33+ Kubernetes Sécherheetsinstrumenter

Note. iwwersat.: Wann Dir Iech iwwer d'Sécherheet an der Kubernetes-baséierter Infrastruktur frot, ass dësen exzellenten Iwwerbléck vu Sysdig e super Startpunkt fir e séiere Bléck op déi aktuell Léisungen. Et enthält souwuel komplex Systemer vu bekannte Maartspiller a vill méi bescheiden Utilities déi e bestëmmte Problem léisen. An an de Kommentaren, wéi ëmmer, wäerte mir frou sinn iwwer Är Erfahrung mat dësen Tools ze héieren a Linken op aner Projeten ze gesinn.

Kubernetes Sécherheetssoftware Produkter ... et gi sou vill vun hinnen, jidderee mat hiren eegene Ziler, Ëmfang a Lizenzen.

Dofir hu mir décidéiert dës Lëscht ze kreéieren a béid Open Source Projeten a kommerziell Plattforme vu verschiddene Verkeefer enthalen. Mir hoffen et wäert Iech hëllefen déi ze identifizéieren déi am meeschten interesséieren an Iech an déi richteg Richtung weisen op Basis vun Äre spezifesche Kubernetes Sécherheetsbedürfnisser.

Kategorien

Fir d'Lëscht méi einfach ze navigéieren, sinn d'Tools no Haaptfunktioun an Uwendung organiséiert. Déi folgend Rubriken goufen kritt:

• Kubernetes Bild Scannen a statesch Analyse;
• Runtime Sécherheet;
• Kubernetes Reseau Sécherheet;
• Bild Verdeelung a Geheimnisser Gestioun;
• Kubernetes Sécherheet Audit;
• Iwwergräifend kommerziell Produiten.

Loosst eis op d'Geschäft kommen:

Kubernetes Biller scannen

Anker

• Websäit: anchore.com
• Lizenz: fräi (Apache) a kommerziell Offer

Anchore analyséiert Containerbilder an erlaabt Sécherheetskontrollen op Basis vu Benotzerdefinéierte Politiken.

Zousätzlech zu der üblecher Scannen vu Containerbiller fir bekannte Schwachstelle vun der CVE Datebank, mécht Anchore vill zousätzlech Kontrollen als Deel vu senger Scannpolitik: kontrolléiert d'Dockerfile, Umeldungslecks, Packagen vun de benotzte Programméierungssproochen (npm, maven, etc.) .), Software Lizenzen a vill méi.

Clair

• Websäit: coreos.com/clair (elo ënner der Tutelle vum Red Hat)
• Lizenz: fräi (Apache)

Clair war ee vun den éischten Open Source Projete fir Bildscannen. Et ass wäit bekannt als Sécherheetsscanner hannert dem Quay Image Registry (och vum CoreOS - ca. Iwwersetzung). Clair kann CVE-Informatiounen aus enger grousser Villfalt vu Quellen sammelen, dorënner Lëschte vu Linux Verdeelungsspezifesch Schwachstelle vun den Debian, Red Hat oder Ubuntu Sécherheetsteams.

Am Géigesaz zu Anchore konzentréiert de Clair sech haaptsächlech op Schwachstelle ze fannen an Daten mat CVEs ze passen. Wéi och ëmmer, de Produkt bitt de Benotzer e puer Méiglechkeeten fir Funktiounen auszebauen mat Plug-in Chauffeuren.

dagda

• Websäit: github.com/eliasgranderubio/dagda
• Lizenz: fräi (Apache)

Dagda mécht statesch Analyse vu Containerbiller fir bekannte Schwachstelle, Trojaner, Viren, Malware an aner Geforen.

Zwee bemierkenswäert Features ënnerscheeden Dagda vun aneren ähnlechen Tools:

• Et integréiert perfekt mat ClamAV, handelt net nëmmen als Tool fir Containerbilder ze scannen, awer och als Antivirus.
• Bitt och Runtime Schutz andeems Dir Echtzäit Eventer vum Docker Daemon kritt an mat Falco integréiert (kuckt ënnen) fir Sécherheetsevenementer ze sammelen wärend de Container leeft.

