33+ Kubernetes аюулгүй байдлын хэрэгсэл

Анхаарна уу. орчуулга.: Хэрэв та Kubernetes-д суурилсан дэд бүтцийн аюулгүй байдлын талаар сонирхож байгаа бол Sysdig-ийн энэхүү гайхалтай тойм нь одоогийн шийдлүүдийг хурдан харах сайхан эхлэл болно. Үүнд зах зээлийн алдартай тоглогчдын нарийн төвөгтэй системүүд болон тодорхой асуудлыг шийддэг илүү даруухан хэрэгслүүд багтдаг. Мөн сэтгэгдлээс бид үргэлж эдгээр хэрэгслүүдийг ашигласан туршлагын талаар сонсож, бусад төслүүдийн холбоосыг үзэхэд таатай байх болно.

Kubernetes аюулгүй байдлын програм хангамжийн бүтээгдэхүүнүүд... маш олон бүтээгдэхүүн байдаг бөгөөд тус бүр өөрийн гэсэн зорилго, хамрах хүрээ, лицензтэй байдаг.

Тийм ч учраас бид энэ жагсаалтыг гаргаж, янз бүрийн үйлдвэрлэгчдийн нээлттэй эхийн төслүүд болон арилжааны платформуудыг багтаахаар шийдсэн. Энэ нь танд хамгийн их сонирхож буйг таньж, Kubernetes-ийн аюулгүй байдлын тусгай хэрэгцээнд тулгуурлан зөв чиглэлд чиглүүлэхэд тусална гэж найдаж байна.

Ангилалууд

Жагсаалтыг удирдахад хялбар болгохын тулд хэрэгслүүдийг үндсэн функц, хэрэглүүрээр нь зохион байгуулдаг. Дараах хэсгүүдийг авсан.

• Kubernetes дүрс сканнердах ба статик шинжилгээ;
• Ажиллах үеийн аюулгүй байдал;
• Kubernetes сүлжээний аюулгүй байдал;
• Зургийн хуваарилалт, нууцын менежмент;
• Kubernetes аюулгүй байдлын аудит;
• Арилжааны иж бүрэн бүтээгдэхүүн.

Ажилдаа орцгооё:

Kubernetes зургийг сканнердаж байна

Зангуу

• вэб хуудас: anchore.com
• Лиценз: үнэ төлбөргүй (Apache) болон арилжааны санал

Anchore нь контейнерийн зурагт дүн шинжилгээ хийж, хэрэглэгчийн тодорхойлсон бодлогод тулгуурлан аюулгүй байдлын шалгалт хийхийг зөвшөөрдөг.

CVE мэдээллийн сангаас мэдэгдэж буй эмзэг байдлыг илрүүлэхийн тулд контейнерийн зургийг ердийн сканнердахаас гадна Anchore нь сканнердах бодлогынхоо нэг хэсэг болгон олон нэмэлт шалгалт хийдэг: Dockerfile, итгэмжлэлийн алдагдлыг, ашигласан програмчлалын хэлний багцуудыг (npm, maven гэх мэт) шалгадаг. .), програм хангамжийн лиценз болон бусад олон .

Clair

• вэб хуудас: coreos.com/clair (одоо Red Hat-ийн удирдлаган дор)
• Лиценз: үнэгүй (Apache)

Clair бол зураг сканнердах анхны нээлттэй эхийн төслүүдийн нэг юм. Энэ нь Quay зургийн бүртгэлийн ард аюулгүй байдлын сканнер гэдгээрээ алдартай (мөн CoreOS-аас - ойролцоогоор. орчуулга). Clair нь CVE-ийн мэдээллийг Debian, Red Hat, эсвэл Ubuntu-ийн аюулгүй байдлын багуудын удирддаг Линуксийн түгээлтэд хамаарах эмзэг байдлын жагсаалт зэрэг олон төрлийн эх сурвалжаас цуглуулах боломжтой.

Anchore-оос ялгаатай нь Клэйр голчлон эмзэг байдлыг хайж олох, CVE-тэй өгөгдлийг тааруулахад анхаардаг. Гэсэн хэдий ч, бүтээгдэхүүн нь хэрэглэгчдэд залгаастай драйверуудыг ашиглан функцийг өргөжүүлэх боломжийг олгодог.

Дагда

• вэб хуудас: github.com/eliasgranderubio/dagda
• Лиценз: үнэгүй (Apache)

Dagda нь мэдэгдэж буй эмзэг байдал, троян, вирус, хортой програм болон бусад аюул заналхийллийн хувьд контейнерийн дүрсний статик шинжилгээ хийдэг.

Дагдыг бусад ижил төстэй хэрэгслээс ялгах хоёр онцлог шинж чанар нь:

• Энэ нь төгс нэгтгэдэг ClamAV, зөвхөн контейнерийн зургийг сканнердах хэрэгсэл төдийгүй вирусны эсрэг үйлчилгээ үзүүлдэг.
• Мөн Docker дэмоноос бодит цагийн үйл явдлуудыг хүлээн авч, Falco-той нэгтгэснээр ажиллах үеийн хамгаалалтыг хангадаг. (доороос үзнэ үү) чингэлэг ажиллаж байх үед аюулгүй байдлын үйл явдлыг цуглуулах.

