🥇33+ алатки за безбедност на Кубернетс

Забелешка. превод.: Ако се прашувате за безбедноста во инфраструктурата базирана на Кубернетес, овој одличен преглед од Sysdig е одлична почетна точка за брз поглед на тековните решенија. Вклучува и сложени системи од познати играчи на пазарот и многу поскромни комунални услуги кои решаваат одреден проблем. И во коментарите, како и секогаш, ќе ни биде задоволство да слушнеме за вашето искуство со користење на овие алатки и да видиме врски до други проекти.

Безбедносни софтверски производи на Kubernetes... ги има толку многу, секој со свои цели, опсег и лиценци.

Затоа решивме да ја создадеме оваа листа и да вклучиме и проекти со отворен код и комерцијални платформи од различни продавачи. Се надеваме дека ќе ви помогне да ги идентификувате оние кои се од најголем интерес и да ве упати во вистинската насока врз основа на вашите специфични безбедносни потреби на Kubernetes.

Скенирање на слики од Kubernetes

Сидро

Веб страна: сидро.com
Лиценца: бесплатна (Apache) и комерцијална понуда

Anchore ги анализира сликите од контејнери и дозволува безбедносни проверки врз основа на правила дефинирани од корисникот.

Покрај вообичаеното скенирање на слики од контејнери за познати пропусти од базата на податоци CVE, Anchore врши многу дополнителни проверки како дел од својата политика за скенирање: го проверува Dockerfile, протекување акредитиви, пакети на програмските јазици што се користат (npm, maven, итн. .), софтверски лиценци и многу повеќе.

Отстрани

Веб страна: coreos.com/clair (сега под туторство на Red Hat)
Лиценца: бесплатно (Apache)

Клер беше еден од првите проекти со отворен код за скенирање слики. Нашироко е познат како безбедносен скенер зад регистарот на слики на Кеј (исто така од CoreOS - прибл. превод). Clair може да собира информации за CVE од широк спектар на извори, вклучувајќи списоци на ранливости специфични за дистрибуцијата на Linux, одржувани од безбедносните тимови на Debian, Red Hat или Ubuntu.

За разлика од Anchore, Clair првенствено се фокусира на пронаоѓање на ранливости и усогласување на податоците со CVE. Сепак, производот им нуди на корисниците некои можности за проширување на функциите користејќи двигатели за приклучоци.

Дагда

Веб страна: github.com/eliasgranderubio/dagda
Лиценца: бесплатно (Apache)

Дагда врши статичка анализа на слики од контејнери за познати пропусти, тројанци, вируси, малициозен софтвер и други закани.

Две значајни карактеристики ја разликуваат Дагда од другите слични алатки:

Совршено се интегрира со ClamAV, делува не само како алатка за скенирање на слики од контејнери, туку и како антивирус.
Исто така, обезбедува заштита на траење со примање настани во реално време од демонот на Docker и интегрирање со Falco (Види подолу) да собира безбедносни настани додека работи контејнерот.

KubeXray

Веб страна: github.com/jfrog/kubexray
Лиценца: Бесплатна (Apache), но бара податоци од JFrog Xray (комерцијален производ)

KubeXray слуша настани од серверот Kubernetes API и користи метаподатоци од JFrog Xray за да се погрижи да се стартуваат само подлоги што одговараат на тековната политика.

KubeXray не само што ги ревидира новите или ажурираните контејнери во распоредувањата (слично на контролорот за прием во Kubernetes), туку и динамично ги проверува тековните контејнери за усогласеност со новите безбедносни политики, отстранувајќи ги ресурсите што упатуваат на ранливи слики.

Снајк

Веб страна: snyk.io
Лиценца: бесплатни (Apache) и комерцијални верзии

Snyk е необичен скенер за ранливост по тоа што конкретно го таргетира развојниот процес и е промовиран како „суштинско решение“ за програмерите.

Snyk директно се поврзува со складиштата на кодови, го анализира проектниот манифест и го анализира увезениот код заедно со директните и индиректните зависности. Snyk поддржува многу популарни програмски јазици и може да идентификува скриени ризици за лиценца.

Триви

Веб страна: github.com/knqyf263/trivy
Лиценца: бесплатно (AGPL)

Trivy е едноставен, но моќен скенер за ранливост за контејнери што лесно се интегрира во цевководот CI/CD. Нејзината забележителна карактеристика е леснотијата на инсталација и ракување: апликацијата се состои од една бинарна форма и не бара инсталирање на база на податоци или дополнителни библиотеки.

