PiezÄ«me. tulk.: Ja vÄlaties uzzinÄt par droŔību uz Kubernetes balstÄ«tÄ infrastruktÅ«rÄ, Å”is lieliskais Sysdig pÄrskats ir lielisks sÄkumpunkts, lai Ätri apskatÄ«tu paÅ”reizÄjos risinÄjumus. Tas ietver gan sarežģītas sistÄmas no labi zinÄmiem tirgus spÄlÄtÄjiem, gan daudz pieticÄ«gÄkas utilÄ«tas, kas atrisina konkrÄtu problÄmu. Un komentÄros, kÄ vienmÄr, priecÄsimies dzirdÄt par jÅ«su pieredzi Å”o rÄ«ku izmantoÅ”anÄ un redzÄsim saites uz citiem projektiem.
Kubernetes droŔības programmatÅ«ras produkti... to ir tik daudz, katram ir savi mÄrÄ·i, darbÄ«bas joma un licences.
TÄpÄc mÄs nolÄmÄm izveidot Å”o sarakstu un iekļaut gan atvÄrtÄ pirmkoda projektus, gan komerciÄlas platformas no dažÄdiem piegÄdÄtÄjiem. MÄs ceram, ka tas palÄ«dzÄs jums noteikt tos, kas interesÄ visvairÄk, un norÄdÄ«s pareizajÄ virzienÄ, pamatojoties uz jÅ«su Ä«paÅ”ajÄm Kubernetes droŔības vajadzÄ«bÄm.
Kategorija
Lai sarakstÄ bÅ«tu vieglÄk orientÄties, rÄ«ki ir sakÄrtoti pÄc galvenajÄm funkcijÄm un lietojumprogrammÄm. Tika iegÅ«tas Å”Ädas sadaļas:
Kubernetes attÄlu skenÄÅ”ana un statiskÄ analÄ«ze;
Licence: bezmaksas (Apache) un komerciÄls piedÄvÄjums
Anchore analizÄ konteinera attÄlus un ļauj veikt droŔības pÄrbaudes, pamatojoties uz lietotÄja definÄtÄm politikÄm.
Papildus parastajai konteineru attÄlu skenÄÅ”anai, lai atrastu zinÄmas ievainojamÄ«bas no CVE datu bÄzes, Anchore veic daudzas papildu pÄrbaudes kÄ daļu no savas skenÄÅ”anas politikas: pÄrbauda Dockerfile, akreditÄcijas datu noplÅ«des, izmantoto programmÄÅ”anas valodu pakotnes (npm, maven utt. .), programmatÅ«ras licences un daudz kas cits .
KlÄra bija viens no pirmajiem atvÄrtÄ koda projektiem attÄlu skenÄÅ”anai. Tas ir plaÅ”i pazÄ«stams kÄ droŔības skeneris aiz Quay attÄlu reÄ£istra (arÄ« no CoreOS - apm. tulkojums). KlÄra var apkopot CVE informÄciju no dažÄdiem avotiem, tostarp Linux izplatÄ«Å”anai raksturÄ«go ievainojamÄ«bu sarakstiem, ko uztur Debian, Red Hat vai Ubuntu droŔības komandas.
AtŔķirÄ«bÄ no Anchore, Clair galvenokÄrt koncentrÄjas uz ievainojamÄ«bu atraÅ”anu un datu saskaÅoÅ”anu ar CVE. TomÄr produkts piedÄvÄ lietotÄjiem dažas iespÄjas paplaÅ”inÄt funkcijas, izmantojot spraudÅu draiverus.
Dagda veic konteineru attÄlu statisku analÄ«zi, lai noteiktu zinÄmÄs ievainojamÄ«bas, Trojas zirgus, vÄ«rusus, ļaunprÄtÄ«gu programmatÅ«ru un citus draudus.
Divas ievÄrojamas iezÄ«mes atŔķir Dagdu no citiem lÄ«dzÄ«giem rÄ«kiem:
Tas lieliski integrÄjas ar ClamAV, kas darbojas ne tikai kÄ konteineru attÄlu skenÄÅ”anas rÄ«ks, bet arÄ« kÄ antivÄ«russ.
