Kubernetes коопсуздугу үчүн 🥇33+ куралдар

Эскертүү. котормо.: Эгер сиз Kubernetes негизиндеги инфраструктуранын коопсуздугу жөнүндө ойлонуп жатсаңыз, Sysdigдин бул эң сонун обзору учурдагы чечимдерди тез карап чыгуу үчүн эң сонун башталгыч чекит болуп саналат. Ал белгилүү рынок оюнчуларынын татаал системаларын жана белгилүү бир көйгөйдү чечкен бир топ жөнөкөй коммуналдык кызматтарды камтыйт. Ал эми комментарийлерде, адаттагыдай эле, биз бул куралдарды колдонуу тажрыйбаңыз жөнүндө угуп, башка долбоорлорго шилтемелерди көрүү үчүн кубанычта болобуз.

Kubernetes коопсуздук программалык продуктулары... алардын ар бири өз максаттары, масштабы жана лицензиялары бар абдан көп.

Ошондуктан биз бул тизмени түзүүнү чечтик жана ачык булак долбоорлорун да, ар кандай сатуучулардын коммерциялык платформаларын да камттык. Бул сизге эң кызыктуу болгондорду аныктоого жана Kubernetes коопсуздук талаптарынын негизинде туура багытты көрсөтүүгө жардам берет деп үмүттөнөбүз.

Kubernetes сүрөттөрүн сканерлөө

Anchor

каршы сайтынын дареги: anchore.com
Лицензия: бекер (Apache) жана коммерциялык сунуш

Anchore контейнер сүрөттөрүн талдап, колдонуучу аныктаган саясаттардын негизинде коопсуздукту текшерүүгө мүмкүндүк берет.

Контейнер сүрөттөрүн CVE маалымат базасынан белгилүү кемчиликтерге кадимки сканерлөөдөн тышкары, Anchore сканерлөө саясатынын бир бөлүгү катары көптөгөн кошумча текшерүүлөрдү жүргүзөт: Dockerfile, эсептик маалыматтардын агып кетишин, колдонулган программалоо тилдеринин пакеттерин (npm, maven ж. .), программалык камсыздоо лицензиялары жана башкалар.

Клэр

каршы сайтынын дареги: coreos.com/clair (азыр Red Hat камкордугу астында)
Лицензия: бекер (Apache)

Clair сүрөттөрдү сканерлөө үчүн биринчи Open Source долбоорлордун бири болгон. Ал кеңири Quay сүрөт реестринин артында коопсуздук сканери катары белгилүү (ошондой эле CoreOS - болжол менен которуу). Clair CVE маалыматын ар түрдүү булактардан чогулта алат, анын ичинде Debian, Red Hat же Ubuntu коопсуздук топтору тарабынан колдоого алынган Linux дистрибьюторунун спецификалык кемчиликтеринин тизмеси.

Анкордон айырмаланып, Клэр биринчи кезекте аялуу жерлерди табууга жана маалыматтарды CVEге дал келтирүүгө багытталган. Бирок, продукт колдонуучуларга плагин драйверлерин колдонуу менен функцияларды кеңейтүү үчүн кээ бир мүмкүнчүлүктөрдү сунуш кылат.

Дагда

каршы сайтынын дареги: github.com/eliasgranderubio/dagda
Лицензия: бекер (Apache)

Dagda белгилүү алсыздыктар, трояндар, вирустар, кесепеттүү программалар жана башка коркунучтар үчүн контейнер сүрөттөрүнүн статикалык анализин жүргүзөт.

Дагданы башка ушул сыяктуу куралдардан эки көрүнүктүү өзгөчөлүгү айырмалап турат:

менен кемчиликсиз биригет ClamAv, контейнер сүрөттөрүн сканерлөө куралы катары гана эмес, антивирус катары да иштейт.
Ошондой эле Docker демонунан реалдуу убакытта окуяларды алуу жана Falco менен интеграциялоо аркылуу иштөө убактысын коргоону камсыз кылат. (төмөндө кара) контейнер иштеп жатканда коопсуздук окуяларын чогултуу үчүн.

KubeXray

каршы сайтынын дареги: github.com/jfrog/kubexray
Лицензия: Акысыз (Apache), бирок JFrog Xray маалыматын талап кылат (коммерциялык продукт)

KubeXray Kubernetes API серверинен окуяларды угат жана JFrog Xray метадайындарын колдонот жана учурдагы саясатка дал келген подкасттар гана иштетилет.