KubeXray

• Websäit: github.com/jfrog/kubexray
• Lizenz: Gratis (Apache), awer erfuerdert Daten vum JFrog Xray (kommerziell Produkt)

KubeXray lauschtert Eventer vum Kubernetes API Server a benotzt Metadaten vum JFrog Xray fir sécherzestellen datt nëmmen Pods déi mat der aktueller Politik passen, lancéiert ginn.

KubeXray iwwerpréift net nëmmen nei oder aktualiséiert Container an Deployementer (ähnlech wéi den Admission Controller zu Kubernetes), awer iwwerpréift och dynamesch lafend Container fir d'Konformitéit mat neie Sécherheetspolitik, andeems Ressourcen ewechhuelen déi vulnérabel Biller referenzéieren.

Snyk

• Websäit: snyk.io
• Lizenz: fräi (Apache) a kommerziell Versiounen

Snyk ass en ongewéinleche Schwachstelle Scanner an deem et speziell den Entwécklungsprozess zielt an als "wesentlech Léisung" fir Entwéckler gefördert gëtt.

Snyk verbënnt direkt mat Code Repositories, parséiert de Projet Manifest an analyséiert den importéierte Code zesumme mat direkten an indirekten Ofhängegkeeten. Snyk ënnerstëtzt vill populär Programméierungssproochen a kann verstoppte Lizenzrisiken identifizéieren.

Trivy

• Websäit: github.com/knqyf263/trivy
• Lizenz: fräi (AGPL)

Trivy ass en einfachen awer mächtege Schwachstelle Scanner fir Container déi einfach an eng CI / CD Pipeline integréiert. Seng bemierkenswäert Feature ass seng Einfachheet vun der Installatioun an der Operatioun: d'Applikatioun besteet aus enger eenzeger Binär a erfuerdert keng Installatioun vun enger Datebank oder zousätzlech Bibliothéiken.

Den Nodeel vun der Einfachheet vun Trivy ass datt Dir musst erausfannen wéi Dir d'Resultater am JSON-Format parséiert a weiderginn, sou datt aner Kubernetes Sécherheetsinstrumenter se benotze kënnen.

Runtime Sécherheet zu Kubernetes

Falco

• Websäit: falco.org
• Lizenz: fräi (Apache)

Falco ass eng Rei vun Tools fir Cloud Runtime Ëmfeld ze sécheren. Deel vun der Projet Famill CNCF.

Mat Sysdig's Linux Kernel-Niveau Tooling a System Call Profiling, Falco erlaabt Iech déif an d'Systemverhalen ze dauchen. Säi Runtime Regelmotor ass fäeg verdächteg Aktivitéit an Uwendungen, Container, dem ënnerierdesche Host an dem Kubernetes Orchester z'entdecken.

Falco bitt komplett Transparenz an der Runtime a Bedrohungserkennung andeems se speziell Agenten op Kubernetes Noden fir dës Zwecker ofsetzen. Als Resultat ass et kee Besoin fir Container z'änneren andeems Dir Drëtt Partei Code an hinnen aféiert oder Sidecar Container bäidréit.

Linux Sécherheetskader fir Runtime

Dës gebierteg Kaderen fir de Linux Kernel sinn net "Kubernetes Sécherheetsinstrumenter" am traditionelle Sënn, awer si sinn erwähnenswert well se e wichtegt Element am Kontext vun der Runtime Sécherheet sinn, déi an der Kubernetes Pod Security Policy (PSP) abegraff ass.

AppArmor befestegt e Sécherheetsprofil fir Prozesser déi am Container lafen, definéiert Dateiesystem Privilegien, Reseau Zougang Regelen, Verbindungsbibliothéiken, etc. Dëst ass e System baséiert op Mandatory Access Control (MAC). An anere Wierder, et verhënnert datt verbueden Handlungen ausgefouert ginn.

