ចំណាំ។ បកប្រែ៖ ប្រសិនបើអ្នកឆ្ងល់អំពីសុវត្ថិភាពនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើ Kubernetes ទិដ្ឋភាពទូទៅដ៏ល្អនេះពី Sysdig គឺជាចំណុចចាប់ផ្តើមដ៏ល្អមួយសម្រាប់ការពិនិត្យមើលយ៉ាងរហ័សនូវដំណោះស្រាយបច្ចុប្បន្ន។ វារួមបញ្ចូលទាំងប្រព័ន្ធស្មុគ្រស្មាញទាំងពីរពីអ្នកលេងទីផ្សារល្បី និងឧបករណ៍ប្រើប្រាស់តិចតួចជាច្រើនទៀតដែលដោះស្រាយបញ្ហាជាក់លាក់មួយ។ ហើយនៅក្នុងមតិយោបល់ យើងនឹងរីករាយក្នុងការស្តាប់អំពីបទពិសោធន៍របស់អ្នកដោយប្រើឧបករណ៍ទាំងនេះ និងមើលតំណភ្ជាប់ទៅកាន់គម្រោងផ្សេងទៀត។
ផលិតផលសូហ្វវែរសុវត្ថិភាព Kubernetes... មានពួកវាច្រើនណាស់ ដែលនីមួយៗមានគោលដៅ វិសាលភាព និងអាជ្ញាប័ណ្ណរៀងៗខ្លួន។
នោះហើយជាមូលហេតុដែលយើងសម្រេចចិត្តបង្កើតបញ្ជីនេះ ហើយរួមបញ្ចូលទាំងគម្រោងប្រភពបើកចំហ និងវេទិកាពាណិជ្ជកម្មពីអ្នកលក់ផ្សេងៗគ្នា។ យើងសង្ឃឹមថាវានឹងជួយអ្នកក្នុងការកំណត់អត្តសញ្ញាណដែលអ្នកចាប់អារម្មណ៍បំផុត និងចង្អុលបង្ហាញអ្នកក្នុងទិសដៅត្រឹមត្រូវដោយផ្អែកលើតម្រូវការសុវត្ថិភាព Kubernetes ជាក់លាក់របស់អ្នក។
ប្រភេទ
ដើម្បីធ្វើឱ្យបញ្ជីមានភាពងាយស្រួលក្នុងការរុករក ឧបករណ៍ត្រូវបានរៀបចំដោយមុខងារ និងកម្មវិធីសំខាន់ៗ។ ផ្នែកខាងក្រោមត្រូវបានទទួល៖
- ការស្កេនរូបភាព Kubernetes និងការវិភាគឋិតិវន្ត;
- សុវត្ថិភាពពេលរត់;
- សុវត្ថិភាពបណ្តាញ Kubernetes;
- ការចែកចាយរូបភាព និងការគ្រប់គ្រងអាថ៌កំបាំង;
- សវនកម្មសុវត្ថិភាព Kubernetes;
- ផលិតផលពាណិជ្ជកម្មដ៏ទូលំទូលាយ។
តោះមករកស៊ី៖
កំពុងស្កេនរូបភាព Kubernetes
យុថ្កា
- វេបសាយ:
anchore.com - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) និងការផ្តល់ជូនពាណិជ្ជកម្ម
Anchore វិភាគរូបភាពកុងតឺន័រ និងអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យសុវត្ថិភាពដោយផ្អែកលើគោលការណ៍កំណត់ដោយអ្នកប្រើប្រាស់។
បន្ថែមពីលើការស្កេនធម្មតានៃរូបភាពកុងតឺន័រសម្រាប់ភាពងាយរងគ្រោះដែលគេស្គាល់ពីមូលដ្ឋានទិន្នន័យ CVE Anchore ធ្វើការត្រួតពិនិត្យបន្ថែមជាច្រើនដែលជាផ្នែកមួយនៃគោលការណ៍ស្កេនរបស់វា៖ ពិនិត្យមើល Dockerfile ការលេចធ្លាយព័ត៌មានសម្ងាត់ កញ្ចប់នៃភាសាសរសេរកម្មវិធីដែលបានប្រើ (npm, maven ។ល។ .), អាជ្ញាប័ណ្ណកម្មវិធី និងច្រើនទៀត។
លោកស្រី Clair
- វេបសាយ:
coreos.com/clair (ឥឡូវស្ថិតនៅក្រោមការដឹកនាំរបស់ Red Hat) - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Clair គឺជាគម្រោង Open Source ដំបូងបង្អស់សម្រាប់ការស្កែនរូបភាព។ វាត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយថាជាម៉ាស៊ីនស្កេនសុវត្ថិភាពនៅពីក្រោយបញ្ជីឈ្មោះរូបភាព Quay (ផងដែរពី CoreOS - ប្រហែល ការបកប្រែ). Clair អាចប្រមូលព័ត៌មាន CVE ពីប្រភពជាច្រើន រួមទាំងបញ្ជីភាពងាយរងគ្រោះជាក់លាក់នៃការចែកចាយលីនុច ដែលរក្សាដោយក្រុមសុវត្ថិភាព Debian, Red Hat ឬ Ubuntu ។
មិនដូច Anchore ទេ Clair ផ្តោតជាចម្បងលើការស្វែងរកភាពងាយរងគ្រោះ និងទិន្នន័យដែលត្រូវគ្នាទៅនឹង CVEs ។ ទោះជាយ៉ាងណាក៏ដោយ ផលិតផលផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវឱកាសមួយចំនួនដើម្បីពង្រីកមុខងារដោយប្រើកម្មវិធីបញ្ជាដោត។
ដ៉ាដា
- វេបសាយ:
github.com/eliasgranderubio/dagda - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Dagda ធ្វើការវិភាគឋិតិវន្តនៃរូបភាពកុងតឺន័រសម្រាប់ភាពងាយរងគ្រោះដែលគេស្គាល់ មេរោគ Trojan មេរោគ មេរោគ និងការគំរាមកំហែងផ្សេងៗទៀត។
លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់ពីរបែងចែក Dagda ពីឧបករណ៍ស្រដៀងគ្នាផ្សេងទៀត:
- វារួមបញ្ចូលគ្នាយ៉ាងល្អឥតខ្ចោះជាមួយ
ClamAV ដើរតួមិនត្រឹមតែជាឧបករណ៍សម្រាប់ស្កែនរូបភាពកុងតឺន័រប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងជាឧបករណ៍កំចាត់មេរោគផងដែរ។ - ផ្តល់ការការពារពេលដំណើរការផងដែរ ដោយទទួលបានព្រឹត្តិការណ៍តាមពេលវេលាជាក់ស្តែងពី Docker daemon និងរួមបញ្ចូលជាមួយ Falco (មើលខាងក្រោម) ដើម្បីប្រមូលព្រឹត្តិការណ៍សុវត្ថិភាព ខណៈពេលដែលកុងតឺន័រកំពុងដំណើរការ។
KubeXray
- វេបសាយ:
github.com/jfrog/kubexray - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) ប៉ុន្តែទាមទារទិន្នន័យពី JFrog Xray (ផលិតផលពាណិជ្ជកម្ម)
KubeXray ស្តាប់ព្រឹត្តិការណ៍ពីម៉ាស៊ីនមេ Kubernetes API និងប្រើទិន្នន័យមេតាពី JFrog Xray ដើម្បីធានាថាមានតែផតដែលផ្គូផ្គងគោលការណ៍បច្ចុប្បន្នប៉ុណ្ណោះដែលត្រូវបានចាប់ផ្តើម។
KubeXray មិនត្រឹមតែធ្វើសវនកម្មកុងតឺន័រថ្មី ឬដែលបានធ្វើបច្ចុប្បន្នភាពនៅក្នុងការដាក់ឱ្យប្រើប្រាស់ (ស្រដៀងទៅនឹងឧបករណ៍បញ្ជាការចូលប្រើនៅក្នុង Kubernetes) ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងពិនិត្យមើលថាមវន្តដែលកំពុងដំណើរការកុងតឺន័រសម្រាប់ការអនុលោមតាមគោលការណ៍សុវត្ថិភាពថ្មី ដោយដកធនធានដែលយោងរូបភាពដែលងាយរងគ្រោះចេញ។
សេនីក
- វេបសាយ:
snyk.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) និងកំណែពាណិជ្ជកម្ម
Snyk គឺជាម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះមិនធម្មតាដែលវាកំណត់គោលដៅជាពិសេសដំណើរការអភិវឌ្ឍន៍ ហើយត្រូវបានផ្សព្វផ្សាយជា "ដំណោះស្រាយសំខាន់" សម្រាប់អ្នកអភិវឌ្ឍន៍។
Snyk ភ្ជាប់ដោយផ្ទាល់ទៅឃ្លាំងកូដ ញែកគម្រោងបង្ហាញ និងវិភាគកូដដែលបាននាំចូល រួមជាមួយនឹងភាពអាស្រ័យដោយផ្ទាល់ និងដោយប្រយោល។ Snyk គាំទ្រភាសាសរសេរកម្មវិធីដ៏ពេញនិយមជាច្រើន ហើយអាចកំណត់អត្តសញ្ញាណហានិភ័យអាជ្ញាប័ណ្ណដែលលាក់។
មិនស្មោះត្រង់
- វេបសាយ:
github.com/knqyf263/trivy - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (AGPL)
Trivy គឺជាម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះដ៏សាមញ្ញ ប៉ុន្តែមានអនុភាពសម្រាប់កុងតឺន័រដែលងាយស្រួលបញ្ចូលទៅក្នុងបំពង់ CI/CD ។ លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់របស់វាគឺភាពងាយស្រួលនៃការដំឡើង និងប្រតិបត្តិការរបស់វា៖ កម្មវិធីមានប្រព័ន្ធគោលពីរតែមួយ ហើយមិនត្រូវការការដំឡើងមូលដ្ឋានទិន្នន័យ ឬបណ្ណាល័យបន្ថែមទេ។
គុណវិបត្តិចំពោះភាពសាមញ្ញរបស់ Trivy គឺថាអ្នកត្រូវរកវិធីញែក និងបញ្ជូនលទ្ធផលជាទម្រង់ JSON ដើម្បីឱ្យឧបករណ៍សុវត្ថិភាព Kubernetes ផ្សេងទៀតអាចប្រើវាបាន។
សុវត្ថិភាពពេលដំណើរការនៅក្នុង Kubernetes
Falco
- វេបសាយ:
falco.org - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Falco គឺជាសំណុំឧបករណ៍សម្រាប់ធានាបរិស្ថានពេលដំណើរការលើពពក។ ជាផ្នែកមួយនៃគ្រួសារគម្រោង
ដោយប្រើឧបករណ៍កម្រិតខឺណែលលីនុចរបស់ Sysdig និងការហៅទម្រង់ប្រព័ន្ធ Falco អនុញ្ញាតឱ្យអ្នកចូលជ្រៅទៅក្នុងឥរិយាបថប្រព័ន្ធ។ ម៉ាស៊ីនក្បួនពេលវេលាដំណើរការរបស់វាមានសមត្ថភាពរកឃើញសកម្មភាពគួរឱ្យសង្ស័យនៅក្នុងកម្មវិធី កុងតឺន័រ ម៉ាស៊ីនមូលដ្ឋាន និងឧបករណ៍ភ្លេង Kubernetes ។
Falco ផ្តល់នូវតម្លាភាពពេញលេញនៅក្នុងពេលដំណើរការ និងការរកឃើញការគំរាមកំហែងដោយការដាក់ពង្រាយភ្នាក់ងារពិសេសនៅលើថ្នាំង Kubernetes សម្រាប់គោលបំណងទាំងនេះ។ ជាលទ្ធផល មិនចាំបាច់កែប្រែកុងតឺន័រដោយបញ្ចូលលេខកូដភាគីទីបីទៅក្នុងពួកវា ឬបន្ថែមធុងដាក់ចំហៀងឡើយ។
