33+ Kubernetes လုံခြုံရေးကိရိယာများ

မှတ်ချက်။ ဘာသာပြန်− Kubernetes အခြေပြု အခြေခံအဆောက်အဦတွင် လုံခြုံရေးအကြောင်း သင်တွေးတောနေပါက၊ Sysdig မှ ဤကောင်းမွန်သော ခြုံငုံသုံးသပ်ချက်သည် လက်ရှိဖြေရှင်းချက်များကို အမြန်ကြည့်ရှုရန်အတွက် ကောင်းမွန်သော အစမှတ်တစ်ခုဖြစ်သည်။ ၎င်းတွင် နာမည်ကြီးစျေးကွက်ကစားသူများထံမှ ရှုပ်ထွေးသောစနစ်များနှင့် သီးခြားပြဿနာတစ်ခုကိုဖြေရှင်းပေးသည့် ကျိုးနွံသောအသုံးအဆောင်များစွာပါဝင်ပါသည်။ ထို့အပြင်၊ မှတ်ချက်များတွင်၊ ဤကိရိယာများကို အသုံးပြု၍ သင့်အတွေ့အကြုံအကြောင်း အမြဲကြားရပြီး အခြားပရောဂျက်များသို့ လင့်ခ်များကို ကြည့်ရှုရသည့်အတွက် ကျွန်ုပ်တို့ ပျော်ရွှင်ပါသည်။

Kubernetes လုံခြုံရေးဆော့ဖ်ဝဲလ် ထုတ်ကုန်များ... ၎င်းတို့ထဲမှ များစွာရှိပြီး တစ်ခုချင်းစီတွင် ၎င်းတို့၏ ပန်းတိုင်၊ နယ်ပယ်နှင့် လိုင်စင်များ ရှိသည်။

ထို့ကြောင့် ကျွန်ုပ်တို့သည် ဤစာရင်းကိုဖန်တီးပြီး မတူညီသောရောင်းချသူများထံမှ open source ပရောဂျက်များနှင့် စီးပွားဖြစ်ပလပ်ဖောင်းများပါ၀င်ရန် ဆုံးဖြတ်ခဲ့သည်။ သင်၏ သီးခြား Kubernetes လုံခြုံရေး လိုအပ်ချက်များအပေါ် အခြေခံ၍ စိတ်ပါဝင်စားဆုံးသူများကို ဖော်ထုတ်ပြီး သင့်အား လမ်းကြောင်းမှန်သို့ ညွှန်ပြရန် ကူညီပေးလိမ့်မည်ဟု ကျွန်ုပ်တို့ မျှော်လင့်ပါသည်။

အမျိုးအစား

စာရင်းကို ပိုမိုလွယ်ကူစွာ သွားလာနိုင်ရန်၊ ကိရိယာများကို ပင်မလုပ်ဆောင်ချက်နှင့် အက်ပ်လီကေးရှင်းဖြင့် စုစည်းထားသည်။ အောက်ပါ ကဏ္ဍများကို ရရှိခဲ့သည်-

• Kubernetes ရုပ်ပုံစကင်န်ဖတ်ခြင်းနှင့် တည်ငြိမ်မှုခွဲခြမ်းစိတ်ဖြာခြင်း၊
• Runtime လုံခြုံရေး၊
• Kubernetes ကွန်ရက်လုံခြုံရေး၊
• ရုပ်ပုံဖြန့်ဝေခြင်းနှင့် လျှို့ဝှက်ချက်များကို စီမံခန့်ခွဲခြင်း၊
• Kubernetes လုံခြုံရေးစစ်ဆေးမှု၊
• ဘက်စုံစီးပွားရေးထုတ်ကုန်များ။

လုပ်ငန်းစလိုက်ကြရအောင်။

Kubernetes ပုံများကို စကင်န်ဖတ်ခြင်း။

ကျောက်ဆူး

• Website: anchore.com
• လိုင်စင်- အခမဲ့ (Apache) နှင့် စီးပွားရေးဆိုင်ရာ ကမ်းလှမ်းချက်

Anchore သည် ကွန်တိန်နာပုံများကို ပိုင်းခြားစိတ်ဖြာပြီး အသုံးပြုသူသတ်မှတ်ထားသော မူဝါဒများအပေါ် အခြေခံ၍ လုံခြုံရေးစစ်ဆေးမှုများကို ခွင့်ပြုသည်။

CVE ဒေတာဘေ့စ်မှ လူသိများသော အားနည်းချက်များအတွက် ကွန်တိန်နာပုံများကို ပုံမှန်စကင်န်ဖတ်ခြင်းအပြင်၊ Anchore သည် ၎င်း၏စကင်ဖတ်စစ်ဆေးခြင်းမူဝါဒ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် နောက်ထပ်စစ်ဆေးမှုများစွာကို လုပ်ဆောင်သည်- Dockerfile၊ အထောက်အထား ပေါက်ကြားမှုများ၊ အသုံးပြုထားသော ပရိုဂရမ်ဘာသာစကားများ၏ ပက်ကေ့ဂျ်များ (npm၊ maven စသည်ဖြင့်) ကို စစ်ဆေးပေးသည် .) ဆော့ဖ်ဝဲလိုင်စင်များနှင့် အခြားအရာများ။

Clair

• Website: coreos.com/clair (ယခု Red Hat ၏ အုပ်ချုပ်မှုအောက်တွင်)
• လိုင်စင်- အခမဲ့ (Apache)

Clair သည် ရုပ်ပုံစကင်န်ဖတ်ခြင်းအတွက် ပထမဆုံးသော Open Source ပရောဂျက်များထဲမှ တစ်ခုဖြစ်သည်။ Quay image registry နောက်ကွယ်ရှိ လုံခြုံရေးစကင်နာဟု လူသိများသည်။ (CoreOS မှလည်း - အနီးစပ်ဆုံး ဘာသာပြန်). Clair умеет собирать информацию о CVE из большого числа источников, включая списки специфических для Linux-дистрибутивов уязвимостей, которые ведут команды по безопасности Debian၊ အနီရောင်ဦးထုပ် သို့မဟုတ် Ubuntu.

