33개 이상의 Kubernetes 보안 도구

메모. 번역: Kubernetes 기반 인프라의 보안에 대해 궁금하다면 Sysdig의 이 훌륭한 개요는 현재 솔루션을 빠르게 살펴볼 수 있는 좋은 출발점입니다. 여기에는 잘 알려진 시장 참가자의 복잡한 시스템과 특정 문제를 해결하는 훨씬 더 겸손한 유틸리티가 모두 포함됩니다. 그리고 언제나처럼 의견을 통해 이러한 도구를 사용한 경험에 대해 듣고 다른 프로젝트에 대한 링크를 확인하게 되어 기쁩니다.

Kubernetes 보안 소프트웨어 제품은... 너무 많아서 각각 고유한 목표, 범위 및 라이선스가 있습니다.

이것이 우리가 이 목록을 만들고 다양한 공급업체의 오픈 소스 프로젝트와 상용 플랫폼을 모두 포함하기로 결정한 이유입니다. 가장 관심 있는 항목을 식별하고 특정 Kubernetes 보안 요구 사항에 따라 올바른 방향을 안내하는 데 도움이 되기를 바랍니다.

범주

목록을 더 쉽게 탐색할 수 있도록 도구는 주요 기능과 응용 프로그램별로 구성되어 있습니다. 다음 섹션을 얻었습니다.

• Kubernetes 이미지 스캐닝 및 정적 분석
• 런타임 보안;
• 쿠버네티스 네트워크 보안;
• 이미지 배포 및 비밀 관리
• Kubernetes 보안 감사;
• 종합적인 상용 제품.

사업을 시작합시다 :

Kubernetes 이미지 스캔

앵커

• 웹 사이트 : anchore.com
• 라이센스: 무료(Apache) 및 상업용 제공

Anchore는 컨테이너 이미지를 분석하고 사용자 정의 정책을 기반으로 보안 점검을 허용합니다.

CVE 데이터베이스의 알려진 취약점에 대한 컨테이너 이미지의 일반적인 스캔 외에도 Anchore는 스캔 정책의 일부로 많은 추가 검사를 수행합니다. 즉, Dockerfile, 자격 증명 누출, 사용된 프로그래밍 언어 패키지(npm, maven 등)를 확인합니다. .), 소프트웨어 라이센스 등.

명확한

• 웹 사이트 : coreos.com/clair (현재는 Red Hat의 지도 하에 있음)
• 라이센스: 무료(Apache)

Clair는 이미지 스캐닝을 위한 최초의 오픈 소스 프로젝트 중 하나였습니다. Quay 이미지 레지스트리 뒤에 있는 보안 스캐너로 널리 알려져 있습니다. (CoreOS에서도 - 대략. 번역). Clair는 Debian, Red Hat 또는 Ubuntu 보안 팀에서 관리하는 Linux 배포판별 취약점 목록을 포함하여 다양한 소스에서 CVE 정보를 수집할 수 있습니다.

Anchore와 달리 Clair는 주로 취약점을 찾고 데이터를 CVE와 일치시키는 데 중점을 둡니다. 그러나 이 제품은 사용자에게 플러그인 드라이버를 사용하여 기능을 확장할 수 있는 몇 가지 기회를 제공합니다.

다다

• 웹 사이트 : github.com/eliasgranderubio/dagda
• 라이센스: 무료(Apache)

Dagda는 알려진 취약점, 트로이 목마, 바이러스, 맬웨어 및 기타 위협에 대한 컨테이너 이미지의 정적 분석을 수행합니다.

Dagda를 다른 유사한 도구와 구별하는 두 가지 주목할만한 기능은 다음과 같습니다.

• 그것은 완벽하게 통합됩니다 ClamAV를, 컨테이너 이미지를 검색하는 도구일 뿐만 아니라 바이러스 백신 역할도 합니다.
• 또한 Docker 데몬에서 실시간 이벤트를 수신하고 Falco와 통합하여 런타임 보호 기능을 제공합니다. (아래 참조) 컨테이너가 실행되는 동안 보안 이벤트를 수집합니다.

