33+ Kubernetes fitaovana fiarovana

Fanamarihana. transl.: Raha manontany tena momba ny fiarovana amin'ny fotodrafitrasa miorina ao Kubernetes ianao, ity topimaso tsara indrindra avy amin'ny Sysdig ity dia teboka fanombohana tsara hijerena haingana ny vahaolana ankehitriny. Tafiditra ao anatin'izany ny rafitra saro-pady avy amin'ireo mpilalao tsena fanta-daza sy ireo fitaovana maotina kokoa izay mamaha olana iray manokana. Ary ao amin'ny fanehoan-kevitra, toy ny mahazatra, dia ho faly izahay mandre momba ny traikefanao amin'ny fampiasana ireo fitaovana ireo ary hahita rohy mankany amin'ny tetikasa hafa.

Ny vokatra rindrambaiko fiarovana Kubernetes... be dia be amin'izy ireo, samy manana ny tanjony, ny sehatra ary ny fahazoan-dàlana.

Izany no nahatonga anay nanapa-kevitra ny hamorona ity lisitra ity ary hampiditra tetikasa loharano misokatra sy sehatra ara-barotra avy amin'ny mpivarotra samihafa. Manantena izahay fa hanampy anao hamantatra ireo izay tena mahaliana anao izany ary hanoro anao amin'ny lalana marina mifototra amin'ny filanao manokana momba ny fiarovana Kubernetes.

sokajy

Mba hanamora ny fitetezana ny lisitra, ny fitaovana dia voalamina amin'ny asa lehibe sy ny fampiharana. Ireto fizarana manaraka ireto dia azo:

• Fandinihana ny sary Kubernetes sy famakafakana static;
• Fiarovana mandritra ny fotoana maharitra;
• fiarovana ny tambajotra Kubernetes;
• Fizarana sary sy fitantanana tsiambaratelo;
• Kubernetes fanaraha-maso fiarovana;
• Vokatra ara-barotra feno.

Andao hidina amin'ny raharaham-barotra:

Fikarohana sary Kubernetes

vatofantsika

• Website: anchore.com
• License: maimaim-poana (Apache) sy tolotra ara-barotra

Ny Anchore dia manadihady ny sarin'ny container ary mamela ny fisavana fiarovana mifototra amin'ny politika voafaritry ny mpampiasa.

Ho fanampin'ny fisavana mahazatra ny sarin'ny container ho an'ny vulnerability fantatra avy amin'ny angon-drakitra CVE, Anchore dia manao fisavana fanampiny maro ho ampahany amin'ny politikan'ny scanning: manamarina ny Dockerfile, ny fivoahan'ny fahazoan-dàlana, ny fonosana amin'ny fiteny fandaharana ampiasaina (npm, maven, sns. .), lisansa rindrambaiko sy ny maro hafa.

Clair

• Website: coreos.com/clair (eo ambany fiahian'ny Red Hat ankehitriny)
• License: maimaim-poana (Apache)

Clair dia iray amin'ireo tetikasa Open Source voalohany ho an'ny fisavana sary. Izy io dia fantatra amin'ny anarana hoe scanner fiarovana ao ambadiky ny rejisitra sary Quay (avy amin'ny CoreOS - eo ho eo FANDIKAN-TENY)Afaka manangona fampahalalana momba ny CVE avy amin'ny loharano maro samihafa i Clair, anisan'izany ireo lisitra manokana momba ny CVE. Linux- fizarana ireo fahalemena tazonin'ireo ekipa fiarovana Debian, Satroka Mena na Ubuntu.

Tsy toa an'i Anchore, i Clair dia mifantoka indrindra amin'ny fitadiavana vulnerabilité sy ny angon-drakitra mifanaraka amin'ny CVE. Na izany aza, ny vokatra dia manome ny mpampiasa fahafahana sasany hanitarana ny fiasa amin'ny fampiasana mpamily plug-in.

dagda

• Website: github.com/eliasgranderubio/dagda
• License: maimaim-poana (Apache)

Dagda dia manao famakafakana static amin'ny sary fitoeran-javatra ho an'ny vulnerability fantatra, Trojans, viriosy, malware ary fandrahonana hafa.

Endri-javatra roa miavaka no mampiavaka an'i Dagda amin'ireo fitaovana hafa mitovy aminy:

• Mitambatra tanteraka amin'ny ClamAV, miasa tsy amin'ny maha-fitaovana scanning sary fitoeran-javatra fotsiny, fa amin'ny maha-antivirus azy koa.
• Manome fiarovana mandritra ny fotoana maharitra ihany koa amin'ny alàlan'ny fandraisana hetsika amin'ny fotoana tena izy avy amin'ny daemon Docker ary fampidirana amin'ny Falco (Zahao etsy ambany) hanangona hetsika fiarovana rehefa mandeha ny kaontenera.

