🥇33+ ເຄື່ອງມືສຳລັບຄວາມປອດໄພ Kubernetes

ຫມາຍເຫດ. ແປ.: ຖ້າທ່ານສົງໄສກ່ຽວກັບຄວາມປອດໄພໃນໂຄງສ້າງພື້ນຖານທີ່ອີງໃສ່ Kubernetes, ສະພາບລວມທີ່ດີເລີດນີ້ຈາກ Sysdig ແມ່ນຈຸດເລີ່ມຕົ້ນທີ່ດີສໍາລັບການເບິ່ງຢ່າງໄວວາໃນການແກ້ໄຂໃນປະຈຸບັນ. ມັນປະກອບມີທັງສອງລະບົບສະລັບສັບຊ້ອນຈາກຜູ້ຫຼິ້ນຕະຫຼາດທີ່ມີຊື່ສຽງແລະສິ່ງອໍານວຍຄວາມສະດວກເລັກນ້ອຍຫຼາຍທີ່ແກ້ໄຂບັນຫາສະເພາະໃດຫນຶ່ງ. ແລະໃນຄໍາເຫັນ, ຕາມສະເຫມີ, ພວກເຮົາຈະຍິນດີທີ່ຈະໄດ້ຍິນກ່ຽວກັບປະສົບການຂອງທ່ານໂດຍໃຊ້ເຄື່ອງມືເຫຼົ່ານີ້ແລະເບິ່ງການເຊື່ອມຕໍ່ກັບໂຄງການອື່ນໆ.

ຜະລິດຕະພັນຊອບແວຄວາມປອດໄພ Kubernetes... ມີຈໍານວນຫຼາຍຂອງພວກເຂົາ, ແຕ່ລະຄົນມີເປົ້າຫມາຍ, ຂອບເຂດ, ແລະໃບອະນຸຍາດຂອງຕົນ.

ນັ້ນແມ່ນເຫດຜົນທີ່ພວກເຮົາຕັດສິນໃຈສ້າງບັນຊີລາຍຊື່ນີ້ແລະປະກອບມີທັງໂຄງການແຫຼ່ງເປີດແລະເວທີການຄ້າຈາກຜູ້ຂາຍທີ່ແຕກຕ່າງກັນ. ພວກເຮົາຫວັງວ່າມັນຈະຊ່ວຍໃຫ້ທ່ານລະບຸຕົວຕົນທີ່ມີຄວາມສົນໃຈຫຼາຍທີ່ສຸດແລະຊີ້ໃຫ້ທ່ານໄປໃນທິດທາງທີ່ຖືກຕ້ອງໂດຍອີງໃສ່ຄວາມຕ້ອງການດ້ານຄວາມປອດໄພ Kubernetes ສະເພາະຂອງທ່ານ.

ຫມວດຫມູ່

ເພື່ອເຮັດໃຫ້ບັນຊີລາຍຊື່ງ່າຍຂຶ້ນໃນການນໍາທາງ, ເຄື່ອງມືໄດ້ຖືກຈັດໂດຍຫນ້າທີ່ຕົ້ນຕໍແລະຄໍາຮ້ອງສະຫມັກ. ພາກສ່ວນຕໍ່ໄປນີ້ໄດ້ຮັບ:

ການສະແກນຮູບພາບ Kubernetes ແລະການວິເຄາະສະຖິດ;
ຄວາມປອດໄພ runtime;
ຄວາມປອດໄພເຄືອຂ່າຍ Kubernetes;
ການແຈກຢາຍຮູບພາບແລະການຄຸ້ມຄອງຄວາມລັບ;
ການກວດສອບຄວາມປອດໄພ Kubernetes;
ຜະລິດຕະພັນການຄ້າທີ່ສົມບູນແບບ.

ໃຫ້ລົງໄປເຮັດທຸລະກິດ:

ກຳລັງສະແກນຮູບພາບ Kubernetes

ສະມໍ

ເວັບໄຊທ໌: anchore.com
ໃບອະນຸຍາດ: ຟຣີ (Apache) ແລະການສະເຫນີທາງການຄ້າ

Anchore ວິເຄາະຮູບພາບບັນຈຸແລະອະນຸຍາດໃຫ້ກວດສອບຄວາມປອດໄພໂດຍອີງໃສ່ນະໂຍບາຍທີ່ຜູ້ໃຊ້ກໍານົດ.

ນອກເຫນືອຈາກການສະແກນຮູບພາບພາຊະນະປົກກະຕິສໍາລັບຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກຈາກຖານຂໍ້ມູນ CVE, Anchore ດໍາເນີນການກວດສອບເພີ່ມເຕີມຈໍານວນຫຼາຍເປັນສ່ວນຫນຶ່ງຂອງນະໂຍບາຍການສະແກນຂອງມັນ: ກວດເບິ່ງ Dockerfile, ການຮົ່ວໄຫລຂອງຂໍ້ມູນປະຈໍາຕົວ, ຊຸດຂອງພາສາການຂຽນໂປຼແກຼມທີ່ໃຊ້ (npm, maven, ແລະອື່ນໆ. .), ໃບອະນຸຍາດຊອບແວ ແລະອື່ນໆອີກ .

Clair

ເວັບໄຊທ໌: coreos.com/clair (ປະຈຸບັນພາຍໃຕ້ການຊີ້ນໍາຂອງ Red Hat)
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Clair ແມ່ນຫນຶ່ງໃນບັນດາໂຄງການ Open Source ທໍາອິດສໍາລັບການສະແກນຮູບພາບ. ມັນເປັນທີ່ຮູ້ຈັກກັນຢ່າງກວ້າງຂວາງວ່າເປັນເຄື່ອງສະແກນຄວາມປອດໄພທີ່ຢູ່ເບື້ອງຫຼັງການລົງທະບຽນຮູບພາບ Quay (ຍັງມາຈາກ CoreOS - ປະມານ ການແປ). Clair ສາມາດເກັບກຳຂໍ້ມູນ CVE ຈາກຫຼາກຫຼາຍແຫຼ່ງ, ລວມທັງລາຍຊື່ຊ່ອງໂຫວ່ສະເພາະການແຈກຢາຍ Linux ທີ່ຮັກສາໄວ້ໂດຍທີມຮັກສາຄວາມປອດໄພ Debian, Red Hat ຫຼື Ubuntu.

ບໍ່ເຫມືອນກັບ Anchore, Clair ຕົ້ນຕໍແມ່ນສຸມໃສ່ການຊອກຫາຈຸດອ່ອນແລະຂໍ້ມູນທີ່ກົງກັບ CVEs. ຢ່າງໃດກໍຕາມ, ຜະລິດຕະພັນສະເຫນີໃຫ້ຜູ້ໃຊ້ບາງໂອກາດທີ່ຈະຂະຫຍາຍຫນ້າທີ່ນໍາໃຊ້ໄດເວີ plug-in.

ດາກດາ

ເວັບໄຊທ໌: github.com/eliasgranderubio/dagda
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Dagda ປະຕິບັດການວິເຄາະຄົງທີ່ຂອງຮູບພາບບັນຈຸສໍາລັບຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກ, Trojans, ໄວຣັສ, malware ແລະໄພຂົ່ມຂູ່ອື່ນໆ.