ក្របខ័ណ្ឌសុវត្ថិភាពលីនុចសម្រាប់ពេលដំណើរការ
ក្របខ័ណ្ឌដើមទាំងនេះសម្រាប់ខឺណែលលីនុចមិនមែនជា "ឧបករណ៍សុវត្ថិភាព Kubernetes" ក្នុងន័យប្រពៃណីទេ ប៉ុន្តែពួកគេមានតម្លៃក្នុងការលើកឡើង ព្រោះវាជាធាតុសំខាន់នៅក្នុងបរិបទនៃសុវត្ថិភាពពេលដំណើរការ ដែលត្រូវបានរួមបញ្ចូលនៅក្នុងគោលការណ៍សុវត្ថិភាព Kubernetes Pod (PSP)។
លីនុចដែលពង្រឹងសុវត្ថិភាព (
ប្រភពបើកចំហ Sysdig
- វេបសាយ:
www.sysdig.com/opensource - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Sysdig គឺជាឧបករណ៍ពេញលេញសម្រាប់វិភាគ វិភាគ និងបំបាត់កំហុសប្រព័ន្ធលីនុច (ក៏ដំណើរការលើ Windows និង macOS ប៉ុន្តែមានមុខងារមានកំណត់)។ វាអាចត្រូវបានប្រើសម្រាប់ការប្រមូលពត៌មានលម្អិត ការផ្ទៀងផ្ទាត់ និងការវិភាគកោសល្យវិច្ច័យ។ (កោសល្យវិច្ច័យ) ប្រព័ន្ធមូលដ្ឋាន និងធុងណាមួយដែលកំពុងដំណើរការលើវា។
Sysdig ក៏គាំទ្រពេលវេលាដំណើរការកុងតឺន័រ និងទិន្នន័យមេតា Kubernetes ដោយបន្ថែមទំហំ និងស្លាកបន្ថែមទៅគ្រប់ព័ត៌មានឥរិយាបថប្រព័ន្ធដែលវាប្រមូល។ មានវិធីជាច្រើនដើម្បីវិភាគចង្កោម Kubernetes ដោយប្រើ Sysdig៖ អ្នកអាចធ្វើការចាប់យកចំណុចតាមពេលវេលាតាមរយៈ
សុវត្ថិភាពបណ្តាញ Kubernetes
អាប៉ូតូ
- វេបសាយ:
www.aporeto.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Aporeto ផ្តល់នូវ "សុវត្ថិភាពដាច់ដោយឡែកពីបណ្តាញ និងហេដ្ឋារចនាសម្ព័ន្ធ"។ នេះមានន័យថាសេវាកម្ម Kubernetes មិនត្រឹមតែទទួលបានលេខសម្គាល់មូលដ្ឋាន (ឧទាហរណ៍ ServiceAccount នៅក្នុង Kubernetes) ប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានលេខសម្គាល់/ស្នាមម្រាមដៃជាសកល ដែលអាចត្រូវបានប្រើដើម្បីទំនាក់ទំនងប្រកបដោយសុវត្ថិភាព និងទៅវិញទៅមកជាមួយសេវាកម្មផ្សេងទៀត ឧទាហរណ៍នៅក្នុងចង្កោម OpenShift ។
Aporeto មានសមត្ថភាពបង្កើតលេខសម្គាល់តែមួយគត់មិនត្រឹមតែសម្រាប់ Kubernetes/containers ប៉ុណ្ណោះទេ ប៉ុន្តែសម្រាប់ម៉ាស៊ីន មុខងារពពក និងអ្នកប្រើប្រាស់ផងដែរ។ អាស្រ័យលើការកំណត់អត្តសញ្ញាណទាំងនេះ និងសំណុំនៃច្បាប់សុវត្ថិភាពបណ្តាញដែលកំណត់ដោយអ្នកគ្រប់គ្រង ការទំនាក់ទំនងនឹងត្រូវបានអនុញ្ញាត ឬរារាំង។
កាលីកូ។
- វេបសាយ:
www.projectcalico.org - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Calico ជាធម្មតាត្រូវបានដាក់ពង្រាយកំឡុងពេលដំឡើងកុងតឺន័រ orchestrator ដែលអនុញ្ញាតឱ្យអ្នកបង្កើតបណ្តាញនិម្មិតដែលភ្ជាប់កុងតឺន័រ។ បន្ថែមពីលើមុខងារបណ្តាញមូលដ្ឋាននេះ គម្រោង Calico ដំណើរការជាមួយគោលការណ៍បណ្តាញ Kubernetes និងសំណុំផ្ទាល់ខ្លួននៃទម្រង់សុវត្ថិភាពបណ្តាញ គាំទ្រ ACLs ចំណុចបញ្ចប់ (បញ្ជីត្រួតពិនិត្យការចូលប្រើ) និងច្បាប់សុវត្ថិភាពបណ្តាញផ្អែកលើចំណារពន្យល់សម្រាប់ចរាចរចូល និងច្រកចូល។
ស៊ីលីញ៉ូម
- វេបសាយ:
www.cilium.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Cilium ដើរតួនាទីជាជញ្ជាំងភ្លើងសម្រាប់កុងតឺន័រ និងផ្តល់នូវមុខងារសុវត្ថិភាពបណ្តាញដែលតម្រូវតាមលំនាំដើមទៅនឹងបន្ទុកការងារ Kubernetes និង microservices ។ Cilium ប្រើបច្ចេកវិទ្យាខឺណែលលីនុចថ្មីហៅថា BPF (Berkeley Packet Filter) ដើម្បីត្រង ត្រួតពិនិត្យ ប្តូរទិស និងកែតម្រូវទិន្នន័យ។