KubeXray

• Website: github.com/jfrog/kubexray
• Fahazoan-dàlana: Maimaim-poana (Apache), fa mitaky angona avy amin'ny JFrog Xray (vokatra ara-barotra)

KubeXray dia mihaino hetsika avy amin'ny mpizara Kubernetes API ary mampiasa metadata avy amin'ny JFrog Xray mba hahazoana antoka fa ny pods mifanaraka amin'ny politika ankehitriny ihany no atomboka.

Tsy ny KubeXray ihany no manara-maso ireo kaontenera vaovao na nohavaozina amin'ny fametrahana (mitovy amin'ny fanaraha-maso ny fidirana ao amin'ny Kubernetes), fa koa manara-maso mavitrika ireo kaontenera mandeha amin'ny fanarahana ny politikan'ny fiarovana vaovao, manala ireo loharano izay manondro sary marefo.

Snyk

• Website: snyk.io
• License: maimaim-poana (Apache) sy dikan-teny ara-barotra

Snyk dia scanner vulnerable tsy mahazatra satria mikendry manokana ny fizotran'ny fampandrosoana ary ampandrosoina ho "vahaolana tena ilaina" ho an'ny mpamorona.

Ny Snyk dia mifandray mivantana amin'ny fitehirizana kaody, mamakafaka ny fisehoan'ny tetikasa ary manadihady ny kaody nafarana miaraka amin'ny fiankinan-doha mivantana sy ankolaka. Snyk dia manohana fiteny fandaharana malaza maro ary afaka mamantatra ny loza ateraky ny fahazoan-dàlana miafina.

Trivy

• Website: github.com/knqyf263/trivy
• Fahazoan-dalana: maimaim-poana (AGPL)

Trivy dia scanner vulnerability tsotra nefa mahery ho an'ny kaontenera izay mora miditra amin'ny fantsona CI/CD. Ny mampiavaka azy dia ny fanamorana ny fametrahana sy ny fampandehanana azy: ny fampiharana dia misy binary tokana ary tsy mitaky fametrahana angon-drakitra na tranomboky fanampiny.

Ny lafy ratsiny amin'ny fahatsoran'i Trivy dia ny tsy maintsy fantarinao ny fomba hamadihana sy hampita ny valiny amin'ny endrika JSON mba ahafahan'ny fitaovana fiarovana Kubernetes hafa mampiasa azy ireo.

Fiarovana mandritra ny fotoana maharitra ao Kubernetes

Falco

• Website: falco.org
• License: maimaim-poana (Apache)

Falco dia fitaovan'ny fiarovana ny tontolo iainan'ny rahona. Anisan'ny fianakaviana tetikasa CNCF.

Mampiasa fitaovana Sysdig hiasa amin'ny ambaratonga kernel Linux Miaraka amin'ny famakafakana sy fanaraha-maso ny antson'ny rafitra, ny Falco dia ahafahana miditra lalina amin'ny fihetsiky ny rafitra. Ny motera fitsipika runtime dia afaka mamantatra ny hetsika mampiahiahy ao amin'ny fampiharana, ny fitoeran-javatra, ny mpampiantrano fototra, ary ny orchestrator Kubernetes.

Falco dia manome mangarahara tanteraka amin'ny fotoana fandehanana sy ny fandrahonana amin'ny alàlan'ny fametrahana mpiasa manokana amin'ny node Kubernetes ho an'ireo tanjona ireo. Vokatr'izany dia tsy ilaina ny manova ny kaontenera amin'ny alàlan'ny fampidirana kaody an'ny antoko fahatelo ao anatin'izy ireo na amin'ny fampidirana kaontenera sidecar.

Rafitra fiarovana Linux ho an'ny fotoana fiasana

Ireo dia avy amin'ny fotony Linux Tsy "fitaovana fiarovana Kubernetes" araka ny fomba nentim-paharazana ny frameworks, fa mendrika hotononina izy ireo satria singa manan-danja amin'ny fiarovana runtime, izay tafiditra ao amin'ny Kubernetes Pod Security Policy (PSP).

AppArmor mamehy ny mombamomba ny fiarovana amin'ny dingana mandeha ao amin'ny kaontenera, mamaritra ny tombontsoan'ny rafi-drakitra, ny fitsipika fidirana amin'ny tambajotra, ny tranomboky mampifandray, sns. Ity dia rafitra mifototra amin'ny Mandatory Access Control (MAC). Izany hoe manakana ny hetsika voarara tsy hatao.

