33+ Kubernetes saugos įrankiai

Pastaba. vert.: Jei domitės Kubernetes pagrindu veikiančios infrastruktūros saugumu, ši puiki Sysdig apžvalga yra puikus atspirties taškas norint greitai pažvelgti į dabartinius sprendimus. Tai apima ir sudėtingas žinomų rinkos dalyvių sistemas, ir daug kuklesnes komunalines paslaugas, kurios išsprendžia konkrečią problemą. O komentaruose, kaip visada, mielai išgirsime apie jūsų patirtį naudojant šiuos įrankius ir pamatysime nuorodas į kitus projektus.

Kubernetes saugos programinės įrangos produktai... jų yra tiek daug, kiekvienas turi savo tikslus, taikymo sritį ir licencijas.

Štai kodėl nusprendėme sudaryti šį sąrašą ir įtraukti tiek atvirojo kodo projektus, tiek komercines platformas iš skirtingų pardavėjų. Tikimės, kad tai padės nustatyti tuos, kurie labiausiai domina, ir nukreips teisinga kryptimi, atsižvelgiant į jūsų konkrečius Kubernetes saugos poreikius.

Категории

Kad būtų lengviau naršyti sąrašą, įrankiai suskirstyti pagal pagrindines funkcijas ir programas. Buvo gauti šie skyriai:

• Kubernetes vaizdo skenavimas ir statinė analizė;
• Veiklos saugumas;
• Kubernetes tinklo saugumas;
• Vaizdų platinimas ir paslapčių valdymas;
• Kubernetes saugumo auditas;
• Visapusiški komerciniai produktai.

Eikime prie reikalo:

Kubernetes vaizdų nuskaitymas

Inkaras

• Interneto svetainė: anchore.com
• Licencija: nemokamas („Apache“) ir komercinis pasiūlymas

Anchore analizuoja konteinerio vaizdus ir leidžia atlikti saugumo patikras pagal vartotojo nustatytas strategijas.

Be įprasto konteinerio vaizdų nuskaitymo, ar nėra žinomų CVE duomenų bazės pažeidžiamumų, „Anchore“ atlieka daugybę papildomų patikrų, kaip dalį savo nuskaitymo politikos: tikrina „Dockerfile“, kredencialų nutekėjimą, naudojamų programavimo kalbų (npm, maven ir kt.) paketus. .), programinės įrangos licencijos ir daug daugiau .

Išvalyti

• Interneto svetainė: coreos.com/clair (dabar globojama Red Hat)
• Licencija: nemokama (Apache)

Clair buvo vienas iš pirmųjų atvirojo kodo projektų, skirtų vaizdų nuskaitymui. Jis plačiai žinomas kaip Quay vaizdų registro saugos skaitytuvas (taip pat iš CoreOS - apytiksliai vertimas)Clair gali rinkti informaciją apie CVE iš įvairių šaltinių, įskaitant CVE specifinius sąrašus. Linux- saugumo komandų prižiūrimų pažeidžiamumų pasiskirstymas Debian, „Red Hat“ arba Ubuntu.

Skirtingai nuo Anchore, Clair daugiausia dėmesio skiria pažeidžiamumui rasti ir duomenų suderinimui su CVE. Tačiau produktas suteikia vartotojams tam tikrų galimybių išplėsti funkcijas naudojant papildinių tvarkykles.

dagda

• Interneto svetainė: github.com/eliasgranderubio/dagda
• Licencija: nemokama (Apache)

„Dagda“ atlieka statinę konteinerių vaizdų analizę dėl žinomų spragų, Trojos arklių, virusų, kenkėjiškų programų ir kitų grėsmių.

Iš kitų panašių įrankių Dagda išskiria dvi svarbias savybes:

• Puikiai integruojasi su ClamAV, veikiantis ne tik kaip konteinerio vaizdų nuskaitymo įrankis, bet ir kaip antivirusinė priemonė.
• Taip pat suteikia apsaugą vykdymo metu, gaudama įvykius realiuoju laiku iš „Docker“ demono ir integruodama su „Falco“. (žr. žemiau) saugos įvykiams rinkti, kol konteineris veikia.

