33+ Kubernetes қауіпсіздік құралдары

Ескерту. аударма: Егер сіз Kubernetes негізіндегі инфрақұрылымдағы қауіпсіздік туралы білгіңіз келсе, Sysdig ұсынған тамаша шолу ағымдағы шешімдерді жылдам қарау үшін тамаша бастау нүктесі болып табылады. Ол белгілі нарық ойыншыларының күрделі жүйелерін және белгілі бір мәселені шешетін әлдеқайда қарапайым утилиталарды қамтиды. Түсініктемелерде, әдеттегідей, осы құралдарды пайдалану тәжірибеңіз туралы естуге және басқа жобаларға сілтемелерді көруге қуаныштымыз.

Kubernetes қауіпсіздік бағдарламалық қамтамасыз ету өнімдері... олардың әрқайсысының өз мақсаттары, ауқымы және лицензиялары бар көптеген түрлері бар.

Сондықтан біз бұл тізімді жасауды және әртүрлі жеткізушілердің ашық бастапқы жобаларын және коммерциялық платформаларын қосуды шештік. Бұл сізге ең қызықтыларын анықтауға және Kubernetes қауіпсіздік қажеттіліктеріне негізделген дұрыс бағытты көрсетуге көмектеседі деп үміттенеміз.

Санаттар

Тізімді шарлауды жеңілдету үшін құралдар негізгі функция мен қолданба бойынша ұйымдастырылған. Келесі бөлімдер алынды:

• Kubernetes кескінді сканерлеу және статикалық талдау;
• Орындалу уақытының қауіпсіздігі;
• Kubernetes желісінің қауіпсіздігі;
• Кескінді тарату және құпияларды басқару;
• Kubernetes қауіпсіздік аудиті;
• Кешенді коммерциялық өнімдер.

Бизнеске төмендеңіз:

Kubernetes кескіндерін сканерлеу

Якорь

• Веб-сайт: anchore.com
• Лицензия: тегін (Apache) және коммерциялық ұсыныс

Anchore контейнер кескіндерін талдайды және пайдаланушы анықтаған саясаттарға негізделген қауіпсіздікті тексеруге мүмкіндік береді.

CVE дерекқорынан белгілі осалдықтарды анықтау үшін контейнерлік кескіндерді әдеттегі сканерлеумен қатар, Anchore сканерлеу саясатының бөлігі ретінде көптеген қосымша тексерулерді орындайды: Dockerfile, тіркелгі деректерінің ағып кетуін, пайдаланылатын бағдарламалау тілдерінің пакеттерін (npm, maven және т. .), бағдарламалық құрал лицензиялары және т.б.

Clair

• Веб-сайт: coreos.com/clair (қазір Red Hat қамқорлығында)
• Лицензия: тегін (Apache)

Clair кескінді сканерлеуге арналған алғашқы ашық бастапқы жобалардың бірі болды. Ол Quay кескін тізілімінің артындағы қауіпсіздік сканері ретінде кеңінен танымал (сонымен қатар CoreOS жүйесінен - шамамен. аударма). Clair CVE ақпаратын алуан түрлі көздерден, соның ішінде Debian, Red Hat немесе Ubuntu қауіпсіздік топтары жүргізетін Linux дистрибутивіне тән осалдықтардың тізімдерін жинай алады.

Anchore-дан айырмашылығы, Clair ең алдымен осалдықтарды табуға және деректерді CVE-ге сәйкестендіруге бағытталған. Дегенмен, өнім пайдаланушыларға қосылатын модуль драйверлері арқылы функцияларды кеңейту үшін кейбір мүмкіндіктерді ұсынады.

Дагда

• Веб-сайт: github.com/eliasgranderubio/dagda
• Лицензия: тегін (Apache)

Dagda белгілі осалдықтарға, трояндарға, вирустарға, зиянды бағдарламаларға және басқа қауіптерге арналған контейнерлік кескіндерге статикалық талдау жасайды.

Дагданы басқа ұқсас құралдардан екі маңызды ерекшелік ажыратады:

• Ол тамаша біріктіреді ClamAV, контейнерлік кескіндерді сканерлеу құралы ретінде ғана емес, сонымен қатар антивирус ретінде де әрекет етеді.
• Сондай-ақ Docker демонынан нақты уақыттағы оқиғаларды алу және Falco-мен біріктіру арқылы орындау уақытын қорғауды қамтамасыз етеді. (төменде қараңыз) контейнер жұмыс істеп тұрған кезде қауіпсіздік оқиғаларын жинау үшін.