Cilium មានសមត្ថភាពដាក់ពង្រាយគោលការណ៍ចូលប្រើបណ្តាញដោយផ្អែកលើលេខសម្គាល់កុងតឺន័រដោយប្រើស្លាក Docker ឬ Kubernetes និងទិន្នន័យមេតា។ Cilium ក៏យល់ និងត្រងពិធីការ Layer 7 ផ្សេងៗដូចជា HTTP ឬ gRPC ដែលអនុញ្ញាតឱ្យអ្នកកំណត់សំណុំនៃការហៅ REST ដែលនឹងត្រូវបានអនុញ្ញាតរវាងការដាក់ពង្រាយ Kubernetes ពីរ។
អ៊ីស៊ីអូ
- វេបសាយ:
istio.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Istio ត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយសម្រាប់ការអនុវត្តគំរូនៃសេវាសំណាញ់ដោយការដាក់ពង្រាយយន្តហោះគ្រប់គ្រងឯករាជ្យនៃវេទិកា និងបញ្ជូនចរាចរណ៍សេវាកម្មដែលបានគ្រប់គ្រងទាំងអស់តាមរយៈប្រូកស៊ី Envoy ដែលអាចកំណត់រចនាសម្ព័ន្ធថាមវន្ត។ Istio ទាញយកអត្ថប្រយោជន៍ពីទិដ្ឋភាពកម្រិតខ្ពស់នៃសេវាកម្មមីក្រូ និងកុងតឺន័រទាំងអស់ ដើម្បីអនុវត្តយុទ្ធសាស្ត្រសុវត្ថិភាពបណ្តាញផ្សេងៗ។
សមត្ថភាពសុវត្ថិភាពបណ្តាញរបស់ Istio រួមមានការអ៊ិនគ្រីប TLS ប្រកបដោយតម្លាភាព ដើម្បីធ្វើឱ្យប្រសើរឡើងដោយស្វ័យប្រវត្តិនូវការទំនាក់ទំនងរវាងមីក្រូសេវាទៅ HTTPS និងប្រព័ន្ធកំណត់អត្តសញ្ញាណ និងសិទ្ធិ RBAC ដែលមានកម្មសិទ្ធិ ដើម្បីអនុញ្ញាត/បដិសេធការទំនាក់ទំនងរវាងបន្ទុកការងារផ្សេងៗគ្នានៅក្នុងចង្កោម។
ចំណាំ។ បកប្រែ៖ ដើម្បីស្វែងយល់បន្ថែមអំពីសមត្ថភាពផ្តោតលើសុវត្ថិភាពរបស់ Istio សូមអាន
ខ្លា
- វេបសាយ:
www.tigera.io - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
ហៅថា "ជញ្ជាំងភ្លើង Kubernetes" ដំណោះស្រាយនេះសង្កត់ធ្ងន់លើវិធីសាស្រ្តគ្មានការទុកចិត្តចំពោះសុវត្ថិភាពបណ្តាញ។
ស្រដៀងទៅនឹងដំណោះស្រាយបណ្តាញ Kubernetes ដើមផ្សេងទៀត Tigera ពឹងផ្អែកលើទិន្នន័យមេតាដើម្បីកំណត់អត្តសញ្ញាណសេវាកម្ម និងវត្ថុផ្សេងៗនៅក្នុងចង្កោម ហើយផ្តល់នូវការរកឃើញបញ្ហាពេលដំណើរការ ការត្រួតពិនិត្យការអនុលោមភាពជាបន្ត និងលទ្ធភាពមើលឃើញបណ្តាញសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធពហុពពក ឬ monolithic-containerized កូនកាត់។
ទ្រីម
- វេបសាយ:
www.aporeto.com/opensource - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Trireme-Kubernetes គឺជាការអនុវត្តដ៏សាមញ្ញ និងត្រង់នៃការបញ្ជាក់អំពីគោលការណ៍បណ្តាញ Kubernetes ។ លក្ខណៈពិសេសដែលគួរឱ្យកត់សម្គាល់បំផុតគឺថា - មិនដូចផលិតផលសុវត្ថិភាពបណ្តាញ Kubernetes ស្រដៀងគ្នា - វាមិនតម្រូវឱ្យមានយន្តហោះគ្រប់គ្រងកណ្តាលដើម្បីសម្របសម្រួលសំណាញ់នោះទេ។ នេះធ្វើឱ្យដំណោះស្រាយតូចតាចអាចធ្វើមាត្រដ្ឋានបាន។ នៅក្នុង Trireme នេះត្រូវបានសម្រេចដោយការដំឡើងភ្នាក់ងារនៅលើថ្នាំងនីមួយៗដែលភ្ជាប់ដោយផ្ទាល់ទៅជង់ TCP/IP របស់ម៉ាស៊ីន។
ការផ្សព្វផ្សាយរូបភាព និងការគ្រប់គ្រងអាថ៌កំបាំង
Grafeas
- វេបសាយ:
grafeas.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Grafeas គឺជាប្រភពបើកចំហ API សម្រាប់ការត្រួតពិនិត្យ និងការគ្រប់គ្រងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។ នៅកម្រិតមូលដ្ឋាន Grafeas គឺជាឧបករណ៍សម្រាប់ប្រមូលទិន្នន័យមេតា និងការរកឃើញសវនកម្ម។ វាអាចត្រូវបានប្រើដើម្បីតាមដានការអនុលោមតាមការអនុវត្តល្អបំផុតផ្នែកសុវត្ថិភាពនៅក្នុងស្ថាប័នមួយ។
ប្រភពនៃការពិតកណ្តាលនេះជួយឆ្លើយសំណួរដូចជា៖
- តើអ្នកណាបានប្រមូល និងចុះហត្ថលេខាសម្រាប់កុងតឺន័រជាក់លាក់មួយ?
- តើវាបានឆ្លងកាត់ការស្កេន និងការត្រួតពិនិត្យសុវត្ថិភាពទាំងអស់ដែលតម្រូវដោយគោលការណ៍សុវត្ថិភាពដែរឬទេ? ពេលណា? តើលទ្ធផលអ្វីខ្លះ?
- តើអ្នកណាយកវាទៅផលិត? តើប៉ារ៉ាម៉ែត្រជាក់លាក់ណាខ្លះត្រូវបានប្រើក្នុងពេលដាក់ពង្រាយ?