NodroÅ”ina arÄ« izpildlaika aizsardzÄ«bu, saÅemot reÄllaika notikumus no Docker dÄmona un integrÄjot ar Falco (SkatÄ«t zemÄk) lai apkopotu droŔības notikumus, kamÄr konteiners darbojas.
Licence: bezmaksas (Apache), taÄu nepiecieÅ”ami dati no JFrog Xray (komerciÄls produkts)
KubeXray klausÄs notikumus no Kubernetes API servera un izmanto metadatus no JFrog Xray, lai nodroÅ”inÄtu, ka tiek palaisti tikai paÅ”reizÄjai politikai atbilstoÅ”ie aplikumi.
KubeXray ne tikai auditÄ jaunos vai atjauninÄtos konteinerus izvietoÅ”anÄ (lÄ«dzÄ«gi kÄ Kubernetes uzÅemÅ”anas kontrolieris), bet arÄ« dinamiski pÄrbauda, āāvai darbojas konteineri atbilst jaunajÄm droŔības politikÄm, noÅemot resursus, kas atsaucas uz neaizsargÄtiem attÄliem.
Licence: bezmaksas (Apache) un komerciÄlÄs versijas
Snyk ir neparasts ievainojamÄ«bas skeneris, jo tas ir Ä«paÅ”i paredzÄts izstrÄdes procesam un tiek reklamÄts kÄ "bÅ«tisks risinÄjums" izstrÄdÄtÄjiem.
Snyk izveido tieÅ”i savienojumu ar kodu krÄtuvÄm, parsÄ projekta manifestu un analizÄ importÄto kodu kopÄ ar tieÅ”ajÄm un netieÅ”ajÄm atkarÄ«bÄm. Snyk atbalsta daudzas populÄras programmÄÅ”anas valodas un var identificÄt slÄptos licences riskus.
Trivy ir vienkÄrÅ”s, bet jaudÄ«gs konteineru ievainojamÄ«bas skeneris, kas viegli integrÄjas CI/CD konveijerÄ. TÄs ievÄrojamÄ iezÄ«me ir tÄ uzstÄdÄ«Å”anas un darbÄ«bas vienkÄrŔība: lietojumprogramma sastÄv no viena binÄra, un tai nav nepiecieÅ”ama datubÄzes vai papildu bibliotÄku instalÄÅ”ana.
Trivy vienkÄrŔības trÅ«kums ir tÄds, ka jums ir jÄizdomÄ, kÄ parsÄt un pÄrsÅ«tÄ«t rezultÄtus JSON formÄtÄ, lai citi Kubernetes droŔības rÄ«ki varÄtu tos izmantot.
Falco ir rÄ«ku komplekts mÄkoÅa izpildlaika vides nodroÅ”inÄÅ”anai. Daļa no projektu saimes CNCF.
Izmantojot Sysdig Linux kodola lÄ«meÅa rÄ«kus un sistÄmas zvanu profilÄÅ”anu, Falco ļauj dziļi ienirt sistÄmas darbÄ«bÄ. TÄs izpildlaika noteikumu dzinÄjs spÄj noteikt aizdomÄ«gas darbÄ«bas lietojumprogrammÄs, konteineros, pamatÄ esoÅ”ajÄ saimniekdatorÄ un Kubernetes orÄ·estrÄtÄjÄ.
Falco nodroÅ”ina pilnÄ«gu caurspÄ«dÄ«gumu izpildlaikÄ un draudu noteikÅ”anÄ, Å”iem nolÅ«kiem izvietojot Ä«paÅ”us aÄ£entus Kubernetes mezglos. LÄ«dz ar to nav nepiecieÅ”ams modificÄt konteinerus, tajos ievieÅ”ot treÅ”Äs puses kodu vai pievienojot blakusvÄÄ£a konteinerus.
Linux droŔības sistÄmas izpildlaikam
Å Ä«s Linux kodola vietÄjÄs sistÄmas nav āKubernetes droŔības rÄ«kiā tradicionÄlajÄ izpratnÄ, taÄu tÄs ir vÄrts pieminÄt, jo tÄs ir svarÄ«gs elements izpildlaika droŔības kontekstÄ, kas ir iekļauta Kubernetes Pod droŔības politikÄ (PSP).