KubeXray

• 웹 사이트 : github.com/jfrog/kubexray
• 라이센스: 무료(Apache), 그러나 JFrog Xray(상업용 제품)의 데이터가 필요합니다.

KubeXray는 Kubernetes API 서버의 이벤트를 수신하고 JFrog Xray의 메타데이터를 사용하여 현재 정책과 일치하는 Pod만 시작되도록 합니다.

KubeXray는 배포 시 신규 또는 업데이트된 컨테이너를 감사할 뿐만 아니라(Kubernetes의 승인 컨트롤러와 유사) 실행 중인 컨테이너가 새로운 보안 정책을 준수하는지 동적으로 확인하여 취약한 이미지를 참조하는 리소스를 제거합니다.

스 니크

• 웹 사이트 : snyk.io
• 라이센스: 무료(Apache) 및 상용 버전

Snyk는 특히 개발 프로세스를 대상으로 하며 개발자를 위한 "필수 솔루션"으로 홍보된다는 점에서 특이한 취약점 스캐너입니다.

Snyk는 코드 저장소에 직접 연결하고, 프로젝트 매니페스트를 구문 분석하고, 직접 및 간접 종속성과 함께 가져온 코드를 분석합니다. Snyk는 널리 사용되는 많은 프로그래밍 언어를 지원하며 숨겨진 라이센스 위험을 식별할 수 있습니다.

사소한

• 웹 사이트 : github.com/knqyf263/trivy
• 라이센스: 무료(AGPL)

Trivy는 CI/CD 파이프라인에 쉽게 통합되는 간단하지만 강력한 컨테이너용 취약성 스캐너입니다. 주목할만한 특징은 설치 및 작동이 쉽다는 것입니다. 애플리케이션은 단일 바이너리로 구성되며 데이터베이스나 추가 라이브러리를 설치할 필요가 없습니다.

Trivy의 단순성의 단점은 다른 Kubernetes 보안 도구가 결과를 사용할 수 있도록 JSON 형식으로 결과를 구문 분석하고 전달하는 방법을 파악해야 한다는 것입니다.

Kubernetes의 런타임 보안

팔코

• 웹 사이트 : falco.org
• 라이센스: 무료(Apache)

Falco는 클라우드 런타임 환경을 보호하기 위한 도구 세트입니다. 프로젝트 제품군의 일부 CNCF.

Falco는 Sysdig의 Linux 커널 수준 도구 및 시스템 호출 프로파일링을 사용하여 시스템 동작을 심층적으로 분석할 수 있도록 해줍니다. 런타임 규칙 엔진은 애플리케이션, 컨테이너, 기본 호스트 및 Kubernetes 오케스트레이터에서 의심스러운 활동을 탐지할 수 있습니다.

Falco는 이러한 목적을 위해 Kubernetes 노드에 특수 에이전트를 배포하여 런타임 및 위협 탐지에 대한 완전한 투명성을 제공합니다. 결과적으로 타사 코드를 도입하거나 사이드카 컨테이너를 추가하여 컨테이너를 수정할 필요가 없습니다.

런타임용 Linux 보안 프레임워크

이러한 Linux 커널용 기본 프레임워크는 전통적인 의미의 'Kubernetes 보안 도구'는 아니지만 Kubernetes Pod 보안 정책(PSP)에 포함된 런타임 보안 맥락에서 중요한 요소이기 때문에 언급할 가치가 있습니다.

AppArmor 컨테이너에서 실행되는 프로세스에 보안 프로필을 연결하여 파일 시스템 권한, 네트워크 액세스 규칙, 라이브러리 연결 등을 정의합니다. 이는 MAC(Mandatory Access Control) 기반 시스템입니다. 즉, 금지된 행위가 수행되는 것을 방지합니다.

