ಸೂಚನೆ. ಅನುವಾದ.: ಕುಬರ್ನೆಟ್ಸ್-ಆಧಾರಿತ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ಭದ್ರತೆಯ ಬಗ್ಗೆ ನೀವು ಆಶ್ಚರ್ಯ ಪಡುತ್ತಿದ್ದರೆ, ಸಿಸ್ಡಿಗ್ನ ಈ ಅತ್ಯುತ್ತಮ ಅವಲೋಕನವು ಪ್ರಸ್ತುತ ಪರಿಹಾರಗಳ ತ್ವರಿತ ನೋಟಕ್ಕಾಗಿ ಉತ್ತಮ ಆರಂಭಿಕ ಹಂತವಾಗಿದೆ. ಇದು ಪ್ರಸಿದ್ಧ ಮಾರುಕಟ್ಟೆ ಆಟಗಾರರಿಂದ ಸಂಕೀರ್ಣ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವ ಹೆಚ್ಚು ಸಾಧಾರಣ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಮತ್ತು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ, ಯಾವಾಗಲೂ, ಈ ಪರಿಕರಗಳನ್ನು ಬಳಸುವ ನಿಮ್ಮ ಅನುಭವದ ಬಗ್ಗೆ ಕೇಳಲು ಮತ್ತು ಇತರ ಯೋಜನೆಗಳಿಗೆ ಲಿಂಕ್ಗಳನ್ನು ನೋಡಲು ನಾವು ಸಂತೋಷಪಡುತ್ತೇವೆ.
ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ಸಾಫ್ಟ್ವೇರ್ ಉತ್ಪನ್ನಗಳು... ಅವುಗಳಲ್ಲಿ ಹಲವು ಇವೆ, ಪ್ರತಿಯೊಂದೂ ತನ್ನದೇ ಆದ ಗುರಿಗಳು, ವ್ಯಾಪ್ತಿ ಮತ್ತು ಪರವಾನಗಿಗಳನ್ನು ಹೊಂದಿದೆ.
ಅದಕ್ಕಾಗಿಯೇ ನಾವು ಈ ಪಟ್ಟಿಯನ್ನು ರಚಿಸಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ ಮತ್ತು ವಿವಿಧ ಮಾರಾಟಗಾರರಿಂದ ಮುಕ್ತ ಮೂಲ ಯೋಜನೆಗಳು ಮತ್ತು ವಾಣಿಜ್ಯ ವೇದಿಕೆಗಳನ್ನು ಸೇರಿಸಿದ್ದೇವೆ. ನಿಮ್ಮ ನಿರ್ದಿಷ್ಟ ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ಅಗತ್ಯಗಳ ಆಧಾರದ ಮೇಲೆ ಹೆಚ್ಚು ಆಸಕ್ತಿ ಹೊಂದಿರುವವರನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಸರಿಯಾದ ದಿಕ್ಕಿನಲ್ಲಿ ನಿಮ್ಮನ್ನು ಸೂಚಿಸಲು ಇದು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ ಎಂದು ನಾವು ಭಾವಿಸುತ್ತೇವೆ.
ವರ್ಗಗಳು
ನ್ಯಾವಿಗೇಟ್ ಮಾಡಲು ಪಟ್ಟಿಯನ್ನು ಸುಲಭಗೊಳಿಸಲು, ಉಪಕರಣಗಳನ್ನು ಮುಖ್ಯ ಕಾರ್ಯ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ಆಯೋಜಿಸಲಾಗಿದೆ. ಕೆಳಗಿನ ವಿಭಾಗಗಳನ್ನು ಪಡೆಯಲಾಗಿದೆ:
ಕುಬರ್ನೆಟ್ಸ್ ಇಮೇಜ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆ;
ಆಂಕರ್ ಕಂಟೇನರ್ ಚಿತ್ರಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರ-ವ್ಯಾಖ್ಯಾನಿತ ನೀತಿಗಳ ಆಧಾರದ ಮೇಲೆ ಭದ್ರತಾ ಪರಿಶೀಲನೆಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
CVE ಡೇಟಾಬೇಸ್ನಿಂದ ತಿಳಿದಿರುವ ದೋಷಗಳಿಗಾಗಿ ಕಂಟೇನರ್ ಇಮೇಜ್ಗಳ ಸಾಮಾನ್ಯ ಸ್ಕ್ಯಾನಿಂಗ್ ಜೊತೆಗೆ, ಆಂಕರ್ ತನ್ನ ಸ್ಕ್ಯಾನಿಂಗ್ ನೀತಿಯ ಭಾಗವಾಗಿ ಅನೇಕ ಹೆಚ್ಚುವರಿ ತಪಾಸಣೆಗಳನ್ನು ಮಾಡುತ್ತದೆ: ಡಾಕರ್ಫೈಲ್, ರುಜುವಾತು ಸೋರಿಕೆಗಳು, ಬಳಸಿದ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷೆಗಳ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ (ಎನ್ಪಿಎಂ, ಮಾವೆನ್, ಇತ್ಯಾದಿ. .), ಸಾಫ್ಟ್ವೇರ್ ಪರವಾನಗಿಗಳು ಮತ್ತು ಇನ್ನಷ್ಟು .
ಇಮೇಜ್ ಸ್ಕ್ಯಾನಿಂಗ್ಗಾಗಿ ಕ್ಲೇರ್ ಮೊದಲ ಓಪನ್ ಸೋರ್ಸ್ ಯೋಜನೆಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಇದನ್ನು ಕ್ವೇ ಇಮೇಜ್ ರಿಜಿಸ್ಟ್ರಿಯ ಹಿಂದಿನ ಭದ್ರತಾ ಸ್ಕ್ಯಾನರ್ ಎಂದು ವ್ಯಾಪಕವಾಗಿ ಕರೆಯಲಾಗುತ್ತದೆ (ಸಹ CoreOS ನಿಂದ - ಅಂದಾಜು ಅನುವಾದ). ಡೆಬಿಯನ್, ರೆಡ್ ಹ್ಯಾಟ್ ಅಥವಾ ಉಬುಂಟು ಭದ್ರತಾ ತಂಡಗಳು ನಿರ್ವಹಿಸುವ ಲಿನಕ್ಸ್ ವಿತರಣೆ-ನಿರ್ದಿಷ್ಟ ದೋಷಗಳ ಪಟ್ಟಿಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಕ್ಲೇರ್ ವಿವಿಧ ಮೂಲಗಳಿಂದ CVE ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಬಹುದು.
ಆಂಕರ್ಗಿಂತ ಭಿನ್ನವಾಗಿ, ಕ್ಲೇರ್ ಪ್ರಾಥಮಿಕವಾಗಿ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತದೆ ಮತ್ತು CVE ಗಳಿಗೆ ಡೇಟಾವನ್ನು ಹೊಂದಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಪ್ಲಗ್-ಇನ್ ಡ್ರೈವರ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸಲು ಉತ್ಪನ್ನವು ಬಳಕೆದಾರರಿಗೆ ಕೆಲವು ಅವಕಾಶಗಳನ್ನು ನೀಡುತ್ತದೆ.
ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳು, ಟ್ರೋಜನ್ಗಳು, ವೈರಸ್ಗಳು, ಮಾಲ್ವೇರ್ ಮತ್ತು ಇತರ ಬೆದರಿಕೆಗಳಿಗಾಗಿ ಡಗ್ಡಾ ಕಂಟೇನರ್ ಚಿತ್ರಗಳ ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಮಾಡುತ್ತದೆ.
ಎರಡು ಗಮನಾರ್ಹ ವೈಶಿಷ್ಟ್ಯಗಳು ದಗ್ಡಾವನ್ನು ಇತರ ರೀತಿಯ ಸಾಧನಗಳಿಂದ ಪ್ರತ್ಯೇಕಿಸುತ್ತದೆ:
ಇದು ಸಂಪೂರ್ಣವಾಗಿ ಸಂಯೋಜಿಸುತ್ತದೆ ಕ್ಲ್ಯಾಮ್ಎವಿ, ಕಂಟೇನರ್ ಚಿತ್ರಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಸಾಧನವಾಗಿ ಮಾತ್ರವಲ್ಲದೆ ಆಂಟಿವೈರಸ್ ಆಗಿಯೂ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಡಾಕರ್ ಡೀಮನ್ನಿಂದ ನೈಜ-ಸಮಯದ ಈವೆಂಟ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಮೂಲಕ ಮತ್ತು ಫಾಲ್ಕೊದೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಮೂಲಕ ರನ್ಟೈಮ್ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ (ಕೆಳಗೆ ನೋಡಿ) ಕಂಟೇನರ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು.
