🥇33+ कुबर्नेट्स सुरक्षेसाठी साधने

नोंद. अनुवाद: जर तुम्ही Kubernetes-आधारित इन्फ्रास्ट्रक्चरमधील सुरक्षिततेबद्दल विचार करत असाल, तर Sysdig कडील हे उत्कृष्ट विहंगावलोकन सध्याच्या उपायांवर त्वरित नजर टाकण्यासाठी एक उत्तम प्रारंभ बिंदू आहे. यात सुप्रसिद्ध बाजारातील खेळाडूंकडील जटिल प्रणाली आणि विशिष्ट समस्येचे निराकरण करणार्‍या बर्‍याच सामान्य उपयुक्तता समाविष्ट आहेत. आणि टिप्पण्यांमध्ये, नेहमीप्रमाणे, आम्हाला ही साधने वापरण्याचा तुमचा अनुभव ऐकून आनंद होईल आणि इतर प्रकल्पांच्या लिंक्स पहा.

Kubernetes सुरक्षा सॉफ्टवेअर उत्पादने... त्यापैकी बरीच आहेत, प्रत्येकाची स्वतःची ध्येये, व्याप्ती आणि परवाने आहेत.

म्हणूनच आम्ही ही यादी तयार करण्याचे ठरवले आणि विविध विक्रेत्यांकडून मुक्त स्त्रोत प्रकल्प आणि व्यावसायिक प्लॅटफॉर्म दोन्ही समाविष्ट करण्याचा निर्णय घेतला. आम्‍हाला आशा आहे की ते तुमच्‍या विशिष्‍ट Kubernetes सुरक्षेच्‍या गरजांच्‍या आधारे तुम्‍हाला सर्वात आवडीचे असल्‍याची ओळख करण्‍यात मदत करेल आणि तुम्‍हाला योग्य दिशेने निर्देशित करेल.

श्रेण्या

सूची नेव्हिगेट करणे सोपे करण्यासाठी, साधने मुख्य कार्य आणि अनुप्रयोगाद्वारे आयोजित केली जातात. खालील विभाग प्राप्त झाले:

Kubernetes प्रतिमा स्कॅनिंग आणि स्थिर विश्लेषण;
रनटाइम सुरक्षा;
Kubernetes नेटवर्क सुरक्षा;
प्रतिमा वितरण आणि रहस्ये व्यवस्थापन;
Kubernetes सुरक्षा ऑडिट;
सर्वसमावेशक व्यावसायिक उत्पादने.

चला व्यवसायावर उतरूया:

Kubernetes प्रतिमा स्कॅन करत आहे

अँकर

वेबसाइट: anchore.com
परवाना: विनामूल्य (अपाचे) आणि व्यावसायिक ऑफर

अँकर कंटेनर प्रतिमांचे विश्लेषण करते आणि वापरकर्ता-परिभाषित धोरणांवर आधारित सुरक्षा तपासणीस अनुमती देते.

CVE डेटाबेसमधील ज्ञात भेद्यतेसाठी कंटेनर प्रतिमांच्या नेहमीच्या स्कॅनिंग व्यतिरिक्त, Anchore त्याच्या स्कॅनिंग धोरणाचा भाग म्हणून अनेक अतिरिक्त तपासण्या करते: डॉकरफाइल, क्रेडेन्शियल लीक, वापरलेल्या प्रोग्रामिंग भाषांचे पॅकेज तपासते (npm, maven इ. .), सॉफ्टवेअर परवाने आणि बरेच काही.

करण

वेबसाइट: coreos.com/clair (आता रेड हॅटच्या अधिपत्याखाली)
परवाना: विनामूल्य (अपाचे)

क्लेअर हा इमेज स्कॅनिंगसाठीच्या पहिल्या ओपन सोर्स प्रकल्पांपैकी एक होता. हे Quay इमेज रेजिस्ट्रीच्या मागे सुरक्षा स्कॅनर म्हणून ओळखले जाते (CoreOS कडून देखील - अंदाजे भाषांतर). क्लेअर डेबियन, रेड हॅट किंवा उबंटू सुरक्षा संघांद्वारे राखलेल्या लिनक्स वितरण-विशिष्ट भेद्यतेच्या सूचीसह विविध स्त्रोतांकडून CVE माहिती संकलित करू शकते.

अँकरच्या विपरीत, क्लेअर प्रामुख्याने असुरक्षा शोधणे आणि CVE ला डेटा जुळवणे यावर लक्ष केंद्रित करते. तथापि, उत्पादन वापरकर्त्यांना प्लग-इन ड्रायव्हर्स वापरून कार्ये विस्तृत करण्याच्या काही संधी देते.

दगडा

वेबसाइट: github.com/eliasgranderubio/dagda
परवाना: विनामूल्य (अपाचे)

दग्डा ज्ञात भेद्यता, ट्रोजन, व्हायरस, मालवेअर आणि इतर धोक्यांसाठी कंटेनर प्रतिमांचे स्थिर विश्लेषण करते.

दोन लक्षणीय वैशिष्ट्ये दगडाला इतर समान साधनांपेक्षा वेगळे करतात:

सह उत्तम प्रकारे समाकलित होते क्लॅमएव्ही, कंटेनर प्रतिमा स्कॅन करण्यासाठी केवळ एक साधन नाही तर अँटीव्हायरस म्हणून देखील कार्य करते.
डॉकर डिमनकडून रिअल-टाइम इव्हेंट्स प्राप्त करून आणि फाल्कोसह समाकलित करून रनटाइम संरक्षण देखील प्रदान करते (खाली पहा) कंटेनर चालू असताना सुरक्षा कार्यक्रम गोळा करण्यासाठी.