보안이 강화된 Linux(SELinux를)는 Linux 커널의 고급 보안 모듈로, 일부 측면에서 AppArmor와 유사하며 종종 AppArmor와 비교됩니다. SELinux는 성능, 유연성 및 사용자 정의 측면에서 AppArmor보다 우수합니다. 단점은 학습 기간이 길고 복잡성이 증가한다는 것입니다.

초컴 seccomp-bpf를 사용하면 시스템 호출을 필터링하고 기본 OS에 잠재적으로 위험하며 사용자 애플리케이션의 정상적인 작동에 필요하지 않은 호출의 실행을 차단할 수 있습니다. Seccomp는 컨테이너의 세부 사항을 알지 못하지만 어떤 면에서는 Falco와 유사합니다.

Sysdig 오픈 소스

• 웹 사이트 : www.sysdig.com/opensource
• 라이센스: 무료(Apache)

Sysdig는 Linux 시스템을 분석, 진단 및 디버깅하기 위한 완벽한 도구입니다(Windows 및 macOS에서도 작동하지만 기능이 제한됨). 상세한 정보 수집, 검증, 포렌식 분석에 사용될 수 있습니다. (법의학) 기본 시스템과 그 위에서 실행되는 모든 컨테이너.

또한 Sysdig는 기본적으로 컨테이너 런타임 및 Kubernetes 메타데이터를 지원하여 수집하는 모든 시스템 동작 정보에 추가 차원과 레이블을 추가합니다. Sysdig를 사용하여 Kubernetes 클러스터를 분석하는 방법에는 여러 가지가 있습니다. 다음을 통해 특정 시점 캡처를 수행할 수 있습니다. kubectl 캡처 또는 플러그인을 사용하여 ncurses 기반 대화형 인터페이스를 시작하세요. kubectl 발굴.

쿠버네티스 네트워크 보안

아포레토

• 웹 사이트 : www.aporeto.com
• 라이센스: 상업용

Aporeto는 "네트워크 및 인프라와 분리된 보안"을 제공합니다. 즉, Kubernetes 서비스는 로컬 ID(예: Kubernetes의 ServiceAccount)뿐만 아니라 OpenShift 클러스터 등의 다른 서비스와 안전하게 상호 통신하는 데 사용할 수 있는 범용 ID/지문도 수신합니다.

Aporeto는 Kubernetes/컨테이너뿐만 아니라 호스트, 클라우드 기능 및 사용자에 대해서도 고유 ID를 생성할 수 있습니다. 이러한 식별자와 관리자가 설정한 네트워크 보안 규칙 집합에 따라 통신이 허용되거나 차단됩니다.

옥양목

• 웹 사이트 : www.projectcalico.org
• 라이센스: 무료(Apache)

Calico는 일반적으로 컨테이너 오케스트레이터 설치 중에 배포되므로 컨테이너를 상호 연결하는 가상 네트워크를 생성할 수 있습니다. 이 기본 네트워크 기능 외에도 Calico 프로젝트는 Kubernetes 네트워크 정책 및 자체 네트워크 보안 프로필 세트와 함께 작동하고 수신 및 송신 트래픽에 대한 엔드포인트 ACL(액세스 제어 목록) 및 주석 기반 네트워크 보안 규칙을 지원합니다.

섬모

• 웹 사이트 : www.cilium.io
• 라이센스: 무료(Apache)

Cilium은 컨테이너의 방화벽 역할을 하며 Kubernetes 및 마이크로서비스 워크로드에 기본적으로 맞춤화된 네트워크 보안 기능을 제공합니다. Cilium은 BPF(Berkeley Packet Filter)라는 새로운 Linux 커널 기술을 사용하여 데이터를 필터링, 모니터링, 리디렉션 및 수정합니다.

Cilium은 Docker 또는 Kubernetes 레이블과 메타데이터를 사용하여 컨테이너 ID를 기반으로 네트워크 액세스 정책을 배포할 수 있습니다. 또한 Cilium은 HTTP 또는 gRPC와 같은 다양한 레이어 7 프로토콜을 이해하고 필터링하므로 예를 들어 두 Kubernetes 배포 간에 허용되는 REST 호출 집합을 정의할 수 있습니다.

