33+ għodda tas-sigurtà Kubernetes

Nota. transl.: Jekk qed tistaqsi dwar is-sigurtà fl-infrastruttura bbażata fuq Kubernetes, din il-ħarsa ġenerali eċċellenti minn Sysdig hija punt ta 'tluq kbir għal ħarsa rapida lejn is-soluzzjonijiet attwali. Tinkludi kemm sistemi kumplessi minn atturi tas-suq magħrufa sew u utilitajiet ħafna aktar modesti li jsolvu problema partikolari. U fil-kummenti, bħal dejjem, se nkunu kuntenti li nisimgħu dwar l-esperjenza tiegħek li tuża dawn l-għodod u naraw links għal proġetti oħra.

Prodotti tas-softwer tas-sigurtà Kubernetes... hemm ħafna minnhom, kull wieħed bl-għanijiet, l-ambitu u l-liċenzji tagħhom.

Huwa għalhekk li ddeċidejna li noħolqu din il-lista u ninkludu kemm proġetti open source kif ukoll pjattaformi kummerċjali minn bejjiegħa differenti. Nittamaw li jgħinek tidentifika dawk li huma l-aktar ta' interess u tindikak fid-direzzjoni t-tajba bbażata fuq il-ħtiġijiet speċifiċi tas-sigurtà tiegħek ta' Kubernetes.

Категории

Biex tagħmel il-lista aktar faċli biex tinnaviga, l-għodod huma organizzati skond il-funzjoni prinċipali u l-applikazzjoni. Inkisbu t-taqsimiet li ġejjin:

• Skennjar tal-immaġni u analiżi statika tal-Kubernetes;
• Sigurtà ta' runtime;
• Sigurtà tan-netwerk Kubernetes;
• Distribuzzjoni ta' immaġini u ġestjoni tas-sigrieti;
• Verifika tas-sigurtà Kubernetes;
• Prodotti kummerċjali komprensivi.

Ejja nibdew in-negozju:

Skennjar ta' immaġini ta' Kubernetes

Ankra

• Websajt: anchore.com
• Liċenzja: b'xejn (Apache) u offerta kummerċjali

Anchore janalizza immaġini tal-kontejners u jippermetti kontrolli tas-sigurtà bbażati fuq politiki definiti mill-utent.

Minbarra l-iskannjar tas-soltu tal-immaġini tal-kontejners għal vulnerabbiltajiet magħrufa mid-database CVE, Anchore jagħmel ħafna kontrolli addizzjonali bħala parti mill-politika tal-iskannjar tiegħu: jiċċekkja l-Dockerfile, tnixxijiet tal-kredenzjali, pakketti tal-lingwi tal-ipprogrammar użati (npm, maven, eċċ. .), liċenzji tas-softwer u ħafna aktar.

Clear

• Websajt: coreos.com/clair (issa taħt it-tutela ta' Red Hat)
• Liċenzja: b'xejn (Apache)

Clair kien wieħed mill-ewwel proġetti Open Source għall-iskannjar tal-immaġni. Huwa magħruf ħafna bħala l-iskaner tas-sigurtà wara r-reġistru tal-immaġni tal-Moll (ukoll minn CoreOS - madwar. traduzzjoni). Clair tista' tiġbor informazzjoni CVE minn varjetà wiesgħa ta' sorsi, inklużi listi ta' vulnerabbiltajiet speċifiċi għad-distribuzzjoni tal-Linux miżmuma mit-timijiet tas-sigurtà ta' Debian, Red Hat jew Ubuntu.

B'differenza minn Anchore, Clair tiffoka primarjament fuq is-sejba ta' vulnerabbiltajiet u t-tqabbil tad-dejta ma' CVEs. Madankollu, il-prodott joffri lill-utenti xi opportunitajiet biex jespandu l-funzjonijiet bl-użu ta 'sewwieqa plug-in.

dagda

• Websajt: github.com/eliasgranderubio/dagda
• Liċenzja: b'xejn (Apache)

Dagda jwettaq analiżi statika ta 'immaġini ta' kontenituri għal vulnerabbiltajiet magħrufa, Trojans, viruses, malware u theddid ieħor.

Żewġ karatteristiċi notevoli jiddistingwu lil Dagda minn għodod oħra simili:

• Tintegra perfettament ma ' ClamAV, li taġixxi mhux biss bħala għodda għall-iskannjar tal-immaġini tal-kontejners, iżda wkoll bħala antivirus.
• Jipprovdi wkoll protezzjoni runtime billi jirċievi avvenimenti f'ħin reali mid-daemon Docker u jintegra ma 'Falco (ara isfel) biex tiġbor avvenimenti tas-sigurtà waqt li l-kontenitur ikun qed jaħdem.