Anchore နှင့်မတူဘဲ Clair သည် အားနည်းချက်များကို ရှာဖွေရန်နှင့် CVEs များနှင့် ကိုက်ညီသောဒေတာများကို အဓိကအာရုံစိုက်သည်။ သို့သော်၊ ထုတ်ကုန်သည် သုံးစွဲသူများအား plug-in drivers များကို အသုံးပြု၍ လုပ်ငန်းဆောင်တာများချဲ့ထွင်ရန် အခွင့်အရေးအချို့ကို ပေးပါသည်။

ဒဂ်ဒါ

• Website: github.com/eliasgranderubio/dagda
• လိုင်စင်- အခမဲ့ (Apache)

Dagda သည် လူသိများသော အားနည်းချက်များ၊ ထရိုဂျန်များ၊ ဗိုင်းရပ်စ်များ၊ malware နှင့် အခြားခြိမ်းခြောက်မှုများအတွက် ကွန်တိန်နာပုံများကို တည်ငြိမ်စွာ ခွဲခြမ်းစိတ်ဖြာပေးပါသည်။

ထင်ရှားသောအင်္ဂါရပ်နှစ်ခုသည် Dagda ကို အခြားအလားတူကိရိယာများနှင့် ခွဲခြားထားသည်။

• ဒါဟာဿုံနှင့်အတူပေါင်းစပ် ClamAVကွန်တိန်နာပုံများကိုစကင်န်ဖတ်ရန်ကိရိယာတစ်ခုအနေဖြင့်သာမက antivirus တစ်ခုအနေဖြင့်လည်းလုပ်ဆောင်သည်။
• Docker daemon မှ အချိန်နှင့်တပြေးညီ ဖြစ်ရပ်များကို လက်ခံရရှိပြီး Falco နှင့် ပေါင်းစပ်ခြင်းဖြင့်လည်း runtime အကာအကွယ်ကို ပေးပါသည်။ (အောက်တွင်ကြည့်ပါ) ကွန်တိန်နာအလုပ်လုပ်နေစဉ် လုံခြုံရေးဖြစ်ရပ်များကို စုဆောင်းရန်။

KubeXray

• Website: github.com/jfrog/kubexray
• လိုင်စင်- အခမဲ့ (Apache)၊ သို့သော် JFrog Xray (လုပ်ငန်းသုံး ထုတ်ကုန်) မှ ဒေတာ လိုအပ်သည်

KubeXray သည် Kubernetes API ဆာဗာမှ အဖြစ်အပျက်များကို နားထောင်ပြီး လက်ရှိမူဝါဒနှင့် ကိုက်ညီသော pods များကိုသာ စတင်အသုံးပြုနိုင်ကြောင်း သေချာစေရန် JFrog Xray မှ မက်တာဒေတာကို အသုံးပြုပါသည်။

KubeXray သည် အသုံးပြုမှုတွင် အသစ် သို့မဟုတ် အပ်ဒိတ်လုပ်ထားသော ကွန်တိန်နာများကို စစ်ဆေးရုံသာမက ( Kubernetes ရှိ ဝင်ခွင့်ထိန်းချုပ်ကိရိယာနှင့် ဆင်တူသည်) ကိုလည်း လုံခြုံရေးမူဝါဒအသစ်များနှင့် လိုက်လျောညီထွေရှိစေရန် လုပ်ဆောင်နေသည့်ကွန်တိန်နာများကို စစ်ဆေးခြင်း၊ အားနည်းချက်ရှိသော ရုပ်ပုံများကို ကိုးကားသည့် အရင်းအမြစ်များကို ဖယ်ရှားခြင်း။

သရဲ

• Website: snyk.io
• လိုင်စင်- အခမဲ့ (Apache) နှင့် လုပ်ငန်းသုံးဗားရှင်းများ

Snyk သည် ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်ကို အထူးပစ်မှတ်ထားပြီး developer များအတွက် "မရှိမဖြစ်လိုအပ်သောဖြေရှင်းချက်" အဖြစ် မြှင့်တင်ထားသည့်အတွက် ပုံမှန်မဟုတ်သော အားနည်းချက်စကင်နာတစ်ခုဖြစ်သည်။

Snyk သည် ကုဒ်သိုလှောင်ရာနေရာများသို့ တိုက်ရိုက်ချိတ်ဆက်သည်၊ ပရောဂျက်မန်နီးဖက်စ်ကို ခွဲခြမ်းစိပ်ဖြာပြီး တိုက်ရိုက်နှင့် သွယ်ဝိုက်သောမှီခိုမှုများနှင့်အတူ တင်သွင်းလာသောကုဒ်ကို ပိုင်းခြားစိတ်ဖြာပါသည်။ Snyk သည် လူကြိုက်များသော ပရိုဂရမ်းမင်းဘာသာစကားများစွာကို ပံ့ပိုးပေးပြီး လျှို့ဝှက်လိုင်စင်အန္တရာယ်များကို ဖော်ထုတ်နိုင်ပါသည်။

ဉာဏ်စမ်း

• Website: github.com/knqyf263/trivy
• လိုင်စင်- အခမဲ့ (AGPL)