कुबेएक्सरे

वेबसाइट: github.com/jfrog/kubexray
परवाना: विनामूल्य (अपाचे), परंतु JFrog Xray (व्यावसायिक उत्पादन) कडून डेटा आवश्यक आहे

KubeXray Kubernetes API सर्व्हरवरून इव्हेंट ऐकते आणि JFrog Xray मधील मेटाडेटा वापरते हे सुनिश्चित करण्यासाठी की फक्त वर्तमान धोरणाशी जुळणारे पॉड लॉन्च केले जातात.

KubeXray केवळ डिप्लॉयमेंटमध्ये नवीन किंवा अपडेट केलेल्या कंटेनरचे ऑडिट करत नाही (कुबर्नेट्समधील प्रवेश नियंत्रकाप्रमाणे), परंतु नवीन सुरक्षा धोरणांचे पालन करण्यासाठी चालणारे कंटेनर डायनॅमिकपणे तपासते, असुरक्षित प्रतिमांचा संदर्भ देणारी संसाधने काढून टाकते.

Snyk

वेबसाइट: snyk.io
परवाना: विनामूल्य (अपाचे) आणि व्यावसायिक आवृत्त्या

Snyk एक असामान्य भेद्यता स्कॅनर आहे ज्यामध्ये ते विशेषतः विकास प्रक्रियेला लक्ष्य करते आणि विकासकांसाठी "आवश्यक उपाय" म्हणून प्रचारित केले जाते.

Snyk थेट कोड रिपॉझिटरीजशी जोडते, प्रोजेक्ट मॅनिफेस्टचे विश्लेषण करते आणि आयात केलेल्या कोडचे प्रत्यक्ष आणि अप्रत्यक्ष अवलंबनांसह विश्लेषण करते. Snyk अनेक लोकप्रिय प्रोग्रामिंग भाषांना समर्थन देते आणि लपविलेले परवाना धोके ओळखू शकते.

त्रिवेणी

वेबसाइट: github.com/knqyf263/trivy
परवाना: मोफत (AGPL)

CI/CD पाइपलाइनमध्ये सहजपणे समाकलित होणार्‍या कंटेनरसाठी ट्रव्ही हे एक साधे पण शक्तिशाली असुरक्षा स्कॅनर आहे. त्याचे लक्षणीय वैशिष्ट्य म्हणजे त्याची स्थापना आणि ऑपरेशनची सुलभता: अनुप्रयोगामध्ये एकल बायनरी असते आणि त्याला डेटाबेस किंवा अतिरिक्त लायब्ररी स्थापित करण्याची आवश्यकता नसते.

Trivy च्या साधेपणाचा तोटा असा आहे की तुम्हाला JSON फॉरमॅटमध्‍ये निकाल कसे पार्स करायचे आणि फॉरवर्ड करायचे ते शोधायचे आहे जेणेकरून इतर Kubernetes सुरक्षा साधने त्यांचा वापर करू शकतील.

Kubernetes मध्ये रनटाइम सुरक्षा

फाल्को

वेबसाइट: falco.org
परवाना: विनामूल्य (अपाचे)

Falco क्लाउड रनटाइम वातावरण सुरक्षित करण्यासाठी साधनांचा एक संच आहे. प्रकल्प कुटुंबाचा भाग सीएनसीएफ.

Sysdig च्या Linux कर्नल-स्तरीय टूलिंग आणि सिस्टम कॉल प्रोफाइलिंगचा वापर करून, Falco तुम्हाला सिस्टम वर्तनात खोलवर जाण्याची परवानगी देते. त्याचे रनटाइम नियम इंजिन ऍप्लिकेशन्स, कंटेनर, अंतर्निहित होस्ट आणि कुबर्नेट्स ऑर्केस्ट्रेटरमधील संशयास्पद क्रियाकलाप शोधण्यात सक्षम आहे.

Falco या उद्देशांसाठी Kubernetes नोड्सवर विशेष एजंट तैनात करून रनटाइम आणि धोका शोधण्यात संपूर्ण पारदर्शकता प्रदान करते. परिणामी, कंटेनरमध्ये थर्ड-पार्टी कोड टाकून किंवा साइडकार कंटेनर जोडून बदल करण्याची गरज नाही.

रनटाइमसाठी लिनक्स सुरक्षा फ्रेमवर्क

लिनक्स कर्नलसाठी हे मूळ फ्रेमवर्क पारंपारिक अर्थाने "कुबर्नेट्स सुरक्षा साधने" नाहीत, परंतु ते उल्लेख करण्यासारखे आहेत कारण ते रनटाइम सुरक्षिततेच्या संदर्भात एक महत्त्वाचे घटक आहेत, ज्याचा समावेश Kubernetes Pod सुरक्षा धोरण (PSP) मध्ये आहे.

AppArmor कंटेनरमध्ये चालणाऱ्या प्रक्रियांसाठी सुरक्षा प्रोफाइल संलग्न करते, फाइल सिस्टम विशेषाधिकार परिभाषित करणे, नेटवर्क प्रवेश नियम, लायब्ररी कनेक्ट करणे इ. ही अनिवार्य प्रवेश नियंत्रण (MAC) वर आधारित प्रणाली आहे. दुसऱ्या शब्दांत, ते प्रतिबंधित क्रिया करण्यापासून प्रतिबंधित करते.