ສອງລັກສະນະທີ່ໂດດເດັ່ນສາມາດຈໍາແນກ Dagda ຈາກເຄື່ອງມືທີ່ຄ້າຍຄືກັນອື່ນໆ:

ມັນປະສົມປະສານຢ່າງສົມບູນກັບ ClamAV, ເຮັດຫນ້າທີ່ບໍ່ພຽງແຕ່ເປັນເຄື່ອງມືສໍາລັບການສະແກນຮູບພາບບັນຈຸ, ແຕ່ຍັງເປັນ antivirus.
ນອກຈາກນີ້ຍັງສະຫນອງການປົກປ້ອງ runtime ໂດຍການໄດ້ຮັບເຫດການໃນເວລາທີ່ແທ້ຈິງຈາກ Docker daemon ແລະປະສົມປະສານກັບ Falco (ເບິ່ງຂ້າງລຸ່ມນີ້) ເພື່ອເກັບກໍາເຫດການຄວາມປອດໄພໃນຂະນະທີ່ຕູ້ຄອນເທນເນີກໍາລັງແລ່ນ.

KubeXray

ເວັບໄຊທ໌: github.com/jfrog/kubexray
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache), ແຕ່ຕ້ອງການຂໍ້ມູນຈາກ JFrog Xray (ຜະລິດຕະພັນການຄ້າ)

KubeXray ຟັງເຫດການຈາກເຊີບເວີ Kubernetes API ແລະໃຊ້ metadata ຈາກ JFrog Xray ເພື່ອຮັບປະກັນວ່າມີ pods ທີ່ກົງກັບນະໂຍບາຍປະຈຸບັນເທົ່ານັ້ນທີ່ຖືກເປີດຕົວ.

KubeXray ບໍ່ພຽງແຕ່ກວດສອບຕູ້ຄອນເທນເນີໃໝ່ ຫຼື ປັບປຸງໃໝ່ໃນການນຳໃຊ້ (ຄ້າຍກັບຕົວຄວບຄຸມການຮັບເຂົ້າຊົມໃນ Kubernetes), ແຕ່ຍັງກວດສອບແບບໄດນາມິກທີ່ແລ່ນພາຊະນະບັນຈຸເພື່ອປະຕິບັດຕາມນະໂຍບາຍຄວາມປອດໄພໃໝ່, ເອົາຊັບພະຍາກອນທີ່ອ້າງອີງຮູບພາບທີ່ມີຄວາມສ່ຽງອອກ.

Snyk

ເວັບໄຊທ໌: snyk.io
ໃບອະນຸຍາດ: ຟຣີ (Apache) ແລະສະບັບການຄ້າ

Snyk ແມ່ນເຄື່ອງສະແກນຊ່ອງໂຫວ່ທີ່ຜິດປົກກະຕິໃນນັ້ນມັນແນໃສ່ຂະບວນການພັດທະນາໂດຍສະເພາະແລະຖືກສົ່ງເສີມເປັນ "ການແກ້ໄຂທີ່ສໍາຄັນ" ສໍາລັບນັກພັດທະນາ.

Snyk ເຊື່ອມຕໍ່ໂດຍກົງກັບ repositories ລະຫັດ, parses ໂຄງການ manifest ແລະວິເຄາະລະຫັດນໍາເຂົ້າຄຽງຄູ່ກັບການຂຶ້ນກັບໂດຍກົງແລະທາງອ້ອມ. Snyk ສະຫນັບສະຫນູນພາສາການຂຽນໂປລແກລມທີ່ນິຍົມຫຼາຍແລະສາມາດກໍານົດຄວາມສ່ຽງຕໍ່ໃບອະນຸຍາດທີ່ເຊື່ອງໄວ້.

ເລັກໆນ້ອຍໆ

ເວັບໄຊທ໌: github.com/knqyf263/trivy
ໃບອະນຸຍາດ: ຟຣີ (AGPL)

Trivy ເປັນເຄື່ອງສະແກນຊ່ອງໂຫວ່ທີ່ງ່າຍດາຍແຕ່ມີພະລັງສໍາລັບພາຊະນະທີ່ປະສົມປະສານເຂົ້າໃນທໍ່ CI/CD ໄດ້ຢ່າງງ່າຍດາຍ. ຄຸນນະສົມບັດທີ່ໂດດເດັ່ນຂອງມັນແມ່ນຄວາມສະດວກໃນການຕິດຕັ້ງແລະການດໍາເນີນງານ: ຄໍາຮ້ອງສະຫມັກປະກອບດ້ວຍຄູ່ດຽວແລະບໍ່ຈໍາເປັນຕ້ອງມີການຕິດຕັ້ງຖານຂໍ້ມູນຫຼືຫ້ອງສະຫມຸດເພີ່ມເຕີມ.

ຂໍ້ເສຍຂອງຄວາມລຽບງ່າຍຂອງ Trivy ແມ່ນວ່າເຈົ້າຕ້ອງຫາວິທີວິເຄາະ ແລະສົ່ງຕໍ່ຜົນໄດ້ຮັບໃນຮູບແບບ JSON ເພື່ອໃຫ້ເຄື່ອງມືຄວາມປອດໄພ Kubernetes ອື່ນໆສາມາດໃຊ້ພວກມັນໄດ້.

ຄວາມປອດໄພຂອງເວລາແລ່ນໃນ Kubernetes

Falco

ເວັບໄຊທ໌: falco.org
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Falco ແມ່ນຊຸດຂອງເຄື່ອງມືສໍາລັບການຮັບປະກັນສະພາບແວດລ້ອມ runtime ຟັງ. ສ່ວນຫນຶ່ງຂອງຄອບຄົວໂຄງການ CNCF.

ການນໍາໃຊ້ເຄື່ອງມືລະດັບແກ່ນ Linux ຂອງ Sysdig ແລະການເອີ້ນຂໍ້ມູນລະບົບ, Falco ຊ່ວຍໃຫ້ທ່ານສາມາດລົງເລິກເຂົ້າໄປໃນພຶດຕິກໍາຂອງລະບົບ. ເຄື່ອງຈັກກົດລະບຽບການແລ່ນຂອງມັນສາມາດກວດຫາການເຄື່ອນໄຫວທີ່ໜ້າສົງໄສໃນແອັບພລິເຄຊັນ, ຖັງບັນຈຸ, ໂຮສທີ່ຕິດພັນ, ແລະວົງດົນຕີ Kubernetes.

Falco ສະຫນອງຄວາມໂປ່ງໃສຢ່າງສົມບູນໃນ runtime ແລະການກວດສອບໄພຂົ່ມຂູ່ໂດຍການນໍາໃຊ້ຕົວແທນພິເສດໃນ nodes Kubernetes ສໍາລັບຈຸດປະສົງເຫຼົ່ານີ້. ດັ່ງນັ້ນ, ບໍ່ຈໍາເປັນຕ້ອງດັດແປງຕູ້ຄອນເທນເນີໂດຍການນໍາລະຫັດຂອງພາກສ່ວນທີສາມເຂົ້າໄປໃນພວກມັນຫຼືເພີ່ມຕູ້ຄອນເທນເນີ sidecar.

ກອບຄວາມປອດໄພ Linux ສໍາລັບ runtime

ກອບພື້ນຖານເຫຼົ່ານີ້ສໍາລັບ Linux kernel ບໍ່ແມ່ນ "ເຄື່ອງມືຄວາມປອດໄພ Kubernetes" ໃນຄວາມຫມາຍແບບດັ້ງເດີມ, ແຕ່ມັນສົມຄວນທີ່ຈະກ່າວເຖິງເພາະວ່າພວກມັນເປັນອົງປະກອບທີ່ສໍາຄັນໃນສະພາບການຄວາມປອດໄພຂອງ runtime, ເຊິ່ງລວມຢູ່ໃນນະໂຍບາຍຄວາມປອດໄພ Kubernetes Pod (PSP).

