრცელება და საიდუმლოების მართვა

გრაფები

საიტი: grafeas.io
ლიცენზია: უფასო (Apache)

Grafeas არის ღია კოდის API პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის აუდიტისა და მართვისთვის. საბაზისო დონეზე, Grafeas არის ინსტრუმენტი მეტამონაცემების შეგროვებისა და აუდიტის დასკვნებისთვის. ის შეიძლება გამოყენებულ იქნას ორგანიზაციის შიგნით უსაფრთხოების საუკეთესო პრაქტიკასთან შესაბამისობის თვალყურის დევნებისთვის.

ჭეშმარიტების ეს ცენტრალიზებული წყარო დაგეხმარებათ უპასუხოთ კითხვებს, როგორიცაა:

ვინ შეაგროვა და მოაწერა ხელი კონკრეტულ კონტეინერს?
გაიარა ყველა უსაფრთხოების სკანირება და შემოწმება, რომელიც საჭიროა უსაფრთხოების პოლიტიკით? Როდესაც? რა შედეგები მოჰყვა?
ვინ განათავსა იგი წარმოებაში? რა კონკრეტული პარამეტრები იქნა გამოყენებული განლაგების დროს?

ტოტოში

საიტი: in-toto.github.io
ლიცენზია: უფასო (Apache)

In-toto არის ჩარჩო, რომელიც შექმნილია პროგრამული უზრუნველყოფის მიწოდების მთელი ჯაჭვის მთლიანობის, ავთენტიფიკაციისა და აუდიტის უზრუნველსაყოფად. In-toto ინფრასტრუქტურაში განლაგებისას, ჯერ განისაზღვრება გეგმა, რომელიც აღწერს მილსადენის სხვადასხვა საფეხურს (საცავი, CI/CD ხელსაწყოები, QA ინსტრუმენტები, არტეფაქტების შემგროვებლები და ა.შ.) და მომხმარებლებს (პასუხისმგებელ პირებს), რომლებსაც უფლება აქვთ მათი ინიცირება.

In-toto აკონტროლებს გეგმის შესრულებას, ამოწმებს, რომ ჯაჭვში თითოეული დავალება სწორად შესრულებულია მხოლოდ ავტორიზებული პერსონალის მიერ და რომ არ განხორციელებულა არაავტორიზებული მანიპულაციები პროდუქტთან მოძრაობის დროს.

პორტიერისი

საიტი: github.com/IBM/portieris
ლიცენზია: უფასო (Apache)

Portieris არის Kubernetes-ის დაშვების კონტროლერი; გამოიყენება კონტენტის ნდობის შემოწმების შესასრულებლად. Portieris იყენებს სერვერს ნოტარიუსი (ჩვენ ბოლოს დავწერეთ მის შესახებ ამ მუხლის - დაახლ. თარგმანი) როგორც ჭეშმარიტების წყარო სანდო და ხელმოწერილი არტეფაქტების დასადასტურებლად (ანუ დამტკიცებული კონტეინერის სურათები).

როდესაც სამუშაო დატვირთვა იქმნება ან იცვლება Kubernetes-ში, Portieris ჩამოტვირთავს ხელმოწერის ინფორმაციას და კონტენტის ნდობის პოლიტიკას მოთხოვნილი კონტეინერის სურათებისთვის და, საჭიროების შემთხვევაში, ატარებს ცვლილებებს JSON API ობიექტში ამ სურათების ხელმოწერილი ვერსიების გასაშვებად.

Vault

საიტი: www.vaultproject.io
ლიცენზია: უფასო (MPL)

Vault არის უსაფრთხო გადაწყვეტა პირადი ინფორმაციის შესანახად: პაროლები, OAuth ნიშნები, PKI სერთიფიკატები, წვდომის ანგარიშები, Kubernetes საიდუმლოებები და ა.შ. Vault მხარს უჭერს ბევრ მოწინავე ფუნქციას, როგორიცაა ეფემერული უსაფრთხოების ნიშნების იჯარა ან გასაღების ბრუნვის ორგანიზება.

Helm სქემის გამოყენებით, Vault შეიძლება განთავსდეს როგორც ახალი განლაგება Kubernetes კლასტერში Consul-თან ერთად, როგორც backend საცავი. იგი მხარს უჭერს Kubernetes-ის მშობლიურ რესურსებს, როგორიცაა ServiceAccount ტოკენები და შეუძლია იმოქმედოს როგორც ნაგულისხმევი მაღაზია Kubernetes საიდუმლოებისთვის.