KubeXray

• Websajt: github.com/jfrog/kubexray
• Liċenzja: Ħieles (Apache), iżda teħtieġ dejta minn JFrog Xray (prodott kummerċjali)

KubeXray jisma l-avvenimenti mis-server tal-API Kubernetes u juża metadejta minn JFrog Xray biex jiżgura li jitnedew biss pods li jaqblu mal-politika attwali.

KubeXray mhux biss jivverifika kontenituri ġodda jew aġġornati fl-iskjeramenti (simili għall-kontrollur tad-dħul f'Kubernetes), iżda wkoll jiċċekkja b'mod dinamiku kontenituri li qed jaħdmu għal konformità ma 'politiki ta' sigurtà ġodda, u jneħħi riżorsi li jirreferu għal immaġini vulnerabbli.

Snyk

• Websajt: snyk.io
• Liċenzja: verżjonijiet b'xejn (Apache) u kummerċjali

Snyk huwa skaner ta 'vulnerabbiltà mhux tas-soltu peress li jimmira speċifikament il-proċess ta' żvilupp u huwa promoss bħala "soluzzjoni essenzjali" għall-iżviluppaturi.

Snyk jgħaqqad direttament mar-repożitorji tal-kodiċi, janalizza l-manifest tal-proġett u janalizza l-kodiċi importat flimkien ma 'dipendenzi diretti u indiretti. Snyk jappoġġja ħafna lingwi ta’ programmar popolari u jista’ jidentifika riskji ta’ liċenzja moħbija.

Trivy

• Websajt: github.com/knqyf263/trivy
• Liċenzja: b'xejn (AGPL)

Trivy huwa skaner ta 'vulnerabbiltà sempliċi iżda b'saħħtu għal kontenituri li jintegra faċilment f'pipeline CI/CD. Il-karatteristika notevoli tagħha hija l-faċilità ta 'installazzjoni u tħaddim tagħha: l-applikazzjoni tikkonsisti minn binarju wieħed u ma teħtieġx installazzjoni ta' database jew libreriji addizzjonali.

L-iżvantaġġ għas-sempliċità ta 'Trivy hija li trid issib kif teżamina u tibgħat ir-riżultati f'format JSON sabiex għodod oħra tas-sigurtà ta' Kubernetes ikunu jistgħu jużawhom.

Sigurtà runtime f'Kubernetes

Falco

• Websajt: falco.org
• Liċenzja: b'xejn (Apache)

Falco huwa sett ta' għodod biex jiġu żgurati ambjenti ta' runtime ta' cloud. Parti mill-familja tal-proġett CNCF.

Bl-użu tal-għodda fil-livell tal-kernel Linux ta' Sysdig u l-profiling tas-sejħiet tas-sistema, Falco jippermettilek li tidħol fil-fond fl-imġieba tas-sistema. Il-magna tar-regoli tar-runtime tagħha hija kapaċi tiskopri attività suspettuża fl-applikazzjonijiet, il-kontenituri, l-host sottostanti, u l-orkestratur Kubernetes.

Falco jipprovdi trasparenza sħiħa fir-runtime u l-iskoperta tat-theddid billi tuża aġenti speċjali fuq in-nodi Kubernetes għal dawn l-għanijiet. Bħala riżultat, m'hemmx bżonn li jiġu mmodifikati l-kontenituri billi jiġu introdotti kodiċi ta 'parti terza fihom jew billi żżid kontenituri sidecar.

Oqfsa tas-sigurtà Linux għal runtime

Dawn l-oqfsa indiġeni għall-qalba tal-Linux mhumiex "għodod tas-sigurtà Kubernetes" fis-sens tradizzjonali, iżda ta 'min isemmihom minħabba li huma element importanti fil-kuntest tas-sigurtà tar-runtime, li hija inkluża fil-Politika tas-Sigurtà tal-Pods (PSP) ta' Kubernetes.

AppArmor jehmeż profil ta 'sigurtà ma' proċessi li jaħdmu fil-kontenitur, jiddefinixxi privileġġi tas-sistema tal-fajls, regoli ta 'aċċess għan-netwerk, konnessjoni ta' libreriji, eċċ. Din hija sistema bbażata fuq il-Kontroll tal-Aċċess Mandatorju (MAC). Fi kliem ieħor, jipprevjeni milli jitwettqu azzjonijiet ipprojbiti.