Sécherheetsverbesserte Linux (SELinux) ass e fortgeschratt Sécherheetsmodul am Linux Kernel, ähnlech an e puer Aspekter wéi AppArmor an dacks vergläicht. SELinux ass superieur wéi AppArmor a Kraaft, Flexibilitéit an Personnalisatioun. Seng Nodeeler si laang Léierkurve a verstäerkte Komplexitéit.

Secomp an seccomp-bpf erlaben Iech System Appellen ze filteren, blockéieren d'Ausféierung vun deenen, déi potenziell geféierlech fir d'Basis OS sinn an net fir den normalen Operatioun vu Benotzerapplikatiounen gebraucht ginn. Secomp ass ähnlech wéi Falco op e puer Weeër, obwuel et d'Spezifizitéite vu Container net kennt.

Sysdig Open Source

• Websäit: www.sysdig.com/opensource
• Lizenz: fräi (Apache)

Sysdig ass e komplett Tool fir Linux Systemer ze analyséieren, ze diagnostizéieren an ze Debuggéieren (schafft och op Windows a MacOS, awer mat limitéierten Funktiounen). Et kann benotzt ginn fir detailléiert Informatiounssammlung, Verifizéierung a forensesch Analyse. (Forensik) de Basissystem an all Container déi drop lafen.

Sysdig ënnerstëtzt och nativ Container Runtime a Kubernetes Metadaten, addéiere zousätzlech Dimensiounen an Etiketten fir all Systemverhalensinformatioun déi se sammelt. Et gi verschidde Weeër fir e Kubernetes Cluster mat Sysdig ze analyséieren: Dir kënnt Point-in-Time Capture duerch kubectl erfaassen oder starten eng ncurses-baséiert interaktiven Interface mat engem Plugin kubectl dig.

Kubernetes Network Sécherheet

Aporeto

• Websäit: www.aporeto.com
• Lizenz: kommerziell

Aporeto bitt "Sécherheet getrennt vum Netz an Infrastruktur." Dëst bedeit datt Kubernetes Servicer net nëmmen eng lokal ID kréien (dh ServiceAccount zu Kubernetes), awer och eng universell ID / Fangerofdrock, déi benotzt ka ginn fir sécher a géigesäiteg mat all anere Service ze kommunizéieren, zum Beispill an engem OpenShift Cluster.

Aporeto ass fäeg eng eenzegaarteg ID net nëmme fir Kubernetes / Container ze generéieren, awer och fir Hosten, Cloud Funktiounen a Benotzer. Ofhängeg vun dësen Identifizéierer an dem Set vun Netzwierksécherheetsregelen, déi vum Administrateur festgeluegt sinn, gëtt Kommunikatioun erlaabt oder gespaart.

Calico

• Websäit: www.projectcalico.org
• Lizenz: fräi (Apache)

Calico gëtt normalerweis während enger Containerorchesterinstallatioun agesat, wat Iech erlaabt e virtuellt Netzwierk ze kreéieren dat Container matenee verbënnt. Zousätzlech zu dëser Basisnetzfunktioun funktionnéiert de Calico-Projet mat Kubernetes Network Policies a säin eegene Set vu Netzwierksécherheetsprofiler, ënnerstëtzt Endpunkt ACLs (Zougangskontrolllëschten) an Annotatiouns-baséiert Netzwierk Sécherheetsregele fir Ingress an Egress Traffic.

cilium

• Websäit: www.cilium.io
• Lizenz: fräi (Apache)

Cilium handelt als Firewall fir Container a liwwert Netzwierksécherheetsfeatures natiirlech op Kubernetes a Mikroservicer Aarbechtslaascht ugepasst. Cilium benotzt eng nei Linux Kernel Technologie genannt BPF (Berkeley Packet Filter) fir Daten ze filteren, iwwerwaachen, viruleeden a korrigéieren.

Cilium ass fäeg fir Netzzougang Politiken op Basis vu Container IDen z'installéieren mat Docker oder Kubernetes Etiketten a Metadaten. Cilium versteet a filtert och verschidde Layer 7 Protokoller wéi HTTP oder gRPC, wat Iech erlaabt eng Rei vu REST Uriff ze definéieren déi tëscht zwee Kubernetes Deployment erlaabt sinn, zum Beispill.