KubeXray

• Interneto svetainė: github.com/jfrog/kubexray
• Licencija: Nemokama (Apache), bet reikalingi duomenys iš JFrog Xray (komercinis produktas)

„KubeXray“ klauso įvykių iš „Kubernetes“ API serverio ir naudoja „JFrog Xray“ metaduomenis, kad užtikrintų, jog būtų paleisti tik dabartinę politiką atitinkantys rinkiniai.

„KubeXray“ ne tik tikrina naujus ar atnaujintus konteinerius diegiant (panašiai kaip „Kubernetes“ priėmimo valdiklis), bet ir dinamiškai tikrina, ar veikiantys konteineriai atitinka naujas saugos strategijas, pašalindami išteklius, nurodančius pažeidžiamus vaizdus.

Snykas

• Interneto svetainė: snyk.io
• Licencija: nemokama (Apache) ir komercinė versija

„Snyk“ yra neįprastas pažeidžiamumo skaitytuvas, nes jis konkrečiai skirtas kūrimo procesui ir yra reklamuojamas kaip „esminis sprendimas“ kūrėjams.

„Snyk“ tiesiogiai prisijungia prie kodo saugyklų, analizuoja projekto manifestą ir analizuoja importuotą kodą kartu su tiesioginėmis ir netiesioginėmis priklausomybėmis. „Snyk“ palaiko daugelį populiarių programavimo kalbų ir gali nustatyti paslėptą licencijų riziką.

Smulkmena

• Interneto svetainė: github.com/knqyf263/trivy
• Licencija: nemokama (AGPL)

„Trivy“ yra paprastas, bet galingas konteinerių pažeidžiamumo skaitytuvas, lengvai integruojamas į CI/CD konvejerį. Jo išskirtinis bruožas yra paprastas diegimas ir valdymas: programą sudaro vienas dvejetainis failas ir nereikia įdiegti duomenų bazės ar papildomų bibliotekų.

„Trivy“ paprastumo trūkumas yra tas, kad jūs turite išsiaiškinti, kaip išanalizuoti ir persiųsti rezultatus JSON formatu, kad kiti „Kubernetes“ saugos įrankiai galėtų juos naudoti.

Vykdymo saugumas Kubernetes

Falco

• Interneto svetainė: falco.org
• Licencija: nemokama (Apache)

„Falco“ yra įrankių rinkinys, skirtas apsaugoti debesies vykdymo aplinką. Projekto šeimos dalis CNCF.

„Sysdig“ įrankių naudojimas darbui branduolio lygmenyje Linux Naudodama sistemos iškvietimų profiliavimą ir stebėjimą, „Falco“ leidžia išsamiai išanalizuoti sistemos elgseną. Jos vykdymo laiko taisyklių variklis gali aptikti įtartiną veiklą programose, konteineriuose, pagrindiniame kompiuteryje ir „Kubernetes“ orkestravimo įrenginyje.

Įdiegdama specialius agentus Kubernetes mazguose šiems tikslams, „Falco“ užtikrina visišką vykdymo ir grėsmių aptikimo skaidrumą. Dėl to nereikia keisti konteinerių įvedant į juos trečiosios šalies kodą arba pridedant konteinerius su priekabomis.

Saugumo sistemos Linux vykdymo laikui

Tai yra vietiniai iš esmės Linux Karkasai nėra „Kubernetes saugumo įrankiai“ tradicine prasme, tačiau juos verta paminėti, nes jie yra svarbus elementas vykdymo laiko saugumo kontekste, kuris yra įtrauktas į „Kubernetes Pod“ saugumo politiką (PSP).

„AppArmor“ prideda saugos profilį prie procesų, veikiančių konteineryje, apibrėžia failų sistemos privilegijas, prieigos prie tinklo taisykles, jungia bibliotekas ir kt. Tai sistema, pagrįsta privaloma prieigos kontrole (MAC). Kitaip tariant, neleidžia atlikti draudžiamų veiksmų.