KubeXray

• Веб-сайт: github.com/jfrog/kubexray
• Лицензия: тегін (Apache), бірақ JFrog Xray деректерін қажет етеді (коммерциялық өнім)

KubeXray Kubernetes API серверінен оқиғаларды тыңдайды және тек ағымдағы саясатқа сәйкес келетін қосқыштардың іске қосылуын қамтамасыз ету үшін JFrog Xray метадеректерін пайдаланады.

KubeXray орналастырулардағы жаңа немесе жаңартылған контейнерлерді (Kubernetes жүйесіндегі қабылдау контроллеріне ұқсас) тексеріп қана қоймайды, сонымен қатар осал кескіндерге сілтеме жасайтын ресурстарды жоя отырып, іске қосылған контейнерлерді жаңа қауіпсіздік саясаттарына сәйкестігін динамикалық түрде тексереді.

Снык

• Веб-сайт: snyk.io
• Лицензия: тегін (Apache) және коммерциялық нұсқалары

Snyk - ерекше осалдық сканері, өйткені ол әзірлеу процесіне арнайы бағытталған және әзірлеушілер үшін «маңызды шешім» ретінде алға шығады.

Snyk код репозиторийлеріне тікелей қосылады, жоба манифестін талдайды және тікелей және жанама тәуелділіктермен бірге импортталған кодты талдайды. Snyk көптеген танымал бағдарламалау тілдерін қолдайды және жасырын лицензиялық тәуекелдерді анықтай алады.

Триви

• Веб-сайт: github.com/knqyf263/trivy
• Лицензия: тегін (AGPL)

Trivy - CI/CD құбырына оңай біріктірілетін контейнерлерге арналған қарапайым, бірақ қуатты осалдық сканері. Оның ерекше ерекшелігі - орнатудың және пайдаланудың қарапайымдылығы: қолданба бір екіліктен тұрады және деректер қорын немесе қосымша кітапханаларды орнатуды қажет етпейді.

Trivy қарапайымдылығының кемшілігі - басқа Kubernetes қауіпсіздік құралдары оларды пайдалана алуы үшін JSON пішімінде нәтижелерді талдау және қайта жіберу жолын анықтау керек.

Kubernetes-тегі жұмыс уақытының қауіпсіздігі

Falco

• Веб-сайт: falco.org
• Лицензия: тегін (Apache)

Falco - бұлттың жұмыс уақыты орталарын қорғауға арналған құралдар жиынтығы. Жоба отбасының бөлігі CNCF.

Sysdig Linux ядро ​​деңгейіндегі құралдарды және жүйелік қоңырау профилін жасауды пайдалана отырып, Falco жүйе әрекетіне терең бойлауға мүмкіндік береді. Оның жұмыс уақыты ережелерінің қозғалтқышы қолданбалардағы, контейнерлердегі, негізгі хосттағы және Kubernetes оркестріндегі күдікті әрекетті анықтауға қабілетті.

Falco осы мақсаттар үшін Kubernetes түйіндерінде арнайы агенттерді орналастыру арқылы орындалу уақытында және қауіпті анықтауда толық мөлдірлікті қамтамасыз етеді. Нәтижесінде контейнерлерге үшінші тарап кодын енгізу немесе қосалқы контейнерлерді қосу арқылы өзгерту қажет емес.

Орындалу уақытына арналған Linux қауіпсіздік құрылымдары

Linux ядросының бұл жергілікті құрылымдары дәстүрлі мағынада «Kubernetes қауіпсіздік құралдары» емес, бірақ олар Kubernetes Pod қауіпсіздік саясатына (PSP) енгізілген орындау уақыты қауіпсіздігі контекстіндегі маңызды элемент болғандықтан атап өткен жөн.

AppArmor файлдық жүйе артықшылықтарын, желіге кіру ережелерін, кітапханаларды қосу және т.б. анықтай отырып, контейнерде орындалатын процестерге қауіпсіздік профилін қосады. Бұл Міндетті қол жеткізуді басқаруға (MAC) негізделген жүйе. Басқаша айтқанда, тыйым салынған әрекеттерді орындауға кедергі жасайды.