सुरक्षा-वर्धित लिनक्स (SELinux) हे लिनक्स कर्नलमधील एक प्रगत सुरक्षा मॉड्यूल आहे, जे काही बाबींमध्ये AppArmor सारखेच आहे आणि अनेकदा त्याच्याशी तुलना केली जाते. SELinux शक्ती, लवचिकता आणि कस्टमायझेशनमध्ये AppArmor पेक्षा श्रेष्ठ आहे. त्याचे तोटे म्हणजे दीर्घ शिक्षण वक्र आणि वाढलेली जटिलता.

Seccomp आणि seccomp-bpf तुम्हाला सिस्टम कॉल फिल्टर करण्यास, बेस OS साठी संभाव्य धोकादायक असलेल्या आणि वापरकर्त्याच्या ऍप्लिकेशन्सच्या सामान्य ऑपरेशनसाठी आवश्यक नसलेल्या कॉल्सची अंमलबजावणी ब्लॉक करण्याची परवानगी देते. Seccomp काही मार्गांनी Falco सारखेच आहे, जरी त्याला कंटेनरची वैशिष्ट्ये माहित नसली तरी.

Sysdig ओपन सोर्स

वेबसाइट: www.sysdig.com/opensource
परवाना: विनामूल्य (अपाचे)

Sysdig हे लिनक्स सिस्टीमचे विश्लेषण, निदान आणि डीबगिंग करण्यासाठी एक संपूर्ण साधन आहे (Windows आणि macOS वर देखील कार्य करते, परंतु मर्यादित कार्यांसह). तपशीलवार माहिती गोळा करणे, पडताळणी आणि फॉरेन्सिक विश्लेषणासाठी याचा वापर केला जाऊ शकतो. (फॉरेन्सिक) बेस सिस्टम आणि त्यावर चालणारे कोणतेही कंटेनर.

Sysdig नेटिव्हली कंटेनर रनटाइम्स आणि Kubernetes मेटाडेटाला सपोर्ट करते, ती गोळा करत असलेल्या सर्व सिस्टीम वर्तन माहितीमध्ये अतिरिक्त आयाम आणि लेबले जोडते. Sysdig वापरून कुबर्नेट्स क्लस्टरचे विश्लेषण करण्याचे अनेक मार्ग आहेत: तुम्ही याद्वारे पॉइंट-इन-टाइम कॅप्चर करू शकता kubectl कॅप्चर किंवा प्लगइन वापरून ncurses-आधारित परस्पर इंटरफेस लाँच करा kubectl खणणे.

Kubernetes नेटवर्क सुरक्षा

ऍपोरेटो

वेबसाइट: www.aporeto.com
परवाना: व्यावसायिक

Aporeto "नेटवर्क आणि पायाभूत सुविधांपासून विभक्त सुरक्षा" ऑफर करते. याचा अर्थ असा की Kubernetes सेवांना केवळ स्थानिक आयडी मिळत नाही (म्हणजे Kubernetes मधील सर्व्हिस खाते), पण एक सार्वत्रिक आयडी/फिंगरप्रिंट देखील मिळतो जो इतर कोणत्याही सेवेशी सुरक्षितपणे आणि परस्पर संवाद साधण्यासाठी वापरला जाऊ शकतो, उदाहरणार्थ OpenShift क्लस्टरमध्ये.

Aporeto केवळ Kubernetes/कंटेनरसाठीच नाही तर होस्ट, क्लाउड फंक्शन्स आणि वापरकर्त्यांसाठी देखील एक अद्वितीय आयडी निर्माण करण्यास सक्षम आहे. या अभिज्ञापकांवर आणि प्रशासकाद्वारे सेट केलेल्या नेटवर्क सुरक्षा नियमांच्या सेटवर अवलंबून, संप्रेषणांना अनुमती दिली जाईल किंवा अवरोधित केले जाईल.

केलिको

वेबसाइट: www.projectcalico.org
परवाना: विनामूल्य (अपाचे)

कॅलिको सामान्यत: कंटेनर ऑर्केस्ट्रेटरच्या स्थापनेदरम्यान तैनात केले जाते, जे तुम्हाला कंटेनर एकमेकांशी जोडणारे आभासी नेटवर्क तयार करण्यास अनुमती देते. या मूलभूत नेटवर्क कार्यक्षमतेच्या व्यतिरिक्त, कॅलिको प्रकल्प कुबर्नेट्स नेटवर्क धोरणे आणि नेटवर्क सुरक्षा प्रोफाइलच्या स्वतःच्या संचासह कार्य करते, एंडपॉइंट ACLs (प्रवेश नियंत्रण सूची) आणि इंग्रेस आणि एग्रेस रहदारीसाठी भाष्य-आधारित नेटवर्क सुरक्षा नियमांना समर्थन देते.

सिलियम

वेबसाइट: www.cilium.io
परवाना: विनामूल्य (अपाचे)

Cilium कंटेनरसाठी फायरवॉल म्हणून काम करते आणि कुबर्नेट्स आणि मायक्रोसर्व्हिसेस वर्कलोड्ससाठी मूळपणे तयार केलेली नेटवर्क सुरक्षा वैशिष्ट्ये प्रदान करते. Cilium डेटा फिल्टर, मॉनिटर, पुनर्निर्देशित आणि दुरुस्त करण्यासाठी BPF (बर्कले पॅकेट फिल्टर) नावाचे नवीन लिनक्स कर्नल तंत्रज्ञान वापरते.