KubeXray жайылтуулардагы жаңы же жаңыртылган контейнерлерди гана текшербестен (Kubernetesтеги кабыл алуу контроллерине окшош), ошондой эле иштеп жаткан контейнерлерди жаңы коопсуздук саясаттарына шайкештигин динамикалык түрдө текшерип, аялуу сүрөттөргө шилтеме берген ресурстарды жок кылат.

Snyk

каршы сайтынын дареги: snyk.io
Лицензия: бекер (Apache) жана коммерциялык версиялары

Snyk - бул адаттан тыш аялуу сканери, анткени ал иштеп чыгуу процессине өзгөчө багытталган жана иштеп чыгуучулар үчүн "маанилүү чечим" катары сунушталат.

Snyk түздөн-түз код репозиторийлерине туташып, долбоордун манифестин талдайт жана импорттолгон кодду түз жана кыйыр көз карандылык менен бирге талдайт. Snyk көптөгөн популярдуу программалоо тилдерин колдойт жана жашыруун лицензия тобокелдиктерин аныктай алат.

Trivy

каршы сайтынын дареги: github.com/knqyf263/trivy
Лицензия: бекер (AGPL)

Trivy - бул CI/CD түтүгүнө оңой интеграцияланган контейнерлер үчүн жөнөкөй, бирок күчтүү аялуу сканери. Анын көрүнүктүү өзгөчөлүгү орнотуунун жана иштетүүнүн жеңилдиги: тиркеме бир экиликтен турат жана маалымат базасын же кошумча китепканаларды орнотууну талап кылбайт.

Trivy'тин жөнөкөйлүгүнүн терс жагы, башка Kubernetes коопсуздук куралдары аларды колдоно алышы үчүн, натыйжаларды JSON форматында кантип талдап, кайра жөнөтүү керектигин түшүнүшүңүз керек.

Kubernetes'те иштөө убактысынын коопсуздугу

шумкар

каршы сайтынын дареги: falco.org
Лицензия: бекер (Apache)

Falco булуттун иштөө чөйрөсүн коргоо үчүн куралдардын жыйындысы. Долбоор үй-бүлөнүн бир бөлүгү CNCF.

Sysdig'тин Linux ядро деңгээлиндеги куралдарын жана тутум чалуу профилин колдонуу менен, Falco системанын жүрүм-турумуна терең сүңгүүгө мүмкүндүк берет. Анын иштөө убактысынын эрежелери кыймылдаткычы колдонмолордо, контейнерлерде, негизги хостто жана Kubernetes оркестринде шектүү аракеттерди аныктоого жөндөмдүү.

Falco бул максаттар үчүн Kubernetes түйүндөрүндө атайын агенттерди жайгаштыруу менен иштөө убагында жана коркунучтарды аныктоодо толук ачыктыкты камсыз кылат. Натыйжада, контейнерлерди аларга үчүнчү тараптын кодун киргизүү же каптал контейнерлерди кошуу менен өзгөртүүнүн кереги жок.

Иштөө убактысы үчүн Linux коопсуздук алкактары

Linux ядросунун бул түпкү алкактары салттуу мааниде "Kubernetes коопсуздук куралдары" эмес, бирок алар Kubernetes Pod Коопсуздук Саясатына (PSP) киргизилген иштөө убактысынын коопсуздугунун контекстинде маанилүү элемент болуп саналгандыктан, аларды белгилеп кетүү керек.

AppArmor контейнерде иштеп жаткан процесстерге коопсуздук профилин тиркейт, файл тутумунун артыкчылыктарын, тармакка кирүү эрежелерин, китепканаларды туташтыруу ж.б. Бул милдеттүү мүмкүндүк башкаруу (MAC) негизделген система болуп саналат. Башкача айтканда, тыюу салынган иштердин аткарылышына тоскоол болот.

Коопсуздук күчөтүлгөн Linux (SELinux) бул Linux өзөгүндөгү өркүндөтүлгөн коопсуздук модулу, кээ бир аспектилери боюнча AppArmor менен окшош жана көбүнчө аны менен салыштырылган. SELinux күчү, ийкемдүүлүгү жана ыңгайлаштыруу жагынан AppArmorдан жогору. Анын кемчиликтери - узак окуу ийри сызыгы жана татаалдыгы.