KubeXray

• вэб хуудас: github.com/jfrog/kubexray
• Лиценз: Үнэгүй (Apache), гэхдээ JFrog Xray (арилжааны бүтээгдэхүүн)-ээс өгөгдөл шаарддаг.

KubeXray нь Kubernetes API серверийн үйл явдлуудыг сонсож, JFrog Xray-ийн мета өгөгдлийг ашиглан зөвхөн одоогийн бодлоготой нийцэх подкуудыг ажиллуулдаг.

KubeXray нь зөвхөн байршуулалт дахь шинэ эсвэл шинэчлэгдсэн контейнеруудыг (Kubernetes дахь элсэлтийн хянагчтай адил) аудит хийгээд зогсохгүй ажиллаж байгаа контейнеруудыг аюулгүй байдлын шинэ бодлогод нийцэж байгаа эсэхийг динамикаар шалгаж, эмзэг зургийг иш татсан нөөцийг устгадаг.

Снык

• вэб хуудас: snyk.io
• Лиценз: үнэгүй (Apache) болон арилжааны хувилбарууд

Snyk нь хөгжүүлэлтийн процессыг тусгайлан чиглүүлдэг бөгөөд хөгжүүлэгчдэд "чухал шийдэл" болгон сурталчилдаг ер бусын эмзэг байдлын сканнер юм.

Snyk кодын агуулахтай шууд холбогдож, төслийн манифестийг задлан шинжилж, импортын кодыг шууд болон шууд бус хамаарлын хамт шинжилдэг. Snyk нь олон алдартай програмчлалын хэлийг дэмждэг бөгөөд лицензийн далд эрсдлийг тодорхойлж чаддаг.

Өчүүхэн

• вэб хуудас: github.com/knqyf263/trivy
• Лиценз: үнэгүй (AGPL)

Trivy бол CI/CD дамжуулах хоолойд амархан нэгтгэгддэг чингэлэгт зориулсан энгийн боловч хүчирхэг эмзэг байдлын сканнер юм. Үүний онцлог шинж чанар нь суулгах, ажиллуулахад хялбар байдал юм: програм нь нэг хоёртын файлаас бүрдэх бөгөөд мэдээллийн сан эсвэл нэмэлт номын санг суулгах шаардлагагүй.

Trivy-ийн энгийн байдлын сул тал бол бусад Kubernetes аюулгүй байдлын хэрэгслүүдийг ашиглахын тулд үр дүнг JSON форматаар хэрхэн задлан, дамжуулахаа олж мэдэх хэрэгтэй.

Kubernetes дахь ажиллах үеийн аюулгүй байдал

Falco

• вэб хуудас: falco.org
• Лиценз: үнэгүй (Apache)

Falco нь үүлэн ажиллах орчныг хамгаалах хэрэгсэл юм. Төслийн гэр бүлийн нэг хэсэг CNCF.

Sysdig-ийн Линуксийн цөмийн түвшний багаж хэрэгсэл болон системийн дуудлагын профайлыг ашиглан Falco нь системийн үйл ажиллагаанд гүн гүнзгий орох боломжийг олгодог. Түүний ажиллах цагийн дүрмийн хөдөлгүүр нь програмууд, контейнерууд, үндсэн хост болон Kubernetes найруулагч дахь сэжигтэй үйл ажиллагааг илрүүлэх чадвартай.

Falco эдгээр зорилгоор Kubernetes зангилаанууд дээр тусгай агентуудыг байрлуулснаар ажиллах хугацаандаа бүрэн ил тод байдлыг хангаж, аюулыг илрүүлэх боломжийг олгодог. Үүний үр дүнд савнуудад гуравдагч этгээдийн код оруулах эсвэл хажуугийн сав нэмэх замаар савыг өөрчлөх шаардлагагүй болно.

Ажиллах хугацаанд зориулсан Linux аюулгүй байдлын хүрээ

Линукс цөмд зориулсан эдгээр эх хүрээнүүд нь уламжлалт утгаараа "Kubernetes аюулгүй байдлын хэрэгсэл" биш боловч Kubernetes Pod Security Policy (PSP) -д багтсан ажиллах үеийн аюулгүй байдлын чухал элемент учраас дурдах нь зүйтэй.

AppArmor файлын системийн эрх, сүлжээний хандалтын дүрэм, номын санг холбох гэх мэт файлын системийн эрхүүдийг тодорхойлох процессуудад аюулгүй байдлын профайлыг хавсаргана. Энэ бол Mandatory Access Control (MAC) дээр суурилсан систем юм. Өөрөөр хэлбэл хориотой үйлдлүүдийг хийхээс сэргийлнэ.