이스 티오

• 웹 사이트 : istio.io
• 라이센스: 무료(Apache)

Istio는 플랫폼 독립적인 제어 평면을 배포하고 모든 관리형 서비스 트래픽을 동적으로 구성 가능한 Envoy 프록시를 통해 라우팅하여 서비스 메시 패러다임을 구현하는 것으로 널리 알려져 있습니다. Istio는 모든 마이크로서비스 및 컨테이너에 대한 고급 보기를 활용하여 다양한 네트워크 보안 전략을 구현합니다.

Istio의 네트워크 보안 기능에는 마이크로서비스 간 통신을 HTTPS로 자동 업그레이드하는 투명한 TLS 암호화와 클러스터의 다양한 워크로드 간 통신을 허용/거부하는 독점 RBAC 식별 및 인증 시스템이 포함됩니다.

메모. 번역: Istio의 보안 중심 기능에 대해 자세히 알아보려면 다음을 읽어보세요. 이 기사.

티거라

• 웹 사이트 : www.tigera.io
• 라이센스: 상업용

"Kubernetes 방화벽"이라고 불리는 이 솔루션은 네트워크 보안에 대한 제로 트러스트 접근 방식을 강조합니다.

다른 기본 Kubernetes 네트워킹 솔루션과 마찬가지로 Tigera는 메타데이터를 사용하여 클러스터의 다양한 서비스와 개체를 식별하고 런타임 문제 감지, 지속적인 규정 준수 확인 및 멀티 클라우드 또는 하이브리드 모놀리식 컨테이너형 인프라에 대한 네트워크 가시성을 제공합니다.

트라이림

• 웹 사이트 : www.aporeto.com/opensource
• 라이센스: 무료(Apache)

Trireme-Kubernetes는 Kubernetes 네트워크 정책 사양을 간단하고 간단하게 구현합니다. 가장 주목할만한 기능은 유사한 Kubernetes 네트워크 보안 제품과 달리 메시를 조정하기 위해 중앙 제어 플레인이 필요하지 않다는 것입니다. 이는 솔루션을 간단하게 확장 가능하게 만듭니다. Trireme에서는 호스트의 TCP/IP 스택에 직접 연결되는 각 노드에 에이전트를 설치하여 이를 수행합니다.

이미지 전파 및 비밀 관리

그라페아스

• 웹 사이트 : Grafeas.io
• 라이센스: 무료(Apache)

Grafeas는 소프트웨어 공급망 감사 및 관리를 위한 오픈 소스 API입니다. 기본적으로 Grafeas는 메타데이터 및 감사 결과를 수집하는 도구입니다. 조직 내에서 보안 모범 사례의 준수 여부를 추적하는 데 사용할 수 있습니다.

이 중앙 집중식 정보 소스는 다음과 같은 질문에 답하는 데 도움이 됩니다.

• 특정 컨테이너를 수집하고 서명한 사람은 누구입니까?
• 보안 정책에서 요구하는 모든 보안 검사 및 검사를 통과했습니까? 언제? 결과는 어땠나요?
• 누가 프로덕션에 배포했나요? 배포 중에 어떤 특정 매개변수가 사용되었습니까?

인토토

• 웹 사이트 : in-toto.github.io
• 라이센스: 무료(Apache)

In-toto는 전체 소프트웨어 공급망에 대한 무결성, 인증 및 감사를 제공하도록 설계된 프레임워크입니다. In-toto를 인프라에 배포할 때 파이프라인(리포지토리, CI/CD 도구, QA 도구, 아티팩트 수집기 등)의 다양한 단계와 다음을 수행할 수 있는 사용자(책임자)를 설명하는 계획이 먼저 정의됩니다. 그들을 시작하십시오.