Seccomp жана seccomp-bpf тутумдук чалууларды чыпкалоого, базалык ОС үчүн потенциалдуу кооптуу жана колдонуучу тиркемелеринин нормалдуу иштеши үчүн керек эмес болгондордун аткарылышын бөгөттөөгө мүмкүндүк берет. Seccomp контейнерлердин өзгөчөлүктөрүн билбесе да, кандайдыр бир жагынан Falco менен окшош.

Sysdig ачык булагы

каршы сайтынын дареги: www.sysdig.com/opensource
Лицензия: бекер (Apache)

Sysdig - бул Linux системаларын талдоо, диагностикалоо жана мүчүлүштүктөрдү оңдоо үчүн толук курал (ошондой эле Windows жана macOS системаларында иштейт, бирок функциялары чектелген). Бул толук маалымат чогултуу, текшерүү жана соттук анализдөө үчүн колдонулушу мүмкүн. (криминалистика) базалык система жана анда иштеген бардык контейнерлер.

Sysdig ошондой эле контейнердин иштөө убактысын жана Kubernetes метадайындарын колдойт, ал чогулткан бардык тутумдун жүрүм-турум маалыматына кошумча өлчөмдөрдү жана энбелгилерди кошот. Sysdig аркылуу Kubernetes кластерин анализдөөнүн бир нече жолдору бар: сиз өз убагында сүрөткө тартууну төмөнкү аркылуу аткара аласыз kubectl басып алуу же плагин аркылуу ncurses негизиндеги интерактивдүү интерфейсти ишке киргизиңиз kubectl казуу.

Kubernetes Network Security

Апорето

каршы сайтынын дареги: www.aporeto.com
Лицензия: коммерциялык

Aporeto "тармактан жана инфраструктурадан бөлүнгөн коопсуздукту" сунуш кылат. Бул Kubernetes кызматтары жергиликтүү идентификаторду (мисалы, Kubernetes'теги ServiceAccount) гана эмес, ошондой эле башка кызматтар менен, мисалы, OpenShift кластеринде коопсуз жана өз ара байланышуу үчүн колдонула турган универсалдуу ID/манжа изин алат дегенди билдирет.

Aporeto бир гана Kubernetes/контейнерлер үчүн эмес, ошондой эле хосттор, булут функциялары жана колдонуучулар үчүн уникалдуу ID түзө алат. Бул идентификаторлорго жана администратор тарабынан белгиленген тармактык коопсуздук эрежелеринин топтомуна жараша байланышка уруксат берилет же бөгөттөлөт.

Calico

каршы сайтынын дареги: www.projectcalico.org
Лицензия: бекер (Apache)

Calico адатта контейнер оркестрин орнотуу учурунда жайгаштырылат, бул сизге контейнерлерди бириктирген виртуалдык тармакты түзүүгө мүмкүндүк берет. Бул негизги тармак функционалдуулугунан тышкары, Calico долбоору Kubernetes Network Policies жана өзүнүн тармактык коопсуздук профилдеринин топтому менен иштейт, акыркы чекиттин ACLлерин (кирүүлөрдү башкаруу тизмелери) жана аннотацияга негизделген кириш жана чыгуу трафиги үчүн тармактык коопсуздук эрежелерин колдойт.

кирпич

каршы сайтынын дареги: www.cilium.io
Лицензия: бекер (Apache)

Cilium контейнерлер үчүн брандмауэр катары иштейт жана Kubernetes жана микросервистердин жүктөөлөрүнө ылайыкташтырылган тармактык коопсуздук өзгөчөлүктөрүн камсыз кылат. Cilium маалыматтарды чыпкалоо, көзөмөлдөө, багыттоо жана оңдоо үчүн BPF (Беркли пакет чыпкасы) деп аталган жаңы Linux ядролук технологиясын колдонот.

Cilium Docker же Kubernetes энбелгилерин жана метадайындарды колдонуу менен контейнер идентификаторлорунун негизинде тармакка кирүү саясаттарын жайылтууга жөндөмдүү. Cilium ошондой эле HTTP же gRPC сыяктуу ар кандай Layer 7 протоколдорун түшүнөт жана чыпкалайт, бул сизге, мисалы, эки Kubernetes жайгаштыруу ортосунда уруксат берилүүчү REST чалууларынын топтомун аныктоого мүмкүндүк берет.

