33+ alatan keselamatan Kubernetes

Catatan. terjemah: Jika anda tertanya-tanya tentang keselamatan dalam infrastruktur berasaskan Kubernetes, gambaran keseluruhan yang sangat baik daripada Sysdig ini merupakan titik permulaan yang bagus untuk melihat dengan pantas penyelesaian semasa. Ia termasuk kedua-dua sistem kompleks daripada pemain pasaran terkenal dan utiliti yang lebih sederhana yang menyelesaikan masalah tertentu. Dan dalam ulasan, seperti biasa, kami akan gembira mendengar tentang pengalaman anda menggunakan alat ini dan melihat pautan ke projek lain.

Produk perisian keselamatan Kubernetes... terdapat begitu banyak produk, masing-masing dengan matlamat, skop dan lesen mereka sendiri.

Itulah sebabnya kami memutuskan untuk membuat senarai ini dan memasukkan kedua-dua projek sumber terbuka dan platform komersial daripada vendor yang berbeza. Kami berharap ia akan membantu anda mengenal pasti yang paling diminati dan menunjukkan anda ke arah yang betul berdasarkan keperluan keselamatan Kubernetes khusus anda.

Категории

Untuk menjadikan senarai lebih mudah untuk dinavigasi, alatan disusun mengikut fungsi dan aplikasi utama. Bahagian berikut diperoleh:

• Pengimbasan imej Kubernetes dan analisis statik;
• Keselamatan masa jalan;
• keselamatan rangkaian Kubernetes;
• Pengedaran imej dan pengurusan rahsia;
• audit keselamatan Kubernetes;
• Produk komersial yang komprehensif.

Mari kita turun ke perniagaan:

Mengimbas imej Kubernetes

Sauh

• Laman web: anchore.com
• Lesen: tawaran percuma (Apache) dan komersial

Anchore menganalisis imej kontena dan membenarkan semakan keselamatan berdasarkan dasar yang ditentukan pengguna.

Sebagai tambahan kepada pengimbasan biasa imej kontena untuk kelemahan yang diketahui daripada pangkalan data CVE, Anchore melakukan banyak pemeriksaan tambahan sebagai sebahagian daripada dasar pengimbasannya: menyemak Fail Docker, kebocoran kelayakan, pakej bahasa pengaturcaraan yang digunakan (npm, maven, dll. .), lesen perisian dan banyak lagi .

Clear

• Laman web: coreos.com/clair (kini di bawah bimbingan Red Hat)
• Lesen: percuma (Apache)

Clair ialah salah satu projek Sumber Terbuka pertama untuk pengimbasan imej. Ia dikenali secara meluas sebagai pengimbas keselamatan di belakang pendaftaran imej Quay (juga daripada CoreOS - lebih kurang terjemahan). Clair boleh mengumpul maklumat CVE daripada pelbagai sumber, termasuk senarai kelemahan khusus pengedaran Linux yang dikekalkan oleh pasukan keselamatan Debian, Red Hat atau Ubuntu.

Tidak seperti Anchore, Clair tertumpu terutamanya pada mencari kelemahan dan memadankan data dengan CVE. Walau bagaimanapun, produk ini menawarkan pengguna beberapa peluang untuk mengembangkan fungsi menggunakan pemacu pemalam.

dagda

• Laman web: github.com/eliasgranderubio/dagda
• Lesen: percuma (Apache)

Dagda melakukan analisis statik imej kontena untuk kelemahan yang diketahui, Trojan, virus, perisian hasad dan ancaman lain.

Dua ciri ketara membezakan Dagda daripada alat lain yang serupa:

• Ia berintegrasi sempurna dengan ClamAV, bertindak bukan sahaja sebagai alat untuk mengimbas imej bekas, tetapi juga sebagai antivirus.
• Juga menyediakan perlindungan masa jalan dengan menerima acara masa nyata daripada daemon Docker dan menyepadukan dengan Falco (lihat di bawah) untuk mengumpul acara keselamatan semasa kontena sedang berjalan.