Linux Mtejba bis-Sigurtà (SELinux) huwa modulu ta' sigurtà avvanzat fil-kernel tal-Linux, simili f'ċerti aspetti għal AppArmor u spiss imqabbel miegħu. SELinux huwa superjuri għal AppArmor fil-qawwa, flessibbiltà u customization. L-iżvantaġġi tiegħu huma kurva ta 'tagħlim twila u kumplessità akbar.

Seccomp u seccomp-bpf jippermettulek tiffiltra s-sejħiet tas-sistema, timblokka l-eżekuzzjoni ta 'dawk li huma potenzjalment perikolużi għall-OS bażi u mhumiex meħtieġa għat-tħaddim normali tal-applikazzjonijiet tal-utent. Seccomp huwa simili għal Falco f'ċerti modi, għalkemm ma jafx l-ispeċifiċitajiet tal-kontenituri.

Sysdig sors miftuħ

• Websajt: www.sysdig.com/opensource
• Liċenzja: b'xejn (Apache)

Sysdig hija għodda kompluta għall-analiżi, id-dijanjosi u d-debugging tas-sistemi Linux (taħdem ukoll fuq Windows u macOS, iżda b'funzjonijiet limitati). Jista 'jintuża għal ġbir ta' informazzjoni dettaljata, verifika u analiżi forensika. (forensika) is-sistema bażi u kwalunkwe kontenitur li jaħdem fuqha.

Sysdig jappoġġa wkoll b'mod nattiv runtimes tal-kontejners u metadata Kubernetes, billi żżid dimensjonijiet u tikketti addizzjonali għall-informazzjoni kollha dwar l-imġiba tas-sistema li tiġbor. Hemm diversi modi kif tanalizza raggruppament ta' Kubernetes billi tuża Sysdig: tista' twettaq qbid punt fil-ħin permezz qbid kubectl jew tniedi interface interattiv ibbażat fuq ncurses billi tuża plugin kubectl ħaffer.

Kubernetes Sigurtà tan-Netwerk

Aporeto

• Websajt: www.aporeto.com
• Liċenzja: kummerċjali

Aporeto joffri "sigurtà separata min-netwerk u l-infrastruttura." Dan ifisser li s-servizzi ta’ Kubernetes mhux biss jirċievu ID lokali (jiġifieri ServiceAccount f’Kubernetes), iżda wkoll ID/marki tas-swaba’ universali li jistgħu jintużaw biex jikkomunikaw b’mod sigur u reċiproku ma’ kwalunkwe servizz ieħor, pereżempju fi cluster OpenShift.

Aporeto kapaċi jiġġenera ID unika mhux biss għal Kubernetes/kontenituri, iżda wkoll għal hosts, funzjonijiet tal-cloud u utenti. Skont dawn l-identifikaturi u s-sett ta’ regoli tas-sigurtà tan-netwerk stabbiliti mill-amministratur, il-komunikazzjonijiet se jkunu permessi jew imblukkati.

Calico

• Websajt: www.projectcalico.org
• Liċenzja: b'xejn (Apache)

Calico huwa tipikament skjerat waqt installazzjoni tal-orkestratur tal-kontejners, li jippermettilek toħloq netwerk virtwali li jgħaqqad il-kontenituri. Minbarra din il-funzjonalità bażika tan-netwerk, il-proġett Calico jaħdem mal-Politiki tan-Netwerk ta 'Kubernetes u s-sett tiegħu stess ta' profili tas-sigurtà tan-netwerk, jappoġġja ACLs endpoint (listi ta 'kontroll tal-aċċess) u regoli ta' sigurtà tan-netwerk ibbażati fuq annotazzjoni għat-traffiku ta 'Ingress u Egress.

Ċilium

• Websajt: www.cilium.io
• Liċenzja: b'xejn (Apache)

Cilium jaġixxi bħala firewall għall-kontenituri u jipprovdi karatteristiċi ta' sigurtà tan-netwerk imfassla b'mod nattiv għall-kubernetes u l-ammonti ta' xogħol tal-mikroservizzi. Cilium juża teknoloġija ġdida tal-qalba tal-Linux imsejjaħ BPF (Berkeley Packet Filter) biex jiffiltra, jimmonitorja, jidderieġi mill-ġdid u jikkoreġi d-dejta.

Cilium huwa kapaċi juża politiki ta 'aċċess għan-netwerk ibbażati fuq IDs tal-kontenituri bl-użu ta' tikketti u metadejta Docker jew Kubernetes. Cilium jifhem u jiffiltra wkoll diversi protokolli Layer 7 bħal HTTP jew gRPC, li jippermettulek tiddefinixxi sett ta 'sejħiet REST li se jkunu permessi bejn żewġ skjeramenti ta' Kubernetes, pereżempju.