AppArmor pievieno droŔības profilu procesiem, kas darbojas konteinerÄ, definÄjot failu sistÄmas privilÄÄ£ijas, tÄ«kla piekļuves noteikumus, savienojot bibliotÄkas utt. Å Ä« ir sistÄma, kuras pamatÄ ir obligÄtÄ piekļuves kontrole (MAC). Citiem vÄrdiem sakot, tas novÄrÅ” aizliegtu darbÄ«bu veikÅ”anu.
Linux ar uzlabotu droŔību (SELinux) ir uzlabots droŔības modulis Linux kodolÄ, dažos aspektos lÄ«dzÄ«gs AppArmor un bieži ar to salÄ«dzinÄms. SELinux ir pÄrÄks par AppArmor jaudas, elastÄ«bas un pielÄgoÅ”anas ziÅÄ. TÄs trÅ«kumi ir ilga mÄcÄ«Å”anÄs lÄ«kne un palielinÄta sarežģītÄ«ba.
Seccomp un seccomp-bpf ļauj filtrÄt sistÄmas zvanus, bloÄ·Ät to izpildi, kas ir potenciÄli bÄ«stami bÄzes OS un nav nepiecieÅ”ami lietotÄja lietojumprogrammu normÄlai darbÄ«bai. Seccomp savÄ ziÅÄ lÄ«dzinÄs Falco, lai gan nepÄrzina konteineru specifiku.
Sysdig ir pilnÄ«gs rÄ«ks Linux sistÄmu analÄ«zei, diagnostikai un atkļūdoÅ”anai (darbojas arÄ« operÄtÄjsistÄmÄs Windows un macOS, bet ar ierobežotÄm funkcijÄm). To var izmantot detalizÄtas informÄcijas vÄkÅ”anai, pÄrbaudei un tiesu ekspertÄ«zes analÄ«zei. (tiesu ekspertÄ«ze) bÄzes sistÄma un visi konteineri, kas tajÄ darbojas.
Sysdig arÄ« sÄkotnÄji atbalsta konteineru izpildlaikus un Kubernetes metadatus, pievienojot papildu dimensijas un etiÄ·etes visai sistÄmas darbÄ«bas informÄcijai, ko tÄ apkopo. Ir vairÄki veidi, kÄ analizÄt Kubernetes klasteru, izmantojot Sysdig: varat veikt tverÅ”anu laikÄ, izmantojot kubectl uztverÅ”ana vai palaidiet uz ncurses balstÄ«tu interaktÄ«vu saskarni, izmantojot spraudni kubectl dig.
Aporeto piedÄvÄ "no tÄ«kla un infrastruktÅ«ras atdalÄ«tu droŔību". Tas nozÄ«mÄ, ka Kubernetes pakalpojumi saÅem ne tikai vietÄjo ID (t.i., Kubernetes ServiceAccount), bet arÄ« universÄlo ID/pirkstu nospiedumu, ko var izmantot, lai droÅ”i un savstarpÄji sazinÄtos ar jebkuru citu pakalpojumu, piemÄram, OpenShift klasterÄ«.
Aporeto spÄj Ä£enerÄt unikÄlu ID ne tikai Kubernetes/konteineriem, bet arÄ« saimniekiem, mÄkoÅa funkcijÄm un lietotÄjiem. AtkarÄ«bÄ no Å”iem identifikatoriem un administratora noteikto tÄ«kla droŔības noteikumu kopas sakari tiks atļauti vai bloÄ·Äti.
Calico parasti tiek izvietots konteineru orÄ·estrÄtÄja instalÄÅ”anas laikÄ, ļaujot izveidot virtuÄlu tÄ«klu, kas savieno konteinerus. Papildus Å”ai pamata tÄ«kla funkcionalitÄtei Calico projekts darbojas ar Kubernetes tÄ«kla politikÄm un savu tÄ«kla droŔības profilu komplektu, atbalsta galapunktu ACL (piekļuves kontroles sarakstus) un uz anotÄcijÄm balstÄ«tus tÄ«kla droŔības noteikumus ieejas un izejas trafikam.
