Kubernetes လုံခြုံရေးအတွက် 🥇33+ ကိရိယာများ ProHoster

မှတ်ချက်။ ဘာသာပြန်− Kubernetes အခြေပြု အခြေခံအဆောက်အဦတွင် လုံခြုံရေးအကြောင်း သင်တွေးတောနေပါက၊ Sysdig မှ ဤကောင်းမွန်သော ခြုံငုံသုံးသပ်ချက်သည် လက်ရှိဖြေရှင်းချက်များကို အမြန်ကြည့်ရှုရန်အတွက် ကောင်းမွန်သော အစမှတ်တစ်ခုဖြစ်သည်။ ၎င်းတွင် နာမည်ကြီးစျေးကွက်ကစားသူများထံမှ ရှုပ်ထွေးသောစနစ်များနှင့် သီးခြားပြဿနာတစ်ခုကိုဖြေရှင်းပေးသည့် ကျိုးနွံသောအသုံးအဆောင်များစွာပါဝင်ပါသည်။ ထို့အပြင်၊ မှတ်ချက်များတွင်၊ ဤကိရိယာများကို အသုံးပြု၍ သင့်အတွေ့အကြုံအကြောင်း အမြဲကြားရပြီး အခြားပရောဂျက်များသို့ လင့်ခ်များကို ကြည့်ရှုရသည့်အတွက် ကျွန်ုပ်တို့ ပျော်ရွှင်ပါသည်။

Kubernetes လုံခြုံရေးဆော့ဖ်ဝဲလ် ထုတ်ကုန်များ... ၎င်းတို့ထဲမှ များစွာရှိပြီး တစ်ခုချင်းစီတွင် ၎င်းတို့၏ ပန်းတိုင်၊ နယ်ပယ်နှင့် လိုင်စင်များ ရှိသည်။

ထို့ကြောင့် ကျွန်ုပ်တို့သည် ဤစာရင်းကိုဖန်တီးပြီး မတူညီသောရောင်းချသူများထံမှ open source ပရောဂျက်များနှင့် စီးပွားဖြစ်ပလပ်ဖောင်းများပါ၀င်ရန် ဆုံးဖြတ်ခဲ့သည်။ သင်၏ သီးခြား Kubernetes လုံခြုံရေး လိုအပ်ချက်များအပေါ် အခြေခံ၍ စိတ်ပါဝင်စားဆုံးသူများကို ဖော်ထုတ်ပြီး သင့်အား လမ်းကြောင်းမှန်သို့ ညွှန်ပြရန် ကူညီပေးလိမ့်မည်ဟု ကျွန်ုပ်တို့ မျှော်လင့်ပါသည်။

အမျိုးအစား

စာရင်းကို ပိုမိုလွယ်ကူစွာ သွားလာနိုင်ရန်၊ ကိရိယာများကို ပင်မလုပ်ဆောင်ချက်နှင့် အက်ပ်လီကေးရှင်းဖြင့် စုစည်းထားသည်။ အောက်ပါ ကဏ္ဍများကို ရရှိခဲ့သည်-

Kubernetes ရုပ်ပုံစကင်န်ဖတ်ခြင်းနှင့် တည်ငြိမ်မှုခွဲခြမ်းစိတ်ဖြာခြင်း၊
Runtime လုံခြုံရေး၊
Kubernetes ကွန်ရက်လုံခြုံရေး၊
ရုပ်ပုံဖြန့်ဝေခြင်းနှင့် လျှို့ဝှက်ချက်များကို စီမံခန့်ခွဲခြင်း၊
Kubernetes လုံခြုံရေးစစ်ဆေးမှု၊
ဘက်စုံစီးပွားရေးထုတ်ကုန်များ။

လုပ်ငန်းစလိုက်ကြရအောင်။

Kubernetes ပုံများကို စကင်န်ဖတ်ခြင်း။

ကျောက်ဆူး

Website: anchore.com
လိုင်စင်- အခမဲ့ (Apache) နှင့် စီးပွားရေးဆိုင်ရာ ကမ်းလှမ်းချက်

Anchore သည် ကွန်တိန်နာပုံများကို ပိုင်းခြားစိတ်ဖြာပြီး အသုံးပြုသူသတ်မှတ်ထားသော မူဝါဒများအပေါ် အခြေခံ၍ လုံခြုံရေးစစ်ဆေးမှုများကို ခွင့်ပြုသည်။

CVE ဒေတာဘေ့စ်မှ လူသိများသော အားနည်းချက်များအတွက် ကွန်တိန်နာပုံများကို ပုံမှန်စကင်န်ဖတ်ခြင်းအပြင်၊ Anchore သည် ၎င်း၏စကင်ဖတ်စစ်ဆေးခြင်းမူဝါဒ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် နောက်ထပ်စစ်ဆေးမှုများစွာကို လုပ်ဆောင်သည်- Dockerfile၊ အထောက်အထား ပေါက်ကြားမှုများ၊ အသုံးပြုထားသော ပရိုဂရမ်ဘာသာစကားများ၏ ပက်ကေ့ဂျ်များ (npm၊ maven စသည်ဖြင့်) ကို စစ်ဆေးပေးသည် .) ဆော့ဖ်ဝဲလိုင်စင်များနှင့် အခြားအရာများ။

Clair

Website: coreos.com/clair (ယခု Red Hat ၏ အုပ်ချုပ်မှုအောက်တွင်)
လိုင်စင်- အခမဲ့ (Apache)

Clair သည် ရုပ်ပုံစကင်န်ဖတ်ခြင်းအတွက် ပထမဆုံးသော Open Source ပရောဂျက်များထဲမှ တစ်ခုဖြစ်သည်။ Quay image registry နောက်ကွယ်ရှိ လုံခြုံရေးစကင်နာဟု လူသိများသည်။ (CoreOS မှလည်း - အနီးစပ်ဆုံး ဘာသာပြန်). Clair သည် Debian၊ Red Hat သို့မဟုတ် Ubuntu လုံခြုံရေးအဖွဲ့များမှ ထိန်းသိမ်းထားသော Linux ဖြန့်ဖြူးရေးဆိုင်ရာ သီးခြားအားနည်းချက်များစာရင်းများအပါအဝင် အရင်းအမြစ်များစွာမှ CVE အချက်အလက်များကို စုဆောင်းနိုင်သည်။

Anchore နှင့်မတူဘဲ Clair သည် အားနည်းချက်များကို ရှာဖွေရန်နှင့် CVEs များနှင့် ကိုက်ညီသောဒေတာများကို အဓိကအာရုံစိုက်သည်။ သို့သော်၊ ထုတ်ကုန်သည် သုံးစွဲသူများအား plug-in drivers များကို အသုံးပြု၍ လုပ်ငန်းဆောင်တာများချဲ့ထွင်ရန် အခွင့်အရေးအချို့ကို ပေးပါသည်။

ဒဂ်ဒါ

Website: github.com/eliasgranderubio/dagda
လိုင်စင်- အခမဲ့ (Apache)

Dagda သည် လူသိများသော အားနည်းချက်များ၊ ထရိုဂျန်များ၊ ဗိုင်းရပ်စ်များ၊ malware နှင့် အခြားခြိမ်းခြောက်မှုများအတွက် ကွန်တိန်နာပုံများကို တည်ငြိမ်စွာ ခွဲခြမ်းစိတ်ဖြာပေးပါသည်။

ထင်ရှားသောအင်္ဂါရပ်နှစ်ခုသည် Dagda ကို အခြားအလားတူကိရိယာများနှင့် ခွဲခြားထားသည်။

ဒါဟာဿုံနှင့်အတူပေါင်းစပ် ClamAVကွန်တိန်နာပုံများကိုစကင်န်ဖတ်ရန်ကိရိယာတစ်ခုအနေဖြင့်သာမက antivirus တစ်ခုအနေဖြင့်လည်းလုပ်ဆောင်သည်။
Docker daemon မှ အချိန်နှင့်တပြေးညီ ဖြစ်ရပ်များကို လက်ခံရရှိပြီး Falco နှင့် ပေါင်းစပ်ခြင်းဖြင့်လည်း runtime အကာအကွယ်ကို ပေးပါသည်။ (အောက်တွင်ကြည့်ပါ) ကွန်တိန်နာအလုပ်လုပ်နေစဉ် လုံခြုံရေးဖြစ်ရပ်များကို စုဆောင်းရန်။