KubeXray

• Laman web: github.com/jfrog/kubexray
• Lesen: Percuma (Apache), tetapi memerlukan data daripada JFrog Xray (produk komersial)

KubeXray mendengar acara daripada pelayan API Kubernetes dan menggunakan metadata daripada JFrog Xray untuk memastikan bahawa hanya pod yang sepadan dengan dasar semasa dilancarkan.

KubeXray bukan sahaja mengaudit bekas baharu atau dikemas kini dalam penggunaan (serupa dengan pengawal kemasukan dalam Kubernetes), tetapi juga secara dinamik menyemak bekas yang sedang dijalankan untuk pematuhan dengan dasar keselamatan baharu, mengalih keluar sumber yang merujuk imej yang terdedah.

Snyk

• Laman web: snyk.io
• Lesen: versi percuma (Apache) dan komersial

Snyk ialah pengimbas kerentanan yang luar biasa kerana ia menyasarkan secara khusus proses pembangunan dan dipromosikan sebagai "penyelesaian penting" untuk pembangun.

Snyk menyambung terus ke repositori kod, menghuraikan manifes projek dan menganalisis kod yang diimport bersama kebergantungan langsung dan tidak langsung. Snyk menyokong banyak bahasa pengaturcaraan popular dan boleh mengenal pasti risiko lesen tersembunyi.

Trivy

• Laman web: github.com/knqyf263/trivy
• Lesen: percuma (AGPL)

Trivy ialah pengimbas kerentanan yang ringkas tetapi berkuasa untuk bekas yang mudah disepadukan ke dalam saluran paip CI/CD. Ciri ketaranya ialah kemudahan pemasangan dan pengendaliannya: aplikasi terdiri daripada satu binari dan tidak memerlukan pemasangan pangkalan data atau perpustakaan tambahan.

Kelemahan kepada kesederhanaan Trivy ialah anda perlu memikirkan cara menghuraikan dan memajukan hasil dalam format JSON supaya alat keselamatan Kubernetes lain boleh menggunakannya.

Keselamatan masa jalan dalam Kubernetes

Falco

• Laman web: falco.org
• Lesen: percuma (Apache)

Falco ialah satu set alat untuk mengamankan persekitaran masa jalan awan. Sebahagian daripada keluarga projek CNCF.

Menggunakan perkakasan peringkat kernel Linux Sysdig dan pemprofilan panggilan sistem, Falco membolehkan anda menyelam jauh ke dalam tingkah laku sistem. Enjin peraturan masa jalannya mampu mengesan aktiviti yang mencurigakan dalam aplikasi, bekas, hos asas dan orkestra Kubernetes.

Falco menyediakan ketelusan lengkap dalam masa jalan dan pengesanan ancaman dengan menggunakan ejen khas pada nod Kubernetes untuk tujuan ini. Akibatnya, tidak perlu mengubah suai bekas dengan memperkenalkan kod pihak ketiga ke dalamnya atau menambah bekas kereta sampingan.

Rangka kerja keselamatan Linux untuk masa jalan

Rangka kerja asli untuk kernel Linux ini bukanlah "alat keselamatan Kubernetes" dalam erti kata tradisional, tetapi ia patut disebut kerana ia merupakan elemen penting dalam konteks keselamatan masa jalan, yang termasuk dalam Dasar Keselamatan Pod Kubernetes (PSP).

AppArmor melampirkan profil keselamatan pada proses yang dijalankan dalam bekas, mentakrifkan keistimewaan sistem fail, peraturan akses rangkaian, menyambungkan perpustakaan, dsb. Ini adalah sistem berdasarkan Kawalan Capaian Mandatori (MAC). Dengan kata lain, ia menghalang tindakan yang dilarang daripada dilakukan.