Შენიშვნა. თარგმნა: სხვათა შორის, გუშინ კომპანია HashiCorp-მა, რომელიც ავითარებს Vault-ს, გამოაცხადა გარკვეული გაუმჯობესებები Vault-ის გამოყენებაში Kubernetes-ში და კერძოდ, ისინი ეხება Helm-ის სქემას. წაიკითხეთ მეტი ში დეველოპერის ბლოგი.

Kubernetes უსაფრთხოების აუდიტი

კუბე-სკამი

საიტი: github.com/aquasecurity/kube-bench
ლიცენზია: უფასო (Apache)

Kube-bench არის Go აპლიკაცია, რომელიც ამოწმებს არის თუ არა Kubernetes უსაფრთხოდ განლაგებული სიიდან ტესტების გაშვებით დსთ Kubernetes ბენჩმარკი.

Kube-bench ეძებს არასაიმედო კონფიგურაციის პარამეტრებს კლასტერის კომპონენტებს შორის (etcd, API, კონტროლერის მენეჯერი და ა.შ.), ფაილზე წვდომის საეჭვო უფლებები, დაუცველი ანგარიშები ან ღია პორტები, რესურსების კვოტები, API ზარების რაოდენობის შეზღუდვის პარამეტრები DoS შეტევებისგან დასაცავად. და ა.შ.

კუბე-მონადირე

საიტი: github.com/aquasecurity/kube-hunter
ლიცენზია: უფასო (Apache)

Kube-hunter ნადირობს პოტენციურ დაუცველობებზე (როგორიცაა კოდის დისტანციური შესრულება ან მონაცემთა გამჟღავნება) Kubernetes კლასტერებში. Kube-hunter შეიძლება გაშვებული იყოს როგორც დისტანციური სკანერი - ამ შემთხვევაში ის შეაფასებს კლასტერს მესამე მხარის თავდამსხმელის თვალთახედვით - ან როგორც კასეტური განყოფილება.

Kube-hunter-ის გამორჩეული თვისებაა მისი „აქტიური ნადირობის“ რეჟიმი, რომლის დროსაც ის არა მხოლოდ აცნობებს პრობლემებს, არამედ ცდილობს ისარგებლოს სამიზნე კლასტერში აღმოჩენილი დაუცველობით, რამაც შეიძლება ზიანი მიაყენოს მის მუშაობას. ამიტომ გამოიყენეთ სიფრთხილით!

კუბოდიტი

საიტი: github.com/Shopify/kubeaudit
ლიცენზია: უფასო (MIT)

Kubeaudit არის კონსოლის ხელსაწყო, რომელიც თავდაპირველად შეიქმნა Shopify-ში Kubernetes-ის კონფიგურაციის შესამოწმებლად უსაფრთხოების სხვადასხვა საკითხებზე. მაგალითად, ის ხელს უწყობს კონტეინერების იდენტიფიცირებას, რომლებიც მუშაობენ შეუზღუდავად, მუშაობს როგორც root, ბოროტად იყენებენ პრივილეგიებს ან იყენებენ ნაგულისხმევი ServiceAccount-ს.

Kubeaudit აქვს სხვა საინტერესო თვისებები. მაგალითად, მას შეუძლია გააანალიზოს ადგილობრივი YAML ფაილები, რათა დაადგინოს კონფიგურაციის ხარვეზები, რამაც შეიძლება გამოიწვიოს უსაფრთხოების პრობლემები და ავტომატურად გამოასწოროს ისინი.

კუბესეც

საიტი: kubesec.io
ლიცენზია: უფასო (Apache)

Kubesec არის სპეციალური ინსტრუმენტი, რომელიც პირდაპირ ასკანირებს YAML ფაილებს, რომლებიც აღწერს Kubernetes რესურსებს, ეძებს სუსტ პარამეტრებს, რომლებმაც შეიძლება გავლენა მოახდინოს უსაფრთხოებაზე.

მაგალითად, მას შეუძლია აღმოაჩინოს pod-ისთვის მინიჭებული გადაჭარბებული პრივილეგიები და ნებართვები, კონტეინერის გაშვება root-ით, როგორც ნაგულისხმევი მომხმარებელი, დაკავშირება ჰოსტის ქსელის სახელთა სივრცეში ან საშიში სამონტაჟოები, როგორიცაა /proc ჰოსტი ან დოკერის სოკეტი. Kubesec-ის კიდევ ერთი საინტერესო ფუნქცია არის ონლაინ ხელმისაწვდომი დემო სერვისი, რომელშიც შეგიძლიათ ატვირთოთ YAML და დაუყოვნებლივ გააანალიზოთ იგი.