Istio

каршы сайтынын дареги: istio.io
Лицензия: бекер (Apache)

Istio платформадан көз карандысыз башкаруу учагын жайгаштыруу жана динамикалык конфигурациялануучу Envoy проксилери аркылуу бардык башкарылуучу кызмат трафигин багыттоо аркылуу сервистик тор парадигмасын ишке ашыруу үчүн кеңири белгилүү. Istio ар кандай тармактык коопсуздук стратегияларын ишке ашыруу үчүн бардык микросервистердин жана контейнерлердин өнүккөн көрүнүшүнөн пайдаланат.

Istio тармагынын коопсуздук мүмкүнчүлүктөрүнө микросервистердин ортосундагы байланышты HTTPSге автоматтык түрдө жаңыртуу үчүн тунук TLS шифрлөө жана кластердеги ар кандай жүктөмдөрдүн ортосундагы байланышка уруксат берүү/баш тартуу үчүн проприетардык RBAC идентификациялоо жана авторизациялоо тутуму кирет.

Эскертүү. котормо.: Istio коопсуздукка багытталган мүмкүнчүлүктөрү жөнүндө көбүрөөк билүү үчүн, окуңуз бул макалада.

Tigera

каршы сайтынын дареги: www.tigera.io
Лицензия: коммерциялык

"Kubernetes Firewall" деп аталган бул чечим тармактын коопсуздугуна ишенимсиз мамилени баса белгилейт.

Башка түпкү Kubernetes тармактык чечимдерине окшоп, Tigera кластердеги ар кандай кызматтарды жана объекттерди аныктоо үчүн метаберилиштерге таянат жана иштөө учурундагы көйгөйлөрдү аныктоону, шайкештикти үзгүлтүксүз текшерүүнү жана көп булуттуу же гибриддик монолиттүү-контейнердик инфраструктуралар үчүн тармактын көрүнүүсүн камсыз кылат.

Trireme

каршы сайтынын дареги: www.aporeto.com/opensource
Лицензия: бекер (Apache)

Trireme-Kubernetes - бул Kubernetes Network Policies спецификациясынын жөнөкөй жана жөнөкөй ишке ашырылышы. Эң көрүнүктүү өзгөчөлүгү - окшош Kubernetes тармактык коопсуздук продуктуларынан айырмаланып, торду координациялоо үчүн борбордук башкаруу учагын талап кылбайт. Бул чечимди масштабдуу кылат. Triremeде бул ар бир түйүнгө хосттун TCP/IP стекине түздөн-түз туташкан агентти орнотуу аркылуу жетишилет.

Сүрөттөрдү жайылтуу жана сырларды башкаруу

Grafeas

каршы сайтынын дареги: grafeas.io
Лицензия: бекер (Apache)

Grafeas - бул программалык камсыздоо чынжырын текшерүү жана башкаруу үчүн ачык булак API. Негизги деңгээлде, Grafeas метадайындарды жана аудиттин жыйынтыгын чогултуу үчүн курал. Ал уюмдагы коопсуздуктун эң мыкты тажрыйбаларына ылайыктуулугун көзөмөлдөө үчүн колдонулушу мүмкүн.

Бул борборлоштурулган чындык булагы сыяктуу суроолорго жооп берүүгө жардам берет:

Белгилүү бир контейнерди ким чогултуп, кол койгон?
Ал коопсуздук саясаты талап кылган бардык коопсуздук сканерден жана текшерүүлөрдөн өттүбү? Качан? Жыйынтыктары кандай болду?
Аны өндүрүшкө ким киргизген? Жайгаштыруу учурунда кандай конкреттүү параметрлер колдонулган?

In-toto

каршы сайтынын дареги: in-toto.github.io
Лицензия: бекер (Apache)

In-toto - бул программалык камсыздоону камсыздоо чынжырынын бүтүндүгүн, аутентификациясын жана аудитин камсыз кылуу үчүн иштелип чыккан негиз. In-toto инфраструктурасында жайгаштырылып жатканда, адегенде куурдагы ар кандай кадамдарды (репозитарий, CI/CD куралдары, QA куралдары, артефакт жыйноочулар ж.б.) жана колдонууга уруксат берилген колдонуучуларды (жооптуу адамдар) сүрөттөгөн план аныкталат. аларды баштоо.

In-toto пландын аткарылышын көзөмөлдөп, чынжырдагы ар бир тапшырманы ыйгарым укуктуу персонал гана талаптагыдай аткарып жатканын жана кыймыл учурунда продукт менен эч кандай уруксатсыз манипуляциялар жасалбаганын текшерет.