Fanatsarana ny fiarovana Linux (SELinux) dia môdioly fiarovana mivelatra ao amin'ny kernel. Linux, mitovy amin'ny AppArmor amin'ny lafiny sasany ary matetika ampitahaina aminy. SELinux Maharesy ny AppArmor izy raha ny momba ny heriny, ny fahaiza-milefitra ary ny safidy fanamboarana azy. Ny lesoka amin'izany dia ny faharetan'ny fianarana sy ny fahasarotan'ny fampiasana.

Seccomp ary ny seccomp-bpf dia ahafahanao manivana ny antson'ny rafitra, manakana ny famonoana ireo izay mety hampidi-doza ho an'ny OS fototra ary tsy ilaina amin'ny fampandehanana ara-dalàna ny rindranasa mpampiasa. Ny Seccomp dia mitovy amin'ny Falco amin'ny lafiny sasany, na dia tsy fantany aza ny mombamomba ny kaontenera.

Sysdig open source

• Website: www.sysdig.com/opensource
• License: maimaim-poana (Apache)

Sysdig dia fitaovana feno ho an'ny famakafakana, diagnostika ary fanitsiana olana. Linux-rafitra (miasa amin'ny Windows и macOS, saingy voafetra ny fiasany). Azo ampiasaina amin'ny fanangonana fampahalalana amin'ny antsipiriany, fanamarinana ary fanadinana ara-pitsarana izy io. (forensics) ny rafitra fototra sy ny kaontenera rehetra mandeha eo aminy.

Sysdig ihany koa dia manohana ny fampandehanan'ny kaontenera sy ny metadata Kubernetes, manampy habe sy etikety fanampiny amin'ny fampahalalana momba ny fitondran-tena rehetra voaangona. Misy fomba maro handinihana ny kluster Kubernetes amin'ny fampiasana Sysdig: azonao atao ny maka fotoana amin'ny alàlan'ny fisamborana kubectl na manangana interface interactive mifototra amin'ny ncurses mampiasa plugin kubectl dig.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• License: ara-barotra

Aporeto dia manolotra "fiarovana misaraka amin'ny tambajotra sy ny fotodrafitrasa." Midika izany fa ny tolotra Kubernetes dia tsy mahazo ID eo an-toerana fotsiny (izany hoe ServiceAccount ao amin'ny Kubernetes), fa koa ID/fanondro-tanana iraisan'ny rehetra izay azo ampiasaina hifandraisana am-pilaminana sy hifampizarana amin'ny serivisy hafa, ohatra amin'ny cluster OpenShift.

Aporeto dia afaka mamorona ID tokana tsy ho an'ny Kubernetes/container ihany, fa ho an'ny mpampiantrano, fiasa rahona ary mpampiasa ihany koa. Miankina amin'ireo famantarana ireo sy ireo fitsipika fiarovana amin'ny tambajotra napetraky ny mpitantana, dia avela na voasakana ny fifandraisana.

calico

• Website: www.projectcalico.org
• License: maimaim-poana (Apache)

Ny Calico dia matetika apetraka mandritra ny fametrahana orkestra kaontenera, ahafahanao mamorona tambajotra virtoaly izay mampifandray ireo kaontenera. Ho fanampin'ity fampiasa tambajotra fototra ity, ny tetikasa Calico dia miara-miasa amin'ny Kubernetes Network Policies sy ny mombamomba ny fiarovana ny tambajotra, manohana ny ACLs (lisitra fanaraha-maso ny fidirana) ary ny fitsipika fiarovana amin'ny tambajotra mifototra amin'ny fanamarihana momba ny fifamoivoizana Ingress sy Egress.

cilium

• Website: www.cilium.io
• License: maimaim-poana (Apache)

Miasa toy ny "firewall" ho an'ny "containers" ny Cilium ary manome endri-javatra fiarovana tambajotra namboarina manokana ho an'ny enta-mavesatry ny Kubernetes sy ny microservices. Mampiasa teknolojia fototra vaovao ny Cilium. Linux antsoina hoe BPF (Berkeley Packet Filter) ho an'ny fanivanana, fanaraha-maso, famindrana ary fanitsiana angona.

Cilium dia afaka mampiasa ny politikan'ny fidirana amin'ny tambajotra mifototra amin'ny ID container amin'ny fampiasana marika sy metadata Docker na Kubernetes. Cilium koa dia mahatakatra sy manivana ny protocole Layer 7 isan-karazany toy ny HTTP na gRPC, ahafahanao mamaritra andiana antso REST izay avela eo anelanelan'ny fametrahana Kubernetes roa, ohatra.

