33+ Amûrên ewlehiyê yên Kubernetes

Not. werger.: Ger hûn di binesaziya Kubernetes-based de li ser ewlehiyê dipirsin, ev pêşandana hêja ya Sysdig ji bo nihêrînek bilez li çareseriyên heyî destpêkek girîng e. Ew hem pergalên tevlihev ên ji lîstikvanên bazarê yên naskirî û hem jî karûbarên pir nermtir ên ku pirsgirêkek taybetî çareser dikin vedihewîne. Û di şîroveyan de, wekî her gav, em ê kêfxweş bibin ku ezmûna we bi karanîna van amûran bibihîzin û girêdanên projeyên din bibînin.

Berhemên nermalava ewlehiyê yên Kubernetes ... gelek ji wan hene, her yek bi armanc, çarçove û destûrnameyên xwe hene.

Ji ber vê yekê me biryar da ku em vê navnîşê biafirînin û hem projeyên çavkaniya vekirî û hem jî platformên bazirganî yên ji firoşkarên cihêreng bi nav bikin. Em hêvî dikin ku ew ê ji we re bibe alîkar ku hûn yên ku herî zêde eleqedar in nas bikin û li ser bingeha hewcedariyên ewlehiya weya taybetî ya Kubernetes rêça rast destnîşan bikin.

Kategorî

Ji bo ku lîsteyê hêsantir bike, amûr ji hêla fonksiyon û serîlêdana sereke ve têne organîze kirin. Beşên jêrîn hatin bidestxistin:

• Paqijkirina wêneya Kubernetes û analîza statîk;
• Ewlekariya Runtime;
• Ewlekariya torê ya Kubernetes;
• Dabeşkirina wêneyê û rêveberiya veşartî;
• Kontrola ewlehiyê ya Kubernetes;
• Berhemên bazirganî yên berfireh.

Ka em werin ser karsaziyê:

Skenandina wêneyên Kubernetes

Lenger

• malpera Înternetê: anchore.com
• Lîsans: belaş (Apache) û pêşniyara bazirganî

Anchore wêneyên konteyneran analîz dike û destûrê dide kontrolên ewlehiyê yên li ser bingeha polîtîkayên diyarkirî yên bikarhêner.

Ji bilî şopandina adetî ya wêneyên konteyneran ji bo qelsiyên naskirî yên ji databasa CVE, Anchore wekî beşek ji siyaseta xwe ya şopandinê gelek kontrolên din jî dike: Dockerfile, pêlên pêbaweriyê, pakêtên zimanên bernamekirinê yên ku hatine bikar anîn (npm, maven, hwd. .), lîsansên nermalavê û hêj bêtir.

Clair

• malpera Înternetê: coreos.com/clair (niha di bin çavdêriya Red Hat de)
• Lîsans: belaş (Apache)

Clair yek ji yekem projeyên Çavkaniya Vekirî ya ji bo şopandina wêneyê bû. Ew bi berfirehî wekî skanera ewlehiyê ya li pişt qeyda wêneya Quay tê zanîn (jî ji CoreOS - approx. werger). Clair dikare agahdariya CVE ji cûrbecûr çavkaniyan berhev bike, di nav de navnîşên qelsiyên dabeşkirina Linux-ê yên ku ji hêla tîmên ewlehiyê yên Debian, Red Hat, an Ubuntu ve têne parastin.

Berevajî Anchore, Clair di serî de li ser dîtina qelsiyan û berhevkirina daneyan bi CVE-yan re disekine. Lêbelê, hilber ji bikarhêneran re hin derfetan pêşkêşî dike ku fonksiyonên bi karanîna ajokarên pêvekê ve berfireh bikin.

dagda

• malpera Înternetê: github.com/eliasgranderubio/dagda
• Lîsans: belaş (Apache)

Dagda ji bo qelsiyên naskirî, Trojans, vîrus, malware û xetereyên din analîzên statîk ên wêneyên konteynerê dike.

Du taybetmendiyên berbiçav Dagda ji amûrên din ên wekhev cuda dikin:

• Ew bi rengek bêkêmasî bi hev re dike ClamAV, ne tenê wekî amûrek ji bo şopandina wêneyên konteynerê, lê di heman demê de wekî antivirus jî tevdigere.
• Di heman demê de bi wergirtina bûyerên rast-demê ji Daemonê Docker û bi Falco re entegrekirina dema xebitandinê peyda dike (li jêr binêre) ji bo komkirina bûyerên ewlehiyê dema ku konteynir dimeşe.

