ឧបករណ៍ 🥇33+ សម្រាប់សុវត្ថិភាព Kubernetes

ចំណាំ។ បកប្រែ៖ ប្រសិនបើអ្នកឆ្ងល់អំពីសុវត្ថិភាពនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើ Kubernetes ទិដ្ឋភាពទូទៅដ៏ល្អនេះពី Sysdig គឺជាចំណុចចាប់ផ្តើមដ៏ល្អមួយសម្រាប់ការពិនិត្យមើលយ៉ាងរហ័សនូវដំណោះស្រាយបច្ចុប្បន្ន។ វារួមបញ្ចូលទាំងប្រព័ន្ធស្មុគ្រស្មាញទាំងពីរពីអ្នកលេងទីផ្សារល្បី និងឧបករណ៍ប្រើប្រាស់តិចតួចជាច្រើនទៀតដែលដោះស្រាយបញ្ហាជាក់លាក់មួយ។ ហើយនៅក្នុងមតិយោបល់ យើងនឹងរីករាយក្នុងការស្តាប់អំពីបទពិសោធន៍របស់អ្នកដោយប្រើឧបករណ៍ទាំងនេះ និងមើលតំណភ្ជាប់ទៅកាន់គម្រោងផ្សេងទៀត។

ផលិតផលសូហ្វវែរសុវត្ថិភាព Kubernetes... មានពួកវាច្រើនណាស់ ដែលនីមួយៗមានគោលដៅ វិសាលភាព និងអាជ្ញាប័ណ្ណរៀងៗខ្លួន។

នោះហើយជាមូលហេតុដែលយើងសម្រេចចិត្តបង្កើតបញ្ជីនេះ ហើយរួមបញ្ចូលទាំងគម្រោងប្រភពបើកចំហ និងវេទិកាពាណិជ្ជកម្មពីអ្នកលក់ផ្សេងៗគ្នា។ យើងសង្ឃឹមថាវានឹងជួយអ្នកក្នុងការកំណត់អត្តសញ្ញាណដែលអ្នកចាប់អារម្មណ៍បំផុត និងចង្អុលបង្ហាញអ្នកក្នុងទិសដៅត្រឹមត្រូវដោយផ្អែកលើតម្រូវការសុវត្ថិភាព Kubernetes ជាក់លាក់របស់អ្នក។

ប្រភេទ

ដើម្បីធ្វើឱ្យបញ្ជីមានភាពងាយស្រួលក្នុងការរុករក ឧបករណ៍ត្រូវបានរៀបចំដោយមុខងារ និងកម្មវិធីសំខាន់ៗ។ ផ្នែកខាងក្រោមត្រូវបានទទួល៖

ការស្កេនរូបភាព Kubernetes និងការវិភាគឋិតិវន្ត;
សុវត្ថិភាពពេលរត់;
សុវត្ថិភាពបណ្តាញ Kubernetes;
ការចែកចាយរូបភាព និងការគ្រប់គ្រងអាថ៌កំបាំង;
សវនកម្មសុវត្ថិភាព Kubernetes;
ផលិតផលពាណិជ្ជកម្មដ៏ទូលំទូលាយ។

តោះមករកស៊ី៖

កំពុងស្កេនរូបភាព Kubernetes

យុថ្កា

វេបសាយ: anchore.com
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) និងការផ្តល់ជូនពាណិជ្ជកម្ម

Anchore វិភាគរូបភាពកុងតឺន័រ និងអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យសុវត្ថិភាពដោយផ្អែកលើគោលការណ៍កំណត់ដោយអ្នកប្រើប្រាស់។

បន្ថែមពីលើការស្កេនធម្មតានៃរូបភាពកុងតឺន័រសម្រាប់ភាពងាយរងគ្រោះដែលគេស្គាល់ពីមូលដ្ឋានទិន្នន័យ CVE Anchore ធ្វើការត្រួតពិនិត្យបន្ថែមជាច្រើនដែលជាផ្នែកមួយនៃគោលការណ៍ស្កេនរបស់វា៖ ពិនិត្យមើល Dockerfile ការលេចធ្លាយព័ត៌មានសម្ងាត់ កញ្ចប់នៃភាសាសរសេរកម្មវិធីដែលបានប្រើ (npm, maven ។ល។ .), អាជ្ញាប័ណ្ណកម្មវិធី និងច្រើនទៀត។

លោកស្រី Clair

វេបសាយ: coreos.com/clair (ឥឡូវស្ថិតនៅក្រោមការដឹកនាំរបស់ Red Hat)
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Clair គឺជាគម្រោង Open Source ដំបូងបង្អស់សម្រាប់ការស្កែនរូបភាព។ វាត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយថាជាម៉ាស៊ីនស្កេនសុវត្ថិភាពនៅពីក្រោយបញ្ជីឈ្មោះរូបភាព Quay (ផងដែរពី CoreOS - ប្រហែល ការបកប្រែ). Clair អាចប្រមូលព័ត៌មាន CVE ពីប្រភពជាច្រើន រួមទាំងបញ្ជីភាពងាយរងគ្រោះជាក់លាក់នៃការចែកចាយលីនុច ដែលរក្សាដោយក្រុមសុវត្ថិភាព Debian, Red Hat ឬ Ubuntu ។

មិនដូច Anchore ទេ Clair ផ្តោតជាចម្បងលើការស្វែងរកភាពងាយរងគ្រោះ និងទិន្នន័យដែលត្រូវគ្នាទៅនឹង CVEs ។ ទោះជាយ៉ាងណាក៏ដោយ ផលិតផលផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវឱកាសមួយចំនួនដើម្បីពង្រីកមុខងារដោយប្រើកម្មវិធីបញ្ជាដោត។

ដ៉ាដា

វេបសាយ: github.com/eliasgranderubio/dagda
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Dagda ធ្វើការវិភាគឋិតិវន្តនៃរូបភាពកុងតឺន័រសម្រាប់ភាពងាយរងគ្រោះដែលគេស្គាល់ មេរោគ Trojan មេរោគ មេរោគ និងការគំរាមកំហែងផ្សេងៗទៀត។

លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់ពីរបែងចែក Dagda ពីឧបករណ៍ស្រដៀងគ្នាផ្សេងទៀត:

វារួមបញ្ចូលគ្នាយ៉ាងល្អឥតខ្ចោះជាមួយ ClamAVដើរតួមិនត្រឹមតែជាឧបករណ៍សម្រាប់ស្កែនរូបភាពកុងតឺន័រប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងជាឧបករណ៍កំចាត់មេរោគផងដែរ។
ផ្តល់ការការពារពេលដំណើរការផងដែរ ដោយទទួលបានព្រឹត្តិការណ៍តាមពេលវេលាជាក់ស្តែងពី Docker daemon និងរួមបញ្ចូលជាមួយ Falco (មើលខាងក្រោម) ដើម្បីប្រមូលព្រឹត្តិការណ៍សុវត្ថិភាព ខណៈពេលដែលកុងតឺន័រកំពុងដំណើរការ។