Негативната страна на едноставноста на Trivy е тоа што треба да сфатите како да ги анализирате и проследите резултатите во JSON формат за да можат да ги користат другите безбедносни алатки на Kubernetes.

Безбедност на траење во Кубернетес

Фалко

Веб страна: falco.org
Лиценца: бесплатно (Apache)

Falco е збир на алатки за обезбедување на средини за извршување на облак. Дел од семејството на проектот CNCF.

Користејќи ги алатките на Sysdig на ниво на јадрото на Линукс и профилирање на системски повици, Falco ви овозможува длабоко да се нурнете во однесувањето на системот. Неговиот мотор со правила на траење е способен да открие сомнителна активност во апликациите, контејнерите, основниот домаќин и оркестраторот на Кубернетес.

Falco обезбедува целосна транспарентност во времето на извршување и откривање закани со распоредување специјални агенти на Kubernetes јазлите за овие цели. Како резултат на тоа, нема потреба да се менуваат контејнерите со воведување на код од трета страна во нив или со додавање на контејнери со странична карта.

Безбедносни рамки за Linux за време на траење

Овие природни рамки за кернелот Линукс не се „безбедносни алатки на Kubernetes“ во традиционална смисла, но вреди да се споменат затоа што се важен елемент во контекст на безбедноста на траење, која е вклучена во безбедносната политика на Kubernetes Pod (PSP).

AppArmor прикачува безбедносен профил на процесите што се извршуваат во контејнерот, дефинирајќи ги привилегиите на датотечниот систем, правилата за пристап до мрежата, поврзувањето библиотеки итн. Ова е систем базиран на Задолжителна контрола на пристап (MAC). Со други зборови, го спречува извршувањето на забранети дејствија.

Линукс подобрен за безбедност (SELinux) е напреден безбедносен модул во кернелот на Linux, сличен во некои аспекти на AppArmor и често споредуван со него. SELinux е супериорен во однос на AppArmor по моќ, флексибилност и прилагодување. Неговите недостатоци се долгата крива на учење и зголемената сложеност.

Seccomp и seccomp-bpf ви дозволуваат да ги филтрирате системските повици, да го блокирате извршувањето на оние кои се потенцијално опасни за основниот оперативен систем и не се потребни за нормално функционирање на корисничките апликации. Seccomp е сличен на Falco на некој начин, иако не ги знае спецификите на контејнерите.

Sysdig со отворен код

Веб страна: www.sysdig.com/opensource
Лиценца: бесплатно (Apache)

Sysdig е комплетна алатка за анализа, дијагностицирање и дебагирање на Linux системи (исто така работи на Windows и macOS, но со ограничени функции). Може да се користи за детално собирање информации, верификација и форензичка анализа. (форензика) основниот систем и сите контејнери што работат на него.

Sysdig, исто така, природно поддржува траење на контејнери и метаподатоци на Kubernetes, додавајќи дополнителни димензии и етикети на сите информации за однесувањето на системот што ги собира. Постојат неколку начини да се анализира кластерот Kubernetes користејќи Sysdig: можете да извршите снимање точка-во-време преку кубектл фаќање или стартувајте интерактивен интерфејс базиран на ncurses користејќи приклучок kubectl копаат.

Мрежна безбедност на Кубернетес

Апорето

Веб страна: www.aporeto.com
Лиценца: комерцијална

Апорето нуди „безбедност одвоена од мрежата и инфраструктурата“. Ова значи дека услугите на Kubernetes не само што добиваат локален ID (т.е. ServiceAccount во Kubernetes), туку и универзален ID/отпечаток од прст што може да се користи за безбедно и меѓусебно комуницирање со која било друга услуга, на пример во кластерот OpenShift.

Aporeto е способен да генерира уникатен ID не само за Kubernetes/контејнерите, туку и за домаќините, функциите на облакот и корисниците. Во зависност од овие идентификатори и множеството правила за безбедност на мрежата поставени од администраторот, комуникациите ќе бидат дозволени или блокирани.

Американ

Веб страна: www.projectcalico.org
Лиценца: бесплатно (Apache)

Calico обично се распоредува за време на инсталација на оркестратор на контејнери, што ви овозможува да креирате виртуелна мрежа што меѓусебно ги поврзува контејнерите. Покрај оваа основна мрежна функционалност, проектот Calico работи со Kubernetes Network Policies и сопствен сет на мрежни безбедносни профили, поддржува ACL на крајната точка (списоци за контрола на пристап) и мрежни безбедносни правила засновани на прибелешки за влез и излез на сообраќајот.