Istio

• Websäit: istio.io
• Lizenz: fräi (Apache)

Istio ass wäit bekannt fir de Service Mesh Paradigma ëmzesetzen andeems en e plattformonofhängege Kontrollplan deployéiert an all verwalteten Serviceverkéier duerch dynamesch konfiguréierbar Envoy Proxies routing. Istio profitéiert vun dëser fortgeschratt Vue op all Mikroservicer a Container fir verschidde Netzwierksécherheetsstrategien ëmzesetzen.

D'Istio's Netzwierksécherheetsfäegkeeten enthalen transparent TLS Verschlësselung fir automatesch d'Kommunikatioun tëscht Mikroservicer op HTTPS ze upgraden, an e propriétaire RBAC Identifikatiouns- an Autorisatiounssystem fir d'Kommunikatioun tëscht verschiddenen Aarbechtslaascht am Cluster z'erméiglechen / ze verleegnen.

Note. iwwersat.: Fir méi iwwer Istio seng Sécherheetsfokuséiert Fäegkeeten ze léieren, liest dësen Artikel.

Tiger

• Websäit: www.tigera.io
• Lizenz: kommerziell

Den "Kubernetes Firewall" genannt, dës Léisung betount eng Nullvertrauens Approche fir d'Netzwierksécherheet.

Ähnlech wéi aner gebierteg Kubernetes Netzwierkléisungen, setzt Tigera op Metadaten fir déi verschidde Servicer an Objeten am Cluster z'identifizéieren a liwwert Runtime Thema Detektioun, kontinuéierlech Konformitéitskontroll an Netzwierkvisibilitéit fir Multi-Cloud oder Hybrid monolithesch-containeriséiert Infrastrukturen.

Trirem

• Websäit: www.aporeto.com/opensource
• Lizenz: fräi (Apache)

Trireme-Kubernetes ass eng einfach an direkt Ëmsetzung vun der Kubernetes Network Policies Spezifikatioun. Déi bemierkenswäert Feature ass datt - am Géigesaz zu ähnlechen Kubernetes Netzwierk Sécherheetsprodukter - et net en zentrale Kontrollplan erfuerdert fir de Mesh ze koordinéieren. Dëst mécht d'Léisung trivial skalierbar. Zu Trireme gëtt dëst erreecht andeems en Agent op all Node installéiert gëtt, deen direkt mam TCP/IP Stack vum Host verbënnt.

Bild Verbreedung a Geheimnisser Management

Grafeas

• Websäit: grafeas.io
• Lizenz: fräi (Apache)

Grafeas ass eng Open Source API fir Software Supply Chain Audit a Management. Op Basisniveau ass Grafeas en Tool fir Metadaten an Auditresultater ze sammelen. Et kann benotzt ginn fir d'Konformitéit mat Sécherheetsbest practice bannent enger Organisatioun ze verfolgen.

Dës zentraliséiert Quell vun der Wourecht hëlleft Froen ze beäntweren wéi:

• Wien huet fir e bestëmmte Container gesammelt an ënnerschriwwen?
• Huet et all Sécherheetsscannen a Kontrollen erfuerderlech vun der Sécherheetspolitik passéiert? Wéini? Wat waren d'Resultater?
• Wien huet et an d'Produktioun ofgesat? Wéi eng spezifesch Parameter goufen während der Deployment benotzt?

In-toto

• Websäit: in-toto.github.io
• Lizenz: fräi (Apache)

In-toto ass e Kader entwéckelt fir Integritéit, Authentifikatioun an Audit vun der ganzer Software Versuergungskette ze bidden. Wann Dir In-toto an enger Infrastruktur ofsetzt, gëtt als éischt e Plang definéiert deen déi verschidde Schrëtt an der Pipeline beschreift (Repository, CI/CD Tools, QA Tools, Artefakt Sammler, etc.) an d'Benotzer (verantwortlech Persounen) déi erlaabt sinn se initiéieren.