In-toto는 계획의 실행을 모니터링하여 체인의 각 작업이 승인된 직원에 의해서만 올바르게 수행되는지 확인하고 이동 중에 제품에 승인되지 않은 조작이 수행되지 않았는지 확인합니다.

포르티에리스

• 웹 사이트 : github.com/IBM/portieris
• 라이센스: 무료(Apache)

Portieris는 Kubernetes의 승인 컨트롤러입니다. 콘텐츠 신뢰 검사를 시행하는 데 사용됩니다. Portieris는 서버를 사용합니다. 공증인 (우리는 마지막에 그에 대해 썼습니다 이 기사 - 대략. 번역) 신뢰할 수 있고 서명된 아티팩트(예: 승인된 컨테이너 이미지)를 검증하기 위한 정보 소스로 사용됩니다.

Kubernetes에서 워크로드가 생성되거나 수정되면 Portieris는 요청된 컨테이너 이미지에 대한 서명 정보와 콘텐츠 신뢰 정책을 다운로드하고, 필요한 경우 JSON API 개체를 즉시 변경하여 해당 이미지의 서명된 버전을 실행합니다.

둥근 천장

• 웹 사이트 : www.vaultproject.io
• 라이센스: 무료(MPL)

Vault는 비밀번호, OAuth 토큰, PKI 인증서, 액세스 계정, Kubernetes 비밀 등 개인 정보를 저장하기 위한 보안 솔루션입니다. Vault는 임시 보안 토큰 임대, 키 순환 구성과 같은 다양한 고급 기능을 지원합니다.

Helm 차트를 사용하면 Consul을 백엔드 스토리지로 사용하여 Kubernetes 클러스터에 Vault를 새로운 배포로 배포할 수 있습니다. ServiceAccount 토큰과 같은 기본 Kubernetes 리소스를 지원하며 Kubernetes 비밀의 기본 저장소 역할도 할 수 있습니다.

메모. 번역: 그런데 어제 Vault를 개발하는 HashiCorp 회사는 Kubernetes에서 Vault 사용에 대한 몇 가지 개선 사항을 발표했는데, 특히 Helm 차트와 관련이 있습니다. 자세히 알아보기 개발자 블로그.

Kubernetes 보안 감사

큐브벤치

• 웹 사이트 : github.com/aquasecurity/kube-bench
• 라이센스: 무료(Apache)

Kube-bench는 목록에서 테스트를 실행하여 Kubernetes가 안전하게 배포되었는지 확인하는 Go 애플리케이션입니다. CIS 쿠버네티스 벤치마크.

Kube-bench는 클러스터 구성 요소(etcd, API, 컨트롤러 관리자 등) 간의 안전하지 않은 구성 설정, 의심스러운 파일 액세스 권한, 보호되지 않은 계정 또는 열린 포트, 리소스 할당량, DoS 공격으로부터 보호하기 위한 API 호출 수 제한 설정을 찾습니다. , 등.

쿠베헌터

• 웹 사이트 : github.com/aquasecurity/kube-hunter
• 라이센스: 무료(Apache)

Kube-hunter는 Kubernetes 클러스터의 잠재적인 취약점(예: 원격 코드 실행 또는 데이터 공개)을 찾습니다. Kube-hunter는 원격 스캐너로 실행될 수 있습니다. 이 경우 타사 공격자의 관점에서 클러스터를 평가하거나 클러스터 내부의 포드로 실행됩니다.

Kube-hunter의 독특한 특징은 "활성 헌팅" 모드로, 이 모드에서는 문제를 보고할 뿐만 아니라 잠재적으로 운영에 해를 끼칠 수 있는 대상 클러스터에서 발견된 취약점을 활용하려고 시도합니다. 그러니 주의해서 사용하세요!

Kubeaudit

• 웹 사이트 : github.com/Shopify/kubeaudit
• 라이센스: 무료(MIT)

Kubeaudit는 원래 Shopify에서 다양한 보안 문제에 대한 Kubernetes 구성을 감사하기 위해 개발한 콘솔 도구입니다. 예를 들어, 제한 없이 실행되거나, 루트로 실행되거나, 권한을 남용하거나, 기본 ServiceAccount를 사용하는 컨테이너를 식별하는 데 도움이 됩니다.