Trivy သည် CI/CD ပိုက်လိုင်းသို့ အလွယ်တကူ ပေါင်းစပ်နိုင်သော ကွန်တိန်နာများအတွက် ရိုးရှင်းသော်လည်း အားကောင်းသော အားနည်းချက်ကို စကင်ဖတ်စစ်ဆေးခြင်း ဖြစ်သည်။ ၎င်း၏ ထင်ရှားသောအင်္ဂါရပ်မှာ တပ်ဆင်ခြင်းနှင့် လည်ပတ်ရလွယ်ကူခြင်းဖြစ်သည်- အပလီကေးရှင်းတွင် binary တစ်ခုတည်းပါ၀င်ပြီး ဒေတာဘေ့စ်တစ်ခု သို့မဟုတ် အပိုစာကြည့်တိုက်များကို တပ်ဆင်ရန်မလိုအပ်ပါ။

Trivy ၏ရိုးရှင်းမှု၏ အားနည်းချက်မှာ အခြား Kubernetes လုံခြုံရေးကိရိယာများကို အသုံးပြုနိုင်ရန် ရလဒ်များကို JSON ဖော်မတ်တွင် မည်သို့ခွဲခြမ်းစိတ်ဖြာပြီး ပေးပို့ရမည်ကို အဖြေရှာရမည်ဖြစ်ပါသည်။

Kubernetes ရှိ Runtime လုံခြုံရေး

Falco

• Website: falco.org
• လိုင်စင်- အခမဲ့ (Apache)

Falco သည် cloud runtime ပတ်ဝန်းကျင်များကို လုံခြုံစေရန်အတွက် ကိရိယာအစုံဖြစ်သည်။ ပရောဂျက်မိသားစု၏ အစိတ်အပိုင်း CNCF.

Используя инструментарий Sysdig для работы на уровне ядра Linux и профилирование системных вызовов, Falco позволяет глубоко погрузиться в поведение системы. Его механизм runtime-правил способен обнаруживать подозрительную активность в приложениях, контейнерах, базовом хосте и оркестраторе Kubernetes.

Falco သည် ဤရည်ရွယ်ချက်များအတွက် Kubernetes node များပေါ်တွင် အထူးအေးဂျင့်များကို အသုံးပြုခြင်းဖြင့် runtime နှင့် ခြိမ်းခြောက်မှုရှာဖွေခြင်းတွင် ပြီးပြည့်စုံသောပွင့်လင်းမြင်သာမှုကိုပေးပါသည်။ ရလဒ်အနေဖြင့်၊ ၎င်းတို့ထဲသို့ ပြင်ပကုဒ်ကိုထည့်သွင်းခြင်း သို့မဟုတ် ဘေးတွဲကွန်တိန်နာများထည့်ခြင်းဖြင့် ကွန်တိန်နာများကို ပြုပြင်ရန်မလိုအပ်ပါ။

Фреймворки безопасности Linux для runtime

Эти родные для ядра Linux фреймворки не являются «инструментами безопасности Kubernetes» в привычном смысле, однако заслуживают упоминания, поскольку выступают важным элементом в контексте безопасности в runtime, что включается в Kubernetes Pod Security Policy (PSP).

AppArmor ကွန်တိန်နာအတွင်း လည်ပတ်နေသော လုပ်ငန်းစဉ်များ၊ ဖိုင်စနစ်အခွင့်ထူးများကို သတ်မှတ်ခြင်း၊ ကွန်ရက်ဝင်ရောက်ခွင့်စည်းမျဉ်းများ၊ စာကြည့်တိုက်များ ချိတ်ဆက်ခြင်း စသည်ဖြင့် လုံခြုံရေးပရိုဖိုင်ကို ပူးတွဲပါသည်။ ဤသည်မှာ Mandatory Access Control (MAC) ကို အခြေခံထားသော စနစ်တစ်ခုဖြစ်သည်။ တစ်နည်းဆိုရသော် တားမြစ်ထားသော လုပ်ရပ်များကို မပြုလုပ်ရန် တားမြစ်ထားသည်။

လုံခြုံရေး မြှင့်တင်ထားသည်။ Linux (SELinux) — это модуль расширенной безопасности в ядре Linux, в некоторых аспектах похожий на AppArmor и часто сравниваемый с ним. SELinux превосходит AppArmor по мощности, гибкости и тонкости настроек. Его недостатки — длительное освоение и повышенная сложность.

Seccomp နှင့် seccomp-bpf သည် သင့်အား system calls များကို စစ်ထုတ်ရန်၊ base OS အတွက် အန္တရာယ်ဖြစ်နိုင်ချေရှိသော လုပ်ဆောင်ချက်များကို ပိတ်ဆို့နိုင်ပြီး သုံးစွဲသူအပလီကေးရှင်းများ၏ ပုံမှန်လည်ပတ်မှုအတွက် မလိုအပ်ပါ။ Seccomp သည် အချို့သောနည်းလမ်းများတွင် Falco နှင့်ဆင်တူသော်လည်း ကွန်တိန်နာ၏အသေးစိတ်အချက်အလက်များကိုမသိရှိပါ။

Sysdig ပွင့်လင်းအရင်းအမြစ်

• Website: www.sysdig.com/opensource
• လိုင်စင်- အခမဲ့ (Apache)

Sysdig — полноценный инструмент для анализа, диагностики и отладки Linux-систем (также работает на Windows и macOS, но с ограниченными функциями). Его можно использовать для сбора детальной информации, проверки и криминальной экспертизы (မှုခင်းဆေးပညာ) အခြေခံစနစ်နှင့် ၎င်းပေါ်တွင် လုပ်ဆောင်နေသည့် မည်သည့်ကွန်တိန်နာများ။