Қауіпсіздігі жақсартылған Linux (SELinux) кейбір аспектілері бойынша AppArmor-қа ұқсас және жиі онымен салыстырылатын Linux ядросындағы кеңейтілген қауіпсіздік модулі болып табылады. SELinux қуат, икемділік және теңшеу бойынша AppArmor-тан жоғары. Оның кемшіліктері - ұзақ оқу қисығы және күрделіліктің жоғарылауы.

Seccomp және seccomp-bpf жүйелік қоңырауларды сүзуге, негізгі ОЖ үшін ықтимал қауіпті және пайдаланушы қолданбаларының қалыпты жұмысы үшін қажет еместердің орындалуын блоктауға мүмкіндік береді. Seccomp кейбір жағынан Falco-ға ұқсас, бірақ ол контейнерлердің ерекшеліктерін білмейді.

Sysdig ашық көзі

• Веб-сайт: www.sysdig.com/opensource
• Лицензия: тегін (Apache)

Sysdig — Linux жүйелерін талдауға, диагностикалауға және жөндеуге арналған толық құрал (сонымен қатар Windows және macOS жүйелерінде жұмыс істейді, бірақ функциялары шектеулі). Оны егжей-тегжейлі ақпарат жинау, тексеру және криминалистикалық талдау үшін пайдалануға болады. (криминалистика) негізгі жүйе және онда жұмыс істейтін кез келген контейнерлер.

Sysdig сонымен бірге контейнердің орындалу уақытын және Kubernetes метадеректерін қолдайды, ол жинайтын барлық жүйе әрекеті ақпаратына қосымша өлшемдер мен белгілерді қосады. Sysdig көмегімен Kubernetes кластерін талдаудың бірнеше жолы бар: уақытында түсіруді осы арқылы орындауға болады. kubectl түсіру немесе плагин арқылы ncurses негізіндегі интерактивті интерфейсті іске қосыңыз kubectl қазу.

Kubernetes желілік қауіпсіздік

Апорето

• Веб-сайт: www.aporeto.com
• Лицензия: коммерциялық

Aporeto «желіден және инфрақұрылымнан бөлінген қауіпсіздікті» ұсынады. Бұл Kubernetes қызметтері тек жергілікті идентификаторды (яғни, Kubernetes жүйесіндегі ServiceAccount) ғана емес, сонымен қатар кез келген басқа қызметпен, мысалы, OpenShift кластерінде қауіпсіз және өзара байланысу үшін пайдалануға болатын әмбебап идентификатор/саусақ ізін алатынын білдіреді.

Aporeto тек Kubernetes/контейнерлер үшін ғана емес, сонымен қатар хосттар, бұлттық функциялар және пайдаланушылар үшін бірегей идентификаторды жасай алады. Осы идентификаторларға және әкімші орнатқан желілік қауіпсіздік ережелерінің жиынтығына байланысты байланыстарға рұқсат етіледі немесе блокталады.

Calico

• Веб-сайт: www.projectcalico.org
• Лицензия: тегін (Apache)

Calico әдетте контейнерлерді біріктіретін виртуалды желіні жасауға мүмкіндік беретін контейнер оркестрін орнату кезінде қолданылады. Осы негізгі желілік функционалдылыққа қосымша, Calico жобасы Kubernetes желілік саясаттарымен және желілік қауіпсіздік профильдерінің жеке жиынтығымен жұмыс істейді, соңғы нүкте ACLs (қол жеткізуді басқару тізімдері) және кіріс және шығыс трафигі үшін аннотацияға негізделген желілік қауіпсіздік ережелерін қолдайды.

Цилиум

• Веб-сайт: www.cilium.io
• Лицензия: тегін (Apache)

Cilium контейнерлер үшін брандмауэр ретінде әрекет етеді және Kubernetes және микросервистердің жұмыс жүктемелеріне бейімделген желілік қауіпсіздік мүмкіндіктерін қамтамасыз етеді. Cilium деректерді сүзу, бақылау, қайта бағыттау және түзету үшін BPF (Berkeley Packet Filter) деп аталатын жаңа Linux ядросының технологиясын пайдаланады.

Cilium Docker немесе Kubernetes белгілері мен метадеректерін пайдаланып контейнер идентификаторларына негізделген желіге кіру саясаттарын қолдана алады. Cilium сонымен қатар HTTP немесе gRPC сияқты әртүрлі 7-деңгей протоколдарын түсінеді және сүзеді, мысалы, екі Kubernetes орналастыруы арасында рұқсат етілетін REST қоңырауларының жинағын анықтауға мүмкіндік береді.