In-toto iwwerwaacht d'Ausféierung vum Plang, a verifizéiere datt all Aufgab an der Kette richteg nëmme vun autoriséiertem Personal ausgefouert gëtt an datt keng onerlaabt Manipulatioune mam Produkt wärend der Bewegung duerchgefouert goufen.

Portieris

• Websäit: github.com/IBM/portieris
• Lizenz: fräi (Apache)

Portieris ass en Entrée Controller fir Kubernetes; benotzt fir Inhaltsvertrauenskontrollen ëmzesetzen. Portieris benotzt e Server Notaire (mir hunn um Enn iwwer hien geschriwwen vun dësem Artikel - ca. Iwwersetzung) als Quell vun der Wourecht fir vertraut an ënnerschriwwen Artefakte ze validéieren (dh guttgeheescht Containerbiller).

Wann eng Aarbechtslaascht a Kubernetes erstallt oder geännert gëtt, downloadt Portieris d'Ënnerschreiweinformatioun an d'Inhaltsvertrauenspolitik fir déi ugefrote Containerbiller erof a mécht, wann néideg, on-the-fly Ännerungen am JSON API Objet fir ënnerschriwwene Versioune vun dëse Biller ze lafen.

Vault

• Websäit: www.vaultproject.io
• Lizenz: gratis (MPL)

Vault ass eng sécher Léisung fir privat Informatioun ze späicheren: Passwierder, OAuth Tokens, PKI Zertifikater, Zougangskonten, Kubernetes Geheimnisser, etc. Vault ënnerstëtzt vill fortgeschratt Fonctiounen, sou wéi ephemeral Sécherheet Tokens Lease oder Schlëssel Rotatioun organiséieren.

Mat Hëllef vum Helm-Diagramm kann Vault als neien Deployment an engem Kubernetes-Cluster mat Consul als Backend-Späichere ofgesat ginn. Et ënnerstëtzt gebierteg Kubernetes Ressourcen wéi ServiceAccount Tokens a ka souguer als Standardgeschäft fir Kubernetes Geheimnisser handelen.

Note. iwwersat.: Iwwregens, just gëschter huet d'Firma HashiCorp, déi Vault entwéckelt, e puer Verbesserunge fir d'Benotzung vu Vault an Kubernetes ugekënnegt a besonnesch si bezéien sech op d'Helm Chart. Liest méi an Entwéckler Blog.

Kubernetes Sécherheet Audit

Kube-bänk

• Websäit: github.com/aquasecurity/kube-bench
• Lizenz: fräi (Apache)

Kube-Bench ass eng Go Applikatioun déi iwwerpréift ob Kubernetes sécher ofgesat ass andeems Tester aus enger Lëscht lafen CIS Kubernetes Benchmark.

Kube-Bench sicht onsécher Konfiguratiounsastellungen tëscht Clusterkomponenten (etcd, API, Controllermanager, etc.), zweifelhafte Dateizougangsrechter, ongeschützte Konten oder oppe Ports, Ressource Quoten, Astellunge fir d'Zuel vun API-Uriff ze limitéieren fir géint DoS Attacken ze schützen , etc.

Kube-Jeeër

• Websäit: github.com/aquasecurity/kube-hunter
• Lizenz: fräi (Apache)

Kube-Hunter jagt op potenziell Schwachstelle (wéi d'Ferncode Ausféierung oder d'Datenoffenbarung) a Kubernetes Cluster. Kube-Hunter kann als Remote Scanner lafen - an deem Fall wäert et de Stärekoup aus der Siicht vun engem Drëtt-Partei Ugräifer evaluéieren - oder als Pod am Cluster.

Eng charakteristesch Feature vum Kube-Hunter ass säin "aktive Juegd" Modus, während deem et net nëmme Probleemer bericht, awer och probéiert vu Schwachstelle, déi am Zilcluster entdeckt goufen, ze profitéieren, déi potenziell seng Operatioun schuede kënnen. Also benotzt mat Vorsicht!