Цилиум

Веб страна: www.cilium.io
Лиценца: бесплатно (Apache)

Cilium делува како заштитен ѕид за контејнери и обезбедува мрежни безбедносни карактеристики природно приспособени на работните оптоварувања на Kubernetes и microservices. Cilium користи нова технологија на кернелот на Линукс наречена BPF (Беркли пакет филтер) за филтрирање, следење, пренасочување и корекција на податоците.

Cilium е способен да распоредува политики за пристап до мрежата засновани на ID на контејнери користејќи етикети и метаподатоци на Docker или Kubernetes. Cilium, исто така, разбира и филтрира различни протоколи од Layer 7, како што се HTTP или gRPC, што ви овозможува да дефинирате збир на повици REST што ќе бидат дозволени помеѓу две распоредувања на Kubernetes, на пример.

Истио

Веб страна: istio.io
Лиценца: бесплатно (Apache)

Istio е нашироко познат по имплементирање на парадигмата за сервисна мрежа преку распоредување на контролна рамнина независна од платформата и рутирање на целиот управуван сервисен сообраќај преку динамички конфигурабилни прокси Envoy. Istio го користи овој напреден поглед на сите микросервиси и контејнери за да имплементира различни стратегии за безбедност на мрежата.

Способностите за безбедност на мрежата на Istio вклучуваат транспарентно TLS шифрирање за автоматско надградување на комуникациите помеѓу микросервисите до HTTPS и сопствен систем за идентификација и овластување RBAC за да се дозволи/одбие комуникација помеѓу различни оптоварувања во кластерот.

Забелешка. превод.: За да дознаете повеќе за способностите на Istio фокусирани на безбедноста, прочитајте овој напис.

Тигари

Веб страна: www.tigera.io
Лиценца: комерцијална

Наречено „Kubernetes Firewall“, ова решение го нагласува пристапот со нулта доверба кон мрежната безбедност.

Слично на другите домашни мрежни решенија на Kubernetes, Tigera се потпира на метаподатоци за да ги идентификува различните услуги и објекти во кластерот и обезбедува откривање проблеми во времето на извршување, континуирана проверка на усогласеноста и видливост на мрежата за инфраструктури со повеќе облак или хибридни монолитни контејнери.

Трирема

Веб страна: www.aporeto.com/opensource
Лиценца: бесплатно (Apache)

Trireme-Kubernetes е едноставна и јасна имплементација на спецификацијата Kubernetes Network Policies. Најзабележителна карактеристика е тоа што - за разлика од сличните мрежни безбедносни производи на Кубернетес - не бара централна контролна рамнина за координирање на мрежата. Ова го прави решението тривијално скалабилно. Во Trireme, ова се постигнува со инсталирање на агент на секој јазол кој директно се поврзува со оџакот TCP/IP на домаќинот.

Управување со ширење на слики и тајни

Графеи

Веб страна: grafeas.io
Лиценца: бесплатно (Apache)

Grafeas е API со отворен код за ревизија и управување со синџирот на снабдување софтвер. На основно ниво, Grafeas е алатка за собирање метаподатоци и наоди од ревизија. Може да се користи за следење на усогласеноста со најдобрите безбедносни практики во рамките на една организација.

Овој централизиран извор на вистината помага да се одговори на прашања како што се:

Кој собрал и потпишал за одреден контејнер?
Дали ги поминал сите безбедносни скенирања и проверки што ги бара безбедносната политика? Кога? Какви беа резултатите?
Кој го распореди во производството? Кои специфични параметри се користеа за време на распоредувањето?

Во-тото

Веб страна: in-toto.github.io
Лиценца: бесплатно (Apache)

In-toto е рамка дизајнирана да обезбеди интегритет, автентикација и ревизија на целиот синџир на снабдување со софтвер. Кога се распоредува In-toto во инфраструктура, прво се дефинира план кој ги опишува различните чекори во нафтоводот (складиште, алатки за CI/CD, алатки за QA, собирачи на артефакти итн.) и корисниците (одговорни лица) на кои им е дозволено да иницирај ги.

