33+ instrumenta securitatis Kubernetes

Nota. transl.: Si miraris de securitate in Kubernetes-substructio infrastructurae, haec praeclara prospectus e Sysdig magnum est initium pro vivo spectaculo solutionis hodiernae. Complexas systemata comprehendit ex notis mercatis histriones et multo modestiores utilitates quae particularem problema solvunt. Et in commentationibus, ut semper, laeti erimus audire de experientia tua his instrumentis utentibus et nexus in aliis inceptis videre.

Programma securitatis Kubernetes producta... tot ex illis sunt, quisque cum suis metis, scopis, ac licentias.

Quam ob rem placuit nobis hoc album creare et includere tam apertam fontem incepta et suggesta commercialia a diversis mercatoribus. Speramus adiuvabit ut cognoscas eas quae maxime interest et monstrant te in rectum directum nixum securitatis tuae specificae Kubernetes necessitates.

genus

Ut indicem facilius navigarem, instrumenta principale munus et applicationes ordinantur. Sectiones consequentes fuerunt;

• Kubernetes imaginem intuens et analysin static;
• Securitas runtime;
• Kubernetes retis securitatis;
• Imaginum distributio et secretorum procuratio;
• securitatem audit Kubernetes;
• Pellentesque consequat.

Ad negotium demus:

Scanning Kubernetes images

Anchora

• Website: anchore.com
• Licentia: liberum (Apache) et commercial offer

Anchora analyses continens imagines et securitatem compescit substructio in consiliis usoris definitis concedit.

Praeter solitam inspectionem continentis imaginum notarum vulnerabilitates ex datorum CVE, Anchora multas adiectas compescit ut partem consilii intuentis facit: Dockerfile, liberorum credentium, fasciculos programmandi linguarum usorum (npm, maven, etc. .

Claro

• Website: coreos.com/clair (Nunc sub tutela Rubrum Hat)
• Licentia: liberum (Apache)

Clair unus ex primis Open Source incepta ad imaginem intuens erat. Notissimum est securitatem scanner post Quai imaginem subcriptio (etiam ex CoreOS - proxime. translation). Clair notitias CVE colligere potest ex varietate fontium, inclusa tabulae distributio-speciarum vulnerabilium Linux, quae a Debian, Red Hat vel Ubuntu iunctae securitatis conservatae sunt.

Dissimilis Anchore, Clair principaliter spectat ad vulnerabilitates inveniendas et ad CVEs data adaptans. Productum autem praebet utentes aliquas facultates augendi functiones utendi obturaculum in rectoribus.

dagda

• Website: github.com/eliasgranderubio/dagda
• Licentia: liberum (Apache)

Dagda analysin static facit continens imagines pro notis vulneribus, Troianis, virus, malware et aliis minis.

Duo notabilia notabilia Dagda ab aliis similibus instrumentis distinguunt:

• Is perfecte integrat cum ClamAVagentes non solum ut instrumentum ad imagines intuendi, sed etiam ut antivirus.
• Etiam tempus tutelae praebet, ut eventus reales a Docker daemone recipiat et cum Falco integrat (infra vide) res securitatis colligere dum continens currit.

KubeXray

• Website: github.com/jfrog/kubexray
• Licentia: Free (Apache), sed notitia ex JFrog Xray postulat (productum commerciale)

KubeXray eventa a Kubernetibus API servo audit et metadata ab JFrog Xray utitur, ut solum siliquae quae cum consilio hodiernae par sunt, deducantur.

KubeXray non solum audit nova vel renovata continentia in instruere (similis admittendi moderatoris in Kubernetes), sed etiam dynamice cohibet vasa currentia ad obsequia novis consiliis securitatis, tollendis facultatibus quae referuntur imagines vulnerabiles.

Snyk

• Website: snyk.io
• Licentia: liberum (Apache) et versiones commerciales

Snyk insolitum est vulnerabilitas scanner in eo quod specifice processum evolutionis oppugnat et ut "solutio essentialis" pro tincidunt promovetur.

Snyk directe ad codicem repositoria nectit, parses documentum manifestam et importatum codicem analysibus una cum dependentiis directis et indirectis. Snyk multas programmandi populares linguas sustinet et pericula licentia occulta cognoscendi possunt.

