33+ taputapu haumaru Kubernetes

Tuhipoka. whakamaori.: Mena kei te whakaaro koe mo te haumarutanga o nga hanganga-a-Kubernetes, ko tenei tirohanga tino pai mai i Sysdig he timatanga pai mo te titiro tere ki nga otinga o naianei. Kei roto i nga punaha uaua e rua mai i nga kaitoro rongonui o te maakete me te maha atu o nga taputapu ngawari hei whakaoti i tetahi raru. A i roto i nga korero, i nga wa katoa, ka koa matou ki te rongo mo to wheako ki te whakamahi i enei taputapu me te kite i nga hononga ki etahi atu kaupapa.

Ko nga hua rorohiko haumaru Kubernetes... he maha o raatau, me o raatau ake whainga, te whānuitanga, me nga raihana.

Koira te take i whakatau ai matou ki te hanga i tenei rarangi me te whakauru i nga kaupapa puna tuwhera me nga papaaho arumoni mai i nga kaihoko rereke. Ko te tumanako ka awhina koe ki te tautuhi i nga mea e tino pai ana, ka tohu koe ki te huarahi tika i runga i o hiahia haumarutanga Kubernetes.

Ngā Kāwai

Kia pai ake ai te whakatere i te rarangi, ka whakaritea nga taputapu ma te mahi matua me te tono. Ko nga waahanga e whai ake nei i whiwhi:

• He matawai atahanga a Kubernetes me te tātari pateko;
• Haumarutanga wa whakahaere;
• haumarutanga whatunga Kubernetes;
• Te tohatoha whakaahua me te whakahaere ngaro;
• Ko te arotakenga haumarutanga a Kubernetes;
• Nga hua hokohoko matawhānui.

Me heke ki te pakihi:

Matawai whakaahua Kubernetes

Punga

• paetukutuku: punga.com
• Raihana: kore utu (Apache) me te tuku arumoni

Ka tātarihia e Anchore nga whakaahua ipu me te tuku i nga arowhai haumarutanga i runga i nga kaupapa here kua tautuhia e te kaiwhakamahi.

I tua atu i te matawai o nga whakaahua ipu mo nga whakaraeraetanga e mohiotia ana mai i te papaaarangi CVE, ka mahia e Anchore te maha o nga arowhai hei waahanga o tana kaupapa here matawai: tirohia te Dockerfile, nga riipene whaimana, nga kete o nga reo hotaka e whakamahia ana (npm, maven, etc. .), raihana pūmanawa me te maha atu.

Clair

• paetukutuku: coreos.com/clair (kei raro i te maru o Red Hat)
• Raihana: kore utu (Apache)

Ko Clair tetahi o nga kaupapa Open Source tuatahi mo te matawai whakaahua. E mohiotia ana ko te matawai haumarutanga kei muri i te rehita whakaahua a Quay (mai i CoreOS - āhua. whakamaori.). Ka taea e Clair te kohi korero CVE mai i te maha o nga momo puna, tae atu ki nga rarangi o nga whakaraeraetanga tohatoha-motuhake Linux e tiakina ana e te Debian, Red Hat, me nga roopu haumaru Ubuntu.

Kaore i rite ki a Anchore, ka aro nui a Clair ki te rapu whakaraeraetanga me te whakataurite i nga raraunga ki nga CVE. Heoi, ka tukuna e te hua ki nga kaiwhakamahi etahi waahi ki te whakawhānui ake i nga mahi ma te whakamahi i nga taraiwa mono-mai.

dagda

• paetukutuku: github.com/eliasgranderubio/dagda
• Raihana: kore utu (Apache)

Ka mahia e Dagda te tātaritanga o nga whakaahua ipu mo nga whakaraeraetanga e mohiotia ana, Trojans, huaketo, malware me etahi atu tuma.

E rua nga ahuatanga rongonui e wehewehe ana i a Dagda mai i etahi atu taputapu rite:

• Ka tuitui pai ki ClamAV, ehara i te mea he taputapu mo te matawai i nga whakaahua ipu, engari ano he wheori.
• Ka whakarato ano hoki i te whakamarumaru o te wa whakahaere ma te tango i nga huihuinga tuuturu mai i te Docker daemon me te whakauru ki a Falco (tirohia ki raro) ki te kohikohi i nga kaupapa haumaru i te wa e rere ana te ipu.