Cilium darbojas kÄ konteineru ugunsmÅ«ris un nodroÅ”ina tÄ«kla droŔības lÄ«dzekļus, kas sÄkotnÄji pielÄgoti Kubernetes un mikropakalpojumu darba slodzÄm. Cilium izmanto jaunu Linux kodola tehnoloÄ£iju, ko sauc par BPF (Berkeley Packet Filter), lai filtrÄtu, pÄrraudzÄ«tu, novirzÄ«tu un labotu datus.
Cilium spÄj izvietot tÄ«kla piekļuves politikas, kuru pamatÄ ir konteineru ID, izmantojot Docker vai Kubernetes etiÄ·etes un metadatus. Cilium arÄ« saprot un filtrÄ dažÄdus 7. slÄÅa protokolus, piemÄram, HTTP vai gRPC, ļaujot definÄt REST zvanu kopu, kas tiks atļauta, piemÄram, starp divÄm Kubernetes izvietoÅ”anÄm.
Istio ir plaÅ”i pazÄ«stams ar pakalpojumu tÄ«kla paradigmas ievieÅ”anu, izvietojot no platformas neatkarÄ«gu vadÄ«bas plakni un marÅ”rutÄjot visu pÄrvaldÄ«to pakalpojumu trafiku, izmantojot dinamiski konfigurÄjamus Envoy starpniekserverus. Istio izmanto Å”o uzlaboto visu mikropakalpojumu un konteineru skatu, lai ieviestu dažÄdas tÄ«kla droŔības stratÄÄ£ijas.
Istio tÄ«kla droŔības iespÄjas ietver caurspÄ«dÄ«gu TLS Å”ifrÄÅ”anu, lai automÄtiski jauninÄtu saziÅu starp mikropakalpojumiem uz HTTPS, un patentÄtu RBAC identifikÄcijas un autorizÄcijas sistÄmu, lai atļautu/liegtu saziÅu starp dažÄdÄm klastera darba slodzÄm.
PiezÄ«me. tulk.: Lai uzzinÄtu vairÄk par Istio iespÄjÄm, kas vÄrstas uz droŔību, izlasiet Å is raksts.
Trireme-Kubernetes ir vienkÄrÅ”a un vienkÄrÅ”a Kubernetes tÄ«kla politiku specifikÄcijas ievieÅ”ana. IevÄrojamÄkÄ iezÄ«me ir tÄ, ka atŔķirÄ«bÄ no lÄ«dzÄ«giem Kubernetes tÄ«kla droŔības produktiem tam nav nepiecieÅ”ama centrÄlÄ vadÄ«bas plakne, lai koordinÄtu tÄ«klu. Tas padara risinÄjumu triviÄli mÄrogojamu. TriremÄ tas tiek panÄkts, instalÄjot aÄ£entu katrÄ mezglÄ, kas tieÅ”i savienojas ar resursdatora TCP/IP steku.
Grafeas ir atvÄrtÄ koda API programmatÅ«ras piegÄdes Ä·Ädes auditÄÅ”anai un pÄrvaldÄ«bai. Pamata lÄ«menÄ« Grafeas ir rÄ«ks metadatu un revÄ«zijas konstatÄjumu apkopoÅ”anai. To var izmantot, lai izsekotu atbilstÄ«bu droŔības paraugpraksei organizÄcijÄ.
Å is centralizÄtais patiesÄ«bas avots palÄ«dz atbildÄt uz tÄdiem jautÄjumiem kÄ:
Kas savÄca un parakstÄ«ja konkrÄto konteineru?
Vai tas ir izturÄjis visas droŔības politikas pÄrbaudes un pÄrbaudes? Kad? KÄdi bija rezultÄti?
KurÅ” to izvietoja ražoÅ”anÄ? KÄdi konkrÄti parametri tika izmantoti izvietoÅ”anas laikÄ?
In-toto ir sistÄma, kas izstrÄdÄta, lai nodroÅ”inÄtu visas programmatÅ«ras piegÄdes Ä·Ädes integritÄti, autentifikÄciju un auditu. Izvietojot In-toto infrastruktÅ«rÄ, vispirms tiek definÄts plÄns, kas apraksta dažÄdus darbÄ«bas posmus (repozitorijs, CI/CD rÄ«ki, kvalitÄtes nodroÅ”inÄÅ”anas rÄ«ki, artefaktu savÄcÄji utt.) un lietotÄjus (atbildÄ«gÄs personas), kuriem ir atļauts iniciÄt tos.