ក្នុង-តូតូ
- វេបសាយ:
នៅក្នុង-toto.github.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
In-toto គឺជាក្របខ័ណ្ឌដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវភាពត្រឹមត្រូវ ការផ្ទៀងផ្ទាត់ និងសវនកម្មនៃខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីទាំងមូល។ នៅពេលដាក់ពង្រាយ In-toto នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ ផែនការមួយត្រូវបានកំណត់ដំបូងដែលពិពណ៌នាអំពីជំហានផ្សេងៗនៅក្នុងបំពង់បង្ហូរប្រេង (ឃ្លាំង ឧបករណ៍ CI/CD ឧបករណ៍ QA ឧបករណ៍ប្រមូលវត្ថុបុរាណ។ល។) និងអ្នកប្រើប្រាស់ (អ្នកទទួលខុសត្រូវ) ដែលត្រូវបានអនុញ្ញាតឱ្យ ផ្តួចផ្តើមពួកគេ។
In-toto ត្រួតពិនិត្យការអនុវត្តផែនការ ដោយផ្ទៀងផ្ទាត់ថាការងារនីមួយៗនៅក្នុងខ្សែសង្វាក់ត្រូវបានអនុវត្តយ៉ាងត្រឹមត្រូវដោយបុគ្គលិកដែលមានការអនុញ្ញាតតែប៉ុណ្ណោះ ហើយមិនមានឧបាយកលដែលមិនមានការអនុញ្ញាតត្រូវបានអនុវត្តជាមួយផលិតផលក្នុងអំឡុងពេលធ្វើចលនានោះទេ។
Portieris
- វេបសាយ:
github.com/IBM/portieris - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Portieris គឺជាឧបករណ៍ត្រួតពិនិត្យការចូលសម្រាប់ Kubernetes; ប្រើដើម្បីពង្រឹងការត្រួតពិនិត្យការជឿទុកចិត្តលើខ្លឹមសារ។ Portieris ប្រើម៉ាស៊ីនមេ
នៅពេលដែលបន្ទុកការងារត្រូវបានបង្កើត ឬកែប្រែនៅក្នុង Kubernetes Portieris ទាញយកព័ត៌មានចុះហត្ថលេខា និងគោលការណ៍ទុកចិត្តខ្លឹមសារសម្រាប់រូបភាពកុងតឺន័រដែលបានស្នើសុំ ហើយប្រសិនបើចាំបាច់ ធ្វើការផ្លាស់ប្តូរភ្លាមៗចំពោះវត្ថុ JSON API ដើម្បីដំណើរការកំណែដែលបានចុះហត្ថលេខានៃរូបភាពទាំងនោះ។
ទូដែក
- វេបសាយ:
www.vaultproject.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (MPL)
Vault គឺជាដំណោះស្រាយសុវត្ថិភាពសម្រាប់ការរក្សាទុកព័ត៌មានឯកជន៖ ពាក្យសម្ងាត់ និមិត្តសញ្ញា OAuth វិញ្ញាបនបត្រ PKI គណនីចូលប្រើ អាថ៌កំបាំង Kubernetes ជាដើម។ Vault គាំទ្រមុខងារកម្រិតខ្ពស់ជាច្រើន ដូចជាការជួលថូខឹនសុវត្ថិភាពដោយចៃដន្យ ឬរៀបចំការបង្វិលគ្រាប់ចុច។
ដោយប្រើគំនូសតាង Helm Vault អាចត្រូវបានដាក់ពង្រាយជាការដាក់ពង្រាយថ្មីនៅក្នុងចង្កោម Kubernetes ជាមួយកុងស៊ុលជាកន្លែងផ្ទុកខាងក្រោយ។ វាគាំទ្រធនធាន Kubernetes ដើមដូចជា ServiceAccount tokens ហើយថែមទាំងអាចដើរតួជាហាងលំនាំដើមសម្រាប់អាថ៌កំបាំង Kubernetes ផងដែរ។
ចំណាំ។ បកប្រែ៖ ដោយវិធីនេះ កាលពីម្សិលមិញក្រុមហ៊ុន HashiCorp ដែលអភិវឌ្ឍ Vault បានប្រកាសពីការកែលម្អមួយចំនួនសម្រាប់ការប្រើប្រាស់ Vault នៅក្នុង Kubernetes ហើយជាពិសេសវាទាក់ទងនឹងតារាង Helm ។ អានបន្ថែមនៅក្នុង
សវនកម្មសុវត្ថិភាព Kubernetes
Kube-លេងជាកីឡាករបម្រុង
- វេបសាយ:
github.com/aquasecurity/kube-bench - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Kube-bench គឺជាកម្មវិធី Go ដែលពិនិត្យមើលថាតើ Kubernetes ត្រូវបានដាក់ពង្រាយដោយសុវត្ថិភាពដោយដំណើរការតេស្តពីបញ្ជីដែរឬទេ
Kube-bench រកមើលការកំណត់រចនាសម្ព័ន្ធដែលមិនមានសុវត្ថិភាពក្នុងចំណោមសមាសធាតុចង្កោម (etcd, API, controller manager, etc.) សិទ្ធិចូលប្រើឯកសារដែលអាចសួរបាន គណនីដែលមិនបានការពារ ឬច្រកបើក កូតាធនធាន ការកំណត់សម្រាប់កំណត់ចំនួននៃការហៅ API ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារ DoS ល។
Kube-ហិនទ័រ
- វេបសាយ:
github.com/aquasecurity/kube-hunter - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Kube-hunter ស្វែងរកភាពងាយរងគ្រោះដែលអាចកើតមាន (ដូចជាការប្រតិបត្តិលេខកូដពីចម្ងាយ ឬការបង្ហាញទិន្នន័យ) នៅក្នុងក្រុម Kubernetes ។ Kube-hunter អាចដំណើរការជាម៉ាស៊ីនស្កេនពីចម្ងាយ ក្នុងករណីនេះវានឹងវាយតម្លៃចង្កោមពីចំណុចនៃទិដ្ឋភាពរបស់អ្នកវាយប្រហារភាគីទីបី ឬជាផតនៅខាងក្នុងចង្កោម។
លក្ខណៈពិសេសប្លែករបស់ Kube-hunter គឺជារបៀប "ការបរបាញ់សកម្ម" របស់វា ក្នុងអំឡុងពេលដែលវាមិនត្រឹមតែរាយការណ៍បញ្ហាប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងព្យាយាមទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះដែលបានរកឃើញនៅក្នុងចង្កោមគោលដៅដែលអាចបង្កគ្រោះថ្នាក់ដល់ប្រតិបត្តិការរបស់វា។ ដូច្នេះប្រើដោយប្រុងប្រយ័ត្ន!