KubeXray

• malpera Înternetê: github.com/jfrog/kubexray
• Lîsans: Belaş (Apache), lê daneyên ji JFrog Xray (hilbera bazirganî) hewce dike

KubeXray ji servera Kubernetes API-ê li bûyeran guhdarî dike û metadata ji JFrog Xray bikar tîne da ku piştrast bike ku tenê podên ku bi polîtîkaya heyî re têkildar in têne destpêkirin.

KubeXray ne tenê konteynerên nû an nûvekirî yên di bicîhkirinê de kontrol dike (mîna kontrolkera pejirandinê ya li Kubernetes), lê di heman demê de bi dînamîk konteynerên xebitandinê ji bo lihevhatina bi polîtîkayên ewlehiyê yên nû re jî kontrol dike, çavkaniyên ku wêneyên xedar referans dikin jê dike.

Snyk

• malpera Înternetê: snyk.io
• Lîsans: belaş (Apache) û guhertoyên bazirganî

Snyk ji ber ku ew bi taybetî pêvajoya pêşkeftinê armanc dike û ji bo pêşdebiran wekî "çareseriyek bingehîn" tê pêşandan, skanerek bêhêziyê ya bêhempa ye.

Snyk rasterast bi depoyên kodê ve girêdide, manîfestoya projeyê pars dike û koda importkirî digel girêdanên rasterast û nerasterast analîz dike. Snyk gelek zimanên bernamenûsê yên populer piştgirî dike û dikare xetereyên lîsansa veşartî nas bike.

Trivy

• malpera Înternetê: github.com/knqyf263/trivy
• Lîsans: belaş (AGPL)

Trivy ji bo konteynerên ku bi hêsanî di lûleyek CI/CD-ê de tê entegrekirinek hêsan lê bi hêz e. Taybetmendiya wê ya berbiçav hêsaniya sazkirin û xebitandinê ye: serîlêdan ji yek binaryek pêk tê û ne hewceyê sazkirina databasek an pirtûkxaneyên zêde ye.

Nerazîbûna sadebûna Trivy ev e ku hûn fêhm bikin ka meriv çawa encaman di formata JSON de parse dike û pêşde dike da ku amûrên din ên ewlehiyê yên Kubernetes karibin wan bikar bînin.

Ewlekariya dema xebitandinê li Kubernetes

Falco

• malpera Înternetê: falco.org
• Lîsans: belaş (Apache)

Falco komek amûran e ku ji bo ewlekirina hawîrdorên xebitandina ewr e. Beşek ji malbata projeyê CNCF.

Falco bi karanîna amûrkirina asta kernel Linux ya Sysdig û profîlkirina bangê ya pergalê, Falco dihêle hûn kûr di nav tevgerên pergalê de bigerin. Motora qaîdeyên dema xebitandinê wê karibe çalakiya gumanbar di serîlêdan, konteyneran, mêvandarê bingehîn, û orkestratorê Kubernetes de bibîne.

Falco di dema xebitandinê û tespîtkirina metirsiyê de şefafiyek bêkêmasî peyda dike ku ji bo van armancan ajanên taybetî li ser girêkên Kubernetes bicîh dike. Wekî encamek, ne hewce ye ku konteyneran bi danasîna koda partiya sêyem di nav wan de an lê zêdekirina konteyneran de biguhezînin.

Çarçoveyên ewlehiyê yên Linux ji bo dema xebitandinê

Van çarçoveyên xwecihî yên ji bo kernel Linux ne "alavên ewlehiya Kubernetes" di wateya kevneşopî de ne, lê ew hêjayî gotinê ne ji ber ku ew hêmanek girîng in di çarçoveya ewlehiya dema xebitandinê de, ku di Polîtîkaya Ewlekariya Kubernetes Pod (PSP) de tête navandin.

AppArmor profîlek ewlehiyê bi pêvajoyên ku di konteynerê de diqewimin ve girêdide, îmtiyazên pergala pelan, qaîdeyên gihîştina torê, girêdana pirtûkxaneyan, hwd. Ev pergalek li ser Kontrola Têketinê ya Mecbûrî (MAC) ye. Bi gotineke din rê li ber kiryarên qedexe digire.