Sustiprintas saugumas Linux (SELinux) yra išplėstinis branduolio saugumo modulis. Linux, kai kuriais atžvilgiais panašus į „AppArmor“ ir dažnai su juo lyginamas. SELinux Jis lenkia „AppArmor“ galia, lankstumu ir pritaikymo galimybėmis. Jo trūkumai yra ilgesnė mokymosi kreivė ir padidėjęs sudėtingumas.

Seccomp ir seccomp-bpf leidžia filtruoti sistemos skambučius, blokuoti tų, kurie gali būti pavojingi bazinei OS ir nėra reikalingi normaliam vartotojo programų veikimui, vykdymą. „Seccomp“ kai kuriais atžvilgiais panašus į „Falco“, nors ir neišmano konteinerių specifikos.

Sysdig atviras šaltinis

• Interneto svetainė: www.sysdig.com/opensource
• Licencija: nemokama (Apache)

„Sysdig“ yra išsami analizės, diagnostikos ir derinimo priemonė. Linux-sistemos (taip pat veikia su Windows и macOS, bet su ribotomis funkcijomis). Jis gali būti naudojamas išsamiai informacijai rinkti, tikrinti ir teismo ekspertizei. (kriminalistika) bazinę sistemą ir visus joje esančius konteinerius.

„Sysdig“ taip pat iš esmės palaiko konteinerio vykdymo laiką ir „Kubernetes“ metaduomenis, pridedant papildomų dimensijų ir etikečių prie visos renkamos sistemos veikimo informacijos. Yra keletas būdų, kaip analizuoti Kubernetes klasterį naudojant Sysdig: galite užfiksuoti tašką per kubectl fiksavimas arba paleiskite ncurses pagrįstą interaktyvią sąsają naudodami papildinį kubectl dig.

„Kubernetes“ tinklo sauga

Aporeto

• Interneto svetainė: www.aporeto.com
• Licencija: komercinė

„Aporeto“ siūlo „saugą, atskirtą nuo tinklo ir infrastruktūros“. Tai reiškia, kad „Kubernetes“ paslaugos gauna ne tik vietinį ID (t. y. „ServiceAccount“ Kubernetes), bet ir universalų ID / pirštų atspaudus, kuriuos galima naudoti saugiai ir abipusiai bendrauti su bet kuria kita paslauga, pavyzdžiui, „OpenShift“ klasteryje.

„Aporeto“ gali sugeneruoti unikalų ID ne tik „Kubernetes“ / konteineriams, bet ir pagrindiniams kompiuteriams, debesų funkcijoms ir vartotojams. Priklausomai nuo šių identifikatorių ir administratoriaus nustatytų tinklo saugumo taisyklių rinkinio, ryšiai bus leidžiami arba blokuojami.

kartūnas

• Interneto svetainė: www.projectcalico.org
• Licencija: nemokama (Apache)

„Calico“ paprastai diegiamas konteinerių orkestro diegimo metu, todėl galite sukurti virtualų tinklą, jungiantį konteinerius. Be šios pagrindinės tinklo funkcijos, Calico projektas veikia su Kubernetes tinklo politika ir savo tinklo saugos profilių rinkiniu, palaiko galinių taškų ACL (prieigos valdymo sąrašus) ir anotacijomis pagrįstas tinklo saugumo taisykles, skirtas įėjimo ir išėjimo srautui.

ciliumas

• Interneto svetainė: www.cilium.io
• Licencija: nemokama (Apache)

„Cilium“ veikia kaip konteinerių užkarda ir teikia tinklo saugumo funkcijas, pritaikytas „Kubernetes“ ir mikropaslaugų darbo krūviams. „Cilium“ naudoja naują pagrindinę technologiją. Linux vadinamas BPF (Berkeley paketų filtru), skirtu duomenims filtruoti, stebėti, peradresuoti ir taisyti.

„Cilium“ gali įdiegti tinklo prieigos politiką, pagrįstą konteinerio ID, naudodama „Docker“ arba „Kubernetes“ etiketes ir metaduomenis. „Cilium“ taip pat supranta ir filtruoja įvairius 7 sluoksnio protokolus, tokius kaip HTTP arba gRPC, todėl galite apibrėžti REST skambučių rinkinį, kuris bus leidžiamas tarp dviejų „Kubernetes“ diegimų.