Istio

• Websajt: istio.io
• Liċenzja: b'xejn (Apache)

Istio huwa magħruf ħafna għall-implimentazzjoni tal-paradigma tal-malji tas-servizz billi juża pjan ta 'kontroll indipendenti mill-pjattaforma u jmexxi t-traffiku kollu tas-servizz ġestit permezz ta' proxys Envoy konfigurabbli b'mod dinamiku. Istio jieħu vantaġġ minn din il-veduta avvanzata tal-mikroservizzi u l-kontenituri kollha biex jimplimenta diversi strateġiji ta 'sigurtà tan-netwerk.

Il-kapaċitajiet tas-sigurtà tan-netwerk ta 'Istio jinkludu encryption TLS trasparenti biex jaġġornaw awtomatikament il-komunikazzjonijiet bejn mikroservizzi għal HTTPS, u sistema ta' identifikazzjoni u awtorizzazzjoni RBAC proprjetarja biex tippermetti/tiċħad komunikazzjoni bejn tagħbija tax-xogħol differenti fil-cluster.

Nota. transl.: Biex titgħallem aktar dwar il-kapaċitajiet ta' Istio ffukati fuq is-sigurtà, aqra Dan l-artikolu.

Tigera

• Websajt: www.tigera.io
• Liċenzja: kummerċjali

Imsejħa "Kubernetes Firewall", din is-soluzzjoni tenfasizza approċċ ta 'żero fiduċja għas-sigurtà tan-netwerk.

Simili għal soluzzjonijiet oħra ta 'netwerking Kubernetes indiġeni, Tigera tiddependi fuq metadejta biex tidentifika s-servizzi u l-oġġetti varji fil-cluster u tipprovdi skoperta ta' ħruġ ta 'runtime, verifika kontinwa ta' konformità, u viżibilità tan-netwerk għal infrastrutturi multi-cloud jew ibridi f'kontenituri monolitiċi.

Trireme

• Websajt: www.aporeto.com/opensource
• Liċenzja: b'xejn (Apache)

Trireme-Kubernetes hija implimentazzjoni sempliċi u diretta tal-ispeċifikazzjoni tal-Politiki tan-Netwerk ta 'Kubernetes. L-iktar karatteristika notevoli hija li - kuntrarjament għal prodotti simili tas-sigurtà tan-netwerk Kubernetes - ma teħtieġx pjan ta 'kontroll ċentrali biex tikkoordina l-malja. Dan jagħmel is-soluzzjoni trivjali skalabbli. Fi Trireme, dan jinkiseb billi jiġi installat aġent fuq kull node li jgħaqqad direttament mal-munzell TCP/IP tal-host.

Propagazzjoni tal-Immaġni u Ġestjoni tas-Sigrieti

Grafeas

• Websajt: grafeas.io
• Liċenzja: b'xejn (Apache)

Grafeas huwa API ta' sors miftuħ għall-verifika u l-ġestjoni tal-katina tal-provvista tas-softwer. Fuq livell bażiku, Grafeas huwa għodda għall-ġbir tal-metadata u s-sejbiet tal-awditjar. Jista' jintuża biex issegwi l-konformità mal-aħjar prattiki tas-sigurtà fi ħdan organizzazzjoni.

Dan is-sors ċentralizzat tal-verità jgħin biex iwieġeb mistoqsijiet bħal:

• Min ġabar u ffirma għal kontenitur partikolari?
• Għadda l-iskans u l-kontrolli tas-sigurtà kollha meħtieġa mill-politika tas-sigurtà? Meta? X'kienu r-riżultati?
• Min skjeratha għall-produzzjoni? Liema parametri speċifiċi ntużaw waqt l-iskjerament?

In-toto

• Websajt: in-toto.github.io
• Liċenzja: b'xejn (Apache)

In-toto huwa qafas iddisinjat biex jipprovdi integrità, awtentikazzjoni u verifika tal-katina kollha tal-provvista tas-softwer. Meta jiġi skjerat In-toto f'infrastruttura, l-ewwel jiġi definit pjan li jiddeskrivi d-diversi passi fil-pipeline (repożitorju, għodod CI/CD, għodod QA, kolletturi tal-artifact, eċċ.) u l-utenti (persuni responsabbli) li huma permessi li tibda minnhom.