Linux-ya pêşkeftî ya ewlehiyê (SELinux) di kernel Linux de modulek ewlehiyê ya pêşkeftî ye, di hin aliyan de mîna AppArmor-ê ye û pir caran bi wê re tê berhev kirin. SELinux di hêz, nermbûn û xwemalîbûnê de ji AppArmor çêtir e. Dezawantajên wê hînbûna dirêj û tevliheviya zêde ne.

Seccomp û seccomp-bpf dihêle hûn bangên pergalê fîlter bikin, pêkanîna yên ku ji bo OS-ya bingehîn potansiyel xeternak in û ji bo xebata normal a serîlêdanên bikarhêner ne hewce ne asteng bikin. Seccomp bi hin awayan mîna Falco ye, her çend ew taybetmendiyên konteyneran nizane.

Çavkaniya vekirî ya Sysdig

• malpera Înternetê: www.sysdig.com/opensource
• Lîsans: belaş (Apache)

Sysdig amûrek bêkêmasî ye ji bo analîzkirin, tespîtkirin û xeletkirina pergalên Linux (li ser Windows û macOS-ê jî dixebite, lê bi fonksiyonên tixûbdar). Ew dikare ji bo berhevkirina agahdariya berfireh, verastkirin û analîza dadrêsî were bikar anîn. (edlî) pergala bingehîn û her konteynerên ku li ser wê dixebitin.

Sysdig di heman demê de bi xwemalî demên xebitandinê yên konteyneran û metadata Kubernetes piştgirî dike, pîvan û etîketên din li hemî agahdariya tevgera pergalê ku ew berhev dike zêde dike. Gelek awayên analîzkirina komek Kubernetes bi karanîna Sysdig hene: hûn dikarin bi navgîniya girtina xala-di-demê pêk bînin. kubectl girtin an bi karanîna pêvekek pêvekek înteraktîf-based ncurses dest pê bikin kubectl dig.

Ewlekariya Tora Kubernetes

Aporeto

• malpera Înternetê: www.aporeto.com
• License: bazirganî

Aporeto "ewlekariya ji torê û binesaziyê veqetandî" pêşkêşî dike. Ev tê vê wateyê ku karûbarên Kubernetes ne tenê nasnameyek herêmî distînin (ango Hesabê Servîsê li Kubernetes), lê di heman demê de nasnameyek gerdûnî/şopek tiliyek jî distînin ku dikare bi karûbarek din re bi ewlehî û hevûdu re têkilî daynin, mînakî di komek OpenShift de.

Aporeto ne tenê ji bo Kubernetes / konteyner, lê di heman demê de ji bo mêvandar, fonksiyonên ewr û bikarhêneran jî nasnameyek bêhempa çêdike. Li gorî van nasnameyan û komek rêzikên ewlehiya torê yên ku ji hêla rêveber ve hatine destnîşan kirin, dê têkilî bêne destûr kirin an asteng kirin.

Calico

• malpera Înternetê: www.projectcalico.org
• Lîsans: belaş (Apache)

Calico bi gelemperî di dema sazkirina orkestratorê konteynerê de tête bicîh kirin, ku dihêle hûn torgilokek virtual ku konteyneran bi hev ve girêdide biafirînin. Digel vê fonksiyona torê ya bingehîn, projeya Calico bi Polîtîkayên Tora Kubernetes û komek profîlên ewlehiya torê ya xwe re dixebite, ACL-yên dawîn (lîsteyên kontrolkirina gihîştinê) û qaîdeyên ewlehiya torê-based annotation ji bo seyrûsefera Ingress û Egress piştgirî dike.

Ciliium

• malpera Înternetê: www.cilium.io
• Lîsans: belaş (Apache)

Cilium ji bo konteyneran wekî dîwarê agir tevdigere û taybetmendiyên ewlehiya torê bi xwemalî li gorî barkêşên Kubernetes û mîkroxizmetên karûbar peyda dike. Cilium teknolojiyek nû ya kernel Linux-ê ya bi navê BPF (Parzûna Pakêta Berkeley) bikar tîne da ku daneyan parzûn bike, çavdêrî bike, beralî bike û rast bike.

Cilium karibe polîtîkayên gihîştina torê li ser bingeha nasnameyên konteynerê bi karanîna nîşan û metadata Docker an Kubernetes bicîh bike. Cilium di heman demê de protokolên Layer 7-ê yên cihêreng ên wekî HTTP an gRPC jî fam dike û fîlter dike, ku dihêle hûn komek bangên REST-ê yên ku dê di navbera du bicîhkirinên Kubernetes de werin destûr kirin diyar bikin, mînakî.