KubeXray

វេបសាយ: github.com/jfrog/kubexray
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) ប៉ុន្តែទាមទារទិន្នន័យពី JFrog Xray (ផលិតផលពាណិជ្ជកម្ម)

KubeXray ស្តាប់ព្រឹត្តិការណ៍ពីម៉ាស៊ីនមេ Kubernetes API និងប្រើទិន្នន័យមេតាពី JFrog Xray ដើម្បីធានាថាមានតែផតដែលផ្គូផ្គងគោលការណ៍បច្ចុប្បន្នប៉ុណ្ណោះដែលត្រូវបានចាប់ផ្តើម។

KubeXray មិនត្រឹមតែធ្វើសវនកម្មកុងតឺន័រថ្មី ឬដែលបានធ្វើបច្ចុប្បន្នភាពនៅក្នុងការដាក់ឱ្យប្រើប្រាស់ (ស្រដៀងទៅនឹងឧបករណ៍បញ្ជាការចូលប្រើនៅក្នុង Kubernetes) ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងពិនិត្យមើលថាមវន្តដែលកំពុងដំណើរការកុងតឺន័រសម្រាប់ការអនុលោមតាមគោលការណ៍សុវត្ថិភាពថ្មី ដោយដកធនធានដែលយោងរូបភាពដែលងាយរងគ្រោះចេញ។

សេនីក

វេបសាយ: snyk.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache) និងកំណែពាណិជ្ជកម្ម

Snyk គឺជាម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះមិនធម្មតាដែលវាកំណត់គោលដៅជាពិសេសដំណើរការអភិវឌ្ឍន៍ ហើយត្រូវបានផ្សព្វផ្សាយជា "ដំណោះស្រាយសំខាន់" សម្រាប់អ្នកអភិវឌ្ឍន៍។

Snyk ភ្ជាប់ដោយផ្ទាល់ទៅឃ្លាំងកូដ ញែកគម្រោងបង្ហាញ និងវិភាគកូដដែលបាននាំចូល រួមជាមួយនឹងភាពអាស្រ័យដោយផ្ទាល់ និងដោយប្រយោល។ Snyk គាំទ្រភាសាសរសេរកម្មវិធីដ៏ពេញនិយមជាច្រើន ហើយអាចកំណត់អត្តសញ្ញាណហានិភ័យអាជ្ញាប័ណ្ណដែលលាក់។

មិនស្មោះត្រង់

វេបសាយ: github.com/knqyf263/trivy
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (AGPL)

Trivy គឺជាម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះដ៏សាមញ្ញ ប៉ុន្តែមានអនុភាពសម្រាប់កុងតឺន័រដែលងាយស្រួលបញ្ចូលទៅក្នុងបំពង់ CI/CD ។ លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់របស់វាគឺភាពងាយស្រួលនៃការដំឡើង និងប្រតិបត្តិការរបស់វា៖ កម្មវិធីមានប្រព័ន្ធគោលពីរតែមួយ ហើយមិនត្រូវការការដំឡើងមូលដ្ឋានទិន្នន័យ ឬបណ្ណាល័យបន្ថែមទេ។

គុណវិបត្តិចំពោះភាពសាមញ្ញរបស់ Trivy គឺថាអ្នកត្រូវរកវិធីញែក និងបញ្ជូនលទ្ធផលជាទម្រង់ JSON ដើម្បីឱ្យឧបករណ៍សុវត្ថិភាព Kubernetes ផ្សេងទៀតអាចប្រើវាបាន។

សុវត្ថិភាពពេលដំណើរការនៅក្នុង Kubernetes

Falco

វេបសាយ: falco.org
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Falco គឺជាសំណុំឧបករណ៍សម្រាប់ធានាបរិស្ថានពេលដំណើរការលើពពក។ ជាផ្នែកមួយនៃគ្រួសារគម្រោង ស៊ីអេសអេហ្វ.

ដោយប្រើឧបករណ៍កម្រិតខឺណែលលីនុចរបស់ Sysdig និងការហៅទម្រង់ប្រព័ន្ធ Falco អនុញ្ញាតឱ្យអ្នកចូលជ្រៅទៅក្នុងឥរិយាបថប្រព័ន្ធ។ ម៉ាស៊ីនក្បួនពេលវេលាដំណើរការរបស់វាមានសមត្ថភាពរកឃើញសកម្មភាពគួរឱ្យសង្ស័យនៅក្នុងកម្មវិធី កុងតឺន័រ ម៉ាស៊ីនមូលដ្ឋាន និងឧបករណ៍ភ្លេង Kubernetes ។

Falco ផ្តល់នូវតម្លាភាពពេញលេញនៅក្នុងពេលដំណើរការ និងការរកឃើញការគំរាមកំហែងដោយការដាក់ពង្រាយភ្នាក់ងារពិសេសនៅលើថ្នាំង Kubernetes សម្រាប់គោលបំណងទាំងនេះ។ ជាលទ្ធផល មិនចាំបាច់កែប្រែកុងតឺន័រដោយបញ្ចូលលេខកូដភាគីទីបីទៅក្នុងពួកវា ឬបន្ថែមធុងដាក់ចំហៀងឡើយ។

ក្របខ័ណ្ឌសុវត្ថិភាពលីនុចសម្រាប់ពេលដំណើរការ

ក្របខ័ណ្ឌដើមទាំងនេះសម្រាប់ខឺណែលលីនុចមិនមែនជា "ឧបករណ៍សុវត្ថិភាព Kubernetes" ក្នុងន័យប្រពៃណីទេ ប៉ុន្តែពួកគេមានតម្លៃក្នុងការលើកឡើង ព្រោះវាជាធាតុសំខាន់នៅក្នុងបរិបទនៃសុវត្ថិភាពពេលដំណើរការ ដែលត្រូវបានរួមបញ្ចូលនៅក្នុងគោលការណ៍សុវត្ថិភាព Kubernetes Pod (PSP)។

អាម័រ ភ្ជាប់ទម្រង់សុវត្ថិភាពទៅនឹងដំណើរការដែលកំពុងដំណើរការនៅក្នុងកុងតឺន័រ ការកំណត់សិទ្ធិរបស់ប្រព័ន្ធឯកសារ ច្បាប់ចូលប្រើបណ្តាញ ការតភ្ជាប់បណ្ណាល័យ។ល។ នេះគឺជាប្រព័ន្ធដែលផ្អែកលើការត្រួតពិនិត្យការចូលប្រើជាកាតព្វកិច្ច (MAC)។ ម្យ៉ាងទៀត វារារាំងសកម្មភាពហាមឃាត់មិនឱ្យអនុវត្ត។