Tas pats

• Interneto svetainė: istio.io
• Licencija: nemokama (Apache)

„Istio“ yra plačiai žinomas dėl paslaugų tinklo paradigmos diegimo, įdiegdamas nuo platformos nepriklausomą valdymo plokštumą ir nukreipdamas visą valdomą paslaugų srautą per dinamiškai konfigūruojamus įgaliotinius „Envoy“. „Istio“ naudojasi šiuo išplėstiniu visų mikro paslaugų ir konteinerių vaizdu, kad įgyvendintų įvairias tinklo saugumo strategijas.

„Istio“ tinklo saugos galimybės apima skaidrų TLS šifravimą, kuris automatiškai atnaujina ryšį tarp mikropaslaugų į HTTPS, ir patentuotą RBAC identifikavimo ir autorizacijos sistemą, leidžiančią / uždrausti ryšį tarp skirtingų klasteryje esančių darbo krūvių.

Pastaba. vert.: Norėdami sužinoti daugiau apie „Istio“ į saugumą orientuotas galimybes, skaitykite Šis straipsnis.

Tigras

• Interneto svetainė: www.tigera.io
• Licencija: komercinė

Šis sprendimas, vadinamas „Kubernetes Firewall“, pabrėžia nulinio pasitikėjimo požiūrį į tinklo saugumą.

Panašiai kaip ir kiti vietiniai „Kubernetes“ tinklo sprendimai, „Tigera“ remiasi metaduomenimis, kad nustatytų įvairias klasterio paslaugas ir objektus, ir teikia vykdymo laiko problemų aptikimą, nuolatinį atitikties tikrinimą ir tinklo matomumą kelių debesų arba hibridinių monolitinių konteinerių infrastruktūroms.

Trireme

• Interneto svetainė: www.aporeto.com/opensource
• Licencija: nemokama (Apache)

„Trireme-Kubernetes“ yra paprastas ir aiškus „Kubernetes“ tinklo politikų specifikacijos įgyvendinimas. Ryškiausia jo savybė yra ta, kad, skirtingai nei panašūs „Kubernetes“ tinklo saugumo produktai, jam nereikia centrinės valdymo plokštumos tinklui koordinuoti. Dėl to sprendimas yra lengvai pritaikomas. „Trireme“ tai pasiekia įdiegdama agentą kiekviename mazge, kuris tiesiogiai jungiasi prie TCP/IP-šeimininko stekas.

Vaizdo platinimas ir paslapčių valdymas

Grafeas

• Interneto svetainė: grafeas.io
• Licencija: nemokama (Apache)

Grafeas yra atvirojo kodo API, skirta programinės įrangos tiekimo grandinės auditui ir valdymui. Pradiniame lygmenyje „Grafeas“ yra metaduomenų ir audito išvadų rinkimo įrankis. Jis gali būti naudojamas siekiant stebėti, kaip laikomasi geriausios saugos praktikos organizacijoje.

Šis centralizuotas tiesos šaltinis padeda atsakyti į tokius klausimus:

• Kas surinko ir pasirašė konkretų konteinerį?
• Ar jis atitiko visus saugos nuskaitymus ir patikras, kurių reikalaujama pagal saugos politiką? Kada? Kokie buvo rezultatai?
• Kas jį panaudojo gamyboje? Kokie konkretūs parametrai buvo naudojami diegimo metu?

In-toto

• Interneto svetainė: in-toto.github.io
• Licencija: nemokama (Apache)

In-toto yra sistema, skirta užtikrinti visos programinės įrangos tiekimo grandinės vientisumą, autentifikavimą ir auditą. Diegiant In-toto infrastruktūroje, pirmiausia apibrėžiamas planas, kuriame aprašomi įvairūs ruošimo etapai (saugykla, CI / CD įrankiai, kokybės užtikrinimo įrankiai, artefaktų rinkėjai ir kt.) ir naudotojai (atsakingi asmenys), kuriems leidžiama juos inicijuoti.