Istio

• malpera Înternetê: isio.io
• Lîsans: belaş (Apache)

Istio bi berfirehî ji bo sepandina paradîgmaya tevna karûbarê bi danîna balafirek kontrolê ya serbixwe-platform û rêvekirina hemî seyrûsefera karûbarê birêvebirî bi navgînên Envoy ku bi dînamîk ve têne mîheng kirin tê zanîn. Istio ji vê nêrîna pêşkeftî ya hemî mîkroxizmet û konteyneran sûd werdigire da ku stratejiyên cihêreng ên ewlehiya torê bicîh bîne.

Kapasîteyên ewlehiya torê ya Istio şîfrekirina TLS-a zelal vedihewîne da ku pêwendiya di navbera mîkroxizmetên HTTPS-ê bixweber nûve bike, û pergalek nasname û destûrnameyê ya xwedan RBAC-ê ku destûr bide/nekarkirina ragihandinê di navbera barkêşên cihêreng ên di komê de.

Not. werger.: Ji bo bêtir fêrbûna kapasîteyên ewlehiya Istio-ê, bixwînin vê gotara.

Tigera

• malpera Înternetê: www.tigera.io
• License: bazirganî

Ev çareserî ku jê re "Kubernetes Firewall" tê gotin, nêzîkatiyek zero-bawerî ji ewlehiya torê re tekez dike.

Mîna çareseriyên torê yên xwemalî yên Kubernetes, Tigera xwe dispêre metadata da ku karûbar û tiştên cihêreng ên di komê de nas bike û tespîtkirina pirsgirêka dema xebatê, kontrolkirina lihevhatina domdar, û dîtina torê ji bo binesaziyên pir-ewr an hîbrîd ên yekdest-konteynir peyda dike.

Trireme

• malpera Înternetê: www.aporeto.com/opensource
• Lîsans: belaş (Apache)

Trireme-Kubernetes pêkanînek hêsan û rasterast a taybetmendiya Polîtîkayên Tora Kubernetes e. Taybetmendiya herî berbiçav ev e ku - berevajî hilberên ewlehiya torê ya Kubernetes-a wekhev - ew hewce nake ku balafirek kontrolê ya navendî ji bo koordînasyona mesh. Ev çareserî bi rengek piçûktir dike. Di Trireme de, ev bi sazkirina ajanek li ser her girêkek ku rasterast bi stûna TCP/IP-a mêvandar ve girêdide pêk tê.

Birêvebiriya Veşartin û Veşartinên Wêne

Grafeas

• malpera Înternetê: grafeas.io
• Lîsans: belaş (Apache)

Grafeas ji bo kontrolkirin û rêveberiya zincîra peydakirina nermalavê API-ya çavkaniyek vekirî ye. Di astek bingehîn de, Grafeas amûrek e ji bo berhevkirina metadata û dîtinên kontrolê. Ew dikare were bikar anîn da ku lihevhatina bi pratîkên çêtirîn ewlehiyê yên di nav rêxistinek de bişopîne.

Vê çavkaniya navendî ya rastiyê dibe alîkar ku pirsên mîna:

• Kê ji bo konteynirek taybetî berhev kir û îmze kir?
• Ma wê hemî şopandin û kontrolên ewlehiyê yên ku ji hêla polîtîkaya ewlehiyê ve tê xwestin derbas kir? Heke? Encam çi bûn?
• Kê ew di hilberînê de bicîh kir? Kîjan pîvanên taybetî di dema veqetandinê de hatine bikar anîn?

In-toto

• malpera Înternetê: in-toto.github.io
• Lîsans: belaş (Apache)

In-toto çarçoveyek e ku ji bo peydakirina yekitî, rastkirin û kontrolkirina tevahiya zincîra peydakirina nermalavê hatî çêkirin. Dema ku In-toto di binesaziyek de bicîh dike, pêşî planek tê destnîşan kirin ku gavên cihêreng ên di lûleyê de (depo, amûrên CI/CD, Amûrên QA, berhevkarên hunerî, hwd.) û bikarhêneran (kesên berpirsiyar) ku destûr didin wan bidin destpêkirin.

In-toto cîbicîkirina planê dişopîne, verast dike ku her peywirek di zincîrê de tenê ji hêla personelên rayedar ve bi rêkûpêk tête kirin û ku di dema tevgerê de ti manipulasyonên bê destûr bi hilberê re nehatine kirin.