Istio

• Website: istio.io
• License: maimaim-poana (Apache)

Istio dia fanta-daza amin'ny fampiharana ny paradigma mesh serivisy amin'ny alàlan'ny fametrahana fiaramanidina tsy miankina amin'ny sehatra ary mampandeha ny fifamoivoizana amin'ny serivisy rehetra amin'ny alàlan'ny proxies Envoy azo amboarina. Istio dia manararaotra ity fomba fijery mandroso amin'ny microservices sy container rehetra ity mba hampiharana ny paikady fiarovana amin'ny tambajotra.

Ny fahaizan'ny fiarovana amin'ny tambajotra an'i Istio dia misy ny TLS encryption mangarahara mba hanatsarana ho azy ny fifandraisana eo amin'ny microservices ho HTTPS, ary rafitra famantarana sy fanomezan-dàlana RBAC tompon'andraikitra hamela/mandà ny fifandraisana eo amin'ny enta-mavesatra samihafa ao amin'ny cluster.

Fanamarihana. transl.: Raha te hahalala bebe kokoa momba ny fahaizan'i Istio mifantoka amin'ny fiarovana, vakio ity lahatsoratra ity.

Tigera

• Website: www.tigera.io
• License: ara-barotra

Antsoina hoe "Kubernetes Firewall", ity vahaolana ity dia manantitrantitra ny fomba tsy fahatokisana amin'ny fiarovana ny tambajotra.

Mitovy amin'ny vahaolana amin'ny tambajotra Kubernetes teratany hafa, i Tigera dia miantehitra amin'ny metadata hamantarana ireo tolotra sy zavatra isan-karazany ao amin'ny kluster ary manome ny fizahana ny olana amin'ny fotoana fandehanana, ny fanaraha-maso tsy tapaka ny fanarahan-dalàna, ary ny fahitana ny tambajotra ho an'ny fotodrafitrasa misy rahona na hybrida misy monolithic.

Trireme

• Website: www.aporeto.com/opensource
• License: maimaim-poana (Apache)

Fampiharana tsotra sy mivantana ny famaritana ny Kubernetes Network Policies ny Trireme-Kubernetes. Ny tena mampiavaka azy dia ny tsy ilàna "central control plane" mba handrindrana ny mesh, tsy tahaka ireo vokatra fiarovana tambajotra Kubernetes mitovy aminy. Izany dia mahatonga ny vahaolana ho mora azo ampitomboina. Ny Trireme dia mahavita izany amin'ny alàlan'ny fametrahana agent amin'ny node tsirairay izay mifandray mivantana amin'ny TCP/IP- mpampiantrano.

Fanaparitahana sary sy Fitantanana tsiambaratelo

Grafeas

• Website: grafeas.io
• License: maimaim-poana (Apache)

Grafeas dia API loharano misokatra ho an'ny fanaraha-maso sy fitantanana rojo famatsiana rindrambaiko. Amin'ny ambaratonga fototra, ny Grafeas dia fitaovana fanangonana metadata sy valin'ny fanaraha-maso. Azo ampiasaina hanaraha-maso ny fanarahana ny fomba fanao tsara indrindra momba ny fiarovana ao anatin'ny fikambanana.

Ity loharanon'ny fahamarinana mivondrona ity dia manampy amin'ny famaliana ireo fanontaniana toy ny:

• Iza no nanangona sy nanao sonia ho an'ny kaontenera manokana?
• Moa ve nandalo ny fizahana fiarovana sy fisavana rehetra takian'ny politika fiarovana? Rahoviana? Inona no vokany?
• Iza no nametraka izany ho amin'ny famokarana? Inona no masontsivana manokana nampiasaina nandritra ny fametrahana?

In-toto

• Website: in-toto.github.io
• License: maimaim-poana (Apache)

In-toto dia rafitra natao hanomezana fahamendrehana, fanamarinana ary fanaraha-maso ny rojo famatsiana rindrambaiko manontolo. Rehefa mametraka ny In-toto amin'ny fotodrafitrasa iray, dia voafaritra aloha ny drafitra iray izay mamaritra ny dingana isan-karazany ao amin'ny fantsona (fitahirizana, fitaovana CI/CD, fitaovana QA, mpanangona artifact, sns.) ary ireo mpampiasa (olona tompon'andraikitra) izay mahazo alalana. manomboka azy ireo.