Kubeaudit
- វេបសាយ:
github.com/Shopify/kubeaudit - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (MIT)
Kubeaudit គឺជាឧបករណ៍កុងសូលដែលបង្កើតឡើងដំបូងនៅ Shopify ដើម្បីត្រួតពិនិត្យការកំណត់រចនាសម្ព័ន្ធ Kubernetes សម្រាប់បញ្ហាសុវត្ថិភាពផ្សេងៗ។ ជាឧទាហរណ៍ វាជួយកំណត់អត្តសញ្ញាណកុងតឺន័រដែលកំពុងដំណើរការមិនកំណត់ ដំណើរការជា root បំពានសិទ្ធិ ឬប្រើគណនី ServiceAccount លំនាំដើម។
Kubeaudit មានលក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍ផ្សេងទៀត។ ជាឧទាហរណ៍ វាអាចវិភាគឯកសារ YAML មូលដ្ឋាន កំណត់អត្តសញ្ញាណកំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធដែលអាចនាំឱ្យមានបញ្ហាសុវត្ថិភាព និងជួសជុលពួកវាដោយស្វ័យប្រវត្តិ។
គូបេសេក
- វេបសាយ:
kubesec.io - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
Kubesec គឺជាឧបករណ៍ពិសេសមួយដែលវាស្កែនឯកសារ YAML ដោយផ្ទាល់ ដែលពិពណ៌នាអំពីធនធាន Kubernetes ដោយស្វែងរកប៉ារ៉ាម៉ែត្រខ្សោយដែលអាចប៉ះពាល់ដល់សុវត្ថិភាព។
ឧទាហរណ៍ វាអាចរកឃើញសិទ្ធិ និងការអនុញ្ញាតលើសលប់ដែលផ្តល់ទៅឱ្យផត ដំណើរការកុងតឺន័រជាមួយឫសជាអ្នកប្រើប្រាស់លំនាំដើម ភ្ជាប់ទៅបណ្តាញឈ្មោះរបស់ម៉ាស៊ីន ឬម៉ោនគ្រោះថ្នាក់ដូចជា /proc
ម៉ាស៊ីនឬរន្ធ Docker ។ លក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍មួយទៀតរបស់ Kubesec គឺសេវាសាកល្បងដែលមាននៅលើអ៊ីនធឺណិត ដែលអ្នកអាចបង្ហោះ YAML ហើយវិភាគវាភ្លាមៗ។
បើកភ្នាក់ងារគោលនយោបាយ
- វេបសាយ:
www.openpolicyagent.org - អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)
គោលគំនិតនៃ OPA (Open Policy Agent) គឺដើម្បីបំបែកគោលនយោបាយសុវត្ថិភាព និងការអនុវត្តល្អបំផុតពីប្រព័ន្ធដំណើរការជាក់លាក់មួយ៖ Docker, Kubernetes, Mesosphere, OpenShift ឬការរួមបញ្ចូលគ្នាណាមួយ។
ឧទាហរណ៍ អ្នកអាចដាក់ឱ្យប្រើប្រាស់ OPA ជាផ្នែកខាងក្រោយសម្រាប់ឧបករណ៍បញ្ជាការចូលប្រើប្រាស់ Kubernetes ដោយផ្ទេរការសម្រេចចិត្តផ្នែកសុវត្ថិភាពទៅឱ្យវា។ វិធីនេះ ភ្នាក់ងារ OPA អាចផ្តល់សុពលភាព បដិសេធ និងសូម្បីតែកែប្រែសំណើភ្លាមៗ ដោយធានាថា ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពដែលបានបញ្ជាក់ត្រូវបានបំពេញ។ គោលការណ៍សុវត្ថិភាពរបស់ OPA ត្រូវបានសរសេរជាភាសា DSL ដែលមានកម្មសិទ្ធិរបស់ខ្លួន Rego ។
ចំណាំ។ បកប្រែ៖ យើងបានសរសេរបន្ថែមអំពី OPA (និង SPIFFE) នៅក្នុង
ឧបករណ៍ពាណិជ្ជកម្មដ៏ទូលំទូលាយសម្រាប់ការវិភាគសុវត្ថិភាព Kubernetes
យើងបានសម្រេចចិត្តបង្កើតប្រភេទដាច់ដោយឡែកមួយសម្រាប់វេទិកាពាណិជ្ជកម្ម ព្រោះវាជាធម្មតាគ្របដណ្តប់តំបន់សុវត្ថិភាពជាច្រើន។ គំនិតទូទៅនៃសមត្ថភាពរបស់ពួកគេអាចទទួលបានពីតារាង៖
* ការពិនិត្យកម្រិតខ្ពស់ និងការវិភាគលើសាកសពដោយពេញលេញ
សន្តិសុខ Aqua
- វេបសាយ:
www.aquasec.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
ឧបករណ៍ពាណិជ្ជកម្មនេះត្រូវបានរចនាឡើងសម្រាប់កុងតឺន័រ និងបន្ទុកការងារលើពពក។ វាផ្តល់ៈ
- ការស្កេនរូបភាពរួមបញ្ចូលជាមួយការចុះបញ្ជីកុងតឺន័រ ឬបំពង់បង្ហូរ CI/CD;
- ការការពារពេលដំណើរការជាមួយនឹងការស្វែងរកការផ្លាស់ប្តូរនៅក្នុងធុងនិងសកម្មភាពគួរឱ្យសង្ស័យផ្សេងទៀត;
- កុងតឺន័រ - ជញ្ជាំងភ្លើងដើម;
- សុវត្ថិភាពសម្រាប់ serverless នៅក្នុងសេវាកម្ម cloud;
- ការធ្វើតេស្តអនុលោមភាព និងសវនកម្មរួមជាមួយនឹងការកត់ត្រាព្រឹត្តិការណ៍។
ចំណាំ។ បកប្រែ៖ វាក៏គួរអោយកត់សំគាល់ផងដែរថាមាន សមាសធាតុឥតគិតថ្លៃនៃផលិតផលដែលហៅថា
កន្សោម ៣
- វេបសាយ:
capsule8.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Capsule8 រួមបញ្ចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដោយដំឡើងឧបករណ៍រាវរកនៅលើមូលដ្ឋាន ឬ cloud Kubernetes cluster ។ ឧបករណ៍ចាប់សញ្ញានេះប្រមូល host និង telemetry បណ្តាញ ដោយភ្ជាប់វាជាមួយនឹងប្រភេទផ្សេងៗនៃការវាយប្រហារ។