Trivy

• Website: github.com/knqyf263/trivy
• Licentia: gratis (AGPL)

Trivy simplex sed potens est scanner vulnerabilitas pro vasis quae facile in pipelines CI/CD integrant. Notabile eius pluma est facilitas institutionis et operandi: applicatio unius binarii consistit et institutionem datorum vel additorum bibliothecarum non requirit.

Declinatio simplicitati Trivy est quod figurare debes quomodo ad parse et eventus in forma JSON transmittere, ut alia instrumenta securitatis Kubernetes illis uti possint.

Runtime securitas in Kubernetes

Pompeius Falco

• Website: falco.org
• Licentia: liberum (Apache)

Falco est instrumentum instrumentorum ad ambitus conciliandos nubes runtime. Pars project familia CNCF.

Usura Sysdig's Linux instrumenti nuclei ac instrumenti ac systematis vocationis profiling, Falco te permittit ut in systematis mores penitus intendere. Rationes runtime machinae eius suspectam actionem in applicationibus, vasis, exercitui subiecta et orchestratore Kuberneto detegere possunt.

Falco plenam perspicuitatem praebet in cursu temporis et deprehensio minas speciales agentium in Kubernetes nodos ad hos usus disponendo. Quam ob rem, nihil opus est continentia modificare, codicem tertium-partim in eas introducendo vel vasis sideribus addendo.

Linux securitatem compages runtime

Haec nativi compages Linux nuclei non sunt "Kubernetes instrumenta securitatis" in sensu tradito, sed dignae sunt quia elementum magni momenti sunt in contextu securitatis currentis, quae in Kubernetes Pod Consilium Securitatis comprehenditur (PSP).

AppArmor profile securitatem applicat processibus in continente decurrentibus, definiens privilegia systematis fasciculi, regulas retis accessus, bibliothecas connectens, etc. Haec est ratio in Mandatory Access Imperium (MAC). Id est, vetat actiones prohibitas fieri.

Securitatis Consectetur Linux (SELinux) modulus securitatis provectae in Linux nucleo similis in quibusdam aspectibus ad AppArmor et saepe cum eo comparatus. SELinux potior est AppArmor in potentia, flexibilitate et customizatione. Longa eius incommoda discendi curva et multiplicitate aucta.

Seccomp et seccomp-bpf permittunt te ad systema colum vocatum, executionem intercludere eorum quae potentia periculosa sunt ad basim OS et ad normalem applicationes utentis operationis non sunt necessariae. Seccomp similis est Falco aliquo modo, licet non cognoscit specialia continentia.

Sysdig apertum fontem

• Website: www.sysdig.com/opensource
• Licentia: liberum (Apache)

Sysdig instrumentum completum est ad systemata Linux analysandi, diagnosendi et debugging (etiam in Fenestra et macOS operatur, sed cum functionibus limitatis). Adhiberi potest ad melius informationes collectio, verificationis et analysis forensis. (forensics) basis ratio et quaelibet continentia in ea decurrens.

Sysdig etiam paternus adiuvat continentem runtimes et metadata Kubernetes, additis dimensionibus et pittaciis ad omnes mores systematis informationes colligit. Plures modi sunt ad resolvendum a botro Kubernetes Sysdig utentes: punctum in tempore capere potes kubectl captis an launch an ncurses-fundatur interactive interface uti a plugin kubectl fodere.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• Licentia: commercial

Aporeto praebet "securitatem ab retis et infrastructuram separatam". Hoc significat Kubernetes officia non solum ID localem (i.e. ServiceAccount in Kubernetes recipere), sed etiam universale ID/digiti impressum, qui secure et mutuo cum quovis alio servitio communicare potest, exempli gratia in botro OpenShift.

Aporeto potest generare unicum ID non solum pro vasis Kubernetibus, sed etiam pro exercituum, nubium functionibus et utentibus. Secundum haec identificatores et praecepta securitatis retiacula ab Administratore statuta, communicationum socialium permittetur vel impeditur.