Portieris

• malpera Înternetê: github.com/IBM/portieris
• Lîsans: belaş (Apache)

Portieris ji bo Kubernetes kontrolkerek pejirandinê ye; ji bo sepandina kontrolên pêbaweriya naverokê tê bikar anîn. Portieris serverek bikar tîne Noter (me di dawiyê de li ser wî nivîsî vê gotarê - approx. werger) wekî çavkaniyek rastiyê ji bo erêkirina hunerên pêbawer û îmzekirî (ango wêneyên konteynerê pejirandî).

Dema ku bargiraniyek li Kubernetes tê afirandin an guheztin, Portieris agahdariya îmzekirinê û polîtîkaya pêbaweriya naverokê ji bo wêneyên konteynerê yên daxwazkirî dadixe û, ger hewce bike, di firînê de guheztinên li cihê JSON API dike da ku guhertoyên îmzekirî yên wan wêneyan bimeşîne.

Jûra qasê

• malpera Înternetê: www.vaultproject.io
• Lîsans: belaş (MPL)

Vault ji bo hilanîna agahdariya taybet çareseriyek ewledar e: şîfre, nîşaneyên OAuth, sertîfîkayên PKI, hesabên gihîştinê, razên Kubernetes, hwd. Vault gelek taybetmendiyên pêşkeftî piştgirî dike, wek kirêkirina nîşaneyên ewlehiyê yên domdar an organîzekirina zivirîna mifteyê.

Bi karanîna nexşeya Helm, Vault dikare wekî cîhek nû di komek Kubernetes de bi Konsul re wekî depoya paşîn were bicîh kirin. Ew çavkaniyên xwemalî yên Kubernetes ên mîna nîşaneyên ServiceAccount piştgirî dike û tewra dikare wekî dikana xwerû ya razên Kubernetes tevbigere.

Not. werger.: Bi awayê, hema duh pargîdaniya HashiCorp, ku Vault pêşdebir dike, ji bo karanîna Vault li Kubernetes hin çêtirkirin ragihand, û bi taybetî ew bi nexşeya Helm re têkildar in. Zêdetir bixwînin blog pêşvebirinê.

Kontrola Ewlekariya Kubernetes

Kube-bench

• malpera Înternetê: github.com/aquasecurity/kube-bench
• Lîsans: belaş (Apache)

Kube-bench serîlêdanek Go-yê ye ku kontrol dike ka Kubernetes bi ceribandinên ji navnîşek bi ewlehî tête bicîh kirin an na. CIS Kubernetes Benchmark.

Kube-bench li mîhengên vesazkirinê yên ne ewle di nav pêkhateyên komê de (etcd, API, rêveberê kontrolker, hwd.), mafên gihîştina pelê ya gumanbar, hesabên neparastî an portên vekirî, kotayên çavkaniyê, mîhengên ji bo sînorkirina hejmara bangên API-yê ji bo parastina li hember êrişên DoS-ê digere. , hwd.

Kube-nêçîrvan

• malpera Înternetê: github.com/aquasecurity/kube-hunter
• Lîsans: belaş (Apache)

Kube-hunter di komikên Kubernetes de li qelsiyên potansiyel (wek darvekirina koda dûr an eşkerekirina daneyê) digere. Kube-hunter dikare wekî skanerek dûr were xebitandin - di vê rewşê de ew ê komê ji nêrîna êrîşkarek sêyemîn binirxîne - an jî wekî podek di hundurê komê de.

Taybetmendiyek cihêreng a Kube-hunter moda wê ya "nêçîra çalak" e, di dema ku ew ne tenê pirsgirêkan radigihîne, lê di heman demê de hewl dide ku sûdê ji qelsiyên ku di koma armancê de hatine vedîtin jî bigire ku dibe ku zirarê bide xebata wê. Ji ber vê yekê bi hişyariyê bikar bînin!

Kubeaudit

• malpera Înternetê: github.com/Shopify/kubeaudit
• Lîsans: belaş (MIT)

Kubeaudit amûrek konsolê ye ku bi eslê xwe li Shopify hatî pêşve xistin da ku veavakirina Kubernetes ji bo pirsgirêkên cihêreng ên ewlehiyê kontrol bike. Mînakî, ew arîkariya naskirina konteyneran dike ku bêsînor dixebitin, wekî root dimeşin, îmtiyazan xirab dikin, an Hesaba Servîsa xwerû bikar tînin.