Docker किंवा Kubernetes लेबले आणि मेटाडेटा वापरून कंटेनर ID वर आधारित नेटवर्क प्रवेश धोरणे तैनात करण्यास Cilium सक्षम आहे. Cilium हे HTTP किंवा gRPC सारखे विविध लेयर 7 प्रोटोकॉल देखील समजते आणि फिल्टर करते, जे तुम्हाला REST कॉल्सचा संच परिभाषित करण्यास अनुमती देते ज्याला दोन कुबर्नेट्स तैनाती दरम्यान परवानगी दिली जाईल, उदाहरणार्थ.

इस्टिओ

वेबसाइट: istio.io
परवाना: विनामूल्य (अपाचे)

प्लॅटफॉर्म-स्वतंत्र नियंत्रण विमान तैनात करून आणि डायनॅमिकली कॉन्फिगर करण्यायोग्य दूत प्रॉक्सीद्वारे सर्व व्यवस्थापित सेवा रहदारी मार्गी लावून सेवा जाळीच्या प्रतिमानाची अंमलबजावणी करण्यासाठी Istio व्यापकपणे ओळखले जाते. विविध नेटवर्क सुरक्षा धोरणांची अंमलबजावणी करण्यासाठी Istio सर्व मायक्रोसर्व्हिसेस आणि कंटेनर्सच्या या प्रगत दृश्याचा लाभ घेते.

Istio च्या नेटवर्क सुरक्षा क्षमतांमध्ये मायक्रोसर्व्हिसेसमधील संप्रेषणे HTTPS वर स्वयंचलितपणे श्रेणीसुधारित करण्यासाठी पारदर्शक TLS एन्क्रिप्शन आणि क्लस्टरमधील भिन्न वर्कलोड्स दरम्यान संप्रेषणास अनुमती देण्यासाठी/नाकारण्यासाठी मालकीची RBAC ओळख आणि अधिकृतता प्रणाली समाविष्ट आहे.

नोंद. अनुवाद: Istio च्या सुरक्षा-केंद्रित क्षमतांबद्दल अधिक जाणून घेण्यासाठी, वाचा हा लेख.

वाघ

वेबसाइट: www.tigera.io
परवाना: व्यावसायिक

"कुबर्नेट्स फायरवॉल" असे म्हणतात, हे समाधान नेटवर्क सुरक्षिततेसाठी शून्य-विश्वास दृष्टिकोनावर जोर देते.

इतर मूळ Kubernetes नेटवर्किंग सोल्यूशन्स प्रमाणेच, Tigera क्लस्टरमधील विविध सेवा आणि वस्तू ओळखण्यासाठी मेटाडेटावर अवलंबून आहे आणि मल्टी-क्लाउड किंवा हायब्रिड मोनोलिथिक-कंटेनराइज्ड इन्फ्रास्ट्रक्चर्ससाठी रनटाइम समस्या शोधणे, सतत अनुपालन तपासणी आणि नेटवर्क दृश्यमानता प्रदान करते.

त्रिरेम

वेबसाइट: www.aporeto.com/opensource
परवाना: विनामूल्य (अपाचे)

Trireme-Kubernetes हे Kubernetes नेटवर्क धोरणांच्या तपशीलाची साधी आणि सरळ अंमलबजावणी आहे. सर्वात लक्षणीय वैशिष्ट्य म्हणजे - समान Kubernetes नेटवर्क सुरक्षा उत्पादनांप्रमाणे - याला जाळीचे समन्वय साधण्यासाठी केंद्रीय नियंत्रण विमानाची आवश्यकता नाही. हे समाधान क्षुल्लकपणे स्केलेबल बनवते. ट्रायरेममध्ये, प्रत्येक नोडवर एजंट स्थापित करून हे साध्य केले जाते जे होस्टच्या TCP/IP स्टॅकशी थेट कनेक्ट होते.

प्रतिमा प्रसार आणि रहस्ये व्यवस्थापन

ग्राफीज

वेबसाइट: grafeas.io
परवाना: विनामूल्य (अपाचे)

Grafeas हे सॉफ्टवेअर सप्लाय चेन ऑडिटिंग आणि व्यवस्थापनासाठी ओपन सोर्स API आहे. मूलभूत स्तरावर, Grafeas हे मेटाडेटा आणि ऑडिट निष्कर्ष गोळा करण्याचे साधन आहे. एखाद्या संस्थेतील सुरक्षितता सर्वोत्तम पद्धतींच्या अनुपालनाचा मागोवा घेण्यासाठी याचा वापर केला जाऊ शकतो.

सत्याचा हा केंद्रीकृत स्रोत यासारख्या प्रश्नांची उत्तरे देण्यात मदत करतो:

विशिष्ट कंटेनरसाठी कोणी गोळा केले आणि स्वाक्षरी केली?
सुरक्षा धोरणासाठी आवश्यक असलेले सर्व सुरक्षा स्कॅन आणि तपासण्या पार केल्या आहेत का? कधी? परिणाम काय होते?
उत्पादनासाठी ते कोणी तैनात केले? तैनाती दरम्यान कोणते विशिष्ट मापदंड वापरले गेले?

इन-टोटो

वेबसाइट: in-toto.github.io
परवाना: विनामूल्य (अपाचे)

इन-टोटो ही संपूर्ण सॉफ्टवेअर पुरवठा साखळीची अखंडता, प्रमाणीकरण आणि ऑडिटिंग प्रदान करण्यासाठी डिझाइन केलेली फ्रेमवर्क आहे. पायाभूत सुविधांमध्ये इन-टोटो तैनात करताना, प्रथम एक योजना परिभाषित केली जाते जी पाइपलाइनमधील विविध चरणांचे वर्णन करते (रेपॉजिटरी, सीआय/सीडी टूल्स, क्यूए टूल्स, आर्टिफॅक्ट कलेक्टर्स इ.) आणि वापरकर्ते (जबाबदार व्यक्ती) ज्यांना परवानगी आहे त्यांना आरंभ करा.

