Nota. transl.: Jekk qed tistaqsi dwar is-sigurtà fl-infrastruttura bbażata fuq Kubernetes, din il-ħarsa ġenerali eċċellenti minn Sysdig hija punt ta 'tluq kbir għal ħarsa rapida lejn is-soluzzjonijiet attwali. Tinkludi kemm sistemi kumplessi minn atturi tas-suq magħrufa sew u utilitajiet ħafna aktar modesti li jsolvu problema partikolari. U fil-kummenti, bħal dejjem, se nkunu kuntenti li nisimgħu dwar l-esperjenza tiegħek li tuża dawn l-għodod u naraw links għal proġetti oħra.
Prodotti tas-softwer tas-sigurtà Kubernetes... hemm ħafna minnhom, kull wieħed bl-għanijiet, l-ambitu u l-liċenzji tagħhom.
Huwa għalhekk li ddeċidejna li noħolqu din il-lista u ninkludu kemm proġetti open source kif ukoll pjattaformi kummerċjali minn bejjiegħa differenti. Nittamaw li jgħinek tidentifika dawk li huma l-aktar ta' interess u tindikak fid-direzzjoni t-tajba bbażata fuq il-ħtiġijiet speċifiċi tas-sigurtà tiegħek ta' Kubernetes.
Категории
Biex tagħmel il-lista aktar faċli biex tinnaviga, l-għodod huma organizzati skond il-funzjoni prinċipali u l-applikazzjoni. Inkisbu t-taqsimiet li ġejjin:
Skennjar tal-immaġni u analiżi statika tal-Kubernetes;
Sigurtà ta' runtime;
Sigurtà tan-netwerk Kubernetes;
Distribuzzjoni ta' immaġini u ġestjoni tas-sigrieti;
Anchore janalizza immaġini tal-kontejners u jippermetti kontrolli tas-sigurtà bbażati fuq politiki definiti mill-utent.
Minbarra l-iskannjar tas-soltu tal-immaġini tal-kontejners għal vulnerabbiltajiet magħrufa mid-database CVE, Anchore jagħmel ħafna kontrolli addizzjonali bħala parti mill-politika tal-iskannjar tiegħu: jiċċekkja l-Dockerfile, tnixxijiet tal-kredenzjali, pakketti tal-lingwi tal-ipprogrammar użati (npm, maven, eċċ. .), liċenzji tas-softwer u ħafna aktar.
Clair kien wieħed mill-ewwel proġetti Open Source għall-iskannjar tal-immaġni. Huwa magħruf ħafna bħala l-iskaner tas-sigurtà wara r-reġistru tal-immaġni tal-Moll (ukoll minn CoreOS - madwar. traduzzjoni). Clair tista' tiġbor informazzjoni CVE minn varjetà wiesgħa ta' sorsi, inklużi listi ta' vulnerabbiltajiet speċifiċi għad-distribuzzjoni tal-Linux miżmuma mit-timijiet tas-sigurtà ta' Debian, Red Hat jew Ubuntu.
B'differenza minn Anchore, Clair tiffoka primarjament fuq is-sejba ta' vulnerabbiltajiet u t-tqabbil tad-dejta ma' CVEs. Madankollu, il-prodott joffri lill-utenti xi opportunitajiet biex jespandu l-funzjonijiet bl-użu ta 'sewwieqa plug-in.
Dagda jwettaq analiżi statika ta 'immaġini ta' kontenituri għal vulnerabbiltajiet magħrufa, Trojans, viruses, malware u theddid ieħor.
Żewġ karatteristiċi notevoli jiddistingwu lil Dagda minn għodod oħra simili:
Tintegra perfettament ma ' ClamAV, li taġixxi mhux biss bħala għodda għall-iskannjar tal-immaġini tal-kontejners, iżda wkoll bħala antivirus.