លីនុចដែលពង្រឹងសុវត្ថិភាព (SELinux) គឺជាម៉ូឌុលសុវត្ថិភាពកម្រិតខ្ពស់នៅក្នុងខឺណែលលីនុច ដែលស្រដៀងគ្នានៅក្នុងទិដ្ឋភាពមួយចំនួនទៅនឹង AppArmor ហើយជារឿយៗប្រៀបធៀបទៅនឹងវា។ SELinux គឺល្អជាង AppArmor នៅក្នុងថាមពល ភាពបត់បែន និងការប្ដូរតាមបំណង។ គុណវិបត្តិរបស់វាគឺខ្សែកោងរៀនវែង និងបង្កើនភាពស្មុគស្មាញ។

Seccomp និង seccomp-bpf អនុញ្ញាតឱ្យអ្នកត្រងការហៅតាមប្រព័ន្ធ ទប់ស្កាត់ការប្រតិបត្តិនៃកម្មវិធីដែលមានសក្តានុពលគ្រោះថ្នាក់សម្រាប់ប្រព័ន្ធប្រតិបត្តិការមូលដ្ឋាន និងមិនត្រូវការសម្រាប់ប្រតិបត្តិការធម្មតានៃកម្មវិធីអ្នកប្រើប្រាស់។ Seccomp គឺស្រដៀងទៅនឹង Falco នៅក្នុងវិធីមួយចំនួន ទោះបីជាវាមិនដឹងពីលក្ខណៈជាក់លាក់នៃកុងតឺន័រក៏ដោយ។

ប្រភពបើកចំហ Sysdig

វេបសាយ: www.sysdig.com/opensource
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Sysdig គឺជាឧបករណ៍ពេញលេញសម្រាប់វិភាគ វិភាគ និងបំបាត់កំហុសប្រព័ន្ធលីនុច (ក៏ដំណើរការលើ Windows និង macOS ប៉ុន្តែមានមុខងារមានកំណត់)។ វាអាចត្រូវបានប្រើសម្រាប់ការប្រមូលពត៌មានលម្អិត ការផ្ទៀងផ្ទាត់ និងការវិភាគកោសល្យវិច្ច័យ។ (កោសល្យវិច្ច័យ) ប្រព័ន្ធមូលដ្ឋាន និងធុងណាមួយដែលកំពុងដំណើរការលើវា។

Sysdig ក៏គាំទ្រពេលវេលាដំណើរការកុងតឺន័រ និងទិន្នន័យមេតា Kubernetes ដោយបន្ថែមទំហំ និងស្លាកបន្ថែមទៅគ្រប់ព័ត៌មានឥរិយាបថប្រព័ន្ធដែលវាប្រមូល។ មានវិធីជាច្រើនដើម្បីវិភាគចង្កោម Kubernetes ដោយប្រើ Sysdig៖ អ្នកអាចធ្វើការចាប់យកចំណុចតាមពេលវេលាតាមរយៈ ការចាប់យក kubectl ឬបើកដំណើរការចំណុចប្រទាក់អន្តរកម្មផ្អែកលើ ncurses ដោយប្រើកម្មវិធីជំនួយ ជីក kubectl.

សុវត្ថិភាពបណ្តាញ Kubernetes

អាប៉ូតូ

វេបសាយ: www.aporeto.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Aporeto ផ្តល់នូវ "សុវត្ថិភាពដាច់ដោយឡែកពីបណ្តាញ និងហេដ្ឋារចនាសម្ព័ន្ធ"។ នេះមានន័យថាសេវាកម្ម Kubernetes មិនត្រឹមតែទទួលបានលេខសម្គាល់មូលដ្ឋាន (ឧទាហរណ៍ ServiceAccount នៅក្នុង Kubernetes) ប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានលេខសម្គាល់/ស្នាមម្រាមដៃជាសកល ដែលអាចត្រូវបានប្រើដើម្បីទំនាក់ទំនងប្រកបដោយសុវត្ថិភាព និងទៅវិញទៅមកជាមួយសេវាកម្មផ្សេងទៀត ឧទាហរណ៍នៅក្នុងចង្កោម OpenShift ។

Aporeto មានសមត្ថភាពបង្កើតលេខសម្គាល់តែមួយគត់មិនត្រឹមតែសម្រាប់ Kubernetes/containers ប៉ុណ្ណោះទេ ប៉ុន្តែសម្រាប់ម៉ាស៊ីន មុខងារពពក និងអ្នកប្រើប្រាស់ផងដែរ។ អាស្រ័យលើការកំណត់អត្តសញ្ញាណទាំងនេះ និងសំណុំនៃច្បាប់សុវត្ថិភាពបណ្តាញដែលកំណត់ដោយអ្នកគ្រប់គ្រង ការទំនាក់ទំនងនឹងត្រូវបានអនុញ្ញាត ឬរារាំង។

កាលីកូ។

វេបសាយ: www.projectcalico.org
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Calico ជាធម្មតាត្រូវបានដាក់ពង្រាយកំឡុងពេលដំឡើងកុងតឺន័រ orchestrator ដែលអនុញ្ញាតឱ្យអ្នកបង្កើតបណ្តាញនិម្មិតដែលភ្ជាប់កុងតឺន័រ។ បន្ថែមពីលើមុខងារបណ្តាញមូលដ្ឋាននេះ គម្រោង Calico ដំណើរការជាមួយគោលការណ៍បណ្តាញ Kubernetes និងសំណុំផ្ទាល់ខ្លួននៃទម្រង់សុវត្ថិភាពបណ្តាញ គាំទ្រ ACLs ចំណុចបញ្ចប់ (បញ្ជីត្រួតពិនិត្យការចូលប្រើ) និងច្បាប់សុវត្ថិភាពបណ្តាញផ្អែកលើចំណារពន្យល់សម្រាប់ចរាចរចូល និងច្រកចូល។

ស៊ីលីញ៉ូម

វេបសាយ: www.cilium.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Cilium ដើរតួនាទីជាជញ្ជាំងភ្លើងសម្រាប់កុងតឺន័រ និងផ្តល់នូវមុខងារសុវត្ថិភាពបណ្តាញដែលតម្រូវតាមលំនាំដើមទៅនឹងបន្ទុកការងារ Kubernetes និង microservices ។ Cilium ប្រើបច្ចេកវិទ្យាខឺណែលលីនុចថ្មីហៅថា BPF (Berkeley Packet Filter) ដើម្បីត្រង ត្រួតពិនិត្យ ប្តូរទិស និងកែតម្រូវទិន្នន័យ។