In-toto jimmonitorja l-eżekuzzjoni tal-pjan, u jivverifika li kull kompitu fil-katina jitwettaq kif suppost minn persunal awtorizzat biss u li ma twettqu l-ebda manipulazzjoni mhux awtorizzata mal-prodott waqt il-moviment.

Portieri

• Websajt: github.com/IBM/portieris
• Liċenzja: b'xejn (Apache)

Portieris huwa kontrollur tad-dħul għal Kubernetes; użati biex jiġu infurzati l-kontrolli tal-fiduċja tal-kontenut. Portieris juża server Nutar (ktibna dwaru fl-aħħar Dan l-artiklu - madwar. traduzzjoni) bħala sors ta’ verità biex jiġu vvalidati artifatti fdati u ffirmati (jiġifieri stampi ta’ kontenituri approvati).

Meta jinħoloq jew jiġi modifikat ammont ta' xogħol f'Kubernetes, Portieris iniżżel l-informazzjoni dwar l-iffirmar u l-politika ta' fiduċja tal-kontenut għall-immaġini tal-kontejners mitluba u, jekk meħtieġ, jagħmel bidliet on-the-fly fl-oġġett JSON API biex iħaddem verżjonijiet iffirmati ta' dawk l-immaġini.

Vault

• Websajt: www.vaultproject.io
• Liċenzja: b'xejn (MPL)

Vault hija soluzzjoni sigura għall-ħażna ta 'informazzjoni privata: passwords, tokens OAuth, ċertifikati PKI, kontijiet ta' aċċess, sigrieti Kubernetes, eċċ. Il-Vault jappoġġja ħafna karatteristiċi avvanzati, bħall-kiri ta' tokens tas-sigurtà effimeri jew l-organizzazzjoni tar-rotazzjoni taċ-ċavetta.

Bl-użu tat-tabella Helm, Vault jista 'jiġi skjerat bħala skjerament ġdid fi cluster Kubernetes b'Consul bħala ħażna backend. Jappoġġja riżorsi indiġeni ta’ Kubernetes bħal tokens ta’ ServiceAccount u jista’ saħansitra jaġixxi bħala l-maħżen default għas-sigrieti ta’ Kubernetes.

Nota. transl.: Mill-mod, proprju lbieraħ il-kumpanija HashiCorp, li tiżviluppa Vault, ħabbret xi titjib għall-użu Vault fil-Kubernetes, u b'mod partikolari huma relatati mal-chart Helm. Aqra aktar fi blog tal-iżviluppatur.

Verifika tas-Sigurtà ta' Kubernetes

Kube-bank

• Websajt: github.com/aquasecurity/kube-bench
• Liċenzja: b'xejn (Apache)

Kube-bench hija applikazzjoni Go li tiċċekkja jekk Kubernetes huwiex skjerat b'mod sigur billi tmexxi testijiet minn lista CIS Kubernetes Benchmark.

Kube-bench ifittex settings ta' konfigurazzjoni mhux siguri fost komponenti ta' cluster (eċċ, API, maniġer tal-kontrollur, eċċ.), drittijiet ta' aċċess għall-fajls dubjużi, kontijiet mhux protetti jew portijiet miftuħa, kwoti ta' riżorsi, settings biex jillimitaw in-numru ta' sejħiet API biex jipproteġu kontra attakki DoS , eċċ.

Kube-kaċċatur

• Websajt: github.com/aquasecurity/kube-hunter
• Liċenzja: b'xejn (Apache)

Kube-hunter jikkaċċa għal vulnerabbiltajiet potenzjali (bħall-eżekuzzjoni remota tal-kodiċi jew l-iżvelar tad-dejta) fil-clusters ta’ Kubernetes. Kube-hunter jista 'jitħaddem bħala skaner remot - f'liema każ se jevalwa r-raggruppament mill-perspettiva ta' attakkant ta 'parti terza - jew bħala pod ġewwa l-cluster.

Karatteristika distintiva ta 'Kube-hunter hija l-modalità ta' "kaċċa attiva" tagħha, li matulha mhux biss tirrapporta problemi, iżda wkoll tipprova tieħu vantaġġ mill-vulnerabbiltajiet skoperti fil-cluster fil-mira li potenzjalment jistgħu jagħmlu ħsara lill-operat tiegħu. Allura uża b'kawtela!

Kubeaudit

• Websajt: github.com/Shopify/kubeaudit
• Liċenzja: b'xejn (MIT)

Kubeaudit hija għodda console żviluppata oriġinarjament f'Shopify biex tivverifika l-konfigurazzjoni ta 'Kubernetes għal diversi kwistjonijiet ta' sigurtà. Pereżempju, jgħin biex jidentifika kontenituri li jaħdmu mingħajr restrizzjonijiet, li jaħdmu bħala root, jabbużaw mill-privileġġi, jew jużaw is-ServiceAccount default.