Jipprovdi wkoll protezzjoni runtime billi jirċievi avvenimenti f'ħin reali mid-daemon Docker u jintegra ma 'Falco (ara isfel) biex tiġbor avvenimenti tas-sigurtà waqt li l-kontenitur ikun qed jaħdem.
Liċenzja: Ħieles (Apache), iżda teħtieġ dejta minn JFrog Xray (prodott kummerċjali)
KubeXray jisma l-avvenimenti mis-server tal-API Kubernetes u juża metadejta minn JFrog Xray biex jiżgura li jitnedew biss pods li jaqblu mal-politika attwali.
KubeXray mhux biss jivverifika kontenituri ġodda jew aġġornati fl-iskjeramenti (simili għall-kontrollur tad-dħul f'Kubernetes), iżda wkoll jiċċekkja b'mod dinamiku kontenituri li qed jaħdmu għal konformità ma 'politiki ta' sigurtà ġodda, u jneħħi riżorsi li jirreferu għal immaġini vulnerabbli.
Liċenzja: verżjonijiet b'xejn (Apache) u kummerċjali
Snyk huwa skaner ta 'vulnerabbiltà mhux tas-soltu peress li jimmira speċifikament il-proċess ta' żvilupp u huwa promoss bħala "soluzzjoni essenzjali" għall-iżviluppaturi.
Snyk jgħaqqad direttament mar-repożitorji tal-kodiċi, janalizza l-manifest tal-proġett u janalizza l-kodiċi importat flimkien ma 'dipendenzi diretti u indiretti. Snyk jappoġġja ħafna lingwi ta’ programmar popolari u jista’ jidentifika riskji ta’ liċenzja moħbija.
Trivy huwa skaner ta 'vulnerabbiltà sempliċi iżda b'saħħtu għal kontenituri li jintegra faċilment f'pipeline CI/CD. Il-karatteristika notevoli tagħha hija l-faċilità ta 'installazzjoni u tħaddim tagħha: l-applikazzjoni tikkonsisti minn binarju wieħed u ma teħtieġx installazzjoni ta' database jew libreriji addizzjonali.
L-iżvantaġġ għas-sempliċità ta 'Trivy hija li trid issib kif teżamina u tibgħat ir-riżultati f'format JSON sabiex għodod oħra tas-sigurtà ta' Kubernetes ikunu jistgħu jużawhom.
Falco huwa sett ta' għodod biex jiġu żgurati ambjenti ta' runtime ta' cloud. Parti mill-familja tal-proġett CNCF.
Bl-użu tal-għodda fil-livell tal-kernel Linux ta' Sysdig u l-profiling tas-sejħiet tas-sistema, Falco jippermettilek li tidħol fil-fond fl-imġieba tas-sistema. Il-magna tar-regoli tar-runtime tagħha hija kapaċi tiskopri attività suspettuża fl-applikazzjonijiet, il-kontenituri, l-host sottostanti, u l-orkestratur Kubernetes.
Falco jipprovdi trasparenza sħiħa fir-runtime u l-iskoperta tat-theddid billi tuża aġenti speċjali fuq in-nodi Kubernetes għal dawn l-għanijiet. Bħala riżultat, m'hemmx bżonn li jiġu mmodifikati l-kontenituri billi jiġu introdotti kodiċi ta 'parti terza fihom jew billi żżid kontenituri sidecar.
Oqfsa tas-sigurtà Linux għal runtime
Dawn l-oqfsa indiġeni għall-qalba tal-Linux mhumiex "għodod tas-sigurtà Kubernetes" fis-sens tradizzjonali, iżda ta 'min isemmihom minħabba li huma element importanti fil-kuntest tas-sigurtà tar-runtime, li hija inkluża fil-Politika tas-Sigurtà tal-Pods (PSP) ta' Kubernetes.