इन-टोटो योजनेच्या अंमलबजावणीवर लक्ष ठेवते, साखळीतील प्रत्येक कार्य केवळ अधिकृत कर्मचार्‍यांकडूनच योग्यरित्या पार पाडले जात आहे आणि हालचाली दरम्यान उत्पादनासोबत कोणतीही अनधिकृत फेरफार केली गेली नाही याची पडताळणी करते.

पोर्टिएरिस

वेबसाइट: github.com/IBM/portieris
परवाना: विनामूल्य (अपाचे)

पोर्टिएरिस हा कुबर्नेट्ससाठी प्रवेश नियंत्रक आहे; सामग्री विश्वास तपासणी लागू करण्यासाठी वापरले जाते. Portieris सर्व्हर वापरते नोटरी (आम्ही त्याच्याबद्दल शेवटी लिहिले हा लेख - अंदाजे भाषांतर) विश्वसनीय आणि स्वाक्षरी केलेल्या कलाकृती (म्हणजे मंजूर कंटेनर प्रतिमा) प्रमाणित करण्यासाठी सत्याचा स्रोत म्हणून.

Kubernetes मध्‍ये वर्कलोड तयार किंवा सुधारित केल्यावर, Portieris विनंती केलेल्या कंटेनर इमेजसाठी स्वाक्षरी माहिती आणि सामग्री ट्रस्ट पॉलिसी डाउनलोड करते आणि आवश्यक असल्यास, त्या प्रतिमांच्या स्वाक्षरी केलेल्या आवृत्त्या चालवण्यासाठी JSON API ऑब्जेक्टमध्ये ऑन-द-फ्लाय बदल करते.

व्हॉल्ट

वेबसाइट: www.vaultproject.io
परवाना: मोफत (MPL)

खाजगी माहिती साठवण्यासाठी Vault हा एक सुरक्षित उपाय आहे: पासवर्ड, OAuth टोकन, PKI प्रमाणपत्रे, अॅक्सेस खाती, Kubernetes रहस्ये इ. Vault अनेक प्रगत वैशिष्ट्यांना समर्थन देते, जसे की तात्पुरती सुरक्षा टोकन भाड्याने देणे किंवा की रोटेशन आयोजित करणे.

हेल्म चार्ट वापरून, व्हॉल्टला बॅकएंड स्टोरेज म्हणून कॉन्सुलसह कुबर्नेट्स क्लस्टरमध्ये नवीन तैनाती म्हणून तैनात केले जाऊ शकते. हे मूळ Kubernetes संसाधनांना सपोर्ट करते जसे की ServiceAccount टोकन्स आणि अगदी Kubernetes secrets साठी डीफॉल्ट स्टोअर म्हणून काम करू शकतात.

नोंद. अनुवाद: तसे, कालच कंपनी HashiCorp, जी Vault विकसित करते, Kubernetes मध्ये Vault वापरण्यासाठी काही सुधारणांची घोषणा केली आणि विशेषतः ते हेल्म चार्टशी संबंधित आहेत. मध्ये अधिक वाचा ब्लॉग разработчика.

Kubernetes सुरक्षा ऑडिट

कुबे-पीठ

वेबसाइट: github.com/aquasecurity/kube-bench
परवाना: विनामूल्य (अपाचे)

कुबे-बेंच हा एक गो ऍप्लिकेशन आहे जो सूचीमधून चाचण्या चालवून कुबर्नेट्स सुरक्षितपणे तैनात आहे की नाही हे तपासतो. CIS कुबर्नेट्स बेंचमार्क.

कुबे-बेंच क्लस्टर घटकांमधील असुरक्षित कॉन्फिगरेशन सेटिंग्ज शोधते (इत्यादी, एपीआय, कंट्रोलर मॅनेजर, इ.), शंकास्पद फाइल प्रवेश अधिकार, असुरक्षित खाती किंवा ओपन पोर्ट, संसाधन कोटा, DoS हल्ल्यांपासून संरक्षण करण्यासाठी API कॉलची संख्या मर्यादित करण्यासाठी सेटिंग्ज , इ.

कुबे-शिकारी

वेबसाइट: github.com/aquasecurity/kube-hunter
परवाना: विनामूल्य (अपाचे)

कुबे-हंटर कुबर्नेट्स क्लस्टर्समधील संभाव्य असुरक्षा (जसे की रिमोट कोड एक्झिक्यूशन किंवा डेटा प्रकटीकरण) शोधतो. कुबे-हंटर हे रिमोट स्कॅनर म्हणून चालवले जाऊ शकते - अशा परिस्थितीत ते तृतीय-पक्ष आक्रमणकर्त्याच्या दृष्टिकोनातून क्लस्टरचे मूल्यांकन करेल - किंवा क्लस्टरच्या आत पॉड म्हणून.

कुबे-हंटरचे एक विशिष्ट वैशिष्ट्य म्हणजे त्याचा "सक्रिय शिकार" मोड, ज्या दरम्यान तो केवळ समस्यांचा अहवाल देत नाही तर लक्ष्य क्लस्टरमध्ये सापडलेल्या असुरक्षांचा फायदा घेण्याचा प्रयत्न करतो ज्यामुळे त्याच्या ऑपरेशनला संभाव्य हानी पोहोचू शकते. म्हणून सावधगिरीने वापरा!

