33+ Kubernetes drošības rīki

Piezīme. tulk.: Ja vēlaties uzzināt par drošību uz Kubernetes balstītā infrastruktūrā, šis lieliskais Sysdig pārskats ir lielisks sākumpunkts, lai ātri apskatītu pašreizējos risinājumus. Tas ietver gan sarežģītas sistēmas no labi zināmiem tirgus spēlētājiem, gan daudz pieticīgākas utilītas, kas atrisina konkrētu problēmu. Un komentāros, kā vienmēr, priecāsimies dzirdēt par jūsu pieredzi šo rīku izmantošanā un redzēsim saites uz citiem projektiem.

Kubernetes drošības programmatūras produkti... to ir tik daudz, katram ir savi mērķi, darbības joma un licences.

Tāpēc mēs nolēmām izveidot šo sarakstu un iekļaut gan atvērtā pirmkoda projektus, gan komerciālas platformas no dažādiem piegādātājiem. Mēs ceram, ka tas palīdzēs jums noteikt tos, kas interesē visvairāk, un norādīs pareizajā virzienā, pamatojoties uz jūsu īpašajām Kubernetes drošības vajadzībām.

Kategorija

Lai sarakstā būtu vieglāk orientēties, rīki ir sakārtoti pēc galvenajām funkcijām un lietojumprogrammām. Tika iegūtas šādas sadaļas:

• Kubernetes attēlu skenēšana un statiskā analīze;
• Darblaika drošība;
• Kubernetes tīkla drošība;
• Attēlu izplatīšana un noslēpumu pārvaldība;
• Kubernetes drošības audits;
• Visaptveroši komerciālie produkti.

Sāksim pie lietas:

Kubernetes attēlu skenēšana

Enkurs

• Mājas lapa: anchore.com
• Licence: bezmaksas (Apache) un komerciāls piedāvājums

Anchore analizē konteinera attēlus un ļauj veikt drošības pārbaudes, pamatojoties uz lietotāja definētām politikām.

Papildus parastajai konteineru attēlu skenēšanai, lai atrastu zināmas ievainojamības no CVE datu bāzes, Anchore veic daudzas papildu pārbaudes kā daļu no savas skenēšanas politikas: pārbauda Dockerfile, akreditācijas datu noplūdes, izmantoto programmēšanas valodu pakotnes (npm, maven utt. .), programmatūras licences un daudz kas cits .

skaidrs

• Mājas lapa: coreos.com/clair (tagad Red Hat aizbildniecībā)
• Licence: bezmaksas (Apache)

Klēra bija viens no pirmajiem atvērtā koda projektiem attēlu skenēšanai. Tas ir plaši pazīstams kā drošības skeneris aiz Quay attēlu reģistra (arī no CoreOS - apm. tulkojums)Klēra spēj apkopot informāciju par vardarbīgiem uzbrukumiem (CVE) no dažādiem avotiem, tostarp CVE specifiskiem sarakstiem. Linux- drošības komandu uzturēto ievainojamību sadalījums Debian, Sarkanā cepure vai Ubuntu.

Atšķirībā no Anchore, Clair galvenokārt koncentrējas uz ievainojamību atrašanu un datu saskaņošanu ar CVE. Tomēr produkts piedāvā lietotājiem dažas iespējas paplašināt funkcijas, izmantojot spraudņu draiverus.

dagda

• Mājas lapa: github.com/eliasgranderubio/dagda
• Licence: bezmaksas (Apache)

Dagda veic konteineru attēlu statisku analīzi, lai noteiktu zināmās ievainojamības, Trojas zirgus, vīrusus, ļaunprātīgu programmatūru un citus draudus.

Divas ievērojamas iezīmes atšķir Dagdu no citiem līdzīgiem rīkiem:

• Tas lieliski integrējas ar ClamAV, kas darbojas ne tikai kā konteineru attēlu skenēšanas rīks, bet arī kā antivīruss.
• Nodrošina arī izpildlaika aizsardzību, saņemot reāllaika notikumus no Docker dēmona un integrējot ar Falco (Skatīt zemāk) lai apkopotu drošības notikumus, kamēr konteiners darbojas.