AppArmor jehmeż profil ta 'sigurtà ma' proċessi li jaħdmu fil-kontenitur, jiddefinixxi privileġġi tas-sistema tal-fajls, regoli ta 'aċċess għan-netwerk, konnessjoni ta' libreriji, eċċ. Din hija sistema bbażata fuq il-Kontroll tal-Aċċess Mandatorju (MAC). Fi kliem ieħor, jipprevjeni milli jitwettqu azzjonijiet ipprojbiti.
Linux Mtejba bis-Sigurtà (SELinux) huwa modulu ta' sigurtà avvanzat fil-kernel tal-Linux, simili f'ċerti aspetti għal AppArmor u spiss imqabbel miegħu. SELinux huwa superjuri għal AppArmor fil-qawwa, flessibbiltà u customization. L-iżvantaġġi tiegħu huma kurva ta 'tagħlim twila u kumplessità akbar.
Seccomp u seccomp-bpf jippermettulek tiffiltra s-sejħiet tas-sistema, timblokka l-eżekuzzjoni ta 'dawk li huma potenzjalment perikolużi għall-OS bażi u mhumiex meħtieġa għat-tħaddim normali tal-applikazzjonijiet tal-utent. Seccomp huwa simili għal Falco f'ċerti modi, għalkemm ma jafx l-ispeċifiċitajiet tal-kontenituri.
Sysdig hija għodda kompluta għall-analiżi, id-dijanjosi u d-debugging tas-sistemi Linux (taħdem ukoll fuq Windows u macOS, iżda b'funzjonijiet limitati). Jista 'jintuża għal ġbir ta' informazzjoni dettaljata, verifika u analiżi forensika. (forensika) is-sistema bażi u kwalunkwe kontenitur li jaħdem fuqha.
Sysdig jappoġġa wkoll b'mod nattiv runtimes tal-kontejners u metadata Kubernetes, billi żżid dimensjonijiet u tikketti addizzjonali għall-informazzjoni kollha dwar l-imġiba tas-sistema li tiġbor. Hemm diversi modi kif tanalizza raggruppament ta' Kubernetes billi tuża Sysdig: tista' twettaq qbid punt fil-ħin permezz qbid kubectl jew tniedi interface interattiv ibbażat fuq ncurses billi tuża plugin kubectl ħaffer.
Aporeto joffri "sigurtà separata min-netwerk u l-infrastruttura." Dan ifisser li s-servizzi ta’ Kubernetes mhux biss jirċievu ID lokali (jiġifieri ServiceAccount f’Kubernetes), iżda wkoll ID/marki tas-swaba’ universali li jistgħu jintużaw biex jikkomunikaw b’mod sigur u reċiproku ma’ kwalunkwe servizz ieħor, pereżempju fi cluster OpenShift.
Aporeto kapaċi jiġġenera ID unika mhux biss għal Kubernetes/kontenituri, iżda wkoll għal hosts, funzjonijiet tal-cloud u utenti. Skont dawn l-identifikaturi u s-sett ta’ regoli tas-sigurtà tan-netwerk stabbiliti mill-amministratur, il-komunikazzjonijiet se jkunu permessi jew imblukkati.
Calico huwa tipikament skjerat waqt installazzjoni tal-orkestratur tal-kontejners, li jippermettilek toħloq netwerk virtwali li jgħaqqad il-kontenituri. Minbarra din il-funzjonalità bażika tan-netwerk, il-proġett Calico jaħdem mal-Politiki tan-Netwerk ta 'Kubernetes u s-sett tiegħu stess ta' profili tas-sigurtà tan-netwerk, jappoġġja ACLs endpoint (listi ta 'kontroll tal-aċċess) u regoli ta' sigurtà tan-netwerk ibbażati fuq annotazzjoni għat-traffiku ta 'Ingress u Egress.
Cilium jaġixxi bħala firewall għall-kontenituri u jipprovdi karatteristiċi ta' sigurtà tan-netwerk imfassla b'mod nattiv għall-kubernetes u l-ammonti ta' xogħol tal-mikroservizzi. Cilium juża teknoloġija ġdida tal-qalba tal-Linux imsejjaħ BPF (Berkeley Packet Filter) biex jiffiltra, jimmonitorja, jidderieġi mill-ġdid u jikkoreġi d-dejta.