Istio

• Веб-сайт: istio.io
• Лицензия: тегін (Apache)

Istio платформаға тәуелсіз басқару жоспарын орналастыру және динамикалық конфигурацияланатын Envoy проксилері арқылы барлық басқарылатын қызмет трафигін бағыттау арқылы сервистік тор парадигмасын іске асырумен кеңінен танымал. Istio әртүрлі желілік қауіпсіздік стратегияларын жүзеге асыру үшін барлық микросервистердің және контейнерлердің осы кеңейтілген көрінісін пайдаланады.

Istio желілік қауіпсіздік мүмкіндіктеріне микросервистер арасындағы байланысты HTTPS жүйесіне автоматты түрде жаңарту үшін мөлдір TLS шифрлауы және кластердегі әртүрлі жұмыс жүктемелері арасындағы байланысқа рұқсат ету/бас тарту үшін меншікті RBAC сәйкестендіру және авторизациялау жүйесі кіреді.

Ескерту. аударма: Istio-ның қауіпсіздікке бағытталған мүмкіндіктері туралы көбірек білу үшін оқыңыз Бұл мақала.

Жолбарыс

• Веб-сайт: www.tigera.io
• Лицензия: коммерциялық

«Кубернетес брандмауэрі» деп аталатын бұл шешім желі қауіпсіздігіне нөлдік сенім тәсіліне баса назар аударады.

Басқа жергілікті Kubernetes желілік шешімдеріне ұқсас, Tigera кластердегі әртүрлі қызметтер мен нысандарды анықтау үшін метадеректерге сүйенеді және көп бұлтты немесе гибридті монолитті-контейнерленген инфрақұрылымдар үшін орындалу уақытындағы ақауларды анықтауды, сәйкестікті үздіксіз тексеруді және желінің көрінуін қамтамасыз етеді.

Триреме

• Веб-сайт: www.aporeto.com/opensource
• Лицензия: тегін (Apache)

Trireme-Kubernetes - Kubernetes Network Policies спецификациясының қарапайым және қарапайым орындалуы. Ең көрнекті ерекшелігі - ұқсас Kubernetes желілік қауіпсіздік өнімдерінен айырмашылығы - ол торды үйлестіру үшін орталық басқару ұшағын қажет етпейді. Бұл шешімді тривиальды масштабтауға мүмкіндік береді. Trireme-де бұған хосттың TCP/IP стекіне тікелей қосылатын әрбір түйінге агент орнату арқылы қол жеткізіледі.

Кескінді тарату және құпияларды басқару

Grafeas

• Веб-сайт: grafeas.io
• Лицензия: тегін (Apache)

Grafeas - бағдарламалық қамтамасыз етуді жеткізу тізбегін тексеруге және басқаруға арналған ашық бастапқы API. Негізгі деңгейде Grafeas метадеректер мен аудит нәтижелерін жинауға арналған құрал болып табылады. Оны ұйымдағы қауіпсіздіктің ең жақсы тәжірибелеріне сәйкестікті бақылау үшін пайдалануға болады.

Бұл орталықтандырылған ақиқат көзі келесі сұрақтарға жауап береді:

• Белгілі бір контейнерді кім жинап, қол қойды?
• Ол қауіпсіздік саясаты талап ететін барлық қауіпсіздік сканерлеулері мен тексерулерінен өтті ме? Қашан? Нәтижелері қандай болды?
• Оны өндіріске кім енгізді? Орналастыру кезінде қандай нақты параметрлер қолданылды?

In-toto

• Веб-сайт: in-toto.github.io
• Лицензия: тегін (Apache)

In-toto - бағдарламалық қамтамасыз етудің бүкіл тізбегінің тұтастығын, аутентификациясын және аудитін қамтамасыз етуге арналған құрылым. Инфрақұрылымда In-toto қолданбасын орналастыру кезінде алдымен құбырдағы әртүрлі қадамдарды (репозиторий, CI/CD құралдары, QA құралдары, артефакт жинаушылар және т.б.) және рұқсат етілген пайдаланушыларды (жауапты тұлғалар) сипаттайтын жоспар анықталады. оларды бастау.

In-toto жоспардың орындалуын бақылайды, тізбектегі әрбір тапсырманы тек уәкілетті персонал дұрыс орындағанын және қозғалыс кезінде өніммен рұқсат етілмеген манипуляциялар жасалмағанын тексереді.