KubeXray

• Mājas lapa: github.com/jfrog/kubexray
• Licence: bezmaksas (Apache), taču nepieciešami dati no JFrog Xray (komerciāls produkts)

KubeXray klausās notikumus no Kubernetes API servera un izmanto metadatus no JFrog Xray, lai nodrošinātu, ka tiek palaisti tikai pašreizējai politikai atbilstošie aplikumi.

KubeXray ne tikai auditē jaunos vai atjauninātos konteinerus izvietošanā (līdzīgi kā Kubernetes uzņemšanas kontrolieris), bet arī dinamiski pārbauda, ​​vai darbojas konteineri atbilst jaunajām drošības politikām, noņemot resursus, kas atsaucas uz neaizsargātiem attēliem.

Snyk

• Mājas lapa: snyk.io
• Licence: bezmaksas (Apache) un komerciālās versijas

Snyk ir neparasts ievainojamības skeneris, jo tas ir īpaši paredzēts izstrādes procesam un tiek reklamēts kā "būtisks risinājums" izstrādātājiem.

Snyk izveido tieši savienojumu ar kodu krātuvēm, parsē projekta manifestu un analizē importēto kodu kopā ar tiešajām un netiešajām atkarībām. Snyk atbalsta daudzas populāras programmēšanas valodas un var identificēt slēptos licences riskus.

Sīkums

• Mājas lapa: github.com/knqyf263/trivy
• Licence: bezmaksas (AGPL)

Trivy ir vienkāršs, bet jaudīgs konteineru ievainojamības skeneris, kas viegli integrējas CI/CD konveijerā. Tās ievērojamā iezīme ir tā uzstādīšanas un darbības vienkāršība: lietojumprogramma sastāv no viena bināra, un tai nav nepieciešama datubāzes vai papildu bibliotēku instalēšana.

Trivy vienkāršības trūkums ir tāds, ka jums ir jāizdomā, kā parsēt un pārsūtīt rezultātus JSON formātā, lai citi Kubernetes drošības rīki varētu tos izmantot.

Darblaika drošība pakalpojumā Kubernetes

Falco

• Mājas lapa: falco.org
• Licence: bezmaksas (Apache)

Falco ir rīku komplekts mākoņa izpildlaika vides nodrošināšanai. Daļa no projektu saimes CNCF.

Sysdig rīku izmantošana darbam kodola līmenī Linux Izmantojot sistēmas izsaukumu profilēšanu un uzraudzību, Falco ļauj padziļināti izpētīt sistēmas darbību. Tā izpildlaika noteikumu dzinējs var atklāt aizdomīgas darbības lietojumprogrammās, konteineros, pamatā esošajā resursdatorā un Kubernetes orķestratorā.

Falco nodrošina pilnīgu caurspīdīgumu izpildlaikā un draudu noteikšanā, šiem nolūkiem izvietojot īpašus aģentus Kubernetes mezglos. Līdz ar to nav nepieciešams modificēt konteinerus, tajos ieviešot trešās puses kodu vai pievienojot blakusvāģa konteinerus.

Drošības sistēmas Linux izpildlaikam

Tie ir dzimtā valoda līdz pašai būtībai Linux Ietvari nav "Kubernetes drošības rīki" tradicionālajā izpratnē, taču tos ir vērts pieminēt, jo tie ir svarīgs elements izpildlaika drošības kontekstā, kas ir iekļauta Kubernetes Pod drošības politikā (PSP).

AppArmor pievieno drošības profilu procesiem, kas darbojas konteinerā, definējot failu sistēmas privilēģijas, tīkla piekļuves noteikumus, savienojot bibliotēkas utt. Šī ir sistēma, kuras pamatā ir obligātā piekļuves kontrole (MAC). Citiem vārdiem sakot, tas novērš aizliegtu darbību veikšanu.