KubeXray

• paetukutuku: github.com/jfrog/kubexray
• Raihana: Koreutu (Apache), engari me hiahia raraunga mai i JFrog Xray (hua hokohoko)

Ka whakarongo a KubeXray ki nga huihuinga mai i te tūmau API Kubernetes me te whakamahi metadata mai i JFrog Xray ki te whakarite ka whakarewahia nga poti e rite ana ki te kaupapa here o naianei.

Ehara i te mea ko te KubeXray anake te tirotiro i nga ipu hou, i whakahōuhia ranei i roto i nga whakatakotoranga (he rite ki te kaiwhakahaere whakauru i Kubernetes), engari ka hihiko ano te tirotiro i nga ipu e rere ana kia rite ki nga kaupapa here haumarutanga hou, me te tango rauemi e tohutoro ana i nga whakaahua whakaraerae.

Snyk

• paetukutuku: snyk.io
• Raihana: kore utu (Apache) me nga putanga arumoni

He matawai whakaraerae rerekee a Snyk i te mea e aro ana ia ki te mahi whanaketanga me te whakatairangahia hei "whakaaronga tino nui" mo nga kaihanga.

Ka hono tika a Snyk ki nga whare pupuri waehere, ka panui i te whakaaturanga kaupapa me te tātari i te waehere kawemai me nga whakawhirinakitanga tika me te kore. Ka tautoko a Snyk i te maha o nga reo hotaka rongonui ka taea te tautuhi i nga tupono raihana huna.

He iti noa

• paetukutuku: github.com/knqyf263/trivy
• Raihana: kore utu (AGPL)

Ko Trivy he matawai whakaraerae ngawari engari kaha mo nga ipu ka uru ngawari ki te paipa CI/CD. Ko tana ahuatanga rongonui ko te ngawari o te whakaurunga me te mahi: ko te tono kei roto i te rua kotahi me te kore e tono kia whakauruhia he papaa raraunga, whare pukapuka taapiri ranei.

Ko te ngoikoretanga o te ngawari o Trivy me whakaaro koe me pehea te wetewete me te tuku i nga hua ki te whakatakotoranga JSON kia taea ai e etahi atu taputapu haumaru Kubernetes te whakamahi.

Haumarutanga wa whakahaere i Kubernetes

Falco

• paetukutuku: falco.org
• Raihana: kore utu (Apache)

Ko Falco he huinga taputapu mo te whakamarumaru i nga taiao o te wa whakahaere kapua. He wahanga o te whanau kaupapa CNCF.

Ma te whakamahi a Sysdig's Linux kernel-level tooling and system call profiling, Falco ka taea e koe te ruku hohonu ki te whanonga punaha. Ka taea e tana miihini ture wa whakahaere te kite i nga mahi hihira i roto i nga tono, ipu, te kaihautu o raro, me te Kaihautu Kubernetes.

Ka whakarato a Falco i te tino marama i roto i te waa whakahaere me te rapu whakatuma ma te tuku i nga kaihoko motuhake i runga i nga pona Kubernetes mo enei kaupapa. Ko te mutunga, kaore he take ki te whakarereke i nga ipu ma te whakauru i te waehere tuatoru-tuatoru ki roto, ki te taapiri ranei i nga ipu taha.

Anga mahi haumaru Linux mo te wa whakahaere

Ko enei anga taketake mo te kernel Linux ehara i te "taputapu haumaru Kubernetes" i roto i te tikanga tuku iho, engari he mea tika kia whakahuahia na te mea he mea nui i roto i te horopaki o te haumarutanga wa whakahaere, kei roto i te Kubernetes Pod Security Policy (PSP).

Āpiha ka whakapiri i te kotaha haumarutanga ki nga tukanga e rere ana i roto i te ipu, te tautuhi i nga mana o te punaha konae, nga ture uru whatunga, te hono whare pukapuka, aha atu. He punaha tenei i runga i te Mandatory Access Control (MAC). I etahi atu kupu, ka aukati i nga mahi aukati kia mahia.