Портьерис

• Веб-сайт: github.com/IBM/portieris
• Лицензия: тегін (Apache)

Portieris - Kubernetes үшін қабылдау контроллері; мазмұнға сенімді тексерулерді орындау үшін пайдаланылады. Portieris серверді пайдаланады Нотариус (соңында ол туралы жаздық осы баптың - шамамен. аударма) сенімді және қол қойылған артефактілерді (яғни, бекітілген контейнер кескіндері) растау үшін ақиқат көзі ретінде.

Kubernetes жүйесінде жұмыс жүктемесі жасалғанда немесе өзгертілгенде, Portieris сұралған контейнер кескіндері үшін қол қою ақпараты мен мазмұнның сенім саясатын жүктеп алады және қажет болса, сол кескіндердің қол қойылған нұсқаларын іске қосу үшін JSON API нысанына жедел өзгерістер енгізеді.

Қойма

• Веб-сайт: www.vaultproject.io
• Лицензия: тегін (MPL)

Vault - бұл жеке ақпаратты сақтауға арналған қауіпсіз шешім: құпия сөздер, OAuth таңбалауыштары, PKI сертификаттары, кіру тіркелгілері, Kubernetes құпиялары және т.б. Vault эфемерлі қауіпсіздік таңбалауыштарын жалға алу немесе кілттерді айналдыруды ұйымдастыру сияқты көптеген кеңейтілген мүмкіндіктерді қолдайды.

Helm диаграммасын пайдаланып, Vault серверді сақтау ретінде Консулмен бірге Kubernetes кластерінде жаңа орналастыру ретінде орналастырылуы мүмкін. Ол ServiceAccount таңбалауыштары сияқты жергілікті Kubernetes ресурстарын қолдайды және тіпті Kubernetes құпиялары үшін әдепкі қойма ретінде әрекет ете алады.

Ескерту. аударма: Айтпақшы, кеше ғана Vault әзірлейтін HashiCorp компаниясы Kubernetes-те Vault пайдаланудың кейбір жақсартуларын жариялады, атап айтқанда олар Helm диаграммасына қатысты. Толығырақ бөлімде оқыңыз әзірлеуші ​​блогы.

Kubernetes қауіпсіздік аудиті

Куб-орындық

• Веб-сайт: github.com/aquasecurity/kube-bench
• Лицензия: тегін (Apache)

Kube-bench - тізімнен сынақтарды орындау арқылы Kubernetes қауіпсіз орналастырылғанын тексеретін Go қолданбасы. CIS Kubernetes Benchmark.

Kube-bench кластер құрамдас бөліктері (және т.б., API, контроллер менеджері және т.б.), күмәнді файлға кіру құқықтары, қорғалмаған тіркелгілер немесе ашық порттар, ресурс квоталары, DoS шабуылдарынан қорғау үшін API қоңырауларының санын шектеу параметрлері арасындағы қауіпті конфигурация параметрлерін іздейді. , т.б.

Кубе-аңшы

• Веб-сайт: github.com/aquasecurity/kube-hunter
• Лицензия: тегін (Apache)

Kube-hunter Kubernetes кластерлеріндегі ықтимал осалдықтарды (мысалы, қашықтан кодты орындау немесе деректерді ашу) іздейді. Kube-hunter қашықтағы сканер ретінде іске қосылуы мүмкін - бұл жағдайда ол кластерді үшінші тарап шабуылдаушысы тұрғысынан бағалайды - немесе кластер ішіндегі бөлімше ретінде.

Kube-hunter бағдарламасының айрықша ерекшелігі оның «белсенді аң аулау» режимі болып табылады, оның барысында ол тек проблемалар туралы хабарлап қана қоймайды, сонымен қатар оның жұмысына ықтимал зиян келтіруі мүмкін мақсатты кластерде табылған осалдықтарды пайдалануға тырысады. Сондықтан сақтықпен қолданыңыз!

Кубеаудит

• Веб-сайт: github.com/Shopify/kubeaudit
• Лицензия: тегін (MIT)

Kubeaudit - әртүрлі қауіпсіздік мәселелеріне арналған Kubernetes конфигурациясын тексеру үшін Shopify-да жасалған консоль құралы. Мысалы, ол шектеусіз жұмыс істейтін, түбір ретінде жұмыс істейтін, артықшылықтарды теріс пайдаланатын немесе әдепкі ServiceAccount пайдаланатын контейнерлерді анықтауға көмектеседі.