Uzlabota drošība Linux (SELinux) ir paplašināts drošības modulis kodolā. Linux, dažos aspektos līdzīgs AppArmor un bieži tiek ar to salīdzināts. SELinux Tas pārspēj AppArmor jaudas, elastības un pielāgošanas iespēju ziņā. Tā trūkumi ietver ilgāku apguves līkni un paaugstinātu sarežģītību.

Seccomp un seccomp-bpf ļauj filtrēt sistēmas zvanus, bloķēt to izpildi, kas ir potenciāli bīstami bāzes OS un nav nepieciešami lietotāja lietojumprogrammu normālai darbībai. Seccomp savā ziņā līdzinās Falco, lai gan nepārzina konteineru specifiku.

Sysdig atvērtā koda

• Mājas lapa: www.sysdig.com/opensource
• Licence: bezmaksas (Apache)

Sysdig ir pilnīgs rīks analīzei, diagnostikai un kļūdu novēršanai. Linux-sistēmas (darbojas arī uz Windows и macOS, bet ar ierobežotu funkcionalitāti). To var izmantot detalizētas informācijas vākšanai, pārbaudei un kriminālistikai. (tiesu ekspertīze) bāzes sistēma un visi konteineri, kas tajā darbojas.

Sysdig arī sākotnēji atbalsta konteineru izpildlaikus un Kubernetes metadatus, pievienojot papildu dimensijas un etiķetes visai sistēmas darbības informācijai, ko tā apkopo. Ir vairāki veidi, kā analizēt Kubernetes klasteru, izmantojot Sysdig: varat veikt tveršanu laikā, izmantojot kubectl uztveršana vai palaidiet uz ncurses balstītu interaktīvu saskarni, izmantojot spraudni kubectl dig.

Kubernetes tīkla drošība

Aporeto

• Mājas lapa: www.aporeto.com
• Licence: komerciāla

Aporeto piedāvā "no tīkla un infrastruktūras atdalītu drošību". Tas nozīmē, ka Kubernetes pakalpojumi saņem ne tikai vietējo ID (t.i., Kubernetes ServiceAccount), bet arī universālo ID/pirkstu nospiedumu, ko var izmantot, lai droši un savstarpēji sazinātos ar jebkuru citu pakalpojumu, piemēram, OpenShift klasterī.

Aporeto spēj ģenerēt unikālu ID ne tikai Kubernetes/konteineriem, bet arī saimniekiem, mākoņa funkcijām un lietotājiem. Atkarībā no šiem identifikatoriem un administratora noteikto tīkla drošības noteikumu kopas sakari tiks atļauti vai bloķēti.

Calico

• Mājas lapa: www.projectcalico.org
• Licence: bezmaksas (Apache)

Calico parasti tiek izvietots konteineru orķestrētāja instalēšanas laikā, ļaujot izveidot virtuālu tīklu, kas savieno konteinerus. Papildus šai pamata tīkla funkcionalitātei Calico projekts darbojas ar Kubernetes tīkla politikām un savu tīkla drošības profilu komplektu, atbalsta galapunktu ACL (piekļuves kontroles sarakstus) un uz anotācijām balstītus tīkla drošības noteikumus ieejas un izejas trafikam.

ciliums

• Mājas lapa: www.cilium.io
• Licence: bezmaksas (Apache)

Cilium darbojas kā ugunsmūris konteineriem un nodrošina tīkla drošības funkcijas, kas ir pielāgotas Kubernetes un mikropakalpojumu darba slodzēm. Cilium izmanto jaunu kodolu tehnoloģiju. Linux ko sauc par BPF (Berkeley Packet Filter) datu filtrēšanai, uzraudzībai, pāradresēšanai un labošanai.

Cilium spēj izvietot tīkla piekļuves politikas, kuru pamatā ir konteineru ID, izmantojot Docker vai Kubernetes etiķetes un metadatus. Cilium arī saprot un filtrē dažādus 7. slāņa protokolus, piemēram, HTTP vai gRPC, ļaujot definēt REST zvanu kopu, kas tiks atļauta, piemēram, starp divām Kubernetes izvietošanām.