In-toto uzrauga plÄna izpildi, pÄrbaudot, vai katru Ä·Ädes uzdevumu pareizi veic tikai pilnvarots personÄls un vai pÄrvietoÅ”anas laikÄ ar produktu nav veiktas nesankcionÄtas manipulÄcijas.
Portieris ir Kubernetes uzÅemÅ”anas kontrolieris; izmanto, lai Ä«stenotu satura uzticamÄ«bas pÄrbaudes. Portieris izmanto serveri NotÄrs(mÄs par viÅu rakstÄ«jÄm beigÄs no Ŕī raksta SÄkot no apm. tulkojums) kÄ patiesÄ«bas avotu, lai apstiprinÄtu uzticamus un parakstÄ«tus artefaktus (t.i., apstiprinÄtos konteinera attÄlus).
Kad pakalpojumÄ Kubernetes tiek izveidota vai pÄrveidota darba slodze, Portieris lejupielÄdÄ parakstÄ«Å”anas informÄciju un satura uzticamÄ«bas politiku pieprasÄ«tajiem konteinera attÄliem un, ja nepiecieÅ”ams, veic tÅ«lÄ«tÄjas izmaiÅas JSON API objektÄ, lai palaistu Å”o attÄlu parakstÄ«tÄs versijas.
Vault ir droÅ”s risinÄjums privÄtas informÄcijas glabÄÅ”anai: paroles, OAuth marÄ·ieri, PKI sertifikÄti, piekļuves konti, Kubernetes noslÄpumi utt. Vault atbalsta daudzas uzlabotas funkcijas, piemÄram, Ä«slaicÄ«gu droŔības marÄ·ieru nomu vai atslÄgu rotÄcijas organizÄÅ”anu.
Izmantojot Helm diagrammu, Vault var izvietot kÄ jaunu izvietoÅ”anu Kubernetes klasterÄ« ar Consul kÄ aizmugursistÄmas krÄtuvi. Tas atbalsta vietÄjos Kubernetes resursus, piemÄram, ServiceAccount marÄ·ierus, un var pat darboties kÄ Kubernetes noslÄpumu noklusÄjuma krÄtuve.
PiezÄ«me. tulk.: Starp citu, tieÅ”i vakar uzÅÄmums HashiCorp, kas izstrÄdÄ Vault, paziÅoja par dažiem uzlabojumiem Vault izmantoÅ”anÄ Kubernetes, un jo Ä«paÅ”i tie attiecas uz Helm diagrammu. VairÄk lasiet sadaÄ¼Ä izstrÄdÄtÄju emuÄrs.
Kube-bench ir Go lietojumprogramma, kas pÄrbauda, āāvai Kubernetes ir droÅ”i izvietots, izpildot testus no saraksta NVS Kubernetes etalons.
Kube-bench meklÄ nedroÅ”us konfigurÄcijas iestatÄ«jumus starp klastera komponentiem (uc, API, kontrollera pÄrvaldnieks utt.), apÅ”aubÄmas failu piekļuves tiesÄ«bas, neaizsargÄtus kontus vai atvÄrtus portus, resursu kvotas, iestatÄ«jumus API zvanu skaita ierobežoÅ”anai, lai aizsargÄtu pret DoS uzbrukumiem. utt.
Kube-hunter meklÄ iespÄjamÄs ievainojamÄ«bas (piemÄram, attÄlinÄta koda izpilde vai datu izpauÅ”ana) Kubernetes klasteros. Kube-hunter var palaist kÄ attÄlo skeneri ā tÄdÄ gadÄ«jumÄ tas novÄrtÄs kopu no treÅ”Äs puses uzbrucÄja viedokļa ā vai kÄ podziÅu klastera iekÅ”pusÄ.