Linux Dipertingkatkan Keselamatan (SELinux) ialah modul keselamatan lanjutan dalam kernel Linux, serupa dalam beberapa aspek dengan AppArmor dan sering dibandingkan dengannya. SELinux lebih unggul daripada AppArmor dalam kuasa, fleksibiliti dan penyesuaian. Kelemahannya ialah keluk pembelajaran yang panjang dan kerumitan yang meningkat.

Seccomp dan seccomp-bpf membolehkan anda menapis panggilan sistem, menyekat pelaksanaan panggilan yang berpotensi berbahaya untuk OS asas dan tidak diperlukan untuk operasi biasa aplikasi pengguna. Seccomp serupa dengan Falco dalam beberapa cara, walaupun ia tidak mengetahui spesifik kontena.

Sumber terbuka Sysdig

• Laman web: www.sysdig.com/opensource
• Lesen: percuma (Apache)

Sysdig ialah alat lengkap untuk menganalisis, mendiagnosis dan menyahpepijat sistem Linux (juga berfungsi pada Windows dan macOS, tetapi dengan fungsi terhad). Ia boleh digunakan untuk pengumpulan maklumat terperinci, pengesahan dan analisis forensik. (forensik) sistem asas dan mana-mana bekas yang berjalan di atasnya.

Sysdig juga secara asli menyokong masa jalan kontena dan metadata Kubernetes, menambahkan dimensi dan label tambahan pada semua maklumat tingkah laku sistem yang dikumpulnya. Terdapat beberapa cara untuk menganalisis gugusan Kubernetes menggunakan Sysdig: anda boleh melakukan tangkapan titik dalam masa melalui kubectl capture atau melancarkan antara muka interaktif berasaskan ncurses menggunakan pemalam kubectl dig.

Keselamatan Rangkaian Kubernetes

Aporeto

• Laman web: www.aporeto.com
• Lesen: komersial

Aporeto menawarkan "keselamatan yang dipisahkan daripada rangkaian dan infrastruktur." Ini bermakna perkhidmatan Kubernetes bukan sahaja menerima ID setempat (iaitu ServiceAccount dalam Kubernetes), tetapi juga ID/cap jari universal yang boleh digunakan untuk berkomunikasi secara selamat dan bersama dengan mana-mana perkhidmatan lain, contohnya dalam kelompok OpenShift.

Aporeto mampu menjana ID unik bukan sahaja untuk Kubernetes/bekas, tetapi juga untuk hos, fungsi awan dan pengguna. Bergantung pada pengecam ini dan set peraturan keselamatan rangkaian yang ditetapkan oleh pentadbir, komunikasi akan dibenarkan atau disekat.

Calico

• Laman web: www.projectcalico.org
• Lesen: percuma (Apache)

Calico biasanya digunakan semasa pemasangan orkestrator kontena, membolehkan anda membuat rangkaian maya yang menghubungkan bekas. Sebagai tambahan kepada fungsi rangkaian asas ini, projek Calico berfungsi dengan Dasar Rangkaian Kubernetes dan set profil keselamatan rangkaiannya sendiri, menyokong ACL titik akhir (senarai kawalan akses) dan peraturan keselamatan rangkaian berasaskan anotasi untuk trafik Ingress dan Egress.

cilium

• Laman web: www.cilium.io
• Lesen: percuma (Apache)

Cilium bertindak sebagai tembok api untuk bekas dan menyediakan ciri keselamatan rangkaian yang disesuaikan secara asli untuk Kubernetes dan beban kerja perkhidmatan mikro. Cilium menggunakan teknologi kernel Linux baharu yang dipanggil BPF (Berkeley Packet Filter) untuk menapis, memantau, mengubah hala dan membetulkan data.

Cilium mampu melaksanakan dasar akses rangkaian berdasarkan ID kontena menggunakan label dan metadata Docker atau Kubernetes. Cilium juga memahami dan menapis pelbagai protokol Lapisan 7 seperti HTTP atau gRPC, membolehkan anda menentukan set panggilan REST yang akan dibenarkan antara dua penggunaan Kubernetes, contohnya.