Linux Whakarei Haumarutanga (SELinux) he kōwae haumarutanga matatau i roto i te kernel Linux, he rite ki etahi ahuatanga ki te AppArmor me te whakataurite ki a ia. He pai ake a SELinux ki a AppArmor i te kaha, te ngawari me te whakaritenga. Ko ona ngoikoretanga ko te anau ako roa me te piki haere o te uaua.

Seccomp me te seccomp-bpf ka taea e koe te tarai i nga waea punaha, te aukati i te mahi o nga mea e kino ana mo te turanga OS me te kore e hiahiatia mo te mahi noa o nga tono kaiwhakamahi. He rite a Seccomp ki a Falco i etahi ahuatanga, ahakoa kaore ia e mohio ki nga ahuatanga o nga ipu.

Sysdig puna tuwhera

• paetukutuku: www.sysdig.com/opensource
• Raihana: kore utu (Apache)

He taputapu katoa a Sysdig mo te tātari, te tirotiro me te patuiro i nga punaha Linux (he mahi ano i runga i te Matapihi me te macOS, engari he iti nga mahi). Ka taea te whakamahi mo te kohikohi korero taipitopito, te manatoko me te tātaritanga mo te mate. (whakamatau) te punaha turanga me nga ipu e rere ana ki runga.

Ka tautoko taketake ano a Sysdig i nga wa whakahaere ipu me nga metadata Kubernetes, me te taapiri atu i nga rahi me nga tapanga ki nga korero whanonga punaha katoa ka kohia e ia. He maha nga huarahi hei wetewete i te kahui Kubernetes ma te whakamahi i te Sysdig: ka taea e koe te hopu i te waa-waa ma te whakamahi hopu kubectl ka whakarewahia ranei he atanga tauwhitiwhiti-a-ncurses ma te whakamahi i tetahi mono kubectl keri.

Haumarutanga Whatunga Kubernetes

Aporeto

• paetukutuku: www.aporeto.com
• Raihana: arumoni

Ka tukuna e Aporeto "te haumaru i wehea mai i te whatunga me te hanganga." Ko te tikanga ko nga ratonga Kubernetes ehara i te whiwhi ID rohe anake (arā, ServiceAccount i Kubernetes), engari he ID katoa/matimati ka taea te whakamahi ki te korero haumaru me te mahi tahi me etahi atu ratonga, hei tauira i roto i te roopu OpenShift.

Ka taea e Aporeto te whakaputa ID ahurei ehara mo nga Kubernetes/putea anake, engari mo nga kaihautu, nga mahi kapua me nga kaiwhakamahi. I runga i enei tohu tohu me te huinga o nga ture haumaru whatunga kua whakaritea e te kaiwhakahaere, ka whakaaetia, ka aukatihia ranei nga korero.

Calico

• paetukutuku: www.projectcalico.org
• Raihana: kore utu (Apache)

Ka tukuna te Calico i te wa o te whakaurunga o te kaiwhakaahua ipu, ka taea e koe te hanga i tetahi whatunga mariko e hono ana i nga ipu. I tua atu i tenei mahinga whatunga matua, ka mahi tahi te kaupapa Calico me nga Kaupapahere Whatunga Kubernetes me ona ake huinga o nga korero haumaru whatunga, e tautoko ana i nga ACL (rarangi mana uru) me nga ture haumarutanga whatunga e pa ana ki nga korero mo te hokohoko Ingress me te Egress.

cilium

• paetukutuku: www.cilium.io
• Raihana: kore utu (Apache)

Ka mahi a Cilium hei paahi ahi mo nga ipu me te whakarato i nga ahuatanga haumarutanga whatunga i whakaingoatia ki a Kubernetes me nga kawenga mahi microservices. Kei te whakamahi a Cilium i te hangarau kakano Linux hou e kiia nei ko BPF (Berkeley Packet Filter) ki te tātari, ki te aro turuki, ki te whakatika me te whakatika raraunga.

Ka taea e Cilium te tuku kaupapa here uru ki te whatunga i runga i nga ID ipu ma te whakamahi i nga tapanga Docker, Kubernetes ranei me nga metadata. Kei te mohio a Cilium me te tātari i nga momo kawa Layer 7 penei i te HTTP me te gRPC, ka taea e koe te tautuhi i te huinga waea REST ka whakaaetia i waenga i nga tukunga Kubernetes e rua, hei tauira.