In-toto го следи извршувањето на планот, проверувајќи дали секоја задача во синџирот е правилно извршена само од овластен персонал и дека не се извршени неовластени манипулации со производот за време на движењето.

Портиерис

Веб страна: github.com/IBM/portieris
Лиценца: бесплатно (Apache)

Портиерис е контролер за прием за Кубернетес; се користи за спроведување на проверки на доверба во содржината. Портиерис користи сервер Нотар (за него пишувавме на крајот Оваа статија - прибл. превод) како извор на вистина за потврдување на доверливи и потпишани артефакти (т.е. одобрени слики од контејнери).

Кога ќе се креира или изменува обем на работа во Kubernetes, Portieris ги презема информациите за потпишување и политиката за доверба на содржината за бараните слики од контејнерот и, доколку е потребно, прави промени во моментот на JSON API објектот за да ги извршува потпишаните верзии на тие слики.

Свод

Веб страна: www.vaultproject.io
Лиценца: бесплатно (MPL)

Vault е безбедно решение за складирање на приватни информации: лозинки, OAuth токени, PKI сертификати, сметки за пристап, тајни на Kubernetes итн. Vault поддржува многу напредни функции, како што се закуп на ефемерни безбедносни токени или организирање на ротација на копчињата.

Користејќи го дијаграмот на Helm, Vault може да се распореди како ново распоредување во кластерот Kubernetes со Consul како заднинско складирање. Поддржува изворни ресурси на Кубернетс, како што се токените на ServiceAccount и дури може да дејствува како стандардна продавница за тајните на Кубернет.

Забелешка. превод.: Патем, токму вчера компанијата HashiCorp, која го развива Vault, објави некои подобрувања за користење на Vault во Kubernetes, а особено тие се однесуваат на табелата на Helm. Прочитајте повеќе во блог за програмери.

Безбедносна ревизија на Кубернетес

Кубе-клупа

Веб страна: github.com/aquasecurity/kube-bench
Лиценца: бесплатно (Apache)

Kube-bench е Go апликација која проверува дали Kubernetes е безбедно распоредена со извршување на тестови од список ЗНД Kubernetes репер.

Kube-bench бара несигурни поставки за конфигурација меѓу компонентите на кластерот (etcd, API, менаџер на контролори итн.), сомнителни права за пристап до датотеки, незаштитени сметки или отворени порти, квоти на ресурси, поставки за ограничување на бројот на повици API за заштита од DoS напади , итн.

Ловец на Кубе

Веб страна: github.com/aquasecurity/kube-hunter
Лиценца: бесплатно (Apache)

Kube-hunter лови потенцијални пропусти (како што е далечинско извршување на код или откривање податоци) во кластерите на Kubernetes. Kube-hunter може да се работи како далечински скенер - во тој случај ќе го оцени кластерот од гледна точка на напаѓач од трета страна - или како подлога во кластерот.

Карактеристична карактеристика на Kube-hunter е неговиот режим на „активен лов“, за време на кој не само што известува за проблеми, туку и се обидува да ги искористи ранливостите откриени во целниот кластер што потенцијално би можеле да му наштетат на неговата работа. Затоа користете со претпазливост!

Кубеудит

Веб страна: github.com/Shopify/kubeaudit
Лиценца: бесплатно (MIT)

Kubeaudit е алатка за конзола првично развиена во Shopify за ревизија на конфигурацијата на Kubernetes за различни безбедносни проблеми. На пример, помага да се идентификуваат контејнерите кои работат неограничено, работат како root, злоупотребуваат привилегии или користат стандардна сметка за услуги.

Kubeaudit има и други интересни карактеристики. На пример, може да ги анализира локалните YAML-датотеки, да идентификува недостатоци во конфигурацијата што може да доведат до безбедносни проблеми и автоматски да ги поправа.

Кубешец

Веб страна: kubesec.io
Лиценца: бесплатно (Apache)

Kubesec е специјална алатка со тоа што директно ги скенира датотеките YAML кои ги опишуваат ресурсите на Kubernetes, барајќи слаби параметри кои би можеле да влијаат на безбедноста.

На пример, може да открие прекумерни привилегии и дозволи доделени на pod, да работи контејнер со root како стандарден корисник, да се поврзува со мрежниот простор за имиња на домаќинот или опасни монтирања како /proc хост или докер сокет. Друга интересна карактеристика на Kubesec е демо услугата достапна на интернет, во која можете да поставите YAML и веднаш да ја анализирате.