In-toto stebi plano vykdymą, tikrindama, ar kiekvieną grandinės užduotį tinkamai atlieka tik įgalioti darbuotojai ir ar gaminio judėjimo metu nebuvo atlikta jokių neleistinų manipuliacijų.

Portieris

• Interneto svetainė: github.com/IBM/portieris
• Licencija: nemokama (Apache)

Portieris yra Kubernetes priėmimo kontrolierius; naudojamas turinio pasitikėjimui užtikrinti. Portieris naudoja serverį Notaras (apie jį rašėme pabaigoje šis straipsnis - apytiksliai vertimas) kaip tiesos šaltinis, patvirtinantis patikimus ir pasirašytus artefaktus (t. y. patvirtintus konteinerio vaizdus).

Kai „Kubernetes“ sukuriamas arba modifikuojamas darbo krūvis, „Portieris“ atsisiunčia prašomų sudėtinio rodinio vaizdų pasirašymo informaciją ir turinio pasitikėjimo politiką ir, jei reikia, atlieka JSON API objekto pakeitimus, kad paleistų pasirašytas tų vaizdų versijas.

Vault

• Interneto svetainė: www.vaultproject.io
• Licencija: nemokama (MPL)

Vault yra saugus sprendimas privačiai informacijai saugoti: slaptažodžiams, OAuth prieigos raktams, PKI sertifikatams, prieigos paskyroms, Kubernetes paslaptims ir kt. „Vault“ palaiko daugybę išplėstinių funkcijų, pvz., trumpalaikių saugos žetonų nuomą arba raktų kaitos organizavimą.

Naudojant „Helm“ diagramą, „Vault“ gali būti įdiegtas kaip naujas diegimas „Kubernetes“ klasteryje, naudojant „Consul“ kaip pagrindinę saugyklą. Jis palaiko vietinius „Kubernetes“ išteklius, tokius kaip „ServiceAccount“ prieigos raktai, ir netgi gali veikti kaip numatytoji „Kubernetes“ paslapčių saugykla.

Pastaba. vert.: Beje, kaip tik vakar bendrovė „HashiCorp“, kurianti „Vault“, paskelbė apie kai kuriuos „Vault“ naudojimo „Kubernetes“ patobulinimus, ypač jie yra susiję su „Helm“ diagrama. Daugiau skaitykite kūrėjų tinklaraštis.

„Kubernetes“ saugos auditas

Kube-suoliukas

• Interneto svetainė: github.com/aquasecurity/kube-bench
• Licencija: nemokama (Apache)

„Kube-bench“ yra „Go“ programa, kuri tikrina, ar „Kubernetes“ yra saugiai įdiegta, vykdydama testus iš sąrašo NVS Kubernetes etalonas.

„Kube-bench“ ieško nesaugių konfigūracijos nustatymų tarp klasterio komponentų (ir kt., API, valdiklio tvarkyklės ir kt.), abejotinų failų prieigos teisių, neapsaugotų paskyrų ar atvirų prievadų, išteklių kvotų, API iškvietimų skaičiaus ribojimo nustatymų, siekiant apsaugoti nuo DoS atakų. ir kt.

Būk medžiotojas

• Interneto svetainė: github.com/aquasecurity/kube-hunter
• Licencija: nemokama (Apache)

Kube-hunter ieško galimų pažeidžiamumų (tokių kaip nuotolinis kodo vykdymas arba duomenų atskleidimas) Kubernetes klasteriuose. „Kube-hunter“ galima paleisti kaip nuotolinį skaitytuvą – tokiu atveju jis įvertins klasterį trečiosios šalies užpuoliko požiūriu – arba kaip bloką klasterio viduje.

Išskirtinis „Kube-hunter“ bruožas yra „aktyvios medžioklės“ režimas, kurio metu jis ne tik praneša apie problemas, bet ir bando pasinaudoti tiksliniame klasteryje aptiktais pažeidžiamumais, kurie gali pakenkti jo veikimui. Taigi naudokite atsargiai!