Kubeaudit에는 다른 흥미로운 기능이 있습니다. 예를 들어 로컬 YAML 파일을 분석하여 보안 문제를 일으킬 수 있는 구성 결함을 식별하고 자동으로 수정할 수 있습니다.

쿠베섹

• 웹 사이트 : kubesec.io
• 라이센스: 무료(Apache)

Kubesec은 Kubernetes 리소스를 설명하는 YAML 파일을 직접 스캔하여 보안에 영향을 줄 수 있는 취약한 매개변수를 찾는 특수 도구입니다.

예를 들어 포드에 부여된 과도한 권한 및 사용 권한, 루트를 기본 사용자로 사용하여 컨테이너 실행, 호스트의 네트워크 네임스페이스에 연결 또는 다음과 같은 위험한 마운트를 감지할 수 있습니다. /proc 호스트 또는 Docker 소켓. Kubesec의 또 다른 흥미로운 기능은 YAML을 업로드하고 즉시 분석할 수 있는 온라인 데모 서비스입니다.

정책 에이전트 열기

• 웹 사이트 : www.openpolicyagent.org
• 라이센스: 무료(Apache)

OPA(개방형 정책 에이전트)의 개념은 Docker, Kubernetes, Mesosphere, OpenShift 또는 이들의 조합과 같은 특정 런타임 플랫폼에서 보안 정책과 보안 모범 사례를 분리하는 것입니다.

예를 들어 OPA를 Kubernetes 승인 컨트롤러의 백엔드로 배포하여 보안 결정을 위임할 수 있습니다. 이런 방식으로 OPA 에이전트는 지정된 보안 매개변수가 충족되는지 확인하면서 즉시 요청을 검증, 거부 및 수정할 수도 있습니다. OPA의 보안 정책은 독점 DSL 언어인 Rego로 작성되었습니다.

메모. 번역: 우리는 OPA(및 SPIFFE)에 대해 더 자세히 썼습니다. 이런 것.

Kubernetes 보안 분석을 위한 포괄적인 상용 도구

우리는 상용 플랫폼이 일반적으로 여러 보안 영역을 다루기 때문에 별도의 카테고리를 만들기로 결정했습니다. 해당 기능에 대한 일반적인 아이디어는 표에서 얻을 수 있습니다.

* 완벽한 사전 검사 및 사후 분석 시스템 호출 하이재킹.

아쿠아 시큐리티

• 웹 사이트 : www.aquasec.com
• 라이센스: 상업용

이 상용 도구는 컨테이너 및 클라우드 워크로드용으로 설계되었습니다. 다음을 제공합니다:

• 컨테이너 레지스트리 또는 CI/CD 파이프라인과 통합된 이미지 스캐닝
• 컨테이너의 변경 사항 및 기타 의심스러운 활동을 검색하여 런타임 보호
• 컨테이너 기반 방화벽
• 클라우드 서비스의 서버리스 보안;
• 이벤트 로깅과 결합된 규정 준수 테스트 및 감사.

메모. 번역: 또한, 다음과 같은 점도 주목할 가치가 있습니다. 라는 제품의 무료 구성 요소 마이크로스캐너, 이를 통해 컨테이너 이미지의 취약점을 스캔할 수 있습니다. 유료 버전과의 기능 비교는 다음과 같습니다. 이 테이블.

캡슐8

• 웹 사이트 : capsule8.com
• 라이센스: 상업용

Capsule8은 로컬 또는 클라우드 Kubernetes 클러스터에 감지기를 설치하여 인프라에 통합됩니다. 이 탐지기는 호스트 및 네트워크 원격 분석을 수집하여 다양한 유형의 공격과 연관시킵니다.