Calico

• Website: www.projectcalico.org
• Licentia: liberum (Apache)

Calico in vase orchestratoris institutionem typice explicatur, sino te creare virtualem retem quae continentia conectit. Praeter hanc fundamentalem functionem retis, Calico incepta opera cum Kubernetes Network Politiae et propriae retis securitatis perfiles, fines ACLs (aditus moderandi indices) sustinet, et annotationem retis securitatem regulas in Ingress et Egress negotiatio.

cilium

• Website: www.cilium.io
• Licentia: liberum (Apache)

Cilium facit ut murus pro vasis et retis securitatem praebet ut Kubernetes et microservices laboribus indolis nativae formandae sunt. Cilium nova technicae nuclei Linux utitur quae BPF (Berkeley Packet Filter) utitur ad colum, monitorem, redirectam et datam rectam.

Cilium capax est ad accessum retis disponere rationibus in vase IDs utentibus Docker vel Kubernetes pittaciis et metadata. Cilium etiam intelligit et sparguntur varias Iacuit 7 protocolla ut HTTP vel gRPC, sino te definire statutum quietis vocatum, quod licebit inter duos Kubernetes instruere, exempli gratia.

Istio

• Website: istio.io
• Licentia: liberum (Apache)

Istio percrebuit ad exsequendum paradigma reticuli servitii per planum moderamen suggestum-independens explicando ac omnia administranda opera negotiandi excitando per procuratores dynamice configurabiles Internuntius. Istio proficit hac provectae opinionis omnium microservorum et vasorum ad varias retis securitatem machinas efficiendas.

Facultates securitatis retiaculae Istio includunt perlucidum TLS encryptionem ad communicationes automatice upgrade inter microservices ad HTTPS, et identificatio ratio proprietatis RBAC et auctoritatis ut/neget communicationem inter varias labores in botro.

Nota. transl.: Ut plura discere de facultates securitatis Istio feruntur, lege hoc articulum.

Tigera

• Website: www.tigera.io
• Licentia: commercial

Appellatus "Kubernetes Firewall", haec solutio nulla fiducia accessus ad securitatem retis extollit.

Similia aliis indigenis Kubernetes solutionibus retis, Tigera metadata innititur ad cognoscendum varia officia et obiecta in botro, et praebet runtim exitus deprehensio, continua obsequio tenendo, et retis visibilitas pro multi-nube vel hybridorum substructionum monolithic-continentium.

Triremis

• Website: www.aporeto.com/opensource
• Licentia: liberum (Apache)

Triremis-Kubernetes simplex et directa exsecutio Politiae specificationis Network Kubernetes est. Praecipuum notabile est quod - dissimilis similes productorum retis Kubernetes securitatis - non requirit in plano centrali ad reticulum coordinandum. Inde solutionem modice scalabilem facit. In Trireme, hoc effectum est instituendo procuratorem in unaquaque nodi quae directe connectit cum acervo hospitii TCP/IP.

Imaginum Propagationis et Secretorum Management

Grafeas

• Website: grafeas.io
• Licentia: liberum (Apache)

Grafeas fons apertus est API pro programmatibus copiam catenam audiendi et administrandi. In gradu fundamentali, Grafeas instrumentum est ad metadatas et inventiones audiendas colligendas. Ad indagare obsequium potest cum securitate optimarum exercitationum intra organizationem.

Hic fons centralised veritatis adiuvat ut interrogationes respondeat:

• Quis collecta et signata pro vase particulari?
• Num cuncta securitas lustrat et compescit quae ab securitatis consilio requiruntur? Quando? Quid eventus?
• Quis eam ad productionem explicuit? Quae parametri specificae adhibebantur in instruere?

In-toto

• Website: in-toto.github.io
• Licentia: liberum (Apache)

In-toto compage disposita est ad integritatem, authenticationem et auditionem totius instrumenti instrumenti catena. Cum In-toto in infrastructura disponitur, consilium primum definitur, quod varios gradus in pipelino describit (repositorium, CI/CD instrumenta, QA instrumenta, collectores artificii, etc.) et utentes (personae responsabiles) qui permittuntur. inchoare.

In-toto monitores consilii exsecutio comprobans unumquodque munus in nexibus ab auctoritate curatorum tantum recte exerceri et nullas manipulationes alienas cum facto in motu peractum esse.