Istio

• Mājas lapa: istio.io
• Licence: bezmaksas (Apache)

Istio ir plaši pazīstams ar pakalpojumu tīkla paradigmas ieviešanu, izvietojot no platformas neatkarīgu vadības plakni un maršrutējot visu pārvaldīto pakalpojumu trafiku, izmantojot dinamiski konfigurējamus Envoy starpniekserverus. Istio izmanto šo uzlaboto visu mikropakalpojumu un konteineru skatu, lai ieviestu dažādas tīkla drošības stratēģijas.

Istio tīkla drošības iespējas ietver caurspīdīgu TLS šifrēšanu, lai automātiski jauninātu saziņu starp mikropakalpojumiem uz HTTPS, un patentētu RBAC identifikācijas un autorizācijas sistēmu, lai atļautu/liegtu saziņu starp dažādām klastera darba slodzēm.

Piezīme. tulk.: Lai uzzinātu vairāk par Istio iespējām, kas vērstas uz drošību, izlasiet Šis raksts.

Tīģera

• Mājas lapa: www.tigera.io
• Licence: komerciāla

Šis risinājums, ko sauc par “Kubernetes ugunsmūri”, uzsver nulles uzticamības pieeju tīkla drošībai.

Līdzīgi kā citi vietējie Kubernetes tīkla risinājumi, Tigera paļaujas uz metadatiem, lai identificētu dažādus pakalpojumus un objektus klasterī, un nodrošina izpildlaika problēmu noteikšanu, nepārtrauktu atbilstības pārbaudi un tīkla redzamību vairāku mākoņu vai hibrīda monolīta konteineru infrastruktūrai.

Trireme

• Mājas lapa: www.aporeto.com/opensource
• Licence: bezmaksas (Apache)

Trireme-Kubernetes ir vienkārša un tieša Kubernetes tīkla politikas specifikācijas ieviešana. Tās ievērojamākā iezīme ir tā, ka atšķirībā no līdzīgiem Kubernetes tīkla drošības produktiem tai nav nepieciešama centrālā vadības plakne, lai koordinētu tīklu. Tas padara risinājumu viegli mērogojamu. Trireme to panāk, instalējot aģentu katrā mezglā, kas tieši izveido savienojumu ar TCP/IP-resursdatora kaudze.

Attēlu izplatīšana un noslēpumu pārvaldība

Grafeas

• Mājas lapa: grafeas.io
• Licence: bezmaksas (Apache)

Grafeas ir atvērtā koda API programmatūras piegādes ķēdes auditēšanai un pārvaldībai. Pamata līmenī Grafeas ir rīks metadatu un revīzijas konstatējumu apkopošanai. To var izmantot, lai izsekotu atbilstību drošības paraugpraksei organizācijā.

Šis centralizētais patiesības avots palīdz atbildēt uz tādiem jautājumiem kā:

• Kas savāca un parakstīja konkrēto konteineru?
• Vai tas ir izturējis visas drošības politikas pārbaudes un pārbaudes? Kad? Kādi bija rezultāti?
• Kurš to izvietoja ražošanā? Kādi konkrēti parametri tika izmantoti izvietošanas laikā?

In-toto

• Mājas lapa: in-toto.github.io
• Licence: bezmaksas (Apache)

In-toto ir sistēma, kas izstrādāta, lai nodrošinātu visas programmatūras piegādes ķēdes integritāti, autentifikāciju un auditu. Izvietojot In-toto infrastruktūrā, vispirms tiek definēts plāns, kas apraksta dažādus darbības posmus (repozitorijs, CI/CD rīki, kvalitātes nodrošināšanas rīki, artefaktu savācēji utt.) un lietotājus (atbildīgās personas), kuriem ir atļauts iniciēt tos.