KubeXray

Website: github.com/jfrog/kubexray
လိုင်စင်- အခမဲ့ (Apache)၊ သို့သော် JFrog Xray (လုပ်ငန်းသုံး ထုတ်ကုန်) မှ ဒေတာ လိုအပ်သည်

KubeXray သည် Kubernetes API ဆာဗာမှ အဖြစ်အပျက်များကို နားထောင်ပြီး လက်ရှိမူဝါဒနှင့် ကိုက်ညီသော pods များကိုသာ စတင်အသုံးပြုနိုင်ကြောင်း သေချာစေရန် JFrog Xray မှ မက်တာဒေတာကို အသုံးပြုပါသည်။

KubeXray သည် အသုံးပြုမှုတွင် အသစ် သို့မဟုတ် အပ်ဒိတ်လုပ်ထားသော ကွန်တိန်နာများကို စစ်ဆေးရုံသာမက ( Kubernetes ရှိ ဝင်ခွင့်ထိန်းချုပ်ကိရိယာနှင့် ဆင်တူသည်) ကိုလည်း လုံခြုံရေးမူဝါဒအသစ်များနှင့် လိုက်လျောညီထွေရှိစေရန် လုပ်ဆောင်နေသည့်ကွန်တိန်နာများကို စစ်ဆေးခြင်း၊ အားနည်းချက်ရှိသော ရုပ်ပုံများကို ကိုးကားသည့် အရင်းအမြစ်များကို ဖယ်ရှားခြင်း။

သရဲ

Website: snyk.io
လိုင်စင်- အခမဲ့ (Apache) နှင့် လုပ်ငန်းသုံးဗားရှင်းများ

Snyk သည် ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်ကို အထူးပစ်မှတ်ထားပြီး developer များအတွက် "မရှိမဖြစ်လိုအပ်သောဖြေရှင်းချက်" အဖြစ် မြှင့်တင်ထားသည့်အတွက် ပုံမှန်မဟုတ်သော အားနည်းချက်စကင်နာတစ်ခုဖြစ်သည်။

Snyk သည် ကုဒ်သိုလှောင်ရာနေရာများသို့ တိုက်ရိုက်ချိတ်ဆက်သည်၊ ပရောဂျက်မန်နီးဖက်စ်ကို ခွဲခြမ်းစိပ်ဖြာပြီး တိုက်ရိုက်နှင့် သွယ်ဝိုက်သောမှီခိုမှုများနှင့်အတူ တင်သွင်းလာသောကုဒ်ကို ပိုင်းခြားစိတ်ဖြာပါသည်။ Snyk သည် လူကြိုက်များသော ပရိုဂရမ်းမင်းဘာသာစကားများစွာကို ပံ့ပိုးပေးပြီး လျှို့ဝှက်လိုင်စင်အန္တရာယ်များကို ဖော်ထုတ်နိုင်ပါသည်။

ဉာဏ်စမ်း

Website: github.com/knqyf263/trivy
လိုင်စင်- အခမဲ့ (AGPL)

Trivy သည် CI/CD ပိုက်လိုင်းသို့ အလွယ်တကူ ပေါင်းစပ်နိုင်သော ကွန်တိန်နာများအတွက် ရိုးရှင်းသော်လည်း အားကောင်းသော အားနည်းချက်ကို စကင်ဖတ်စစ်ဆေးခြင်း ဖြစ်သည်။ ၎င်း၏ ထင်ရှားသောအင်္ဂါရပ်မှာ တပ်ဆင်ခြင်းနှင့် လည်ပတ်ရလွယ်ကူခြင်းဖြစ်သည်- အပလီကေးရှင်းတွင် binary တစ်ခုတည်းပါ၀င်ပြီး ဒေတာဘေ့စ်တစ်ခု သို့မဟုတ် အပိုစာကြည့်တိုက်များကို တပ်ဆင်ရန်မလိုအပ်ပါ။

Trivy ၏ရိုးရှင်းမှု၏ အားနည်းချက်မှာ အခြား Kubernetes လုံခြုံရေးကိရိယာများကို အသုံးပြုနိုင်ရန် ရလဒ်များကို JSON ဖော်မတ်တွင် မည်သို့ခွဲခြမ်းစိတ်ဖြာပြီး ပေးပို့ရမည်ကို အဖြေရှာရမည်ဖြစ်ပါသည်။

Kubernetes ရှိ Runtime လုံခြုံရေး

Falco

Website: falco.org
လိုင်စင်- အခမဲ့ (Apache)

Falco သည် cloud runtime ပတ်ဝန်းကျင်များကို လုံခြုံစေရန်အတွက် ကိရိယာအစုံဖြစ်သည်။ ပရောဂျက်မိသားစု၏ အစိတ်အပိုင်း CNCF.

Sysdig ၏ Linux kernel-level tooling နှင့် system call profileing ကိုအသုံးပြု၍ Falco သည် သင့်အား စနစ်အပြုအမူထဲသို့ နက်နဲစွာ နက်နက်ရှိုင်းရှိုင်း ဝင်ရောက်နိုင်စေပါသည်။ ၎င်း၏ runtime စည်းမျဉ်းများအင်ဂျင်သည် အပလီကေးရှင်းများ၊ ကွန်တိန်နာများ၊ အရင်းခံအိမ်ရှင် နှင့် Kubernetes သံစုံတီးဝိုင်းများတွင် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ထောက်လှမ်းနိုင်သည်။

Falco သည် ဤရည်ရွယ်ချက်များအတွက် Kubernetes node များပေါ်တွင် အထူးအေးဂျင့်များကို အသုံးပြုခြင်းဖြင့် runtime နှင့် ခြိမ်းခြောက်မှုရှာဖွေခြင်းတွင် ပြီးပြည့်စုံသောပွင့်လင်းမြင်သာမှုကိုပေးပါသည်။ ရလဒ်အနေဖြင့်၊ ၎င်းတို့ထဲသို့ ပြင်ပကုဒ်ကိုထည့်သွင်းခြင်း သို့မဟုတ် ဘေးတွဲကွန်တိန်နာများထည့်ခြင်းဖြင့် ကွန်တိန်နာများကို ပြုပြင်ရန်မလိုအပ်ပါ။

runtime အတွက် Linux လုံခြုံရေးဘောင်များ

Linux kernel အတွက် ဤမူဘောင်များသည် သမားရိုးကျသဘောအရ "Kubernetes လုံခြုံရေးကိရိယာများ" မဟုတ်သော်လည်း Kubernetes Pod Security Policy (PSP) တွင် ထည့်သွင်းထားသည့် runtime လုံခြုံရေး၏ ဆက်စပ်မှုတွင် အရေးကြီးသောအစိတ်အပိုင်းတစ်ခုဖြစ်သောကြောင့် ၎င်းတို့သည် မှတ်သားထိုက်ပါသည်။

AppArmor ကွန်တိန်နာအတွင်း လည်ပတ်နေသော လုပ်ငန်းစဉ်များ၊ ဖိုင်စနစ်အခွင့်ထူးများကို သတ်မှတ်ခြင်း၊ ကွန်ရက်ဝင်ရောက်ခွင့်စည်းမျဉ်းများ၊ စာကြည့်တိုက်များ ချိတ်ဆက်ခြင်း စသည်ဖြင့် လုံခြုံရေးပရိုဖိုင်ကို ပူးတွဲပါသည်။ ဤသည်မှာ Mandatory Access Control (MAC) ကို အခြေခံထားသော စနစ်တစ်ခုဖြစ်သည်။ တစ်နည်းဆိုရသော် တားမြစ်ထားသော လုပ်ရပ်များကို မပြုလုပ်ရန် တားမြစ်ထားသည်။