Kubeaudit taybetmendiyên din ên balkêş hene. Mînakî, ew dikare pelên YAML-a herêmî analîz bike, xeletiyên mîhengê yên ku dibe sedema pirsgirêkên ewlehiyê nas bike û bixweber wan rast bike.

Kubesec

• malpera Înternetê: kubesec.io
• Lîsans: belaş (Apache)

Kubesec amûrek taybetî ye ku ew rasterast pelên YAML-ê yên ku çavkaniyên Kubernetes vedibêjin dişoxilîne, li parametreyên qels ên ku dikarin bandorê li ewlehiyê bike digere.

Mînakî, ew dikare îmtiyaz û destûrên zêde yên ku ji podek re hatine dayîn tespît bike, konteynirek bi root wekî bikarhênerê xwerû bimeşîne, bi cîhê navên torê yên mêvandar ve were girêdan, an çîçekên xeternak ên mîna /proc mêvandar an soketa Docker. Taybetmendiyek din a balkêş a Kubesec karûbarê demo ku serhêl heye, ku hûn dikarin YAML barkirin û tavilê wê analîz bikin e.

Nûnerê Siyaseta Vekin

• malpera Înternetê: www.openpolicyagent.org
• Lîsans: belaş (Apache)

Têgeha OPA (Ajansê Siyaseta Vekirî) ev e ku polîtîkayên ewlehiyê û pratîkên çêtirîn ên ewlehiyê ji platformek dema xebatê ya taybetî veqetîne: Docker, Kubernetes, Mesosphere, OpenShift, an tevheviyek wan.

Mînakî, hûn dikarin OPA-yê wekî piştgiriyek ji bo kontrolkerê pejirandinê ya Kubernetes bicîh bikin, biryarên ewlehiyê jê re veguhezînin. Bi vî rengî, nûnerê OPA dikare daxwaznameyên di firînê de rast bike, red bike, û tewra biguhezîne, dabîn bike ku pîvanên ewlehiyê yên diyarkirî têne bicîh kirin. Polîtîkayên ewlehiyê yên OPA-yê bi zimanê wê yê xwedan DSL, Rego, têne nivîsandin.

Not. werger.: Me li ser OPA (û SPIFFE) bêtir nivîsî vê materyalê.

Amûrên bazirganî yên berfireh ji bo analîza ewlehiya Kubernetes

Me biryar da ku ji bo platformên bazirganî kategoriyek cûda biafirînin ji ber ku ew bi gelemperî gelek deverên ewlehiyê vedigirin. Fikra giştî ya kapasîteyên wan dikare ji tabloyê were wergirtin:

* Muayeneya pêşkeftî û analîza piştî mirinê bi tevahî sîstema banga revandina.

Ewlekariya Aqua

• malpera Înternetê: www.aquasec.com
• License: bazirganî

Ev amûra bazirganî ji bo konteyneran û barkêşên ewr hatî çêkirin. Ew pêşkêş dike:

• Paqijkirina wêneyê ku bi qeydek konteynir an boriyek CI/CD-ê ve hatî yek kirin;
• Parastina dema xebitandinê bi lêgerîna guhertinên di konteyneran û çalakiyên din ên gumanbar;
• Firewallê konteyner-xwecihî;
• Ewlekariya ji bo bê server di karûbarên ewr de;
• Ceribandin û venêrana lihevhatî bi têketina bûyerê re hevgirtî.

Not. werger.: Hêjayî gotinê ye jî ku hene pêkhateya belaş a hilberê tê gotin MicroScanner, ku dihêle hûn wêneyên konteynerê ji bo qelsiyan bişopînin. Berawirdkirina kapasîteyên wê bi guhertoyên drav re tê pêşkêş kirin vê tabloyê.

Kapsula 8

• malpera Înternetê: capsule8.com
• License: bazirganî

Capsule8 bi sazkirina dedektorê li ser komek Kubernetes ya herêmî an ewr di binesaziyê de yek dibe. Ev detektor telemetrîya mêvandar û torê berhev dike, wê bi cûrbecûr êrîşan re têkildar dike.