Portieris

каршы сайтынын дареги: github.com/IBM/portieris
Лицензия: бекер (Apache)

Portieris - Kubernetes үчүн кабыл алуу контроллери; мазмунга ишеним текшерүүлөрүн ишке ашыруу үчүн колдонулат. Portieris серверди колдонот нотариус (Биз аягында ал жөнүндө жазган бул макалада - болжол менен которуу) ишенимдүү жана кол коюлган артефакттарды (б.а. бекитилген контейнер сүрөттөрүн) текшерүү үчүн чындыктын булагы катары.

Kubernetes'те жумуш жүгү түзүлгөндө же өзгөртүлгөндө, Portieris суралган контейнер сүрөттөрү үчүн кол коюу маалыматын жана мазмундун ишеним саясатын жүктөп алат жана зарыл болсо, ошол сүрөттөрдүн кол коюлган версияларын иштетүү үчүн JSON API объектисине дароо өзгөртүүлөрдү киргизет.

жыйнак

каршы сайтынын дареги: www.vaultproject.io
Лицензия: бекер (MPL)

Vault жеке маалыматты сактоо үчүн коопсуз чечим: сырсөздөр, OAuth энбелгилери, PKI сертификаттары, кирүү эсептери, Kubernetes сырлары ж.б. Vault көптөгөн өркүндөтүлгөн функцияларды колдойт, мисалы, эфемердик коопсуздук энбелгилерин ижарага алуу же ачкычтын айлануусун уюштуруу.

Helm диаграммасын колдонуу менен, Vault жаңы жайгаштыруу катары Kubernetes кластеринде жайгаштырылышы мүмкүн, ал эми Консул резервдик сактагыч катары. Ал ServiceAccount энбелгилери сыяктуу жергиликтүү Kubernetes ресурстарын колдойт жана атүгүл Kubernetes сырлары үчүн демейки дүкөн катары иштей алат.

Эскертүү. котормо.: Баса, кечээ эле Vault компаниясын иштеп чыгуучу HashiCorp компаниясы Kubernetes'те Vault колдонуу үчүн кээ бир жакшыртууларды жарыялады жана алар Helm диаграммасына тиешелүү. Кененирээк бөлүмдөн окуңуз иштеп чыгуучунун блогу.

Kubernetes коопсуздук аудити

Кубе-скамейка

каршы сайтынын дареги: github.com/aquasecurity/kube-bench
Лицензия: бекер (Apache)

Kube-bench бул Go колдонмосу, ал Kubernetesтин тизмеден тесттерди жүргүзүү аркылуу коопсуз орнотулганын текшерет. CIS Kubernetes Benchmark.

Kube-bench кластердик компоненттердин (ж.б., API, контроллер менеджери ж.б.) кооптуу конфигурация орнотууларын, шектүү файлга кирүү укуктарын, корголбогон эсептерди же ачык портторду, ресурстук квоталарды, DoS чабуулдарынан коргоо үчүн API чалууларынын санын чектөө орнотууларын издейт. , жана башкалар.

Kube-hunter

каршы сайтынын дареги: github.com/aquasecurity/kube-hunter
Лицензия: бекер (Apache)

Kube-hunter Kubernetes кластерлеринде потенциалдуу алсыздыктарга (мисалы, коддун алыстан аткарылышы же маалыматтардын ачылышы) издейт. Kube-hunterди алыскы сканер катары иштетсе болот - бул учурда ал кластерди үчүнчү тараптын чабуулчусунун көз карашы менен баалайт - же кластердин ичиндеги поддон катары.

Kube-hunterдин айырмалоочу өзгөчөлүгү анын “активдүү аңчылык” режими болуп саналат, анын жүрүшүндө ал көйгөйлөрдү гана билдирбестен, максаттуу кластерде табылган, анын иштешине зыян келтириши мүмкүн болгон алсыздыктардан пайдаланууга аракет кылат. Андыктан этияттык менен колдонуңуз!

Kubeaudit

каршы сайтынын дареги: github.com/Shopify/kubeaudit
Лицензия: бекер (MIT)

Kubeaudit - бул Shopify'да ар кандай коопсуздук маселелери боюнча Kubernetes конфигурациясын текшерүү үчүн иштелип чыккан консол куралы. Мисалы, ал чектөөсүз иштеген, тамыр катары иштеген, артыкчылыктарды кыянаттык менен пайдаланган же демейки ServiceAccount колдонуучу контейнерлерди аныктоого жардам берет.