გახსენით პოლიტიკის აგენტი

საიტი: www.openpolicyagent.org
ლიცენზია: უფასო (Apache)

OPA-ს (Open Policy Agent) კონცეფცია არის უსაფრთხოების პოლიტიკისა და უსაფრთხოების საუკეთესო პრაქტიკის გამოყოფა კონკრეტული გაშვების პლატფორმისგან: Docker, Kubernetes, Mesosphere, OpenShift ან მათი ნებისმიერი კომბინაციით.

მაგალითად, შეგიძლიათ განათავსოთ OPA, როგორც კუბერნეტის დაშვების კონტროლერის საყრდენი, უსაფრთხოების გადაწყვეტილებების დელეგირება მასზე. ამ გზით, OPA აგენტს შეუძლია შეამოწმოს, უარყოს და შეცვალოს მოთხოვნები ფრენის დროს, რაც უზრუნველყოფს უსაფრთხოების მითითებულ პარამეტრებს. OPA-ს უსაფრთხოების პოლიტიკა დაწერილია მის საკუთრებაში არსებულ DSL ენაზე, Rego.

Შენიშვნა. თარგმნა: ჩვენ დავწერეთ მეტი OPA (და SPIFFE) შესახებ ეს პერსონალი.

ყოვლისმომცველი კომერციული ინსტრუმენტები Kubernetes უსაფრთხოების ანალიზისთვის

ჩვენ გადავწყვიტეთ შეგვექმნა ცალკე კატეგორია კომერციული პლატფორმებისთვის, რადგან ისინი, როგორც წესი, მოიცავს უსაფრთხოების მრავალ სფეროს. მათი შესაძლებლობების ზოგადი წარმოდგენა შეგიძლიათ მიიღოთ ცხრილიდან:

* გაფართოებული გამოკვლევა და სიკვდილის შემდგომი ანალიზი სრული სისტემური ზარის გატაცება.

Aqua Security

საიტი: www.aquasec.com
ლიცენზია: კომერციული

ეს კომერციული ინსტრუმენტი განკუთვნილია კონტეინერებისა და ღრუბლის დატვირთვისთვის. Ის უზრუნველყოფს:

გამოსახულების სკანირება ინტეგრირებული კონტეინერის რეესტრთან ან CI/CD მილსადენთან;
გაშვების დაცვა კონტეინერებში ცვლილებებისა და სხვა საეჭვო აქტივობების ძიებით;
კონტეინერი-მშობლიური firewall;
უსაფრთხოება სერვერის გარეშე ღრუბლოვან სერვისებში;
შესაბამისობის ტესტირება და აუდიტი შერწყმულია მოვლენების აღრიცხვასთან.

Შენიშვნა. თარგმნა: ასევე აღსანიშნავია, რომ არსებობენ პროდუქტის უფასო კომპონენტი ე.წ მიკროსკანერი, რომელიც საშუალებას გაძლევთ დაასკანიროთ კონტეინერის სურათები დაუცველობისთვის. მისი შესაძლებლობების შედარება ფასიან ვერსიებთან არის წარმოდგენილი ეს ცხრილი.

კაფსულა 8

საიტი: capsule8.com
ლიცენზია: კომერციული

Capsule8 ინტეგრირდება ინფრასტრუქტურაში დეტექტორის დაყენებით ადგილობრივ ან ღრუბელ Kubernetes კლასტერზე. ეს დეტექტორი აგროვებს ჰოსტის და ქსელის ტელემეტრიას, აკავშირებს მას სხვადასხვა ტიპის შეტევებთან.

Capsule8 გუნდი თავის ამოცანას ხედავს თავდასხმების ადრეულ გამოვლენასა და პრევენციას ახლის გამოყენებით (0-დღიანი) სისუსტეები. Capsule8-ს შეუძლია უსაფრთხოების განახლებული წესების ჩამოტვირთვა პირდაპირ დეტექტორებზე ახლად აღმოჩენილი საფრთხეებისა და პროგრამული უზრუნველყოფის ხარვეზების საპასუხოდ.

კავირინი

საიტი: www.cavirin.com
ლიცენზია: კომერციული

Cavirin მოქმედებს როგორც კომპანიის მხრიდან კონტრაქტორი უსაფრთხოების სტანდარტებში ჩართული სხვადასხვა სააგენტოსთვის. მას არა მხოლოდ შეუძლია სურათების სკანირება, არამედ შეუძლია ინტეგრირება CI/CD მილსადენში, დაბლოკოს არასტანდარტული სურათები, სანამ ისინი დახურულ საცავებში მოხვდებიან.