လုံခြုံရေး-မြှင့်တင်ထားသော Linux (selinux) သည် AppArmor နှင့် အချို့သော ကဏ္ဍများတွင် အလားတူ Linux kernel ရှိ အဆင့်မြင့် လုံခြုံရေး module တစ်ခုဖြစ်ပြီး ၎င်းနှင့် မကြာခဏ နှိုင်းယှဉ်ပါသည်။ SELinux သည် ပါဝါ၊ ပြောင်းလွယ်ပြင်လွယ်နှင့် စိတ်ကြိုက်ပြင်ဆင်မှုတွင် AppArmor ထက်သာလွန်သည်။ ၎င်း၏ အားနည်းချက်များမှာ ရှည်လျားသော သင်ယူမှုမျဉ်းကွေးနှင့် ရှုပ်ထွေးမှု ပိုများသည်။

Seccomp နှင့် seccomp-bpf သည် သင့်အား system calls များကို စစ်ထုတ်ရန်၊ base OS အတွက် အန္တရာယ်ဖြစ်နိုင်ချေရှိသော လုပ်ဆောင်ချက်များကို ပိတ်ဆို့နိုင်ပြီး သုံးစွဲသူအပလီကေးရှင်းများ၏ ပုံမှန်လည်ပတ်မှုအတွက် မလိုအပ်ပါ။ Seccomp သည် အချို့သောနည်းလမ်းများတွင် Falco နှင့်ဆင်တူသော်လည်း ကွန်တိန်နာ၏အသေးစိတ်အချက်အလက်များကိုမသိရှိပါ။

Sysdig ပွင့်လင်းအရင်းအမြစ်

Website: www.sysdig.com/opensource
လိုင်စင်- အခမဲ့ (Apache)

Sysdig သည် Linux စနစ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း၊ အဖြေရှာခြင်းနှင့် အမှားရှာခြင်းအတွက် ပြီးပြည့်စုံသော tool တစ်ခု (Windows နှင့် macOS တို့တွင်လည်း လုပ်ဆောင်နိုင်သော်လည်း အကန့်အသတ်ရှိသော လုပ်ဆောင်ချက်များဖြင့်)။ အသေးစိတ် အချက်အလက်စုဆောင်းခြင်း၊ အတည်ပြုခြင်းနှင့် မှုခင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာခြင်းတို့အတွက် ၎င်းကို အသုံးပြုနိုင်သည်။ (မှုခင်းဆေးပညာ) အခြေခံစနစ်နှင့် ၎င်းပေါ်တွင် လုပ်ဆောင်နေသည့် မည်သည့်ကွန်တိန်နာများ။

Sysdig သည် ကွန်တိန်နာ runtimes နှင့် Kubernetes မက်တာဒေတာတို့ကို ထောက်ပံ့ပေးပြီး ၎င်းစုဆောင်းရရှိသည့် စနစ်အချက်အလက်အားလုံးတွင် ထပ်လောင်းအတိုင်းအတာများနှင့် အညွှန်းများထည့်ထားသည်။ Sysdig ကို အသုံးပြု၍ Kubernetes အစုအဝေးကို ခွဲခြမ်းစိတ်ဖြာရန် နည်းလမ်းများစွာ ရှိသည်- သင်သည် တစ်ဆင့်ချင်း အချိန်နှင့်တစ်ပြေးညီ ဖမ်းယူနိုင်သည် kubectl ဖမ်းယူ သို့မဟုတ် ပလပ်အင်ကို အသုံးပြု၍ ncurses-based အပြန်အလှန်အကျိုးသက်ရောက်မှုရှိသော အင်တာဖေ့စ်ကို ဖွင့်ပါ။ kubectl တူး.

Kubernetes ကွန်ရက် လုံခြုံရေး

Aporeto

Website: www.aporeto.com
လိုင်စင်: စီးပွားရေး

Aporeto သည် "ကွန်ရက်နှင့် အခြေခံအဆောက်အအုံမှ ခွဲထုတ်ထားသော လုံခြုံရေး" ကို ပေးသည်။ ဆိုလိုသည်မှာ Kubernetes ဝန်ဆောင်မှုများသည် ဒေသဆိုင်ရာ ID (ဆိုလိုသည်မှာ Kubernetes ရှိ ServiceAccount) ကို လက်ခံရရှိရုံသာမက OpenShift အစုအဝေးတစ်ခုတွင်၊ ဥပမာ၊ OpenShift အစုအဝေးတစ်ခုတွင် အခြားဝန်ဆောင်မှုတစ်ခုခုနှင့် လုံခြုံစွာ အပြန်အလှန်ဆက်သွယ်နိုင်ရန် အသုံးပြုနိုင်သည့် universal ID/ fingerprint ကို ဆိုလိုပါသည်။

Aporeto သည် Kubernetes/containers များအတွက်သာမက hosts၊ cloud လုပ်ဆောင်မှုများနှင့် အသုံးပြုသူများအတွက်လည်း ထူးခြားသော ID တစ်ခုကို ဖန်တီးပေးနိုင်သည်။ ဤသတ်မှတ်ချက်များနှင့် စီမံခန့်ခွဲသူမှ သတ်မှတ်ထားသော ကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများပေါ်မူတည်၍ ဆက်သွယ်ရေးများကို ခွင့်ပြုမည် သို့မဟုတ် ပိတ်ဆို့သွားမည်ဖြစ်သည်။

Calico

Website: www.projectcalico.org
လိုင်စင်- အခမဲ့ (Apache)

Calico သည် ပုံမှန်အားဖြင့် container orchestrator တပ်ဆင်မှုအတွင်း အသုံးချပြီး containers အပြန်အလှန်ချိတ်ဆက်နိုင်သော virtual network တစ်ခုကို ဖန်တီးနိုင်စေပါသည်။ ဤအခြေခံကွန်ရက်လုပ်ဆောင်နိုင်စွမ်းအပြင် Calico ပရောဂျက်သည် Kubernetes ကွန်ရက်မူဝါဒများနှင့် ၎င်း၏ကိုယ်ပိုင်ကွန်ရက်လုံခြုံရေးပရိုဖိုင်များနှင့်အတူ လုပ်ဆောင်နိုင်ပြီး၊ အဆုံးမှတ် ACLs (ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုစာရင်းများ) နှင့် Ingress နှင့် Egress အသွားအလာများအတွက် မှတ်ချက်-အခြေခံကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများကို ပံ့ပိုးပေးပါသည်။

cilium

Website: www.cilium.io
လိုင်စင်- အခမဲ့ (Apache)

Cilium သည် ကွန်တိန်နာများအတွက် firewall တစ်ခုအဖြစ် လုပ်ဆောင်ပြီး Kubernetes နှင့် microservices workloads တို့နှင့် ကိုက်ညီသော ကွန်ရက်လုံခြုံရေးအင်္ဂါရပ်များကို ပံ့ပိုးပေးပါသည်။ Cilium သည် BPF (Berkeley Packet Filter) ဟုခေါ်သော Linux kernel နည်းပညာအသစ်ကို အသုံးပြု၍ ဒေတာများကို စစ်ထုတ်ခြင်း၊ စောင့်ကြည့်ခြင်း၊ ပြန်ညွှန်းခြင်းနှင့် မှန်ကန်စေရန်။

Cilium သည် Docker သို့မဟုတ် Kubernetes အညွှန်းများနှင့် မက်တာဒေတာများကို အသုံးပြု၍ ကွန်တိန်နာ ID များကို အခြေခံ၍ ကွန်ရက်ဝင်ရောက်ခွင့်မူဝါဒများကို အသုံးချနိုင်စွမ်းရှိသည်။ Cilium သည် HTTP သို့မဟုတ် gRPC ကဲ့သို့သော Layer 7 ပရိုတိုကောများကို နားလည်ပြီး စစ်ထုတ်ကာ၊ ဥပမာအားဖြင့် Kubernetes နှစ်ခုကြားတွင် ခွင့်ပြုပေးမည့် REST ခေါ်ဆိုမှုအစုအဝေးကို သတ်မှတ်နိုင်စေမည်ဖြစ်သည်။