Аюулгүй байдлыг сайжруулсан Линукс (SELinux) нь Linux цөм дэх аюулгүй байдлын дэвшилтэт модуль бөгөөд зарим талаараа AppArmor-тай төстэй бөгөөд ихэвчлэн түүнтэй харьцуулагддаг. SELinux нь хүч чадал, уян хатан байдал, тохируулгын хувьд AppArmor-аас давуу юм. Үүний сул тал нь сургалтын урт муруй, нарийн төвөгтэй байдал юм.

Seccomp болон seccomp-bpf нь системийн дуудлагыг шүүх, үндсэн үйлдлийн системд аюултай байж болзошгүй, хэрэглэгчийн програмын хэвийн үйл ажиллагаанд шаардлагагүй дуудлагыг хаах боломжийг олгодог. Seccomp нь савны онцлогийг мэдэхгүй ч зарим талаараа Falco-той төстэй.

Sysdig нээлттэй эх сурвалж

• вэб хуудас: www.sysdig.com/opensource
• Лиценз: үнэгүй (Apache)

Sysdig бол Линукс системд дүн шинжилгээ хийх, оношлох, дибаг хийх бүрэн хэрэгсэл юм (мөн Windows болон macOS дээр ажилладаг, гэхдээ хязгаарлагдмал функцтэй). Үүнийг нарийвчилсан мэдээлэл цуглуулах, баталгаажуулах, шүүх эмнэлгийн шинжилгээнд ашиглах боломжтой. (шүүх эмнэлэг) үндсэн систем болон түүн дээр ажиллаж байгаа аливаа сав.

Sysdig нь мөн чингэлэгийн ажиллах хугацаа болон Kubernetes мета өгөгдлийг дэмждэг бөгөөд цуглуулсан бүх системийн үйлдлийн мэдээлэлд нэмэлт хэмжээс, шошго нэмдэг. Sysdig ашиглан Kubernetes кластерт дүн шинжилгээ хийх хэд хэдэн арга байдаг. kubectl барих эсвэл залгаас ашиглан ncurses-д суурилсан интерактив интерфэйсийг ажиллуул kubectl ухах.

Kubernetes сүлжээний аюулгүй байдал

Апорето

• вэб хуудас: www.aporeto.com
• Лиценз: арилжааны

Апорето нь "сүлжээ ба дэд бүтцээс тусгаарлагдсан аюулгүй байдлыг" санал болгодог. Энэ нь Kubernetes үйлчилгээ нь зөвхөн локал ID (жишээ нь Kubernetes дахь ServiceAccount) хүлээн авахаас гадна бусад үйлчилгээтэй, жишээлбэл OpenShift кластерт аюулгүй, харилцан холбогдоход ашиглаж болох бүх нийтийн ID/хурууны хээг хүлээн авдаг гэсэн үг юм.

Aporeto нь зөвхөн Kubernetes/контейнерд төдийгүй хостууд, үүлэн функцууд болон хэрэглэгчдэд зориулсан өвөрмөц ID үүсгэх чадвартай. Эдгээр танигч болон администраторын тогтоосон сүлжээний аюулгүй байдлын дүрмийн багцаас хамааран харилцаа холбоог зөвшөөрөх эсвэл хаах болно.

Калико

• вэб хуудас: www.projectcalico.org
• Лиценз: үнэгүй (Apache)

Calico нь ихэвчлэн чингэлэг найруулагч суурилуулах үед тавигддаг бөгөөд энэ нь танд контейнеруудыг хооронд нь холбох виртуал сүлжээг үүсгэх боломжийг олгодог. Сүлжээний үндсэн функцээс гадна Calico төсөл нь Kubernetes Network Policies болон өөрийн сүлжээний аюулгүй байдлын профайлуудтай хамтран ажиллаж, төгсгөлийн цэгийн ACL (хандалтын хяналтын жагсаалт) болон оролт, гарах урсгалын тэмдэглэгээнд суурилсан сүлжээний аюулгүй байдлын дүрмийг дэмждэг.

Килиум

• вэб хуудас: www.cilium.io
• Лиценз: үнэгүй (Apache)

Cilium нь чингэлэгт зориулсан галт ханын үүрэг гүйцэтгэдэг бөгөөд Kubernetes болон микро үйлчилгээний ажлын ачаалалд тохирсон сүлжээний аюулгүй байдлын функцуудыг хангадаг. Cilium нь өгөгдлийг шүүх, хянах, дахин чиглүүлэх, засахын тулд BPF (Berkeley Packet Filter) хэмээх Linux цөмийн шинэ технологийг ашигладаг.

Cilium нь Docker эсвэл Kubernetes шошго болон мета өгөгдөл ашиглан контейнер ID дээр суурилсан сүлжээний хандалтын бодлогыг хэрэгжүүлэх чадвартай. Cilium нь HTTP эсвэл gRPC зэрэг 7-р түвшний янз бүрийн протоколуудыг ойлгож, шүүдэг бөгөөд жишээлбэл, Kubernetes-ийн хоёр байршуулалтын хооронд зөвшөөрөгдөх REST дуудлагын багцыг тодорхойлох боломжийг танд олгоно.