Kubeaudit басқа да қызықты мүмкіндіктері бар. Мысалы, ол жергілікті YAML файлдарын талдай алады, қауіпсіздік мәселелеріне әкелуі мүмкін конфигурация ақауларын анықтап, оларды автоматты түрде түзетеді.

Кубесец

• Веб-сайт: kubesec.io
• Лицензия: тегін (Apache)

Kubesec – қауіпсіздікке әсер етуі мүмкін әлсіз параметрлерді іздейтін Kubernetes ресурстарын сипаттайтын YAML файлдарын тікелей сканерлейтін арнайы құрал.

Мысалы, ол подводқа берілген шамадан тыс артықшылықтар мен рұқсаттарды, әдепкі пайдаланушы ретінде түбірі бар контейнерді іске қосуды, хосттың желі аттар кеңістігіне қосылуды немесе сияқты қауіпті орнатуларды анықтай алады. /proc хост немесе Docker ұясы. Kubesec-тің тағы бір қызықты ерекшелігі - онлайн режимінде қол жетімді демонстрациялық қызмет, оған YAML жүктеп салуға және оны бірден талдауға болады.

Саясат агентін ашыңыз

• Веб-сайт: www.openpolicyagent.org
• Лицензия: тегін (Apache)

OPA (Open Policy Agent) тұжырымдамасы қауіпсіздік саясаттары мен қауіпсіздіктің ең жақсы тәжірибелерін белгілі бір орындалу платформасынан ажырату болып табылады: Docker, Kubernetes, Mesosphere, OpenShift немесе олардың кез келген комбинациясы.

Мысалы, OPA жүйесін Kubernetes қабылдау контроллері үшін сервер ретінде қолдана аласыз, оған қауіпсіздік шешімдерін тапсыра аласыз. Осылайша, OPA агенті көрсетілген қауіпсіздік параметрлерінің орындалуын қамтамасыз ете отырып, сұрауларды жылдам тексеріп, қабылдамай, тіпті өзгерте алады. OPA қауіпсіздік саясаты оның меншікті DSL тілінде, Rego тілінде жазылған.

Ескерту. аударма: Біз OPA (және SPIFFE) туралы көбірек жаздық бұл зат.

Kubernetes қауіпсіздігін талдауға арналған кешенді коммерциялық құралдар

Біз коммерциялық платформалар үшін бөлек санат жасауды шештік, өйткені олар әдетте бірнеше қауіпсіздік аймақтарын қамтиды. Олардың мүмкіндіктері туралы жалпы түсінікті кестеден алуға болады:

* Жетілдірілген сараптама және өлімнен кейінгі талдау толық жүйелік қоңырауды ұрлау.

Aqua қауіпсіздігі

• Веб-сайт: www.aquasec.com
• Лицензия: коммерциялық

Бұл коммерциялық құрал контейнерлер мен бұлттық жұмыс жүктемелеріне арналған. Ол қамтамасыз етеді:

• Контейнер тізілімімен немесе CI/CD құбырымен біріктірілген кескінді сканерлеу;
• Контейнерлердегі өзгерістерді және басқа да күдікті әрекеттерді іздеу арқылы жұмыс уақытын қорғау;
• Контейнерлік желіаралық қалқан;
• Бұлттық қызметтердегі серверсіз қауіпсіздік;
• Сәйкестікті тексеру және оқиғаларды тіркеумен біріктірілген аудит.

Ескерту. аударма: Сондай-ақ, бар екенін атап өткен жөн деп аталатын өнімнің тегін құрамдас бөлігі MicroScanner, ол контейнер кескіндерін осалдықтарға сканерлеуге мүмкіндік береді. Оның мүмкіндіктерін ақылы нұсқалармен салыстыру ұсынылған бұл кесте.

Капсула 8

• Веб-сайт: capsule8.com
• Лицензия: коммерциялық

Capsule8 жергілікті немесе бұлттық Kubernetes кластеріне детекторды орнату арқылы инфрақұрылымға біріктіріледі. Бұл детектор хост пен желі телеметриясын жинап, оны әртүрлі шабуыл түрлерімен корреляциялайды.