ಪರವಾನಗಿ: ಉಚಿತ (ಅಪಾಚೆ), ಆದರೆ JFrog Xray ನಿಂದ ಡೇಟಾ ಅಗತ್ಯವಿದೆ (ವಾಣಿಜ್ಯ ಉತ್ಪನ್ನ)
KubeXray Kubernetes API ಸರ್ವರ್ನಿಂದ ಈವೆಂಟ್ಗಳನ್ನು ಆಲಿಸುತ್ತದೆ ಮತ್ತು ಪ್ರಸ್ತುತ ನೀತಿಗೆ ಹೊಂದಿಕೆಯಾಗುವ ಪಾಡ್ಗಳನ್ನು ಮಾತ್ರ ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು JFrog Xray ನಿಂದ ಮೆಟಾಡೇಟಾವನ್ನು ಬಳಸುತ್ತದೆ.
KubeXray ನಿಯೋಜನೆಗಳಲ್ಲಿ ಹೊಸ ಅಥವಾ ನವೀಕರಿಸಿದ ಕಂಟೈನರ್ಗಳನ್ನು ಆಡಿಟ್ ಮಾಡುವುದಲ್ಲದೆ (ಕುಬರ್ನೆಟ್ಸ್ನಲ್ಲಿನ ಪ್ರವೇಶ ನಿಯಂತ್ರಕವನ್ನು ಹೋಲುತ್ತದೆ), ಆದರೆ ಹೊಸ ಭದ್ರತಾ ನೀತಿಗಳ ಅನುಸರಣೆಗಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಕಂಟೇನರ್ಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಪರಿಶೀಲಿಸುತ್ತದೆ, ದುರ್ಬಲ ಚಿತ್ರಗಳನ್ನು ಉಲ್ಲೇಖಿಸುವ ಸಂಪನ್ಮೂಲಗಳನ್ನು ತೆಗೆದುಹಾಕುತ್ತದೆ.
Snyk ಒಂದು ಅಸಾಮಾನ್ಯ ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ ಆಗಿದ್ದು ಅದು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅಭಿವೃದ್ಧಿ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ ಮತ್ತು ಡೆವಲಪರ್ಗಳಿಗೆ "ಅಗತ್ಯ ಪರಿಹಾರ" ಎಂದು ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತದೆ.
Snyk ನೇರವಾಗಿ ಕೋಡ್ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ, ಪ್ರಾಜೆಕ್ಟ್ ಮ್ಯಾನಿಫೆಸ್ಟ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ನೇರ ಮತ್ತು ಪರೋಕ್ಷ ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಆಮದು ಮಾಡಿದ ಕೋಡ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ. Snyk ಅನೇಕ ಜನಪ್ರಿಯ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷೆಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು ಗುಪ್ತ ಪರವಾನಗಿ ಅಪಾಯಗಳನ್ನು ಗುರುತಿಸಬಹುದು.
ಟ್ರಿವಿಯು ಕಂಟೇನರ್ಗಳಿಗೆ ಸರಳವಾದ ಆದರೆ ಶಕ್ತಿಯುತವಾದ ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ ಆಗಿದ್ದು ಅದು CI/CD ಪೈಪ್ಲೈನ್ಗೆ ಸುಲಭವಾಗಿ ಸಂಯೋಜನೆಗೊಳ್ಳುತ್ತದೆ. ಇದರ ಗಮನಾರ್ಹ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ ಅದರ ಸ್ಥಾಪನೆ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಯ ಸುಲಭ: ಅಪ್ಲಿಕೇಶನ್ ಒಂದೇ ಬೈನರಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ಡೇಟಾಬೇಸ್ ಅಥವಾ ಹೆಚ್ಚುವರಿ ಲೈಬ್ರರಿಗಳ ಸ್ಥಾಪನೆಯ ಅಗತ್ಯವಿರುವುದಿಲ್ಲ.
ಟ್ರಿವಿಯ ಸರಳತೆಯ ತೊಂದರೆಯೆಂದರೆ, JSON ಸ್ವರೂಪದಲ್ಲಿ ಫಲಿತಾಂಶಗಳನ್ನು ಹೇಗೆ ಪಾರ್ಸ್ ಮಾಡುವುದು ಮತ್ತು ಫಾರ್ವರ್ಡ್ ಮಾಡುವುದು ಎಂಬುದನ್ನು ನೀವು ಲೆಕ್ಕಾಚಾರ ಮಾಡಬೇಕು ಇದರಿಂದ ಇತರ ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ಸಾಧನಗಳು ಅವುಗಳನ್ನು ಬಳಸಬಹುದು.
ಫಾಲ್ಕೊ ಎಂಬುದು ಕ್ಲೌಡ್ ರನ್ಟೈಮ್ ಪರಿಸರವನ್ನು ಭದ್ರಪಡಿಸುವ ಸಾಧನಗಳ ಗುಂಪಾಗಿದೆ. ಯೋಜನೆಯ ಕುಟುಂಬದ ಭಾಗ ಸಿಎನ್ಸಿಎಫ್.
Sysdig ನ Linux ಕರ್ನಲ್-ಲೆವೆಲ್ ಟೂಲಿಂಗ್ ಮತ್ತು ಸಿಸ್ಟಮ್ ಕರೆ ಪ್ರೊಫೈಲಿಂಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, Falco ನಿಮಗೆ ಸಿಸ್ಟಮ್ ನಡವಳಿಕೆಯ ಆಳಕ್ಕೆ ಧುಮುಕಲು ಅನುಮತಿಸುತ್ತದೆ. ಇದರ ರನ್ಟೈಮ್ ನಿಯಮಗಳ ಎಂಜಿನ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು, ಕಂಟೈನರ್ಗಳು, ಆಧಾರವಾಗಿರುವ ಹೋಸ್ಟ್ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ ಆರ್ಕೆಸ್ಟ್ರೇಟರ್ನಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಮರ್ಥವಾಗಿದೆ.
Falco ಈ ಉದ್ದೇಶಗಳಿಗಾಗಿ Kubernetes ನೋಡ್ಗಳಲ್ಲಿ ವಿಶೇಷ ಏಜೆಂಟ್ಗಳನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ ರನ್ಟೈಮ್ ಮತ್ತು ಬೆದರಿಕೆ ಪತ್ತೆಯಲ್ಲಿ ಸಂಪೂರ್ಣ ಪಾರದರ್ಶಕತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಕೋಡ್ ಅನ್ನು ಪರಿಚಯಿಸುವ ಮೂಲಕ ಅಥವಾ ಸೈಡ್ಕಾರ್ ಕಂಟೈನರ್ಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಕಂಟೈನರ್ಗಳನ್ನು ಮಾರ್ಪಡಿಸುವ ಅಗತ್ಯವಿಲ್ಲ.
ರನ್ಟೈಮ್ಗಾಗಿ Linux ಭದ್ರತಾ ಚೌಕಟ್ಟುಗಳು
Linux ಕರ್ನಲ್ಗಾಗಿ ಈ ಸ್ಥಳೀಯ ಚೌಕಟ್ಟುಗಳು ಸಾಂಪ್ರದಾಯಿಕ ಅರ್ಥದಲ್ಲಿ "ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ಪರಿಕರಗಳು" ಅಲ್ಲ, ಆದರೆ ಅವುಗಳು ಕುಬರ್ನೆಟ್ಸ್ ಪಾಡ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (PSP) ಯಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ರನ್ಟೈಮ್ ಭದ್ರತೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಪ್ರಮುಖ ಅಂಶವಾಗಿರುವುದರಿಂದ ಅವುಗಳನ್ನು ಉಲ್ಲೇಖಿಸಲು ಯೋಗ್ಯವಾಗಿದೆ.
ಆಪ್ ಆರ್ಮರ್ ಕಂಟೇನರ್ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಭದ್ರತಾ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಲಗತ್ತಿಸುತ್ತದೆ, ಫೈಲ್ ಸಿಸ್ಟಮ್ ಸವಲತ್ತುಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವುದು, ನೆಟ್ವರ್ಕ್ ಪ್ರವೇಶ ನಿಯಮಗಳು, ಲೈಬ್ರರಿಗಳನ್ನು ಸಂಪರ್ಕಿಸುವುದು ಇತ್ಯಾದಿ. ಇದು ಕಡ್ಡಾಯ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ (MAC) ಆಧಾರಿತ ವ್ಯವಸ್ಥೆಯಾಗಿದೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ಇದು ನಿಷೇಧಿತ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡುವುದನ್ನು ತಡೆಯುತ್ತದೆ.
ಭದ್ರತೆ-ವರ್ಧಿತ ಲಿನಕ್ಸ್ (SELinux) ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನಲ್ಲಿ ಸುಧಾರಿತ ಭದ್ರತಾ ಮಾಡ್ಯೂಲ್ ಆಗಿದೆ, ಇದು AppArmor ನ ಕೆಲವು ಅಂಶಗಳಲ್ಲಿ ಹೋಲುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಹೆಚ್ಚಾಗಿ ಹೋಲಿಸಲಾಗುತ್ತದೆ. ಶಕ್ತಿ, ನಮ್ಯತೆ ಮತ್ತು ಗ್ರಾಹಕೀಕರಣದಲ್ಲಿ SELinux AppArmor ಗಿಂತ ಉತ್ತಮವಾಗಿದೆ. ಇದರ ಅನಾನುಕೂಲಗಳು ದೀರ್ಘ ಕಲಿಕೆಯ ರೇಖೆ ಮತ್ತು ಹೆಚ್ಚಿದ ಸಂಕೀರ್ಣತೆ.