Istio

Website: istio.io
လိုင်စင်- အခမဲ့ (Apache)

Istio သည် ပလပ်ဖောင်း-အမှီအခိုကင်းသော ထိန်းချုပ်မှုလေယာဉ်ကိုအသုံးပြုကာ ဝန်ဆောင်မှုအသွားအလာအားလုံးကို ရွေ့လျားပြောင်းလဲနိုင်သော Envoy proxies များမှတစ်ဆင့် လမ်းကြောင်းပေးခြင်းဖြင့် ဝန်ဆောင်မှု mesh ပါရာဒိုင်းကို အကောင်အထည်ဖော်ရန်အတွက် ကျယ်ပြန့်စွာလူသိများသည်။ Istio သည် ကွန်ရက်လုံခြုံရေးဗျူဟာအမျိုးမျိုးကို အကောင်အထည်ဖော်ရန်အတွက် မိုက်ခရိုဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများအားလုံး၏ ဤအဆင့်မြင့်မြင်ကွင်းကို အခွင့်ကောင်းယူသည်။

Istio ၏ ကွန်ရက်လုံခြုံရေးစွမ်းရည်များတွင် microservices များအကြား ဆက်သွယ်ရေးကို HTTPS သို့ အလိုအလျောက် အဆင့်မြှင့်ရန် ပွင့်လင်းမြင်သာသော TLS ကုဒ်ဝှက်ခြင်း နှင့် အစုအဖွဲ့အတွင်းရှိ မတူညီသော အလုပ်များအကြား ဆက်သွယ်မှုကို ခွင့်ပြုရန်/ငြင်းဆိုရန် တစ်ဦးတည်းပိုင် RBAC အထောက်အထားနှင့် ခွင့်ပြုချက်စနစ်တို့ ပါဝင်သည်။

မှတ်ချက်။ ဘာသာပြန်: Istio ၏ လုံခြုံရေးကို အဓိကထား လုပ်ဆောင်နိုင်စွမ်းများအကြောင်း ပိုမိုလေ့လာရန်၊ ဖတ်ရှုပါ။ ဤဆောင်းပါးတွင်.

Tigera

Website: www.tigera.io
လိုင်စင်: စီးပွားရေး

"Kubernetes Firewall" ဟုခေါ်သော ဤဖြေရှင်းချက်သည် ကွန်ရက်လုံခြုံရေးအတွက် လုံးဝယုံကြည်စိတ်ချရသော ချဉ်းကပ်မှုကို အလေးပေးပါသည်။

အခြားသော မူရင်း Kubernetes ကွန်ရက်ဖြေရှင်းချက်များနှင့် အလားတူ၊ Tigera သည် အစုအဝေးရှိ ဝန်ဆောင်မှုများနှင့် အရာဝတ္ထုအမျိုးမျိုးကို ခွဲခြားသတ်မှတ်ရန် မက်တာဒေတာကို အားကိုးပြီး runtime ပြဿနာကို သိရှိနိုင်ခြင်း၊ စဉ်ဆက်မပြတ်လိုက်နာမှုစစ်ဆေးခြင်းနှင့် ကွန်ရက်များစွာကို cloud သို့မဟုတ် hybrid monolithic-containerized အခြေခံအဆောက်အအုံများအတွက် ကွန်ရက်မြင်နိုင်စွမ်းကို ပံ့ပိုးပေးပါသည်။

Trireme

Website: www.aporeto.com/opensource
လိုင်စင်- အခမဲ့ (Apache)

Trireme-Kubernetes သည် Kubernetes Network Policies သတ်မှတ်ချက်၏ ရိုးရှင်းပြီး ရိုးရှင်းသော အကောင်အထည်ဖော်မှုတစ်ခုဖြစ်သည်။ အထင်ရှားဆုံးသောအင်္ဂါရပ်မှာ - အလားတူ Kubernetes ကွန်ရက်လုံခြုံရေးထုတ်ကုန်များနှင့်မတူဘဲ - ၎င်းသည် mesh ကိုညှိနှိုင်းရန်ဗဟိုထိန်းချုပ်မှုလေယာဉ်မလိုအပ်ပါ။ ၎င်းသည် ဖြေရှင်းချက်အသေးစိတ်တွင် အတိုင်းအတာတစ်ခုအထိ ဖြစ်လာစေသည်။ Trireme တွင်၊ host ၏ TCP/IP stack သို့ တိုက်ရိုက်ချိတ်ဆက်သည့် node တစ်ခုစီတွင် အေးဂျင့်တစ်ခုကို ထည့်သွင်းခြင်းဖြင့် ၎င်းကို အောင်မြင်သည်။

ရုပ်ပုံပြန့်ပွားမှုနှင့် လျှို့ဝှက်ချက်များ စီမံခန့်ခွဲမှု

Grafeas

Website: grafeas.io
လိုင်စင်- အခမဲ့ (Apache)

Grafeas သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်ကို စစ်ဆေးခြင်းနှင့် စီမံခန့်ခွဲခြင်းအတွက် အဖွင့်အရင်းအမြစ် API တစ်ခုဖြစ်သည်။ အခြေခံအဆင့်တွင်၊ Grafeas သည် မက်တာဒေတာစုဆောင်းခြင်းနှင့် စာရင်းစစ်တွေ့ရှိချက်များကို စုဆောင်းရန်အတွက် ကိရိယာတစ်ခုဖြစ်သည်။ အဖွဲ့အစည်းတစ်ခုအတွင်း လုံခြုံရေး အကောင်းဆုံး အလေ့အကျင့်များနှင့်အညီ လိုက်နာမှုကို ခြေရာခံရန် ၎င်းကို အသုံးပြုနိုင်သည်။

ဤဗဟိုချုပ်ကိုင်မှုရှိသော အမှန်တရားအရင်းအမြစ်သည် အောက်ပါမေးခွန်းများကို ဖြေရန်ကူညီပေးသည်-

ကွန်တိန်နာတစ်ခုအတွက် ဘယ်သူက စုဆောင်းပြီး လက်မှတ်ထိုးတာလဲ။
လုံခြုံရေးမူဝါဒအရ လိုအပ်သော လုံခြုံရေးစကင်န်များနှင့် စစ်ဆေးမှုများအားလုံးကို ကျော်ဖြတ်ပြီးပြီလား။ ဘယ်တော့လဲ? ရလဒ်တွေက ဘာတွေလဲ။
ထုတ်လုပ်ရေးတွင် မည်သူက အသုံးချခဲ့သနည်း။ ဖြန့်ကျက်စဉ်အတွင်း မည်သည့် သီးခြားဘောင်များကို အသုံးပြုခဲ့သနည်း။

တိုတိုအတွင်း

Website: in-toto.github.io
လိုင်စင်- အခမဲ့ (Apache)

In-toto သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်တစ်ခုလုံး၏ ခိုင်မာမှု၊ စစ်မှန်ကြောင်းနှင့် စစ်ဆေးခြင်းတို့ကို ပံ့ပိုးပေးရန် ဒီဇိုင်းထုတ်ထားသော မူဘောင်တစ်ခုဖြစ်သည်။ In-toto ကို အခြေခံအဆောက်အအုံတစ်ခုတွင် ဖြန့်ကျက်အသုံးပြုသည့်အခါ၊ ပိုက်လိုင်းရှိ အဆင့်အမျိုးမျိုးသောအဆင့်များ (သိုလှောင်မှု၊ CI/CD ကိရိယာများ၊ QA ကိရိယာများ၊ ပစ္စည်းများစုဆောင်းသူများ၊ စသည်) နှင့် အသုံးပြုသူများ (တာဝန်ရှိပုဂ္ဂိုလ်များ) တို့ကို ဖော်ပြသည့် အစီအစဉ်ကို ဦးစွာသတ်မှတ်သတ်မှတ်ထားသည်။ သူတို့ကို အစပြုပါ။