Capsule8 팀은 새로운 기술을 활용하여 공격을 조기에 탐지하고 예방하는 것을 임무로 보고 있습니다. (0일) 취약점. Capsule8은 새로 발견된 위협 및 소프트웨어 취약점에 대응하여 업데이트된 보안 규칙을 탐지기에 직접 다운로드할 수 있습니다.

카비린

• 웹 사이트 : www.cavirin.com
• 라이센스: 상업용

Cavirin은 안전 표준과 관련된 다양한 기관의 회사측 계약자 역할을 합니다. 이미지를 스캔할 수 있을 뿐만 아니라 CI/CD 파이프라인에 통합하여 비표준 이미지가 폐쇄된 저장소에 들어가기 전에 차단할 수도 있습니다.

Cavirin의 보안 제품군은 기계 학습을 사용하여 사이버 보안 상태를 평가하고 보안을 개선하고 보안 표준 준수를 향상시키는 팁을 제공합니다.

Google Cloud 보안 명령 센터

• 웹 사이트 : cloud.google.com/security-command-center
• 라이센스: 상업용

Cloud Security Command Center는 보안팀이 데이터를 수집하고, 위협을 식별하고, 회사에 해를 끼치기 전에 제거하는 데 도움이 됩니다.

이름에서 알 수 있듯이 Google Cloud SCC는 단일 중앙 소스에서 다양한 보안 보고서, 자산 회계 엔진, 타사 보안 시스템을 통합하고 관리할 수 있는 통합 제어판입니다.

Google Cloud SCC에서 제공하는 상호 운용 가능한 API를 사용하면 Sysdig Secure(클라우드 기반 애플리케이션을 위한 컨테이너 보안) 또는 Falco(오픈 소스 런타임 보안)와 같은 다양한 소스에서 발생하는 보안 이벤트를 쉽게 통합할 수 있습니다.

계층화된 통찰력(Qualys)

• 웹 사이트 : layeredinsight.com
• 라이센스: 상업용

Layered Insight(현재 Qualys Inc의 일부)는 "내장형 보안"이라는 개념을 기반으로 구축되었습니다. Layered Insight는 통계 분석 및 CVE 검사를 사용하여 원본 이미지에서 취약점을 스캔한 후 에이전트를 바이너리로 포함하는 계측 이미지로 대체합니다.

이 에이전트에는 컨테이너 네트워크 트래픽, I/O 흐름 및 애플리케이션 활동을 분석하기 위한 런타임 보안 테스트가 포함되어 있습니다. 또한 인프라 관리자 또는 DevOps 팀이 지정한 추가 보안 검사를 수행할 수 있습니다.

Neu벡터

• 웹 사이트 : neuVector.com
• 라이센스: 상업용

NeuVector는 네트워크 활동 및 애플리케이션 동작을 분석하고 각 컨테이너에 대한 개별 보안 프로필을 생성하여 컨테이너 보안을 확인하고 런타임 보호를 제공합니다. 또한 자체적으로 위협을 차단하고 로컬 방화벽 규칙을 변경하여 의심스러운 활동을 격리할 수도 있습니다.

Security Mesh로 알려진 NeuVector의 네트워크 통합은 서비스 메시의 모든 네트워크 연결에 대한 심층 패킷 분석 및 레이어 7 필터링이 가능합니다.

스택록스

• 웹 사이트 : www.stackrox.com
• 라이센스: 상업용

StackRox 컨테이너 보안 플랫폼은 클러스터에 있는 Kubernetes 애플리케이션의 전체 수명주기를 포괄하기 위해 노력합니다. 이 목록에 있는 다른 상용 플랫폼과 마찬가지로 StackRox는 관찰된 컨테이너 동작을 기반으로 런타임 프로필을 생성하고 편차가 있을 경우 자동으로 경보를 울립니다.

또한 StackRox는 Kubernetes CIS 및 기타 규칙서를 사용하여 Kubernetes 구성을 분석하여 컨테이너 규정 준수를 평가합니다.