ಸೆಕಾಂಪ್ ಮತ್ತು seccomp-bpf ನಿಮಗೆ ಸಿಸ್ಟಮ್ ಕರೆಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ, ಬೇಸ್ OS ಗೆ ಅಪಾಯಕಾರಿ ಮತ್ತು ಬಳಕೆದಾರ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಸಾಮಾನ್ಯ ಕಾರ್ಯಾಚರಣೆಗೆ ಅಗತ್ಯವಿಲ್ಲದ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ. ಸೆಕಾಂಪ್ ಕೆಲವು ರೀತಿಯಲ್ಲಿ ಫಾಲ್ಕೊಗೆ ಹೋಲುತ್ತದೆ, ಆದರೂ ಇದು ಕಂಟೇನರ್ಗಳ ನಿಶ್ಚಿತಗಳನ್ನು ತಿಳಿದಿಲ್ಲ.
ಸಿಸ್ಡಿಗ್ ಲಿನಕ್ಸ್ ಸಿಸ್ಟಮ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು, ರೋಗನಿರ್ಣಯ ಮಾಡಲು ಮತ್ತು ಡೀಬಗ್ ಮಾಡಲು ಸಂಪೂರ್ಣ ಸಾಧನವಾಗಿದೆ (ವಿಂಡೋಸ್ ಮತ್ತು ಮ್ಯಾಕೋಸ್ನಲ್ಲಿ ಸಹ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಆದರೆ ಸೀಮಿತ ಕಾರ್ಯಗಳೊಂದಿಗೆ). ವಿವರವಾದ ಮಾಹಿತಿ ಸಂಗ್ರಹಣೆ, ಪರಿಶೀಲನೆ ಮತ್ತು ಫೋರೆನ್ಸಿಕ್ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಇದನ್ನು ಬಳಸಬಹುದು. (ಫೊರೆನ್ಸಿಕ್ಸ್) ಮೂಲ ವ್ಯವಸ್ಥೆ ಮತ್ತು ಅದರ ಮೇಲೆ ಚಾಲನೆಯಲ್ಲಿರುವ ಯಾವುದೇ ಪಾತ್ರೆಗಳು.
Sysdig ಸ್ಥಳೀಯವಾಗಿ ಕಂಟೇನರ್ ರನ್ಟೈಮ್ಗಳು ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ ಮೆಟಾಡೇಟಾವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಇದು ಸಂಗ್ರಹಿಸುವ ಎಲ್ಲಾ ಸಿಸ್ಟಮ್ ವರ್ತನೆಯ ಮಾಹಿತಿಗೆ ಹೆಚ್ಚುವರಿ ಆಯಾಮಗಳು ಮತ್ತು ಲೇಬಲ್ಗಳನ್ನು ಸೇರಿಸುತ್ತದೆ. ಸಿಸ್ಡಿಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಹಲವಾರು ಮಾರ್ಗಗಳಿವೆ: ನೀವು ಪಾಯಿಂಟ್-ಇನ್-ಟೈಮ್ ಕ್ಯಾಪ್ಚರ್ ಅನ್ನು ಈ ಮೂಲಕ ಮಾಡಬಹುದು kubectl ಕ್ಯಾಪ್ಚರ್ ಅಥವಾ ಪ್ಲಗಿನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ncurses-ಆಧಾರಿತ ಸಂವಾದಾತ್ಮಕ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿ kubectl ಡಿಗ್.
ಅಪೊರೆಟೊ "ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಮೂಲಸೌಕರ್ಯದಿಂದ ಬೇರ್ಪಟ್ಟ ಭದ್ರತೆ" ನೀಡುತ್ತದೆ. ಇದರರ್ಥ ಕುಬರ್ನೆಟ್ಸ್ ಸೇವೆಗಳು ಸ್ಥಳೀಯ ಐಡಿಯನ್ನು ಮಾತ್ರ ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ (ಅಂದರೆ ಕುಬರ್ನೆಟ್ಸ್ನಲ್ಲಿ ಸೇವಾ ಖಾತೆ), ಆದರೆ ಯಾವುದೇ ಇತರ ಸೇವೆಯೊಂದಿಗೆ ಸುರಕ್ಷಿತವಾಗಿ ಮತ್ತು ಪರಸ್ಪರ ಸಂವಹನ ನಡೆಸಲು ಬಳಸಬಹುದಾದ ಸಾರ್ವತ್ರಿಕ ID/ಬೆರಳಚ್ಚು ಕೂಡ, ಉದಾಹರಣೆಗೆ ಓಪನ್ಶಿಫ್ಟ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ.
ಅಪೊರೆಟೊ ಕುಬರ್ನೆಟ್ಸ್/ಕಂಟೇನರ್ಗಳಿಗೆ ಮಾತ್ರವಲ್ಲದೆ ಹೋಸ್ಟ್ಗಳು, ಕ್ಲೌಡ್ ಫಂಕ್ಷನ್ಗಳು ಮತ್ತು ಬಳಕೆದಾರರಿಗಾಗಿ ಅನನ್ಯ ಐಡಿಯನ್ನು ಉತ್ಪಾದಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದೆ. ಈ ಗುರುತಿಸುವಿಕೆಗಳು ಮತ್ತು ನಿರ್ವಾಹಕರು ಹೊಂದಿಸಿರುವ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ನಿಯಮಗಳ ಸೆಟ್ ಅನ್ನು ಅವಲಂಬಿಸಿ, ಸಂವಹನಗಳನ್ನು ಅನುಮತಿಸಲಾಗುತ್ತದೆ ಅಥವಾ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ.
ಧಾರಕ ಆರ್ಕೆಸ್ಟ್ರೇಟರ್ ಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಕ್ಯಾಲಿಕೊವನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ನಿಯೋಜಿಸಲಾಗುತ್ತದೆ, ಇದು ಕಂಟೈನರ್ಗಳನ್ನು ಪರಸ್ಪರ ಸಂಪರ್ಕಿಸುವ ವರ್ಚುವಲ್ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಈ ಮೂಲಭೂತ ನೆಟ್ವರ್ಕ್ ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಜೊತೆಗೆ, ಕ್ಯಾಲಿಕೋ ಯೋಜನೆಯು ಕುಬರ್ನೆಟ್ಸ್ ನೆಟ್ವರ್ಕ್ ನೀತಿಗಳು ಮತ್ತು ತನ್ನದೇ ಆದ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ಪ್ರೊಫೈಲ್ಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಎಂಡ್ಪಾಯಿಂಟ್ ಎಸಿಎಲ್ಗಳನ್ನು (ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಪಟ್ಟಿಗಳು) ಮತ್ತು ಇನ್ಗ್ರೆಸ್ ಮತ್ತು ಎಗ್ರೆಸ್ ಟ್ರಾಫಿಕ್ಗಾಗಿ ಟಿಪ್ಪಣಿ ಆಧಾರಿತ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ನಿಯಮಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
Cilium ಕಂಟೈನರ್ಗಳಿಗೆ ಫೈರ್ವಾಲ್ನಂತೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ ಮತ್ತು ಮೈಕ್ರೋಸರ್ವೀಸಸ್ ಕೆಲಸದ ಹೊರೆಗಳಿಗೆ ಸ್ಥಳೀಯವಾಗಿ ಅನುಗುಣವಾಗಿ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಡೇಟಾವನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು, ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು, ಮರುನಿರ್ದೇಶಿಸಲು ಮತ್ತು ಸರಿಪಡಿಸಲು Cilium BPF (ಬರ್ಕ್ಲಿ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್) ಎಂಬ ಹೊಸ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸುತ್ತದೆ.
ಡಾಕರ್ ಅಥವಾ ಕುಬರ್ನೆಟ್ಸ್ ಲೇಬಲ್ಗಳು ಮತ್ತು ಮೆಟಾಡೇಟಾವನ್ನು ಬಳಸಿಕೊಂಡು ಕಂಟೈನರ್ ಐಡಿಗಳ ಆಧಾರದ ಮೇಲೆ ನೆಟ್ವರ್ಕ್ ಪ್ರವೇಶ ನೀತಿಗಳನ್ನು ನಿಯೋಜಿಸಲು ಸಿಲಿಯಮ್ ಸಮರ್ಥವಾಗಿದೆ. Cilium ಸಹ HTTP ಅಥವಾ gRPC ಯಂತಹ ವಿವಿಧ ಲೇಯರ್ 7 ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಫಿಲ್ಟರ್ ಮಾಡುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ಎರಡು ಕುಬರ್ನೆಟ್ಸ್ ನಿಯೋಜನೆಗಳ ನಡುವೆ ಅನುಮತಿಸಲಾದ REST ಕರೆಗಳ ಗುಂಪನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ನಿಮಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ.