Portieris

• Website: github.com/IBM/portieris
• Licentia: liberum (Apache)

Portieris est admissio moderatoris Kubernetes; contentus ad rerum cogendarum fiducia checks. Portieris utitur servo notarius (Scripsimus de ipso fine hoc articulum - proxime. translation) tamquam fons veritatis ad convalidandum confisa et artificiata signata (i.e. approbata imagines continens).

Cum quod inposuit in Kubernetes creatum vel mutatum est, Portieris notiones subscriptionis et argumenti fiduciae consiliorum petitarum imaginum continentis et, si opus est, in-volant mutationes ad JSON API obiectum ut decurrat signatorum illorum imaginum versiones.

firmamentum

• Website: www.vaultproject.io
• Licentia: free (MPL)

Firmamentum est certa solutio ad informationes privatas accommodandas: tesserae, OAuth signa, testimoniales PKI, rationum accessus, secreta Kubernetes etc. Firmamentum fovet multas notas provectas, ut signa securitatis evanida locare vel rotationem clavem ordinare.

Tabula Helm utens, Vault potest explicari ut novum instruere in botro Kubernetes cum Consule ut repositione reposita. Patria Kubernetes facultates adiuvat ut signa ServiceAccount sustinet et etiam agere potest ut defalta copia secretorum Kubernetarum.

Nota. transl.: Obiter hesterno die comitatus HashiCorp, quae Vault incidit, aliquas emendationes denuntiavit pro Vault in Kubernetes utendi, ac nominatim narrant chart Helm. Read more in elit blog.

Kubernetes Securitatis Audit

Kube-banch

• Website: github.com/aquasecurity/kube-bench
• Licentia: liberum (Apache)

Kube-scamnum est Ire applicationis quae impedit an Kubernetes secure explicatur per probationes e indice CIS Kubernetes Benchmark.

Kube-scamnum spectat ad incertas configurationes unctiones inter partes botri (etcd, API, moderatoris procuratoris etc.), accessum fasciculi dubia iura, rationes nudas vel apertas portus, subsidia quotas, occasus limitandi numerum API vocat ad tuendum contra impetus DoS , etc.

Kube-venator

• Website: github.com/aquasecurity/kube-hunter
• Licentia: liberum (Apache)

Kube-venator venatur vulnerabilitates potentiales (quales sunt remotae codicis exsecutionis vel notitiae revelationis) in racemis Kubernetes. Venator Kube potest currere sicut scanner remotus - quo casu botrum aestimabit ex parte tertiae factionis impugnantis vel sicut legumen intra botrum.

Nota Kube-venatoris modus est eius "venationis activae", in quo non solum quaestiones refert, sed etiam uti conatur vulnerabilitates in glomeris clypeo repertis, qui potentiam suam operationem laedere possent. Caute igitur utere!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Licentia: gratis (MIT)

Kubeaudit instrumentum consolatorium primum apud Shopify enucleatum est ut configurationem Kubernetes pro variis quaestionibus securitatis audiat. Exempli gratia, adiuvat cognoscere continentia currendo libera, currens ut radix, abutens privilegiis, vel servitiiAccount defectus utens.

Kubeaudit alia interesting lineamenta habet. Exempli gratia, tabellas locales YAML resolvere potest, vitia conformationis cognoscere quae ad quaestiones securitatis adducere possent et automatice eas figere.

Kubesec

• Website: kubesec.io
• Licentia: liberum (Apache)

Kubesec instrumentum speciale est in eo quod lima YAML directe lustrat quae facultates Kubernetes describent, parametros infirmos quaerens qui securitatem afficere possint.

Exempli gratia, potest deprehendere nimias privilegia et permissiones ad vasculum concessas, vas cum radice currente ut defectus usoris, connectens cum spatiis retis hospitii, vel quasi munitiones periculosas. /proc hospes, vel Docker tabernaculi. Aliud interesting notamentum Kubesec est servitii demo available online, in quam YAML fasciculos potes et statim analyse eam.