Istio

• Laman web: isio.io
• Lesen: percuma (Apache)

Istio terkenal secara meluas kerana melaksanakan paradigma jaringan perkhidmatan dengan menggunakan satah kawalan bebas platform dan menghalakan semua trafik perkhidmatan terurus melalui proksi Utusan yang boleh dikonfigurasikan secara dinamik. Istio memanfaatkan pandangan lanjutan ini bagi semua perkhidmatan mikro dan bekas untuk melaksanakan pelbagai strategi keselamatan rangkaian.

Keupayaan keselamatan rangkaian Istio termasuk penyulitan TLS telus untuk meningkatkan komunikasi antara perkhidmatan mikro secara automatik kepada HTTPS dan sistem pengenalan dan kebenaran RBAC proprietari untuk membenarkan/menolak komunikasi antara beban kerja yang berbeza dalam kelompok.

Catatan. terjemah: Untuk mengetahui lebih lanjut tentang keupayaan fokus keselamatan Istio, baca artikel ini.

harimau

• Laman web: www.tigera.io
• Lesen: komersial

Dipanggil "Tembok Api Kubernetes", penyelesaian ini menekankan pendekatan sifar amanah terhadap keselamatan rangkaian.

Sama seperti penyelesaian rangkaian Kubernetes asli yang lain, Tigera bergantung pada metadata untuk mengenal pasti pelbagai perkhidmatan dan objek dalam kluster dan menyediakan pengesanan isu masa jalan, semakan pematuhan berterusan dan keterlihatan rangkaian untuk infrastruktur berbilang awan atau hibrid yang mengandungi monolitik.

Trireme

• Laman web: www.aporeto.com/opensource
• Lesen: percuma (Apache)

Trireme-Kubernetes ialah pelaksanaan spesifikasi Dasar Rangkaian Kubernetes yang ringkas dan mudah. Ciri yang paling ketara ialah - tidak seperti produk keselamatan rangkaian Kubernetes yang serupa - ia tidak memerlukan satah kawalan pusat untuk menyelaraskan mesh. Ini menjadikan penyelesaian itu boleh skala kecil. Dalam Trireme, ini dicapai dengan memasang ejen pada setiap nod yang bersambung terus ke timbunan TCP/IP hos.

Penyebaran Imej dan Pengurusan Rahsia

Grafeas

• Laman web: grafeas.io
• Lesen: percuma (Apache)

Grafeas ialah API sumber terbuka untuk pengauditan dan pengurusan rantaian bekalan perisian. Pada peringkat asas, Grafeas ialah alat untuk mengumpul metadata dan penemuan audit. Ia boleh digunakan untuk menjejaki pematuhan terhadap amalan terbaik keselamatan dalam sesebuah organisasi.

Sumber kebenaran terpusat ini membantu menjawab soalan seperti:

• Siapa yang mengumpul dan menandatangani kontena tertentu?
• Adakah ia melepasi semua imbasan keselamatan dan semakan yang diperlukan oleh dasar keselamatan? Bila? Apakah keputusannya?
• Siapa yang mengerahkannya ke pengeluaran? Apakah parameter khusus yang digunakan semasa penggunaan?

Dalam-toto

• Laman web: in-toto.github.io
• Lesen: percuma (Apache)

In-toto ialah rangka kerja yang direka untuk menyediakan integriti, pengesahan dan pengauditan keseluruhan rantaian bekalan perisian. Apabila menggunakan In-toto dalam infrastruktur, pelan pertama kali ditakrifkan yang menerangkan pelbagai langkah dalam saluran paip (repositori, alat CI/CD, alatan QA, pengumpul artifak, dll.) dan pengguna (orang yang bertanggungjawab) yang dibenarkan untuk memulakan mereka.