Cilium huwa kapaċi juża politiki ta 'aċċess għan-netwerk ibbażati fuq IDs tal-kontenituri bl-użu ta' tikketti u metadejta Docker jew Kubernetes. Cilium jifhem u jiffiltra wkoll diversi protokolli Layer 7 bħal HTTP jew gRPC, li jippermettulek tiddefinixxi sett ta 'sejħiet REST li se jkunu permessi bejn żewġ skjeramenti ta' Kubernetes, pereżempju.
Istio huwa magħruf ħafna għall-implimentazzjoni tal-paradigma tal-malji tas-servizz billi juża pjan ta 'kontroll indipendenti mill-pjattaforma u jmexxi t-traffiku kollu tas-servizz ġestit permezz ta' proxys Envoy konfigurabbli b'mod dinamiku. Istio jieħu vantaġġ minn din il-veduta avvanzata tal-mikroservizzi u l-kontenituri kollha biex jimplimenta diversi strateġiji ta 'sigurtà tan-netwerk.
Il-kapaċitajiet tas-sigurtà tan-netwerk ta 'Istio jinkludu encryption TLS trasparenti biex jaġġornaw awtomatikament il-komunikazzjonijiet bejn mikroservizzi għal HTTPS, u sistema ta' identifikazzjoni u awtorizzazzjoni RBAC proprjetarja biex tippermetti/tiċħad komunikazzjoni bejn tagħbija tax-xogħol differenti fil-cluster.
Nota. transl.: Biex titgħallem aktar dwar il-kapaċitajiet ta' Istio ffukati fuq is-sigurtà, aqra Dan l-artikolu.
Imsejħa "Kubernetes Firewall", din is-soluzzjoni tenfasizza approċċ ta 'żero fiduċja għas-sigurtà tan-netwerk.
Simili għal soluzzjonijiet oħra ta 'netwerking Kubernetes indiġeni, Tigera tiddependi fuq metadejta biex tidentifika s-servizzi u l-oġġetti varji fil-cluster u tipprovdi skoperta ta' ħruġ ta 'runtime, verifika kontinwa ta' konformità, u viżibilità tan-netwerk għal infrastrutturi multi-cloud jew ibridi f'kontenituri monolitiċi.
Trireme-Kubernetes hija implimentazzjoni sempliċi u diretta tal-ispeċifikazzjoni tal-Politiki tan-Netwerk ta 'Kubernetes. L-iktar karatteristika notevoli hija li - kuntrarjament għal prodotti simili tas-sigurtà tan-netwerk Kubernetes - ma teħtieġx pjan ta 'kontroll ċentrali biex tikkoordina l-malja. Dan jagħmel is-soluzzjoni trivjali skalabbli. Fi Trireme, dan jinkiseb billi jiġi installat aġent fuq kull node li jgħaqqad direttament mal-munzell TCP/IP tal-host.
Grafeas huwa API ta' sors miftuħ għall-verifika u l-ġestjoni tal-katina tal-provvista tas-softwer. Fuq livell bażiku, Grafeas huwa għodda għall-ġbir tal-metadata u s-sejbiet tal-awditjar. Jista' jintuża biex issegwi l-konformità mal-aħjar prattiki tas-sigurtà fi ħdan organizzazzjoni.
Dan is-sors ċentralizzat tal-verità jgħin biex iwieġeb mistoqsijiet bħal:
Min ġabar u ffirma għal kontenitur partikolari?
Għadda l-iskans u l-kontrolli tas-sigurtà kollha meħtieġa mill-politika tas-sigurtà? Meta? X'kienu r-riżultati?
Min skjeratha għall-produzzjoni? Liema parametri speċifiċi ntużaw waqt l-iskjerament?