Kube-hunter atŔķirÄ«gÄ iezÄ«me ir āaktÄ«vÄ medÄ«buā režīms, kura laikÄ tas ne tikai ziÅo par problÄmÄm, bet arÄ« mÄÄ£ina izmantot mÄrÄ·a klasterÄ« atklÄtÄs ievainojamÄ«bas, kas potenciÄli varÄtu kaitÄt tÄ darbÄ«bai. TÄpÄc izmantojiet piesardzÄ«gi!
Kubeaudit ir konsoles rÄ«ks, kas sÄkotnÄji tika izstrÄdÄts Shopify, lai pÄrbaudÄ«tu Kubernetes konfigurÄciju dažÄdÄm droŔības problÄmÄm. PiemÄram, tas palÄ«dz identificÄt konteinerus, kas darbojas neierobežoti, darbojas kÄ root, ļaunprÄtÄ«gi izmanto privilÄÄ£ijas vai izmanto noklusÄjuma ServiceAccount.
Kubeaudit ir citas interesantas funkcijas. PiemÄram, tÄ var analizÄt vietÄjos YAML failus, noteikt konfigurÄcijas trÅ«kumus, kas var izraisÄ«t droŔības problÄmas, un automÄtiski tos novÄrst.
Kubesec ir Ä«paÅ”s rÄ«ks, jo tas tieÅ”i skenÄ YAML failus, kas apraksta Kubernetes resursus, meklÄjot vÄjus parametrus, kas varÄtu ietekmÄt droŔību.
PiemÄram, tas var atklÄt pÄrmÄrÄ«gas privilÄÄ£ijas un atļaujas, kas pieŔķirtas podam, konteinera palaiÅ”anu ar root kÄ noklusÄjuma lietotÄju, savienojumu ar resursdatora tÄ«kla nosaukumvietu vai bÄ«stamus stiprinÄjumus, piemÄram, /proc resursdatora vai Docker ligzda. VÄl viena interesanta Kubesec funkcija ir tieÅ”saistÄ pieejamais demonstrÄcijas pakalpojums, kurÄ varat augÅ”upielÄdÄt YAML un nekavÄjoties to analizÄt.
OPA (Open Policy Agent) koncepcija ir droŔības politikas un droŔības labÄkÄs prakses atdalÄ«Å”ana no noteiktas izpildlaika platformas: Docker, Kubernetes, Mesosphere, OpenShift vai jebkuras to kombinÄcijas.
PiemÄram, varat izvietot OPA kÄ aizmugursistÄmu Kubernetes piekļuves kontrolierim, deleÄ£Äjot tam droŔības lÄmumus. TÄdÄ veidÄ OPA aÄ£ents var pÄrbaudÄ«t, noraidÄ«t un pat modificÄt pieprasÄ«jumus lidojumÄ, nodroÅ”inot noteikto droŔības parametru ievÄroÅ”anu. OPA droŔības politikas ir uzrakstÄ«tas tÄs patentÄtajÄ DSL valodÄ Rego.
PiezÄ«me. tulk.: MÄs rakstÄ«jÄm vairÄk par OPA (un SPIFFE). Å”o materiÄlu.
MÄs nolÄmÄm izveidot atseviŔķu kategoriju komerciÄlÄm platformÄm, jo āātÄs parasti aptver vairÄkas droŔības jomas. VispÄrÄju priekÅ”statu par viÅu iespÄjÄm var iegÅ«t no tabulas:
Å is komerciÄlais rÄ«ks ir paredzÄts konteineriem un mÄkoÅa darba slodzÄm. Tas nodroÅ”ina:
AttÄlu skenÄÅ”ana integrÄta konteinera reÄ£istrÄ vai CI/CD konveijerÄ;
Runtime aizsardzÄ«ba ar izmaiÅu meklÄÅ”anu konteineros un citas aizdomÄ«gas darbÄ«bas;
Konteineru vietÄjais ugunsmÅ«ris;
DroŔība bezserveriem mÄkoÅpakalpojumos;
AtbilstÄ«bas pÄrbaude un audits apvienojumÄ ar notikumu reÄ£istrÄÅ”anu.
PiezÄ«me. tulk.: Ir arÄ« vÄrts atzÄ«mÄt, ka ir saucamÄ produkta bezmaksas sastÄvdaļa Mikroskeneris, kas ļauj skenÄt konteinera attÄlus, lai noteiktu ievainojamÄ«bas. Ir parÄdÄ«ts tÄ iespÄju salÄ«dzinÄjums ar maksas versijÄm Å”ajÄ tabulÄ.