Open Policy Agent

• Website: www.openpolicyagent.org
• Licentia: liberum (Apache)

Notio OPA (Open Policy agentis) est consilia securitatis et securitatis optimos usus decoquere e suggestu certo runtimo: Docker, Kubernetes, Mesosphere, OpenShift, vel quamlibet coniunctionem eius.

Exempli gratia, OPA quasi backend ad gubernatorem admissionis Kubernetes explicandam potes, decisiones securitatis ad eam delegans. Hoc modo agens OPA convalidare, reicere, immo petitiones musca mutare potest, ut certae securitatis parametri conveniant. Pignus securitatis OPA in lingua proprietaria DSL Rego scripta sunt.

Nota. transl.: Plura scripsimus de OPA (et SPIFFE) in hanc materiam.

Comprehensiva instrumenta commercialia pro Kubernetes securitatem analysis

Genus distinctum pro suggestis commercialibus creare decrevimus quia plures areas securitatis plerumque operiunt. Communis idea eorum facultatum ex tabula obtineri potest;

* Examen provectus et post mortem analysis cum completa ratio vocationis RAPTUS.

aqua Security

• Website: www.aquasec.com
• Licentia: commercial

Hoc instrumentum commerciale ad continentia et nubes laboribus destinatur. Praebet;

• Imago intuens integrata cum registro continente vel CI/CD pipelino;
• Tutela runtime cum inquisitione mutationum in vasis et aliis suspectis activitatibus;
• Continens firewall-nativa;
• Securitas pro servitoribus est in nubilo officia;
• Obsequium probatio et auditing cum eventu logging.

Nota. transl.: Notatu etiam dignum est quod sunt liberum elementum vocati MicroScannerquae permittit ut imagines photographicas pro nuditatibus spectes. Comparatio facultatum suarum cum versionibus solutis exhibetur in haec mensa.

Capsule8

• Website: capsule8.com
• Licentia: commercial

Capsule8 in infrastructuram insertis insertis detectoribus in botrum localem vel nubem Kubernetes. Hic detector exercitum et telemetriam retis colligit, eam cum diversis oppugnationum generibus connectens.

Turma Capsule8 negotium suum videt ut mane deprehendatur et ne impetus novorum utendi (0-die) nuditates. Capsule8 praecepta securitatis renovatae directe ad detectores detegere possunt cum responsio ad minas et vulnerabilitates programmata nuper inventa.

Cavirin

• Website: www.cavirin.com
• Licentia: commercial

Cavirin in societatem lateralem redemptorem agit pro variis agentibus signis tutos implicatis. Imagines non solum lustrare, sed etiam in CI/CD pipelines integrare potest, imagines non-vexillos claudentes antequam repositoria clausa ingrediantur.

Cavirin's securitatis suite apparatus discendi utitur ad cybersecuritates tuas aestimandas staturam, apicibus ad securitatem emendandam et ad obsequendum cum signis securitatis emendandis.

Google Cloud Securitatis Imperii Center

• Website: cloud.google.com/security-mand-center
• Licentia: commercial

Nubes Imperii Securitatis Center adiuvat iunctiones securitatis datas colligere, minas cognoscere, easque removere antequam societas noceant.

Ut nomen sonat, Google Cloud SCC tabula una est, quae varias relationes securitatis, machinas computationes dignissim, et systemata securitatis ex uno fonte centrali tertiae partis integrare et administrare potest.

Interoperabile API a Google Cloud SCC oblatum facilem reddit securitatem eventus ex variis fontibus orti, ut Sysdig Secura (securitas securitatis ad applicationes nubis-nativas) seu Falco (Aperi Fons securitatis runtime).

Nunc Insight (Qualys)

• Website: layeredinsight.com
• Licentia: commercial

Inspectio (nunc pars Qualys Inc) aedificatur in conceptu securitatis infixae. Postquam imaginem originalem inspiciebat pro vulnerabilities utens analysi statistica et CVE compescit, Insight iacuit eam reponit cum imagine instrumentali quae in binario agente includit.

Hoc agens securitatem indicat runtime ut analysis continens retis negotiationis, I/O, fluit ac applicationem actionis. Praeterea securitatis tutiores facere potest praeter iunctiones infrastructuras ab administratore vel DevOps iunctos specificatos.