In-toto သည် အစီအစဉ်၏ အကောင်အထည်ဖော်မှုကို စောင့်ကြည့်စစ်ဆေးပြီး ကွင်းဆက်အတွင်းရှိ အလုပ်တစ်ခုစီကို အခွင့်အာဏာရှိပုဂ္ဂိုလ်များသာ မှန်ကန်စွာလုပ်ဆောင်ကြောင်းနှင့် လှုပ်ရှားမှုအတွင်း ထုတ်ကုန်နှင့်အတူ ခွင့်ပြုချက်မရှိဘဲ ခြယ်လှယ်မှုများ လုပ်ဆောင်ခဲ့ခြင်းမရှိကြောင်း အတည်ပြုသည်။

Portieris

Website: github.com/IBM/portieris
လိုင်စင်- အခမဲ့ (Apache)

Portieris သည် Kubernetes အတွက် ဝင်ခွင့်ထိန်းချုပ်သူဖြစ်သည်။ အကြောင်းအရာယုံကြည်မှုစစ်ဆေးမှုများကို တွန်းအားပေးရန် အသုံးပြုသည်။ Portieris သည် ဆာဗာကို အသုံးပြုသည်။ စာချုပ်စာတမ်းသက်သေခံသူ (အဆုံးမှာတော့ သူ့အကြောင်းရေးတယ်။ ဤဆောင်ပါး - အနီးစပ်ဆုံး ဘာသာပြန်) ယုံကြည်စိတ်ချရသော နှင့် လက်မှတ်ရေးထိုးထားသော ရှေးဟောင်းပစ္စည်းများ (ဆိုလိုသည်မှာ အတည်ပြုထားသော ကွန်တိန်နာပုံများ) ကို အတည်ပြုရန် အမှန်တရား၏အရင်းအမြစ်အဖြစ်။

အလုပ်ဝန်တစ်ခုကို Kubernetes တွင် ဖန်တီး သို့မဟုတ် ပြင်ဆင်သည့်အခါ၊ Portieris သည် တောင်းဆိုထားသော ကွန်တိန်နာပုံများအတွက် လက်မှတ်ရေးထိုးမှုအချက်အလက်နှင့် အကြောင်းအရာယုံကြည်မှုမူဝါဒကို ဒေါင်းလုဒ်လုပ်ကာ လိုအပ်ပါက အဆိုပါပုံများ၏ လက်မှတ်ရေးထိုးထားသောဗားရှင်းများကို လုပ်ဆောင်ရန် JSON API အရာဝတ္တုတွင် အပြောင်းအလဲများပြုလုပ်သည်။

ပင်လယ်ကမ်းစောင်း

Website: www.vaultproject.io
လိုင်စင်- အခမဲ့ (MPL)

Vault သည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို သိမ်းဆည်းရန်အတွက် လုံခြုံသောဖြေရှင်းချက်တစ်ခုဖြစ်သည်- စကားဝှက်များ၊ OAuth တိုကင်များ၊ PKI လက်မှတ်များ၊ ဝင်ရောက်အသုံးပြုခွင့်အကောင့်များ၊ Kubernetes လျှို့ဝှက်ချက်များ၊ စသည်ဖြင့်။ Vault သည် တဒင်္ဂလုံခြုံရေးတိုကင်များ ငှားရမ်းခြင်း သို့မဟုတ် သော့လှည့်ခြင်းများ စီစဉ်ပေးခြင်းကဲ့သို့သော အဆင့်မြင့်အင်္ဂါရပ်များစွာကို ပံ့ပိုးပေးပါသည်။

Helm ဇယားကို အသုံးပြု၍ ကောင်စစ်ဝန်နှင့်အတူ Kubernetes အစုအဝေးတွင် ကျောထောက်နောက်ခံသိုလှောင်မှုအဖြစ် Vault ကို ဖြန့်ကျက်မှုအသစ်အဖြစ် အသုံးချနိုင်သည်။ ၎င်းသည် ServiceAccount တိုကင်များကဲ့သို့သော မူရင်း Kubernetes အရင်းအမြစ်များကို ပံ့ပိုးပေးပြီး Kubernetes လျှို့ဝှက်ချက်များကို မူရင်းစတိုးအဖြစ်ပင် လုပ်ဆောင်နိုင်သည်။

မှတ်ချက်။ ဘာသာပြန်- စကားမစပ်၊ Vault ကို တီထွင်သည့် HashiCorp သည် ယမန်နေ့က Kubernetes တွင် Vault အသုံးပြုခြင်းအတွက် တိုးတက်မှုအချို့ကို ကြေညာခဲ့ပြီး အထူးသဖြင့် ၎င်းတို့သည် Helm ဇယားနှင့် သက်ဆိုင်ပါသည်။ တွင်ပိုမိုဖတ်ရှုပါ။ developer ဘလော့ဂ်.

Kubernetes လုံခြုံရေးစစ်ဆေးမှု

Kube-ခုံတန်းလျား

Website: github.com/aquasecurity/kube-bench
လိုင်စင်- အခမဲ့ (Apache)

Kube-bench သည် စာရင်းတစ်ခုမှ စမ်းသပ်မှုများ လုပ်ဆောင်ခြင်းဖြင့် Kubernetes ကို လုံခြုံစွာ အသုံးပြုထားခြင်း ရှိမရှိ စစ်ဆေးပေးသည့် Go အက်ပ်တစ်ခု ဖြစ်သည်။ CIS Kubernetes စံသတ်မှတ်ချက်.

Kube-bench သည် အစုအစည်း အစိတ်အပိုင်းများ (etcd၊ API၊ controller manager စသည်)၊ မေးခွန်းထုတ်စရာ ဖိုင်ဝင်ရောက်ခွင့် အခွင့်အရေး၊ အကာအကွယ်မဲ့ အကောင့်များ သို့မဟုတ် ဖွင့်ထားသော ဆိပ်ကမ်းများ၊ အရင်းအမြစ်ခွဲတမ်းများ၊ DoS တိုက်ခိုက်မှုများကို ကာကွယ်ရန် API ခေါ်ဆိုမှု အရေအတွက်ကို ကန့်သတ်ရန်အတွက် ဆက်တင်များကို ရှာဖွေသည် စသည်တို့

Kube-မုဆိုး

Website: github.com/aquasecurity/kube-hunter
လိုင်စင်- အခမဲ့ (Apache)

Kube-hunter သည် Kubernetes အစုအဝေးများရှိ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များ (ဥပမာ အဝေးကုဒ်လုပ်ဆောင်မှု သို့မဟုတ် ဒေတာထုတ်ဖော်မှု) ကို ရှာဖွေသည်။ Kube-hunter ကို အဝေးထိန်းစကင်နာအဖြစ် လုပ်ဆောင်နိုင်သည် - ယင်းအခြေအနေတွင် ပြင်ပအဖွဲ့အစည်း တိုက်ခိုက်သူ၏ ရှုထောင့်မှ အစုအဝေးကို အကဲဖြတ်မည် - သို့မဟုတ် အစုအဝေးအတွင်းရှိ pod တစ်ခုဖြစ်သည်။

Kube-hunter ၏ထူးခြားသောအင်္ဂါရပ်မှာ ၎င်း၏ "တက်ကြွသောအမဲလိုက်ခြင်း" မုဒ်ဖြစ်ပြီး ၎င်းသည် ပြဿနာများကို သတင်းပို့ရုံသာမက ၎င်း၏လုပ်ဆောင်ချက်ကို အန္တရာယ်ဖြစ်စေနိုင်သည့် ပစ်မှတ်အစုအဝေးတွင် တွေ့ရှိထားသော အားနည်းချက်များကို အခွင့်ကောင်းယူရန်လည်း ကြိုးစားသည်။ ဒါကြောင့် သတိနဲ့သုံးပါ။