In-toto dia manara-maso ny fanatanterahana ny drafitra, manamarina fa ny asa tsirairay ao amin'ny rojo dia tanterahana araka ny tokony ho izy ny mpiasan'ny fahefana ihany ary tsy nisy fanodikodinana tsy nahazoana alalana natao tamin'ny vokatra nandritra ny hetsika.

Portieris

• Website: github.com/IBM/portieris
• License: maimaim-poana (Apache)

Portieris dia mpanara-maso ny fidirana ao amin'ny Kubernetes; ampiasaina amin'ny fampiharana ny fisavana fitokisana amin'ny atiny. Portieris dia mampiasa mpizara Notary (nanoratra momba azy izahay tamin'ny farany Ity lahatsoratra ity - eo ho eo FANDIKAN-TENY) ho loharanon'ny fahamarinana hanamarinana ireo artifact azo itokisana sy nosoniavina (izany hoe sary fitoeran-javatra nankatoavina).

Rehefa misy enta-mavesatra noforonina na ovaina ao amin'ny Kubernetes, Portieris dia misintona ny vaovao momba ny sonia sy ny politikan'ny fahatokisana votoaty ho an'ireo sary kaontenera nangatahana ary, raha ilaina, dia manao fanovana an-tsidina amin'ny zavatra JSON API mba hampandehanana ireo sary voasonia.

andohalambony eny

• Website: www.vaultproject.io
• Fahazoan-dalana: maimaim-poana (MPL)

Vault dia vahaolana azo antoka amin'ny fitahirizana fampahalalana manokana: tenimiafina, marika OAuth, mari-pankasitrahana PKI, kaonty fidirana, tsiambaratelo Kubernetes, sns. Ny Vault dia manohana endri-javatra mandroso maro, toy ny fanofana famantarana fiarovana tsy maharitra na fandaminana fihodinana fanalahidy.

Amin'ny fampiasana ny tabilao Helm, ny Vault dia azo apetraka ho fametrahana vaovao ao amin'ny cluster Kubernetes miaraka amin'ny Consul ho fitahirizana backend. Izy io dia manohana ny loharanon-karena Kubernetes teratany toy ny mari-pamantarana ServiceAccount ary afaka miasa ho toy ny fivarotana mahazatra ho an'ny tsiambaratelo Kubernetes mihitsy aza.

Fanamarihana. transl.: Raha ny marina, omaly ny orinasa HashiCorp, izay mamorona Vault, dia nanambara fanatsarana sasany amin'ny fampiasana Vault amin'ny Kubernetes, ary indrindra mifandraika amin'ny tabilao Helm. Vakio bebe kokoa ao amin'ny bilaogy developer.

Kubernetes Security Audit

Kube-bench

• Website: github.com/aquasecurity/kube-bench
• License: maimaim-poana (Apache)

Kube-bench dia fampiharana Go izay manamarina raha apetraka amin'ny fomba azo antoka ny Kubernetes amin'ny alalan'ny fanaovana fitiliana avy amina lisitra. CIS Kubernetes Benchmark.

Ny Kube-bench dia mitady fikandrana tsy azo antoka eo amin'ireo singa cluster (etcd, API, mpitantana mpanara-maso, sns.), zon'ny fidirana amin'ny rakitra mampiahiahy, kaonty tsy voaaro na seranana misokatra, fetran'ny loharanon-karena, famerana ny isan'ny antso API hiarovana amin'ny fanafihana DoS. , sns.

Kube-mpihaza

• Website: github.com/aquasecurity/kube-hunter
• License: maimaim-poana (Apache)

Ny Kube-hunter dia mihaza ny mety ho vulnerable (toy ny famonoana kaody lavitra na fampahafantarana ny angona) ao amin'ny cluster Kubernetes. Ny Kube-hunter dia azo atao toy ny scanner lavitra - amin'izay dia hanombantombana ny cluster avy amin'ny fomba fijerin'ny mpanafika antoko fahatelo - na ho toy ny pod ao anaty cluster.

Ny endri-javatra mampiavaka an'i Kube-hunter dia ny fomba fiasany "mihaza mavitrika", izay tsy mitatitra olana fotsiny, fa manandrana manararaotra ireo vulnerability hita ao amin'ny vondron'olona kendrena izay mety hanimba ny asany. Koa ampiasao amim-pitandremana!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Fahazoan-dalana: maimaim-poana (MIT)

Kubeaudit dia fitaovana fampiononana novolavolaina tany am-boalohany ao amin'ny Shopify hanamarina ny fandrindrana Kubernetes amin'ny olana ara-piarovana isan-karazany. Ohatra, manampy amin'ny famantarana ireo kaontenera mandeha tsy misy fetra, mandeha toy ny faka, manararaotra tombontsoa, ​​na mampiasa ny ServiceAccount default.