In-toto memantau pelaksanaan pelan, mengesahkan bahawa setiap tugas dalam rantaian dilakukan dengan betul oleh kakitangan yang diberi kuasa sahaja dan bahawa tiada manipulasi yang tidak dibenarkan telah dilakukan dengan produk semasa pergerakan.

Portieris

• Laman web: github.com/IBM/portieris
• Lesen: percuma (Apache)

Portieris ialah pengawal kemasukan untuk Kubernetes; digunakan untuk menguatkuasakan semakan kepercayaan kandungan. Portieris menggunakan pelayan Notari (kami menulis tentang dia pada akhirnya artikel ini - lebih kurang terjemahan) sebagai sumber kebenaran untuk mengesahkan artifak yang dipercayai dan ditandatangani (iaitu imej kontena yang diluluskan).

Apabila beban kerja dibuat atau diubah suai dalam Kubernetes, Portieris memuat turun maklumat tandatangan dan dasar amanah kandungan untuk imej kontena yang diminta dan, jika perlu, membuat perubahan segera pada objek API JSON untuk menjalankan versi bertanda imej tersebut.

Bilik Kebal

• Laman web: www.vaultproject.io
• Lesen: percuma (MPL)

Vault ialah penyelesaian selamat untuk menyimpan maklumat peribadi: kata laluan, token OAuth, sijil PKI, akaun akses, rahsia Kubernetes, dsb. Bilik kebal menyokong banyak ciri lanjutan, seperti memajak token keselamatan sementara atau mengatur putaran kunci.

Menggunakan carta Helm, Bilik Kebal boleh digunakan sebagai penempatan baharu dalam gugusan Kubernetes dengan Konsul sebagai storan bahagian belakang. Ia menyokong sumber Kubernetes asli seperti token ServiceAccount dan juga boleh bertindak sebagai stor lalai untuk rahsia Kubernetes.

Catatan. terjemah: By the way, baru semalam syarikat HashiCorp, yang membangunkan Vault, mengumumkan beberapa penambahbaikan untuk menggunakan Vault dalam Kubernetes, dan khususnya ia berkaitan dengan carta Helm. Baca lebih lanjut dalam blog pembangun.

Audit Keselamatan Kubernetes

Kube-bangku

• Laman web: github.com/aquasecurity/kube-bench
• Lesen: percuma (Apache)

Kube-bench ialah aplikasi Go yang menyemak sama ada Kubernetes digunakan dengan selamat dengan menjalankan ujian daripada senarai Penanda Aras CIS Kubernetes.

Kube-bench mencari tetapan konfigurasi yang tidak selamat antara komponen kluster (dsb, API, pengurus pengawal, dsb.), hak akses fail yang boleh dipersoalkan, akaun tidak dilindungi atau port terbuka, kuota sumber, tetapan untuk mengehadkan bilangan panggilan API untuk melindungi daripada serangan DoS , dan lain-lain.

Pemburu Kube

• Laman web: github.com/aquasecurity/kube-hunter
• Lesen: percuma (Apache)

Kube-hunter memburu potensi kelemahan (seperti pelaksanaan kod jauh atau pendedahan data) dalam kelompok Kubernetes. Kube-hunter boleh dijalankan sebagai pengimbas jauh - dalam hal ini ia akan menilai kelompok dari sudut pandangan penyerang pihak ketiga - atau sebagai pod di dalam kelompok.

Ciri tersendiri Kube-hunter ialah mod "pemburuan aktif"nya, di mana ia bukan sahaja melaporkan masalah, tetapi juga cuba memanfaatkan kelemahan yang ditemui dalam kelompok sasaran yang berpotensi membahayakan operasinya. Jadi gunakan dengan berhati-hati!

Kubeaudit

• Laman web: github.com/Shopify/kubeaudit
• Lesen: percuma (MIT)

Kubeaudit ialah alat konsol yang pada asalnya dibangunkan di Shopify untuk mengaudit konfigurasi Kubernetes untuk pelbagai isu keselamatan. Contohnya, ia membantu mengenal pasti bekas yang berjalan tanpa had, berjalan sebagai akar, menyalahgunakan keistimewaan atau menggunakan Akaun Perkhidmatan lalai.