In-toto uzrauga plāna izpildi, pārbaudot, vai katru ķēdes uzdevumu pareizi veic tikai pilnvarots personāls un vai pārvietošanas laikā ar produktu nav veiktas nesankcionētas manipulācijas.

Portieris

• Mājas lapa: github.com/IBM/portieris
• Licence: bezmaksas (Apache)

Portieris ir Kubernetes uzņemšanas kontrolieris; izmanto, lai īstenotu satura uzticamības pārbaudes. Portieris izmanto serveri Notārs (mēs par viņu rakstījām beigās no šī raksta Sākot no apm. tulkojums) kā patiesības avotu, lai apstiprinātu uzticamus un parakstītus artefaktus (t.i., apstiprinātos konteinera attēlus).

Kad pakalpojumā Kubernetes tiek izveidota vai pārveidota darba slodze, Portieris lejupielādē parakstīšanas informāciju un satura uzticamības politiku pieprasītajiem konteinera attēliem un, ja nepieciešams, veic tūlītējas izmaiņas JSON API objektā, lai palaistu šo attēlu parakstītās versijas.

Velvēt

• Mājas lapa: www.vaultproject.io
• Licence: bezmaksas (MPL)

Vault ir drošs risinājums privātas informācijas glabāšanai: paroles, OAuth marķieri, PKI sertifikāti, piekļuves konti, Kubernetes noslēpumi utt. Vault atbalsta daudzas uzlabotas funkcijas, piemēram, īslaicīgu drošības marķieru nomu vai atslēgu rotācijas organizēšanu.

Izmantojot Helm diagrammu, Vault var izvietot kā jaunu izvietošanu Kubernetes klasterī ar Consul kā aizmugursistēmas krātuvi. Tas atbalsta vietējos Kubernetes resursus, piemēram, ServiceAccount marķierus, un var pat darboties kā Kubernetes noslēpumu noklusējuma krātuve.

Piezīme. tulk.: Starp citu, tieši vakar uzņēmums HashiCorp, kas izstrādā Vault, paziņoja par dažiem uzlabojumiem Vault izmantošanā Kubernetes, un jo īpaši tie attiecas uz Helm diagrammu. Vairāk lasiet sadaļā izstrādātāju emuārs.

Kubernetes drošības audits

Kube-sols

• Mājas lapa: github.com/aquasecurity/kube-bench
• Licence: bezmaksas (Apache)

Kube-bench ir Go lietojumprogramma, kas pārbauda, ​​vai Kubernetes ir droši izvietots, izpildot testus no saraksta NVS Kubernetes etalons.

Kube-bench meklē nedrošus konfigurācijas iestatījumus starp klastera komponentiem (uc, API, kontrollera pārvaldnieks utt.), apšaubāmas failu piekļuves tiesības, neaizsargātus kontus vai atvērtus portus, resursu kvotas, iestatījumus API zvanu skaita ierobežošanai, lai aizsargātu pret DoS uzbrukumiem. utt.

Kube-mednieks

• Mājas lapa: github.com/aquasecurity/kube-hunter
• Licence: bezmaksas (Apache)

Kube-hunter meklē iespējamās ievainojamības (piemēram, attālināta koda izpilde vai datu izpaušana) Kubernetes klasteros. Kube-hunter var palaist kā attālo skeneri — tādā gadījumā tas novērtēs kopu no trešās puses uzbrucēja viedokļa — vai kā podziņu klastera iekšpusē.

Kube-hunter atšķirīgā iezīme ir “aktīvā medību” režīms, kura laikā tas ne tikai ziņo par problēmām, bet arī mēģina izmantot mērķa klasterī atklātās ievainojamības, kas potenciāli varētu kaitēt tā darbībai. Tāpēc izmantojiet piesardzīgi!