Kubeaudit

• Interneto svetainė: github.com/Shopify/kubeaudit
• Licencija: nemokama (MIT)

„Kubeaudit“ yra konsolės įrankis, kuris iš pradžių buvo sukurtas „Shopify“, kad patikrintų „Kubernetes“ konfigūraciją dėl įvairių saugos problemų. Pavyzdžiui, tai padeda nustatyti konteinerius, kurie veikia neribotai, veikia kaip root, piktnaudžiauja privilegijomis arba naudoja numatytąją ServiceAccount.

Kubeaudit turi ir kitų įdomių funkcijų. Pavyzdžiui, jis gali analizuoti vietinius YAML failus, nustatyti konfigūracijos trūkumus, dėl kurių gali kilti saugos problemų, ir automatiškai juos ištaisyti.

Kubesec

• Interneto svetainė: kubesec.io
• Licencija: nemokama (Apache)

Kubesec yra specialus įrankis, nes jis tiesiogiai nuskaito YAML failus, apibūdinančius Kubernetes išteklius, ieškodamas silpnų parametrų, galinčių turėti įtakos saugumui.

Pavyzdžiui, jis gali aptikti perteklines privilegijas ir leidimus, suteiktus podeliui, paleisti konteinerį su root kaip numatytasis vartotojas, prisijungti prie pagrindinio kompiuterio tinklo vardų erdvės arba pavojingus prijungimus, pvz. /proc pagrindinio kompiuterio arba „Docker“ lizdas. Dar viena įdomi „Kubesec“ savybė – internete pasiekiama demonstracinė paslauga, į kurią galite įkelti YAML ir iš karto ją analizuoti.

Atviras politikos agentas

• Interneto svetainė: www.openpolicyagent.org
• Licencija: nemokama (Apache)

OPA (Open Policy Agent) koncepcija yra atsieti saugos politiką ir geriausią saugos praktiką nuo konkrečios vykdymo platformos: „Docker“, „Kubernetes“, „Mesosphere“, „OpenShift“ ar bet kurio jų derinio.

Pavyzdžiui, galite įdiegti OPA kaip „Kubernetes“ prieigos valdiklio užpakalinę programą, deleguodami jam saugumo sprendimus. Tokiu būdu OPA agentas gali patvirtinti, atmesti ir net modifikuoti užklausas, užtikrindamas, kad būtų laikomasi nurodytų saugos parametrų. OPA saugos politika yra parašyta jos patentuota DSL kalba Rego.

Pastaba. vert.: Daugiau apie OPA (ir SPIFFE) rašėme tai daiktai.

Išsamios komercinės priemonės Kubernetes saugumo analizei

Nusprendėme sukurti atskirą komercinių platformų kategoriją, nes jos paprastai apima kelias saugumo sritis. Bendrą idėją apie jų galimybes galite gauti iš lentelės:

* Išplėstinė ekspertizė ir pomirtinė analizė su pilna sistemos skambučių užgrobimas.

„Aqua Security“

• Interneto svetainė: www.aquasec.com
• Licencija: komercinė

Šis komercinis įrankis skirtas konteineriams ir debesų darbo krūviams. Tai suteikia:

• Vaizdo nuskaitymas integruotas su konteinerių registru arba CI/CD vamzdynu;
• Vykdymo trukmės apsauga su pakeitimų konteineriuose paieška ir kita įtartina veikla;
• Konteinerinė užkarda;
• Debesijos paslaugų sauga be serverio;
• Atitikties tikrinimas ir auditas kartu su įvykių registravimu.

Pastaba. vert.: Taip pat verta paminėti, kad yra vadinamas nemokamas produkto komponentas „MicroScanner“., kuri leidžia nuskaityti konteinerio vaizdus, ​​​​kurie nėra pažeidžiamumų. Pateiktas jo galimybių palyginimas su mokamomis versijomis šią lentelę.

Kapsulė 8

• Interneto svetainė: capsula8.com
• Licencija: komercinė

„Capsule8“ integruojasi į infrastruktūrą, įdiegdama detektorių vietiniame arba debesies „Kubernetes“ klasteryje. Šis detektorius renka pagrindinio kompiuterio ir tinklo telemetriją, susiejant ją su įvairių tipų atakomis.