ಪ್ಲಾಟ್ಫಾರ್ಮ್-ಸ್ವತಂತ್ರ ನಿಯಂತ್ರಣ ಸಮತಲವನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ ಮತ್ತು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದಾದ ಎನ್ವಾಯ್ ಪ್ರಾಕ್ಸಿಗಳ ಮೂಲಕ ಎಲ್ಲಾ ನಿರ್ವಹಿಸಲಾದ ಸೇವಾ ದಟ್ಟಣೆಯನ್ನು ರೂಟಿಂಗ್ ಮಾಡುವ ಮೂಲಕ ಸೇವಾ ಜಾಲರಿ ಮಾದರಿಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಇಸ್ಟಿಯೊ ವ್ಯಾಪಕವಾಗಿ ಹೆಸರುವಾಸಿಯಾಗಿದೆ. ವಿವಿಧ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ಕಾರ್ಯತಂತ್ರಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಎಲ್ಲಾ ಮೈಕ್ರೋ ಸರ್ವೀಸ್ಗಳು ಮತ್ತು ಕಂಟೈನರ್ಗಳ ಈ ಸುಧಾರಿತ ವೀಕ್ಷಣೆಯ ಲಾಭವನ್ನು Istio ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ.
Istio ನ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ಸಾಮರ್ಥ್ಯಗಳು ಪಾರದರ್ಶಕ TLS ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು HTTPS ಗೆ ಮೈಕ್ರೋ ಸರ್ವೀಸ್ಗಳ ನಡುವಿನ ಸಂವಹನವನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಅಪ್ಗ್ರೇಡ್ ಮಾಡಲು ಮತ್ತು ಕ್ಲಸ್ಟರ್ನಲ್ಲಿನ ವಿವಿಧ ಕೆಲಸದ ಹೊರೆಗಳ ನಡುವೆ ಸಂವಹನವನ್ನು ಅನುಮತಿಸಲು/ನಿರಾಕರಿಸಲು ಸ್ವಾಮ್ಯದ RBAC ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ಅಧಿಕೃತ ವ್ಯವಸ್ಥೆಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ಸೂಚನೆ. ಅನುವಾದ.: Istio ನ ಭದ್ರತೆ-ಕೇಂದ್ರಿತ ಸಾಮರ್ಥ್ಯಗಳ ಕುರಿತು ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು, ಓದಿ ಈ ಲೇಖನ.
"ಕುಬರ್ನೆಟ್ಸ್ ಫೈರ್ವಾಲ್" ಎಂದು ಕರೆಯಲ್ಪಡುವ ಈ ಪರಿಹಾರವು ನೆಟ್ವರ್ಕ್ ಭದ್ರತೆಗೆ ಶೂನ್ಯ-ವಿಶ್ವಾಸದ ವಿಧಾನವನ್ನು ಒತ್ತಿಹೇಳುತ್ತದೆ.
ಇತರ ಸ್ಥಳೀಯ ಕುಬರ್ನೆಟ್ಸ್ ನೆಟ್ವರ್ಕಿಂಗ್ ಪರಿಹಾರಗಳಂತೆಯೇ, ಕ್ಲಸ್ಟರ್ನಲ್ಲಿರುವ ವಿವಿಧ ಸೇವೆಗಳು ಮತ್ತು ವಸ್ತುಗಳನ್ನು ಗುರುತಿಸಲು ಟೈಗೆರಾ ಮೆಟಾಡೇಟಾವನ್ನು ಅವಲಂಬಿಸಿದೆ ಮತ್ತು ರನ್ಟೈಮ್ ಸಮಸ್ಯೆ ಪತ್ತೆ, ನಿರಂತರ ಅನುಸರಣೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಬಹು-ಕ್ಲೌಡ್ ಅಥವಾ ಹೈಬ್ರಿಡ್ ಏಕಶಿಲೆಯ-ಕಂಟೇನರೈಸ್ಡ್ ಮೂಲಸೌಕರ್ಯಗಳಿಗಾಗಿ ನೆಟ್ವರ್ಕ್ ಗೋಚರತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ.
ಟ್ರೈರೆಮ್-ಕುಬರ್ನೆಟ್ಸ್ ಕುಬರ್ನೆಟ್ಸ್ ನೆಟ್ವರ್ಕ್ ನೀತಿಗಳ ವಿವರಣೆಯ ಸರಳ ಮತ್ತು ನೇರವಾದ ಅನುಷ್ಠಾನವಾಗಿದೆ. ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ - ಇದೇ ರೀತಿಯ ಕುಬರ್ನೆಟ್ಸ್ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿ - ಇದು ಜಾಲರಿಯನ್ನು ಸಂಘಟಿಸಲು ಕೇಂದ್ರ ನಿಯಂತ್ರಣ ಸಮತಲದ ಅಗತ್ಯವಿರುವುದಿಲ್ಲ. ಇದು ಪರಿಹಾರವನ್ನು ಕ್ಷುಲ್ಲಕವಾಗಿ ಸ್ಕೇಲೆಬಲ್ ಮಾಡುತ್ತದೆ. ಟ್ರೈರೆಮ್ನಲ್ಲಿ, ಹೋಸ್ಟ್ನ TCP/IP ಸ್ಟಾಕ್ಗೆ ನೇರವಾಗಿ ಸಂಪರ್ಕಿಸುವ ಪ್ರತಿ ನೋಡ್ನಲ್ಲಿ ಏಜೆಂಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೂಲಕ ಇದನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ.
ಗ್ರಾಫಿಯಾಸ್ ಸಾಫ್ಟ್ವೇರ್ ಪೂರೈಕೆ ಸರಪಳಿ ಲೆಕ್ಕಪರಿಶೋಧನೆ ಮತ್ತು ನಿರ್ವಹಣೆಗಾಗಿ ತೆರೆದ ಮೂಲ API ಆಗಿದೆ. ಮೂಲಭೂತ ಮಟ್ಟದಲ್ಲಿ, ಗ್ರಾಫಿಯಾಸ್ ಮೆಟಾಡೇಟಾ ಮತ್ತು ಆಡಿಟ್ ಸಂಶೋಧನೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಸಾಧನವಾಗಿದೆ. ಸಂಸ್ಥೆಯೊಳಗೆ ಭದ್ರತಾ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳ ಅನುಸರಣೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಇದನ್ನು ಬಳಸಬಹುದು.
ಸತ್ಯದ ಈ ಕೇಂದ್ರೀಕೃತ ಮೂಲವು ಈ ರೀತಿಯ ಪ್ರಶ್ನೆಗಳಿಗೆ ಉತ್ತರಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ:
ನಿರ್ದಿಷ್ಟ ಕಂಟೇನರ್ಗಾಗಿ ಯಾರು ಸಂಗ್ರಹಿಸಿ ಸಹಿ ಮಾಡಿದ್ದಾರೆ?
ಭದ್ರತಾ ನೀತಿಗೆ ಅಗತ್ಯವಿರುವ ಎಲ್ಲಾ ಭದ್ರತಾ ಸ್ಕ್ಯಾನ್ಗಳು ಮತ್ತು ಚೆಕ್ಗಳನ್ನು ಇದು ರವಾನಿಸಿದೆಯೇ? ಯಾವಾಗ? ಫಲಿತಾಂಶಗಳೇನು?
ಅದನ್ನು ಉತ್ಪಾದನೆಗೆ ನಿಯೋಜಿಸಿದವರು ಯಾರು? ನಿಯೋಜನೆಯ ಸಮಯದಲ್ಲಿ ಯಾವ ನಿರ್ದಿಷ್ಟ ನಿಯತಾಂಕಗಳನ್ನು ಬಳಸಲಾಗಿದೆ?
In-toto ಎಂಬುದು ಸಂಪೂರ್ಣ ಸಾಫ್ಟ್ವೇರ್ ಪೂರೈಕೆ ಸರಪಳಿಯ ಸಮಗ್ರತೆ, ದೃಢೀಕರಣ ಮತ್ತು ಲೆಕ್ಕಪರಿಶೋಧನೆಯನ್ನು ಒದಗಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಚೌಕಟ್ಟಾಗಿದೆ. ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ In-toto ಅನ್ನು ನಿಯೋಜಿಸುವಾಗ, ಪೈಪ್ಲೈನ್ನಲ್ಲಿನ ವಿವಿಧ ಹಂತಗಳನ್ನು (ರೆಪೊಸಿಟರಿ, CI/CD ಪರಿಕರಗಳು, QA ಉಪಕರಣಗಳು, ಕಲಾಕೃತಿ ಸಂಗ್ರಾಹಕರು, ಇತ್ಯಾದಿ) ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ (ಜವಾಬ್ದಾರರಾಗಿರುವ ವ್ಯಕ್ತಿಗಳು) ವಿವರಿಸುವ ಯೋಜನೆಯನ್ನು ಮೊದಲು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗುತ್ತದೆ. ಅವುಗಳನ್ನು ಪ್ರಾರಂಭಿಸಿ.