Kubeaudit

• Websäit: github.com/Shopify/kubeaudit
• Lizenz: fräi (MIT)

Kubeaudit ass e Konsolinstrument dat ursprénglech bei Shopify entwéckelt gouf fir d'Kubernetes Konfiguratioun fir verschidde Sécherheetsprobleemer z'iwwerpréiwen. Zum Beispill hëlleft et Container ze identifizéieren déi onbeschränkt lafen, als Root lafen, Privilegien mëssbrauchen oder de Standard ServiceAccount benotzen.

Kubeaudit huet aner interessant Features. Zum Beispill kann et lokal YAML Dateien analyséieren, Konfiguratiounsfehler identifizéieren déi zu Sécherheetsproblemer féieren an se automatesch fixéieren.

Kubesec

• Websäit: kubesec.io
• Lizenz: fräi (Apache)

Kubesec ass e speziellen Tool an deem et direkt YAML Dateien scannt déi Kubernetes Ressourcen beschreiwen, op der Sich no schwaache Parameteren déi d'Sécherheet beaflosse kënnen.

Zum Beispill kann et exzessiv Privilegien an Permissiounen entdecken, déi un engem Pod ausgezeechent ginn, e Container mat Root als Default Benotzer ausféieren, mat dem Host sengem Netznummraum verbannen, oder geféierlech Mounts wéi /proc Host oder Docker Socket. Eng aner interessant Feature vu Kubesec ass den Demo-Service online verfügbar, an deem Dir YAML eropluede kënnt an direkt analyséieren.

Open Politik Agent

• Websäit: www.openpolicyagent.org
• Lizenz: fräi (Apache)

D'Konzept vum OPA (Open Policy Agent) ass d'Sécherheetspolitiken a Sécherheetsbestëmmegkeete vun enger spezifescher Runtime Plattform ofzekoppelen: Docker, Kubernetes, Mesosphere, OpenShift, oder all Kombinatioun dovun.

Zum Beispill kënnt Dir OPA als Backend fir de Kubernetes Admission Controller ofsetzen, Sécherheetsentscheedungen dozou delegéieren. Op dës Manéier kann den OPA Agent Ufroe validéieren, refuséieren a souguer änneren, sou datt déi spezifizéiert Sécherheetsparameter erfëllt sinn. D'OPA Sécherheetspolitik ass a senger propriétaire DSL Sprooch, Rego, geschriwwen.

Note. iwwersat.: Mir hunn méi iwwer OPA (a SPIFFE) geschriwwen an dës Saachen.

Iwwergräifend kommerziell Tools fir Kubernetes Sécherheetsanalyse

Mir hu beschloss eng separat Kategorie fir kommerziell Plattformen ze kreéieren well se typesch verschidde Sécherheetsberäicher ofdecken. Eng allgemeng Iddi vun hire Fäegkeeten kann aus der Tabell kritt ginn:

* Fortgeschratt Ënnersichung a Post Mortem Analyse mat komplett System Call Entféierung.

Aqua Sécherheet

• Websäit: www.aquasec.com
• Lizenz: kommerziell

Dëse kommerziellen Tool ass fir Container a Cloud Workloads entwéckelt. Et bitt:

• Bildscannen integréiert mat engem Containerregister oder CI / CD Pipeline;
• Runtime Schutz mat Sich no Ännerungen an Containeren an aner verdächteg Aktivitéit;
• Container gebierteg Firewall;
• Sécherheet fir Serverlos a Cloud Servicer;
• Compliance Testen an Audit kombinéiert mat Event Logging.

Note. iwwersat.: Et ass och derwäert ze notéieren datt et sinn fräi Komponente vum Produit genannt MicroScanner, wat Iech erlaabt Container Biller fir Schwachstelle ze scannen. E Verglach vu senge Fäegkeeten mat bezuelte Versioune gëtt presentéiert dësem Dësch.

Kapsel 8

• Websäit: capsule8.com
• Lizenz: kommerziell

Capsule8 integréiert an d'Infrastruktur andeems Dir den Detektor op engem lokalen oder Cloud Kubernetes Cluster installéiert. Dësen Detektor sammelt Host- an Netzwierktelemetrie, korreléiert et mat verschiddenen Attacken.