Kubeaudit għandu karatteristiċi interessanti oħra. Pereżempju, jista 'janalizza fajls YAML lokali, jidentifika difetti ta' konfigurazzjoni li jistgħu jwasslu għal problemi ta 'sigurtà, u awtomatikament jiffissawhom.

Kubesec

• Websajt: kubesec.io
• Liċenzja: b'xejn (Apache)

Kubesec huwa għodda speċjali peress li jiskenja direttament fajls YAML li jiddeskrivu r-riżorsi Kubernetes, ifittex parametri dgħajfa li jistgħu jaffettwaw is-sigurtà.

Pereżempju, jista' jiskopri privileġġi u permessi eċċessivi mogħtija lil pod, iħaddem kontenitur bl-għeruq bħala l-utent default, konnessjoni mal-ispazju tal-isem tan-netwerk tal-host, jew muntaturi perikolużi bħal /proc ospitanti jew socket Docker. Karatteristika oħra interessanti ta 'Kubesec hija s-servizz demo disponibbli onlajn, li fih tista' ttella' YAML u tanalizzah immedjatament.

Aġent tal-Politika Miftuħa

• Websajt: www.openpolicyagent.org
• Liċenzja: b'xejn (Apache)

Il-kunċett ta 'OPA (Aġent ta' Politika Miftuħa) huwa li tiddiżakkoppja l-politiki tas-sigurtà u l-aħjar prattiki tas-sigurtà minn pjattaforma ta 'runtime speċifika: Docker, Kubernetes, Mesosphere, OpenShift, jew kwalunkwe kombinazzjoni tagħhom.

Pereżempju, tista' tuża l-OPA bħala backend għall-kontrollur tal-ammissjoni ta' Kubernetes, u tiddelegalu d-deċiżjonijiet tas-sigurtà. Dan il-mod, l-aġent OPA jista 'jivvalida, jirrifjuta, u anke jimmodifika t-talbiet fuq il-fly, u jiżgura li l-parametri ta' sigurtà speċifikati jintlaħqu. Il-politiki tas-sigurtà tal-OPA huma miktuba fil-lingwa DSL proprjetarja tagħha, Rego.

Nota. transl.: Ktibna aktar dwar OPA (u SPIFFE) fi dan il-materjal.

Għodod kummerċjali komprensivi għall-analiżi tas-sigurtà ta' Kubernetes

Iddeċidejna li noħolqu kategorija separata għal pjattaformi kummerċjali minħabba li tipikament ikopru żoni multipli tas-sigurtà. Idea ġenerali tal-kapaċitajiet tagħhom tista 'tinkiseb mit-tabella:

* Eżami avvanzat u analiżi post mortem b'kollox sejħiet tas-sistema ħtif.

Sigurtà Aqua

• Websajt: www.aquasec.com
• Liċenzja: kummerċjali

Din l-għodda kummerċjali hija ddisinjata għal kontenituri u tagħbija tax-xogħol tas-sħab. Jipprovdi:

• Skennjar tal-immaġni integrat ma' reġistru tal-kontejners jew pipeline CI/CD;
• Protezzjoni runtime bi tfittxija għal bidliet fil-kontenituri u attività suspettuża oħra;
• Firewall nattiv tal-kontejners;
• Sigurtà għal servizzi bla servers fis-sħab;
• Ittestjar ta' konformità u verifika flimkien ma' illoggjar ta' avvenimenti.

Nota. transl.: Ta 'min jinnota wkoll li hemm komponent ħieles tal-prodott imsejjaħ MicroScanner, li jippermettilek tiskennja immaġini tal-kontejners għal vulnerabbiltajiet. Tqabbil tal-kapaċitajiet tiegħu ma 'verżjonijiet imħallsa huwa ppreżentat fi din it-tabella.

Kapsula8

• Websajt: capsule8.com
• Liċenzja: kummerċjali

Capsule8 tintegra fl-infrastruttura billi tinstalla d-ditekter fuq cluster Kubernetes lokali jew cloud. Dan id-ditekter jiġbor it-telemetrija tal-host u tan-netwerk, u jikkorrelataha ma 'tipi differenti ta' attakki.