Kubeaudit

Website: github.com/Shopify/kubeaudit
လိုင်စင်- အခမဲ့ (MIT)

Kubeaudit သည် လုံခြုံရေးပြဿနာအမျိုးမျိုးအတွက် Kubernetes ဖွဲ့စည်းမှုပုံစံကို စစ်ဆေးရန်အတွက် Shopify တွင် မူလတီထွင်ထားသည့် ကွန်ဆိုးလ်တူးလ်တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ကန့်သတ်မထားဘဲ လုပ်ဆောင်နေသည့် ကွန်တိန်နာများကို ဖော်ထုတ်ရန်၊ အမြစ်အဖြစ် လုပ်ဆောင်နေခြင်း၊ အခွင့်ထူးများကို အလွဲသုံးစားလုပ်ခြင်း သို့မဟုတ် မူရင်း ServiceAccount ကို အသုံးပြုခြင်းတို့ကို ခွဲခြားသတ်မှတ်ရန် ကူညီပေးသည်။

Kubeaudit တွင် အခြားသော စိတ်ဝင်စားဖွယ် အင်္ဂါရပ်များ ရှိသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ဒေသန္တရ YAML ဖိုင်များကို ပိုင်းခြားစိတ်ဖြာနိုင်ပြီး လုံခြုံရေးပြဿနာများဆီသို့ ဦးတည်သွားစေနိုင်သည့် ဖွဲ့စည်းမှုဆိုင်ရာ ချို့ယွင်းချက်များကို ရှာဖွေဖော်ထုတ်နိုင်ပြီး ၎င်းတို့ကို အလိုအလျောက် ပြုပြင်ပေးနိုင်သည်။

Kubesec

Website: kubesec.io
လိုင်စင်- အခမဲ့ (Apache)

Kubernetes သည် လုံခြုံရေးကို ထိခိုက်စေနိုင်သည့် အားနည်းသော ကန့်သတ်ဘောင်များကို ရှာဖွေနေသည့် Kubernetes အရင်းအမြစ်များကို ဖော်ပြသည့် YAML ဖိုင်များကို တိုက်ရိုက်စကင်န်ဖတ်ခြင်းအတွက် အထူးကိရိယာတစ်ခုဖြစ်သည်။

ဥပမာအားဖြင့်၊ ၎င်းသည် pod တစ်ခုအား ပေးအပ်ထားသော အလွန်အကျွံ အခွင့်ထူးများနှင့် ခွင့်ပြုချက်များကို ရှာဖွေနိုင်သည်၊ မူရင်းအသုံးပြုသူအဖြစ် root ပါသည့် ကွန်တိန်နာကို လုပ်ဆောင်ခြင်း၊ လက်ခံသူ၏ ကွန်ရက် namespace သို့ ချိတ်ဆက်ခြင်း သို့မဟုတ် အန္တရာယ်ရှိသော mount များကဲ့သို့သော /proc host သို့မဟုတ် Docker socket။ Kubesec ၏နောက်ထပ်စိတ်ဝင်စားစရာကောင်းသည့်အင်္ဂါရပ်မှာ YAML ကိုတင်ပြီးချက်ချင်းခွဲခြမ်းစိတ်ဖြာနိုင်သည့်အွန်လိုင်းတွင်ရရှိနိုင်သည့်သရုပ်ပြဝန်ဆောင်မှုဖြစ်သည်။

မူဝါဒအေးဂျင့်ဖွင့်ပါ။

Website: www.openpolicyagent.org
လိုင်စင်- အခမဲ့ (Apache)

OPA (Open Policy Agent) ၏ သဘောတရားမှာ လုံခြုံရေးမူဝါဒများနှင့် လုံခြုံရေးဆိုင်ရာ အကောင်းဆုံးအလေ့အကျင့်များကို သီးခြား runtime ပလပ်ဖောင်း- Docker၊ Kubernetes၊ Mesosphere၊ OpenShift သို့မဟုတ် ၎င်းတို့ပေါင်းစပ်မှုတစ်ခုမှ လုံခြုံရေးမူဝါဒများကို ပိုင်းဖြတ်ရန်ဖြစ်သည်။

ဥပမာအားဖြင့်၊ သင်သည် Kubernetes ဝင်ခွင့်ထိန်းချုပ်ကိရိယာအတွက် နောက်ခံတစ်ခုအနေဖြင့် OPA ကို အသုံးပြုနိုင်ပြီး လုံခြုံရေးဆုံးဖြတ်ချက်များကို ၎င်းထံလွှဲအပ်နိုင်သည်။ ဤနည်းအားဖြင့်၊ OPA အေးဂျင့်သည် သတ်မှတ်ထားသော လုံခြုံရေးကန့်သတ်ချက်များ ပြည့်မီကြောင်း သေချာစေရန်အတွက် တောင်းဆိုချက်များကို အတည်ပြုနိုင်၊ ပယ်ချကာ အပြောင်းအလဲများပင် ပြုလုပ်နိုင်ပါသည်။ OPA ၏ လုံခြုံရေးမူဝါဒများကို ၎င်း၏ကိုယ်ပိုင် DSL ဘာသာစကား Rego ဖြင့် ရေးသားထားသည်။

မှတ်ချက်။ ဘာသာပြန်: ကျွန်ုပ်တို့သည် OPA (နှင့် SPIFFE) အကြောင်း ပိုမိုရေးသားခဲ့သည်။ ဒီပစ္စည်း.

Kubernetes လုံခြုံရေးခွဲခြမ်းစိတ်ဖြာမှုအတွက် ပြီးပြည့်စုံသော စီးပွားရေးဆိုင်ရာ ကိရိယာများ

၎င်းတို့သည် ပုံမှန်အားဖြင့် လုံခြုံရေးနယ်ပယ်များစွာကို လွှမ်းခြုံထားသောကြောင့် စီးပွားဖြစ်ပလပ်ဖောင်းများအတွက် သီးခြားအမျိုးအစားတစ်ခုကို ဖန်တီးရန် ဆုံးဖြတ်ခဲ့သည်။ ၎င်းတို့၏ စွမ်းဆောင်ရည်ဆိုင်ရာ ယေဘုယျ အယူအဆကို ဇယားမှ ရယူနိုင်သည်။

* ပြီးပြည့်စုံသောအဆင့်မြင့်စစ်ဆေးမှုနှင့်သေဆုံးမှုခွဲခြမ်းစိတ်ဖြာခြင်း။ စနစ်ခေါ်ဆိုမှု အပိုင်စီးခြင်း။.

Aqua လုံခြုံရေး

Website: www.aquasec.com ဖြစ်သည်
လိုင်စင်: စီးပွားရေး

ဤလုပ်ငန်းသုံးကိရိယာသည် ကွန်တိန်နာများနှင့် cloud အလုပ်များများအတွက် ဒီဇိုင်းထုတ်ထားသည်။ ကထောက်ပံ့:

ကွန်တိန်နာမှတ်ပုံတင်ခြင်း သို့မဟုတ် CI/CD ပိုက်လိုင်းဖြင့် ပေါင်းစပ်ထားသော ရုပ်ပုံစကင်ဖတ်ခြင်း
ကွန်တိန်နာများတွင် အပြောင်းအလဲများနှင့် အခြားသံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ရှာဖွေခြင်းဖြင့် Runtime ကာကွယ်ခြင်း၊
ကွန်တိန်နာ-ဇာတိ firewall;
cloud ဝန်ဆောင်မှုများတွင် serverless အတွက် လုံခြုံရေး၊
လိုက်နာမှုစမ်းသပ်ခြင်းနှင့် စာရင်းစစ်ခြင်းတို့ကို ဖြစ်ရပ်မှတ်တမ်းဖြင့် ပေါင်းစပ်ထားသည်။

မှတ်ချက်။ ဘာသာပြန်: အဲဒါတွေလည်းရှိတယ်။ free component လို့ ခေါ်တဲ့ product ပါ။ မိုက်ခရိုစကင်နာအားနည်းချက်များအတွက် ကွန်တိန်နာပုံများကို စကင်န်ဖတ်နိုင်စေမည့်၊ အခပေးဗားရှင်းများနှင့် ၎င်း၏စွမ်းဆောင်ရည်များကို နှိုင်းယှဉ်တင်ပြထားသည်။ ဒီစားပွဲ.