ក្រុម Capsule8 មើលឃើញថាភារកិច្ចរបស់ខ្លួនជាការរកឃើញដំបូង និងការការពារការវាយប្រហារដោយប្រើថ្មី។ (0 ថ្ងៃ) ភាពងាយរងគ្រោះ។ Capsule8 អាចទាញយកច្បាប់សុវត្ថិភាពដែលបានធ្វើបច្ចុប្បន្នភាពដោយផ្ទាល់ទៅកាន់ឧបករណ៍ចាប់សញ្ញា ដើម្បីឆ្លើយតបទៅនឹងការគំរាមកំហែងដែលបានរកឃើញថ្មីៗ និងភាពងាយរងគ្រោះនៃកម្មវិធី។
ខាវីរិន
- វេបសាយ:
www.cavirin.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Cavirin ដើរតួជាអ្នកម៉ៅការខាងក្រុមហ៊ុនសម្រាប់ភ្នាក់ងារផ្សេងៗដែលពាក់ព័ន្ធនឹងស្តង់ដារសុវត្ថិភាព។ វាមិនត្រឹមតែអាចស្កែនរូបភាពប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏អាចបញ្ចូលទៅក្នុងបំពង់ CI/CD ដោយរារាំងរូបភាពមិនស្តង់ដារ មុនពេលពួកវាចូលទៅក្នុងឃ្លាំងបិទ។
ឈុតសុវត្ថិភាពរបស់ Cavirin ប្រើប្រាស់ machine learning ដើម្បីវាយតម្លៃឥរិយាបថសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់អ្នក ដោយផ្តល់នូវគន្លឹះដើម្បីកែលម្អសុវត្ថិភាព និងកែលម្អការអនុលោមតាមស្តង់ដារសុវត្ថិភាព។
មជ្ឈមណ្ឌលបញ្ជាសុវត្ថិភាព Google Cloud
- វេបសាយ:
cloud.google.com/security-command-center - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Cloud Security Command Center ជួយក្រុមសន្តិសុខប្រមូលទិន្នន័យ កំណត់អត្តសញ្ញាណការគំរាមកំហែង និងលុបបំបាត់ពួកវាមុនពេលពួកគេបង្កគ្រោះថ្នាក់ដល់ក្រុមហ៊ុន។
ដូចដែលឈ្មោះបានបង្ហាញ Google Cloud SCC គឺជាផ្ទាំងបញ្ជាដែលបង្រួបបង្រួម ដែលអាចរួមបញ្ចូល និងគ្រប់គ្រងរបាយការណ៍សុវត្ថិភាពផ្សេងៗ ម៉ាស៊ីនគណនេយ្យទ្រព្យសកម្ម និងប្រព័ន្ធសុវត្ថិភាពភាគីទីបីពីប្រភពតែមួយ ដែលមានមជ្ឈការ។
API ដែលអាចដំណើរការបានដែលផ្តល់ដោយ Google Cloud SCC ធ្វើឱ្យវាងាយស្រួលក្នុងការរួមបញ្ចូលព្រឹត្តិការណ៍សុវត្ថិភាពដែលមកពីប្រភពផ្សេងៗដូចជា Sysdig Secure (សុវត្ថិភាពកុងតឺន័រសម្រាប់កម្មវិធីដែលមានមូលដ្ឋានលើពពក) ឬ Falco (សុវត្ថិភាពពេលដំណើរការប្រភពបើកចំហ)។
ការយល់ដឹងជាស្រទាប់ (គុណភាព)
- វេបសាយ:
layeredinsight.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Layered Insight (ឥឡូវជាផ្នែកមួយនៃ Qualys Inc) ត្រូវបានបង្កើតឡើងនៅលើគោលគំនិតនៃ "សុវត្ថិភាពដែលបានបង្កប់" ។ បន្ទាប់ពីស្កេនរូបភាពដើមសម្រាប់ភាពងាយរងគ្រោះដោយប្រើការវិភាគស្ថិតិ និងការត្រួតពិនិត្យ CVE នោះ Layered Insight ជំនួសវាដោយរូបភាពឧបករណ៍ដែលរួមបញ្ចូលភ្នាក់ងារជាប្រព័ន្ធគោលពីរ។
ភ្នាក់ងារនេះមានការធ្វើតេស្តសុវត្ថិភាពពេលដំណើរការ ដើម្បីវិភាគចរាចរណ៍បណ្តាញកុងតឺន័រ លំហូរ I/O និងសកម្មភាពកម្មវិធី។ លើសពីនេះទៀត វាអាចធ្វើការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែមដែលបញ្ជាក់ដោយអ្នកគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ ឬក្រុម DevOps ។
NeuVector
- វេបសាយ:
neuvector.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
NeuVector ពិនិត្យសុវត្ថិភាពកុងតឺន័រ និងផ្តល់ការការពារពេលដំណើរការដោយការវិភាគសកម្មភាពបណ្តាញ និងឥរិយាបថកម្មវិធី បង្កើតទម្រង់សុវត្ថិភាពបុគ្គលសម្រាប់កុងតឺន័រនីមួយៗ។ វាក៏អាចទប់ស្កាត់ការគំរាមកំហែងដោយខ្លួនឯង ដោយបំបែកសកម្មភាពគួរឱ្យសង្ស័យដោយការផ្លាស់ប្តូរច្បាប់ជញ្ជាំងភ្លើងក្នុងតំបន់។
ការរួមបញ្ចូលបណ្តាញរបស់ NeuVector ដែលត្រូវបានគេស្គាល់ថាជា Security Mesh មានសមត្ថភាពនៃការវិភាគកញ្ចប់ព័ត៌មានយ៉ាងស៊ីជម្រៅ និងការត្រងស្រទាប់ទី 7 សម្រាប់ការតភ្ជាប់បណ្តាញទាំងអស់នៅក្នុងបណ្តាញសេវា។
ស្តេចស្តុក
- វេបសាយ:
www.stackrox.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