Cilium មានសមត្ថភាពដាក់ពង្រាយគោលការណ៍ចូលប្រើបណ្តាញដោយផ្អែកលើលេខសម្គាល់កុងតឺន័រដោយប្រើស្លាក Docker ឬ Kubernetes និងទិន្នន័យមេតា។ Cilium ក៏យល់ និងត្រងពិធីការ Layer 7 ផ្សេងៗដូចជា HTTP ឬ gRPC ដែលអនុញ្ញាតឱ្យអ្នកកំណត់សំណុំនៃការហៅ REST ដែលនឹងត្រូវបានអនុញ្ញាតរវាងការដាក់ពង្រាយ Kubernetes ពីរ។

អ៊ីស៊ីអូ

វេបសាយ: istio.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Istio ត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយសម្រាប់ការអនុវត្តគំរូនៃសេវាសំណាញ់ដោយការដាក់ពង្រាយយន្តហោះគ្រប់គ្រងឯករាជ្យនៃវេទិកា និងបញ្ជូនចរាចរណ៍សេវាកម្មដែលបានគ្រប់គ្រងទាំងអស់តាមរយៈប្រូកស៊ី Envoy ដែលអាចកំណត់រចនាសម្ព័ន្ធថាមវន្ត។ Istio ទាញយកអត្ថប្រយោជន៍ពីទិដ្ឋភាពកម្រិតខ្ពស់នៃសេវាកម្មមីក្រូ និងកុងតឺន័រទាំងអស់ ដើម្បីអនុវត្តយុទ្ធសាស្ត្រសុវត្ថិភាពបណ្តាញផ្សេងៗ។

សមត្ថភាពសុវត្ថិភាពបណ្តាញរបស់ Istio រួមមានការអ៊ិនគ្រីប TLS ប្រកបដោយតម្លាភាព ដើម្បីធ្វើឱ្យប្រសើរឡើងដោយស្វ័យប្រវត្តិនូវការទំនាក់ទំនងរវាងមីក្រូសេវាទៅ HTTPS និងប្រព័ន្ធកំណត់អត្តសញ្ញាណ និងសិទ្ធិ RBAC ដែលមានកម្មសិទ្ធិ ដើម្បីអនុញ្ញាត/បដិសេធការទំនាក់ទំនងរវាងបន្ទុកការងារផ្សេងៗគ្នានៅក្នុងចង្កោម។

ចំណាំ។ បកប្រែ៖ ដើម្បីស្វែងយល់បន្ថែមអំពីសមត្ថភាពផ្តោតលើសុវត្ថិភាពរបស់ Istio សូមអាន អត្ថបទនេះ.

ខ្លា

វេបសាយ: www.tigera.io
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

ហៅថា "ជញ្ជាំងភ្លើង Kubernetes" ដំណោះស្រាយនេះសង្កត់ធ្ងន់លើវិធីសាស្រ្តគ្មានការទុកចិត្តចំពោះសុវត្ថិភាពបណ្តាញ។

ស្រដៀងទៅនឹងដំណោះស្រាយបណ្តាញ Kubernetes ដើមផ្សេងទៀត Tigera ពឹងផ្អែកលើទិន្នន័យមេតាដើម្បីកំណត់អត្តសញ្ញាណសេវាកម្ម និងវត្ថុផ្សេងៗនៅក្នុងចង្កោម ហើយផ្តល់នូវការរកឃើញបញ្ហាពេលដំណើរការ ការត្រួតពិនិត្យការអនុលោមភាពជាបន្ត និងលទ្ធភាពមើលឃើញបណ្តាញសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធពហុពពក ឬ monolithic-containerized កូនកាត់។

ទ្រីម

វេបសាយ: www.aporeto.com/opensource
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Trireme-Kubernetes គឺជាការអនុវត្តដ៏សាមញ្ញ និងត្រង់នៃការបញ្ជាក់អំពីគោលការណ៍បណ្តាញ Kubernetes ។ លក្ខណៈពិសេសដែលគួរឱ្យកត់សម្គាល់បំផុតគឺថា - មិនដូចផលិតផលសុវត្ថិភាពបណ្តាញ Kubernetes ស្រដៀងគ្នា - វាមិនតម្រូវឱ្យមានយន្តហោះគ្រប់គ្រងកណ្តាលដើម្បីសម្របសម្រួលសំណាញ់នោះទេ។ នេះធ្វើឱ្យដំណោះស្រាយតូចតាចអាចធ្វើមាត្រដ្ឋានបាន។ នៅក្នុង Trireme នេះត្រូវបានសម្រេចដោយការដំឡើងភ្នាក់ងារនៅលើថ្នាំងនីមួយៗដែលភ្ជាប់ដោយផ្ទាល់ទៅជង់ TCP/IP របស់ម៉ាស៊ីន។

ការផ្សព្វផ្សាយរូបភាព និងការគ្រប់គ្រងអាថ៌កំបាំង

Grafeas

វេបសាយ: grafeas.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Grafeas គឺជាប្រភពបើកចំហ API សម្រាប់ការត្រួតពិនិត្យ និងការគ្រប់គ្រងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។ នៅកម្រិតមូលដ្ឋាន Grafeas គឺជាឧបករណ៍សម្រាប់ប្រមូលទិន្នន័យមេតា និងការរកឃើញសវនកម្ម។ វាអាចត្រូវបានប្រើដើម្បីតាមដានការអនុលោមតាមការអនុវត្តល្អបំផុតផ្នែកសុវត្ថិភាពនៅក្នុងស្ថាប័នមួយ។

ប្រភពនៃការពិតកណ្តាលនេះជួយឆ្លើយសំណួរដូចជា៖

តើអ្នកណាបានប្រមូល និងចុះហត្ថលេខាសម្រាប់កុងតឺន័រជាក់លាក់មួយ?
តើវាបានឆ្លងកាត់ការស្កេន និងការត្រួតពិនិត្យសុវត្ថិភាពទាំងអស់ដែលតម្រូវដោយគោលការណ៍សុវត្ថិភាពដែរឬទេ? ពេលណា? តើលទ្ធផលអ្វីខ្លះ?
តើអ្នកណាយកវាទៅផលិត? តើប៉ារ៉ាម៉ែត្រជាក់លាក់ណាខ្លះត្រូវបានប្រើក្នុងពេលដាក់ពង្រាយ?