Sysdig သည် ကွန်တိန်နာ runtimes နှင့် Kubernetes မက်တာဒေတာတို့ကို ထောက်ပံ့ပေးပြီး ၎င်းစုဆောင်းရရှိသည့် စနစ်အချက်အလက်အားလုံးတွင် ထပ်လောင်းအတိုင်းအတာများနှင့် အညွှန်းများထည့်ထားသည်။ Sysdig ကို အသုံးပြု၍ Kubernetes အစုအဝေးကို ခွဲခြမ်းစိတ်ဖြာရန် နည်းလမ်းများစွာ ရှိသည်- သင်သည် တစ်ဆင့်ချင်း အချိန်နှင့်တစ်ပြေးညီ ဖမ်းယူနိုင်သည် kubectl ဖမ်းယူ သို့မဟုတ် ပလပ်အင်ကို အသုံးပြု၍ ncurses-based အပြန်အလှန်အကျိုးသက်ရောက်မှုရှိသော အင်တာဖေ့စ်ကို ဖွင့်ပါ။ kubectl တူး.

Kubernetes ကွန်ရက် လုံခြုံရေး

Aporeto

• Website: www.aporeto.com
• လိုင်စင်: စီးပွားရေး

Aporeto သည် "ကွန်ရက်နှင့် အခြေခံအဆောက်အအုံမှ ခွဲထုတ်ထားသော လုံခြုံရေး" ကို ပေးသည်။ ဆိုလိုသည်မှာ Kubernetes ဝန်ဆောင်မှုများသည် ဒေသဆိုင်ရာ ID (ဆိုလိုသည်မှာ Kubernetes ရှိ ServiceAccount) ကို လက်ခံရရှိရုံသာမက OpenShift အစုအဝေးတစ်ခုတွင်၊ ဥပမာ၊ OpenShift အစုအဝေးတစ်ခုတွင် အခြားဝန်ဆောင်မှုတစ်ခုခုနှင့် လုံခြုံစွာ အပြန်အလှန်ဆက်သွယ်နိုင်ရန် အသုံးပြုနိုင်သည့် universal ID/ fingerprint ကို ဆိုလိုပါသည်။

Aporeto သည် Kubernetes/containers များအတွက်သာမက hosts၊ cloud လုပ်ဆောင်မှုများနှင့် အသုံးပြုသူများအတွက်လည်း ထူးခြားသော ID တစ်ခုကို ဖန်တီးပေးနိုင်သည်။ ဤသတ်မှတ်ချက်များနှင့် စီမံခန့်ခွဲသူမှ သတ်မှတ်ထားသော ကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများပေါ်မူတည်၍ ဆက်သွယ်ရေးများကို ခွင့်ပြုမည် သို့မဟုတ် ပိတ်ဆို့သွားမည်ဖြစ်သည်။

Calico

• Website: www.projectcalico.org
• လိုင်စင်- အခမဲ့ (Apache)

Calico သည် ပုံမှန်အားဖြင့် container orchestrator တပ်ဆင်မှုအတွင်း အသုံးချပြီး containers အပြန်အလှန်ချိတ်ဆက်နိုင်သော virtual network တစ်ခုကို ဖန်တီးနိုင်စေပါသည်။ ဤအခြေခံကွန်ရက်လုပ်ဆောင်နိုင်စွမ်းအပြင် Calico ပရောဂျက်သည် Kubernetes ကွန်ရက်မူဝါဒများနှင့် ၎င်း၏ကိုယ်ပိုင်ကွန်ရက်လုံခြုံရေးပရိုဖိုင်များနှင့်အတူ လုပ်ဆောင်နိုင်ပြီး၊ အဆုံးမှတ် ACLs (ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုစာရင်းများ) နှင့် Ingress နှင့် Egress အသွားအလာများအတွက် မှတ်ချက်-အခြေခံကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများကို ပံ့ပိုးပေးပါသည်။

cilium

• Website: www.cilium.io
• လိုင်စင်- အခမဲ့ (Apache)

Cilium выступает в качестве брандмауэра для контейнеров и предоставляет функции по обеспечению сетевой безопасности, изначально адаптированные к Kubernetes и рабочим нагрузкам микросервисов. Cilium использует новую технологию ядра Linux под названием BPF (Berkeley Packet Filter) для фильтрации, мониторинга, перенаправления и корректировки данных.

Cilium သည် Docker သို့မဟုတ် Kubernetes အညွှန်းများနှင့် မက်တာဒေတာများကို အသုံးပြု၍ ကွန်တိန်နာ ID များကို အခြေခံ၍ ကွန်ရက်ဝင်ရောက်ခွင့်မူဝါဒများကို အသုံးချနိုင်စွမ်းရှိသည်။ Cilium သည် HTTP သို့မဟုတ် gRPC ကဲ့သို့သော Layer 7 ပရိုတိုကောများကို နားလည်ပြီး စစ်ထုတ်ကာ၊ ဥပမာအားဖြင့် Kubernetes နှစ်ခုကြားတွင် ခွင့်ပြုပေးမည့် REST ခေါ်ဆိုမှုအစုအဝေးကို သတ်မှတ်နိုင်စေမည်ဖြစ်သည်။

Istio

• Website: istio.io
• လိုင်စင်- အခမဲ့ (Apache)