Manana endri-javatra mahaliana hafa ny Kubeaudit. Ohatra, afaka mamakafaka ny rakitra YAML eo an-toerana izy, mamantatra ny lesoka mety hiteraka olana amin'ny fiarovana, ary manamboatra azy ireo ho azy.

Kubesec

• Website: kubesec.io
• License: maimaim-poana (Apache)

Kubesec dia fitaovana manokana amin'ny fijerena mivantana ny rakitra YAML izay mamaritra ny loharano Kubernetes, mitady masontsivana malemy mety hisy fiantraikany amin'ny fiarovana.

Ohatra, afaka mahita tombontsoa be loatra sy fahazoan-dàlana omena amin'ny pod iray izy, mampandeha kaontenera misy faka ho mpampiasa default, mifandray amin'ny anaran'ny tambazotran'ny mpampiantrano, na tendrombohitra mampidi-doza toy ny /proc host na Docker socket. Ny endri-javatra mahaliana iray hafa an'ny Kubesec dia ny serivisy demo azo alaina amin'ny Internet, izay ahafahanao mampiditra YAML sy mamakafaka azy avy hatrany.

Open Policy Agent

• Website: www.openpolicyagent.org
• License: maimaim-poana (Apache)

Ny foto-kevitry ny OPA (Open Policy Agent) dia ny manafoana ny politikam-piarovana sy ny fanao tsara indrindra amin'ny fiarovana amin'ny sehatra fampandehanana manokana: Docker, Kubernetes, Mesosphere, OpenShift, na ny fitambaran'izany.

Ohatra, azonao atao ny mametraka ny OPA ho backend ho an'ny mpanara-maso ny fidirana Kubernetes, manolotra fanapahan-kevitra momba ny fiarovana azy. Amin'izany fomba izany, ny mpiasan'ny OPA dia afaka manamarina, mandà ary manova ny fangatahana amin'ny lalitra, miantoka fa ny fepetra fiarovana voatondro dia feno. Ny politikan'ny fiarovana an'ny OPA dia voasoratra amin'ny fiteny DSL tompony, Rego.

Fanamarihana. transl.: Nanoratra bebe kokoa momba ny OPA (sy SPIFFE) izahay tao ity fitaovana ity.

Fitaovana ara-barotra feno ho an'ny fanadihadiana momba ny fiarovana Kubernetes

Nanapa-kevitra ny hamorona sokajy mitokana ho an'ny sehatra ara-barotra izahay satria mazàna dia mirakitra faritra fiarovana maro izy ireo. Ny hevitra ankapobeny momba ny fahaizan'izy ireo dia azo alaina amin'ny latabatra:

* Fanadihadiana avo lenta sy famakafakana post mortem feno rafitra antso an-keriny.

Aqua Security

• Website: www.rsf-fr.com
• License: ara-barotra

Ity fitaovana ara-barotra ity dia natao ho an'ny kaontenera sy ny entan'ny rahona. Manome:

• Fanaraha-maso sary nampidirina amin'ny rejisitra fitoeran'entana na fantsona CI/CD;
• Fiarovana amin'ny fotoana fandehanana miaraka amin'ny fikarohana ny fiovana ao anaty fitoeran-javatra sy hetsika hafa mampiahiahy;
• Firewall ho an'ny container;
• Fiarovana ho an'ny tsy misy mpizara amin'ny serivisy rahona;
• Fitsapana fanarahan-dalàna sy fanaraha-maso miaraka amin'ny firaketana hetsika.

Fanamarihana. transl.: Tsara ihany koa ny manamarika fa misy singa maimaim-poana amin'ny vokatra antsoina hoe MicroScanner, izay ahafahanao manara-maso ny sarin'ny fitoeran-javatra ho an'ny vulnerabilities. Ny fampitahana ny fahaizany amin'ny dikan-karama dia aseho ao ity latabatra ity.

Capsule8

• Website: capsule8.com
• License: ara-barotra

Capsule8 dia miditra amin'ny fotodrafitrasa amin'ny fametrahana ny mpitsikilo amin'ny cluster Kubernetes eo an-toerana na rahona. Ity mpitsikilo ity dia manangona telemetry mpampiantrano sy tambajotra, mampifandray izany amin'ny karazana fanafihana samihafa.