ក្នុង-តូតូ

វេបសាយ: នៅក្នុង-toto.github.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

In-toto គឺជាក្របខ័ណ្ឌដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវភាពត្រឹមត្រូវ ការផ្ទៀងផ្ទាត់ និងសវនកម្មនៃខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីទាំងមូល។ នៅពេលដាក់ពង្រាយ In-toto នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ ផែនការមួយត្រូវបានកំណត់ដំបូងដែលពិពណ៌នាអំពីជំហានផ្សេងៗនៅក្នុងបំពង់បង្ហូរប្រេង (ឃ្លាំង ឧបករណ៍ CI/CD ឧបករណ៍ QA ឧបករណ៍ប្រមូលវត្ថុបុរាណ។ល។) និងអ្នកប្រើប្រាស់ (អ្នកទទួលខុសត្រូវ) ដែលត្រូវបានអនុញ្ញាតឱ្យ ផ្តួចផ្តើមពួកគេ។

In-toto ត្រួតពិនិត្យការអនុវត្តផែនការ ដោយផ្ទៀងផ្ទាត់ថាការងារនីមួយៗនៅក្នុងខ្សែសង្វាក់ត្រូវបានអនុវត្តយ៉ាងត្រឹមត្រូវដោយបុគ្គលិកដែលមានការអនុញ្ញាតតែប៉ុណ្ណោះ ហើយមិនមានឧបាយកលដែលមិនមានការអនុញ្ញាតត្រូវបានអនុវត្តជាមួយផលិតផលក្នុងអំឡុងពេលធ្វើចលនានោះទេ។

Portieris

វេបសាយ: github.com/IBM/portieris
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Portieris គឺជាឧបករណ៍ត្រួតពិនិត្យការចូលសម្រាប់ Kubernetes; ប្រើដើម្បីពង្រឹងការត្រួតពិនិត្យការជឿទុកចិត្តលើខ្លឹមសារ។ Portieris ប្រើម៉ាស៊ីនមេ សារការី។ (យើងបានសរសេរអំពីគាត់នៅចុងបញ្ចប់ អត្ថបទនេះ - ប្រហែល ការបកប្រែ) ជាប្រភពនៃសេចក្តីពិតដើម្បីធ្វើសុពលភាពវត្ថុបុរាណដែលគួរឱ្យទុកចិត្ត និងចុះហត្ថលេខា (ឧ. រូបភាពកុងតឺន័រដែលបានអនុម័ត)។

នៅពេលដែលបន្ទុកការងារត្រូវបានបង្កើត ឬកែប្រែនៅក្នុង Kubernetes Portieris ទាញយកព័ត៌មានចុះហត្ថលេខា និងគោលការណ៍ទុកចិត្តខ្លឹមសារសម្រាប់រូបភាពកុងតឺន័រដែលបានស្នើសុំ ហើយប្រសិនបើចាំបាច់ ធ្វើការផ្លាស់ប្តូរភ្លាមៗចំពោះវត្ថុ JSON API ដើម្បីដំណើរការកំណែដែលបានចុះហត្ថលេខានៃរូបភាពទាំងនោះ។

ទូដែក

វេបសាយ: www.vaultproject.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (MPL)

Vault គឺជាដំណោះស្រាយសុវត្ថិភាពសម្រាប់ការរក្សាទុកព័ត៌មានឯកជន៖ ពាក្យសម្ងាត់ និមិត្តសញ្ញា OAuth វិញ្ញាបនបត្រ PKI គណនីចូលប្រើ អាថ៌កំបាំង Kubernetes ជាដើម។ Vault គាំទ្រមុខងារកម្រិតខ្ពស់ជាច្រើន ដូចជាការជួលថូខឹនសុវត្ថិភាពដោយចៃដន្យ ឬរៀបចំការបង្វិលគ្រាប់ចុច។

ដោយប្រើគំនូសតាង Helm Vault អាចត្រូវបានដាក់ពង្រាយជាការដាក់ពង្រាយថ្មីនៅក្នុងចង្កោម Kubernetes ជាមួយកុងស៊ុលជាកន្លែងផ្ទុកខាងក្រោយ។ វាគាំទ្រធនធាន Kubernetes ដើមដូចជា ServiceAccount tokens ហើយថែមទាំងអាចដើរតួជាហាងលំនាំដើមសម្រាប់អាថ៌កំបាំង Kubernetes ផងដែរ។

ចំណាំ។ បកប្រែ៖ ដោយវិធីនេះ កាលពីម្សិលមិញក្រុមហ៊ុន HashiCorp ដែលអភិវឌ្ឍ Vault បានប្រកាសពីការកែលម្អមួយចំនួនសម្រាប់ការប្រើប្រាស់ Vault នៅក្នុង Kubernetes ហើយជាពិសេសវាទាក់ទងនឹងតារាង Helm ។ អានបន្ថែមនៅក្នុង ប្លុកអ្នកអភិវឌ្ឍន៍.

សវនកម្មសុវត្ថិភាព Kubernetes

Kube-លេងជាកីឡាករបម្រុង

វេបសាយ: github.com/aquasecurity/kube-bench
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Kube-bench គឺជាកម្មវិធី Go ដែលពិនិត្យមើលថាតើ Kubernetes ត្រូវបានដាក់ពង្រាយដោយសុវត្ថិភាពដោយដំណើរការតេស្តពីបញ្ជីដែរឬទេ CIS Kubernetes Benchmark.

Kube-bench រកមើលការកំណត់រចនាសម្ព័ន្ធដែលមិនមានសុវត្ថិភាពក្នុងចំណោមសមាសធាតុចង្កោម (etcd, API, controller manager, etc.) សិទ្ធិចូលប្រើឯកសារដែលអាចសួរបាន គណនីដែលមិនបានការពារ ឬច្រកបើក កូតាធនធាន ការកំណត់សម្រាប់កំណត់ចំនួននៃការហៅ API ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារ DoS ល។

Kube-ហិនទ័រ

វេបសាយ: github.com/aquasecurity/kube-hunter
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Kube-hunter ស្វែងរកភាពងាយរងគ្រោះដែលអាចកើតមាន (ដូចជាការប្រតិបត្តិលេខកូដពីចម្ងាយ ឬការបង្ហាញទិន្នន័យ) នៅក្នុងក្រុម Kubernetes ។ Kube-hunter អាចដំណើរការជាម៉ាស៊ីនស្កេនពីចម្ងាយ ក្នុងករណីនេះវានឹងវាយតម្លៃចង្កោមពីចំណុចនៃទិដ្ឋភាពរបស់អ្នកវាយប្រហារភាគីទីបី ឬជាផតនៅខាងក្នុងចង្កោម។

លក្ខណៈពិសេសប្លែករបស់ Kube-hunter គឺជារបៀប "ការបរបាញ់សកម្ម" របស់វា ក្នុងអំឡុងពេលដែលវាមិនត្រឹមតែរាយការណ៍បញ្ហាប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងព្យាយាមទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះដែលបានរកឃើញនៅក្នុងចង្កោមគោលដៅដែលអាចបង្កគ្រោះថ្នាក់ដល់ប្រតិបត្តិការរបស់វា។ ដូច្នេះប្រើដោយប្រុងប្រយ័ត្ន!