Kubeaudit

• Mājas lapa: github.com/Shopify/kubeaudit
• Licence: bezmaksas (MIT)

Kubeaudit ir konsoles rīks, kas sākotnēji tika izstrādāts Shopify, lai pārbaudītu Kubernetes konfigurāciju dažādām drošības problēmām. Piemēram, tas palīdz identificēt konteinerus, kas darbojas neierobežoti, darbojas kā root, ļaunprātīgi izmanto privilēģijas vai izmanto noklusējuma ServiceAccount.

Kubeaudit ir citas interesantas funkcijas. Piemēram, tā var analizēt vietējos YAML failus, noteikt konfigurācijas trūkumus, kas var izraisīt drošības problēmas, un automātiski tos novērst.

Kubesec

• Mājas lapa: kubesec.io
• Licence: bezmaksas (Apache)

Kubesec ir īpašs rīks, jo tas tieši skenē YAML failus, kas apraksta Kubernetes resursus, meklējot vājus parametrus, kas varētu ietekmēt drošību.

Piemēram, tas var atklāt pārmērīgas privilēģijas un atļaujas, kas piešķirtas podam, konteinera palaišanu ar root kā noklusējuma lietotāju, savienojumu ar resursdatora tīkla nosaukumvietu vai bīstamus stiprinājumus, piemēram, /proc resursdatora vai Docker ligzda. Vēl viena interesanta Kubesec funkcija ir tiešsaistē pieejamais demonstrācijas pakalpojums, kurā varat augšupielādēt YAML un nekavējoties to analizēt.

Atvērts politikas aģents

• Mājas lapa: www.openpolicyagent.org
• Licence: bezmaksas (Apache)

OPA (Open Policy Agent) koncepcija ir drošības politikas un drošības labākās prakses atdalīšana no noteiktas izpildlaika platformas: Docker, Kubernetes, Mesosphere, OpenShift vai jebkuras to kombinācijas.

Piemēram, varat izvietot OPA kā aizmugursistēmu Kubernetes piekļuves kontrolierim, deleģējot tam drošības lēmumus. Tādā veidā OPA aģents var pārbaudīt, noraidīt un pat modificēt pieprasījumus lidojumā, nodrošinot noteikto drošības parametru ievērošanu. OPA drošības politikas ir uzrakstītas tās patentētajā DSL valodā Rego.

Piezīme. tulk.: Mēs rakstījām vairāk par OPA (un SPIFFE). šo materiālu.

Visaptveroši komerciāli rīki Kubernetes drošības analīzei

Mēs nolēmām izveidot atsevišķu kategoriju komerciālām platformām, jo ​​tās parasti aptver vairākas drošības jomas. Vispārēju priekšstatu par viņu iespējām var iegūt no tabulas:

* Padziļināta pārbaude un pēcnāves analīze ar pilnīgu sistēmas zvanu nolaupīšana.

Ūdens drošība

• Mājas lapa: www.aquasec.com
• Licence: komerciāla

Šis komerciālais rīks ir paredzēts konteineriem un mākoņa darba slodzēm. Tas nodrošina:

• Attēlu skenēšana integrēta konteinera reģistrā vai CI/CD konveijerā;
• Runtime aizsardzība ar izmaiņu meklēšanu konteineros un citas aizdomīgas darbības;
• Konteineru vietējais ugunsmūris;
• Drošība bezserveriem mākoņpakalpojumos;
• Atbilstības pārbaude un audits apvienojumā ar notikumu reģistrēšanu.

Piezīme. tulk.: Ir arī vērts atzīmēt, ka ir saucamā produkta bezmaksas sastāvdaļa Mikroskeneris, kas ļauj skenēt konteinera attēlus, lai noteiktu ievainojamības. Ir parādīts tā iespēju salīdzinājums ar maksas versijām šajā tabulā.

Kapsula 8

• Mājas lapa: capsula8.com
• Licence: komerciāla

Capsule8 integrējas infrastruktūrā, instalējot detektoru vietējā vai mākoņa Kubernetes klasterī. Šis detektors apkopo resursdatora un tīkla telemetriju, korelē to ar dažāda veida uzbrukumiem.