វេទិកាសុវត្ថិភាពកុងតឺន័រ StackRox ខិតខំគ្របដណ្តប់វដ្តជីវិតទាំងមូលនៃកម្មវិធី Kubernetes នៅក្នុងចង្កោមមួយ។ ដូចជាវេទិកាពាណិជ្ជកម្មផ្សេងទៀតនៅក្នុងបញ្ជីនេះ StackRox បង្កើតទម្រង់ពេលវេលាដំណើរការដោយផ្អែកលើឥរិយាបថកុងតឺន័រដែលបានសង្កេត និងបង្កើនសំឡេងរោទិ៍ដោយស្វ័យប្រវត្តិសម្រាប់គម្លាតណាមួយ។
លើសពីនេះទៀត StackRox វិភាគការកំណត់រចនាសម្ព័ន្ធ Kubernetes ដោយប្រើ Kubernetes CIS និងសៀវភៅក្បួនផ្សេងទៀតដើម្បីវាយតម្លៃការអនុលោមតាមកុងតឺន័រ។
Sysdig សុវត្ថិភាព
- វេបសាយ:
sysdig.com/products/secure - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Sysdig Secure ការពារកម្មវិធីទូទាំងកុងតឺន័រទាំងមូល និងវដ្តជីវិត Kubernetes ។ គាត់
Sysdig Secure រួមបញ្ចូលជាមួយឧបករណ៍ CI/CD ដូចជា Jenkins និងគ្រប់គ្រងរូបភាពដែលបានផ្ទុកពីបញ្ជីឈ្មោះ Docker ដោយការពាររូបភាពគ្រោះថ្នាក់ពីការលេចចេញនៅក្នុងការផលិត។ វាក៏ផ្តល់នូវសុវត្ថិភាពពេលដំណើរការដ៏ទូលំទូលាយផងដែរ រួមទាំង៖
- ការកំណត់ទម្រង់ពេលដំណើរការដែលមានមូលដ្ឋានលើ ML និងការរកឃើញភាពមិនប្រក្រតី;
- គោលការណ៍ពេលដំណើរការដោយផ្អែកលើព្រឹត្តិការណ៍ប្រព័ន្ធ K8s-audit API គម្រោងសហគមន៍រួមគ្នា (FIM - ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃឯកសារ; cryptojacking) និងក្របខ័ណ្ឌ
MITER ATT&CK ; - ការឆ្លើយតប និងការដោះស្រាយឧប្បត្តិហេតុ។
សុវត្ថិភាពកុងតឺន័រដែលអាចបត់បែនបាន។
- វេបសាយ:
www.tenable.com/products/tenable-io/container-security - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
មុនពេលការមកដល់នៃកុងតឺន័រ Tenable ត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយនៅក្នុងឧស្សាហកម្មនេះថាជាក្រុមហ៊ុននៅពីក្រោយ Nessus ដែលជាឧបករណ៍ស្វែងរកភាពងាយរងគ្រោះ និងសវនកម្មសុវត្ថិភាពដ៏ពេញនិយម។
Tenable Container Security ប្រើប្រាស់ជំនាញសុវត្ថិភាពកុំព្យូទ័ររបស់ក្រុមហ៊ុនដើម្បីរួមបញ្ចូលបំពង់ CI/CD ជាមួយនឹងមូលដ្ឋានទិន្នន័យដែលងាយរងគ្រោះ កញ្ចប់ស្វែងរកមេរោគពិសេស និងការណែនាំសម្រាប់ដោះស្រាយការគំរាមកំហែងផ្នែកសុវត្ថិភាព។
Twistlock (បណ្តាញ Palo Alto)
- វេបសាយ:
www.twistlock.com - អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម
Twistlock ផ្សព្វផ្សាយខ្លួនវាថាជាវេទិកាមួយដែលផ្តោតលើសេវាកម្មពពក និងធុង។ Twistlock គាំទ្រអ្នកផ្តល់សេវាពពកផ្សេងៗ (AWS, Azure, GCP) អ្នករៀបចំកុងតឺន័រ (Kubernetes, Mesospehere, OpenShift, Docker) ពេលវេលាដំណើរការគ្មានម៉ាស៊ីនមេ ក្របខណ្ឌសំណាញ់ និងឧបករណ៍ CI/CD ។
បន្ថែមពីលើបច្ចេកទេសសុវត្ថិភាពកម្រិតសហគ្រាសធម្មតាដូចជាការរួមបញ្ចូលបំពង់ CI/CD ឬការស្កេនរូបភាព Twistlock ប្រើការរៀនម៉ាស៊ីនដើម្បីបង្កើតគំរូអាកប្បកិរិយាជាក់លាក់នៃកុងតឺន័រ និងច្បាប់បណ្តាញ។
មួយរយៈមុន Twistlock ត្រូវបានទិញដោយ Palo Alto Networks ដែលជាម្ចាស់គម្រោង Evident.io និង RedLock ។ គេមិនទាន់ដឹងថា តើវេទិកាទាំងបីនេះ នឹងត្រូវបញ្ចូលទៅក្នុងរបៀបណានោះទេ។
ជួយបង្កើតកាតាឡុកដ៏ល្អបំផុតនៃឧបករណ៍សុវត្ថិភាព Kubernetes!
យើងខិតខំធ្វើឱ្យកាតាឡុកនេះពេញលេញតាមដែលអាចធ្វើទៅបាន ហើយសម្រាប់រឿងនេះ យើងត្រូវការជំនួយរបស់អ្នក! ទាក់ទងមកពួកយើង (
អ្នកក៏អាចជាវប្រចាំរបស់យើង។
PS ពីអ្នកបកប្រែ
សូមអានផងដែរនៅលើប្លក់របស់យើង៖
- «
ការណែនាំអំពីគោលការណ៍បណ្តាញ Kubernetes សម្រាប់អ្នកជំនាញផ្នែកសុវត្ថិភាព » - «
Docker និង Kubernetes នៅក្នុងបរិស្ថានដែលទាមទារសុវត្ថិភាព » - «
ការអនុវត្តល្អបំផុត 9 Kubernetes Security » - «
11 វិធីដើម្បី (មិន) ទទួលបានការ Hack នៅក្នុង Kubernetes » - «
OPA និង SPIFFE គឺជាគម្រោងថ្មីពីរនៅ CNCF សម្រាប់សុវត្ថិភាពកម្មវិធីពពក "។
ប្រភព: www.habr.com