Kubeauditтин башка кызыктуу өзгөчөлүктөрү бар. Мисалы, ал жергиликтүү YAML файлдарын талдап, коопсуздук көйгөйлөрүнө алып келиши мүмкүн болгон конфигурациядагы кемчиликтерди аныктап, аларды автоматтык түрдө оңдой алат.

Kubesec

каршы сайтынын дареги: kubesec.io
Лицензия: бекер (Apache)

Kubesec - бул коопсуздукка таасир эте турган алсыз параметрлерди издеп, Kubernetes ресурстарын сүрөттөгөн YAML файлдарын түздөн-түз сканерлеген атайын курал.

Мисалы, ал подсткага берилген ашыкча артыкчылыктарды жана уруксаттарды, демейки колдонуучу катары тамыры бар контейнерди иштетүүнү, хосттун тармак мейкиндигине туташууну же коркунучтуу орнотууларды аныктай алат. /proc хост же Docker розетка. Kubesecтин дагы бир кызыктуу өзгөчөлүгү онлайн жеткиликтүү демо кызматы, ага YAML жүктөй аласыз жана аны дароо талдай аласыз.

Ачык саясат агенти

каршы сайтынын дареги: www.openpolicyagent.org
Лицензия: бекер (Apache)

OPA (Open Policy Agent) концепциясы коопсуздук саясаттарын жана коопсуздуктун эң жакшы тажрыйбаларын белгилүү бир иштөө убактысы платформасынан ажыратуу болуп саналат: Docker, Kubernetes, Mesosphere, OpenShift же алардын ар кандай айкалышы.

Мисалы, сиз OPAны коопсуздук чечимдерин ага өткөрүп берип, Kubernetes кабыл алуу контролеру үчүн сервер катары орното аласыз. Ушундай жол менен, OPA агенти көрсөтүлгөн коопсуздук параметрлеринин аткарылышын камсыз кылуу менен, сурамдарды дароо текшерип, четке кагып, жада калса өзгөртө алат. OPA коопсуздук саясаты анын менчик DSL тилинде жазылган, Rego.

Эскертүү. котормо.: Биз OPA (жана SPIFFE) жөнүндө көбүрөөк жазганбыз бул материал.

Kubernetes коопсуздук талдоо үчүн комплекстүү коммерциялык куралдар

Биз коммерциялык платформалар үчүн өзүнчө категория түзүүнү чечтик, анткени алар адатта бир нече коопсуздук аймактарын камтыйт. Алардын мүмкүнчүлүктөрү жөнүндө жалпы түшүнүк таблицадан алууга болот:

* Өркүндөтүлгөн экспертиза жана өлүмдөн кийинки анализ системалык чалууларды уурдоо.

Aqua коопсуздук

каршы сайтынын дареги: www.aquasec.com
Лицензия: коммерциялык

Бул коммерциялык курал контейнерлер жана булут жүктөрү үчүн иштелип чыккан. Ал камсыз кылат:

Сүрөттөрдү сканерлөө контейнер реестри же CI/CD түтүгү менен бириктирилген;
Контейнерлердеги өзгөртүүлөрдү жана башка шектүү аракеттерди издөө менен иштөө убактысын коргоо;
Контейнердик брандмауэр;
Булут кызматтарында серверсиз коопсуздук;
Окуяларды каттоо менен бирге шайкештикти текшерүү жана аудит.

Эскертүү. котормо.: бар экендигин да айта кетуу керек деп аталган буюмдун акысыз компоненти MicroScanner, ал сизге контейнер сүрөттөрүн скандоого мүмкүндүк берет. Анын мүмкүнчүлүктөрүн акы төлөнүүчү версиялары менен салыштыруу келтирилген бул стол.

Капсула 8

каршы сайтынын дареги: capsule8.com
Лицензия: коммерциялык

Capsule8 жергиликтүү же булуттагы Kubernetes кластерине детекторду орнотуу менен инфраструктурага интеграцияланат. Бул детектор хосттун жана тармактын телеметриясын чогултуп, аны кол салуулардын ар кандай түрлөрү менен байланыштырат.