Kubeaudit

វេបសាយ: github.com/Shopify/kubeaudit
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (MIT)

Kubeaudit គឺជាឧបករណ៍កុងសូលដែលបង្កើតឡើងដំបូងនៅ Shopify ដើម្បីត្រួតពិនិត្យការកំណត់រចនាសម្ព័ន្ធ Kubernetes សម្រាប់បញ្ហាសុវត្ថិភាពផ្សេងៗ។ ជាឧទាហរណ៍ វាជួយកំណត់អត្តសញ្ញាណកុងតឺន័រដែលកំពុងដំណើរការមិនកំណត់ ដំណើរការជា root បំពានសិទ្ធិ ឬប្រើគណនី ServiceAccount លំនាំដើម។

Kubeaudit មានលក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍ផ្សេងទៀត។ ជាឧទាហរណ៍ វាអាចវិភាគឯកសារ YAML មូលដ្ឋាន កំណត់អត្តសញ្ញាណកំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធដែលអាចនាំឱ្យមានបញ្ហាសុវត្ថិភាព និងជួសជុលពួកវាដោយស្វ័យប្រវត្តិ។

គូបេសេក

វេបសាយ: kubesec.io
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

Kubesec គឺជាឧបករណ៍ពិសេសមួយដែលវាស្កែនឯកសារ YAML ដោយផ្ទាល់ ដែលពិពណ៌នាអំពីធនធាន Kubernetes ដោយស្វែងរកប៉ារ៉ាម៉ែត្រខ្សោយដែលអាចប៉ះពាល់ដល់សុវត្ថិភាព។

ឧទាហរណ៍ វាអាចរកឃើញសិទ្ធិ និងការអនុញ្ញាតលើសលប់ដែលផ្តល់ទៅឱ្យផត ដំណើរការកុងតឺន័រជាមួយឫសជាអ្នកប្រើប្រាស់លំនាំដើម ភ្ជាប់ទៅបណ្តាញឈ្មោះរបស់ម៉ាស៊ីន ឬម៉ោនគ្រោះថ្នាក់ដូចជា /proc ម៉ាស៊ីនឬរន្ធ Docker ។ លក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍មួយទៀតរបស់ Kubesec គឺសេវាសាកល្បងដែលមាននៅលើអ៊ីនធឺណិត ដែលអ្នកអាចបង្ហោះ YAML ហើយវិភាគវាភ្លាមៗ។

បើកភ្នាក់ងារគោលនយោបាយ

វេបសាយ: www.openpolicyagent.org
អាជ្ញាប័ណ្ណ៖ ឥតគិតថ្លៃ (Apache)

គោលគំនិតនៃ OPA (Open Policy Agent) គឺដើម្បីបំបែកគោលនយោបាយសុវត្ថិភាព និងការអនុវត្តល្អបំផុតពីប្រព័ន្ធដំណើរការជាក់លាក់មួយ៖ Docker, Kubernetes, Mesosphere, OpenShift ឬការរួមបញ្ចូលគ្នាណាមួយ។

ឧទាហរណ៍ អ្នកអាចដាក់ឱ្យប្រើប្រាស់ OPA ជាផ្នែកខាងក្រោយសម្រាប់ឧបករណ៍បញ្ជាការចូលប្រើប្រាស់ Kubernetes ដោយផ្ទេរការសម្រេចចិត្តផ្នែកសុវត្ថិភាពទៅឱ្យវា។ វិធីនេះ ភ្នាក់ងារ OPA អាចផ្តល់សុពលភាព បដិសេធ និងសូម្បីតែកែប្រែសំណើភ្លាមៗ ដោយធានាថា ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពដែលបានបញ្ជាក់ត្រូវបានបំពេញ។ គោលការណ៍សុវត្ថិភាពរបស់ OPA ត្រូវបានសរសេរជាភាសា DSL ដែលមានកម្មសិទ្ធិរបស់ខ្លួន Rego ។

ចំណាំ។ បកប្រែ៖ យើងបានសរសេរបន្ថែមអំពី OPA (និង SPIFFE) នៅក្នុង សម្ភារៈនេះ.

ឧបករណ៍ពាណិជ្ជកម្មដ៏ទូលំទូលាយសម្រាប់ការវិភាគសុវត្ថិភាព Kubernetes

យើងបានសម្រេចចិត្តបង្កើតប្រភេទដាច់ដោយឡែកមួយសម្រាប់វេទិកាពាណិជ្ជកម្ម ព្រោះវាជាធម្មតាគ្របដណ្តប់តំបន់សុវត្ថិភាពជាច្រើន។ គំនិតទូទៅនៃសមត្ថភាពរបស់ពួកគេអាចទទួលបានពីតារាង៖

* ការពិនិត្យកម្រិតខ្ពស់ និងការវិភាគលើសាកសពដោយពេញលេញ ការលួចហៅប្រព័ន្ធ.

សន្តិសុខ Aqua

វេបសាយ: www.aquasec.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

ឧបករណ៍ពាណិជ្ជកម្មនេះត្រូវបានរចនាឡើងសម្រាប់កុងតឺន័រ និងបន្ទុកការងារលើពពក។ វាផ្តល់ៈ

ការស្កេនរូបភាពរួមបញ្ចូលជាមួយការចុះបញ្ជីកុងតឺន័រ ឬបំពង់បង្ហូរ CI/CD;
ការការពារពេលដំណើរការជាមួយនឹងការស្វែងរកការផ្លាស់ប្តូរនៅក្នុងធុងនិងសកម្មភាពគួរឱ្យសង្ស័យផ្សេងទៀត;
កុងតឺន័រ - ជញ្ជាំងភ្លើងដើម;
សុវត្ថិភាពសម្រាប់ serverless នៅក្នុងសេវាកម្ម cloud;
ការធ្វើតេស្តអនុលោមភាព និងសវនកម្មរួមជាមួយនឹងការកត់ត្រាព្រឹត្តិការណ៍។

ចំណាំ។ បកប្រែ៖ វាក៏គួរអោយកត់សំគាល់ផងដែរថាមាន សមាសធាតុឥតគិតថ្លៃនៃផលិតផលដែលហៅថា មីក្រូស្កែនដែលអនុញ្ញាតឱ្យអ្នកស្កេនរូបភាពធុងសម្រាប់ភាពងាយរងគ្រោះ។ ការប្រៀបធៀបសមត្ថភាពរបស់វាជាមួយនឹងកំណែបង់ប្រាក់ត្រូវបានបង្ហាញនៅក្នុង តារាងនេះ។.