ဆေးတောင့် ၈

Website: capsule8.com
လိုင်စင်: စီးပွားရေး

Capsule8 သည် ဒေသတွင်း သို့မဟုတ် cloud Kubernetes အစုအဝေးတွင် ထောက်လှမ်းကိရိယာကို ထည့်သွင်းခြင်းဖြင့် အခြေခံအဆောက်အအုံတွင် ပေါင်းစပ်ထားသည်။ ဤ detector သည် host နှင့် network telemetry ကို စုဆောင်းပြီး ၎င်းကို မတူညီသော တိုက်ခိုက်မှုအမျိုးအစားများနှင့် ဆက်စပ်ပေးသည်။

Capsule8 အဖွဲ့သည် ၎င်း၏လုပ်ငန်းတာဝန်ကို စောစီးစွာရှာဖွေခြင်းနှင့် တိုက်ခိုက်မှုများကို တားဆီးခြင်းအဖြစ် ရှုမြင်သည်။ (၀-ရက်) အားနည်းချက်များ။ Capsule8 သည် အသစ်ရှာဖွေတွေ့ရှိထားသော ခြိမ်းခြောက်မှုများနှင့် ဆော့ဖ်ဝဲလ် အားနည်းချက်များကို တုံ့ပြန်ရန်အတွက် အပ်ဒိတ်လုပ်ထားသော လုံခြုံရေးစည်းမျဉ်းများကို တိုက်ရိုက်ဒေါင်းလုဒ်လုပ်နိုင်သည်။

ကာဗီရင်

Website: www.cavirin.com
လိုင်စင်: စီးပွားရေး

Cavirin သည် ဘေးကင်းရေးစံနှုန်းများတွင် ပါ၀င်သည့် အေဂျင်စီအမျိုးမျိုးအတွက် ကုမ္ပဏီဘက်မှ ကန်ထရိုက်တာအဖြစ် ဆောင်ရွက်သည်။ ၎င်းသည် ပုံများကို စကင်န်ဖတ်ရုံသာမက CI/CD ပိုက်လိုင်းတွင်ပါ ပေါင်းစည်းနိုင်ပြီး ၎င်းတို့သည် ပိတ်ထားသော သိုလှောင်နေရာများသို့ မဝင်မီ စံမဟုတ်သော ပုံများကို ပိတ်ဆို့နိုင်သည်။

Cavirin ၏လုံခြုံရေးအစုံသည် သင်၏ဆိုက်ဘာလုံခြုံရေးကိုယ်ဟန်အနေအထားကို အကဲဖြတ်ရန် စက်သင်ယူမှုကိုအသုံးပြုကာ လုံခြုံရေးတိုးတက်ကောင်းမွန်ရန်နှင့် လုံခြုံရေးစံနှုန်းများနှင့်လိုက်လျောညီထွေဖြစ်စေရန် အကြံပြုချက်များကို ပေးဆောင်သည်။

Google Cloud လုံခြုံရေး ကွပ်ကဲမှုဌာန

Website: cloud.google.com/security-command-center
လိုင်စင်: စီးပွားရေး

Cloud Security Command Center သည် လုံခြုံရေးအဖွဲ့များအား ဒေတာစုဆောင်းရန်၊ ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ရန်နှင့် ကုမ္ပဏီကို မထိခိုက်စေမီ ၎င်းတို့ကို ဖယ်ရှားရန် ကူညီပေးသည်။

နာမည်အကြံပြုထားသည့်အတိုင်း၊ Google Cloud SCC သည် လုံခြုံရေးအစီရင်ခံစာများ၊ ပိုင်ဆိုင်မှုစာရင်းအင်းအင်ဂျင်များနှင့် ပြင်ပအဖွဲ့အစည်းလုံခြုံရေးစနစ်များကို အရင်းအမြစ်တစ်ခုတည်းမှ ပေါင်းစပ်စီမံနိုင်သော ပေါင်းစပ်ထိန်းချုပ်မှုအကန့်တစ်ခုဖြစ်သည်။

Google Cloud SCC မှ ပေးဆောင်နိုင်သော အပြန်အလှန်လုပ်ဆောင်နိုင်သော API သည် Sysdig Secure (cloud-native applications များအတွက် ကွန်တိန်နာလုံခြုံရေး) သို့မဟုတ် Falco (Open Source runtime လုံခြုံရေး) ကဲ့သို့သော အရင်းအမြစ်အမျိုးမျိုးမှလာသော လုံခြုံရေးဖြစ်ရပ်များကို ပေါင်းစပ်ရန် လွယ်ကူစေသည်။

အလွှာလိုက် ဝိပဿနာ (အရည်အသွေးများ)၊

Website: layeredinsight.com
လိုင်စင်: စီးပွားရေး

Layered Insight (ယခု Qualys Inc ၏ တစ်စိတ်တစ်ပိုင်း) သည် "embedded security" ၏ သဘောတရားပေါ်တွင် တည်ဆောက်ထားသည်။ စာရင်းအင်းခွဲခြမ်းစိတ်ဖြာမှုနှင့် CVE စစ်ဆေးမှုများကို အသုံးပြု၍ အားနည်းချက်များအတွက် မူရင်းပုံကို စကင်န်ဖတ်ပြီးနောက်၊ Layered Insight သည် ၎င်းကို အေးဂျင့်အဖြစ် binary ပါ၀င်သည့် တူရိယာပုံတစ်ခုဖြင့် အစားထိုးသည်။

ဤအေးဂျင့်တွင် ကွန်တိန်နာကွန်ရက်အသွားအလာ၊ I/O စီးဆင်းမှုနှင့် အပလီကေးရှင်းလုပ်ဆောင်ချက်များကို ပိုင်းခြားစိတ်ဖြာရန် runtime လုံခြုံရေးစစ်ဆေးမှုများ ပါရှိသည်။ ထို့အပြင်၊ ၎င်းသည် အခြေခံအဆောက်အအုံစီမံခန့်ခွဲသူ သို့မဟုတ် DevOps အဖွဲ့များမှ သတ်မှတ်ထားသည့် နောက်ထပ်လုံခြုံရေးစစ်ဆေးမှုများကို လုပ်ဆောင်နိုင်သည်။

NeuVector

Website: neuvector.com
လိုင်စင်: စီးပွားရေး

NeuVector သည် ကွန်တိန်နာလုံခြုံရေးကို စစ်ဆေးပြီး ကွန်ရက်လုပ်ဆောင်ချက်နှင့် အပလီကေးရှင်းအပြုအမူများကို ပိုင်းခြားစိတ်ဖြာခြင်းဖြင့် ကွန်တိန်နာတစ်ခုစီအတွက် တစ်ဦးချင်းလုံခြုံရေးပရိုဖိုင်ကို ဖန်တီးပေးပါသည်။ ၎င်းသည် ဒေသတွင်း firewall စည်းမျဉ်းများကို ပြောင်းလဲခြင်းဖြင့် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို သီးခြားခွဲထုတ်နိုင်ပြီး ခြိမ်းခြောက်မှုများကိုလည်း ပိတ်ဆို့နိုင်သည်။

Security Mesh ဟုလူသိများသော NeuVector ၏ကွန်ရက်ပေါင်းစပ်မှုသည် ဝန်ဆောင်မှု mesh ရှိ ကွန်ရက်ချိတ်ဆက်မှုအားလုံးအတွက် နက်ရှိုင်းသော ပက်ကတ်ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် အလွှာ 7 စစ်ထုတ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်စွမ်းရှိသည်။