Capsule8 командасы өз милдетин жаңы колдонуу менен кол салууларды эрте аныктоо жана алдын алуу деп эсептейт (0 күн) алсыздыктар. Capsule8 жаңы ачылган коркунучтарга жана программалык камсыздоонун кемчиликтерине жооп катары жаңыртылган коопсуздук эрежелерин түздөн-түз детекторлорго жүктөй алат.

Кавирин

каршы сайтынын дареги: www.cavirin.com
Лицензия: коммерциялык

Cavirin коопсуздук стандарттары менен алектенген ар кандай агенттиктер үчүн компания тарабында подрядчы катары иш алып барат. Ал сүрөттөрдү сканерлөө менен гана чектелбестен, стандарттуу эмес сүрөттөрдү жабык репозиторийлерге кире электе бөгөттөп, CI/CD түтүкчөсүнө интеграцияланышы мүмкүн.

Cavirin'тин коопсуздук топтому киберкоопсуздук абалына баа берүү үчүн машина үйрөнүүнү колдонот, коопсуздукту жакшыртуу жана коопсуздук стандарттарына шайкештикти жакшыртуу боюнча кеңештерди берет.

Google Булуттагы Коопсуздук Башкаруу борбору

каршы сайтынын дареги: cloud.google.com/security-command-center
Лицензия: коммерциялык

Cloud Security Command Center коопсуздук топторуна маалыматтарды чогултууга, коркунучтарды аныктоого жана компанияга зыян келтирерден мурун аларды жок кылууга жардам берет.

Аты айтып тургандай, Google Cloud SCC бирдиктүү башкаруу панели болуп саналат, ал бир, борборлоштурулган булактан ар кандай коопсуздук отчетторун, активдерди эсепке алуу кыймылдаткычтарын жана үчүнчү тараптын коопсуздук системаларын бириктирип жана башкара алат.

Google Cloud SCC тарабынан сунушталган өз ара аракеттенүүчү API Sysdig Secure (булуттагы тиркемелер үчүн контейнер коопсуздугу) же Falco (Ачык булактагы иштөө убактысынын коопсуздугу) сыяктуу ар кандай булактардан келген коопсуздук окуяларын интеграциялоону жеңилдетет.

Layered Insight (Qualys)

каршы сайтынын дареги: layeredinsight.com
Лицензия: коммерциялык

Layered Insight (азыр Qualys Incтин бир бөлүгү) "киргизилген коопсуздук" концепциясына негизделген. Статистикалык анализдин жана CVE текшерүүлөрүнүн жардамы менен түпнуска сүрөттү аялуу жерлерге сканерлегенден кийин, Layered Insight аны экилик катары агентти камтыган аспаптык сүрөт менен алмаштырат.

Бул агент контейнердик тармак трафигин, киргизүү/чыгаруу агымдарын жана колдонмо аракетин талдоо үчүн иштөө убактысынын коопсуздук сыноолорун камтыйт. Мындан тышкары, ал инфраструктуранын администратору же DevOps топтору тарабынан белгиленген кошумча коопсуздук текшерүүлөрүн аткара алат.

NeuVector

каршы сайтынын дареги: neuvector.com
Лицензия: коммерциялык

NeuVector контейнер коопсуздугун текшерет жана ар бир контейнер үчүн жеке коопсуздук профилин түзүп, тармактын активдүүлүгүн жана колдонмонун жүрүм-турумун талдоо аркылуу иштөө убактысын коргоону камсыз кылат. Ал ошондой эле жергиликтүү брандмауэр эрежелерин өзгөртүү менен шектүү аракеттерди обочолонтуп, коркунучтарды өз алдынча бөгөттөй алат.

NeuVector'тун Security Mesh катары белгилүү болгон тармактык интеграциясы тейлөө тармагындагы бардык тармактык туташуулар үчүн пакеттерди терең талдоо жана 7-катмарды чыпкалоого жөндөмдүү.

StackRox

каршы сайтынын дареги: www.stackrox.com
Лицензия: коммерциялык

StackRox контейнердик коопсуздук платформасы кластердеги Kubernetes тиркемелеринин бүт өмүр циклин камтууга аракет кылат. Бул тизмедеги башка коммерциялык платформалар сыяктуу эле, StackRox байкалган контейнердин жүрүм-турумунун негизинде иштөө убактысынын профилин түзөт жана ар кандай четтөөлөр үчүн автоматтык түрдө сигнал берет.