AppArmor ແນບໂປຣໄຟລ໌ຄວາມປອດໄພໃຫ້ກັບຂະບວນການທີ່ແລ່ນຢູ່ໃນກ່ອງບັນຈຸ, ກໍານົດສິດທິຂອງລະບົບໄຟລ໌, ກົດລະບຽບການເຂົ້າເຖິງເຄືອຂ່າຍ, ເຊື່ອມຕໍ່ຫ້ອງສະໝຸດ, ແລະອື່ນໆ. ນີ້ແມ່ນລະບົບທີ່ອີງໃສ່ການຄວບຄຸມການເຂົ້າເຖິງບັງຄັບ (MAC). ເວົ້າອີກຢ່າງ ໜຶ່ງ, ມັນປ້ອງກັນການກະ ທຳ ທີ່ຫ້າມບໍ່ໃຫ້ຖືກປະຕິບັດ.

Linux ທີ່ປັບປຸງຄວາມປອດໄພ (SELinux) ເປັນໂມດູນຄວາມປອດໄພຂັ້ນສູງໃນ Linux kernel, ຄ້າຍຄືກັນໃນບາງດ້ານກັບ AppArmor ແລະມັກຈະປຽບທຽບກັບມັນ. SELinux ແມ່ນດີກວ່າ AppArmor ໃນພະລັງງານ, ຄວາມຍືດຫຍຸ່ນແລະການປັບແຕ່ງ. ຂໍ້ເສຍຂອງມັນແມ່ນເສັ້ນໂຄ້ງການຮຽນຮູ້ຍາວແລະຄວາມຊັບຊ້ອນເພີ່ມຂຶ້ນ.

Seccomp ແລະ seccomp-bpf ຊ່ວຍໃຫ້ທ່ານສາມາດກັ່ນຕອງການໂທລະບົບ, ສະກັດກັ້ນການປະຕິບັດຂອງສິ່ງທີ່ເປັນອັນຕະລາຍສໍາລັບ OS ພື້ນຖານແລະບໍ່ຈໍາເປັນສໍາລັບການເຮັດວຽກປົກກະຕິຂອງຄໍາຮ້ອງສະຫມັກຂອງຜູ້ໃຊ້. Seccomp ແມ່ນຄ້າຍຄືກັນກັບ Falco ໃນບາງວິທີ, ເຖິງແມ່ນວ່າມັນບໍ່ຮູ້ຈັກສະເພາະຂອງບັນຈຸ.

ແຫຼ່ງເປີດ Sysdig

ເວັບໄຊທ໌: www.sysdig.com/opensource
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Sysdig ເປັນເຄື່ອງມືທີ່ສົມບູນແບບສໍາລັບການວິເຄາະ, ການວິນິດໄສແລະ debugging ລະບົບ Linux (ຍັງເຮັດວຽກຢູ່ໃນ Windows ແລະ macOS, ແຕ່ມີຫນ້າທີ່ຈໍາກັດ). ມັນສາມາດຖືກນໍາໃຊ້ສໍາລັບການລວບລວມຂໍ້ມູນລະອຽດ, ການກວດສອບແລະການວິເຄາະ forensic. (ນິຕິສາດ) ລະບົບພື້ນຖານແລະບັນຈຸໃດຫນຶ່ງທີ່ແລ່ນຢູ່ໃນມັນ.

Sysdig ຍັງສະຫນັບສະຫນູນ runtimes container ແລະ Kubernetes metadata, ເພີ່ມຂະຫນາດເພີ່ມເຕີມແລະປ້າຍຊື່ໃສ່ຂໍ້ມູນພຶດຕິກໍາຂອງລະບົບທັງຫມົດທີ່ມັນເກັບກໍາ. ມີຫຼາຍວິທີໃນການວິເຄາະກຸ່ມ Kubernetes ໂດຍໃຊ້ Sysdig: ທ່ານສາມາດປະຕິບັດການຈັບຈຸດໃນເວລາຜ່ານ ຈັບ kubectl ຫຼືເປີດການໂຕ້ຕອບແບບໂຕ້ຕອບທີ່ອີງໃສ່ ncurses ໂດຍໃຊ້ປລັກອິນ kubectl ຂຸດ.

ຄວາມປອດໄພເຄືອຂ່າຍ Kubernetes

ອະປໍໂຕ

ເວັບໄຊທ໌: www.aporeto.com
ໃບອະນຸຍາດ: ການຄ້າ

Aporeto ສະເຫນີ "ຄວາມປອດໄພທີ່ແຍກອອກຈາກເຄືອຂ່າຍແລະໂຄງສ້າງພື້ນຖານ." ນີ້ຫມາຍຄວາມວ່າການບໍລິການ Kubernetes ບໍ່ພຽງແຕ່ໄດ້ຮັບ ID ທ້ອງຖິ່ນ (i.e. ServiceAccount ໃນ Kubernetes), ແຕ່ຍັງເປັນ ID / fingerprint ທົ່ວໄປທີ່ສາມາດຖືກນໍາໃຊ້ເພື່ອຕິດຕໍ່ສື່ສານຢ່າງປອດໄພແລະເຊິ່ງກັນແລະກັນກັບການບໍລິການອື່ນໆ, ຕົວຢ່າງໃນກຸ່ມ OpenShift.

Aporeto ສາມາດສ້າງ ID ທີ່ເປັນເອກະລັກບໍ່ພຽງແຕ່ສໍາລັບ Kubernetes/containers, ແຕ່ຍັງສໍາລັບເຈົ້າພາບ, ຟັງຊັນຄລາວແລະຜູ້ໃຊ້. ອີງຕາມຕົວລະບຸເຫຼົ່ານີ້ ແລະຊຸດຂອງກົດລະບຽບຄວາມປອດໄພຂອງເຄືອຂ່າຍທີ່ກຳນົດໂດຍຜູ້ເບິ່ງແຍງລະບົບ, ການສື່ສານຈະຖືກອະນຸຍາດ ຫຼືຖືກບລັອກ.

Calico

ເວັບໄຊທ໌: www.projectcalico.org
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

ປົກກະຕິແລ້ວ calico ແມ່ນຖືກນຳໃຊ້ໃນລະຫວ່າງການຕິດຕັ້ງເຄື່ອງບັນຈຸບັນຈຸ, ຊ່ວຍໃຫ້ທ່ານສ້າງເຄືອຂ່າຍສະເໝືອນທີ່ເຊື່ອມຕໍ່ກັນກັບບັນຈຸ. ນອກເຫນືອຈາກການທໍາງານຂອງເຄືອຂ່າຍພື້ນຖານນີ້, ໂຄງການ Calico ເຮັດວຽກກັບນະໂຍບາຍເຄືອຂ່າຍ Kubernetes ແລະຊຸດຂອງໂປໄຟຄວາມປອດໄພເຄືອຂ່າຍຂອງຕົນເອງ, ສະຫນັບສະຫນູນ ACLs endpoint (ລາຍການຄວບຄຸມການເຂົ້າເຖິງ) ແລະ annotation-based network security rules for Ingress and Egress traffic.

ຄຣີມ

ເວັບໄຊທ໌: www.cilium.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Cilium ເຮັດຫນ້າທີ່ເປັນໄຟວໍສໍາລັບຕູ້ຄອນເທນເນີແລະສະຫນອງຄຸນນະສົມບັດຄວາມປອດໄພຂອງເຄືອຂ່າຍທີ່ປັບແຕ່ງຕາມປົກກະຕິກັບ Kubernetes ແລະ microservices workloads. Cilium ໃຊ້ເທກໂນໂລຍີ Linux kernel ໃຫມ່ທີ່ເອີ້ນວ່າ BPF (Berkeley Packet Filter) ເພື່ອກັ່ນຕອງ, ຕິດຕາມ, ປ່ຽນເສັ້ນທາງແລະຂໍ້ມູນທີ່ຖືກຕ້ອງ.