D'Capsule8 Team gesäit seng Aufgab als fréi Detektioun a Präventioun vun Attacken mat neien (0 Deeg) Schwachstelle. Capsule8 kann aktualiséiert Sécherheetsregelen direkt op Detektoren eroflueden an Äntwert op nei entdeckt Geforen a Software Schwachstelle.

Cavirin

• Websäit: www.cavirin.com
• Lizenz: kommerziell

Cavirin handelt als Firma-Säit Optraghueler fir verschidden Agenturen, déi a Sécherheetsnormen involvéiert sinn. Net nëmme kann et Biller scannen, awer et kann och an d'CI / CD Pipeline integréieren, net-Standard Biller blockéieren ier se zougemaach Repositories erakommen.

Dem Cavirin seng Sécherheetssuite benotzt Maschinnléiere fir Är Cybersécherheetshaltung ze bewäerten, bitt Tipps fir d'Sécherheet ze verbesseren an d'Konformitéit mat Sécherheetsnormen ze verbesseren.

Google Cloud Sécherheet Kommando Center

• Websäit: cloud.google.com/security-command-center
• Lizenz: kommerziell

Cloud Security Command Center hëlleft Sécherheetsteams Daten ze sammelen, Geforen z'identifizéieren an ze eliminéieren ier se d'Firma schueden.

Wéi den Numm et scho seet, ass Google Cloud SCC eng vereenegt Kontrollpanel déi eng Vielfalt vu Sécherheetsberichter, Asset Accounting Motoren an Drëtt Partei Sécherheetssystemer aus enger eenzeger zentraliséierter Quell integréiere kann a verwalten.

Déi interoperabel API ugebuede vu Google Cloud SCC mécht et einfach fir Sécherheetsevenementer aus verschiddene Quellen z'integréieren, sou wéi Sysdig Secure (Container Sécherheet fir Cloud-native Applikatiounen) oder Falco (Open Source Runtime Sécherheet).

Layered Insight (Qualys)

• Websäit: layeredinsight.com
• Lizenz: kommerziell

Layered Insight (elo Deel vun Qualys Inc) ass op d'Konzept vun "embedded Sécherheet" gebaut. Nodeems Dir d'Originalbild fir Schwachstelle gescannt huet mat statistescher Analyse an CVE Kontrollen, ersetzt Layered Insight et mat engem instrumentéierte Bild dat den Agent als Binär enthält.

Dësen Agent enthält Runtime Sécherheetstester fir Containernetzverkéier ze analyséieren, I/O Fluxen an Applikatiounsaktivitéit. Zousätzlech kann et zousätzlech Sécherheetskontrollen ausféieren, déi vum Infrastrukturadministrator oder DevOps Teams spezifizéiert sinn.

NeuVector

• Websäit: neuvector.com
• Lizenz: kommerziell

NeuVector kontrolléiert d'Containersécherheet a bitt Runtime Schutz andeems d'Netzwierkaktivitéit an d'Applikatiounsverhalen analyséiert ginn, en individuellen Sécherheetsprofil fir all Container erstallt. Et kann och Gefore eleng blockéieren, verdächteg Aktivitéit isoléieren andeems Dir lokal Firewall Regelen ännert.

Dem NeuVector seng Netzwierkintegratioun, bekannt als Security Mesh, ass fäeg fir déif Paketanalyse a Layer 7 Filteren fir all Netzwierkverbindungen am Service Mesh.

StackRox

• Websäit: www.stackrox.com
• Lizenz: kommerziell

D'StackRox Container Sécherheetsplattform beméit sech fir de ganze Liewenszyklus vu Kubernetes Uwendungen an engem Cluster ze decken. Wéi aner kommerziell Plattformen op dëser Lëscht generéiert StackRox e Runtime Profil baséiert op observéiert Containerverhalen an hëlt automatesch en Alarm fir all Ofwäichungen.

Zousätzlech analyséiert StackRox Kubernetes Konfiguratiounen mat der Kubernetes CIS an aner Regelbicher fir d'Konformitéit vu Container ze evaluéieren.