Capsule8 командасы өз міндетін жаңа қолдану арқылы шабуылдарды ерте анықтау және алдын алу деп санайды (0 күн) осалдықтар. Capsule8 жаңадан табылған қауіптер мен бағдарламалық жасақтаманың осалдықтарына жауап ретінде жаңартылған қауіпсіздік ережелерін тікелей детекторларға жүктей алады.

Кавирин

• Веб-сайт: www.cavirin.com
• Лицензия: коммерциялық

Кавирин қауіпсіздік стандарттарымен айналысатын әртүрлі агенттіктер үшін компания тарапынан мердігер ретінде әрекет етеді. Ол кескіндерді сканерлеп қана қоймайды, сонымен қатар стандартты емес кескіндерді жабық репозиторийлерге кірмес бұрын блоктай отырып, CI/CD құбырына біріктіре алады.

Cavirin қауіпсіздік жиынтығы қауіпсіздікті жақсарту және қауіпсіздік стандарттарына сәйкестікті жақсарту бойынша кеңестер ұсына отырып, киберқауіпсіздік жағдайыңызды бағалау үшін машиналық оқытуды пайдаланады.

Google бұлтты қауіпсіздік командалық орталығы

• Веб-сайт: cloud.google.com/security-command-center
• Лицензия: коммерциялық

Бұлтты қауіпсіздік командалық орталығы қауіпсіздік топтарына деректерді жинауға, қауіптерді анықтауға және компанияға зиян келтірмес бұрын оларды жоюға көмектеседі.

Аты айтып тұрғандай, Google Cloud SCC – әртүрлі қауіпсіздік есептерін, активтерді есепке алу механизмдерін және бір орталықтандырылған көзден үшінші тарап қауіпсіздік жүйелерін біріктіріп, басқара алатын бірыңғай басқару тақтасы.

Google Cloud SCC ұсынатын өзара әрекеттесетін API Sysdig Secure (бұлттық қолданбалар үшін контейнерлік қауіпсіздік) немесе Falco (ашық бастапқы жұмыс уақытының қауіпсіздігі) сияқты әртүрлі көздерден келетін қауіпсіздік оқиғаларын біріктіруді жеңілдетеді.

Қабатты инсайт (Qualys)

• Веб-сайт: layeredinsight.com
• Лицензия: коммерциялық

Layered Insight (қазір Qualys Inc компаниясының бөлігі) «ендірілген қауіпсіздік» тұжырымдамасына негізделген. Статистикалық талдау және CVE тексерулері арқылы бастапқы кескінді осалдықтарға сканерлегеннен кейін, Layered Insight оны екілік ретінде агентті қамтитын құралдандырылған кескінмен ауыстырады.

Бұл агентте контейнерлік желі трафигін, енгізу/шығару ағындарын және қолданба әрекетін талдау үшін орындалу уақытының қауіпсіздік сынақтары бар. Бұған қоса, ол инфрақұрылым әкімшісі немесе DevOps топтары көрсеткен қосымша қауіпсіздік тексерулерін орындай алады.

NeuVector

• Веб-сайт: neuvector.com
• Лицензия: коммерциялық

NeuVector контейнер қауіпсіздігін тексереді және әрбір контейнер үшін жеке қауіпсіздік профилін жасай отырып, желі белсенділігі мен қолданба әрекетін талдау арқылы орындау уақытын қорғауды қамтамасыз етеді. Сондай-ақ ол жергілікті брандмауэр ережелерін өзгерту арқылы күдікті әрекетті оқшаулай отырып, қауіптерді өздігінен блоктай алады.

NeuVector желілік интеграциясы Қауіпсіздік торы ретінде белгілі, пакетті терең талдауға және сервистік тордағы барлық желі қосылымдары үшін 7-деңгейді сүзуге қабілетті.

StackRox

• Веб-сайт: www.stackrox.com
• Лицензия: коммерциялық

StackRox контейнерлік қауіпсіздік платформасы кластердегі Kubernetes қолданбаларының бүкіл өмірлік циклін қамтуға тырысады. Осы тізімдегі басқа коммерциялық платформалар сияқты, StackRox бақыланатын контейнер әрекетіне негізделген орындалу уақыты профилін жасайды және кез келген ауытқулар үшін автоматты түрде дабыл береді.

Сонымен қатар, StackRox контейнер сәйкестігін бағалау үшін Kubernetes CIS және басқа ережелер кітаптарын пайдаланып Kubernetes конфигурацияларын талдайды.