Istio

• paetukutuku: isio.io
• Raihana: kore utu (Apache)

Kei te mohiotia nuitia a Istio mo te whakatinana i te tauira mesh mesh ma te whakamahi i te waka rererangi mana motuhake me te arataki i nga waka ratonga whakahaere katoa na roto i nga tohu a Envoy e taea te whirihora. Ka whai hua a Istio i tenei tirohanga matatau mo nga ratonga miihini katoa me nga ipu hei whakatinana i nga momo rautaki haumarutanga whatunga.

Kei roto i nga kaha haumarutanga whatunga a Istio te whakamunatanga TLS marama ki te whakahou aunoa i nga whakawhitinga korero i waenga i nga ratonga miihini ki te HTTPS, me tetahi punaha tohu RBAC me te punaha whakamana hei tuku/whakakore i te whakawhitiwhiti korero i waenga i nga momo mahi i roto i te roopu.

Tuhipoka. whakamaori.: Ki te ako atu mo nga kaha a Istio e arotahi ana ki te haumarutanga, panui tenei tuhinga.

Tikina

• paetukutuku: www.tigera.io
• Raihana: arumoni

Ka kiia ko te "Patuahi Kubernetes," ko tenei otinga e whakanui ana i te huarahi kore-whirinaki ki te haumarutanga whatunga.

He rite ki etahi atu otinga whatunga Kubernetes taketake, e whakawhirinaki ana a Tigera ki nga metadata ki te tautuhi i nga momo ratonga me nga taonga kei roto i te roopu me te whakarato i te rapunga take wa-haere, te arowhai i nga hanganga ture tonu, me te tirohanga whatunga mo nga hanganga maha-kapua, ranu monolithic-kopu ranei.

Trireme

• paetukutuku: www.aporeto.com/opensource
• Raihana: kore utu (Apache)

Ko te Trireme-Kubernetes he whakatinanatanga ngawari me te ngawari o te whakaritenga Kaupapahere Whatunga Kubernetes. Ko te mea tino rongonui ko - kaore i rite ki nga hua haumarutanga whatunga Kubernetes - kaore e hiahiatia he rererangi whakahaere pokapū hei whakarite i te mata. Ma tenei ka taea te whakatauine te otinga. I Trireme, ka tutuki tenei ma te whakauru i tetahi kaihoko ki ia node e hono tika ana ki te puranga TCP/IP o te kaihautu.

Te Whakatairanga Atahanga me te Whakahaere Mea ngaro

Karekau

• paetukutuku: grafeas.io
• Raihana: kore utu (Apache)

Ko Grafeas he API puna tuwhera mo te tirotiro me te whakahaere raupaparorohiko raupaparorohiko. I te taumata taketake, he taputapu a Grafeas mo te kohikohi metadata me nga kitenga arotake. Ka taea te whakamahi ki te whai i nga tautukunga ki nga mahi haumaru i roto i tetahi whakahaere.

Ka awhina tenei puna pono o te pono ki te whakautu i nga patai penei:

• Na wai i kohi me te haina mo tetahi ipu?
• Kua paahitia e ia nga karapa haumarutanga me nga arowhai e hiahiatia ana e te kaupapa here haumarutanga? Āhea? He aha nga hua?
• Na wai i tuku ki te whakaputa? He aha nga tawhā motuhake i whakamahia i te wa tukunga?

In-toto

• paetukutuku: in-toto.github.io
• Raihana: kore utu (Apache)

Ko te In-toto he anga i hangaia hei whakarato i te pono, te motuhēhēnga me te arotakenga o te mekameka tuku rorohiko katoa. I te wa e tuku ana a In-toto ki roto i tetahi hanganga, ka tautuhia he mahere e whakaatu ana i nga momo hikoinga i roto i te paipa (te putunga, nga taputapu CI/CD, nga taputapu QA, nga kaikohi taonga, me etahi atu) me nga kaiwhakamahi (nga tangata whai mana) ka whakaaetia kia timata ratou.

Ka aro turukihia e In-toto te mahinga o te mahere, me te manatoko kei te mahi tika ia mahi i roto i te mekameka e nga kaimahi whai mana anake, kaore ano kia whakahaerea nga mahi kore mana ki te hua i te wa e neke ana.