Capsule8 komanda savo užduotį laiko ankstyvu atakų aptikimu ir prevencija naudojant naujus (0 dienų) pažeidžiamumų. „Capsule8“ gali atsisiųsti atnaujintas saugos taisykles tiesiai į detektorius, reaguodama į naujai aptiktas grėsmes ir programinės įrangos spragas.

Kavirinas

• Interneto svetainė: www.cavirin.com
• Licencija: komercinė

„Cavirin“ veikia kaip įmonės rangovas įvairioms agentūroms, susijusioms su saugos standartais. Jis gali ne tik nuskaityti vaizdus, ​​bet ir integruotis į CI/CD dujotiekį, blokuodamas nestandartinius vaizdus prieš jiems patenkant į uždaras saugyklas.

„Cavirin“ saugos rinkinys naudoja mašininį mokymąsi, kad įvertintų jūsų kibernetinio saugumo laikyseną, ir siūlo patarimus, kaip pagerinti saugumą ir atitikties saugos standartams.

„Google“ debesies saugos komandų centras

• Interneto svetainė: cloud.google.com/security-command-center
• Licencija: komercinė

Cloud Security Command Center padeda saugos komandoms rinkti duomenis, nustatyti grėsmes ir jas pašalinti, kol jos nepakenks įmonei.

Kaip rodo pavadinimas, „Google Cloud SCC“ yra vieningas valdymo pultas, galintis integruoti ir valdyti įvairias saugos ataskaitas, turto apskaitos variklius ir trečiųjų šalių saugos sistemas iš vieno centralizuoto šaltinio.

„Google Cloud SCC“ siūloma sąveiki API leidžia lengvai integruoti saugos įvykius, gaunamus iš įvairių šaltinių, pvz., „Sysdig Secure“ (debesyje naudojamų programų konteinerio sauga) arba „Falco“ (atvirojo kodo vykdymo laiko sauga).

Sluoksniuota įžvalga (kokybės)

• Interneto svetainė: layeredinsight.com
• Licencija: komercinė

Layered Insight (dabar „Qualys Inc“ dalis) yra pagrįsta „įterptosios saugos“ koncepcija. Nuskaitęs pradinį vaizdą, ar nėra pažeidžiamumų naudojant statistinę analizę ir CVE patikras, Layered Insight pakeičia jį instrumentiniu vaizdu, kuriame agentas yra dvejetainis.

Šiame agente yra vykdymo laiko saugos testai, skirti analizuoti konteinerių tinklo srautą, įvesties / išvesties srautus ir programų veiklą. Be to, jis gali atlikti papildomus saugumo patikrinimus, kuriuos nurodo infrastruktūros administratorius arba „DevOps“ komandos.

NeuVector

• Interneto svetainė: neuvector.com
• Licencija: komercinė

„NeuVector“ tikrina konteinerio saugą ir užtikrina apsaugą vykdymo metu, analizuodamas tinklo veiklą ir programos elgseną, sukurdamas individualų saugos profilį kiekvienam konteineriui. Jis taip pat gali blokuoti grėsmes savarankiškai, izoliuodamas įtartiną veiklą pakeisdamas vietines ugniasienės taisykles.

„NeuVector“ tinklo integracija, žinoma kaip „Security Mesh“, gali atlikti išsamią paketų analizę ir 7 sluoksnio filtravimą visoms tinklo jungtims paslaugų tinkle.

„StackRox“

• Interneto svetainė: www.stackrox.com
• Licencija: komercinė

„StackRox“ konteinerio saugos platforma siekia aprėpti visą „Kubernetes“ programų gyvavimo ciklą klasteryje. Kaip ir kitos šiame sąraše esančios komercinės platformos, „StackRox“ generuoja vykdymo laiko profilį pagal pastebėtą konteinerio elgseną ir automatiškai įspėja apie bet kokius nukrypimus.

Be to, „StackRox“ analizuoja „Kubernetes“ konfigūracijas naudodama „Kubernetes“ CIS ir kitas taisyklių knygas, kad įvertintų konteinerio atitiktį.

„Sysdig Secure“.