Истио

• вэб хуудас: istio.io
• Лиценз: үнэгүй (Apache)

Istio нь платформоос хараат бус удирдлагын хавтгайг байрлуулж, динамикаар тохируулж болох Envoy прокси-ээр дамжуулан удирдаж буй үйлчилгээний бүх урсгалыг чиглүүлэх замаар үйлчилгээний торон парадигмыг хэрэгжүүлдгээрээ алдартай. Istio нь сүлжээний аюулгүй байдлын янз бүрийн стратегиудыг хэрэгжүүлэхийн тулд бүх микро үйлчилгээ болон контейнеруудын энэхүү дэвшилтэт үзлийн давуу талыг ашигладаг.

Istio-ийн сүлжээний аюулгүй байдлын чадавхи нь микро үйлчилгээнүүдийн хоорондын харилцаа холбоог HTTPS рүү автоматаар шинэчлэх ил тод TLS шифрлэлт, кластер дахь өөр өөр ажлын ачаалал хоорондын харилцаа холбоог зөвшөөрөх/татгалзах өмчийн RBAC таних болон зөвшөөрлийн систем юм.

Анхаарна уу. орчуулга.: Istio-ийн аюулгүй байдалд чиглэсэн боломжуудын талаар илүү ихийг мэдэхийг хүсвэл уншина уу энэ нийтлэл.

Бар

• вэб хуудас: www.tigera.io
• Лиценз: арилжааны

"Kubernetes Firewall" гэж нэрлэгддэг энэхүү шийдэл нь сүлжээний аюулгүй байдалд итгэх итгэлгүй хандлагыг онцолж өгдөг.

Kubernetes сүлжээний бусад шийдлүүдийн нэгэн адил Tigera нь кластер дахь төрөл бүрийн үйлчилгээ, объектуудыг тодорхойлохын тулд мета өгөгдөлд тулгуурладаг бөгөөд олон үүлэн эсвэл холимог цул контейнержсэн дэд бүтцийн ажиллах үеийн асуудлыг илрүүлэх, тасралтгүй дагаж мөрдөх шалгалт, сүлжээний харагдах байдлыг хангадаг.

Триреме

• вэб хуудас: www.aporeto.com/opensource
• Лиценз: үнэгүй (Apache)

Trireme-Kubernetes бол Kubernetes Network Policies тодорхойлолтын энгийн бөгөөд ойлгомжтой хэрэглүүр юм. Хамгийн онцлох шинж чанар нь Kubernetes сүлжээний аюулгүй байдлын ижил төстэй бүтээгдэхүүнээс ялгаатай нь торыг зохицуулахын тулд төв хяналтын онгоц шаарддаггүй. Энэ нь шийдлийг өчүүхэн хэмжээгээр өргөтгөх боломжтой болгодог. Trireme-д энэ нь хостын TCP/IP стектэй шууд холбогддог зангилаа бүр дээр агент суулгаснаар хүрдэг.

Зургийн тархалт ба нууцын менежмент

Графеас

• вэб хуудас: grafeas.io
• Лиценз: үнэгүй (Apache)

Grafeas бол програм хангамжийн хангамжийн сүлжээний аудит, менежментэд зориулагдсан нээлттэй эхийн API юм. Үндсэн түвшинд Grafeas бол мета өгөгдөл болон аудитын үр дүнг цуглуулах хэрэгсэл юм. Үүнийг байгууллага доторх аюулгүй байдлын шилдэг туршлагыг дагаж мөрдөж байгааг хянахад ашиглаж болно.

Үнэний энэхүү төвлөрсөн эх сурвалж нь дараах асуултуудад хариулахад тусална.

• Тодорхой савыг хэн цуглуулж, гарын үсэг зурсан бэ?
• Энэ нь аюулгүй байдлын бодлогод шаардлагатай бүх аюулгүй байдлын сканнер, шалгалтыг давсан уу? Хэзээ? Ямар үр дүн гарсан бэ?
• Хэн үүнийг үйлдвэрлэлд нэвтрүүлсэн бэ? Байршуулах явцад ямар тодорхой параметрүүдийг ашигласан бэ?

In-toto

• вэб хуудас: in-toto.github.io
• Лиценз: үнэгүй (Apache)

In-toto нь програм хангамжийн хангамжийн бүх сүлжээг бүрэн бүтэн байдал, баталгаажуулалт, аудитаар хангахад зориулагдсан хүрээ юм. In-toto-г дэд бүтцэд байрлуулахдаа эхлээд дамжуулах хоолойн янз бүрийн алхмуудыг (хадгалах газар, CI/CD хэрэгсэл, QA хэрэгсэл, олдвор цуглуулагч гэх мэт) болон зөвшөөрөгдсөн хэрэглэгчид (хариуцлагатай хүмүүс) тодорхойлсон төлөвлөгөөг тодорхойлдог. тэднийг санаачлах.

In-toto нь төлөвлөгөөний гүйцэтгэлд хяналт тавьж, гинжин хэлхээний ажил бүрийг зөвхөн эрх бүхий ажилтнууд зохих ёсоор гүйцэтгэсэн эсэхийг шалгаж, хөдөлгөөн хийх явцад бүтээгдэхүүнтэй ямар ч зөвшөөрөлгүй заль мэх хийгээгүй эсэхийг шалгадаг.