NeuVector

• Website: neuvector.com
• Licentia: commercial

NeuVector securitatem continentis compescit et tutelam runtim praebet per modum retis activitatis et applicationis agendi, quod profile singularem securitatem pro unoquoque continente creando. Minas etiam obstruere potest suo proprio, suspectum segregans activum, mutando normas murus locales.

Integratio network NeuVector, nota Mesh Securitatis, alta analysi fasciculi capax est et tabulatum 7 eliquare pro omnibus retis nexus in reticulo servitio.

StackRox

• Website: www.stackrox.com
• Licentia: commercial

StackRox continens securitatis suggestum nititur totam vitam cycli Kubernetium applicationes in botro obtegere. Sicut alia suggesta commercialia in hoc indice, StackRox profile runtim generat fundatur in moribus continens observatis et automatice terrorem ob quascumque deflexiones movet.

Accedit, StackRox analyses Kubernetes configurationum cum Kubernetis CIS et aliis libris regulae ad obsequium continens aestimandas.

Sysdig Secure

• Website: sysdig.com/products/secure
• Licentia: commercial

Sysdig Secure tuetur applicationes per totum continentem et vitam cycli Kubernetes. He lustrat imagines continentia praebet runtime praesidium secundum machinam data doctrina, facit cremor. peritia cognoscendi vulnerabilities, cuneos minas, monitores sequatur statutum signa and audits action in microservices.

Sysdig Secure integrat instrumenta CI/CD qualia Jenkins moderatur imagines e registris Docker oneratis, ne imagines periculosas appareant in productione. Etiam securitatem runtime comprehensivam praebet, e quibus:

• ML-fundatur runtime profiling et anomalia detectio;
• consilia runtime innixa systematis eventus, K8s-audit API, communitas incepta communis (FIM - fasciculi integritas magna; cryptojacking) et compages MITER AT&CK;
• responsionis et resolutionis incidentium.

Tenabilis continens Securitatis

• Website: www.tenable.com/products/tenable-io/container-security
• Licentia: commercial

Ante vasorum adventum Tenable divulgatum est in industria cum comitatu post Nessum, popularis vulnerabilitas venationis et instrumentum securitatis audientis.

Continens Securitatis leverages peritia securitatis computatrum societatis ad CI/CD cum datorum vulnerabilitate integrare, specialibus fasciculis deprehensio malware, et commendationes ad minas securitatis solvendas.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Licentia: commercial

Twistlock se promovet ut suggestum in nubes officia et continentia focused. Twistlock varias nubes provisores sustinet (AWS, Azure, GCP), orchestratores continens (Kubernetes, Mesospehere, OpenShift, Docker), cursorium servientium, compagum reticulorum et instrumentorum CI/CD.

Praeter technicae securitatis conventionales-gradus, ut CI/CD integratio pipelinearum seu imaginum intuens, Twistlock utitur machina discendi ad generandum exemplares speciales modus agendi et regulas retis.

Dudum Twistlock emptus est a Palo Alto Networks, cuius Evident.io et RedLock incepta possidet. Nondum notum est quam exacte haec tria tabulata integranda sint prisma ex Palo Alto.

Adiuva optimum catalogum aedificare instrumenta securitatis Kubernetes!

Hunc catalogum quam maxime complere conamur, ac ad hoc ope tua indigemus! Nobis loquere (@sysdig) si frigidum instrumentum in mente habes quod inclusione in hoc indice dignum est, vel errorem/nondatorum notitias invenies.

Etiam subscribere potes nostris menstruam elit cum nuntiis e ecosystem nativa nubis et fabulis de rebus iucundis ex mundo Kubernetensium securitatis.

PS ab translator

Lege etiam in nostro diario:

• «Introductio ad Kubernetes Network Politiae pro Securitatis Professionals";
• «Docker et Kubernetes in ambitus securitatis sensibilis";
• «9 Best Practices pro Kubernetes Securitatis";
• «11 Mores (Not) Fieri Victimae Kubernetes Hack";
• «OPA et SPIFFE duo nova incepta in CNCF ad applicationem securitatis nubeculae sunt".

Source: www.habr.com