Sysdig Secure

• Веб-сайт: sysdig.com/products/secure
• Лицензия: коммерциялық

Sysdig Secure қолданбаларды бүкіл контейнерде және Kubernetes өмірлік циклінде қорғайды. Ол суреттерді сканерлейді контейнерлер, қамтамасыз етеді орындау уақытын қорғау машиналық оқыту деректеріне сәйкес, кремді орындайды. осалдықтарды анықтау, қауіптерді блоктау, бақылау үшін сараптама белгіленген стандарттарға сәйкестігі және микросервистегі аудит қызметін жүзеге асырады.

Sysdig Secure Jenkins сияқты CI/CD құралдарымен біріктірілген және қауіпті кескіндердің өндірісте пайда болуына жол бермей, Docker тізілімдерінен жүктелген кескіндерді басқарады. Ол сонымен қатар толық жұмыс уақытының қауіпсіздігін қамтамасыз етеді, соның ішінде:

• ML негізіндегі орындалу уақытының профилін жасау және аномалияны анықтау;
• жүйелік оқиғаларға, K8s-audit API, бірлескен қауымдастық жобаларына (FIM - файл тұтастығын бақылау; криптоакинг) және фреймворкке негізделген орындау уақыты саясаттары MITER AT&CK;
• оқиғаларға ден қою және шешу.

Қолданылатын контейнер қауіпсіздігі

• Веб-сайт: www.tenable.com/products/tenable-io/container-security
• Лицензия: коммерциялық

Контейнерлер пайда болғанға дейін Tenable бұл салада Nessus-тың артында тұрған компания ретінде кеңінен танымал болды, осалдықтарды іздеу және қауіпсіздік аудитінің танымал құралы.

Tenable Container Security компаниясы CI/CD құбырын осалдық дерекқорларымен, мамандандырылған зиянды бағдарламаларды анықтау пакеттерімен және қауіпсіздік қатерлерін шешуге арналған ұсыныстармен біріктіру үшін компанияның компьютерлік қауіпсіздік тәжірибесін пайдаланады.

Twistlock (Palo Alto желілері)

• Веб-сайт: www.twistlock.com
• Лицензия: коммерциялық

Twistlock өзін бұлттық қызметтер мен контейнерлерге бағытталған платформа ретінде алға тартады. Twistlock әртүрлі бұлттық провайдерлерді (AWS, Azure, GCP), контейнерлік оркестрлерді (Kubernetes, Mesospehere, OpenShift, Docker), серверсіз жұмыс уақыттарын, торлы шеңберлерді және CI/CD құралдарын қолдайды.

CI/CD құбырын біріктіру немесе кескінді сканерлеу сияқты кәдімгі кәсіпорын деңгейіндегі қауіпсіздік техникасына қоса, Twistlock контейнерге тән мінез-құлық үлгілері мен желі ережелерін жасау үшін машиналық оқытуды пайдаланады.

Біраз уақыт бұрын Twistlock-ты Evident.io және RedLock жобаларына иелік ететін Palo Alto Networks сатып алды. Бұл үш платформаның дәл қалай біріктірілетіні әзірге белгісіз PRISMA Пало Альтодан.

Kubernetes қауіпсіздік құралдарының ең жақсы каталогын құруға көмектесіңіз!

Біз бұл каталогты барынша толық жасауға тырысамыз, бұл үшін бізге сіздің көмегіңіз қажет! Бізбен байланысыңыз (@sysdig) егер сізде осы тізімге қосуға лайық тамаша құрал болса немесе қате/ескірген ақпаратты тапсаңыз.

Сіз сондай-ақ біздің сайтқа жазыла аласыз ай сайынғы ақпараттық бюллетень бұлттың жергілікті экожүйесінің жаңалықтарымен және Kubernetes қауіпсіздік әлеміндегі қызықты жобалар туралы әңгімелермен.

Аудармашыдан PS

Біздің блогта да оқыңыз:

• «Қауіпсіздік мамандарына арналған Kubernetes желілік саясаттарына кіріспе«;
• «Қауіпсіздікті қажет ететін орталарда Docker және Kubernetes«;
• «9 Kubernetes қауіпсіздіктің ең жақсы тәжірибесі«;
• «Kubernetes-те хакерлік шабуылға ұшырамаудың 11 жолы«;
• «OPA және SPIFFE - бұлт қолданбасының қауіпсіздігіне арналған CNCF-тегі екі жаңа жоба«.

Ақпарат көзі: www.habr.com