Istio သည် ပလပ်ဖောင်း-အမှီအခိုကင်းသော ထိန်းချုပ်မှုလေယာဉ်ကိုအသုံးပြုကာ ဝန်ဆောင်မှုအသွားအလာအားလုံးကို ရွေ့လျားပြောင်းလဲနိုင်သော Envoy proxies များမှတစ်ဆင့် လမ်းကြောင်းပေးခြင်းဖြင့် ဝန်ဆောင်မှု mesh ပါရာဒိုင်းကို အကောင်အထည်ဖော်ရန်အတွက် ကျယ်ပြန့်စွာလူသိများသည်။ Istio သည် ကွန်ရက်လုံခြုံရေးဗျူဟာအမျိုးမျိုးကို အကောင်အထည်ဖော်ရန်အတွက် မိုက်ခရိုဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများအားလုံး၏ ဤအဆင့်မြင့်မြင်ကွင်းကို အခွင့်ကောင်းယူသည်။

Istio ၏ ကွန်ရက်လုံခြုံရေးစွမ်းရည်များတွင် microservices များအကြား ဆက်သွယ်ရေးကို HTTPS သို့ အလိုအလျောက် အဆင့်မြှင့်ရန် ပွင့်လင်းမြင်သာသော TLS ကုဒ်ဝှက်ခြင်း နှင့် အစုအဖွဲ့အတွင်းရှိ မတူညီသော အလုပ်များအကြား ဆက်သွယ်မှုကို ခွင့်ပြုရန်/ငြင်းဆိုရန် တစ်ဦးတည်းပိုင် RBAC အထောက်အထားနှင့် ခွင့်ပြုချက်စနစ်တို့ ပါဝင်သည်။

မှတ်ချက်။ ဘာသာပြန်: Istio ၏ လုံခြုံရေးကို အဓိကထား လုပ်ဆောင်နိုင်စွမ်းများအကြောင်း ပိုမိုလေ့လာရန်၊ ဖတ်ရှုပါ။ ဤဆောင်းပါးတွင်.

Tigera

• Website: www.tigera.io
• လိုင်စင်: စီးပွားရေး

"Kubernetes Firewall" ဟုခေါ်သော ဤဖြေရှင်းချက်သည် ကွန်ရက်လုံခြုံရေးအတွက် လုံးဝယုံကြည်စိတ်ချရသော ချဉ်းကပ်မှုကို အလေးပေးပါသည်။

အခြားသော မူရင်း Kubernetes ကွန်ရက်ဖြေရှင်းချက်များနှင့် အလားတူ၊ Tigera သည် အစုအဝေးရှိ ဝန်ဆောင်မှုများနှင့် အရာဝတ္ထုအမျိုးမျိုးကို ခွဲခြားသတ်မှတ်ရန် မက်တာဒေတာကို အားကိုးပြီး runtime ပြဿနာကို သိရှိနိုင်ခြင်း၊ စဉ်ဆက်မပြတ်လိုက်နာမှုစစ်ဆေးခြင်းနှင့် ကွန်ရက်များစွာကို cloud သို့မဟုတ် hybrid monolithic-containerized အခြေခံအဆောက်အအုံများအတွက် ကွန်ရက်မြင်နိုင်စွမ်းကို ပံ့ပိုးပေးပါသည်။

Trireme

• Website: www.aporeto.com/opensource
• လိုင်စင်- အခမဲ့ (Apache)

Trireme-Kubernetes — это простая и понятная реализация спецификации Kubernetes Network Policies. Самой примечательной особенностью является то, что — в отличие от похожих продуктов для сетевой безопасности Kubernetes — оно не требует центральной control plane для координации сетки (mesh). Это делает решение тривиально масштабируемым. В Trireme это достигается путем установки агента на каждый узел, который напрямую подключается к TCP/IP-стеку хоста.

ရုပ်ပုံပြန့်ပွားမှုနှင့် လျှို့ဝှက်ချက်များ စီမံခန့်ခွဲမှု

Grafeas

• Website: grafeas.io
• လိုင်စင်- အခမဲ့ (Apache)

Grafeas သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်ကို စစ်ဆေးခြင်းနှင့် စီမံခန့်ခွဲခြင်းအတွက် အဖွင့်အရင်းအမြစ် API တစ်ခုဖြစ်သည်။ အခြေခံအဆင့်တွင်၊ Grafeas သည် မက်တာဒေတာစုဆောင်းခြင်းနှင့် စာရင်းစစ်တွေ့ရှိချက်များကို စုဆောင်းရန်အတွက် ကိရိယာတစ်ခုဖြစ်သည်။ အဖွဲ့အစည်းတစ်ခုအတွင်း လုံခြုံရေး အကောင်းဆုံး အလေ့အကျင့်များနှင့်အညီ လိုက်နာမှုကို ခြေရာခံရန် ၎င်းကို အသုံးပြုနိုင်သည်။

ဤဗဟိုချုပ်ကိုင်မှုရှိသော အမှန်တရားအရင်းအမြစ်သည် အောက်ပါမေးခွန်းများကို ဖြေရန်ကူညီပေးသည်-

• ကွန်တိန်နာတစ်ခုအတွက် ဘယ်သူက စုဆောင်းပြီး လက်မှတ်ထိုးတာလဲ။
• လုံခြုံရေးမူဝါဒအရ လိုအပ်သော လုံခြုံရေးစကင်န်များနှင့် စစ်ဆေးမှုများအားလုံးကို ကျော်ဖြတ်ပြီးပြီလား။ ဘယ်တော့လဲ? ရလဒ်တွေက ဘာတွေလဲ။
• ထုတ်လုပ်ရေးတွင် မည်သူက အသုံးချခဲ့သနည်း။ ဖြန့်ကျက်စဉ်အတွင်း မည်သည့် သီးခြားဘောင်များကို အသုံးပြုခဲ့သနည်း။

တိုတိုအတွင်း

• Website: in-toto.github.io
• လိုင်စင်- အခမဲ့ (Apache)