Kubeaudit mempunyai ciri menarik lain. Contohnya, ia boleh menganalisis fail YAML tempatan, mengenal pasti kelemahan konfigurasi yang boleh membawa kepada masalah keselamatan dan membetulkannya secara automatik.

Kubesec

• Laman web: kubesec.io
• Lesen: percuma (Apache)

Kubesec ialah alat khas kerana ia mengimbas terus fail YAML yang menerangkan sumber Kubernetes, mencari parameter lemah yang boleh menjejaskan keselamatan.

Sebagai contoh, ia boleh mengesan keistimewaan dan kebenaran berlebihan yang diberikan kepada pod, menjalankan bekas dengan akar sebagai pengguna lalai, menyambung ke ruang nama rangkaian hos atau lekapan berbahaya seperti /proc hos atau soket Docker. Satu lagi ciri menarik Kubesec ialah perkhidmatan demo yang tersedia dalam talian, di mana anda boleh memuat naik YAML dan menganalisisnya dengan segera.

Ejen Polisi Terbuka

• Laman web: www.openpolicyagent.org
• Lesen: percuma (Apache)

Konsep OPA (Ejen Dasar Terbuka) adalah untuk memisahkan dasar keselamatan dan amalan terbaik keselamatan daripada platform masa jalan tertentu: Docker, Kubernetes, Mesosphere, OpenShift atau mana-mana gabungan daripadanya.

Sebagai contoh, anda boleh menggunakan OPA sebagai bahagian belakang untuk pengawal kemasukan Kubernetes, menyerahkan keputusan keselamatan kepadanya. Dengan cara ini, ejen OPA boleh mengesahkan, menolak, dan juga mengubah suai permintaan dengan cepat, memastikan bahawa parameter keselamatan yang ditentukan dipenuhi. Dasar keselamatan OPA ditulis dalam bahasa DSL proprietarinya, Rego.

Catatan. terjemah: Kami menulis lebih lanjut mengenai OPA (dan SPIFFE) dalam bahan ini.

Alat komersial yang komprehensif untuk analisis keselamatan Kubernetes

Kami memutuskan untuk membuat kategori berasingan untuk platform komersial kerana ia biasanya meliputi berbilang kawasan keselamatan. Idea umum tentang keupayaan mereka boleh didapati dari jadual:

* Pemeriksaan lanjutan dan analisis bedah siasat dengan lengkap rampasan panggilan sistem.

Keselamatan Aqua

• Laman web: www.aquasec.com
• Lesen: komersial

Alat komersial ini direka bentuk untuk bekas dan beban kerja awan. Ia menyediakan:

• Pengimbasan imej disepadukan dengan pendaftaran kontena atau saluran paip CI/CD;
• Perlindungan masa jalan dengan mencari perubahan dalam bekas dan aktiviti lain yang mencurigakan;
• Firewall asli bekas;
• Keselamatan untuk tanpa pelayan dalam perkhidmatan awan;
• Ujian pematuhan dan pengauditan digabungkan dengan pengelogan peristiwa.

Catatan. terjemah: Ia juga perlu diperhatikan bahawa terdapat komponen bebas produk yang dipanggil MicroScanner, yang membolehkan anda mengimbas imej bekas untuk mencari kelemahan. Perbandingan keupayaannya dengan versi berbayar dibentangkan dalam jadual ini.

Kapsul8

• Laman web: kapsul8.com
• Lesen: komersial

Capsule8 menyepadukan ke dalam infrastruktur dengan memasang pengesan pada gugusan Kubernetes tempatan atau awan. Pengesan ini mengumpul telemetri hos dan rangkaian, mengaitkannya dengan pelbagai jenis serangan.