Cavirin-ის უსაფრთხოების კომპლექტი იყენებს მანქანურ სწავლებას თქვენი კიბერუსაფრთხოების პოზის შესაფასებლად, გთავაზობთ რჩევებს უსაფრთხოების გასაუმჯობესებლად და უსაფრთხოების სტანდარტებთან შესაბამისობის გასაუმჯობესებლად.

Google Cloud Security Command Center

საიტი: cloud.google.com/security-command-center
ლიცენზია: კომერციული

Cloud Security Command Center ეხმარება უსაფრთხოების გუნდებს მონაცემების შეგროვებაში, საფრთხეების იდენტიფიცირებაში და მათ აღმოფხვრაში, სანამ ისინი აზიანებენ კომპანიას.

როგორც სახელი გვთავაზობს, Google Cloud SCC არის ერთიანი მართვის პანელი, რომელსაც შეუძლია გააერთიანოს და მართოს სხვადასხვა უსაფრთხოების ანგარიშები, აქტივების აღრიცხვის ძრავები და მესამე მხარის უსაფრთხოების სისტემები ერთი, ცენტრალიზებული წყაროდან.

Google Cloud SCC-ის მიერ შემოთავაზებული თავსებადი API აადვილებს უსაფრთხოების ღონისძიებების ინტეგრირებას, რომლებიც მოდის სხვადასხვა წყაროდან, როგორიცაა Sysdig Secure (კონტეინერის უსაფრთხოება ღრუბლოვანი აპლიკაციებისთვის) ან Falco (ღია კოდის გაშვების დროის უსაფრთხოება).

ფენიანი ინსაითი (Qualys)

საიტი: layeredinsight.com
ლიცენზია: კომერციული

Layered Insight (ამჟამად Qualys Inc-ის ნაწილი) აგებულია „ჩაშენებული უსაფრთხოების“ კონცეფციაზე. თავდაპირველი სურათის დაუცველობის სკანირების შემდეგ, სტატისტიკური ანალიზისა და CVE შემოწმების გამოყენებით, Layered Insight ცვლის მას ინსტრუმენტირებული სურათით, რომელიც მოიცავს აგენტს, როგორც ბინარს.

ეს აგენტი შეიცავს გაშვების უსაფრთხოების ტესტებს კონტეინერის ქსელის ტრაფიკის, I/O ნაკადების და აპლიკაციის აქტივობის გასაანალიზებლად. გარდა ამისა, მას შეუძლია განახორციელოს უსაფრთხოების დამატებითი შემოწმებები, რომლებიც მითითებულია ინფრასტრუქტურის ადმინისტრატორის ან DevOps გუნდების მიერ.

NeuVector

საიტი: neuvector.com
ლიცენზია: კომერციული

NeuVector ამოწმებს კონტეინერის უსაფრთხოებას და უზრუნველყოფს გაშვების დაცვას ქსელის აქტივობისა და აპლიკაციის ქცევის ანალიზით, თითოეული კონტეინერისთვის უსაფრთხოების ინდივიდუალური პროფილის შექმნით. მას ასევე შეუძლია დამოუკიდებლად დაბლოკოს საფრთხეები, საეჭვო აქტივობის იზოლირება ადგილობრივი firewall წესების შეცვლით.

NeuVector-ის ქსელურ ინტეგრაციას, რომელიც ცნობილია როგორც Security Mesh, შეუძლია ღრმა პაკეტის ანალიზი და 7 ფენის გაფილტვრა სერვისის ქსელში არსებული ყველა ქსელური კავშირისთვის.

სტეკროქსი

საიტი: www.stackrox.com
ლიცენზია: კომერციული

StackRox კონტეინერის უსაფრთხოების პლატფორმა ცდილობს დაფაროს Kubernetes-ის აპლიკაციების მთელი სასიცოცხლო ციკლი კლასტერში. ამ სიაში სხვა კომერციული პლატფორმების მსგავსად, StackRox აწარმოებს გაშვების პროფილს დაკვირვებული კონტეინერის ქცევის საფუძველზე და ავტომატურად აყენებს სიგნალიზაციას ნებისმიერი გადახრის შესახებ.

გარდა ამისა, StackRox აანალიზებს Kubernetes-ის კონფიგურაციებს Kubernetes CIS და სხვა წესების გამოყენებით, რათა შეაფასოს კონტეინერის შესაბამისობა.

Sysdig Secure

საიტი: sysdig.com/products/secure
ლიცენზია: კომერციული

Sysdig Secure იცავს აპლიკაციებს მთელი კონტეინერისა და Kubernetes-ის სასიცოცხლო ციკლის განმავლობაში. ის სკანირებს სურათებს კონტეინერები, უზრუნველყოფს გაშვების დაცვა მანქანათმცოდნეობის მონაცემების მიხედვით, ასრულებს კრემს. ექსპერტიზა მოწყვლადობის იდენტიფიცირებისთვის, საფრთხეების ბლოკირებისთვის, მონიტორებისთვის დადგენილ სტანდარტებთან შესაბამისობა და აუდიტის საქმიანობას მიკროსერვისებში.