In-toto သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်တစ်ခုလုံး၏ ခိုင်မာမှု၊ စစ်မှန်ကြောင်းနှင့် စစ်ဆေးခြင်းတို့ကို ပံ့ပိုးပေးရန် ဒီဇိုင်းထုတ်ထားသော မူဘောင်တစ်ခုဖြစ်သည်။ In-toto ကို အခြေခံအဆောက်အအုံတစ်ခုတွင် ဖြန့်ကျက်အသုံးပြုသည့်အခါ၊ ပိုက်လိုင်းရှိ အဆင့်အမျိုးမျိုးသောအဆင့်များ (သိုလှောင်မှု၊ CI/CD ကိရိယာများ၊ QA ကိရိယာများ၊ ပစ္စည်းများစုဆောင်းသူများ၊ စသည်) နှင့် အသုံးပြုသူများ (တာဝန်ရှိပုဂ္ဂိုလ်များ) တို့ကို ဖော်ပြသည့် အစီအစဉ်ကို ဦးစွာသတ်မှတ်သတ်မှတ်ထားသည်။ သူတို့ကို အစပြုပါ။

In-toto သည် အစီအစဉ်၏ အကောင်အထည်ဖော်မှုကို စောင့်ကြည့်စစ်ဆေးပြီး ကွင်းဆက်အတွင်းရှိ အလုပ်တစ်ခုစီကို အခွင့်အာဏာရှိပုဂ္ဂိုလ်များသာ မှန်ကန်စွာလုပ်ဆောင်ကြောင်းနှင့် လှုပ်ရှားမှုအတွင်း ထုတ်ကုန်နှင့်အတူ ခွင့်ပြုချက်မရှိဘဲ ခြယ်လှယ်မှုများ လုပ်ဆောင်ခဲ့ခြင်းမရှိကြောင်း အတည်ပြုသည်။

Portieris

• Website: github.com/IBM/portieris
• လိုင်စင်- အခမဲ့ (Apache)

Portieris သည် Kubernetes အတွက် ဝင်ခွင့်ထိန်းချုပ်သူဖြစ်သည်။ အကြောင်းအရာယုံကြည်မှုစစ်ဆေးမှုများကို တွန်းအားပေးရန် အသုံးပြုသည်။ Portieris သည် ဆာဗာကို အသုံးပြုသည်။ စာချုပ်စာတမ်းသက်သေခံသူ (အဆုံးမှာတော့ သူ့အကြောင်းရေးတယ်။ ဤဆောင်ပါး - အနီးစပ်ဆုံး ဘာသာပြန်) ယုံကြည်စိတ်ချရသော နှင့် လက်မှတ်ရေးထိုးထားသော ရှေးဟောင်းပစ္စည်းများ (ဆိုလိုသည်မှာ အတည်ပြုထားသော ကွန်တိန်နာပုံများ) ကို အတည်ပြုရန် အမှန်တရား၏အရင်းအမြစ်အဖြစ်။

အလုပ်ဝန်တစ်ခုကို Kubernetes တွင် ဖန်တီး သို့မဟုတ် ပြင်ဆင်သည့်အခါ၊ Portieris သည် တောင်းဆိုထားသော ကွန်တိန်နာပုံများအတွက် လက်မှတ်ရေးထိုးမှုအချက်အလက်နှင့် အကြောင်းအရာယုံကြည်မှုမူဝါဒကို ဒေါင်းလုဒ်လုပ်ကာ လိုအပ်ပါက အဆိုပါပုံများ၏ လက်မှတ်ရေးထိုးထားသောဗားရှင်းများကို လုပ်ဆောင်ရန် JSON API အရာဝတ္တုတွင် အပြောင်းအလဲများပြုလုပ်သည်။

ပင်လယ်ကမ်းစောင်း

• Website: www.vaultproject.io
• လိုင်စင်- အခမဲ့ (MPL)

Vault သည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို သိမ်းဆည်းရန်အတွက် လုံခြုံသောဖြေရှင်းချက်တစ်ခုဖြစ်သည်- စကားဝှက်များ၊ OAuth တိုကင်များ၊ PKI လက်မှတ်များ၊ ဝင်ရောက်အသုံးပြုခွင့်အကောင့်များ၊ Kubernetes လျှို့ဝှက်ချက်များ၊ စသည်ဖြင့်။ Vault သည် တဒင်္ဂလုံခြုံရေးတိုကင်များ ငှားရမ်းခြင်း သို့မဟုတ် သော့လှည့်ခြင်းများ စီစဉ်ပေးခြင်းကဲ့သို့သော အဆင့်မြင့်အင်္ဂါရပ်များစွာကို ပံ့ပိုးပေးပါသည်။

Helm ဇယားကို အသုံးပြု၍ ကောင်စစ်ဝန်နှင့်အတူ Kubernetes အစုအဝေးတွင် ကျောထောက်နောက်ခံသိုလှောင်မှုအဖြစ် Vault ကို ဖြန့်ကျက်မှုအသစ်အဖြစ် အသုံးချနိုင်သည်။ ၎င်းသည် ServiceAccount တိုကင်များကဲ့သို့သော မူရင်း Kubernetes အရင်းအမြစ်များကို ပံ့ပိုးပေးပြီး Kubernetes လျှို့ဝှက်ချက်များကို မူရင်းစတိုးအဖြစ်ပင် လုပ်ဆောင်နိုင်သည်။

မှတ်ချက်။ ဘာသာပြန်- စကားမစပ်၊ Vault ကို တီထွင်သည့် HashiCorp သည် ယမန်နေ့က Kubernetes တွင် Vault အသုံးပြုခြင်းအတွက် တိုးတက်မှုအချို့ကို ကြေညာခဲ့ပြီး အထူးသဖြင့် ၎င်းတို့သည် Helm ဇယားနှင့် သက်ဆိုင်ပါသည်။ တွင်ပိုမိုဖတ်ရှုပါ။ developer ဘလော့ဂ်.