कुबेऑडिट

वेबसाइट: github.com/Shopify/kubeaudit
परवाना: मोफत (MIT)

Kubeaudit हे एक कन्सोल टूल आहे जे मूलतः Shopify येथे विविध सुरक्षा समस्यांसाठी Kubernetes कॉन्फिगरेशनचे ऑडिट करण्यासाठी विकसित केले आहे. उदाहरणार्थ, ते अप्रतिबंधित, रूट म्हणून चालणारे, विशेषाधिकारांचा गैरवापर करणारे किंवा डीफॉल्ट सेवा खाते वापरणारे कंटेनर ओळखण्यात मदत करते.

Kubeaudit मध्ये इतर मनोरंजक वैशिष्ट्ये आहेत. उदाहरणार्थ, ते स्थानिक YAML फायलींचे विश्लेषण करू शकते, कॉन्फिगरेशन त्रुटी ओळखू शकते ज्यामुळे सुरक्षा समस्या उद्भवू शकतात आणि स्वयंचलितपणे त्यांचे निराकरण केले जाऊ शकते.

कुबेसेक

वेबसाइट: kubesec.io
परवाना: विनामूल्य (अपाचे)

कुबेसेक हे एक विशेष साधन आहे ज्यामध्ये ते थेट YAML फायली स्कॅन करते जे कुबर्नेट्स संसाधनांचे वर्णन करते, सुरक्षिततेवर परिणाम करू शकणारे कमकुवत पॅरामीटर्स शोधते.

उदाहरणार्थ, ते पॉडला दिलेले अत्याधिक विशेषाधिकार आणि परवानग्या शोधू शकते, डिफॉल्ट वापरकर्ता म्हणून रूटसह कंटेनर चालवणे, होस्टच्या नेटवर्क नेमस्पेसशी कनेक्ट करणे किंवा धोकादायक माउंट्स /proc होस्ट किंवा डॉकर सॉकेट. कुबेसेकचे आणखी एक मनोरंजक वैशिष्ट्य म्हणजे ऑनलाइन उपलब्ध डेमो सेवा, ज्यामध्ये तुम्ही YAML अपलोड करू शकता आणि त्याचे त्वरित विश्लेषण करू शकता.

पॉलिसी एजंट उघडा

वेबसाइट: www.openpolicyagent.org
परवाना: विनामूल्य (अपाचे)

ओपीए (ओपन पॉलिसी एजंट) ची संकल्पना विशिष्ट रनटाइम प्लॅटफॉर्मवरून सुरक्षा धोरणे आणि सुरक्षितता सर्वोत्तम सराव दुप्पट करणे आहे: डॉकर, कुबर्नेट्स, मेसोस्फीअर, ओपनशिफ्ट किंवा त्यांचे कोणतेही संयोजन.

उदाहरणार्थ, तुम्ही OPA ला Kubernetes प्रवेश नियंत्रकासाठी बॅकएंड म्हणून तैनात करू शकता, त्यावर सुरक्षा निर्णय सोपवू शकता. अशा प्रकारे, ओपीए एजंट निर्दिष्ट सुरक्षा मापदंडांची पूर्तता केल्याची खात्री करून, फ्लायवर विनंत्या प्रमाणित करू शकतो, नाकारू शकतो आणि सुधारू शकतो. OPA ची सुरक्षा धोरणे त्याच्या मालकीच्या DSL भाषेत, Rego मध्ये लिहिलेली आहेत.

नोंद. अनुवाद: आम्ही मध्ये OPA (आणि SPIFFE) बद्दल अधिक लिहिले ही सामग्री.

Kubernetes सुरक्षा विश्लेषणासाठी व्यापक व्यावसायिक साधने

आम्ही व्यावसायिक प्लॅटफॉर्मसाठी एक स्वतंत्र श्रेणी तयार करण्याचा निर्णय घेतला कारण ते सामान्यत: एकाधिक सुरक्षा क्षेत्रे कव्हर करतात. त्यांच्या क्षमतांची सामान्य कल्पना टेबलवरून मिळू शकते:

* प्रगत तपासणी आणि पोस्टमार्टम विश्लेषण पूर्ण सिस्टम कॉल अपहरण.

एक्वा सुरक्षा

वेबसाइट: www.aquasec.com
परवाना: व्यावसायिक

हे व्यावसायिक साधन कंटेनर आणि क्लाउड वर्कलोडसाठी डिझाइन केलेले आहे. ते देत:

कंटेनर रेजिस्ट्री किंवा CI/CD पाइपलाइनसह इमेज स्कॅनिंग समाकलित;
कंटेनरमधील बदल आणि इतर संशयास्पद क्रियाकलापांच्या शोधासह रनटाइम संरक्षण;
कंटेनर-नेटिव्ह फायरवॉल;
क्लाउड सेवांमध्ये सर्व्हरलेससाठी सुरक्षा;
अनुपालन चाचणी आणि ऑडिटिंग इव्हेंट लॉगिंगसह एकत्रित.

नोंद. अनुवाद: हे देखील लक्षात घेण्यासारखे आहे की आहेत उत्पादनाचा मुक्त घटक म्हणतात मायक्रोस्कॅनर, जे तुम्हाला भेद्यतेसाठी कंटेनर प्रतिमा स्कॅन करण्यास अनुमती देते. सशुल्क आवृत्त्यांसह त्याच्या क्षमतांची तुलना मध्ये सादर केली आहे हे टेबल.

कॅप्सूल8

वेबसाइट: capsule8.com
परवाना: व्यावसायिक

कॅप्सूल8 स्थानिक किंवा क्लाउड कुबर्नेट्स क्लस्टरवर डिटेक्टर स्थापित करून पायाभूत सुविधांमध्ये समाकलित करते. हा डिटेक्टर होस्ट आणि नेटवर्क टेलीमेट्री गोळा करतो, त्याचा वेगवेगळ्या प्रकारच्या हल्ल्यांशी संबंध जोडतो.