In-toto huwa qafas iddisinjat biex jipprovdi integrità, awtentikazzjoni u verifika tal-katina kollha tal-provvista tas-softwer. Meta jiġi skjerat In-toto f'infrastruttura, l-ewwel jiġi definit pjan li jiddeskrivi d-diversi passi fil-pipeline (repożitorju, għodod CI/CD, għodod QA, kolletturi tal-artifact, eċċ.) u l-utenti (persuni responsabbli) li huma permessi li tibda minnhom.
In-toto jimmonitorja l-eżekuzzjoni tal-pjan, u jivverifika li kull kompitu fil-katina jitwettaq kif suppost minn persunal awtorizzat biss u li ma twettqu l-ebda manipulazzjoni mhux awtorizzata mal-prodott waqt il-moviment.
Portieris huwa kontrollur tad-dħul għal Kubernetes; użati biex jiġu infurzati l-kontrolli tal-fiduċja tal-kontenut. Portieris juża server Nutar(ktibna dwaru fl-aħħar Dan l-artiklu - madwar. traduzzjoni) bħala sors ta’ verità biex jiġu vvalidati artifatti fdati u ffirmati (jiġifieri stampi ta’ kontenituri approvati).
Meta jinħoloq jew jiġi modifikat ammont ta' xogħol f'Kubernetes, Portieris iniżżel l-informazzjoni dwar l-iffirmar u l-politika ta' fiduċja tal-kontenut għall-immaġini tal-kontejners mitluba u, jekk meħtieġ, jagħmel bidliet on-the-fly fl-oġġett JSON API biex iħaddem verżjonijiet iffirmati ta' dawk l-immaġini.
Vault hija soluzzjoni sigura għall-ħażna ta 'informazzjoni privata: passwords, tokens OAuth, ċertifikati PKI, kontijiet ta' aċċess, sigrieti Kubernetes, eċċ. Il-Vault jappoġġja ħafna karatteristiċi avvanzati, bħall-kiri ta' tokens tas-sigurtà effimeri jew l-organizzazzjoni tar-rotazzjoni taċ-ċavetta.
Bl-użu tat-tabella Helm, Vault jista 'jiġi skjerat bħala skjerament ġdid fi cluster Kubernetes b'Consul bħala ħażna backend. Jappoġġja riżorsi indiġeni ta’ Kubernetes bħal tokens ta’ ServiceAccount u jista’ saħansitra jaġixxi bħala l-maħżen default għas-sigrieti ta’ Kubernetes.
Nota. transl.: Mill-mod, proprju lbieraħ il-kumpanija HashiCorp, li tiżviluppa Vault, ħabbret xi titjib għall-użu Vault fil-Kubernetes, u b'mod partikolari huma relatati mal-chart Helm. Aqra aktar fi blog tal-iżviluppatur.
Kube-bench hija applikazzjoni Go li tiċċekkja jekk Kubernetes huwiex skjerat b'mod sigur billi tmexxi testijiet minn lista CIS Kubernetes Benchmark.
Kube-bench ifittex settings ta' konfigurazzjoni mhux siguri fost komponenti ta' cluster (eċċ, API, maniġer tal-kontrollur, eċċ.), drittijiet ta' aċċess għall-fajls dubjużi, kontijiet mhux protetti jew portijiet miftuħa, kwoti ta' riżorsi, settings biex jillimitaw in-numru ta' sejħiet API biex jipproteġu kontra attakki DoS , eċċ.
Kube-hunter jikkaċċa għal vulnerabbiltajiet potenzjali (bħall-eżekuzzjoni remota tal-kodiċi jew l-iżvelar tad-dejta) fil-clusters ta’ Kubernetes. Kube-hunter jista 'jitħaddem bħala skaner remot - f'liema każ se jevalwa r-raggruppament mill-perspettiva ta' attakkant ta 'parti terza - jew bħala pod ġewwa l-cluster.