ಸರಪಳಿಯಲ್ಲಿನ ಪ್ರತಿಯೊಂದು ಕಾರ್ಯವನ್ನು ಅಧಿಕೃತ ಸಿಬ್ಬಂದಿಗಳು ಮಾತ್ರ ಸರಿಯಾಗಿ ನಿರ್ವಹಿಸುತ್ತಾರೆ ಮತ್ತು ಚಲನೆಯ ಸಮಯದಲ್ಲಿ ಉತ್ಪನ್ನದೊಂದಿಗೆ ಯಾವುದೇ ಅನಧಿಕೃತ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳನ್ನು ನಡೆಸಲಾಗಿಲ್ಲ ಎಂದು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಯೋಜನೆಯ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಇನ್-ಟೋಟೊ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ.
ಪೋರ್ಟೀರಿಸ್ ಕುಬರ್ನೆಟ್ಸ್ಗೆ ಪ್ರವೇಶ ನಿಯಂತ್ರಕವಾಗಿದೆ; ವಿಷಯ ವಿಶ್ವಾಸ ಪರಿಶೀಲನೆಗಳನ್ನು ಜಾರಿಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಪೋರ್ಟೀರಿಸ್ ಸರ್ವರ್ ಅನ್ನು ಬಳಸುತ್ತದೆ ನೋಟರಿ(ನಾವು ಅವನ ಬಗ್ಗೆ ಕೊನೆಯಲ್ಲಿ ಬರೆದಿದ್ದೇವೆ ಈ ಲೇಖನದ - ಅಂದಾಜು ಅನುವಾದ) ವಿಶ್ವಾಸಾರ್ಹ ಮತ್ತು ಸಹಿ ಮಾಡಿದ ಕಲಾಕೃತಿಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸಲು ಸತ್ಯದ ಮೂಲವಾಗಿ (ಅಂದರೆ ಅನುಮೋದಿತ ಕಂಟೇನರ್ ಚಿತ್ರಗಳು).
ಕುಬರ್ನೆಟ್ಸ್ನಲ್ಲಿ ಕೆಲಸದ ಹೊರೆಯನ್ನು ರಚಿಸಿದಾಗ ಅಥವಾ ಮಾರ್ಪಡಿಸಿದಾಗ, ವಿನಂತಿಸಿದ ಕಂಟೈನರ್ ಚಿತ್ರಗಳಿಗೆ ಸಹಿ ಮಾಡುವ ಮಾಹಿತಿ ಮತ್ತು ವಿಷಯ ಟ್ರಸ್ಟ್ ನೀತಿಯನ್ನು ಪೋರ್ಟೀರಿಸ್ ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅಗತ್ಯವಿದ್ದಲ್ಲಿ, ಆ ಚಿತ್ರಗಳ ಸಹಿ ಮಾಡಿದ ಆವೃತ್ತಿಗಳನ್ನು ಚಲಾಯಿಸಲು JSON API ಆಬ್ಜೆಕ್ಟ್ಗೆ ಫ್ಲೈ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡುತ್ತದೆ.
ಖಾಸಗಿ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ವಾಲ್ಟ್ ಸುರಕ್ಷಿತ ಪರಿಹಾರವಾಗಿದೆ: ಪಾಸ್ವರ್ಡ್ಗಳು, OAuth ಟೋಕನ್ಗಳು, PKI ಪ್ರಮಾಣಪತ್ರಗಳು, ಪ್ರವೇಶ ಖಾತೆಗಳು, ಕುಬರ್ನೆಟ್ಸ್ ರಹಸ್ಯಗಳು, ಇತ್ಯಾದಿ. ವಾಲ್ಟ್ ಅನೇಕ ಸುಧಾರಿತ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ಅಲ್ಪಕಾಲಿಕ ಭದ್ರತಾ ಟೋಕನ್ಗಳನ್ನು ಗುತ್ತಿಗೆ ಅಥವಾ ಕೀ ತಿರುಗುವಿಕೆಯನ್ನು ಆಯೋಜಿಸುವುದು.
ಹೆಲ್ಮ್ ಚಾರ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ವಾಲ್ಟ್ ಅನ್ನು ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಹೊಸ ನಿಯೋಜನೆಯಾಗಿ ಕಾನ್ಸುಲ್ ಜೊತೆಗೆ ಬ್ಯಾಕೆಂಡ್ ಸ್ಟೋರೇಜ್ ಆಗಿ ನಿಯೋಜಿಸಬಹುದು. ಇದು ServiceAccount ಟೋಕನ್ಗಳಂತಹ ಸ್ಥಳೀಯ Kubernetes ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು Kubernetes ರಹಸ್ಯಗಳಿಗಾಗಿ ಡೀಫಾಲ್ಟ್ ಸ್ಟೋರ್ ಆಗಿ ಸಹ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಸೂಚನೆ. ಅನುವಾದ.: ಅಂದಹಾಗೆ, ನಿನ್ನೆ ವಾಲ್ಟ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ಕಂಪನಿ HashiCorp, Kubernetes ನಲ್ಲಿ ವಾಲ್ಟ್ ಅನ್ನು ಬಳಸುವುದಕ್ಕಾಗಿ ಕೆಲವು ಸುಧಾರಣೆಗಳನ್ನು ಘೋಷಿಸಿತು ಮತ್ತು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅವರು ಹೆಲ್ಮ್ ಚಾರ್ಟ್ಗೆ ಸಂಬಂಧಿಸಿವೆ. ರಲ್ಲಿ ಇನ್ನಷ್ಟು ಓದಿ ಡೆವಲಪರ್ ಬ್ಲಾಗ್.
Kube-bench ಒಂದು Go ಅಪ್ಲಿಕೇಶನ್ ಆಗಿದ್ದು, ಪಟ್ಟಿಯಿಂದ ಪರೀಕ್ಷೆಗಳನ್ನು ನಡೆಸುವ ಮೂಲಕ Kubernetes ಅನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ನಿಯೋಜಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ ಸಿಐಎಸ್ ಕುಬರ್ನೆಟ್ಸ್ ಬೆಂಚ್ಮಾರ್ಕ್.
Kube-bench ಕ್ಲಸ್ಟರ್ ಘಟಕಗಳ ನಡುವೆ ಅಸುರಕ್ಷಿತ ಕಾನ್ಫಿಗರೇಶನ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ (ಇತ್ಯಾದಿ, API, ನಿಯಂತ್ರಕ ವ್ಯವಸ್ಥಾಪಕ, ಇತ್ಯಾದಿ), ಪ್ರಶ್ನಾರ್ಹ ಫೈಲ್ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು, ಅಸುರಕ್ಷಿತ ಖಾತೆಗಳು ಅಥವಾ ತೆರೆದ ಪೋರ್ಟ್ಗಳು, ಸಂಪನ್ಮೂಲ ಕೋಟಾಗಳು, DoS ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು API ಕರೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಸೀಮಿತಗೊಳಿಸುವ ಸೆಟ್ಟಿಂಗ್ಗಳು , ಇತ್ಯಾದಿ
ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಗಳಿಗಾಗಿ (ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅಥವಾ ಡೇಟಾ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯಂತಹ) ಕ್ಯೂಬ್-ಹಂಟರ್ ಬೇಟೆಯಾಡುತ್ತಾನೆ. ಕ್ಯೂಬ್-ಹಂಟರ್ ಅನ್ನು ರಿಮೋಟ್ ಸ್ಕ್ಯಾನರ್ ಆಗಿ ರನ್ ಮಾಡಬಹುದು - ಈ ಸಂದರ್ಭದಲ್ಲಿ ಇದು ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ದಾಳಿಕೋರನ ದೃಷ್ಟಿಕೋನದಿಂದ ಮೌಲ್ಯಮಾಪನ ಮಾಡುತ್ತದೆ - ಅಥವಾ ಕ್ಲಸ್ಟರ್ನೊಳಗಿನ ಪಾಡ್ ಆಗಿ.
ಕುಬೆ-ಬೇಟೆಗಾರನ ವಿಶಿಷ್ಟ ಲಕ್ಷಣವೆಂದರೆ ಅದರ "ಸಕ್ರಿಯ ಬೇಟೆ" ಮೋಡ್, ಈ ಸಮಯದಲ್ಲಿ ಅದು ಸಮಸ್ಯೆಗಳನ್ನು ವರದಿ ಮಾಡುವುದಲ್ಲದೆ, ಗುರಿ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಪತ್ತೆಯಾದ ದುರ್ಬಲತೆಗಳ ಲಾಭವನ್ನು ಪಡೆಯಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಅದು ಅದರ ಕಾರ್ಯಾಚರಣೆಗೆ ಹಾನಿಯಾಗಬಹುದು. ಆದ್ದರಿಂದ ಎಚ್ಚರಿಕೆಯಿಂದ ಬಳಸಿ!