Portieris

• paetukutuku: github.com/IBM/portieris
• Raihana: kore utu (Apache)

Ko Portieris he kaiwhakahaere whakauru mo Kubernetes; whakamahia ki te uruhi arowhai whakawhirinaki ihirangi. Ka whakamahi a Portieris i te tūmau Notari (i tuhia e matou mo ia i te mutunga tenei tuhinga - āhua. whakamaori.) hei puna pono ki te whakamana i nga taonga toi pono me te hainatanga (ara nga whakaahua ipu kua whakaaetia).

Ina waihangahia, ka whakarereketia ranei he mahi ki Kubernetes, ka tango a Portieris i nga korero hainatanga me nga kaupapa here whakawhirinaki mo nga whakaahua ipu kua tonoa, a, ki te tika, ka whakarereke i runga i te rere ki te ahanoa JSON API hei whakahaere i nga putanga hainatia o aua whakaahua.

Vault

• paetukutuku: www.vaultproject.io
• Raihana: kore utu (MPL)

Ko Vault he otinga haumaru mo te penapena korero motuhake: kupuhipa, tohu OAuth, tiwhikete PKI, kaute uru, mea ngaro Kubernetes, etc. Ka tautokohia e Vault te maha o nga ahuatanga matatau, penei i te riihi i nga tohu haumaru ephemeral, te whakarite ranei i te hurihanga matua.

Ma te whakamahi i te tūtohi Helm, ka taea te tuku a Vault hei tukunga hou ki roto i te kahui Kubernetes me te Consul hei rokiroki whakamuri. Ka tautokohia e ia nga rauemi taketake o Kubernetes penei i nga tohu ServiceAccount ka taea hoki te mahi hei toa taunoa mo nga mea ngaro a Kubernetes.

Tuhipoka. whakamaori.: Ma te ara, inanahi nei ko te kamupene HashiCorp, e whakawhanake ana i a Vault, i kii etahi whakapainga mo te whakamahi Vault i Kubernetes, ina koa e pa ana ki te tūtohi Helm. Pānuitia atu i roto i blog kaiwhakawhanake.

Kaute Haumarutanga Kubernetes

Kube-paepae

• paetukutuku: github.com/aquasecurity/kube-bench
• Raihana: kore utu (Apache)

Ko te Kube-bench he tono Haere e tirotiro ana mena kei te noho humarie a Kubernetes ma te whakahaere i nga whakamatautau mai i te raarangi. CIS Kubernetes Tohu Paerewa.

Kei te rapu a Kube-bench i nga tautuhinga whirihoranga haumaru i waenga i nga waahanga huinga (etcd, API, kaiwhakahaere kaiwhakahaere, me etahi atu), motika uru ki te konae, nga kaute kore parenga, nga tauranga tuwhera ranei, nga waahanga rauemi, nga tautuhinga mo te whakaiti i te maha o nga waea API hei tiaki i nga whakaeke DoS , etc.

Kube-hunter

• paetukutuku: github.com/aquasecurity/kube-hunter
• Raihana: kore utu (Apache)

Ka whai a Kube-hunter mo nga whakaraeraetanga pea (penei i te mahi waehere mamao, te whakaatu raraunga ranei) i roto i nga tautau Kubernetes. Ka taea te whakahaere a Kube-hunter hei matawai mamao - ka arotakehia e ia te tautau mai i te tirohanga a te tangata whakaeke-tuatoru - hei peera ranei i roto i te tautau.

Ko tetahi ahuatanga motuhake o Kube-hunter ko tana aratau "whakangau kaha", i te wa e kore e ripoata noa i nga raru, engari ka ngana ano ki te tango painga o nga whakaraeraetanga ka kitea i roto i te kahui whaanui ka raru pea tana mahi. No reira whakamahia ma te tupato!

Kubeaudit

• paetukutuku: github.com/Shopify/kubeaudit
• Raihana: kore utu (MIT)

He taputapu papatohu a Kubeaudit i hangaia i Shopify ki te arotake i te whirihoranga Kubernetes mo nga momo take haumarutanga. Hei tauira, ka awhina i te tautuhi i nga ipu e rere kore here ana, e rere ana hei putake, e mahi kino ana i nga mana, ma te whakamahi ranei i te Pūkete Ratonga taunoa.