Портьерис

• вэб хуудас: github.com/IBM/portieris
• Лиценз: үнэгүй (Apache)

Portieris бол Kubernetes-ийн элсэлтийн хянагч юм; агуулгын итгэлцлийн шалгалтыг хэрэгжүүлэхэд ашигладаг. Portieris сервер ашигладаг Нотариатын (Бид түүний тухай төгсгөлд нь бичсэн Энэ нийтлэлийг үзнэ үү - ойролцоогоор. орчуулга) итгэмжлэгдсэн, гарын үсэг зурсан олдворуудыг (жишээ нь зөвшөөрөгдсөн савны зураг) баталгаажуулах үнэний эх сурвалж болгон.

Kubernetes-д ажлын ачааллыг үүсгэх эсвэл өөрчлөх үед Portieris нь хүссэн чингэлэг зургуудын гарын үсэг зурах мэдээлэл болон агуулгын итгэлцлийн бодлогыг татаж авах ба шаардлагатай бол JSON API объектод шууд өөрчлөлт хийж тэдгээр зургийн гарын үсэгтэй хувилбаруудыг ажиллуулдаг.

Vault

• вэб хуудас: www.vaultproject.io
• Лиценз: үнэгүй (MPL)

Vault нь нууц үг, OAuth жетон, PKI сертификат, хандалтын бүртгэл, Kubernetes нууц гэх мэт хувийн мэдээллийг хадгалах найдвартай шийдэл юм. Vault нь түр зуурын хамгаалалтын токен түрээслэх эсвэл түлхүүрийн эргэлтийг зохион байгуулах зэрэг олон дэвшилтэт функцуудыг дэмждэг.

Helm диаграмыг ашигласнаар Vault-г Kubernetes кластерт шинэ байршуулалт болгон байрлуулж, Консулыг арын хадгалалт болгон ашиглаж болно. Энэ нь ServiceAccount жетон гэх мэт Kubernetes эх сурвалжуудыг дэмждэг бөгөөд Kubernetes нууцын анхдагч дэлгүүрийн үүрэг гүйцэтгэдэг.

Анхаарна уу. орчуулга.: Дашрамд дурдахад, өчигдөр Vault хөгжүүлдэг HashiCorp компани Kubernetes дахь Vault ашиглах зарим сайжруулалтыг зарласан бөгөөд ялангуяа тэдгээр нь Helm графиктай холбоотой юм. Дэлгэрэнгүйг эндээс уншина уу хөгжүүлэгчийн блог.

Kubernetes аюулгүй байдлын аудит

Куб вандан сандал

• вэб хуудас: github.com/aquasecurity/kube-bench
• Лиценз: үнэгүй (Apache)

Kube-bench нь Go программ бөгөөд Kubernetes-ийг жагсаалтаас тест хийх замаар аюулгүй байрлуулсан эсэхийг шалгадаг. CIS Kubernetes Benchmark.

Kube-bench нь кластерийн бүрэлдэхүүн хэсгүүдийн (гэх мэт, API, хянагч менежер гэх мэт), эргэлзээтэй файлд нэвтрэх эрх, хамгаалалтгүй данс эсвэл нээлттэй портууд, нөөцийн квот, DoS халдлагаас хамгаалах API дуудлагын тоог хязгаарлах тохиргоог хайж байна. , гэх мэт.

Кубэ-анчин

• вэб хуудас: github.com/aquasecurity/kube-hunter
• Лиценз: үнэгүй (Apache)

Kube-hunter нь Kubernetes кластерууд дахь болзошгүй эмзэг байдлыг (алсын зайнаас код гүйцэтгэх эсвэл өгөгдөл задруулах гэх мэт) хайж олдог. Kube-hunter-ийг алсаас сканнер болгон ажиллуулж болно - энэ тохиолдолд энэ нь кластерийг гуравдагч этгээдийн халдагчийн байр сууринаас үнэлэх болно - эсвэл кластер доторх pod байдлаар.

Kube-hunter-ийн нэг онцлог шинж чанар нь "идэвхтэй агнуурын" горим бөгөөд энэ үед тэрээр зөвхөн асуудлын талаар мэдээлэхээс гадна зорилтот кластерт илрүүлсэн, түүний үйл ажиллагаанд хохирол учруулж болзошгүй эмзэг байдлыг ашиглахыг хичээдэг. Тиймээс болгоомжтой хэрэглээрэй!

Kubeaudit

• вэб хуудас: github.com/Shopify/kubeaudit
• Лиценз: үнэгүй (MIT)

Kubeaudit нь янз бүрийн аюулгүй байдлын асуудлаар Kubernetes-ийн тохиргоог шалгах зорилгоор Shopify дээр анх боловсруулсан консолын хэрэгсэл юм. Жишээлбэл, энэ нь хязгаарлалтгүй ажиллаж байгаа, root эрхээр ажиллаж байгаа, давуу эрх урвуулан ашигласан эсвэл үндсэн ServiceAccount ашиглаж байгаа контейнеруудыг тодорхойлоход тусалдаг.