កន្សោម ៣

វេបសាយ: capsule8.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Capsule8 រួមបញ្ចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដោយដំឡើងឧបករណ៍រាវរកនៅលើមូលដ្ឋាន ឬ cloud Kubernetes cluster ។ ឧបករណ៍ចាប់សញ្ញានេះប្រមូល host និង telemetry បណ្តាញ ដោយភ្ជាប់វាជាមួយនឹងប្រភេទផ្សេងៗនៃការវាយប្រហារ។

ក្រុម Capsule8 មើលឃើញថាភារកិច្ចរបស់ខ្លួនជាការរកឃើញដំបូង និងការការពារការវាយប្រហារដោយប្រើថ្មី។ (0 ថ្ងៃ) ភាពងាយរងគ្រោះ។ Capsule8 អាចទាញយកច្បាប់សុវត្ថិភាពដែលបានធ្វើបច្ចុប្បន្នភាពដោយផ្ទាល់ទៅកាន់ឧបករណ៍ចាប់សញ្ញា ដើម្បីឆ្លើយតបទៅនឹងការគំរាមកំហែងដែលបានរកឃើញថ្មីៗ និងភាពងាយរងគ្រោះនៃកម្មវិធី។

ខាវីរិន

វេបសាយ: www.cavirin.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Cavirin ដើរតួជាអ្នកម៉ៅការខាងក្រុមហ៊ុនសម្រាប់ភ្នាក់ងារផ្សេងៗដែលពាក់ព័ន្ធនឹងស្តង់ដារសុវត្ថិភាព។ វាមិនត្រឹមតែអាចស្កែនរូបភាពប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏អាចបញ្ចូលទៅក្នុងបំពង់ CI/CD ដោយរារាំងរូបភាពមិនស្តង់ដារ មុនពេលពួកវាចូលទៅក្នុងឃ្លាំងបិទ។

ឈុតសុវត្ថិភាពរបស់ Cavirin ប្រើប្រាស់ machine learning ដើម្បីវាយតម្លៃឥរិយាបថសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់អ្នក ដោយផ្តល់នូវគន្លឹះដើម្បីកែលម្អសុវត្ថិភាព និងកែលម្អការអនុលោមតាមស្តង់ដារសុវត្ថិភាព។

មជ្ឈមណ្ឌលបញ្ជាសុវត្ថិភាព Google Cloud

វេបសាយ: cloud.google.com/security-command-center
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Cloud Security Command Center ជួយក្រុមសន្តិសុខប្រមូលទិន្នន័យ កំណត់អត្តសញ្ញាណការគំរាមកំហែង និងលុបបំបាត់ពួកវាមុនពេលពួកគេបង្កគ្រោះថ្នាក់ដល់ក្រុមហ៊ុន។

ដូចដែលឈ្មោះបានបង្ហាញ Google Cloud SCC គឺជាផ្ទាំងបញ្ជាដែលបង្រួបបង្រួម ដែលអាចរួមបញ្ចូល និងគ្រប់គ្រងរបាយការណ៍សុវត្ថិភាពផ្សេងៗ ម៉ាស៊ីនគណនេយ្យទ្រព្យសកម្ម និងប្រព័ន្ធសុវត្ថិភាពភាគីទីបីពីប្រភពតែមួយ ដែលមានមជ្ឈការ។

API ដែលអាចដំណើរការបានដែលផ្តល់ដោយ Google Cloud SCC ធ្វើឱ្យវាងាយស្រួលក្នុងការរួមបញ្ចូលព្រឹត្តិការណ៍សុវត្ថិភាពដែលមកពីប្រភពផ្សេងៗដូចជា Sysdig Secure (សុវត្ថិភាពកុងតឺន័រសម្រាប់កម្មវិធីដែលមានមូលដ្ឋានលើពពក) ឬ Falco (សុវត្ថិភាពពេលដំណើរការប្រភពបើកចំហ)។

ការយល់ដឹងជាស្រទាប់ (គុណភាព)

វេបសាយ: layeredinsight.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Layered Insight (ឥឡូវជាផ្នែកមួយនៃ Qualys Inc) ត្រូវបានបង្កើតឡើងនៅលើគោលគំនិតនៃ "សុវត្ថិភាពដែលបានបង្កប់" ។ បន្ទាប់ពីស្កេនរូបភាពដើមសម្រាប់ភាពងាយរងគ្រោះដោយប្រើការវិភាគស្ថិតិ និងការត្រួតពិនិត្យ CVE នោះ Layered Insight ជំនួសវាដោយរូបភាពឧបករណ៍ដែលរួមបញ្ចូលភ្នាក់ងារជាប្រព័ន្ធគោលពីរ។

ភ្នាក់ងារនេះមានការធ្វើតេស្តសុវត្ថិភាពពេលដំណើរការ ដើម្បីវិភាគចរាចរណ៍បណ្តាញកុងតឺន័រ លំហូរ I/O និងសកម្មភាពកម្មវិធី។ លើសពីនេះទៀត វាអាចធ្វើការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែមដែលបញ្ជាក់ដោយអ្នកគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ ឬក្រុម DevOps ។

NeuVector

វេបសាយ: neuvector.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

NeuVector ពិនិត្យសុវត្ថិភាពកុងតឺន័រ និងផ្តល់ការការពារពេលដំណើរការដោយការវិភាគសកម្មភាពបណ្តាញ និងឥរិយាបថកម្មវិធី បង្កើតទម្រង់សុវត្ថិភាពបុគ្គលសម្រាប់កុងតឺន័រនីមួយៗ។ វាក៏អាចទប់ស្កាត់ការគំរាមកំហែងដោយខ្លួនឯង ដោយបំបែកសកម្មភាពគួរឱ្យសង្ស័យដោយការផ្លាស់ប្តូរច្បាប់ជញ្ជាំងភ្លើងក្នុងតំបន់។

ការរួមបញ្ចូលបណ្តាញរបស់ NeuVector ដែលត្រូវបានគេស្គាល់ថាជា Security Mesh មានសមត្ថភាពនៃការវិភាគកញ្ចប់ព័ត៌មានយ៉ាងស៊ីជម្រៅ និងការត្រងស្រទាប់ទី 7 សម្រាប់ការតភ្ជាប់បណ្តាញទាំងអស់នៅក្នុងបណ្តាញសេវា។

ស្តេចស្តុក

វេបសាយ: www.stackrox.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

វេទិកាសុវត្ថិភាពកុងតឺន័រ StackRox ខិតខំគ្របដណ្តប់វដ្តជីវិតទាំងមូលនៃកម្មវិធី Kubernetes នៅក្នុងចង្កោមមួយ។ ដូចជាវេទិកាពាណិជ្ជកម្មផ្សេងទៀតនៅក្នុងបញ្ជីនេះ StackRox បង្កើតទម្រង់ពេលវេលាដំណើរការដោយផ្អែកលើឥរិយាបថកុងតឺន័រដែលបានសង្កេត និងបង្កើនសំឡេងរោទិ៍ដោយស្វ័យប្រវត្តិសម្រាប់គម្លាតណាមួយ។