Kei a Kubeaudit etahi atu ahuatanga whakamere. Hei tauira, ka taea e ia te wetewete i nga konae YAML rohe, te tautuhi i nga hapa whirihoranga ka raru pea te haumarutanga, me te whakatika aunoa.

Kubesec

• paetukutuku: kubesec.io
• Raihana: kore utu (Apache)

He taputapu motuhake a Kubesec na tana karapa tika i nga konae YAML e whakaahua ana i nga rauemi Kubernetes, e rapu ana i nga tawhā ngoikore ka pa ki te haumarutanga.

Hei tauira, ka taea e ia te kite i nga mana nui me nga whakaaetanga ka tukuna ki te poti, te whakahaere i tetahi ipu me te pakiaka hei kaiwhakamahi taunoa, te hono atu ki te mokowāingoa whatunga o te kaihautu, ki nga pikinga kino penei /proc te kaihautu, te turanga Docker ranei. Ko tetahi atu mea whakamiharo o Kubesec ko te ratonga demo e waatea ana i runga ipurangi, ka taea e koe te tuku YAML me te tātari tonu.

Kaihoko Kaupapa Tuwhera

• paetukutuku: www.openpolicyagent.org
• Raihana: kore utu (Apache)

Ko te ariā o OPA (Open Policy Agent) ko te whakakore i nga kaupapa here haumaru me nga tikanga pai mo te haumarutanga mai i tetahi papaaahi wa mahi: Docker, Kubernetes, Mesosphere, OpenShift, tetahi huinga ranei.

Hei tauira, ka taea e koe te tuku OPA hei tuara mo te kaiwhakahaere urunga Kubernetes, ka tuku whakatau haumarutanga ki a ia. Ma tenei ara, ka taea e te kaihoko OPA te whakamana, te whakakore, me te whakarereke i nga tono i runga i te rere, me te whakarite kia tutuki nga tawhā haumarutanga kua tohua. Kua tuhia nga kaupapa here haumarutanga a OPA ki tana reo DSL rangatira, Rego.

Tuhipoka. whakamaori.: I tuhia e matou etahi atu korero mo OPA (me SPIFFE) i roto tenei rauemi.

Nga taputapu arumoni matawhānui mo te tātaritanga haumarutanga a Kubernetes

I whakatau matou ki te hanga i tetahi waahanga motuhake mo nga papaaho arumoni na te mea he maha nga waahi haumaru e kapi ana. Ko te whakaaro whanui mo o raatau kaha ka taea te tiki mai i te tepu:

* Te whakamātautau matatau me te tātari tūpāpaku kua oti te kahakina waea pūnaha.

Haumaru Aqua

• paetukutuku: www.aquasec.com
• Raihana: arumoni

Ko tenei taputapu arumoni kua hangaia mo nga ipu me nga kawenga mahi kapua. Ka whakarato:

• Ko te matawai whakaahua kua whakauruhia ki te rehita ipu, te paipa paipa CI/CD ranei;
• Te whakamarutanga o te wa whakahaere me te rapu i nga huringa o nga ipu me etahi atu mahi hihira;
• Ipu-papaahi taketake;
• Haumarutanga mo te kore tūmau i roto i nga ratonga kapua;
• Ko nga whakamatautau hanganga me te aro turuki me te whakaurunga o nga huihuinga.

Tuhipoka. whakamaori.: Me mahara ano kei reira waahanga kore utu o te hua e kiia ana MicroScanner, ka taea e koe te matawai i nga whakaahua ipu mo nga whakaraeraetanga. Ko te whakataurite o ona kaha me nga putanga utu ka whakaatuhia ki roto tenei tepu.

Kapete8

• paetukutuku: capsule8.com
• Raihana: arumoni

Ka whakauru a Capsule8 ki roto i te hanganga ma te whakauru i te kaitirotiro ki runga i te kahui Kubernetes rohe, kapua ranei. Ka kohia e tenei kaitirotiro te kaihautu me te waea waea, ka hono ki nga momo whakaeke rereke.