Tîma Capsule8 peywira xwe wekî tespîtkirina zû û pêşîlêgirtina êrîşan bi karanîna nû dibîne (0-roj) qelsiyên. Capsule8 dikare qaîdeyên ewlehiyê yên nûvekirî rasterast li dedektoran dakêşîne ku bersivê bide gefên ku nû hatine keşifkirin û qelsiyên nermalavê.

Cavirin

• malpera Înternetê: www.cavirin.com
• License: bazirganî

Cavirin ji bo saziyên cihêreng ên ku di standardên ewlehiyê de têkildar in wekî peykerek pargîdaniyê tevdigere. Ew ne tenê dikare wêneyan bişopîne, lê di heman demê de dikare di lûleya CI/CD de jî tevbigere, berî ku ew têkevin depoyên girtî wêneyên ne-standard asteng bike.

Komxebata ewlehiyê ya Cavirin fêrbûna makîneyê bikar tîne da ku pozîsyona ewlehiya sîberê we binirxîne, serişteyan ji bo baştirkirina ewlehiyê û baştirkirina lihevhatina bi standardên ewlehiyê re pêşkêş dike.

Navenda Fermandariya Ewlekariya Google Cloud

• malpera Înternetê: cloud.google.com/security-command-center
• License: bazirganî

Navenda Fermandariya Ewlekariya Cloud alîkariya tîmên ewlehiyê dike ku daneyan berhev bikin, tehdîtan nas bikin û wan ji holê rakin berî ku ew zirarê bidin pargîdaniyê.

Wekî ku ji navê xwe diyar dike, Google Cloud SCC panelek kontrolê ya yekbûyî ye ku dikare ji çavkaniyek yekane û navendî ve cûrbecûr raporên ewlehiyê, motorên hesabê maliyetê, û pergalên ewlehiyê yên sêyemîn yek bike û rêve bibe.

API-ya hevgirtî ya ku ji hêla Google Cloud SCC ve hatî pêşkêş kirin, yekkirina bûyerên ewlehiyê yên ku ji çavkaniyên cihêreng têne, hêsan dike, wek Sysdig Secure (ewlehiya konteynerê ji bo serîlêdanên ewr-xwecihî) an Falco (ewlehiya dema xebitandinê ya çavkaniya vekirî).

Têgihîştina Qatjimar (Qualys)

• malpera Înternetê: layeredinsight.com
• License: bazirganî

Layered Insight (naha beşek ji Qualys Inc) li ser têgîna "ewlehiya pêvekirî" hatî çêkirin. Piştî ku wêneya orîjînal ji bo qelsbûnê bi karanîna analîzên îstatîstîkî û kontrolên CVE dişoxilîne, Layered Insight wê bi wêneyek amûrkirî ku nûnerê wekî binaryê vedihewîne diguhezîne.

Ev nûner ceribandinên ewlehiyê yên dema xebitandinê vedihewîne da ku seyrûsefera torê ya konteynerê, herikîna I/O û çalakiya serîlêdanê analîz bike. Wekî din, ew dikare kontrolên ewlehiyê yên din ên ku ji hêla rêveberê binesaziyê an tîmên DevOps ve hatî destnîşan kirin pêk bîne.

NeuVector

• malpera Înternetê: neuvector.com
• License: bazirganî

NeuVector ewlehiya konteynerê kontrol dike û parastina dema xebitandinê bi analîzkirina çalakiya torê û tevgera serîlêdanê peyda dike, ji bo her konteynerek profîlek ewlehiyê ya kesane diafirîne. Di heman demê de ew dikare bi tena serê xwe xetereyan asteng bike, bi guheztina qaîdeyên firewallê herêmî ve çalakiya gumanbar veqetîne.

Yekbûna torê ya NeuVector, ku wekî Ewlekariya Mesh tê zanîn, ji bo hemî girêdanên torê yên di tevna karûbarê de dikare analîza pakêtê ya kûr û parzûna qata 7-ê bike.

StackRox

• malpera Înternetê: www.stackrox.com
• License: bazirganî

Platforma ewlehiya konteynerê StackRox hewil dide ku tevahiya jiyana sepanên Kubernetes di komekê de veşêre. Mîna platformên din ên bazirganî yên li ser vê navnîşê, StackRox li ser bingeha tevgera konteynerê ya çavdêrîkirî profîlek dema xebatê diafirîne û bixweber ji bo her devjêberdanê alarmek bilind dike.

Wekî din, StackRox mîhengên Kubernetes bi karanîna Kubernetes CIS û rêzikên din ve analîz dike da ku lihevhatina konteynerê binirxîne.