Capsule8 komanda savu uzdevumu uzskata par uzbrukumu agrīnu atklāšanu un novēršanu, izmantojot jaunus (0 dienu) ievainojamības. Capsule8 var lejupielādēt atjauninātos drošības noteikumus tieši detektoros, reaģējot uz jaunatklātiem draudiem un programmatūras ievainojamībām.

Kavirīns

• Mājas lapa: www.cavirin.com
• Licence: komerciāla

Cavirin darbojas kā uzņēmuma puses darbuzņēmējs dažādām aģentūrām, kas saistītas ar drošības standartiem. Tas var ne tikai skenēt attēlus, bet arī integrēties CI/CD konveijerā, bloķējot nestandarta attēlus, pirms tie nonāk slēgtās krātuvēs.

Cavirin drošības komplekts izmanto mašīnmācīšanos, lai novērtētu jūsu kiberdrošības stāvokli, piedāvājot padomus, kā uzlabot drošību un uzlabot atbilstību drošības standartiem.

Google mākoņa drošības komandu centrs

• Mājas lapa: cloud.google.com/security-command-center
• Licence: komerciāla

Cloud Security Command Center palīdz drošības komandām apkopot datus, identificēt draudus un novērst tos, pirms tie kaitē uzņēmumam.

Kā norāda nosaukums, Google Cloud SCC ir vienots vadības panelis, kas var integrēt un pārvaldīt dažādus drošības pārskatus, līdzekļu uzskaites programmas un trešo pušu drošības sistēmas no viena centralizēta avota.

Google Cloud SCC piedāvātā sadarbspējīgā API ļauj viegli integrēt drošības notikumus, kas nāk no dažādiem avotiem, piemēram, Sysdig Secure (konteinera drošība mākoņa lietojumprogrammām) vai Falco (atvērtā koda izpildlaika drošība).

Slāņains ieskats (kvalitātes)

• Mājas lapa: layeredinsight.com
• Licence: komerciāla

Layered Insight (tagad daļa no Qualys Inc) ir balstīta uz “iegultās drošības” koncepciju. Pēc sākotnējā attēla skenēšanas, lai noteiktu ievainojamības, izmantojot statistisko analīzi un CVE pārbaudes, Layered Insight to aizstāj ar instrumentālu attēlu, kurā aģents ir iekļauts kā binārs.

Šajā aģentā ir ietverti izpildlaika drošības testi, lai analizētu konteineru tīkla trafiku, I/O plūsmas un lietojumprogrammu darbību. Turklāt tas var veikt papildu drošības pārbaudes, ko norādījis infrastruktūras administrators vai DevOps komandas.

NeuVector

• Mājas lapa: neuvector.com
• Licence: komerciāla

NeuVector pārbauda konteinera drošību un nodrošina izpildlaika aizsardzību, analizējot tīkla darbību un lietojumprogrammu uzvedību, izveidojot katram konteineram individuālu drošības profilu. Tas var arī bloķēt draudus atsevišķi, izolējot aizdomīgas darbības, mainot vietējos ugunsmūra noteikumus.

NeuVector tīkla integrācija, kas pazīstama kā Security Mesh, spēj veikt dziļu pakešu analīzi un 7. slāņa filtrēšanu visiem tīkla savienojumiem pakalpojumu tīklā.

StackRox

• Mājas lapa: www.stackrox.com
• Licence: komerciāla

StackRox konteinera drošības platforma cenšas aptvert visu Kubernetes lietojumprogrammu dzīves ciklu klasterī. Tāpat kā citas komerciālās platformas šajā sarakstā, StackRox ģenerē izpildlaika profilu, pamatojoties uz novēroto konteinera darbību, un automātiski izsauc trauksmi par jebkādām novirzēm.

Turklāt StackRox analizē Kubernetes konfigurācijas, izmantojot Kubernetes CIS un citas noteikumu grāmatas, lai novērtētu konteinera atbilstību.