Kubeaudit ಎಂಬುದು ಕನ್ಸೋಲ್ ಸಾಧನವಾಗಿದ್ದು, ವಿವಿಧ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗಾಗಿ Kubernetes ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಆಡಿಟ್ ಮಾಡಲು Shopify ನಲ್ಲಿ ಮೂಲತಃ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಇದು ಅನಿಯಂತ್ರಿತವಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಕಂಟೇನರ್ಗಳನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ರೂಟ್ನಂತೆ ಚಾಲನೆಯಲ್ಲಿದೆ, ಸವಲತ್ತುಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವುದು ಅಥವಾ ಡೀಫಾಲ್ಟ್ ಸೇವಾ ಖಾತೆಯನ್ನು ಬಳಸುವುದು.
Kubeaudit ಇತರ ಆಸಕ್ತಿದಾಯಕ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ. ಉದಾಹರಣೆಗೆ, ಇದು ಸ್ಥಳೀಯ YAML ಫೈಲ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಬಹುದು, ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಕಾರಣವಾಗುವ ಕಾನ್ಫಿಗರೇಶನ್ ದೋಷಗಳನ್ನು ಗುರುತಿಸಬಹುದು ಮತ್ತು ಅವುಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸರಿಪಡಿಸಬಹುದು.
Kubesec ಒಂದು ವಿಶೇಷ ಸಾಧನವಾಗಿದ್ದು, ಇದು ನೇರವಾಗಿ Kubernetes ಸಂಪನ್ಮೂಲಗಳನ್ನು ವಿವರಿಸುವ YAML ಫೈಲ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ, ಸುರಕ್ಷತೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ದುರ್ಬಲ ನಿಯತಾಂಕಗಳನ್ನು ಹುಡುಕುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಇದು ಪಾಡ್ಗೆ ನೀಡಲಾದ ಹೆಚ್ಚಿನ ಸವಲತ್ತುಗಳು ಮತ್ತು ಅನುಮತಿಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಡೀಫಾಲ್ಟ್ ಬಳಕೆದಾರರಂತೆ ರೂಟ್ನೊಂದಿಗೆ ಕಂಟೇನರ್ ಅನ್ನು ರನ್ ಮಾಡುವುದು, ಹೋಸ್ಟ್ನ ನೆಟ್ವರ್ಕ್ ನೇಮ್ಸ್ಪೇಸ್ಗೆ ಸಂಪರ್ಕಿಸುವುದು ಅಥವಾ ಅಪಾಯಕಾರಿ ಆರೋಹಣಗಳು /proc ಹೋಸ್ಟ್ ಅಥವಾ ಡಾಕರ್ ಸಾಕೆಟ್. Kubesec ನ ಮತ್ತೊಂದು ಆಸಕ್ತಿದಾಯಕ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ ಆನ್ಲೈನ್ನಲ್ಲಿ ಲಭ್ಯವಿರುವ ಡೆಮೊ ಸೇವೆಯಾಗಿದೆ, ಇದರಲ್ಲಿ ನೀವು YAML ಅನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಅದನ್ನು ತಕ್ಷಣವೇ ವಿಶ್ಲೇಷಿಸಬಹುದು.
OPA (ಓಪನ್ ಪಾಲಿಸಿ ಏಜೆಂಟ್) ಪರಿಕಲ್ಪನೆಯು ನಿರ್ದಿಷ್ಟ ರನ್ಟೈಮ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಿಂದ ಭದ್ರತಾ ನೀತಿಗಳು ಮತ್ತು ಸುರಕ್ಷತೆಯ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳನ್ನು ಡಿಕೌಪಲ್ ಮಾಡುವುದು: ಡಾಕರ್, ಕುಬರ್ನೆಟ್ಸ್, ಮೆಸೊಸ್ಫಿಯರ್, ಓಪನ್ಶಿಫ್ಟ್, ಅಥವಾ ಅದರ ಯಾವುದೇ ಸಂಯೋಜನೆ.
ಉದಾಹರಣೆಗೆ, ಕುಬರ್ನೆಟ್ಸ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಕಕ್ಕೆ ನೀವು OPA ಅನ್ನು ಬ್ಯಾಕೆಂಡ್ ಆಗಿ ನಿಯೋಜಿಸಬಹುದು, ಅದಕ್ಕೆ ಭದ್ರತಾ ನಿರ್ಧಾರಗಳನ್ನು ನಿಯೋಜಿಸಬಹುದು. ಈ ರೀತಿಯಾಗಿ, OPA ಏಜೆಂಟ್ ಹಾರಾಟದಲ್ಲಿ ವಿನಂತಿಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸಬಹುದು, ತಿರಸ್ಕರಿಸಬಹುದು ಮತ್ತು ಮಾರ್ಪಡಿಸಬಹುದು, ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಪೂರೈಸಲಾಗಿದೆಯೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬಹುದು. OPA ಯ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ಅದರ ಸ್ವಾಮ್ಯದ DSL ಭಾಷೆಯಾದ Rego ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ.
ಸೂಚನೆ. ಅನುವಾದ.: ನಾವು OPA (ಮತ್ತು SPIFFE) ಕುರಿತು ಇನ್ನಷ್ಟು ಬರೆದಿದ್ದೇವೆ ಈ ವಸ್ತು.
ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಸಮಗ್ರ ವಾಣಿಜ್ಯ ಉಪಕರಣಗಳು
ವಾಣಿಜ್ಯ ವೇದಿಕೆಗಳಿಗಾಗಿ ಪ್ರತ್ಯೇಕ ವರ್ಗವನ್ನು ರಚಿಸಲು ನಾವು ನಿರ್ಧರಿಸಿದ್ದೇವೆ ಏಕೆಂದರೆ ಅವುಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಬಹು ಭದ್ರತಾ ಪ್ರದೇಶಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಅವರ ಸಾಮರ್ಥ್ಯಗಳ ಸಾಮಾನ್ಯ ಕಲ್ಪನೆಯನ್ನು ಟೇಬಲ್ನಿಂದ ಪಡೆಯಬಹುದು:
ಈ ವಾಣಿಜ್ಯ ಉಪಕರಣವನ್ನು ಕಂಟೈನರ್ಗಳು ಮತ್ತು ಕ್ಲೌಡ್ ವರ್ಕ್ಲೋಡ್ಗಳಿಗಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಇದು ಒದಗಿಸುತ್ತದೆ:
ಇಮೇಜ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಕಂಟೇನರ್ ರಿಜಿಸ್ಟ್ರಿ ಅಥವಾ CI/CD ಪೈಪ್ಲೈನ್ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿದೆ;
ಧಾರಕಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳು ಮತ್ತು ಇತರ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಗಳ ಹುಡುಕಾಟದೊಂದಿಗೆ ರನ್ಟೈಮ್ ರಕ್ಷಣೆ;
ಕಂಟೈನರ್-ಸ್ಥಳೀಯ ಫೈರ್ವಾಲ್;
ಕ್ಲೌಡ್ ಸೇವೆಗಳಲ್ಲಿ ಸರ್ವರ್ಲೆಸ್ಗೆ ಭದ್ರತೆ;
ಈವೆಂಟ್ ಲಾಗಿಂಗ್ ಜೊತೆಗೆ ಅನುಸರಣೆ ಪರೀಕ್ಷೆ ಮತ್ತು ಆಡಿಟಿಂಗ್ ಸಂಯೋಜಿಸಲಾಗಿದೆ.
ಸೂಚನೆ. ಅನುವಾದ.: ಇವೆ ಎಂದು ಸಹ ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ ಎಂಬ ಉತ್ಪನ್ನದ ಉಚಿತ ಘಟಕ ಮೈಕ್ರೋಸ್ಕ್ಯಾನರ್, ಇದು ದುರ್ಬಲತೆಗಳಿಗಾಗಿ ಕಂಟೇನರ್ ಚಿತ್ರಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪಾವತಿಸಿದ ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ಅದರ ಸಾಮರ್ಥ್ಯಗಳ ಹೋಲಿಕೆಯನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ ಈ ಟೇಬಲ್.
ಸ್ಥಳೀಯ ಅಥವಾ ಕ್ಲೌಡ್ ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಡಿಟೆಕ್ಟರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೂಲಕ ಕ್ಯಾಪ್ಸುಲ್ 8 ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಸಂಯೋಜಿಸುತ್ತದೆ. ಈ ಡಿಟೆಕ್ಟರ್ ಹೋಸ್ಟ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಟೆಲಿಮೆಟ್ರಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಇದು ವಿವಿಧ ರೀತಿಯ ದಾಳಿಗಳೊಂದಿಗೆ ಪರಸ್ಪರ ಸಂಬಂಧ ಹೊಂದಿದೆ.