Kubernetes လုံခြုံရေးစစ်ဆေးမှု

Kube-ခုံတန်းလျား

• Website: github.com/aquasecurity/kube-bench
• လိုင်စင်- အခမဲ့ (Apache)

Kube-bench သည် စာရင်းတစ်ခုမှ စမ်းသပ်မှုများ လုပ်ဆောင်ခြင်းဖြင့် Kubernetes ကို လုံခြုံစွာ အသုံးပြုထားခြင်း ရှိမရှိ စစ်ဆေးပေးသည့် Go အက်ပ်တစ်ခု ဖြစ်သည်။ CIS Kubernetes စံသတ်မှတ်ချက်.

Kube-bench သည် အစုအစည်း အစိတ်အပိုင်းများ (etcd၊ API၊ controller manager စသည်)၊ မေးခွန်းထုတ်စရာ ဖိုင်ဝင်ရောက်ခွင့် အခွင့်အရေး၊ အကာအကွယ်မဲ့ အကောင့်များ သို့မဟုတ် ဖွင့်ထားသော ဆိပ်ကမ်းများ၊ အရင်းအမြစ်ခွဲတမ်းများ၊ DoS တိုက်ခိုက်မှုများကို ကာကွယ်ရန် API ခေါ်ဆိုမှု အရေအတွက်ကို ကန့်သတ်ရန်အတွက် ဆက်တင်များကို ရှာဖွေသည် စသည်တို့

Kube-မုဆိုး

• Website: github.com/aquasecurity/kube-hunter
• လိုင်စင်- အခမဲ့ (Apache)

Kube-hunter သည် Kubernetes အစုအဝေးများရှိ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များ (ဥပမာ အဝေးကုဒ်လုပ်ဆောင်မှု သို့မဟုတ် ဒေတာထုတ်ဖော်မှု) ကို ရှာဖွေသည်။ Kube-hunter ကို အဝေးထိန်းစကင်နာအဖြစ် လုပ်ဆောင်နိုင်သည် - ယင်းအခြေအနေတွင် ပြင်ပအဖွဲ့အစည်း တိုက်ခိုက်သူ၏ ရှုထောင့်မှ အစုအဝေးကို အကဲဖြတ်မည် - သို့မဟုတ် အစုအဝေးအတွင်းရှိ pod တစ်ခုဖြစ်သည်။

Kube-hunter ၏ထူးခြားသောအင်္ဂါရပ်မှာ ၎င်း၏ "တက်ကြွသောအမဲလိုက်ခြင်း" မုဒ်ဖြစ်ပြီး ၎င်းသည် ပြဿနာများကို သတင်းပို့ရုံသာမက ၎င်း၏လုပ်ဆောင်ချက်ကို အန္တရာယ်ဖြစ်စေနိုင်သည့် ပစ်မှတ်အစုအဝေးတွင် တွေ့ရှိထားသော အားနည်းချက်များကို အခွင့်ကောင်းယူရန်လည်း ကြိုးစားသည်။ ဒါကြောင့် သတိနဲ့သုံးပါ။

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• လိုင်စင်- အခမဲ့ (MIT)

Kubeaudit သည် လုံခြုံရေးပြဿနာအမျိုးမျိုးအတွက် Kubernetes ဖွဲ့စည်းမှုပုံစံကို စစ်ဆေးရန်အတွက် Shopify တွင် မူလတီထွင်ထားသည့် ကွန်ဆိုးလ်တူးလ်တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ကန့်သတ်မထားဘဲ လုပ်ဆောင်နေသည့် ကွန်တိန်နာများကို ဖော်ထုတ်ရန်၊ အမြစ်အဖြစ် လုပ်ဆောင်နေခြင်း၊ အခွင့်ထူးများကို အလွဲသုံးစားလုပ်ခြင်း သို့မဟုတ် မူရင်း ServiceAccount ကို အသုံးပြုခြင်းတို့ကို ခွဲခြားသတ်မှတ်ရန် ကူညီပေးသည်။

Kubeaudit တွင် အခြားသော စိတ်ဝင်စားဖွယ် အင်္ဂါရပ်များ ရှိသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ဒေသန္တရ YAML ဖိုင်များကို ပိုင်းခြားစိတ်ဖြာနိုင်ပြီး လုံခြုံရေးပြဿနာများဆီသို့ ဦးတည်သွားစေနိုင်သည့် ဖွဲ့စည်းမှုဆိုင်ရာ ချို့ယွင်းချက်များကို ရှာဖွေဖော်ထုတ်နိုင်ပြီး ၎င်းတို့ကို အလိုအလျောက် ပြုပြင်ပေးနိုင်သည်။

Kubesec

• Website: kubesec.io
• လိုင်စင်- အခမဲ့ (Apache)

Kubernetes သည် လုံခြုံရေးကို ထိခိုက်စေနိုင်သည့် အားနည်းသော ကန့်သတ်ဘောင်များကို ရှာဖွေနေသည့် Kubernetes အရင်းအမြစ်များကို ဖော်ပြသည့် YAML ဖိုင်များကို တိုက်ရိုက်စကင်န်ဖတ်ခြင်းအတွက် အထူးကိရိယာတစ်ခုဖြစ်သည်။