Sysdig Secure

• Mājas lapa: sysdig.com/products/secure
• Licence: komerciāla

Sysdig Secure aizsargā lietojumprogrammas visā konteinera un Kubernetes dzīves ciklā. Viņš skenē attēlus konteineri, nodrošina izpildlaika aizsardzība saskaņā ar mašīnmācīšanās datiem, veic krēmu. zināšanas, lai identificētu ievainojamības, bloķē draudus, uzrauga atbilstība noteiktajiem standartiem un auditē darbību mikropakalpojumos.

Sysdig Secure integrējas ar CI/CD rīkiem, piemēram, Jenkins, un kontrolē no Docker reģistriem ielādētos attēlus, novēršot bīstamu attēlu parādīšanos ražošanā. Tas arī nodrošina visaptverošu izpildlaika drošību, tostarp:

• Uz ML balstīta izpildlaika profilēšana un anomāliju noteikšana;
• izpildlaika politikas, kuru pamatā ir sistēmas notikumi, K8s-audit API, kopīgi kopienas projekti (FIM — failu integritātes uzraudzība; šifrēšana) un ietvars MITER AT&CK;
• reaģēšana un incidentu risināšana.

Noturīga konteineru drošība

• Mājas lapa: www.tenable.com/products/tenable-io/container-security
• Licence: komerciāla

Pirms konteineru parādīšanās Tenable bija plaši pazīstams šajā nozarē kā uzņēmums Nessus, kas ir populārs ievainojamību meklēšanas un drošības audita rīks.

Tenable Container Security izmanto uzņēmuma datordrošības zināšanas, lai integrētu CI/CD cauruļvadu ar ievainojamību datu bāzēm, specializētām ļaunprātīgas programmatūras noteikšanas pakotnēm un ieteikumiem drošības apdraudējumu novēršanai.

Twistlock (Palo Alto Networks)

• Mājas lapa: www.twistlock.com
• Licence: komerciāla

Twistlock reklamē sevi kā platformu, kas koncentrējas uz mākoņpakalpojumiem un konteineriem. Twistlock atbalsta dažādus mākoņpakalpojumu sniedzējus (AWS, Azure, GCP), konteineru organizētājus (Kubernetes, Mesospehere, OpenShift, Docker), bezserveru izpildlaikus, tīkla ietvarus un CI/CD rīkus.

Papildus tradicionālajām uzņēmuma līmeņa drošības metodēm, piemēram, CI/CD konveijera integrācijai vai attēlu skenēšanai, Twistlock izmanto mašīnmācīšanos, lai ģenerētu konteineram raksturīgus uzvedības modeļus un tīkla noteikumus.

Pirms kāda laika Twistlock iegādājās Palo Alto Networks, kam pieder projekti Evident.io un RedLock. Pagaidām nav zināms, kā tieši šīs trīs platformas tiks integrētas PRISMA no Palo Alto.

Palīdziet izveidot labāko Kubernetes drošības rīku katalogu!

Mēs cenšamies padarīt šo katalogu pēc iespējas pilnīgāku, un šim nolūkam mums ir nepieciešama jūsu palīdzība! Sazinies ar mums (@sysdig), ja jums ir padomā kāds foršs rīks, kuru ir vērts iekļaut šajā sarakstā, vai atrodat kļūdu/novecojušu informāciju.

Varat arī abonēt mūsu ikmēneša biļetens ar ziņām no mākoņu ekosistēmas un stāstiem par interesantiem projektiem no Kubernetes drošības pasaules.

PS no tulka

Lasi arī mūsu emuārā:

• «Ievads par Kubernetes tīkla politikām drošības profesionāļiem";
• «Docker un Kubernetes drošības ziņā jutīgās vidēs";
• «9 Kubernetes drošības paraugprakse";
• «11 veidi, kā (ne) kļūt par Kubernetes uzlaušanas upuri";
• «OPA un SPIFFE ir divi jauni CNCF projekti mākoņa lietojumprogrammu drošībai'.

Avots: www.habr.com