Sysdig Secure

• Websäit: sysdig.com/products/secure
• Lizenz: kommerziell

Sysdig Secure schützt Uwendungen am ganze Container a Kubernetes Liewenszyklus. Hien scannt Biller Container, stellt Runtime Schutz no Maschinn Léieren Daten, mécht Crème. Expertise fir Schwachstelle z'identifizéieren, Geforen ze blockéieren, iwwerwaachen Konformitéit mat etabléierte Standarden an Audit Aktivitéiten am Mikroservicer.

Sysdig Secure integréiert mat CI / CD Tools wéi Jenkins a kontrolléiert Biller déi aus Docker Registry gelueden sinn, verhënnert datt geféierlech Biller an der Produktioun optrieden. Et bitt och ëmfaassend Runtime Sécherheet, dorënner:

• ML-baséiert Runtime Profiléierung an Anomalie Detektioun;
• Runtime Politik baséiert op Systemevenementer, K8s-Audit API, gemeinsame Gemeinschaftsprojeten (FIM - Dateiintegritéit Iwwerwachung; Kryptojacking) a Kader MITER AT&CK;
• Äntwert an Opléisung vun Tëschefäll.

Tenable Container Sécherheet

• Websäit: www.tenable.com/products/tenable-io/container-security
• Lizenz: kommerziell

Virun der Erscheinung vu Container war Tenable wäit an der Industrie bekannt als d'Firma hannert Nessus, e populäre Schwachstelle Juegd a Sécherheetsauditinstrument.

Tenable Container Security benotzt d'Computersécherheetsexpertise vun der Firma fir eng CI / CD Pipeline mat Schwachstelle Datenbanken, spezialiséiert Malware Detektiounspakete, a Empfehlungen fir Sécherheetsbedrohungen ze léisen.

Twistlock (Palo Alto Networks)

• Websäit: www.twistlock.com
• Lizenz: kommerziell

Twistlock fördert sech als Plattform konzentréiert op Cloud Servicer a Container. Twistlock ënnerstëtzt verschidde Cloud Provider (AWS, Azure, GCP), Container Orchestratoren (Kubernetes, Mesospehere, OpenShift, Docker), Serverlos Runtimes, Mesh Frameworks an CI / CD Tools.

Zousätzlech zu konventionellen Enterprise-Grad Sécherheetstechnike wéi CI / CD Pipeline Integratioun oder Bildscannen, benotzt Twistlock Maschinnléiere fir Containerspezifesch Verhalensmuster an Netzwierkregelen ze generéieren.

Virun enger Zäit gouf Twistlock vum Palo Alto Networks kaaft, deen d'Projete Evident.io a RedLock besëtzt. Et ass nach net gewosst wéi genee dës dräi Plattformen integréiert ginn PRISMA vum Palo Alto.

Hëlleft de beschte Katalog vu Kubernetes Sécherheetsinstrumenter ze bauen!

Mir probéieren dëse Katalog esou komplett wéi méiglech ze maachen, an dofir brauche mir Är Hëllef! Kontaktéiert eis (@sysdig) wann Dir e coolt Tool am Kapp hutt, dat wäertvoll ass fir an dëser Lëscht opzehuelen, oder Dir fannt e Feeler / al Informatioun.

Dir kënnt och op eis abonnéieren monatlecht Newsletter mat Neiegkeeten aus dem Cloud-native Ecosystem a Geschichten iwwer interessant Projeten aus der Welt vun der Kubernetes Sécherheet.

PS vum Iwwersetzer

Liest och op eisem Blog:

• «Eng Aféierung zu Kubernetes Netzwierkpolitike fir Sécherheetsprofesser";
• «Docker a Kubernetes a Sécherheetsempfindlech Ëmfeld";
• «9 Beschte Praktiken fir Kubernetes Sécherheet";
• «11 Weeër fir (net) Affer vun engem Kubernetes Hack ze ginn";
• «OPA a SPIFFE sinn zwee nei Projete bei CNCF fir Cloud Applikatioun Sécherheet".

Source: will.com