It-tim Capsule8 jara l-kompitu tiegħu bħala skoperta bikrija u prevenzjoni ta 'attakki bl-użu ta' ġodda (0-jum) vulnerabbiltajiet. Capsule8 jista' jniżżel regoli ta' sigurtà aġġornati direttament lil detectors bi tweġiba għal theddid u vulnerabbiltajiet tas-softwer li għadhom kif ġew skoperti.

Cavirin

• Websajt: www.cavirin.com
• Liċenzja: kummerċjali

Cavirin jaġixxi bħala kuntrattur tan-naħa tal-kumpanija għal diversi aġenziji involuti fl-istandards tas-sikurezza. Mhux biss tista 'skannja immaġini, iżda tista' wkoll tintegra fil-pipeline CI/CD, timblokka immaġini mhux standard qabel ma jidħlu f'repożitorji magħluqa.

Is-segret tas-sigurtà ta’ Cavirin juża t-tagħlim tal-magni biex jivvaluta l-qagħda taċ-ċibersigurtà tiegħek, u joffri pariri biex ittejjeb is-sigurtà u ttejjeb il-konformità mal-istandards tas-sigurtà.

Ċentru ta' Kmand tas-Sigurtà ta' Google Cloud

• Websajt: cloud.google.com/security-command-center
• Liċenzja: kummerċjali

Cloud Security Command Center jgħin lit-timijiet tas-sigurtà jiġbru d-dejta, jidentifikaw it-theddid, u jeliminawhom qabel ma jagħmlu ħsara lill-kumpanija.

Kif jissuġġerixxi l-isem, Google Cloud SCC huwa pannell ta 'kontroll unifikat li jista' jintegra u jimmaniġġja varjetà ta 'rapporti ta' sigurtà, magni tal-kontabilità tal-assi, u sistemi ta 'sigurtà ta' partijiet terzi minn sors wieħed ċentralizzat.

L-API interoperabbli offruta minn Google Cloud SCC tagħmilha faċli li jiġu integrati avvenimenti ta’ sigurtà li ġejjin minn diversi sorsi, bħal Sysdig Secure (sigurtà tal-kontenituri għal applikazzjonijiet cloud-native) jew Falco (sigurtà ta’ runtime ta’ Open Source).

Insight f'Saffi (Qualys)

• Websajt: layeredinsight.com
• Liċenzja: kummerċjali

Layered Insight (issa parti minn Qualys Inc) hija mibnija fuq il-kunċett ta’ “sigurtà inkorporata”. Wara li skannja l-immaġni oriġinali għal vulnerabbiltajiet bl-użu ta 'analiżi statistika u kontrolli CVE, Layered Insight jissostitwiha b'immaġni strumentata li tinkludi l-aġent bħala binarju.

Dan l-aġent fih testijiet tas-sigurtà tar-runtime biex janalizza t-traffiku tan-netwerk tal-kontejners, il-flussi tal-I/O u l-attività tal-applikazzjoni. Barra minn hekk, jista 'jwettaq kontrolli ta' sigurtà addizzjonali speċifikati mill-amministratur tal-infrastruttura jew timijiet DevOps.

NeuVector

• Websajt: neuvector.com
• Liċenzja: kummerċjali

NeuVector jiċċekkja s-sigurtà tal-kontenitur u jipprovdi protezzjoni runtime billi janalizza l-attività tan-netwerk u l-imġieba tal-applikazzjoni, u joħloq profil ta 'sigurtà individwali għal kull kontenitur. Jista 'wkoll jimblokka t-theddid waħdu, jiżola attività suspettuża billi jbiddel ir-regoli lokali tal-firewall.

L-integrazzjoni tan-netwerk ta 'NeuVector, magħrufa bħala Security Mesh, hija kapaċi għal analiżi profonda tal-pakketti u saff 7 filtrazzjoni għall-konnessjonijiet tan-netwerk kollha fil-malji tas-servizz.

StackRox

• Websajt: www.stackrox.com
• Liċenzja: kummerċjali

Il-pjattaforma tas-sigurtà tal-kontejners StackRox tistinka biex tkopri ċ-ċiklu tal-ħajja kollu tal-applikazzjonijiet Kubernetes fi cluster. Bħal pjattaformi kummerċjali oħra f'din il-lista, StackRox jiġġenera profil ta 'runtime ibbażat fuq l-imġieba osservata tal-kontenitur u awtomatikament iqajjem allarm għal kwalunkwe devjazzjoni.

Barra minn hekk, StackRox janalizza l-konfigurazzjonijiet tal-Kubernetes billi juża l-Kubernetes CIS u kotba tar-regoli oħra biex jevalwa l-konformità tal-kontejners.