Отворете го агентот за политика

Веб страна: www.openpolicyagent.org
Лиценца: бесплатно (Apache)

Концептот на OPA (Open Policy Agent) е да ги раздвои безбедносните политики и безбедносните најдобри практики од специфична платформа за извршување: Docker, Kubernetes, Mesosphere, OpenShift или која било комбинација од нив.

На пример, можете да го распоредите OPA како заднина за контролорот за прием на Kubernetes, делегирајќи му ги безбедносните одлуки. На овој начин, агентот OPA може да ги потврдува, отфрли, па дури и да ги менува барањата во лет, осигурувајќи дека се исполнети наведените безбедносни параметри. Безбедносните политики на OPA се напишани на нејзиниот сопствен DSL јазик, Rego.

Забелешка. превод.: Напишавме повеќе за OPA (и SPIFFE) во овој материјал.

Сеопфатни комерцијални алатки за безбедносна анализа на Кубернетес

Решивме да создадеме посебна категорија за комерцијални платформи бидејќи тие обично покриваат повеќе безбедносни области. Општа идеја за нивните способности може да се добие од табелата:

* Напредно испитување и постмортална анализа со комплетна киднапирање на системски повик.

Аква безбедност

Веб страна: www.aquasec.com
Лиценца: комерцијална

Оваа комерцијална алатка е дизајнирана за контејнери и оптоварувања на облак. Обезбедува:

Скенирање на слики интегрирано со регистар на контејнер или цевковод CI/CD;
Заштита за време на траење со пребарување на промени во контејнери и друга сомнителна активност;
Контејнер-мајчин заштитен ѕид;
Безбедност за облак услуги без сервери;
Тестирање и ревизија на усогласеност во комбинација со евиденција на настани.

Забелешка. превод.: Исто така, вреди да се напомене дека постојат слободна компонента на производот наречена Микроскенер, кој ви овозможува да скенирате слики од контејнери за пропусти. Споредба на неговите способности со платени верзии е претставена во оваа табела.

Капсула 8

Веб страна: capsule8.com
Лиценца: комерцијална

Capsule8 се интегрира во инфраструктурата со инсталирање на детекторот на локално или облак кластер Kubernetes. Овој детектор собира телеметрија на домаќинот и мрежата, поврзувајќи ја со различни типови на напади.

Тимот Capsule8 ја гледа својата задача како рано откривање и спречување на напади користејќи нови (0-ден) ранливости. Capsule8 може да преземе ажурирани безбедносни правила директно на детекторите како одговор на новооткриените закани и пропусти на софтверот.

Кавирин

Веб страна: www.cavirin.com
Лиценца: комерцијална

Кавирин делува како изведувач од страна на компанијата за различни агенции вклучени во безбедносните стандарди. Не само што може да скенира слики, туку може и да се интегрира во гасоводот CI/CD, блокирајќи ги нестандардните слики пред да влезат во затворени складишта.

Безбедносниот пакет на Cavirin користи машинско учење за да го процени вашето држење на сајбер безбедноста, нудејќи совети за подобрување на безбедноста и подобрување на усогласеноста со безбедносните стандарди.

Команден центар за безбедност на Google Cloud

Веб страна: cloud.google.com/security-command-center
Лиценца: комерцијална

Cloud Security Command Center им помага на безбедносните тимови да собираат податоци, да идентификуваат закани и да ги елиминираат пред да и наштетат на компанијата.

Како што сугерира името, Google Cloud SCC е унифицирана контролна табла која може да интегрира и управува со различни безбедносни извештаи, мотори за сметководство на средства и безбедносни системи од трета страна од еден, централизиран извор.

Интероперабилниот API што го нуди Google Cloud SCC го олеснува интегрирањето на безбедносните настани што доаѓаат од различни извори, како што е Sysdig Secure (безбедност на контејнер за апликации од облакот) или Falco (безбедност за траење со отворен код).

Слоевит увид (Qualys)

Веб страна: layeredsight.com
Лиценца: комерцијална

Layered Insight (сега дел од Qualys Inc) е изграден на концептот на „вградена безбедност“. По скенирањето на оригиналната слика за пропусти користејќи статистичка анализа и CVE проверки, Layered Insight ја заменува со инструментирана слика која го вклучува агентот како бинарна.

Овој агент содржи безбедносни тестови за време на траење за да го анализира сообраќајот на контејнерската мрежа, тековите на В/И и активноста на апликацијата. Покрај тоа, може да врши дополнителни безбедносни проверки наведени од администраторот на инфраструктурата или тимовите на DevOps.