Ko te roopu Capsule8 e kite ana i tana mahi ko te kimi wawe me te aukati i nga whakaeke ma te whakamahi i nga mea hou (0-ra) whakaraeraetanga. Ka taea e Capsule8 te tango tika i nga ture haumarutanga ki nga kaitirotiro hei whakautu ki nga whakatumatanga hou me nga whakaraeraetanga rorohiko.

Cavirin

• paetukutuku: www.cavirin.com
• Raihana: arumoni

Ka mahi a Cavirin hei kaikirimana taha-kamupene mo nga momo umanga e uru ana ki nga paerewa haumaru. Ehara i te mea ka taea e ia te matawai i nga whakaahua, engari ka uru ano ki roto i te paipa CI/CD, ka aukati i nga whakaahua kore-paerewa i mua i to uru ki roto i nga putunga kati.

Ko te huinga haumarutanga a Cavirin e whakamahi ana i te ako miihini ki te aromatawai i to tuunga haumarutanga ipurangi, te tuku tohutohu hei whakapai ake i te haumarutanga me te whakapai ake i te hanganga ture ki nga paerewa haumarutanga.

Google Cloud Security Command Center

• paetukutuku: cloud.google.com/security-command-center
• Raihana: arumoni

Ka awhina te Cloud Security Command Center ki nga roopu haumaru ki te kohi raraunga, ki te tautuhi i nga riri, me te whakakore i mua i te kino o te kamupene.

Ko te ingoa e kii ana, ko Google Cloud SCC he paewhiri mana whakakotahi ka taea te whakauru me te whakahaere i nga momo purongo haumarutanga, nga miihini kaute kaute, me nga punaha haumarutanga tuatoru mai i te puna kotahi.

Ko te API interoperable e tukuna ana e Google Cloud SCC he ngawari ki te whakauru i nga huihuinga haumarutanga ka puta mai i nga momo puna, penei i te Sysdig Secure (haumarutanga ipu mo nga tono-a-kapua) ko Falco ranei (te haumarutanga o te wa whakahaere o Open Source).

Maramatanga Paparanga (Kounga)

• paetukutuku: layeredinsight.com
• Raihana: arumoni

Layered Insight (inaianei he waahanga o Qualys Inc) i hangaia i runga i te kaupapa o te "haumarutanga whakauru." Whai muri i te karapa i te ahua taketake mo nga whakaraeraetanga ma te whakamahi i te tātari tauanga me te arowhai CVE, ka whakakapihia e te Layered Insight ki te whakaahua whai taputapu kei roto ko te kaihoko hei tohu-rua.

Kei roto i tenei kaihoko nga whakamatautau haumarutanga mo te wa whakahaere hei tātari i nga waka whatunga ipu, nga rerenga I/O me nga mahi tono. I tua atu, ka taea e ia te mahi i etahi atu arowhai haumarutanga i tohua e te kaiwhakahaere hanganga, nga roopu DevOps ranei.

NeuVector

• paetukutuku: neuvector.com
• Raihana: arumoni

Ka arowhai a NeuVector i te haumarutanga ipu me te whakamarumaru i te wa whakahaere ma te tātari i nga mahi whatunga me te whanonga tono, te hanga i tetahi tohu haumarutanga takitahi mo ia ipu. Ka taea hoki e ia te aukati i nga tuma nana ake, ka wehe i nga mahi hihira ma te huri i nga ture paahi o te rohe.

Ko te whakauru whatunga a NeuVector, e mohiotia ana ko Security Mesh, he kaha ki te tātari paatete hohonu me te tātari paparanga 7 mo nga hononga whatunga katoa i roto i te mata ratonga.

StackRox

• paetukutuku: www.stackrox.com
• Raihana: arumoni

E ngana ana te tüäpapa haumaru ipu StackRox ki te kapi i te huringa ora katoa o nga tono Kubernetes i roto i te roopu. Pērā i ētahi atu tūāpapa arumoni i runga i tēnei rārangi, ka hangaia e StackRox he kōtaha wā whakahaere i runga i te whanonga ipu kua kitea, ka whakaara aunoa i te whakaoho mo nga momo rereke.

I tua atu, ka tātarihia e StackRox nga whirihoranga Kubernetes ma te whakamahi i te Kubernetes CIS me etahi atu pukapuka ture hei arotake i te hanganga ture.