Sysdig Sikur

• Websajt: sysdig.com/products/secure
• Liċenzja: kummerċjali

Sysdig Secure jipproteġi l-applikazzjonijiet matul il-kontenitur kollu u ċ-ċiklu tal-ħajja ta' Kubernetes. Hu tiskennja immaġini kontenituri, jipprovdi protezzjoni runtime skond id-data tat-tagħlim tal-magni, twettaq krema. kompetenza biex tidentifika vulnerabbiltajiet, timblokka t-theddid, tissorvelja konformità ma’ standards stabbiliti u l-attività tal-awditjar fil-mikroservizzi.

Sysdig Secure jintegra ma' għodod CI/CD bħal Jenkins u jikkontrolla immaġini mgħobbija mir-reġistri Docker, u jipprevjeni immaġini perikolużi milli jidhru fil-produzzjoni. Jipprovdi wkoll sigurtà runtime komprensiva, inkluż:

• Runtime profiling ibbażat fuq ML u skoperta ta' anomaliji;
• politiki runtime bbażati fuq avvenimenti tas-sistema, K8s-awditjar API, proġetti komunitarji konġunti (FIM - monitoraġġ tal-integrità tal-fajls; cryptojacking) u qafas MITRE ATT&CK;
• rispons u riżoluzzjoni ta' inċidenti.

Sigurtà tal-Kontenitur Tenabbli

• Websajt: www.tenable.com/products/tenable-io/container-security
• Liċenzja: kummerċjali

Qabel il-miġja tal-kontenituri, Tenable kienet magħrufa ħafna fl-industrija bħala l-kumpanija wara Nessus, għodda popolari għall-kaċċa tal-vulnerabbiltà u l-verifika tas-sigurtà.

Tenable Container Security tisfrutta l-għarfien espert tas-sigurtà tal-kompjuter tal-kumpanija biex tintegra pipeline CI/CD ma 'databases tal-vulnerabbiltà, pakketti speċjalizzati ta' skoperta ta 'malware, u rakkomandazzjonijiet għas-soluzzjoni tat-theddid għas-sigurtà.

Twistlock (Netwerks ta' Palo Alto)

• Websajt: www.twistlock.com
• Liċenzja: kummerċjali

Twistlock jippromwovi lilu nnifsu bħala pjattaforma ffukata fuq servizzi u kontenituri tal-cloud. Twistlock jappoġġja diversi fornituri tas-sħab (AWS, Azure, GCP), orkestraturi tal-kontejners (Kubernetes, Mesospehere, OpenShift, Docker), runtimes mingħajr servers, oqfsa tal-malji u għodod CI/CD.

Minbarra tekniki ta 'sigurtà konvenzjonali ta' grad ta 'intrapriża bħall-integrazzjoni tal-pipeline CI/CD jew l-iskannjar tal-immaġni, Twistlock juża t-tagħlim tal-magni biex jiġġenera mudelli ta' mġiba speċifiċi għall-kontenitur u regoli tan-netwerk.

Xi żmien ilu, Twistlock inxtara minn Palo Alto Networks, li tippossjedi l-proġetti Evident.io u RedLock. Għadu mhux magħruf kif eżattament dawn it-tliet pjattaformi se jkunu integrati fihom PRISMA minn Palo Alto.

Għin biex tibni l-aqwa katalgu ta' għodod tas-sigurtà Kubernetes!

Naħdmu biex nagħmlu dan il-katalgu komplut kemm jista' jkun, u għal dan għandna bżonn l-għajnuna tiegħek! Ikkuntatjana (@sysdig) jekk għandek f'moħħok għodda friska li tixraq li tiġi inkluża f'din il-lista, jew issib żball/informazzjoni skaduta.

Tista 'wkoll tabbona għal tagħna newsletter ta' kull xahar b'aħbarijiet mill-ekosistema nattiva tal-cloud u stejjer dwar proġetti interessanti mid-dinja tas-sigurtà ta' Kubernetes.

PS minn traduttur

Aqra wkoll fuq il-blog tagħna:

• «Introduzzjoni għall-Politiki tan-Netwerk ta' Kubernetes għall-Professjonisti tas-Sigurtà»;
• «Docker u Kubernetes f'ambjenti esiġenti għas-sigurtà»;
• «9 L-Aħjar Prattiki għas-Sigurtà ta' Kubernetes»;
• «11 Modi biex (Mhux) Issir Vittma ta' Kubernetes Hack»;
• «OPA u SPIFFE huma żewġ proġetti ġodda f'CNCF għas-sigurtà tal-applikazzjoni tal-cloud".

Sors: www.habr.com