NeuVector

Веб страна: neuvector.com
Лиценца: комерцијална

NeuVector ја проверува безбедноста на контејнерот и обезбедува заштита за време на траење преку анализа на мрежната активност и однесувањето на апликацијата, создавајќи индивидуален безбедносен профил за секој контејнер. Исто така, може самостојно да блокира закани, изолирајќи ги сомнителните активности со менување на локалните правила за заштитен ѕид.

Мрежната интеграција на NeuVector, позната како Security Mesh, е способна за длабока анализа на пакети и филтрирање на слојот 7 за сите мрежни врски во сервисната мрежа.

StackRox

Веб страна: www.stackrox.com
Лиценца: комерцијална

Платформата за безбедност на контејнери StackRox се стреми да го покрие целиот животен циклус на апликациите на Kubernetes во кластер. Како и другите комерцијални платформи на оваа листа, StackRox генерира профил за траење врз основа на набљудуваното однесување на контејнерот и автоматски го активира алармот за какви било отстапувања.

Дополнително, StackRox ги анализира конфигурациите на Kubernetes користејќи го Kubernetes CIS и други правилници за да ја оцени усогласеноста на контејнерите.

Sysdig Secure

Веб страна: sysdig.com/products/secure
Лиценца: комерцијална

Sysdig Secure ги заштитува апликациите низ целиот животен циклус на контејнер и Kubernetes. Тој скенира слики контејнери, обезбедува заштита за време на траење според податоците за машинско учење, врши крем. експертиза за идентификување на ранливости, блокирање закани, монитори усогласеност со утврдените стандарди и ја ревидира активноста во микросервисите.

Sysdig Secure се интегрира со алатките за CI/CD како што е Џенкинс и ги контролира сликите вчитани од регистрите на Docker, спречувајќи опасни слики да се појавуваат во производството. Исто така, обезбедува сеопфатна безбедност за време на траење, вклучувајќи:

Профилирање и откривање на аномалија базирано на ML;
политики за време на траење засновани на системски настани, K8s-audi API, заеднички проекти во заедницата (FIM - следење на интегритетот на датотеки; криптоџек) и рамка MITER ATT&CK;
одговор и разрешување на инцидентите.

Одржлива безбедност на контејнер

Веб страна: www.tenable.com/products/tenable-io/container-security
Лиценца: комерцијална

Пред појавата на контејнерите, Tenable беше нашироко познат во индустријата како компанија зад Nessus, популарна алатка за лов на ранливост и безбедносна ревизија.

Tenable Container Security ја користи експертизата за компјутерска безбедност на компанијата за интегрирање на CI/CD гасоводот со бази на податоци за ранливост, специјализирани пакети за откривање малициозен софтвер и препораки за решавање на безбедносните закани.

Twistlock (Мрежи на Пало Алто)

Веб страна: www.twistlock.com
Лиценца: комерцијална

Twistlock се промовира како платформа фокусирана на облак услуги и контејнери. Twistlock поддржува различни провајдери на облак (AWS, Azure, GCP), оркестратори на контејнери (Kubernetes, Mesospehere, OpenShift, Docker), работни времиња без сервер, мрежни рамки и алатки за CI/CD.

Покрај конвенционалните безбедносни техники од типот на претпријатие, како што се интеграција на гасоводот CI/CD или скенирање слики, Twistlock користи машинско учење за да генерира модели на однесување специфични за контејнери и мрежни правила.

Пред извесно време, Twistlock беше купен од Palo Alto Networks, кој е сопственик на проектите Evident.io и RedLock. Се уште не е познато како точно ќе се интегрираат овие три платформи Призма од Пало Алто.

Помогнете да се изгради најдобриот каталог на алатки за безбедност на Kubernetes!

Ние се стремиме да го направиме овој каталог што е можно поцелосен, а за ова ни треба вашата помош! Контактирајте не (@sysdig) ако имате на ум кул алатка која вреди да се вклучи во оваа листа, или ако најдете грешка/застарена информација.

Можете исто така да се претплатите на нашата месечен билтен со вести од екосистемот роден во облакот и приказни за интересни проекти од светот на безбедноста на Кубернетес.

PS од преведувач

Прочитајте и на нашиот блог:

Извор: www.habr.com

33+ Kubernetes безбедносни алатки

Категории