Кошумчалай кетсек, StackRox контейнердин шайкештигин баалоо үчүн Kubernetes CIS жана башка эрежелер китептерин колдонуп Kubernetes конфигурацияларын талдайт.

Sysdig Secure

каршы сайтынын дареги: sysdig.com/products/secure
Лицензия: коммерциялык

Sysdig Secure тиркемелерди бүт контейнерде жана Kubernetes өмүр циклинде коргойт. Ал сүрөттөрдү сканерлейт контейнерлер, камсыз кылат иштөө убактысын коргоо машина окутуу маалыматтары боюнча, каймак аткарат. алсыздыктарды аныктоо, коркунучтарды бөгөттөө, мониторинг жүргүзүү үчүн экспертиза белгиленген стандарттарга ылайык келүү жана микросервистеги ишмердүүлүгүн текшерет.

Sysdig Secure Jenkins сыяктуу CI/CD куралдары менен интеграцияланып, Docker реестринен жүктөлгөн сүрөттөрдү көзөмөлдөп, өндүрүштө коркунучтуу сүрөттөрдүн пайда болушуна жол бербейт. Ал ошондой эле комплекстүү иштөө убактысынын коопсуздугун камсыз кылат, анын ичинде:

ML негизинде иштөө убактысынын профилин түзүү жана аномалияларды аныктоо;
системалык окуяларга, K8s-audit API'ге, биргелешкен жамааттык долбоорлорго (FIM - файлдын бүтүндүгүн көзөмөлдөө; криптоакинг) жана алкактарга негизделген иштөө убактысы саясаттары MITER AT&CK;
жооп берүү жана окуяларды чечүү.

Контейнер коопсуздугу

каршы сайтынын дареги: www.tenable.com/products/tenable-io/container-security
Лицензия: коммерциялык

Контейнерлер пайда болгонго чейин, Tenable тармакта Nessus компаниясынын артында турган компания катары кеңири белгилүү болгон, алсыздыктарга аңчылык кылуу жана коопсуздук аудитинин популярдуу куралы.

Tenable Container Security компаниянын компьютердик коопсуздук боюнча тажрыйбасын CI/CD түтүгүн аялуу маалыматтар базалары, кесепеттүү программаларды аныктоо пакеттери жана коопсуздук коркунучтарын чечүү боюнча сунуштар менен интеграциялоо үчүн колдонот.

Twistlock (Palo Alto Networks)

каршы сайтынын дареги: www.twistlock.com
Лицензия: коммерциялык

Twistlock өзүн булут кызматтарына жана контейнерлерге багытталган платформа катары жайылтат. Twistlock ар кандай булут провайдерлерин (AWS, Azure, GCP), контейнер оркестрлерин (Kubernetes, Mesospehere, OpenShift, Docker), серверсиз иштөө убакыттарын, тор алкактарды жана CI/CD куралдарын колдойт.

CI/CD түтүктөрүн интеграциялоо же сүрөт сканерлөө сыяктуу кадимки ишкана деңгээлиндеги коопсуздук техникаларынан тышкары, Twistlock контейнерге мүнөздүү жүрүм-турум үлгүлөрүн жана тармак эрежелерин түзүү үчүн машинаны үйрөнүүнү колдонот.

Бир нече убакыт мурун, Twistlock Evident.io жана RedLock долбоорлоруна ээ болгон Palo Alto Networks тарабынан сатып алынган. Бул үч платформа так кантип интеграцияланары азырынча белгисиз PRISMA Пало Альто шаарынан.

Kubernetes коопсуздук куралдарынын мыкты каталогун түзүүгө жардам бериңиз!

Биз бул каталогду мүмкүн болушунча толук кылууга аракет кылабыз жана бул үчүн биз сиздин жардамыңызга муктажбыз! Биз менен байланыш (@sysdig) эгерде сизде бул тизмеге киргизүүгө татыктуу сонун курал бар болсо, же ката/эскирген маалыматты тапсаңыз.

Сиз дагы биздин каналга жазылсаңыз болот айлык маалымат бюллетени булуттагы жергиликтүү экосистеманын жаңылыктары жана Kubernetes коопсуздук дүйнөсүндөгү кызыктуу долбоорлор жөнүндө окуялар.

Котормочудан PS

Биздин блогдон дагы окуңуз:

Source: www.habr.com

33+ Kubernetes коопсуздук куралдары

Категории