Kubeaudit нь бусад сонирхолтой функцуудтай. Жишээлбэл, энэ нь локал YAML файлуудад дүн шинжилгээ хийж, аюулгүй байдлын асуудалд хүргэж болзошгүй тохиргооны алдааг тодорхойлж, автоматаар засах боломжтой.

Кубесец

• вэб хуудас: kubesec.io
• Лиценз: үнэгүй (Apache)

Kubesec нь Kubernetes нөөцийг тодорхойлсон YAML файлуудыг шууд сканнердаж, аюулгүй байдалд нөлөөлж болзошгүй сул параметрүүдийг хайж байдаг тусгай хэрэгсэл юм.

Жишээлбэл, энэ нь pod-д олгогдсон хэт их эрх, зөвшөөрлийг илрүүлж, анхдагч хэрэглэгчээр root-тэй контейнер ажиллуулах, хостын сүлжээний нэрийн орон зайд холбогдох, эсвэл аюултай холболтуудыг илрүүлж чадна. /proc хост эсвэл Docker залгуур. Kubesec-ийн өөр нэг сонирхолтой онцлог нь онлайнаар ашиглах боломжтой демо үйлчилгээ бөгөөд та YAML-ийг байршуулж, нэн даруй дүн шинжилгээ хийх боломжтой.

Нээлттэй бодлогын агент

• вэб хуудас: www.openpolicyagent.org
• Лиценз: үнэгүй (Apache)

OPA (Open Policy Agent)-ийн үзэл баримтлал нь аюулгүй байдлын бодлого, аюулгүй байдлын шилдэг туршлагыг тодорхой ажиллах цагийн платформоос салгахад оршино: Docker, Kubernetes, Mesosphere, OpenShift эсвэл тэдгээрийн аль нэг хослол.

Жишээлбэл, та OPA-г Kubernetes элсэлтийн хянагчийн арын хэсэг болгон байрлуулж, аюулгүй байдлын шийдвэрийг түүнд шилжүүлж болно. Ингэснээр OPA агент нь хүсэлтийг шууд шалгаж, татгалзаж, өөрчлөх боломжтой бөгөөд ингэснээр заасан аюулгүй байдлын параметрүүдийг хангасан эсэхийг баталгаажуулна. OPA-ийн аюулгүй байдлын бодлогыг өөрийн эзэмшлийн DSL хэл болох Rego хэлээр бичсэн.

Анхаарна уу. орчуулга.: Бид OPA (болон SPIFFE) талаар илүү ихийг бичсэн энэ зүйл.

Kubernetes аюулгүй байдлын шинжилгээнд зориулсан арилжааны иж бүрэн хэрэгслүүд

Арилжааны платформууд ихэвчлэн аюулгүй байдлын олон талбарыг хамардаг тул бид тусдаа ангилал үүсгэхээр шийдсэн. Тэдний чадварын талаархи ерөнхий санааг хүснэгтээс авч болно.

* Нарийвчилсан үзлэг, үхлийн дараах шинжилгээг бүрэн гүйцэд хийнэ системийн дуудлагыг хулгайлах.

Aqua аюулгүй байдал

• вэб хуудас: www.aquasec.com
• Лиценз: арилжааны

Энэхүү арилжааны хэрэгсэл нь чингэлэг болон үүлний ажлын ачаалалд зориулагдсан. Үүнд:

• Контейнерын бүртгэл эсвэл CI/CD дамжуулах хоолойтой нэгтгэсэн зураг скан хийх;
• Контейнер дэх өөрчлөлт болон бусад сэжигтэй үйлдлийг хайх бүхий ажлын цагийг хамгаалах;
• Контейнерийн үндсэн галт хана;
• Үүл үйлчилгээнд сервергүй ажиллах аюулгүй байдал;
• Нийцлийн шалгалт, аудитыг үйл явдлын бүртгэлтэй хослуулсан.

Анхаарна уу. орчуулга.: Бас байдгийг тэмдэглэх нь зүйтэй гэж нэрлэгддэг бүтээгдэхүүний үнэгүй бүрэлдэхүүн хэсэг MicroScanner, энэ нь танд эмзэг байдлын хувьд контейнерийн зургийг сканнердах боломжийг олгодог. Төлбөртэй хувилбаруудтай түүний чадавхийг харьцуулж үзүүлэв энэ хүснэгт.

Капсул 8

• вэб хуудас: capsule8.com
• Лиценз: арилжааны

Capsule8 нь детекторыг локал эсвэл үүлэн Kubernetes кластерт суулгаснаар дэд бүтцэд нэгдсэн. Энэхүү илрүүлэгч нь хост болон сүлжээний телеметрийг цуглуулж, өөр өөр төрлийн халдлагуудтай уялдуулдаг.