ಕ್ಯಾಪ್ಸುಲ್ 8 ತಂಡವು ತನ್ನ ಕಾರ್ಯವನ್ನು ಹೊಸದನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಯ ಆರಂಭಿಕ ಪತ್ತೆ ಮತ್ತು ತಡೆಗಟ್ಟುವಿಕೆಯನ್ನು ನೋಡುತ್ತದೆ (0-ದಿನ) ದುರ್ಬಲತೆಗಳು. ಹೊಸದಾಗಿ ಕಂಡುಹಿಡಿದ ಬೆದರಿಕೆಗಳು ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ ದೋಷಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಕ್ಯಾಪ್ಸುಲ್ 8 ನೇರವಾಗಿ ಡಿಟೆಕ್ಟರ್ಗಳಿಗೆ ನವೀಕರಿಸಿದ ಭದ್ರತಾ ನಿಯಮಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು.
ಸುರಕ್ಷತಾ ಮಾನದಂಡಗಳಲ್ಲಿ ತೊಡಗಿರುವ ವಿವಿಧ ಏಜೆನ್ಸಿಗಳಿಗೆ ಕ್ಯಾವಿರಿನ್ ಕಂಪನಿಯ ಕಡೆಯ ಗುತ್ತಿಗೆದಾರರಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಇದು ಚಿತ್ರಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದಲ್ಲದೆ, ಇದು CI/CD ಪೈಪ್ಲೈನ್ಗೆ ಸಂಯೋಜಿಸಬಹುದು, ಮುಚ್ಚಿದ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಪ್ರವೇಶಿಸುವ ಮೊದಲು ಪ್ರಮಾಣಿತವಲ್ಲದ ಚಿತ್ರಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ.
Cavirin ನ ಭದ್ರತಾ ಸೂಟ್ ನಿಮ್ಮ ಸೈಬರ್ ಭದ್ರತೆಯ ಭಂಗಿಯನ್ನು ನಿರ್ಣಯಿಸಲು ಯಂತ್ರ ಕಲಿಕೆಯನ್ನು ಬಳಸುತ್ತದೆ, ಭದ್ರತೆಯನ್ನು ಸುಧಾರಿಸಲು ಮತ್ತು ಭದ್ರತಾ ಮಾನದಂಡಗಳ ಅನುಸರಣೆಯನ್ನು ಸುಧಾರಿಸಲು ಸಲಹೆಗಳನ್ನು ನೀಡುತ್ತದೆ.
ಕ್ಲೌಡ್ ಸೆಕ್ಯುರಿಟಿ ಕಮಾಂಡ್ ಸೆಂಟರ್ ಭದ್ರತಾ ತಂಡಗಳಿಗೆ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು, ಬೆದರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಕಂಪನಿಗೆ ಹಾನಿ ಮಾಡುವ ಮೊದಲು ಅವುಗಳನ್ನು ತೊಡೆದುಹಾಕಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ಹೆಸರೇ ಸೂಚಿಸುವಂತೆ, Google ಕ್ಲೌಡ್ SCC ಯು ಏಕೀಕೃತ ನಿಯಂತ್ರಣ ಫಲಕವಾಗಿದ್ದು ಅದು ವಿವಿಧ ಭದ್ರತಾ ವರದಿಗಳು, ಆಸ್ತಿ ಲೆಕ್ಕಪತ್ರ ಎಂಜಿನ್ಗಳು ಮತ್ತು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಏಕ, ಕೇಂದ್ರೀಕೃತ ಮೂಲದಿಂದ ಸಂಯೋಜಿಸಬಹುದು ಮತ್ತು ನಿರ್ವಹಿಸಬಹುದು.
ಗೂಗಲ್ ಕ್ಲೌಡ್ ಎಸ್ಸಿಸಿ ನೀಡುವ ಇಂಟರ್ಆಪರೇಬಲ್ API ವಿವಿಧ ಮೂಲಗಳಿಂದ ಬರುವ ಭದ್ರತಾ ಈವೆಂಟ್ಗಳನ್ನು ಸಂಯೋಜಿಸಲು ಸುಲಭಗೊಳಿಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ Sysdig Secure (ಕ್ಲೌಡ್-ಸ್ಥಳೀಯ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗಾಗಿ ಕಂಟೈನರ್ ಭದ್ರತೆ) ಅಥವಾ Falco (ಓಪನ್ ಸೋರ್ಸ್ ರನ್ಟೈಮ್ ಭದ್ರತೆ).
ಲೇಯರ್ಡ್ ಇನ್ಸೈಟ್ (ಈಗ ಕ್ವಾಲಿಸ್ ಇಂಕ್ನ ಭಾಗ) "ಎಂಬೆಡೆಡ್ ಸೆಕ್ಯುರಿಟಿ" ಎಂಬ ಪರಿಕಲ್ಪನೆಯ ಮೇಲೆ ನಿರ್ಮಿಸಲಾಗಿದೆ. ಸಂಖ್ಯಾಶಾಸ್ತ್ರೀಯ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು CVE ತಪಾಸಣೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೋಷಗಳಿಗಾಗಿ ಮೂಲ ಚಿತ್ರವನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿದ ನಂತರ, ಲೇಯರ್ಡ್ ಒಳನೋಟವು ಏಜೆಂಟ್ ಅನ್ನು ಬೈನರಿಯಾಗಿ ಒಳಗೊಂಡಿರುವ ಉಪಕರಣದ ಚಿತ್ರದೊಂದಿಗೆ ಬದಲಾಯಿಸುತ್ತದೆ.
ಕಂಟೇನರ್ ನೆಟ್ವರ್ಕ್ ಟ್ರಾಫಿಕ್, I/O ಹರಿವುಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಚಟುವಟಿಕೆಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಈ ಏಜೆಂಟ್ ರನ್ಟೈಮ್ ಭದ್ರತಾ ಪರೀಕ್ಷೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಇದು ಮೂಲಸೌಕರ್ಯ ನಿರ್ವಾಹಕರು ಅಥವಾ DevOps ತಂಡಗಳು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಹೆಚ್ಚುವರಿ ಭದ್ರತಾ ತಪಾಸಣೆಗಳನ್ನು ಮಾಡಬಹುದು.
NeuVector ಕಂಟೇನರ್ ಸುರಕ್ಷತೆಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಚಟುವಟಿಕೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ನಡವಳಿಕೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ ರನ್ಟೈಮ್ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ, ಪ್ರತಿ ಕಂಟೇನರ್ಗೆ ಪ್ರತ್ಯೇಕ ಭದ್ರತಾ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ. ಇದು ಸ್ಥಳೀಯ ಫೈರ್ವಾಲ್ ನಿಯಮಗಳನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯನ್ನು ಪ್ರತ್ಯೇಕಿಸುವ ಮೂಲಕ ತನ್ನದೇ ಆದ ಬೆದರಿಕೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಬಹುದು.
ಸೆಕ್ಯುರಿಟಿ ಮೆಶ್ ಎಂದು ಕರೆಯಲ್ಪಡುವ ನ್ಯೂವೆಕ್ಟರ್ನ ನೆಟ್ವರ್ಕ್ ಏಕೀಕರಣವು ಆಳವಾದ ಪ್ಯಾಕೆಟ್ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಸೇವಾ ಜಾಲರಿಯಲ್ಲಿನ ಎಲ್ಲಾ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಗಳಿಗೆ ಲೇಯರ್ 7 ಫಿಲ್ಟರಿಂಗ್ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದೆ.
ಸ್ಟಾಕ್ರಾಕ್ಸ್ ಕಂಟೈನರ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಕುಬರ್ನೆಟ್ಸ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಸಂಪೂರ್ಣ ಜೀವನಚಕ್ರವನ್ನು ಕ್ಲಸ್ಟರ್ನಲ್ಲಿ ಕವರ್ ಮಾಡಲು ಶ್ರಮಿಸುತ್ತದೆ. ಈ ಪಟ್ಟಿಯಲ್ಲಿರುವ ಇತರ ವಾಣಿಜ್ಯ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳಂತೆ, StackRox ಗಮನಿಸಿದ ಧಾರಕ ನಡವಳಿಕೆಯ ಆಧಾರದ ಮೇಲೆ ರನ್ಟೈಮ್ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಯಾವುದೇ ವಿಚಲನಗಳಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಎಚ್ಚರಿಕೆಯನ್ನು ನೀಡುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, StackRox ಕಂಟೇನರ್ ಅನುಸರಣೆಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು Kubernetes CIS ಮತ್ತು ಇತರ ನಿಯಮಪುಸ್ತಕಗಳನ್ನು ಬಳಸಿಕೊಂಡು Kubernetes ಸಂರಚನೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ.