Cilium ສາມາດນຳໃຊ້ນະໂຍບາຍການເຂົ້າເຖິງເຄືອຂ່າຍໂດຍອ້າງອີງໃສ່ container ID ໂດຍໃຊ້ປ້າຍກຳກັບ Docker ຫຼື Kubernetes ແລະ metadata. Cilium ຍັງເຂົ້າໃຈແລະການກັ່ນຕອງໂປໂຕຄອນ Layer 7 ຕ່າງໆເຊັ່ນ HTTP ຫຼື gRPC, ຊ່ວຍໃຫ້ທ່ານສາມາດກໍານົດຊຸດຂອງການໂທ REST ທີ່ຈະອະນຸຍາດໃຫ້ລະຫວ່າງສອງ Kubernetes deployments, ສໍາລັບການຍົກຕົວຢ່າງ.

ອິຊິໂອ

ເວັບໄຊທ໌: istio.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Istio ແມ່ນເປັນທີ່ຮູ້ຈັກຢ່າງກວ້າງຂວາງໃນການປະຕິບັດແບບແຜນຕາຫນ່າງການບໍລິການໂດຍການນໍາໄປໃຊ້ຍົນຄວບຄຸມແບບເອກະລາດຂອງເວທີແລະກໍານົດເສັ້ນທາງການຈະລາຈອນບໍລິການທີ່ມີການຄຸ້ມຄອງທັງຫມົດໂດຍຜ່ານຕົວແທນ Envoy ທີ່ສາມາດກໍານົດໄດ້ແບບເຄື່ອນໄຫວ. Istio ໃຊ້ປະໂຫຍດຈາກທັດສະນະທີ່ກ້າວຫນ້າຂອງບໍລິການຈຸລະພາກແລະຕູ້ຄອນເທນເນີທັງຫມົດເພື່ອປະຕິບັດຍຸດທະສາດຄວາມປອດໄພເຄືອຂ່າຍຕ່າງໆ.

ຄວາມສາມາດດ້ານຄວາມປອດໄພເຄືອຂ່າຍຂອງ Istio ລວມມີການເຂົ້າລະຫັດ TLS ໂປ່ງໃສເພື່ອຍົກລະດັບການສື່ສານລະຫວ່າງ microservices ເປັນ HTTPS ໂດຍອັດຕະໂນມັດ, ແລະລະບົບການກໍານົດ RBAC ທີ່ເປັນເຈົ້າຂອງ ແລະອະນຸຍາດເພື່ອອະນຸຍາດໃຫ້ / ປະຕິເສດການສື່ສານລະຫວ່າງ workloads ທີ່ແຕກຕ່າງກັນໃນ cluster.

ຫມາຍເຫດ. ແປ.: ເພື່ອຮຽນຮູ້ເພີ່ມເຕີມກ່ຽວກັບຄວາມສາມາດທີ່ເນັ້ນໃສ່ຄວາມປອດໄພຂອງ Istio, ອ່ານ ບົດຂຽນນີ້.

Tigera

ເວັບໄຊທ໌: www.tigera.io
ໃບອະນຸຍາດ: ການຄ້າ

ເອີ້ນວ່າ "Kubernetes Firewall," ການແກ້ໄຂນີ້ເນັ້ນຫນັກເຖິງວິທີການທີ່ບໍ່ມີຄວາມເຊື່ອຫມັ້ນຕໍ່ຄວາມປອດໄພຂອງເຄືອຂ່າຍ.

ຄ້າຍຄືກັນກັບວິທີແກ້ໄຂເຄືອຂ່າຍ Kubernetes ພື້ນເມືອງອື່ນໆ, Tigera ອີງໃສ່ metadata ເພື່ອກໍານົດການບໍລິການແລະວັດຖຸຕ່າງໆໃນ cluster ແລະສະຫນອງການກວດສອບບັນຫາ runtime, ການກວດສອບການປະຕິບັດຕາມຢ່າງຕໍ່ເນື່ອງ, ແລະການເບິ່ງເຫັນເຄືອຂ່າຍສໍາລັບໂຄງສ້າງພື້ນຖານ monolithic-containerized ຫຼາຍຄລາວຫຼືປະສົມ.

Trireme

ເວັບໄຊທ໌: www.aporeto.com/opensource
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Trireme-Kubernetes ແມ່ນການປະຕິບັດທີ່ງ່າຍດາຍແລະກົງໄປກົງມາຂອງຂໍ້ກໍານົດກ່ຽວກັບນະໂຍບາຍເຄືອຂ່າຍ Kubernetes. ລັກສະນະທີ່ໂດດເດັ່ນທີ່ສຸດແມ່ນວ່າ - ບໍ່ເຫມືອນກັບຜະລິດຕະພັນຄວາມປອດໄພເຄືອຂ່າຍ Kubernetes ທີ່ຄ້າຍຄືກັນ - ມັນບໍ່ຈໍາເປັນຕ້ອງມີຍົນຄວບຄຸມສູນກາງເພື່ອປະສານງານຕາຫນ່າງ. ນີ້ເຮັດໃຫ້ການແກ້ໄຂເລັກນ້ອຍສາມາດຂະຫຍາຍໄດ້. ໃນ Trireme, ນີ້ແມ່ນບັນລຸໄດ້ໂດຍການຕິດຕັ້ງຕົວແທນໃນແຕ່ລະ node ທີ່ເຊື່ອມຕໍ່ໂດຍກົງກັບ stack TCP / IP ຂອງເຈົ້າພາບ.

ການຂະຫຍາຍພັນຮູບພາບແລະການຄຸ້ມຄອງຄວາມລັບ

Grafeas

ເວັບໄຊທ໌: grafeas.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Grafeas ເປັນ API ແຫຼ່ງເປີດສໍາລັບການກວດສອບລະບົບຕ່ອງໂສ້ການສະຫນອງຊອບແວແລະການຄຸ້ມຄອງ. ໃນລະດັບພື້ນຖານ, Grafeas ເປັນເຄື່ອງມືເກັບກໍາຂໍ້ມູນ metadata ແລະການກວດສອບການຄົ້ນພົບ. ມັນສາມາດຖືກນໍາໃຊ້ເພື່ອຕິດຕາມການປະຕິບັດຕາມການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພພາຍໃນອົງການຈັດຕັ້ງ.

ແຫຼ່ງຄວາມຈິງທີ່ເປັນສູນກາງນີ້ຊ່ວຍຕອບຄໍາຖາມເຊັ່ນ:

ໃຜເປັນຜູ້ເກັບກໍາແລະເຊັນສໍາລັບພາຊະນະສະເພາະ?
ມັນໄດ້ຜ່ານການສະແກນຄວາມປອດໄພທັງຫມົດແລະການກວດສອບທີ່ກໍານົດໄວ້ໂດຍນະໂຍບາຍຄວາມປອດໄພບໍ? ເມື່ອໃດ? ຜົນໄດ້ຮັບແມ່ນຫຍັງ?
ໃຜໃຊ້ມັນເຂົ້າໃນການຜະລິດ? ຕົວກໍານົດການສະເພາະໃດທີ່ຖືກນໍາໃຊ້ໃນລະຫວ່າງການປະຕິບັດ?