Karatteristika distintiva ta 'Kube-hunter hija l-modalità ta' "kaċċa attiva" tagħha, li matulha mhux biss tirrapporta problemi, iżda wkoll tipprova tieħu vantaġġ mill-vulnerabbiltajiet skoperti fil-cluster fil-mira li potenzjalment jistgħu jagħmlu ħsara lill-operat tiegħu. Allura uża b'kawtela!
Kubeaudit hija għodda console żviluppata oriġinarjament f'Shopify biex tivverifika l-konfigurazzjoni ta 'Kubernetes għal diversi kwistjonijiet ta' sigurtà. Pereżempju, jgħin biex jidentifika kontenituri li jaħdmu mingħajr restrizzjonijiet, li jaħdmu bħala root, jabbużaw mill-privileġġi, jew jużaw is-ServiceAccount default.
Kubeaudit għandu karatteristiċi interessanti oħra. Pereżempju, jista 'janalizza fajls YAML lokali, jidentifika difetti ta' konfigurazzjoni li jistgħu jwasslu għal problemi ta 'sigurtà, u awtomatikament jiffissawhom.
Kubesec huwa għodda speċjali peress li jiskenja direttament fajls YAML li jiddeskrivu r-riżorsi Kubernetes, ifittex parametri dgħajfa li jistgħu jaffettwaw is-sigurtà.
Pereżempju, jista' jiskopri privileġġi u permessi eċċessivi mogħtija lil pod, iħaddem kontenitur bl-għeruq bħala l-utent default, konnessjoni mal-ispazju tal-isem tan-netwerk tal-host, jew muntaturi perikolużi bħal /proc ospitanti jew socket Docker. Karatteristika oħra interessanti ta 'Kubesec hija s-servizz demo disponibbli onlajn, li fih tista' ttella' YAML u tanalizzah immedjatament.
Il-kunċett ta 'OPA (Aġent ta' Politika Miftuħa) huwa li tiddiżakkoppja l-politiki tas-sigurtà u l-aħjar prattiki tas-sigurtà minn pjattaforma ta 'runtime speċifika: Docker, Kubernetes, Mesosphere, OpenShift, jew kwalunkwe kombinazzjoni tagħhom.
Pereżempju, tista' tuża l-OPA bħala backend għall-kontrollur tal-ammissjoni ta' Kubernetes, u tiddelegalu d-deċiżjonijiet tas-sigurtà. Dan il-mod, l-aġent OPA jista 'jivvalida, jirrifjuta, u anke jimmodifika t-talbiet fuq il-fly, u jiżgura li l-parametri ta' sigurtà speċifikati jintlaħqu. Il-politiki tas-sigurtà tal-OPA huma miktuba fil-lingwa DSL proprjetarja tagħha, Rego.
Nota. transl.: Ktibna aktar dwar OPA (u SPIFFE) fi dan il-materjal.
Għodod kummerċjali komprensivi għall-analiżi tas-sigurtà ta' Kubernetes
Iddeċidejna li noħolqu kategorija separata għal pjattaformi kummerċjali minħabba li tipikament ikopru żoni multipli tas-sigurtà. Idea ġenerali tal-kapaċitajiet tagħhom tista 'tinkiseb mit-tabella:
Din l-għodda kummerċjali hija ddisinjata għal kontenituri u tagħbija tax-xogħol tas-sħab. Jipprovdi:
Skennjar tal-immaġni integrat ma' reġistru tal-kontejners jew pipeline CI/CD;
Protezzjoni runtime bi tfittxija għal bidliet fil-kontenituri u attività suspettuża oħra;
Firewall nattiv tal-kontejners;
Sigurtà għal servizzi bla servers fis-sħab;
Ittestjar ta' konformità u verifika flimkien ma' illoggjar ta' avvenimenti.
Nota. transl.: Ta 'min jinnota wkoll li hemm komponent ħieles tal-prodott imsejjaħ MicroScanner, li jippermettilek tiskennja immaġini tal-kontejners għal vulnerabbiltajiet. Tqabbil tal-kapaċitajiet tiegħu ma 'verżjonijiet imħallsa huwa ppreżentat fi din it-tabella.