Capsule8-ийн баг нь шинийг ашиглан халдлагыг эрт илрүүлж, урьдчилан сэргийлэх зорилготой (0 өдөр) эмзэг байдал. Capsule8 нь шинээр илрүүлсэн аюул, програм хангамжийн эмзэг байдлын хариуд шинэчилсэн аюулгүй байдлын дүрмийг илрүүлэгч рүү шууд татаж авах боломжтой.

Кавирин

• вэб хуудас: www.cavirin.com
• Лиценз: арилжааны

Кавирин нь аюулгүй байдлын стандарттай холбоотой янз бүрийн агентлагуудад компанийн талын гүйцэтгэгчээр ажилладаг. Энэ нь зөвхөн зургийг сканнердах төдийгүй CI/CD дамжуулах хоолойд нэгтгэж, стандарт бус зургуудыг хаалттай агуулах руу орохоос нь өмнө хааж болно.

Cavirin-ийн аюулгүй байдлын багц нь таны кибер аюулгүй байдлын төлөв байдлыг үнэлэхийн тулд машин сургалтыг ашигладаг бөгөөд аюулгүй байдлыг сайжруулах, аюулгүй байдлын стандартын хэрэгжилтийг сайжруулах зөвлөмжийг санал болгодог.

Google Cloud аюулгүй байдлын удирдлагын төв

• вэб хуудас: cloud.google.com/security-command-center
• Лиценз: арилжааны

Cloud Security Command Center нь аюулгүй байдлын багуудад мэдээлэл цуглуулж, аюул заналхийллийг тодорхойлж, компанид хохирол учруулахаас өмнө устгахад тусалдаг.

Нэрнээс нь харахад Google Cloud SCC нь нэг төвлөрсөн эх сурвалжаас төрөл бүрийн аюулгүй байдлын тайлан, хөрөнгийн бүртгэлийн систем, гуравдагч талын хамгаалалтын системийг нэгтгэж, удирдах боломжтой нэгдсэн хяналтын самбар юм.

Google Cloud SCC-ийн санал болгож буй харилцан ажиллах боломжтой API нь Sysdig Secure (үүл дээр суурилсан програмуудын контейнер хамгаалалт) эсвэл Falco (Нээлттэй эхийн ажиллах үеийн аюулгүй байдал) зэрэг янз бүрийн эх сурвалжаас ирсэн аюулгүй байдлын үйл явдлуудыг нэгтгэхэд хялбар болгодог.

Давхаргатай ойлголт (Qualys)

• вэб хуудас: layeredinsight.com
• Лиценз: арилжааны

Layered Insight (одоо Qualys Inc-ийн нэг хэсэг) нь "суулгасан аюулгүй байдал" гэсэн ойлголт дээр бүтээгдсэн. Статистикийн шинжилгээ болон CVE шалгалтыг ашиглан эх зургийг эмзэг байдлыг сканнердсаны дараа Layered Insight нь агентийг хоёртын файл болгон багтаасан багажжсан зургаар сольдог.

Энэ агент нь чингэлэгийн сүлжээний урсгал, оролт/гаралтын урсгал болон програмын үйл ажиллагаанд дүн шинжилгээ хийх ажлын үеийн аюулгүй байдлын тестүүдийг агуулдаг. Нэмж дурдахад, энэ нь дэд бүтцийн администратор эсвэл DevOps багуудын тодорхойлсон аюулгүй байдлын нэмэлт шалгалтыг хийх боломжтой.

NeuVector

• вэб хуудас: neuvector.com
• Лиценз: арилжааны

NeuVector нь чингэлэгийн аюулгүй байдлыг шалгаж, сүлжээний үйл ажиллагаа болон програмын үйл ажиллагаанд дүн шинжилгээ хийж, контейнер бүрийн аюулгүй байдлын хувийн профайлыг бий болгож ажиллах үеийн хамгаалалтыг хангадаг. Мөн орон нутгийн галт ханын дүрмийг өөрчилснөөр сэжигтэй үйл ажиллагааг тусгаарлаж, аюул заналхийллийг дангаар нь хааж болно.

NeuVector-ийн Security Mesh гэгддэг сүлжээний интеграцчлал нь үйлчилгээний торонд байгаа бүх сүлжээний холболтыг багцын гүнд дүн шинжилгээ хийх, 7-р давхарга шүүх чадвартай.

StackRox

• вэб хуудас: www.stackrox.com
• Лиценз: арилжааны

StackRox контейнерийн аюулгүй байдлын платформ нь кластер дахь Kubernetes програмуудын амьдралын мөчлөгийг бүхэлд нь хамрахыг эрмэлздэг. Энэ жагсаалтад байгаа бусад арилжааны платформуудын нэгэн адил StackRox нь ажиглагдсан контейнерийн төлөв байдалд тулгуурлан ажиллах цагийн профайлыг үүсгэж, аливаа хазайлтыг автоматаар дохио өгдөг.

Нэмж дурдахад StackRox нь Кубернетесийн CIS болон бусад дүрмийн номыг ашиглан Кубернетесийн тохиргоонд дүн шинжилгээ хийж, контейнерийн нийцлийг үнэлдэг.