ໃນໂຕ

ເວັບໄຊທ໌: in-toto.github.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

In-toto ແມ່ນໂຄງຮ່າງການທີ່ຖືກອອກແບບມາເພື່ອສະຫນອງຄວາມຊື່ສັດ, ການກວດສອບຄວາມຖືກຕ້ອງແລະການກວດສອບຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງຊອບແວທັງຫມົດ. ເມື່ອນໍາໃຊ້ In-toto ໃນໂຄງສ້າງພື້ນຖານ, ແຜນການທໍາອິດແມ່ນກໍານົດທີ່ອະທິບາຍຂັ້ນຕອນຕ່າງໆໃນທໍ່ (ບ່ອນເກັບມ້ຽນ, ເຄື່ອງມື CI / CD, ເຄື່ອງມື QA, ເຄື່ອງເກັບປອມ, ແລະອື່ນໆ) ແລະຜູ້ໃຊ້ (ຜູ້ຮັບຜິດຊອບ) ທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້. ເລີ່ມຕົ້ນໃຫ້ເຂົາເຈົ້າ.

In-toto ຕິດຕາມກວດກາການປະຕິບັດຂອງແຜນການ, ການກວດສອບວ່າແຕ່ລະວຽກງານໃນລະບົບຕ່ອງໂສ້ໄດ້ຖືກປະຕິບັດຢ່າງຖືກຕ້ອງໂດຍບຸກຄະລາກອນທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນແລະບໍ່ມີການຫມູນໃຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດກັບຜະລິດຕະພັນໃນລະຫວ່າງການເຄື່ອນໄຫວ.

ພອດເຕຣິສ

ເວັບໄຊທ໌: github.com/IBM/portieris
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Portieris ເປັນຕົວຄວບຄຸມການເຂົ້າຮຽນສໍາລັບ Kubernetes; ໃຊ້ເພື່ອບັງຄັບການກວດສອບຄວາມໄວ້ວາງໃຈຂອງເນື້ອຫາ. Portieris ໃຊ້ເຄື່ອງແມ່ຂ່າຍ Notary (ພວກເຮົາຂຽນກ່ຽວກັບລາວໃນຕອນທ້າຍ ຫົວຂໍ້ນີ້ - ປະມານ ການແປ) ເປັນແຫລ່ງທີ່ມາຂອງຄວາມຈິງເພື່ອກວດສອບວັດຖຸບູຮານທີ່ເຊື່ອຖືໄດ້ ແລະ ມີລາຍເຊັນ (ເຊັ່ນ: ຮູບບັນຈຸທີ່ຖືກອະນຸມັດ).

ເມື່ອວຽກຖືກສ້າງ ຫຼືແກ້ໄຂໃນ Kubernetes, Portieris ຈະດາວໂຫລດຂໍ້ມູນການລົງນາມ ແລະນະໂຍບາຍຄວາມໄວ້ວາງໃຈຂອງເນື້ອຫາສໍາລັບຮູບພາບບັນຈຸທີ່ຮ້ອງຂໍ ແລະຖ້າຈໍາເປັນ, ປ່ຽນແປງຢ່າງທັນເວລາຕໍ່ກັບວັດຖຸ JSON API ເພື່ອດໍາເນີນການສະບັບທີ່ມີລາຍເຊັນຂອງຮູບພາບເຫຼົ່ານັ້ນ.

Vault

ເວັບໄຊທ໌: www.vaultproject.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (MPL)

Vault ເປັນການແກ້ໄຂຄວາມປອດໄພສໍາລັບການເກັບຮັກສາຂໍ້ມູນສ່ວນຕົວ: ລະຫັດຜ່ານ, OAuth tokens, ໃບຢັ້ງຢືນ PKI, ບັນຊີການເຂົ້າເຖິງ, ຄວາມລັບ Kubernetes, ແລະອື່ນໆ. Vault ຮອງຮັບຄຸນສົມບັດຂັ້ນສູງຫຼາຍອັນ, ເຊັ່ນ: ການເຊົ່າໂທເຄັນຄວາມປອດໄພ ephemeral ຫຼືການຈັດລຽງການຫມຸນຂອງກະແຈ.

ການນໍາໃຊ້ຕາຕະລາງ Helm, Vault ສາມາດຖືກນໍາໄປໃຊ້ເປັນການຕິດຕັ້ງໃຫມ່ໃນກຸ່ມ Kubernetes ທີ່ມີ Consul ເປັນການເກັບຮັກສາ backend. ມັນສະຫນັບສະຫນູນຊັບພະຍາກອນ Kubernetes ພື້ນເມືອງເຊັ່ນ: ServiceAccount tokens ແລະຍັງສາມາດເຮັດຫນ້າທີ່ເປັນຮ້ານເລີ່ມຕົ້ນສໍາລັບຄວາມລັບ Kubernetes.

ຫມາຍເຫດ. ແປ.: ໂດຍວິທີທາງການ, ພຽງແຕ່ມື້ວານນີ້ບໍລິສັດ HashiCorp, ເຊິ່ງພັດທະນາ Vault, ປະກາດການປັບປຸງບາງຢ່າງສໍາລັບການນໍາໃຊ້ Vault ໃນ Kubernetes, ແລະໂດຍສະເພາະພວກເຂົາກ່ຽວຂ້ອງກັບຕາຕະລາງ Helm. ອ່ານເພີ່ມເຕີມໃນ ບລັອກນັກພັດທະນາ.

ການກວດສອບຄວາມປອດໄພ Kubernetes

Kube-bench

ເວັບໄຊທ໌: github.com/aquasecurity/kube-bench
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Kube-bench ເປັນແອັບພລິເຄຊັນ Go ທີ່ກວດສອບວ່າ Kubernetes ຖືກນຳໃຊ້ຢ່າງປອດໄພຫຼືບໍ່ໂດຍການແລ່ນທົດສອບຈາກລາຍຊື່ໃດໜຶ່ງ. CIS Kubernetes Benchmark.

Kube-bench ຊອກຫາການຕັ້ງຄ່າທີ່ບໍ່ປອດໄພລະຫວ່າງອົງປະກອບຂອງກຸ່ມ (etcd, API, controller manager, etc.), ສິດທິການເຂົ້າເຖິງໄຟລ໌ທີ່ໜ້າສົງໄສ, ບັນຊີທີ່ບໍ່ຖືກປົກປ້ອງ ຫຼືພອດເປີດ, ໂຄຕ້າຊັບພະຍາກອນ, ການຕັ້ງຄ່າການຈຳກັດຈໍານວນການໂທ API ເພື່ອປ້ອງກັນການໂຈມຕີ DoS. , ແລະອື່ນໆ.

Kube-ລ່າ

ເວັບໄຊທ໌: github.com/aquasecurity/kube-hunter
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Kube-hunter ລ່າຫາຊ່ອງໂຫວ່ທີ່ອາດຈະເກີດຂຶ້ນ (ເຊັ່ນ: ການປະຕິບັດລະຫັດທາງໄກ ຫຼືການເປີດເຜີຍຂໍ້ມູນ) ໃນກຸ່ມ Kubernetes. Kube-hunter ສາມາດດໍາເນີນການເປັນເຄື່ອງສະແກນທາງໄກ - ໃນກໍລະນີນີ້ມັນຈະປະເມີນກຸ່ມຈາກມຸມເບິ່ງຂອງຜູ້ໂຈມຕີພາກສ່ວນທີສາມ - ຫຼືເປັນ pod ພາຍໃນ cluster.

ລັກສະນະທີ່ໂດດເດັ່ນຂອງ Kube-hunter ແມ່ນໂຫມດ "ການລ່າສັດຢ່າງຫ້າວຫັນ", ໃນລະຫວ່າງນັ້ນມັນບໍ່ພຽງແຕ່ລາຍງານບັນຫາ, ແຕ່ຍັງພະຍາຍາມໃຊ້ປະໂຫຍດຈາກຈຸດອ່ອນທີ່ຄົ້ນພົບຢູ່ໃນກຸ່ມເປົ້າຫມາຍທີ່ອາດຈະເປັນອັນຕະລາຍຕໍ່ການດໍາເນີນງານຂອງມັນ. ສະນັ້ນໃຊ້ດ້ວຍຄວາມລະມັດລະວັງ!