Capsule8 tintegra fl-infrastruttura billi tinstalla d-ditekter fuq cluster Kubernetes lokali jew cloud. Dan id-ditekter jiġbor it-telemetrija tal-host u tan-netwerk, u jikkorrelataha ma 'tipi differenti ta' attakki.
It-tim Capsule8 jara l-kompitu tiegħu bħala skoperta bikrija u prevenzjoni ta 'attakki bl-użu ta' ġodda (0-jum) vulnerabbiltajiet. Capsule8 jista' jniżżel regoli ta' sigurtà aġġornati direttament lil detectors bi tweġiba għal theddid u vulnerabbiltajiet tas-softwer li għadhom kif ġew skoperti.
Cavirin jaġixxi bħala kuntrattur tan-naħa tal-kumpanija għal diversi aġenziji involuti fl-istandards tas-sikurezza. Mhux biss tista 'skannja immaġini, iżda tista' wkoll tintegra fil-pipeline CI/CD, timblokka immaġini mhux standard qabel ma jidħlu f'repożitorji magħluqa.
Is-segret tas-sigurtà ta’ Cavirin juża t-tagħlim tal-magni biex jivvaluta l-qagħda taċ-ċibersigurtà tiegħek, u joffri pariri biex ittejjeb is-sigurtà u ttejjeb il-konformità mal-istandards tas-sigurtà.
Cloud Security Command Center jgħin lit-timijiet tas-sigurtà jiġbru d-dejta, jidentifikaw it-theddid, u jeliminawhom qabel ma jagħmlu ħsara lill-kumpanija.
Kif jissuġġerixxi l-isem, Google Cloud SCC huwa pannell ta 'kontroll unifikat li jista' jintegra u jimmaniġġja varjetà ta 'rapporti ta' sigurtà, magni tal-kontabilità tal-assi, u sistemi ta 'sigurtà ta' partijiet terzi minn sors wieħed ċentralizzat.
L-API interoperabbli offruta minn Google Cloud SCC tagħmilha faċli li jiġu integrati avvenimenti ta’ sigurtà li ġejjin minn diversi sorsi, bħal Sysdig Secure (sigurtà tal-kontenituri għal applikazzjonijiet cloud-native) jew Falco (sigurtà ta’ runtime ta’ Open Source).
Layered Insight (issa parti minn Qualys Inc) hija mibnija fuq il-kunċett ta’ “sigurtà inkorporata”. Wara li skannja l-immaġni oriġinali għal vulnerabbiltajiet bl-użu ta 'analiżi statistika u kontrolli CVE, Layered Insight jissostitwiha b'immaġni strumentata li tinkludi l-aġent bħala binarju.
Dan l-aġent fih testijiet tas-sigurtà tar-runtime biex janalizza t-traffiku tan-netwerk tal-kontejners, il-flussi tal-I/O u l-attività tal-applikazzjoni. Barra minn hekk, jista 'jwettaq kontrolli ta' sigurtà addizzjonali speċifikati mill-amministratur tal-infrastruttura jew timijiet DevOps.
NeuVector jiċċekkja s-sigurtà tal-kontenitur u jipprovdi protezzjoni runtime billi janalizza l-attività tan-netwerk u l-imġieba tal-applikazzjoni, u joħloq profil ta 'sigurtà individwali għal kull kontenitur. Jista 'wkoll jimblokka t-theddid waħdu, jiżola attività suspettuża billi jbiddel ir-regoli lokali tal-firewall.
L-integrazzjoni tan-netwerk ta 'NeuVector, magħrufa bħala Security Mesh, hija kapaċi għal analiżi profonda tal-pakketti u saff 7 filtrazzjoni għall-konnessjonijiet tan-netwerk kollha fil-malji tas-servizz.