ಸಿಸ್ಡಿಗ್ ಸೆಕ್ಯೂರ್ ಸಂಪೂರ್ಣ ಕಂಟೇನರ್ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ ಜೀವನಚಕ್ರದಾದ್ಯಂತ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ರಕ್ಷಿಸುತ್ತದೆ. ಅವನು ಚಿತ್ರಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ ಕಂಟೈನರ್, ಒದಗಿಸುತ್ತದೆ ರನ್ಟೈಮ್ ರಕ್ಷಣೆ ಯಂತ್ರ ಕಲಿಕೆಯ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ಕೆನೆ ನಿರ್ವಹಿಸುತ್ತದೆ. ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಪರಿಣತಿ, ಬೆದರಿಕೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ, ಮಾನಿಟರ್ ಸ್ಥಾಪಿತ ಮಾನದಂಡಗಳ ಅನುಸರಣೆ ಮತ್ತು ಮೈಕ್ರೊ ಸರ್ವೀಸ್ನಲ್ಲಿನ ಲೆಕ್ಕಪರಿಶೋಧನೆಯ ಚಟುವಟಿಕೆ.
Sysdig Secure ಜೆಂಕಿನ್ಸ್ನಂತಹ CI/CD ಪರಿಕರಗಳೊಂದಿಗೆ ಸಂಯೋಜನೆಗೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಡಾಕರ್ ರಿಜಿಸ್ಟ್ರಿಗಳಿಂದ ಲೋಡ್ ಮಾಡಲಾದ ಚಿತ್ರಗಳನ್ನು ನಿಯಂತ್ರಿಸುತ್ತದೆ, ಉತ್ಪಾದನೆಯಲ್ಲಿ ಅಪಾಯಕಾರಿ ಚಿತ್ರಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುವುದನ್ನು ತಡೆಯುತ್ತದೆ. ಇದು ಸಮಗ್ರ ರನ್ಟೈಮ್ ಭದ್ರತೆಯನ್ನು ಸಹ ಒದಗಿಸುತ್ತದೆ, ಅವುಗಳೆಂದರೆ:
ML-ಆಧಾರಿತ ರನ್ಟೈಮ್ ಪ್ರೊಫೈಲಿಂಗ್ ಮತ್ತು ಅಸಂಗತತೆ ಪತ್ತೆ;
ಸಿಸ್ಟಮ್ ಈವೆಂಟ್ಗಳು, K8s-ಆಡಿಟ್ API, ಜಂಟಿ ಸಮುದಾಯ ಯೋಜನೆಗಳು (FIM - ಫೈಲ್ ಸಮಗ್ರತೆಯ ಮೇಲ್ವಿಚಾರಣೆ; ಕ್ರಿಪ್ಟೋಜಾಕಿಂಗ್) ಮತ್ತು ಫ್ರೇಮ್ವರ್ಕ್ ಅನ್ನು ಆಧರಿಸಿದ ರನ್ಟೈಮ್ ನೀತಿಗಳು MITER ATT&CK;
ಕಂಟೈನರ್ಗಳ ಆಗಮನದ ಮೊದಲು, ಟೆನೆಬಲ್ ಜನಪ್ರಿಯ ದುರ್ಬಲತೆ ಬೇಟೆ ಮತ್ತು ಭದ್ರತಾ ಲೆಕ್ಕಪರಿಶೋಧನಾ ಸಾಧನವಾದ ನೆಸ್ಸಸ್ನ ಹಿಂದಿನ ಕಂಪನಿಯಾಗಿ ಉದ್ಯಮದಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಪರಿಚಿತವಾಗಿತ್ತು.
ಟೆನೆಬಲ್ ಕಂಟೈನರ್ ಸೆಕ್ಯುರಿಟಿ ಕಂಪನಿಯ ಕಂಪ್ಯೂಟರ್ ಭದ್ರತಾ ಪರಿಣತಿಯನ್ನು ದುರ್ಬಲತೆ ಡೇಟಾಬೇಸ್ಗಳು, ವಿಶೇಷ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ಪ್ಯಾಕೇಜುಗಳು ಮತ್ತು ಭದ್ರತಾ ಬೆದರಿಕೆಗಳನ್ನು ಪರಿಹರಿಸುವ ಶಿಫಾರಸುಗಳೊಂದಿಗೆ CI/CD ಪೈಪ್ಲೈನ್ ಅನ್ನು ಸಂಯೋಜಿಸಲು ಹತೋಟಿ ನೀಡುತ್ತದೆ.
ಟ್ವಿಸ್ಟ್ಲಾಕ್ ಕ್ಲೌಡ್ ಸೇವೆಗಳು ಮತ್ತು ಕಂಟೈನರ್ಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿದ ವೇದಿಕೆಯಾಗಿ ತನ್ನನ್ನು ತಾನು ಪ್ರಚಾರಪಡಿಸಿಕೊಳ್ಳುತ್ತದೆ. Twistlock ವಿವಿಧ ಕ್ಲೌಡ್ ಪೂರೈಕೆದಾರರನ್ನು (AWS, Azure, GCP), ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಟರ್ಗಳು (ಕುಬರ್ನೆಟ್ಸ್, ಮೆಸೊಸ್ಪಿಹೆರ್, ಓಪನ್ಶಿಫ್ಟ್, ಡಾಕರ್), ಸರ್ವರ್ಲೆಸ್ ರನ್ಟೈಮ್ಗಳು, ಮೆಶ್ ಫ್ರೇಮ್ವರ್ಕ್ಗಳು ಮತ್ತು CI/CD ಪರಿಕರಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
CI/CD ಪೈಪ್ಲೈನ್ ಏಕೀಕರಣ ಅಥವಾ ಇಮೇಜ್ ಸ್ಕ್ಯಾನಿಂಗ್ನಂತಹ ಸಾಂಪ್ರದಾಯಿಕ ಎಂಟರ್ಪ್ರೈಸ್-ದರ್ಜೆಯ ಭದ್ರತಾ ತಂತ್ರಗಳ ಜೊತೆಗೆ, ಕಂಟೈನರ್-ನಿರ್ದಿಷ್ಟ ನಡವಳಿಕೆಯ ಮಾದರಿಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ ನಿಯಮಗಳನ್ನು ರಚಿಸಲು Twistlock ಯಂತ್ರ ಕಲಿಕೆಯನ್ನು ಬಳಸುತ್ತದೆ.
ಕೆಲವು ಸಮಯದ ಹಿಂದೆ, Evident.io ಮತ್ತು RedLock ಯೋಜನೆಗಳನ್ನು ಹೊಂದಿರುವ Palo Alto Networks ನಿಂದ Twistlock ಅನ್ನು ಖರೀದಿಸಲಾಯಿತು. ಈ ಮೂರು ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳನ್ನು ನಿಖರವಾಗಿ ಹೇಗೆ ಸಂಯೋಜಿಸಲಾಗುತ್ತದೆ ಎಂಬುದು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ ಪ್ರಿಸ್ಮ್ ಪಾಲೋ ಆಲ್ಟೊದಿಂದ.
ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತಾ ಪರಿಕರಗಳ ಅತ್ಯುತ್ತಮ ಕ್ಯಾಟಲಾಗ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಸಹಾಯ ಮಾಡಿ!
ಈ ಕ್ಯಾಟಲಾಗ್ ಅನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಪೂರ್ಣಗೊಳಿಸಲು ನಾವು ಪ್ರಯತ್ನಿಸುತ್ತೇವೆ ಮತ್ತು ಇದಕ್ಕಾಗಿ ನಮಗೆ ನಿಮ್ಮ ಸಹಾಯದ ಅಗತ್ಯವಿದೆ! ನಮ್ಮನ್ನು ಸಂಪರ್ಕಿಸಿ (@ಸಿಸ್ಡಿಗ್) ಈ ಪಟ್ಟಿಯಲ್ಲಿ ಸೇರಿಸಲು ಯೋಗ್ಯವಾದ ತಂಪಾದ ಸಾಧನವನ್ನು ನೀವು ಮನಸ್ಸಿನಲ್ಲಿಟ್ಟುಕೊಂಡಿದ್ದರೆ, ಅಥವಾ ನೀವು ದೋಷ/ಹಳೆಯ ಮಾಹಿತಿಯನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೀರಿ.
ನೀವು ನಮ್ಮ ಚಂದಾದಾರರಾಗಬಹುದು ಮಾಸಿಕ ಸುದ್ದಿಪತ್ರ ಕ್ಲೌಡ್-ಸ್ಥಳೀಯ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯಿಂದ ಸುದ್ದಿ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ ಭದ್ರತೆಯ ಪ್ರಪಂಚದ ಆಸಕ್ತಿದಾಯಕ ಯೋಜನೆಗಳ ಬಗ್ಗೆ ಕಥೆಗಳೊಂದಿಗೆ.