Kubeaudit

ເວັບໄຊທ໌: github.com/Shopify/kubeaudit
ໃບອະນຸຍາດ: ຟຣີ (MIT)

Kubeaudit ເປັນເຄື່ອງມື console ພັດທະນາໃນເບື້ອງຕົ້ນຢູ່ທີ່ Shopify ເພື່ອກວດສອບການຕັ້ງຄ່າ Kubernetes ສໍາລັບບັນຫາຄວາມປອດໄພຕ່າງໆ. ຕົວຢ່າງ, ມັນຊ່ວຍລະບຸຕູ້ຄອນເທນເນີທີ່ແລ່ນແບບບໍ່ຈຳກັດ, ແລ່ນເປັນຮາກ, ລະເມີດສິດທິພິເສດ, ຫຼືໃຊ້ບັນຊີ ServiceAccount ເລີ່ມຕົ້ນ.

Kubeaudit ມີຄຸນສົມບັດທີ່ຫນ້າສົນໃຈອື່ນໆ. ຕົວຢ່າງ, ມັນສາມາດວິເຄາະໄຟລ໌ YAML ທ້ອງຖິ່ນ, ກໍານົດຂໍ້ບົກພ່ອງໃນການຕັ້ງຄ່າທີ່ສາມາດນໍາໄປສູ່ບັນຫາຄວາມປອດໄພ, ແລະແກ້ໄຂພວກມັນໂດຍອັດຕະໂນມັດ.

Kubesec

ເວັບໄຊທ໌: kubesec.io
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

Kubesec ເປັນເຄື່ອງມືພິເສດທີ່ມັນສະແກນໄຟລ໌ YAML ໂດຍກົງທີ່ອະທິບາຍຊັບພະຍາກອນ Kubernetes, ຊອກຫາຕົວກໍານົດການທີ່ອ່ອນແອທີ່ສາມາດສົ່ງຜົນກະທົບຕໍ່ຄວາມປອດໄພ.

ຕົວຢ່າງ, ມັນສາມາດກວດພົບສິດທິພິເສດແລະການອະນຸຍາດຫຼາຍເກີນໄປທີ່ໃຫ້ pod, ແລ່ນ container ທີ່ມີຮາກເປັນຜູ້ໃຊ້ເລີ່ມຕົ້ນ, ເຊື່ອມຕໍ່ກັບ namespace ເຄືອຂ່າຍຂອງເຈົ້າພາບ, ຫຼື mounts ອັນຕະລາຍເຊັ່ນ: /proc host ຫຼື Docker socket. ລັກສະນະທີ່ຫນ້າສົນໃຈອີກອັນຫນຶ່ງຂອງ Kubesec ແມ່ນການບໍລິການສາທິດທີ່ມີຢູ່ໃນອອນໄລນ໌, ທີ່ທ່ານສາມາດອັບໂຫລດ YAML ແລະວິເຄາະມັນທັນທີ.

ເປີດຕົວແທນນະໂຍບາຍ

ເວັບໄຊທ໌: www.openpolicyagent.org
ໃບອະນຸຍາດ: ບໍ່ເສຍຄ່າ (Apache)

ແນວຄວາມຄິດຂອງ OPA (Open Policy Agent) ແມ່ນເພື່ອ decouple ນະໂຍບາຍຄວາມປອດໄພ ແລະການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພຈາກແພລະຕະຟອມ runtime ສະເພາະ: Docker, Kubernetes, Mesosphere, OpenShift, ຫຼືການປະສົມປະສານໃດໆຂອງມັນ.

ຕົວຢ່າງ, ທ່ານສາມາດນຳໃຊ້ OPA ເປັນ backend ສໍາລັບຕົວຄວບຄຸມການເຂົ້າ Kubernetes, ມອບໝາຍການຕັດສິນໃຈດ້ານຄວາມປອດໄພໃຫ້ກັບມັນ. ດ້ວຍວິທີນີ້, ຕົວແທນ OPA ສາມາດກວດສອບໄດ້, ປະຕິເສດ, ແລະແມ້ກະທັ້ງດັດແກ້ການຮ້ອງຂໍໃນການບິນ, ຮັບປະກັນວ່າຕົວກໍານົດຄວາມປອດໄພທີ່ລະບຸໄວ້ແມ່ນບັນລຸໄດ້. ນະໂຍບາຍຄວາມປອດໄພຂອງ OPA ແມ່ນຂຽນເປັນພາສາ DSL ທີ່ເປັນເຈົ້າຂອງ, Rego.

ຫມາຍເຫດ. ແປ.: ພວກເຮົາໄດ້ຂຽນເພີ່ມເຕີມກ່ຽວກັບ OPA (ແລະ SPIFFE) ໃນ ສິ່ງນີ້.

ເຄື່ອງມືການຄ້າທີ່ສົມບູນແບບສໍາລັບການວິເຄາະຄວາມປອດໄພ Kubernetes

ພວກເຮົາໄດ້ຕັດສິນໃຈສ້າງປະເພດແຍກຕ່າງຫາກສໍາລັບແພລະຕະຟອມການຄ້າເພາະວ່າໂດຍປົກກະຕິພວກມັນກວມເອົາຫຼາຍຂົງເຂດຄວາມປອດໄພ. ແນວຄວາມຄິດທົ່ວໄປກ່ຽວກັບຄວາມສາມາດຂອງເຂົາເຈົ້າສາມາດໄດ້ຮັບຈາກຕາຕະລາງ:

* ການກວດສອບຂັ້ນສູງແລະການວິເຄາະຫຼັງຈາກການຕາຍໂດຍສົມບູນ hijacking ໂທລະບົບ.

ຄວາມປອດໄພ Aqua

ເວັບໄຊທ໌: www.aquasec.com
ໃບອະນຸຍາດ: ການຄ້າ

ເຄື່ອງມືການຄ້ານີ້ໄດ້ຖືກອອກແບບສໍາລັບການບັນຈຸແລະການໂຫຼດຟັງໄດ້. ມັນສະຫນອງ:

ການສະແກນຮູບພາບປະສົມປະສານກັບທະບຽນບັນຈຸຫຼືທໍ່ CI/CD;
ການປົກປ້ອງເວລາແລ່ນກັບການຄົ້ນຫາການປ່ຽນແປງໃນຖັງແລະກິດຈະກໍາທີ່ຫນ້າສົງໄສອື່ນໆ;
Container-native firewall;
ຄວາມປອດໄພສໍາລັບ serverless ໃນການບໍລິການຟັງ;
ການທົດສອບການປະຕິບັດຕາມຄວາມສອດຄ່ອງແລະການກວດສອບລວມກັບການບັນທຶກເຫດການ.

ຫມາຍເຫດ. ແປ.: ມັນຍັງເປັນມູນຄ່າທີ່ສັງເກດວ່າມີ ອົງປະກອບຟຣີຂອງຜະລິດຕະພັນທີ່ເອີ້ນວ່າ MicroScanner, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານສາມາດສະແກນຮູບພາບບັນຈຸສໍາລັບຊ່ອງໂຫວ່. ການປຽບທຽບຄວາມສາມາດຂອງມັນກັບສະບັບທີ່ຈ່າຍໄດ້ຖືກນໍາສະເຫນີໃນ ຕາຕະລາງນີ້.