Sysdig Secure

• вэб хуудас: sysdig.com/products/secure
• Лиценз: арилжааны

Sysdig Secure нь бүх контейнер болон Kubernetes амьдралын мөчлөгийн туршид програмуудыг хамгаалдаг. Тэр зургийг сканнердаж байна сав, хангадаг ажиллах үеийн хамгаалалт машин сургалтын өгөгдлийн дагуу цөцгий гүйцэтгэдэг. эмзэг байдлыг тодорхойлох, аюул заналыг блоклох, хяналт тавих туршлага тогтоосон стандартыг дагаж мөрдөх бичил үйлчилгээн дэх үйл ажиллагаанд аудит хийдэг.

Sysdig Secure нь Jenkins зэрэг CI/CD хэрэгслүүдтэй нэгдэж, Docker бүртгэлээс ачаалагдсан зургуудыг удирдаж, аюултай зургуудыг үйлдвэрлэлд гаргахаас сэргийлдэг. Энэ нь мөн ажиллах цагийн иж бүрэн аюулгүй байдлыг хангадаг бөгөөд үүнд:

• ML-д суурилсан ажиллах цагийн профайл болон гажиг илрүүлэх;
• системийн үйл явдал, K8s-audit API, хамтын нийгэмлэгийн төслүүд (FIM - файлын бүрэн бүтэн байдлыг хянах; cryptojacking) болон хүрээн дээр суурилсан ажиллах цагийн бодлого MITER AT&CK;
• ослын хариу арга хэмжээ, шийдвэрлэх.

Тохиромжтой савны аюулгүй байдал

• вэб хуудас: www.tenable.com/products/tenable-io/container-security
• Лиценз: арилжааны

Контейнер гарч ирэхээс өмнө Tenable нь эмзэг байдлын ан агнуур, аюулгүй байдлын аудитын алдартай хэрэгсэл болох Nessus-ийн ард ажилладаг компани гэдгээрээ салбартаа алдартай байсан.

Tenable Container Security нь компанийн компьютерийн аюулгүй байдлын мэдлэгийг ашиглан CI/CD дамжуулах хоолойг эмзэг байдлын мэдээллийн сан, хортой програм илрүүлэх тусгай багц, аюулгүй байдлын аюулыг шийдвэрлэх зөвлөмжүүдтэй нэгтгэдэг.

Twistlock (Palo Alto Networks)

• вэб хуудас: www.twistlock.com
• Лиценз: арилжааны

Twistlock нь үүлэн үйлчилгээ болон контейнерт чиглэсэн платформ гэдгээрээ өөрийгөө сурталчилж байна. Twistlock нь янз бүрийн үүл үйлчилгээ үзүүлэгч (AWS, Azure, GCP), контейнер найруулагч (Kubernetes, Mesospehere, OpenShift, Docker), сервергүй ажиллах хугацаа, торон хүрээ болон CI/CD хэрэгслийг дэмждэг.

Twistlock нь CI/CD дамжуулах хоолойн интеграцчлал эсвэл зураг скан хийх гэх мэт уламжлалт аж ахуйн нэгжийн түвшний аюулгүй байдлын аргуудаас гадна контейнерт зориулсан зан үйлийн хэв маяг, сүлжээний дүрмийг бий болгохын тулд машин сургалтыг ашигладаг.

Хэсэг хугацааны өмнө Twistlock-ийг Evident.io болон RedLock төслүүдийг эзэмшдэг Palo Alto Networks худалдаж авсан. Эдгээр гурван платформыг яг яаж нэгтгэх нь одоогоор тодорхойгүй байна Prisma Пало Альто хотоос.

Kubernetes аюулгүй байдлын хэрэгслүүдийн шилдэг каталогийг бүтээхэд тусална уу!

Бид энэ каталогийг аль болох бүрэн дүүрэн болгохыг хичээж байгаа бөгөөд үүний тулд бидэнд таны тусламж хэрэгтэй байна! Бидэнтэй холбоо барина уу (@sysdig) Хэрэв танд энэ жагсаалтад оруулахад тохиромжтой хэрэгсэл байгаа бол эсвэл алдаа/хуучирсан мэдээлэл олж авбал.

Та мөн манайд бүртгүүлж болно сар тутмын мэдээллийн товхимол үүлний уугуул экосистемийн мэдээ, Кубернетес аюулгүй байдлын ертөнцийн сонирхолтой төслүүдийн тухай түүхүүд.

Орчуулагчийн жич

Мөн манай блог дээрээс уншина уу:

• «Аюулгүй байдлын мэргэжилтнүүдэд зориулсан Kubernetes сүлжээний бодлогын талаархи танилцуулга";
• «Аюулгүй байдлын мэдрэмжтэй орчинд Docker болон Kubernetes";
• «Kubernetes аюулгүй байдлын шилдэг 9 туршлага";
• «Kubernetes-ийн хакердалтын хохирогч болох (биш) 11 арга";
• «OPA болон SPIFFE нь CNCF-д үүлэн хэрэглээний аюулгүй байдлыг хангах хоёр шинэ төсөл юм".

Эх сурвалж: www.habr.com