Sysdig Ewle

• malpera Înternetê: sysdig.com/products/secure
• License: bazirganî

Sysdig Secure serîlêdanan li seranserê tevahiya konteynir û çerxa jiyanê ya Kubernetes diparêze. Ew wêneyan dikole konteynir, pêşkêş dike parastina runtime li gorî daneyên fêrbûna makîneyê, kremê dike. pisporiya ji bo naskirina qelsiyan, astengkirina gefan, çavdêrîkirina lihevhatina bi standardên sazkirî û çalakiya di microservices de kontrol dike.

Sysdig Secure bi amûrên CI/CD yên wekî Jenkins re yek dike û wêneyên ku ji qeydên Docker hatine barkirin kontrol dike, pêşî li xuyangkirina wêneyên xeternak di hilberînê de digire. Ew di heman demê de ewlehiya demdirêj a berfireh peyda dike, di nav de:

• Profîlkirina dema xebitandinê û tespîtkirina anomalî ya li ser bingeha ML;
• Polîtîkayên dema xebitandinê yên li ser bingeha bûyerên pergalê, K8s-kontrol API, projeyên hevpar ên civakê (FIM - çavdêriya yekbûna pelê; krîptojacking) û çarçove MITER AT&CK;
• bersiv û çareserkirina bûyeran.

Ewlekariya Konteyner a Tenable

• malpera Înternetê: www.tenable.com/products/tenable-io/container-security
• License: bazirganî

Berî hatina konteyneran, Tenable bi berfirehî di pîşesaziyê de wekî pargîdaniya li pişt Nessus, amûrek nêçîra qelsbûnê û lênihêrîna ewlehiyê ya populer dihat zanîn.

Tenable Container Security pisporiya ewlehiya komputerê ya pargîdaniyê bi kar tîne da ku boriyek CI/CD bi databasên xirapbûnê, pakêtên tespîtkirina malware yên pispor, û pêşniyarên ji bo çareserkirina xetereyên ewlehiyê re yek bike.

Twistlock (Torên Palo Alto)

• malpera Înternetê: www.twistlock.com
• License: bazirganî

Twistlock xwe wekî platformek ku balê dikişîne ser karûbar û konteyneran ewr dike. Twistlock cûrbecûr pêşkêşkerên ewr (AWS, Azure, GCP), orkestratorên konteyneran (Kubernetes, Mesospehere, OpenShift, Docker), demên xebitandinê yên bê server, çarçoveyên mesh û amûrên CI/CD piştgirî dike.

Digel teknîkên ewlehiyê yên pola pargîdaniyê yên kevneşopî yên wekî entegrasyona lûleya CI/CD an şopandina wêneyê, Twistlock fêrbûna makîneyê bikar tîne da ku qaîdeyên behremendiyê yên konteynerê û qaîdeyên torê hilberîne.

Demek berê, Twistlock ji hêla Palo Alto Networks, ku xwediyê projeyên Evident.io û RedLock e, hate kirîn. Hîn nayê zanîn ka dê bi rastî ev sê platformên çawa di nav de bêne yek kirin Prisma ji Palo Alto.

Alîkariya avakirina kataloga çêtirîn a amûrên ewlehiyê yên Kubernetes bikin!

Em hewl didin ku vê katalogê bi qasî ku pêkan temam bikin, û ji bo vê yekê em hewceyê alîkariya we ne! Paqij bûn (@sysdig) heke we di hişê we de amûrek xweş heye ku hêjayî tevlêbûna vê navnîşê ye, an hûn xeletiyek / agahdariya kevnar bibînin.

Hûn jî dikarin bibin aboneya me bultena mehane bi nûçeyên ji ekosîstema ewr-xwecihî û çîrokên li ser projeyên balkêş ên ji cîhana ewlehiya Kubernetes.

PS ji wergêr

Li ser bloga me jî bixwînin:

• «Destpêkek Polîtîkayên Tora Kubernetes ji bo Pisporên Ewlekariyê»;
• «Docker û Kubernetes di derdorên hesas ên ewlehiyê de»;
• «9 Pratîkên Baştirîn Ewlekariya Kubernetes»;
• «11 Awayên Ku (Ne) Bibin Qurbana Hackek Kubernetes»;
• «OPA û SPIFFE du projeyên nû li CNCF ji bo ewlehiya serîlêdana ewr in".

Source: www.habr.com