कॅप्सूल8 टीम त्याच्या कार्याकडे नवीन वापरून हल्ले लवकर शोधणे आणि प्रतिबंध करणे म्हणून पाहते (0-दिवस) असुरक्षा कॅप्सूल8 नवीन शोधलेल्या धमक्या आणि सॉफ्टवेअर भेद्यतेच्या प्रतिसादात अद्ययावत सुरक्षा नियम थेट डिटेक्टरवर डाउनलोड करू शकते.

कॅविरिन

वेबसाइट: www.cavirin.com
परवाना: व्यावसायिक

कॅविरिन सुरक्षा मानकांमध्ये गुंतलेल्या विविध एजन्सींसाठी कंपनी-साइड कॉन्ट्रॅक्टर म्हणून काम करते. ते केवळ प्रतिमाच स्कॅन करू शकत नाही, तर ते CI/CD पाइपलाइनमध्ये समाकलित देखील करू शकते, नॉन-स्टँडर्ड प्रतिमा बंद रेपॉजिटरीमध्ये प्रवेश करण्यापूर्वी अवरोधित करते.

Cavirin चे सुरक्षा संच तुमच्या सायबरसुरक्षा स्थितीचे मूल्यांकन करण्यासाठी मशीन लर्निंगचा वापर करते, सुरक्षा सुधारण्यासाठी आणि सुरक्षा मानकांचे पालन सुधारण्यासाठी टिपा देतात.

Google क्लाउड सुरक्षा आदेश केंद्र

वेबसाइट: cloud.google.com/security-command-center
परवाना: व्यावसायिक

क्लाउड सिक्युरिटी कमांड सेंटर सुरक्षा कार्यसंघांना डेटा संकलित करण्यात, धोके ओळखण्यात आणि कंपनीला हानी पोहोचवण्यापूर्वी त्यांना दूर करण्यात मदत करते.

नावाप्रमाणेच, Google Cloud SCC हे एक युनिफाइड कंट्रोल पॅनल आहे जे एकात्मिक, केंद्रीकृत स्त्रोताकडून विविध सुरक्षा अहवाल, मालमत्ता लेखा इंजिन आणि तृतीय-पक्ष सुरक्षा प्रणाली एकत्रित आणि व्यवस्थापित करू शकते.

Google Cloud SCC द्वारे ऑफर केलेले इंटरऑपरेबल API Sysdig Secure (क्लाउड-नेटिव्ह ऍप्लिकेशन्ससाठी कंटेनर सुरक्षा) किंवा Falco (ओपन सोर्स रनटाइम सुरक्षा) सारख्या विविध स्त्रोतांकडून येणारे सुरक्षा इव्हेंट एकत्रित करणे सोपे करते.

स्तरित अंतर्दृष्टी (Qualys)

वेबसाइट: layeredinsight.com
परवाना: व्यावसायिक

स्तरित अंतर्दृष्टी (आता क्वालिस इंकचा भाग) "एम्बेडेड सुरक्षा" या संकल्पनेवर तयार केली आहे. सांख्यिकीय विश्लेषण आणि CVE चाचण्या वापरून भेद्यतेसाठी मूळ प्रतिमा स्कॅन केल्यानंतर, स्तरित अंतर्दृष्टी ती एका इंस्ट्रुमेंटेड प्रतिमेसह बदलते ज्यामध्ये एजंट बायनरी म्हणून समाविष्ट असतो.

या एजंटमध्ये कंटेनर नेटवर्क रहदारी, I/O प्रवाह आणि अनुप्रयोग क्रियाकलाप यांचे विश्लेषण करण्यासाठी रनटाइम सुरक्षा चाचण्या आहेत. याव्यतिरिक्त, ते इन्फ्रास्ट्रक्चर प्रशासक किंवा DevOps संघांद्वारे निर्दिष्ट केलेल्या अतिरिक्त सुरक्षा तपासण्या करू शकते.

NeuVector

वेबसाइट: neuvector.com
परवाना: व्यावसायिक

NeuVector कंटेनर सुरक्षा तपासते आणि नेटवर्क क्रियाकलाप आणि अनुप्रयोग वर्तनाचे विश्लेषण करून, प्रत्येक कंटेनरसाठी स्वतंत्र सुरक्षा प्रोफाइल तयार करून रनटाइम संरक्षण प्रदान करते. हे स्थानिक फायरवॉल नियम बदलून संशयास्पद क्रियाकलाप वेगळे करून, स्वतःहून धमक्या अवरोधित करू शकते.

NeuVector चे नेटवर्क इंटिग्रेशन, ज्याला सिक्युरिटी मेश म्हणून ओळखले जाते, ते सर्व्हिस मेशमधील सर्व नेटवर्क कनेक्शनसाठी खोल पॅकेट विश्लेषण आणि लेयर 7 फिल्टरिंग करण्यास सक्षम आहे.

स्टॅकरॉक्स

वेबसाइट: www.stackrox.com
परवाना: व्यावसायिक

StackRox कंटेनर सुरक्षा प्लॅटफॉर्म कुबर्नेट्स ऍप्लिकेशन्सचे संपूर्ण जीवनचक्र क्लस्टरमध्ये कव्हर करण्याचा प्रयत्न करतो. या सूचीतील इतर व्यावसायिक प्लॅटफॉर्मप्रमाणे, StackRox निरीक्षण केलेल्या कंटेनर वर्तनावर आधारित रनटाइम प्रोफाइल तयार करते आणि कोणत्याही विचलनासाठी स्वयंचलितपणे अलार्म वाढवते.