ແຄບຊູນ8

ເວັບໄຊທ໌: capsule8.com
ໃບອະນຸຍາດ: ການຄ້າ

Capsule8 ປະສົມປະສານເຂົ້າໃນໂຄງສ້າງພື້ນຖານໂດຍການຕິດຕັ້ງເຄື່ອງກວດຈັບຢູ່ໃນທ້ອງຖິ່ນຫຼືຄລາວ Kubernetes cluster. ເຄື່ອງກວດຈັບນີ້ລວບລວມ host ແລະ telemetry ເຄືອຂ່າຍ, correlating ມັນກັບປະເພດຕ່າງໆຂອງການໂຈມຕີ.

ທີມງານ Capsule8 ເຫັນວ່າວຽກງານຂອງຕົນເປັນການກວດພົບແລະການປ້ອງກັນການໂຈມຕີໂດຍໄວໂດຍນໍາໃຊ້ໃຫມ່ (0 ມື້) ຄວາມອ່ອນແອ. Capsule8 ສາມາດດາວໂຫຼດກົດລະບຽບຄວາມປອດໄພທີ່ອັບເດດໃໝ່ໂດຍກົງຫາເຄື່ອງກວດຈັບເພື່ອຕອບສະໜອງຕໍ່ກັບໄພຂົ່ມຂູ່ທີ່ຄົ້ນພົບໃໝ່ ແລະ ຊ່ອງໂຫວ່ຂອງຊອບແວ.

ຄາວີລິນ

ເວັບໄຊທ໌: www.cavirin.com
ໃບອະນຸຍາດ: ການຄ້າ

Cavirin ເຮັດຫນ້າທີ່ເປັນຜູ້ຮັບເຫມົາດ້ານບໍລິສັດສໍາລັບອົງການຕ່າງໆທີ່ກ່ຽວຂ້ອງກັບມາດຕະຖານຄວາມປອດໄພ. ມັນບໍ່ພຽງແຕ່ສາມາດສະແກນຮູບພາບ, ແຕ່ມັນຍັງສາມາດປະສົມປະສານເຂົ້າໄປໃນທໍ່ CI / CD, ສະກັດຮູບພາບທີ່ບໍ່ແມ່ນມາດຕະຖານກ່ອນທີ່ມັນຈະເຂົ້າໄປໃນບ່ອນເກັບມ້ຽນທີ່ປິດ.

ຊຸດຄວາມປອດໄພຂອງ Cavirin ໃຊ້ການຮຽນຮູ້ເຄື່ອງຈັກເພື່ອປະເມີນທ່າທາງຄວາມປອດໄພທາງອິນເຕີເນັດຂອງທ່ານ, ສະເຫນີຄໍາແນະນໍາເພື່ອປັບປຸງຄວາມປອດໄພແລະປັບປຸງການປະຕິບັດຕາມມາດຕະຖານຄວາມປອດໄພ.

ສູນບັນຊາຄວາມປອດໄພ Google Cloud

ເວັບໄຊທ໌: cloud.google.com/security-command-center
ໃບອະນຸຍາດ: ການຄ້າ

ສູນຄໍາສັ່ງຄວາມປອດໄພ Cloud ຊ່ວຍໃຫ້ທີມງານຮັກສາຄວາມປອດໄພເກັບກໍາຂໍ້ມູນ, ກໍານົດໄພຂົ່ມຂູ່, ແລະລົບລ້າງພວກມັນກ່ອນທີ່ມັນຈະເປັນອັນຕະລາຍຕໍ່ບໍລິສັດ.

ດັ່ງທີ່ຊື່ແນະນໍາ, Google Cloud SCC ເປັນແຜງຄວບຄຸມແບບປະສົມປະສານທີ່ສາມາດປະສົມປະສານແລະຈັດການຄວາມຫລາກຫລາຍຂອງບົດລາຍງານຄວາມປອດໄພ, ເຄື່ອງຈັກບັນຊີຊັບສິນ, ແລະລະບົບຄວາມປອດໄພຂອງພາກສ່ວນທີສາມຈາກແຫຼ່ງດຽວ, ສູນກາງ.

API ທີ່ໃຊ້ຮ່ວມກັນໄດ້ທີ່ສະເໜີໃຫ້ໂດຍ Google Cloud SCC ເຮັດໃຫ້ມັນງ່າຍຕໍ່ການເຊື່ອມໂຍງເຫດການຄວາມປອດໄພທີ່ມາຈາກແຫຼ່ງຕ່າງໆ ເຊັ່ນ: Sysdig Secure (ຄວາມປອດໄພຂອງຕູ້ຄອນເທນເນີສໍາລັບແອັບພລິເຄຊັນ cloud-native) ຫຼື Falco (Open Source runtime security).

ຄວາມເຂົ້າໃຈແບບຊັ້ນໆ (ຄຸນນະພາບ)

ເວັບໄຊທ໌: layeredinsight.com
ໃບອະນຸຍາດ: ການຄ້າ

Layered Insight (ປະຈຸບັນເປັນສ່ວນຫນຶ່ງຂອງ Qualys Inc) ຖືກສ້າງຂຶ້ນໃນແນວຄວາມຄິດຂອງ "ຄວາມປອດໄພຝັງໄວ້." ຫຼັງຈາກການສະແກນຮູບພາບຕົ້ນສະບັບສໍາລັບຊ່ອງໂຫວ່ໂດຍໃຊ້ການວິເຄາະສະຖິຕິແລະການກວດສອບ CVE, Layered Insight ແທນມັນດ້ວຍຮູບພາບທີ່ມີເຄື່ອງມືທີ່ປະກອບມີຕົວແທນເປັນຄູ່.

ຕົວແທນນີ້ປະກອບມີການທົດສອບຄວາມປອດໄພ runtime ເພື່ອວິເຄາະການຈະລາຈອນເຄືອຂ່າຍ container, I/O flows ແລະກິດຈະກໍາຄໍາຮ້ອງສະຫມັກ. ນອກຈາກນັ້ນ, ມັນສາມາດປະຕິບັດການກວດສອບຄວາມປອດໄພເພີ່ມເຕີມທີ່ລະບຸໄວ້ໂດຍຜູ້ບໍລິຫານໂຄງສ້າງພື້ນຖານຫຼືທີມງານ DevOps.

NeuVector

ເວັບໄຊທ໌: neuvector.com
ໃບອະນຸຍາດ: ການຄ້າ

NeuVector ກວດສອບຄວາມປອດໄພຂອງ container ແລະສະຫນອງການປ້ອງກັນ runtime ໂດຍການວິເຄາະກິດຈະກໍາເຄືອຂ່າຍແລະພຶດຕິກໍາຂອງຄໍາຮ້ອງສະຫມັກ, ການສ້າງໂປຣໄຟລ໌ຄວາມປອດໄພສ່ວນບຸກຄົນສໍາລັບແຕ່ລະ container. ມັນຍັງສາມາດສະກັດກັ້ນການຂົ່ມຂູ່ດ້ວຍຕົວມັນເອງ, ແຍກກິດຈະກໍາທີ່ຫນ້າສົງໄສໂດຍການປ່ຽນແປງກົດລະບຽບໄຟວໍໃນທ້ອງຖິ່ນ.

ການເຊື່ອມໂຍງເຄືອຂ່າຍຂອງ NeuVector, ທີ່ຮູ້ຈັກເປັນ Security Mesh, ມີຄວາມສາມາດໃນການວິເຄາະແພັກເກັດເລິກແລະການກັ່ນຕອງຊັ້ນ 7 ສໍາລັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍທັງຫມົດໃນຕາຫນ່າງການບໍລິການ.