StackRox

Website: www.stackrox.com
လိုင်စင်: စီးပွားရေး

StackRox ကွန်တိန်နာလုံခြုံရေးပလက်ဖောင်းသည် Kubernetes အပလီကေးရှင်းများ၏ဘဝသံသရာတစ်ခုလုံးကို အစုအဝေးတစ်ခုအတွင်း လွှမ်းခြုံရန် ကြိုးပမ်းသည်။ ဤစာရင်းရှိ အခြားသော စီးပွားဖြစ်ပလပ်ဖောင်းများကဲ့သို့ပင်၊ StackRox သည် သတိပြုမိသော ကွန်တိန်နာအပြုအမူအပေါ် အခြေခံ၍ runtime ပရိုဖိုင်ကို ထုတ်ပေးပြီး သွေဖည်မှုများအတွက် နှိုးဆော်သံကို အလိုအလျောက် ထုတ်ပေးပါသည်။

ထို့အပြင်၊ StackRox သည် ကွန်တိန်နာလိုက်နာမှုကို အကဲဖြတ်ရန် Kubernetes CIS နှင့် အခြားစည်းမျဉ်းစာအုပ်များကို အသုံးပြု၍ Kubernetes ဖွဲ့စည်းမှုပုံစံများကို ပိုင်းခြားစိတ်ဖြာပါသည်။

Sysdig လုံခြုံသည်။

Website: sysdig.com/products/secure
လိုင်စင်: စီးပွားရေး

Sysdig Secure သည် ကွန်တိန်နာတစ်ခုလုံးနှင့် Kubernetes ဘဝသံသရာတစ်လျှောက် အပလီကေးရှင်းများကို ကာကွယ်ပေးသည်။ သူ ပုံများကို scan ဖတ်ပါ။ ကွန်တိန်နာများ၊ ထောက်ပံ့ပေးသည်။ runtime ကာကွယ်မှု machine learning data အရ ခရင်မ်ကို လုပ်ဆောင်သည်။ အားနည်းချက်များကို ဖော်ထုတ်ရန်၊ ခြိမ်းခြောက်မှုများကို ပိတ်ဆို့ရန်၊ စောင့်ကြည့်ရန် ကျွမ်းကျင်မှု သတ်မှတ်ထားသော စံချိန်စံညွှန်းများနှင့် ကိုက်ညီခြင်း။ နှင့် microservices များတွင် လုပ်ဆောင်ချက်များကို စစ်ဆေးခြင်း။

Sysdig Secure သည် Jenkins ကဲ့သို့သော CI/CD ကိရိယာများနှင့် ပေါင်းစပ်ပြီး Docker မှတ်ပုံတင်ခြင်းမှ တင်ထားသော ပုံများကို ထုတ်လုပ်ရာတွင် အန္တရာယ်ရှိသော ပုံများ မပေါ်စေရန် တားဆီးပေးသည်။ ၎င်းသည် ပြည့်စုံသော runtime လုံခြုံရေးကိုလည်း ပံ့ပိုးပေးသည်၊၊

ML-based runtime profileing နှင့် ကွဲလွဲစွာ ထောက်လှမ်းခြင်း၊
စနစ်ဖြစ်ရပ်များ၊ K8s-စာရင်းစစ် API၊ ပူးတွဲကွန်မြူနတီပရောဂျက်များ (FIM - ဖိုင်သမာဓိစောင့်ကြပ်ကြည့်ရှုခြင်း၊ cryptojacking) နှင့် မူဘောင်များအပေါ် အခြေခံထားသော runtime မူဝါဒများ MITER ATT&CK;
တုံ့ပြန်မှုနှင့် အဖြစ်အပျက်များကို ဖြေရှင်းခြင်း။

Tenable Container Security

Website: www.tenable.com/products/tenable-io/container-security
လိုင်စင်: စီးပွားရေး

ကွန်တိန်နာများ မထွန်းကားမီတွင် Tenable သည် နာမည်ကြီး အားနည်းချက်ရှာဖွေခြင်းနှင့် လုံခြုံရေးစာရင်းစစ်ကိရိယာ Nessus နောက်ကွယ်မှ ကုမ္ပဏီအဖြစ် လူသိများခဲ့သည်။

Tenable Container Security သည် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အားနည်းချက် ဒေတာဘေ့စ်များ၊ အထူးပြု မဲလ်ဝဲ ထောက်လှမ်းမှု ပက်ကေ့ဂျ်များနှင့် လုံခြုံရေး ခြိမ်းခြောက်မှုများကို ဖြေရှင်းရန် အကြံပြုချက်များ နှင့် CI/CD ပိုက်လိုင်းကို ပေါင်းစပ်ရန် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အသုံးချသည်။

Twistlock (Palo Alto Networks)

Website: www.twistlock.com
လိုင်စင်: စီးပွားရေး

Twistlock သည် cloud ဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများကို အာရုံစိုက်သည့် ပလပ်ဖောင်းတစ်ခုအဖြစ် မြှင့်တင်သည်။ Twistlock သည် အမျိုးမျိုးသော cloud ပံ့ပိုးပေးသူများ (AWS၊ Azure၊ GCP)၊ ကွန်တိန်နာသံစုံတီးဝိုင်းများ (Kubernetes၊ Mesospehere၊ OpenShift၊ Docker)၊ serverless runtimes၊ mesh frameworks နှင့် CI/CD ကိရိယာများကို ပံ့ပိုးပေးပါသည်။

CI/CD ပိုက်လိုင်းပေါင်းစည်းခြင်း သို့မဟုတ် ပုံစကင်န်ဖတ်ခြင်းကဲ့သို့ သမားရိုးကျ လုပ်ငန်းအဆင့် လုံခြုံရေးနည်းပညာများအပြင်၊ Twistlock သည် ကွန်တိန်နာဆိုင်ရာ သီးခြားအပြုအမူပုံစံများနှင့် ကွန်ရက်စည်းမျဉ်းများကို ဖန်တီးရန်အတွက် စက်သင်ယူမှုကို အသုံးပြုသည်။

မကြာသေးမီက Twistlock ကို Evident.io နှင့် RedLock ပရောဂျက်များပိုင်ဆိုင်သည့် Palo Alto Networks မှ ဝယ်ယူခဲ့သည်။ ဤပလပ်ဖောင်းသုံးခုကို မည်သို့ပေါင်းစပ်မည်ကို အတိအကျမသိရသေးပါ။ PRISMA Palo Alto မှ

Kubernetes လုံခြုံရေးကိရိယာများ၏ အကောင်းဆုံး ကက်တလောက်ကို တည်ဆောက်ရန် ကူညီပါ။

ဤကက်တလောက်ကို တတ်နိုင်သမျှ ပြီးပြည့်စုံအောင် လုပ်ရန် ကျွန်ုပ်တို့ ကြိုးစားနေပြီး ၎င်းအတွက် ကျွန်ုပ်တို့သည် သင့်အကူအညီကို လိုအပ်ပါသည်။ ကြှနျုပျတို့ကိုဆကျသှယျရနျ (@sysdig) သင့်တွင် ဤစာရင်းတွင်ပါဝင်ထိုက်သော ကိရိယာတစ်ခုရှိလျှင် သို့မဟုတ် အမှား/ခေတ်မမီသော အချက်အလက်တစ်ခုကို သင်တွေ့နိုင်သည်။

သင်သည်လည်းကျွန်ုပ်တို့၏စာရင်းသွင်းနိုင်ပါသည်။ လစဉ်သတင်းလွှာ cloud-ဇာတိဂေဟစနစ်မှသတင်းများနှင့် Kubernetes လုံခြုံရေးကမ္ဘာမှ စိတ်ဝင်စားဖွယ်ပရောဂျက်များအကြောင်း ဇာတ်လမ်းများ။

PS ဘာသာပြန်မှ

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

source: www.habr.com

33+ Kubernetes လုံခြုံရေးကိရိယာများ