Capsule8 integrÄjas infrastruktÅ«rÄ, instalÄjot detektoru vietÄjÄ vai mÄkoÅa Kubernetes klasterÄ«. Å is detektors apkopo resursdatora un tÄ«kla telemetriju, korelÄ to ar dažÄda veida uzbrukumiem.
Capsule8 komanda savu uzdevumu uzskata par uzbrukumu agrÄ«nu atklÄÅ”anu un novÄrÅ”anu, izmantojot jaunus (0 dienu) ievainojamÄ«bas. Capsule8 var lejupielÄdÄt atjauninÄtos droŔības noteikumus tieÅ”i detektoros, reaÄ£Äjot uz jaunatklÄtiem draudiem un programmatÅ«ras ievainojamÄ«bÄm.
Cavirin darbojas kÄ uzÅÄmuma puses darbuzÅÄmÄjs dažÄdÄm aÄ£entÅ«rÄm, kas saistÄ«tas ar droŔības standartiem. Tas var ne tikai skenÄt attÄlus, bet arÄ« integrÄties CI/CD konveijerÄ, bloÄ·Äjot nestandarta attÄlus, pirms tie nonÄk slÄgtÄs krÄtuvÄs.
Cavirin droŔības komplekts izmanto maŔīnmÄcÄ«Å”anos, lai novÄrtÄtu jÅ«su kiberdroŔības stÄvokli, piedÄvÄjot padomus, kÄ uzlabot droŔību un uzlabot atbilstÄ«bu droŔības standartiem.
Cloud Security Command Center palÄ«dz droŔības komandÄm apkopot datus, identificÄt draudus un novÄrst tos, pirms tie kaitÄ uzÅÄmumam.
KÄ norÄda nosaukums, Google Cloud SCC ir vienots vadÄ«bas panelis, kas var integrÄt un pÄrvaldÄ«t dažÄdus droŔības pÄrskatus, lÄ«dzekļu uzskaites programmas un treÅ”o puÅ”u droŔības sistÄmas no viena centralizÄta avota.
Google Cloud SCC piedÄvÄtÄ sadarbspÄjÄ«gÄ API ļauj viegli integrÄt droŔības notikumus, kas nÄk no dažÄdiem avotiem, piemÄram, Sysdig Secure (konteinera droŔība mÄkoÅa lietojumprogrammÄm) vai Falco (atvÄrtÄ koda izpildlaika droŔība).
Layered Insight (tagad daļa no Qualys Inc) ir balstÄ«ta uz āiegultÄs droŔībasā koncepciju. PÄc sÄkotnÄjÄ attÄla skenÄÅ”anas, lai noteiktu ievainojamÄ«bas, izmantojot statistisko analÄ«zi un CVE pÄrbaudes, Layered Insight to aizstÄj ar instrumentÄlu attÄlu, kurÄ aÄ£ents ir iekļauts kÄ binÄrs.
Å ajÄ aÄ£entÄ ir ietverti izpildlaika droŔības testi, lai analizÄtu konteineru tÄ«kla trafiku, I/O plÅ«smas un lietojumprogrammu darbÄ«bu. TurklÄt tas var veikt papildu droŔības pÄrbaudes, ko norÄdÄ«jis infrastruktÅ«ras administrators vai DevOps komandas.
NeuVector pÄrbauda konteinera droŔību un nodroÅ”ina izpildlaika aizsardzÄ«bu, analizÄjot tÄ«kla darbÄ«bu un lietojumprogrammu uzvedÄ«bu, izveidojot katram konteineram individuÄlu droŔības profilu. Tas var arÄ« bloÄ·Ät draudus atseviŔķi, izolÄjot aizdomÄ«gas darbÄ«bas, mainot vietÄjos ugunsmÅ«ra noteikumus.
NeuVector tÄ«kla integrÄcija, kas pazÄ«stama kÄ Security Mesh, spÄj veikt dziļu pakeÅ”u analÄ«zi un 7. slÄÅa filtrÄÅ”anu visiem tÄ«kla savienojumiem pakalpojumu tÄ«klÄ.