Sysdig Secure ინტეგრირდება CI/CD ინსტრუმენტებთან, როგორიცაა Jenkins და აკონტროლებს Docker-ის რეესტრიდან დატვირთულ სურათებს, რაც ხელს უშლის სახიფათო სურათების წარმოებაში გამოჩენას. ის ასევე უზრუნველყოფს ყოვლისმომცველ უსაფრთხოებას, მათ შორის:

ML-ზე დაფუძნებული გაშვების დროის პროფილირება და ანომალიების გამოვლენა;
გაშვების პოლიტიკა, რომელიც დაფუძნებულია სისტემის მოვლენებზე, K8s-აუდიტის API-ზე, ერთობლივი სათემო პროექტებზე (FIM - ფაილების მთლიანობის მონიტორინგი; კრიპტოჯაკინგი) და ჩარჩო MITER AT&CK;
რეაგირება და ინციდენტების მოგვარება.

გამძლე კონტეინერის უსაფრთხოება

საიტი: www.tenable.com/products/tenable-io/container-security
ლიცენზია: კომერციული

კონტეინერების გამოჩენამდე, Tenable ფართოდ იყო ცნობილი ინდუსტრიაში, როგორც კომპანია Nessus-ის უკან, დაუცველობაზე ნადირობისა და უსაფრთხოების აუდიტის პოპულარული ინსტრუმენტი.

Tenable Container Security იყენებს კომპანიის კომპიუტერული უსაფრთხოების ექსპერტიზას CI/CD მილსადენის დაუცველობის მონაცემთა ბაზებთან, მავნე პროგრამების აღმოჩენის სპეციალიზებულ პაკეტებთან და უსაფრთხოების საფრთხეების გადასაჭრელად რეკომენდაციებთან ინტეგრირებისთვის.

Twistlock (Palo Alto Networks)

საიტი: www.twistlock.com
ლიცენზია: კომერციული

Twistlock თავს ავრცელებს, როგორც პლატფორმას, რომელიც ორიენტირებულია ღრუბლოვან სერვისებსა და კონტეინერებზე. Twistlock მხარს უჭერს სხვადასხვა ღრუბლოვან პროვაიდერებს (AWS, Azure, GCP), კონტეინერების ორკესტრატორებს (Kubernetes, Mesospehere, OpenShift, Docker), სერვერის გარეშე გაშვებას, mesh frames და CI/CD ინსტრუმენტებს.

გარდა ჩვეულებრივი საწარმოს დონის უსაფრთხოების ტექნიკისა, როგორიცაა CI/CD მილსადენის ინტეგრაცია ან გამოსახულების სკანირება, Twistlock იყენებს მანქანურ სწავლებას კონტეინერისთვის სპეციფიკური ქცევითი შაბლონებისა და ქსელის წესების შესაქმნელად.

რამდენიმე ხნის წინ Twistlock იყიდა Palo Alto Networks-მა, რომელიც ფლობს Evident.io და RedLock პროექტებს. ჯერჯერობით უცნობია, კონკრეტულად როგორ იქნება ეს სამი პლატფორმის ინტეგრირება PRISMA პალო ალტოდან.

დაეხმარეთ Kubernetes-ის უსაფრთხოების ინსტრუმენტების საუკეთესო კატალოგის შექმნას!

ჩვენ ვცდილობთ, რომ ეს კატალოგი მაქსიმალურად სრულყოფილი გავხადოთ და ამისთვის თქვენი დახმარება გვჭირდება! Დაგვიკავშირდით (@sysdig) თუ თქვენ გაქვთ მხედველობაში მაგარი ინსტრუმენტი, რომელიც იმსახურებს ამ სიაში ჩართვას, ან აღმოაჩენთ შეცდომას/მოძველებულ ინფორმაციას.

თქვენ ასევე შეგიძლიათ გამოიწეროთ ჩვენი ყოველთვიური ბიულეტენი ახალი ამბებით ღრუბელი მშობლიური ეკოსისტემიდან და ისტორიებით საინტერესო პროექტების შესახებ Kubernetes უსაფრთხოების სამყაროდან.

PS მთარგმნელისგან

ასევე წაიკითხეთ ჩვენს ბლოგზე:

წყარო: www.habr.com

33+ Kubernetes უსაფრთხოების ინსტრუმენტები