Ny ekipan'ny Capsule8 dia mahita ny asany amin'ny fitadiavana sy ny fisorohana ny fanafihana amin'ny fampiasana vaovao (0 andro) vulnerabilities. Capsule8 dia afaka misintona mivantana ny fitsipika momba ny fiarovana amin'ny mpitsikilo ho setrin'ny fandrahonana sy ny vulnerability rindrambaiko vao hita.

Cavirin

• Website: www.cavirin.com
• License: ara-barotra

Cavirin dia miasa amin'ny maha-mpandraharaha eo amin'ny sehatry ny orinasa ho an'ny masoivoho samihafa tafiditra amin'ny fenitry ny fiarovana. Tsy vitan'ny hoe afaka mijery sary, fa afaka miditra ao amin'ny fantsona CI/CD ihany koa, manakana ny sary tsy manara-penitra alohan'ny hidirany amin'ny tahiry mihidy.

Ny suite fiarovana an'i Cavirin dia mampiasa fianarana milina hanombanana ny fihetsikao amin'ny fiarovana an-tserasera, manolotra toro-hevitra hanatsarana ny fiarovana sy hanatsarana ny fanarahana ny fenitry ny fiarovana.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• License: ara-barotra

Cloud Security Command Center dia manampy ny ekipan'ny fiarovana hanangona angona, hamantatra ny fandrahonana, ary hanafoana azy ireo alohan'ny hanimbana ny orinasa.

Araka ny soso-kevitry ny anarana, Google Cloud SCC dia tontonana fanaraha-maso mitambatra izay afaka mampiditra sy mitantana tatitra momba ny fiarovana isan-karazany, motera fitantanam-bola, ary rafitra fiarovana an'ny antoko fahatelo avy amin'ny loharano tokana.

Ny API interoperable atolotry ny Google Cloud SCC dia manamora ny fampidirana hetsika fiarovana avy amin'ny loharano isan-karazany, toy ny Sysdig Secure (fiarovana fitoeran-javatra ho an'ny fampiharana rahona) na Falco (fiarovana amin'ny fotoana fiasana Open Source).

Insight misy sosona (Qualys)

• Website: layeredinsight.com
• License: ara-barotra

Layered Insight (ankehitriny ao amin'ny Qualys Inc) dia natsangana tamin'ny foto-kevitry ny "fiarovana tafiditra." Rehefa avy nijery ny sary tany am-boalohany ho an'ny vulnerabilities amin'ny fampiasana famakafakana statistika sy fisavana CVE, ny Layered Insight dia manolo izany amin'ny sary misy fitaovana izay ahitana ilay mpandraharaha ho binary.

Ity mpiasa ity dia misy fitsapana fiarovana amin'ny fotoana handinihana ny fifamoivoizana amin'ny tamba-jotra, ny fikorianan'ny I/O ary ny hetsika fampiharana. Ho fanampin'izay, afaka manao fisavana fiarovana fanampiny nofaritan'ny mpitantana fotodrafitrasa na ekipa DevOps izy.

NeuVector

• Website: neuvector.com
• License: ara-barotra

Ny NeuVector dia manamarina ny fiarovana ny kaontenera ary manome fiarovana amin'ny fotoana fandehanana amin'ny alàlan'ny famakafakana ny hetsika amin'ny tambajotra sy ny fihetsika fampiharana, mamorona mombamomba ny fiarovana ho an'ny kaontenera tsirairay. Afaka manakana samirery ny fandrahonana ihany koa izy, manasaraka ny hetsika mampiahiahy amin'ny alàlan'ny fanovana ny fitsipiky ny firewall eo an-toerana.

Ny fampidirana tambajotran'i NeuVector, fantatra amin'ny anarana hoe Security Mesh, dia afaka manao famakafakana fonosana lalina sy sivana sosona 7 ho an'ny fifandraisana rehetra amin'ny tambajotra ao amin'ny serivisy.

StackRox

• Website: www.stackrox.com
• License: ara-barotra

Ny sehatra fiarovana ny kaontenera StackRox dia miezaka mandrakotra ny tsingerin'ny fiainan'ny fampiharana Kubernetes ao anaty cluster. Tahaka ny sehatra ara-barotra hafa amin'ity lisitra ity, ny StackRox dia mamokatra mombamomba ny fotoam-pivoriana mifototra amin'ny fihetsiky ny kaontenera voamarika ary mampiakatra fanairana ho azy ho an'ny fiviliana rehetra.

Fanampin'izany, StackRox dia manadihady ireo tefy Kubernetes amin'ny alàlan'ny Kubernetes CIS sy ireo boky fitsipika hafa hanombanana ny fanarahan-dalàna amin'ny kaontenera.