Sysdig Secure aizsargÄ lietojumprogrammas visÄ konteinera un Kubernetes dzÄ«ves ciklÄ. ViÅÅ” skenÄ attÄlus konteineri, nodroÅ”ina izpildlaika aizsardzÄ«ba saskaÅÄ ar maŔīnmÄcÄ«Å”anÄs datiem, veic krÄmu. zinÄÅ”anas, lai identificÄtu ievainojamÄ«bas, bloÄ·Ä draudus, uzrauga atbilstÄ«ba noteiktajiem standartiem un auditÄ darbÄ«bu mikropakalpojumos.
Sysdig Secure integrÄjas ar CI/CD rÄ«kiem, piemÄram, Jenkins, un kontrolÄ no Docker reÄ£istriem ielÄdÄtos attÄlus, novÄrÅ”ot bÄ«stamu attÄlu parÄdÄ«Å”anos ražoÅ”anÄ. Tas arÄ« nodroÅ”ina visaptveroÅ”u izpildlaika droŔību, tostarp:
Uz ML balstÄ«ta izpildlaika profilÄÅ”ana un anomÄliju noteikÅ”ana;
izpildlaika politikas, kuru pamatÄ ir sistÄmas notikumi, K8s-audit API, kopÄ«gi kopienas projekti (FIM ā failu integritÄtes uzraudzÄ«ba; Å”ifrÄÅ”ana) un ietvars MITER AT&CK;
Pirms konteineru parÄdÄ«Å”anÄs Tenable bija plaÅ”i pazÄ«stams Å”ajÄ nozarÄ kÄ uzÅÄmums Nessus, kas ir populÄrs ievainojamÄ«bu meklÄÅ”anas un droŔības audita rÄ«ks.
Tenable Container Security izmanto uzÅÄmuma datordroŔības zinÄÅ”anas, lai integrÄtu CI/CD cauruļvadu ar ievainojamÄ«bu datu bÄzÄm, specializÄtÄm ļaunprÄtÄ«gas programmatÅ«ras noteikÅ”anas pakotnÄm un ieteikumiem droŔības apdraudÄjumu novÄrÅ”anai.
Twistlock reklamÄ sevi kÄ platformu, kas koncentrÄjas uz mÄkoÅpakalpojumiem un konteineriem. Twistlock atbalsta dažÄdus mÄkoÅpakalpojumu sniedzÄjus (AWS, Azure, GCP), konteineru organizÄtÄjus (Kubernetes, Mesospehere, OpenShift, Docker), bezserveru izpildlaikus, tÄ«kla ietvarus un CI/CD rÄ«kus.
Papildus tradicionÄlajÄm uzÅÄmuma lÄ«meÅa droŔības metodÄm, piemÄram, CI/CD konveijera integrÄcijai vai attÄlu skenÄÅ”anai, Twistlock izmanto maŔīnmÄcÄ«Å”anos, lai Ä£enerÄtu konteineram raksturÄ«gus uzvedÄ«bas modeļus un tÄ«kla noteikumus.
Pirms kÄda laika Twistlock iegÄdÄjÄs Palo Alto Networks, kam pieder projekti Evident.io un RedLock. PagaidÄm nav zinÄms, kÄ tieÅ”i Ŕīs trÄ«s platformas tiks integrÄtas PRISMA no Palo Alto.
PalÄ«dziet izveidot labÄko Kubernetes droŔības rÄ«ku katalogu!
MÄs cenÅ”amies padarÄ«t Å”o katalogu pÄc iespÄjas pilnÄ«gÄku, un Å”im nolÅ«kam mums ir nepiecieÅ”ama jÅ«su palÄ«dzÄ«ba! Sazinies ar mums (@sysdig), ja jums ir padomÄ kÄds forÅ”s rÄ«ks, kuru ir vÄrts iekļaut Å”ajÄ sarakstÄ, vai atrodat kļūdu/novecojuÅ”u informÄciju.
Varat arÄ« abonÄt mÅ«su ikmÄneÅ”a biļetens ar ziÅÄm no mÄkoÅu ekosistÄmas un stÄstiem par interesantiem projektiem no Kubernetes droŔības pasaules.