• Interneto svetainė: sysdig.com/products/secure
• Licencija: komercinė

„Sysdig Secure“ apsaugo programas per visą konteinerio ir „Kubernetes“ gyvavimo ciklą. Jis nuskaito vaizdus konteinerius, teikia veikimo laiko apsauga pagal mašininio mokymosi duomenis, atlieka kremą. kompetencija identifikuoti pažeidžiamumą, blokuoti grėsmes, stebėti nustatytų standartų laikymasis ir atlieka mikropaslaugų veiklos auditą.

„Sysdig Secure“ integruojasi su CI / CD įrankiais, tokiais kaip „Jenkins“, ir valdo iš „Docker“ registrų įkeltus vaizdus, ​​​​užkertant kelią pavojingų vaizdų atsiradimui gamyboje. Ji taip pat užtikrina visapusišką vykdymo laiką, įskaitant:

• ML pagrįstas vykdymo laiko profiliavimas ir anomalijų aptikimas;
• vykdymo politika, pagrįsta sistemos įvykiais, K8s audito API, bendrais bendruomenės projektais (FIM – failų vientisumo stebėjimas; šifravimo pakeitimas) ir sistema MITER ATT&CK;
• reagavimas į incidentus ir jų sprendimas.

Patikimas konteinerių saugumas

• Interneto svetainė: www.tenable.com/products/tenable-io/container-security
• Licencija: komercinė

Prieš atsirandant konteineriams, „Tenable“ pramonėje buvo plačiai žinoma kaip „Nessus“ – populiarios pažeidžiamumo paieškos ir saugumo audito įrankio – įmonė.

Tenable Container Security pasitelkia įmonės kompiuterių saugos žinias, kad integruotų CI/CD konvejerį su pažeidžiamumo duomenų bazėmis, specializuotais kenkėjiškų programų aptikimo paketais ir rekomendacijomis, kaip pašalinti saugumo grėsmes.

„Twistlock“ („Palo Alto Networks“)

• Interneto svetainė: www.twistlock.com
• Licencija: komercinė

„Twistlock“ reklamuoja save kaip platformą, orientuotą į debesijos paslaugas ir konteinerius. „Twistlock“ palaiko įvairius debesų tiekėjus (AWS, Azure, GCP), konteinerių organizatorius („Kubernetes“, „Mesospehere“, „OpenShift“, „Docker“), be serverio vykdymo laikus, tinklelio sistemas ir CI / CD įrankius.

Be įprastų įmonės lygio saugos metodų, tokių kaip CI/CD konvejerių integravimas arba vaizdų nuskaitymas, „Twistlock“ naudoja mašininį mokymąsi, kad sukurtų konkrečiam konteineriui būdingus elgesio modelius ir tinklo taisykles.

Prieš kurį laiką „Twistlock“ įsigijo „Palo Alto Networks“, kuriai priklauso projektai „Evident.io“ ir „RedLock“. Kol kas nežinoma, kaip tiksliai bus integruotos šios trys platformos PRISMA iš Palo Alto.

Padėkite sukurti geriausią Kubernetes saugos įrankių katalogą!

Stengiamės, kad šis katalogas būtų kuo išsamesnis, todėl mums reikia jūsų pagalbos! Susisiekite su mumis (@sysdig), jei turite galvoje puikų įrankį, kurį verta įtraukti į šį sąrašą, arba radote klaidą / pasenusią informaciją.

Taip pat galite užsiprenumeruoti mūsų mėnesinis naujienlaiškis su naujienomis iš vietinės debesies ekosistemos ir istorijomis apie įdomius projektus iš Kubernetes saugumo pasaulio.

PS iš vertėjo

Taip pat skaitykite mūsų tinklaraštyje:

• «„Kubernetes“ tinklo politikos įvadas saugos specialistams»;
• «„Docker“ ir „Kubernetes“ saugumui jautriose aplinkose»;
• «9 geriausios Kubernetes saugos praktikos»;
• «11 būdų (ne)tapti Kubernetes įsilaužimo auka»;
• «OPA ir SPIFFE yra du nauji CNCF projektai, skirti debesijos programų saugai".

Šaltinis: www.habr.com