Sysdig Secure

• Website: sysdig.com/products/secure
• License: ara-barotra

Sysdig Secure dia miaro ny fampiharana manerana ny fitoeran-javatra manontolo sy ny tsingerin'ny fiainana Kubernetes. izy mijery sary containers, manome fiarovana ny runtime araka ny angon-drakitra fianarana milina, manao crème. fahaiza-manao hamantarana ny vulnerability, fanakanana ny fandrahonana, mpanara-maso fanarahana ny fenitra napetraka ary manara-maso ny hetsika amin'ny microservices.

Ny Sysdig Secure dia miray tsikombakomba amin'ny fitaovana CI/CD toa an'i Jenkins ary manara-maso ny sary nalaina tao amin'ny rejistra Docker, manakana ny sary mampidi-doza tsy hiseho amin'ny famokarana. Izy io koa dia manome fiarovana amin'ny fotoana rehetra, ao anatin'izany:

• ML mifototra amin'ny runtime profiling sy ny anomaly detection;
• politikan'ny fandehanana mifototra amin'ny hetsika rafitra, K8s-audit API, tetikasa fiaraha-monina (FIM - fanaraha-maso ny fahamendrehan'ny rakitra; cryptojacking) ary rafitra MITER ATT&CK;
• valiny sy famahana ny zava-nitranga.

Tenable Container Security

• Website: www.tenable.com/products/tenable-io/container-security
• License: ara-barotra

Talohan'ny nahatongavan'ny kaontenera, Tenable dia nalaza be tao amin'ny indostria ho orinasa ao ambadiky ny Nessus, fitaovana malaza amin'ny fihazana vulnerable sy fanaraha-maso fiarovana.

Tenable Container Security dia mampiasa ny fahaiza-manaon'ny orinasa momba ny fiarovana amin'ny ordinatera mba hampidirana fantsona CI/CD miaraka amin'ny angon-drakitra vulnerable, fonosana fitiliana malware manokana ary tolo-kevitra amin'ny famahana ny fandrahonana fiarovana.

Twistlock (Tambajotra Palo Alto)

• Website: www.twistlock.com
• License: ara-barotra

Twistlock dia mampiroborobo ny tenany ho sehatra mifantoka amin'ny serivisy rahona sy kaontenera. Twistlock dia manohana ireo mpamatsy rahona isan-karazany (AWS, Azure, GCP), orkestra mpitatitra (Kubernetes, Mesospehere, OpenShift, Docker), fampandehanana tsy misy mpizara, rafitra mesh ary fitaovana CI/CD.

Ho fanampin'ny teknikan'ny fiarovana amin'ny orinasa mahazatra toy ny fampidirana fantsona CI/CD na scan sary, ny Twistlock dia mampiasa fianarana milina mba hamoronana fomba fitondran-tena manokana sy fitsipiky ny tambajotra.

Fotoana vitsy lasa izay, novidin'ny Palo Alto Networks i Twistlock, izay tompon'ny tetikasa Evident.io sy RedLock. Tsy mbola fantatra hoe ahoana marina no hampidirana ireo sehatra telo ireo PRISMA avy any Palo Alto.

Ampio hanangana katalaogy tsara indrindra amin'ny fitaovana fiarovana Kubernetes!

Miezaka izahay hanao ity katalaogy ity ho feno araka izay tratra, ary noho izany dia mila ny fanampianao izahay! Mifandraisa aminay (@sysdig) raha manana fitaovana mangatsiatsiaka ao an-tsainao izay mendrika ny hampidirina ao anatin'ity lisitra ity ianao, na mahita fampahalalana diso / lany andro.

Afaka misoratra anarana aminay koa ianao gazety isam-bolana miaraka amin'ny vaovao avy amin'ny tontolo iainana voajanahary sy tantara momba ny tetikasa mahaliana avy amin'ny tontolon'ny fiarovana Kubernetes.

PS avy amin'ny mpandika teny

Vakio ihany koa ao amin'ny bilaoginay:

• «Fampidirana ny politikan'ny tambajotra Kubernetes ho an'ny matihanina amin'ny fiarovana";
• «Docker sy Kubernetes amin'ny tontolo saropady fiarovana";
• «Fomba fanao tsara indrindra 9 ho an'ny fiarovana Kubernetes";
• «Fomba 11 mba (tsy) ho lasa iharan'ny hack Kubernetes";
• «OPA sy SPIFFE dia tetikasa roa vaovao ao amin'ny CNCF ho an'ny fiarovana fampiharana rahona".

Source: www.habr.com