Sysdig 보안

• 웹 사이트 : sysdig.com/products/secure
• 라이센스: 상업용

Sysdig Secure는 전체 컨테이너 및 Kubernetes 수명주기 동안 애플리케이션을 보호합니다. 그 이미지를 스캔합니다 컨테이너, 제공 런타임 보호 기계 학습 데이터에 따라 크림을 수행합니다. 취약점 식별, 위협 차단, 모니터링을 위한 전문 지식 확립된 표준 준수 마이크로서비스의 활동을 감사합니다.

Sysdig Secure는 Jenkins와 같은 CI/CD 도구와 통합되고 Docker 레지스트리에서 로드된 이미지를 제어하여 위험한 이미지가 프로덕션에 나타나는 것을 방지합니다. 또한 다음을 포함하여 포괄적인 런타임 보안을 제공합니다.

• ML 기반 런타임 프로파일링 및 이상 탐지
• 시스템 이벤트, K8s 감사 API, 공동 커뮤니티 프로젝트(FIM - 파일 무결성 모니터링, 크립토재킹) 및 프레임워크를 기반으로 하는 런타임 정책 MITER ATT & CK;
• 사건의 대응과 해결.

테너블 컨테이너 보안

• 웹 사이트 : www.tenable.com/products/tenable-io/container-security
• 라이센스: 상업용

컨테이너가 등장하기 전에 Tenable은 인기 있는 취약성 검색 및 보안 감사 도구인 Nessus를 개발한 회사로 업계에 널리 알려져 있었습니다.

Tenable Container Security는 회사의 컴퓨터 보안 전문 지식을 활용하여 CI/CD 파이프라인을 취약성 데이터베이스, 전문 맬웨어 탐지 패키지 및 보안 위협 해결을 위한 권장 사항과 통합합니다.

트위스트락(팔로알토 네트웍스)

• 웹 사이트 : www.twistlock.com
• 라이센스: 상업용

Twistlock은 클라우드 서비스 및 컨테이너에 초점을 맞춘 플랫폼으로 스스로를 홍보합니다. Twistlock은 다양한 클라우드 공급자(AWS, Azure, GCP), 컨테이너 오케스트레이터(Kubernetes, Mesospehere, OpenShift, Docker), 서버리스 런타임, 메시 프레임워크 및 CI/CD 도구를 지원합니다.

CI/CD 파이프라인 통합 또는 이미지 스캐닝과 같은 기존의 엔터프라이즈급 보안 기술 외에도 Twistlock은 기계 학습을 사용하여 컨테이너별 동작 패턴 및 네트워크 규칙을 생성합니다.

얼마 전 Twistlock은 Evident.io 및 RedLock 프로젝트를 소유한 Palo Alto Networks에 인수되었습니다. 이 세 가지 플랫폼이 정확히 어떻게 통합될지는 아직 알려지지 않았습니다. PRISMA 팔로알토 출신.

최고의 Kubernetes 보안 도구 카탈로그를 구축하도록 도와주세요!

우리는 이 카탈로그를 가능한 한 완전하게 만들기 위해 노력하고 있으며 이를 위해서는 여러분의 도움이 필요합니다! 문의하기 (@sysdig) 이 목록에 포함할 가치가 있는 멋진 도구를 염두에 두고 있거나 오류/오래된 정보를 발견한 경우.

당신은 또한 우리를 구독할 수 있습니다 월간 뉴스레터 클라우드 네이티브 생태계의 뉴스와 Kubernetes 보안 세계의 흥미로운 프로젝트에 대한 이야기를 제공합니다.

번역가의 추신

블로그에서도 읽어보세요.

• «보안 전문가를 위한 Kubernetes 네트워크 정책 소개";
• «보안에 민감한 환경의 Docker 및 Kubernetes";
• «9 Kubernetes 보안 모범 사례";
• «쿠버네티스 해킹의 피해자가 되지 않는 11가지 방법";
• «OPA와 SPIFFE는 클라우드 애플리케이션 보안을 위한 CNCF의 두 가지 새로운 프로젝트입니다.".

출처 : habr.com