Pasukan Capsule8 melihat tugasnya sebagai pengesanan awal dan pencegahan serangan menggunakan baharu (0 hari) kelemahan. Capsule8 boleh memuat turun peraturan keselamatan yang dikemas kini terus kepada pengesan sebagai tindak balas kepada ancaman dan kelemahan perisian yang baru ditemui.

Kavirin

• Laman web: www.cavirin.com
• Lesen: komersial

Cavirin bertindak sebagai kontraktor pihak syarikat untuk pelbagai agensi yang terlibat dalam piawaian keselamatan. Ia bukan sahaja boleh mengimbas imej, tetapi ia juga boleh disepadukan ke dalam saluran paip CI/CD, menyekat imej bukan standard sebelum ia memasuki repositori tertutup.

Suite keselamatan Cavirin menggunakan pembelajaran mesin untuk menilai postur keselamatan siber anda, menawarkan petua untuk meningkatkan keselamatan dan meningkatkan pematuhan piawaian keselamatan.

Pusat Perintah Keselamatan Awan Google

• Laman web: cloud.google.com/security-command-center
• Lesen: komersial

Pusat Arahan Keselamatan Awan membantu pasukan keselamatan mengumpul data, mengenal pasti ancaman dan menghapuskannya sebelum ia membahayakan syarikat.

Seperti namanya, Google Cloud SCC ialah panel kawalan bersatu yang boleh menyepadukan dan mengurus pelbagai laporan keselamatan, enjin perakaunan aset dan sistem keselamatan pihak ketiga daripada satu sumber terpusat.

API saling kendali yang ditawarkan oleh Google Cloud SCC memudahkan untuk menyepadukan acara keselamatan yang datang daripada pelbagai sumber, seperti Sysdig Secure (keselamatan kontena untuk aplikasi asli awan) atau Falco (keselamatan masa jalan Sumber Terbuka).

Cerapan Berlapis (Kualys)

• Laman web: layeredinsight.com
• Lesen: komersial

Layered Insight (kini sebahagian daripada Qualys Inc) dibina berdasarkan konsep "keselamatan terbenam". Selepas mengimbas imej asal untuk mencari kelemahan menggunakan analisis statistik dan semakan CVE, Layered Insight menggantikannya dengan imej berinstrumen yang menyertakan ejen sebagai binari.

Ejen ini mengandungi ujian keselamatan masa jalan untuk menganalisis trafik rangkaian kontena, aliran I/O dan aktiviti aplikasi. Selain itu, ia boleh melakukan semakan keselamatan tambahan yang ditentukan oleh pentadbir infrastruktur atau pasukan DevOps.

NeuVector

• Laman web: neuvector.com
• Lesen: komersial

NeuVector menyemak keselamatan kontena dan menyediakan perlindungan masa jalan dengan menganalisis aktiviti rangkaian dan gelagat aplikasi, mencipta profil keselamatan individu untuk setiap bekas. Ia juga boleh menyekat ancaman dengan sendirinya, mengasingkan aktiviti yang mencurigakan dengan menukar peraturan tembok api tempatan.

Penyepaduan rangkaian NeuVector, yang dikenali sebagai Security Mesh, mampu melakukan analisis paket dalam dan penapisan lapisan 7 untuk semua sambungan rangkaian dalam jaringan perkhidmatan.

StackRox

• Laman web: www.stackrox.com
• Lesen: komersial

Platform keselamatan kontena StackRox berusaha untuk meliputi keseluruhan kitaran hayat aplikasi Kubernetes dalam kelompok. Seperti platform komersial lain dalam senarai ini, StackRox menjana profil masa jalan berdasarkan gelagat bekas yang diperhatikan dan secara automatik menimbulkan penggera untuk sebarang penyelewengan.

Selain itu, StackRox menganalisis konfigurasi Kubernetes menggunakan CIS Kubernetes dan buku peraturan lain untuk menilai pematuhan kontena.