StackRox

ເວັບໄຊທ໌: www.stackrox.com
ໃບອະນຸຍາດ: ການຄ້າ

ແພລດຟອມຄວາມປອດໄພຕູ້ຄອນເທນເນີ StackRox ພະຍາຍາມກວມເອົາວົງຈອນຊີວິດທັງໝົດຂອງແອັບພລິເຄຊັນ Kubernetes ໃນກຸ່ມ. ເຊັ່ນດຽວກັນກັບແພລະຕະຟອມການຄ້າອື່ນໆໃນບັນຊີລາຍຊື່ນີ້, StackRox ສ້າງໂປຣໄຟລ໌ເວລາແລ່ນໂດຍອີງໃສ່ພຶດຕິກໍາການບັນຈຸທີ່ສັງເກດເຫັນແລະປຸກອັດຕະໂນມັດສໍາລັບການ deviations ໃດ.

ນອກຈາກນັ້ນ, StackRox ວິເຄາະການຕັ້ງຄ່າ Kubernetes ໂດຍໃຊ້ Kubernetes CIS ແລະປື້ມກົດລະບຽບອື່ນໆເພື່ອປະເມີນການປະຕິບັດຕາມພາຊະນະ.

Sysdig ປອດໄພ

ເວັບໄຊທ໌: sysdig.com/products/secure
ໃບອະນຸຍາດ: ການຄ້າ

Sysdig Secure ປົກປ້ອງແອັບພລິເຄຊັນຕະຫຼອດທັງກ່ອງບັນຈຸ ແລະວົງຈອນຊີວິດ Kubernetes. ລາວ ສະແກນຮູບພາບ ບັນຈຸ, ສະຫນອງ ການປົກປ້ອງ runtime ອີງຕາມຂໍ້ມູນການຮຽນຮູ້ເຄື່ອງຈັກ, ປະຕິບັດສີຄີມ. ຄວາມຊໍານານໃນການກໍານົດຈຸດອ່ອນ, ຕັນໄພຂົ່ມຂູ່, ຕິດຕາມກວດກາ ການປະຕິບັດຕາມມາດຕະຖານທີ່ໄດ້ກໍານົດໄວ້ ແລະກິດຈະກໍາການກວດສອບໃນ microservices.

Sysdig Secure ປະສົມປະສານກັບເຄື່ອງມື CI/CD ເຊັ່ນ Jenkins ແລະຄວບຄຸມຮູບພາບທີ່ໂຫລດມາຈາກ Docker registries, ປ້ອງກັນບໍ່ໃຫ້ຮູບພາບອັນຕະລາຍປາກົດຢູ່ໃນການຜະລິດ. ມັນຍັງສະຫນອງຄວາມປອດໄພ runtime ທີ່ສົມບູນແບບ, ລວມທັງ:

ການສ້າງໂປຣໄຟລ໌ເວລາແລ່ນຕາມ ML ແລະການກວດຫາຄວາມຜິດປົກກະຕິ;
ນະໂຍບາຍ runtime ອີງຕາມເຫດການລະບົບ, K8s-audit API, ໂຄງການຊຸມຊົນຮ່ວມ (FIM - ການຕິດຕາມກວດກາຄວາມສົມບູນຂອງໄຟລ໌; cryptojacking) ແລະກອບ MITER AT&CK;
ການຕອບໂຕ້ແລະການແກ້ໄຂເຫດການ.

ຄວາມປອດໄພຕູ້ເກັບຮັກສາ Tenable

ເວັບໄຊທ໌: www.tenable.com/products/tenable-io/container-security
ໃບອະນຸຍາດ: ການຄ້າ

ກ່ອນທີ່ຈະມາຮອດຂອງຕູ້ຄອນເທນເນີ, Tenable ເປັນທີ່ຮູ້ຈັກຢ່າງກວ້າງຂວາງໃນອຸດສາຫະກໍາເປັນບໍລິສັດທີ່ຢູ່ເບື້ອງຫລັງ Nessus, ເຄື່ອງມືການລ່າສັດແລະການກວດສອບຄວາມປອດໄພທີ່ມີຄວາມນິຍົມ.

Tenable Container Security ນຳໃຊ້ຄວາມຊ່ຽວຊານດ້ານຄວາມປອດໄພຄອມພິວເຕີຂອງບໍລິສັດເພື່ອລວມເອົາທໍ່ CI/CD ກັບຖານຂໍ້ມູນທີ່ມີຄວາມສ່ຽງ, ຊຸດກວດຫາ malware ພິເສດ, ແລະຂໍ້ແນະນໍາສໍາລັບການແກ້ໄຂໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພ.

Twistlock (Palo Alto Networks)

ເວັບໄຊທ໌: www.twistlock.com
ໃບອະນຸຍາດ: ການຄ້າ

Twistlock ສົ່ງເສີມຕົນເອງເປັນແພລະຕະຟອມທີ່ສຸມໃສ່ການບໍລິການຄລາວແລະເຄື່ອງບັນຈຸ. Twistlock ຮອງຮັບຜູ້ໃຫ້ບໍລິການຟັງຕ່າງໆ (AWS, Azure, GCP), ຄອນເທນເນີ orchestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverless runtimes, mesh frameworks ແລະ CI/CD tools.

ນອກເຫນືອຈາກເຕັກນິກຄວາມປອດໄພລະດັບວິສາຫະກິດແບບດັ້ງເດີມເຊັ່ນ: ການເຊື່ອມໂຍງທໍ່ CI/CD ຫຼືການສະແກນຮູບພາບ, Twistlock ໃຊ້ການຮຽນຮູ້ເຄື່ອງຈັກເພື່ອສ້າງຮູບແບບພຶດຕິກໍາສະເພາະຂອງຖັງແລະກົດລະບຽບເຄືອຂ່າຍ.

ບາງຄັ້ງກ່ອນຫນ້ານີ້, Twistlock ຖືກຊື້ໂດຍ Palo Alto Networks, ເຊິ່ງເປັນເຈົ້າຂອງໂຄງການ Evident.io ແລະ RedLock. ຍັງບໍ່ທັນເປັນທີ່ຮູ້ຈັກຢ່າງແນ່ນອນວ່າສາມເວທີນີ້ຈະຖືກປະສົມເຂົ້າກັນຢ່າງໃດ Prisma ຈາກ Palo Alto.

ຊ່ວຍສ້າງແຄັດຕາລັອກທີ່ດີທີ່ສຸດຂອງເຄື່ອງມືຄວາມປອດໄພ Kubernetes!

ພວກເຮົາພະຍາຍາມເຮັດໃຫ້ລາຍການນີ້ຄົບຖ້ວນເທົ່າທີ່ເປັນໄປໄດ້, ແລະເພື່ອອັນນີ້ພວກເຮົາຕ້ອງການຄວາມຊ່ວຍເຫຼືອຈາກເຈົ້າ! ຕິດຕໍ່ພວກເຮົາ (@sysdig) ຖ້າຫາກວ່າທ່ານມີເຄື່ອງມືເຢັນຢູ່ໃນໃຈທີ່ມີຄ່າຄວນຂອງການລວມເຂົ້າໃນບັນຊີລາຍການນີ້, ຫຼືທ່ານຊອກຫາຂໍ້ມູນທີ່ຜິດພາດ / outdated.

ທ່ານຍັງສາມາດຈອງກັບພວກເຮົາ ຈົດໝາຍຂ່າວປະຈຳເດືອນ ພ້ອມກັບຂ່າວຈາກລະບົບນິເວດພື້ນເມືອງຂອງຄລາວ ແລະເລື່ອງລາວກ່ຽວກັບໂຄງການທີ່ໜ້າສົນໃຈຈາກໂລກຂອງຄວາມປອດໄພ Kubernetes.

PS ຈາກນັກແປ

ອ່ານຍັງຢູ່ໃນ blog ຂອງພວກເຮົາ:

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

33+ ເຄື່ອງມືຄວາມປອດໄພ Kubernetes