Il-pjattaforma tas-sigurtà tal-kontejners StackRox tistinka biex tkopri ċ-ċiklu tal-ħajja kollu tal-applikazzjonijiet Kubernetes fi cluster. Bħal pjattaformi kummerċjali oħra f'din il-lista, StackRox jiġġenera profil ta 'runtime ibbażat fuq l-imġieba osservata tal-kontenitur u awtomatikament iqajjem allarm għal kwalunkwe devjazzjoni.
Barra minn hekk, StackRox janalizza l-konfigurazzjonijiet tal-Kubernetes billi juża l-Kubernetes CIS u kotba tar-regoli oħra biex jevalwa l-konformità tal-kontejners.
Sysdig Secure jipproteġi l-applikazzjonijiet matul il-kontenitur kollu u ċ-ċiklu tal-ħajja ta' Kubernetes. Hu tiskennja immaġini kontenituri, jipprovdi protezzjoni runtime skond id-data tat-tagħlim tal-magni, twettaq krema. kompetenza biex tidentifika vulnerabbiltajiet, timblokka t-theddid, tissorvelja konformità ma’ standards stabbiliti u l-attività tal-awditjar fil-mikroservizzi.
Sysdig Secure jintegra ma' għodod CI/CD bħal Jenkins u jikkontrolla immaġini mgħobbija mir-reġistri Docker, u jipprevjeni immaġini perikolużi milli jidhru fil-produzzjoni. Jipprovdi wkoll sigurtà runtime komprensiva, inkluż:
Runtime profiling ibbażat fuq ML u skoperta ta' anomaliji;
Qabel il-miġja tal-kontenituri, Tenable kienet magħrufa ħafna fl-industrija bħala l-kumpanija wara Nessus, għodda popolari għall-kaċċa tal-vulnerabbiltà u l-verifika tas-sigurtà.
Tenable Container Security tisfrutta l-għarfien espert tas-sigurtà tal-kompjuter tal-kumpanija biex tintegra pipeline CI/CD ma 'databases tal-vulnerabbiltà, pakketti speċjalizzati ta' skoperta ta 'malware, u rakkomandazzjonijiet għas-soluzzjoni tat-theddid għas-sigurtà.
Twistlock jippromwovi lilu nnifsu bħala pjattaforma ffukata fuq servizzi u kontenituri tal-cloud. Twistlock jappoġġja diversi fornituri tas-sħab (AWS, Azure, GCP), orkestraturi tal-kontejners (Kubernetes, Mesospehere, OpenShift, Docker), runtimes mingħajr servers, oqfsa tal-malji u għodod CI/CD.
Minbarra tekniki ta 'sigurtà konvenzjonali ta' grad ta 'intrapriża bħall-integrazzjoni tal-pipeline CI/CD jew l-iskannjar tal-immaġni, Twistlock juża t-tagħlim tal-magni biex jiġġenera mudelli ta' mġiba speċifiċi għall-kontenitur u regoli tan-netwerk.
Xi żmien ilu, Twistlock inxtara minn Palo Alto Networks, li tippossjedi l-proġetti Evident.io u RedLock. Għadu mhux magħruf kif eżattament dawn it-tliet pjattaformi se jkunu integrati fihom PRISMA minn Palo Alto.
Għin biex tibni l-aqwa katalgu ta' għodod tas-sigurtà Kubernetes!
Naħdmu biex nagħmlu dan il-katalgu komplut kemm jista' jkun, u għal dan għandna bżonn l-għajnuna tiegħek! Ikkuntatjana (@sysdig) jekk għandek f'moħħok għodda friska li tixraq li tiġi inkluża f'din il-lista, jew issib żball/informazzjoni skaduta.
Tista 'wkoll tabbona għal tagħna newsletter ta' kull xahar b'aħbarijiet mill-ekosistema nattiva tal-cloud u stejjer dwar proġetti interessanti mid-dinja tas-sigurtà ta' Kubernetes.