याव्यतिरिक्त, कंटेनर अनुपालनाचे मूल्यांकन करण्यासाठी StackRox Kubernetes CIS आणि इतर नियमपुस्तकांचा वापर करून Kubernetes कॉन्फिगरेशनचे विश्लेषण करते.

Sysdig सुरक्षित

वेबसाइट: sysdig.com/products/secure
परवाना: व्यावसायिक

Sysdig Secure संपूर्ण कंटेनर आणि Kubernetes लाइफसायकलमध्ये अनुप्रयोगांचे संरक्षण करते. तो प्रतिमा स्कॅन करते कंटेनर, प्रदान करते रनटाइम संरक्षण मशीन लर्निंग डेटानुसार, क्रीम करते. असुरक्षा ओळखण्यासाठी कौशल्य, धोके रोखणे, मॉनिटर्स स्थापित मानकांचे पालन आणि मायक्रो सर्व्हिसेसमधील क्रियाकलापांचे ऑडिट करते.

Sysdig Secure जेनकिन्स सारख्या CI/CD टूल्ससह समाकलित होते आणि डॉकर रेजिस्ट्रीमधून लोड केलेल्या प्रतिमा नियंत्रित करते, धोकादायक प्रतिमा उत्पादनात दिसण्यापासून प्रतिबंधित करते. हे सर्वसमावेशक रनटाइम सुरक्षा देखील प्रदान करते, यासह:

एमएल-आधारित रनटाइम प्रोफाइलिंग आणि विसंगती शोध;
सिस्टम इव्हेंट, K8s-ऑडिट API, संयुक्त समुदाय प्रकल्प (FIM - फाइल इंटिग्रिटी मॉनिटरिंग; क्रिप्टोजॅकिंग) आणि फ्रेमवर्कवर आधारित रनटाइम धोरणे मिटर एटीटी आणि सीके;
प्रतिक्रिया आणि घटनांचे निराकरण.

टेनेबल कंटेनर सुरक्षा

वेबसाइट: www.tenable.com/products/tenable-io/container-security
परवाना: व्यावसायिक

कंटेनरच्या आगमनापूर्वी, टेनेबल हे नेससच्या मागे असलेली कंपनी म्हणून उद्योगात मोठ्या प्रमाणावर ओळखले जात असे, एक लोकप्रिय भेद्यता शिकार आणि सुरक्षा ऑडिटिंग साधन.

टेनेबल कंटेनर सिक्युरिटी कंपनीच्या संगणक सुरक्षा कौशल्याचा फायदा घेते CI/CD पाइपलाइन असुरक्षितता डेटाबेस, विशेष मालवेअर शोध पॅकेजेस आणि सुरक्षा धोक्यांचे निराकरण करण्यासाठी शिफारसींसह एकत्रित करण्यासाठी.

ट्विस्टलॉक (पालो अल्टो नेटवर्क)

वेबसाइट: www.twistlock.com
परवाना: व्यावसायिक

ट्विस्टलॉक क्लाउड सेवा आणि कंटेनरवर केंद्रित एक व्यासपीठ म्हणून स्वतःला प्रोत्साहन देते. ट्विस्टलॉक विविध क्लाउड प्रदात्यांना (AWS, Azure, GCP), कंटेनर ऑर्केस्ट्रेटर (कुबर्नेट्स, मेसोस्पेअर, ओपनशिफ्ट, डॉकर), सर्व्हरलेस रनटाइम्स, मेश फ्रेमवर्क आणि CI/CD टूल्सचे समर्थन करते.

CI/CD पाइपलाइन इंटिग्रेशन किंवा इमेज स्कॅनिंग सारख्या पारंपारिक एंटरप्राइझ-ग्रेड सुरक्षा तंत्रांव्यतिरिक्त, कंटेनर-विशिष्ट वर्तणूक नमुने आणि नेटवर्क नियम तयार करण्यासाठी ट्विस्टलॉक मशीन लर्निंगचा वापर करते.

काही काळापूर्वी, Evident.io आणि RedLock प्रकल्पांचे मालक असलेल्या Palo Alto Networks ने Twistlock विकत घेतले होते. हे तिन्ही प्लॅटफॉर्म नेमके कसे एकत्र केले जातील हे अद्याप कळलेले नाही PRISMA पालो अल्टो कडून.

Kubernetes सुरक्षा साधनांचा सर्वोत्तम कॅटलॉग तयार करण्यात मदत करा!

आम्ही हे कॅटलॉग शक्य तितके पूर्ण करण्याचा प्रयत्न करतो आणि यासाठी आम्हाला तुमच्या मदतीची आवश्यकता आहे! आमच्याशी संपर्क साधा (@sysdig) जर तुमच्या मनात एखादे छान साधन असेल जे या सूचीमध्ये समाविष्ट करण्यास योग्य असेल किंवा तुम्हाला त्रुटी/कालबाह्य माहिती आढळली.

तुम्ही आमची सदस्यता देखील घेऊ शकता मासिक वृत्तपत्र क्लाउड-नेटिव्ह इकोसिस्टमच्या बातम्यांसह आणि कुबर्नेट्स सुरक्षिततेच्या जगाच्या मनोरंजक प्रकल्पांबद्दलच्या कथांसह.

अनुवादकाकडून पुनश्च

आमच्या ब्लॉगवर देखील वाचा:

स्त्रोत: www.habr.com

33+ Kubernetes सुरक्षा साधने