លើសពីនេះទៀត StackRox វិភាគការកំណត់រចនាសម្ព័ន្ធ Kubernetes ដោយប្រើ Kubernetes CIS និងសៀវភៅក្បួនផ្សេងទៀតដើម្បីវាយតម្លៃការអនុលោមតាមកុងតឺន័រ។

Sysdig សុវត្ថិភាព

វេបសាយ: sysdig.com/products/secure
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Sysdig Secure ការពារកម្មវិធីទូទាំងកុងតឺន័រទាំងមូល និងវដ្តជីវិត Kubernetes ។ គាត់ ស្កេនរូបភាព ធុង, ផ្តល់ ការការពារពេលដំណើរការ យោងតាមទិន្នន័យរៀនម៉ាស៊ីនអនុវត្តក្រែម។ ជំនាញដើម្បីកំណត់ភាពងាយរងគ្រោះ ទប់ស្កាត់ការគំរាមកំហែង ការត្រួតពិនិត្យ ការអនុលោមតាមស្តង់ដារដែលបានបង្កើតឡើង និងសកម្មភាពសវនកម្មនៅក្នុងសេវាមីក្រូ។

Sysdig Secure រួមបញ្ចូលជាមួយឧបករណ៍ CI/CD ដូចជា Jenkins និងគ្រប់គ្រងរូបភាពដែលបានផ្ទុកពីបញ្ជីឈ្មោះ Docker ដោយការពាររូបភាពគ្រោះថ្នាក់ពីការលេចចេញនៅក្នុងការផលិត។ វាក៏ផ្តល់នូវសុវត្ថិភាពពេលដំណើរការដ៏ទូលំទូលាយផងដែរ រួមទាំង៖

ការកំណត់ទម្រង់ពេលដំណើរការដែលមានមូលដ្ឋានលើ ML និងការរកឃើញភាពមិនប្រក្រតី;
គោលការណ៍ពេលដំណើរការដោយផ្អែកលើព្រឹត្តិការណ៍ប្រព័ន្ធ K8s-audit API គម្រោងសហគមន៍រួមគ្នា (FIM - ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃឯកសារ; cryptojacking) និងក្របខ័ណ្ឌ MITER ATT&CK;
ការឆ្លើយតប និងការដោះស្រាយឧប្បត្តិហេតុ។

សុវត្ថិភាពកុងតឺន័រដែលអាចបត់បែនបាន។

វេបសាយ: www.tenable.com/products/tenable-io/container-security
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

មុនពេលការមកដល់នៃកុងតឺន័រ Tenable ត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយនៅក្នុងឧស្សាហកម្មនេះថាជាក្រុមហ៊ុននៅពីក្រោយ Nessus ដែលជាឧបករណ៍ស្វែងរកភាពងាយរងគ្រោះ និងសវនកម្មសុវត្ថិភាពដ៏ពេញនិយម។

Tenable Container Security ប្រើប្រាស់ជំនាញសុវត្ថិភាពកុំព្យូទ័ររបស់ក្រុមហ៊ុនដើម្បីរួមបញ្ចូលបំពង់ CI/CD ជាមួយនឹងមូលដ្ឋានទិន្នន័យដែលងាយរងគ្រោះ កញ្ចប់ស្វែងរកមេរោគពិសេស និងការណែនាំសម្រាប់ដោះស្រាយការគំរាមកំហែងផ្នែកសុវត្ថិភាព។

Twistlock (បណ្តាញ Palo Alto)

វេបសាយ: www.twistlock.com
អាជ្ញាប័ណ្ណ៖ ពាណិជ្ជកម្ម

Twistlock ផ្សព្វផ្សាយខ្លួនវាថាជាវេទិកាមួយដែលផ្តោតលើសេវាកម្មពពក និងធុង។ Twistlock គាំទ្រអ្នកផ្តល់សេវាពពកផ្សេងៗ (AWS, Azure, GCP) អ្នករៀបចំកុងតឺន័រ (Kubernetes, Mesospehere, OpenShift, Docker) ពេលវេលាដំណើរការគ្មានម៉ាស៊ីនមេ ក្របខណ្ឌសំណាញ់ និងឧបករណ៍ CI/CD ។

បន្ថែមពីលើបច្ចេកទេសសុវត្ថិភាពកម្រិតសហគ្រាសធម្មតាដូចជាការរួមបញ្ចូលបំពង់ CI/CD ឬការស្កេនរូបភាព Twistlock ប្រើការរៀនម៉ាស៊ីនដើម្បីបង្កើតគំរូអាកប្បកិរិយាជាក់លាក់នៃកុងតឺន័រ និងច្បាប់បណ្តាញ។

មួយរយៈមុន Twistlock ត្រូវបានទិញដោយ Palo Alto Networks ដែលជាម្ចាស់គម្រោង Evident.io និង RedLock ។ គេមិនទាន់ដឹងថា តើវេទិកាទាំងបីនេះ នឹងត្រូវបញ្ចូលទៅក្នុងរបៀបណានោះទេ។ PRISMA ពី Palo Alto ។

ជួយបង្កើតកាតាឡុកដ៏ល្អបំផុតនៃឧបករណ៍សុវត្ថិភាព Kubernetes!

យើងខិតខំធ្វើឱ្យកាតាឡុកនេះពេញលេញតាមដែលអាចធ្វើទៅបាន ហើយសម្រាប់រឿងនេះ យើងត្រូវការជំនួយរបស់អ្នក! ទាក់ទងមកពួកយើង (@sysdig) ប្រសិនបើអ្នកមានឧបករណ៍ដ៏ត្រជាក់មួយនៅក្នុងចិត្ត ដែលសក្តិសមក្នុងការដាក់បញ្ចូលក្នុងបញ្ជីនេះ ឬអ្នករកឃើញកំហុស/ព័ត៌មានហួសសម័យ។

អ្នកក៏អាចជាវប្រចាំរបស់យើង។ ព្រឹត្តិប័ត្រព័ត៌មានប្រចាំខែ ជាមួយនឹងព័ត៌មានពីប្រព័ន្ធអេកូដើមកំណើតពពក និងរឿងរ៉ាវអំពីគម្រោងគួរឱ្យចាប់អារម្មណ៍ពីពិភពសុវត្ថិភាព Kubernetes ។

PS ពីអ្នកបកប្រែ

សូមអានផងដែរនៅលើប្លក់របស់យើង៖

ប្រភព: www.habr.com

ឧបករណ៍សុវត្ថិភាព Kubernetes 33+