Sysdig Secure

• Laman web: sysdig.com/products/secure
• Lesen: komersial

Sysdig Secure melindungi aplikasi di seluruh bekas dan kitaran hayat Kubernetes. Dia mengimbas imej bekas, menyediakan perlindungan masa jalan mengikut data pembelajaran mesin, melakukan krim. kepakaran untuk mengenal pasti kelemahan, menyekat ancaman, memantau pematuhan dengan piawaian yang ditetapkan dan aktiviti audit dalam perkhidmatan mikro.

Sysdig Secure berintegrasi dengan alat CI/CD seperti Jenkins dan mengawal imej yang dimuatkan daripada pendaftaran Docker, menghalang imej berbahaya daripada muncul dalam pengeluaran. Ia juga menyediakan keselamatan masa jalan yang komprehensif, termasuk:

• Pemprofilan masa jalan berasaskan ML dan pengesanan anomali;
• dasar masa jalan berdasarkan peristiwa sistem, K8s-audit API, projek komuniti bersama (FIM - pemantauan integriti fail; cryptojacking) dan rangka kerja MITRE ATT&CK;
• tindak balas dan penyelesaian insiden.

Keselamatan Kontena Boleh Dipertahankan

• Laman web: www.tenable.com/products/tenable-io/container-security
• Lesen: komersial

Sebelum kemunculan kontena, Tenable dikenali secara meluas dalam industri sebagai syarikat di belakang Nessus, alat pengauditan keselamatan dan pemburuan kerentanan yang popular.

Tenable Container Security memanfaatkan kepakaran keselamatan komputer syarikat untuk menyepadukan saluran paip CI/CD dengan pangkalan data kerentanan, pakej pengesanan perisian hasad khusus dan cadangan untuk menyelesaikan ancaman keselamatan.

Twistlock (Rangkaian Palo Alto)

• Laman web: www.twistlock.com
• Lesen: komersial

Twistlock mempromosikan dirinya sebagai platform yang memfokuskan pada perkhidmatan awan dan bekas. Twistlock menyokong pelbagai penyedia awan (AWS, Azure, GCP), pengatur kontena (Kubernetes, Mesospehere, OpenShift, Docker), masa jalan tanpa pelayan, rangka kerja mesh dan alatan CI/CD.

Selain teknik keselamatan gred perusahaan konvensional seperti penyepaduan saluran paip CI/CD atau pengimbasan imej, Twistlock menggunakan pembelajaran mesin untuk menjana corak tingkah laku dan peraturan rangkaian khusus kontena.

Beberapa ketika dahulu, Twistlock telah dibeli oleh Palo Alto Networks, yang memiliki projek Evident.io dan RedLock. Ia masih belum diketahui bagaimana sebenarnya ketiga-tiga platform ini akan disepadukan PRISMA dari Palo Alto.

Bantu membina katalog terbaik alat keselamatan Kubernetes!

Kami berusaha untuk membuat katalog ini selengkap mungkin, dan untuk ini kami memerlukan bantuan anda! Hubungi Kami (@sysdig) jika anda mempunyai alat yang hebat dalam fikiran yang layak dimasukkan dalam senarai ini, atau anda mendapati ralat/maklumat lapuk.

Anda juga boleh melanggan kami surat berita bulanan dengan berita daripada ekosistem asli awan dan cerita tentang projek menarik dari dunia keselamatan Kubernetes.

PS daripada penterjemah

Baca juga di blog kami:

• «Pengenalan kepada Dasar Rangkaian Kubernetes untuk Profesional Keselamatan»;
• «Docker dan Kubernetes dalam persekitaran yang menuntut keselamatan»;
• «9 Amalan Terbaik untuk Keselamatan Kubernetes»;
• «11 Cara untuk (Tidak) Menjadi Mangsa Hack Kubernetes»;
• «OPA dan SPIFFE ialah dua projek baharu di CNCF untuk keselamatan aplikasi awan'.

Sumber: www.habr.com