Sysdig Haumaru

• paetukutuku: sysdig.com/products/secure
• Raihana: arumoni

Ka tiakina e Sysdig Secure nga tono puta noa i te ipu katoa me te huringa ora o Kubernetes. Ko ia karapa whakaahua ipu, whakarato tiaki wā whakahaere e ai ki nga raraunga ako miihini, ka mahi kirīmi. te tohungatanga ki te tautuhi i nga whakaraeraetanga, te aukati i nga whakawehi, te aro turuki te hanganga ture ki nga paerewa kua whakaritea me te arotake i nga mahi i roto i nga ratonga miihini.

Ko te Sysdig Secure e hono ana ki nga taputapu CI/CD penei i a Jenkins me te whakahaere i nga whakaahua kua utaina mai i nga rehita Docker, hei aukati i nga whakaahua kino mai i te whakaputanga. Ka whakarato ano hoki i te haumarutanga wa whakahaere, tae atu ki:

• ML-i runga i te wa-whakahaere profiling me te kitenga anomaly;
• kaupapa here wā whakahaere i runga i nga kaupapa punaha, K8s-audit API, kaupapa hapori tahi (FIM - te aroturuki i te pono o te konae; cryptojacking) me te anga MITER ATT&CK;
• te whakautu me te whakatau i nga aitua.

Haumarutanga Ipu Whakapono

• paetukutuku: www.tenable.com/products/tenable-io/container-security
• Raihana: arumoni

I mua i te taenga mai o nga ipu, i mohiotia nuitia a Tenable i roto i te umanga ko te kamupene kei muri i a Nessus, he taputapu hopu whakaraerae rongonui me te taputapu arowhai haumaru.

Tenable Container Security te whakamahi i te tohungatanga haumaru rorohiko a te kamupene ki te whakauru i te paipa CI/CD me nga papaunga whakaraeraetanga, nga kohinga rapunga kino, me nga taunakitanga mo te whakatau i nga tuma haumarutanga.

Twistlock (Palo Alto Whatunga)

• paetukutuku: www.twistlock.com
• Raihana: arumoni

Ka whakatairanga a Twistlock i a ia ano hei papaaho e aro ana ki nga ratonga kapua me nga ipu. Kei te tautoko a Twistlock i nga momo kaiwhakarato kapua (AWS, Azure, GCP), nga kaitoi ipu (Kubernetes, Mesospehere, OpenShift, Docker), nga wa whakahaere kore, nga anga mata me nga taputapu CI/CD.

I tua atu i nga tikanga haumaru-a-hinonga tikanga penei i te whakaurunga paipa CI/CD, te matawai atahanga ranei, ka whakamahi a Twistlock i te ako miihini ki te whakaputa tauira whanonga motuhake me nga ture whatunga.

I etahi wa i mua, i hokona a Twistlock e Palo Alto Networks, nona nga kaupapa Evident.io me RedLock. Kaore ano kia mohiotia me pehea te whakauru o enei papaaho e toru ki roto Prisma mai i Palo Alto.

Awhina ki te hanga i te raarangi tino pai o nga taputapu haumaru Kubernetes!

Ka whakapau kaha matou ki te whakaoti i tenei putumōhiotanga, a mo tenei ka hiahia matou ki to awhina! Whakapā mai (@sysdig) mena kei a koe he taputapu hauhautanga e tika ana kia whakauruhia ki roto i tenei rarangi, ka kitea ranei he korero hapa / tawhito.

Ka taea hoki e koe te ohauru ki ta maatau panui marama me nga purongo mai i te rauwiringa kaiao taketake me nga korero mo nga kaupapa whakamere mai i te ao o te haumarutanga Kubernetes.

PS mai i te kaiwhakamaori

Pānuihia hoki i runga i ta maatau blog:

• «He Kupu Whakataki ki nga Kaupapahere Whatunga Kubernetes mo nga Ngaio Haumarutanga";
• «Docker me Kubernetes i roto i nga taiao e hiahia ana ki te haumaru";
• «9 Nga Mahi Pai Haumarutanga Kubernetes";
• «11 Nga huarahi ki te (Kaore) Kia taumanutia i Kubernetes";
• «Ko OPA me SPIFFE nga kaupapa hou e rua i CNCF mo te haumarutanga tono kapua".

Source: will.com