ဥပမာအားဖြင့်၊ ၎င်းသည် pod တစ်ခုအား ပေးအပ်ထားသော အလွန်အကျွံ အခွင့်ထူးများနှင့် ခွင့်ပြုချက်များကို ရှာဖွေနိုင်သည်၊ မူရင်းအသုံးပြုသူအဖြစ် root ပါသည့် ကွန်တိန်နာကို လုပ်ဆောင်ခြင်း၊ လက်ခံသူ၏ ကွန်ရက် namespace သို့ ချိတ်ဆက်ခြင်း သို့မဟုတ် အန္တရာယ်ရှိသော mount များကဲ့သို့သော /proc host သို့မဟုတ် Docker socket။ Kubesec ၏နောက်ထပ်စိတ်ဝင်စားစရာကောင်းသည့်အင်္ဂါရပ်မှာ YAML ကိုတင်ပြီးချက်ချင်းခွဲခြမ်းစိတ်ဖြာနိုင်သည့်အွန်လိုင်းတွင်ရရှိနိုင်သည့်သရုပ်ပြဝန်ဆောင်မှုဖြစ်သည်။

မူဝါဒအေးဂျင့်ဖွင့်ပါ။

• Website: www.openpolicyagent.org
• လိုင်စင်- အခမဲ့ (Apache)

OPA (Open Policy Agent) ၏ သဘောတရားမှာ လုံခြုံရေးမူဝါဒများနှင့် လုံခြုံရေးဆိုင်ရာ အကောင်းဆုံးအလေ့အကျင့်များကို သီးခြား runtime ပလပ်ဖောင်း- Docker၊ Kubernetes၊ Mesosphere၊ OpenShift သို့မဟုတ် ၎င်းတို့ပေါင်းစပ်မှုတစ်ခုမှ လုံခြုံရေးမူဝါဒများကို ပိုင်းဖြတ်ရန်ဖြစ်သည်။

ဥပမာအားဖြင့်၊ သင်သည် Kubernetes ဝင်ခွင့်ထိန်းချုပ်ကိရိယာအတွက် နောက်ခံတစ်ခုအနေဖြင့် OPA ကို အသုံးပြုနိုင်ပြီး လုံခြုံရေးဆုံးဖြတ်ချက်များကို ၎င်းထံလွှဲအပ်နိုင်သည်။ ဤနည်းအားဖြင့်၊ OPA အေးဂျင့်သည် သတ်မှတ်ထားသော လုံခြုံရေးကန့်သတ်ချက်များ ပြည့်မီကြောင်း သေချာစေရန်အတွက် တောင်းဆိုချက်များကို အတည်ပြုနိုင်၊ ပယ်ချကာ အပြောင်းအလဲများပင် ပြုလုပ်နိုင်ပါသည်။ OPA ၏ လုံခြုံရေးမူဝါဒများကို ၎င်း၏ကိုယ်ပိုင် DSL ဘာသာစကား Rego ဖြင့် ရေးသားထားသည်။

မှတ်ချက်။ ဘာသာပြန်: ကျွန်ုပ်တို့သည် OPA (နှင့် SPIFFE) အကြောင်း ပိုမိုရေးသားခဲ့သည်။ ဒီပစ္စည်း.

Kubernetes လုံခြုံရေးခွဲခြမ်းစိတ်ဖြာမှုအတွက် ပြီးပြည့်စုံသော စီးပွားရေးဆိုင်ရာ ကိရိယာများ

၎င်းတို့သည် ပုံမှန်အားဖြင့် လုံခြုံရေးနယ်ပယ်များစွာကို လွှမ်းခြုံထားသောကြောင့် စီးပွားဖြစ်ပလပ်ဖောင်းများအတွက် သီးခြားအမျိုးအစားတစ်ခုကို ဖန်တီးရန် ဆုံးဖြတ်ခဲ့သည်။ ၎င်းတို့၏ စွမ်းဆောင်ရည်ဆိုင်ရာ ယေဘုယျ အယူအဆကို ဇယားမှ ရယူနိုင်သည်။

* ပြီးပြည့်စုံသောအဆင့်မြင့်စစ်ဆေးမှုနှင့်သေဆုံးမှုခွဲခြမ်းစိတ်ဖြာခြင်း။ စနစ်ခေါ်ဆိုမှု အပိုင်စီးခြင်း။.

Aqua လုံခြုံရေး

• Website: www.aquasec.com ဖြစ်သည်
• လိုင်စင်: စီးပွားရေး

ဤလုပ်ငန်းသုံးကိရိယာသည် ကွန်တိန်နာများနှင့် cloud အလုပ်များများအတွက် ဒီဇိုင်းထုတ်ထားသည်။ ကထောက်ပံ့:

• ကွန်တိန်နာမှတ်ပုံတင်ခြင်း သို့မဟုတ် CI/CD ပိုက်လိုင်းဖြင့် ပေါင်းစပ်ထားသော ရုပ်ပုံစကင်ဖတ်ခြင်း
• ကွန်တိန်နာများတွင် အပြောင်းအလဲများနှင့် အခြားသံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ရှာဖွေခြင်းဖြင့် Runtime ကာကွယ်ခြင်း၊
• ကွန်တိန်နာ-ဇာတိ firewall;
• cloud ဝန်ဆောင်မှုများတွင် serverless အတွက် လုံခြုံရေး၊
• လိုက်နာမှုစမ်းသပ်ခြင်းနှင့် စာရင်းစစ်ခြင်းတို့ကို ဖြစ်ရပ်မှတ်တမ်းဖြင့် ပေါင်းစပ်ထားသည်။

မှတ်ချက်။ ဘာသာပြန်: အဲဒါတွေလည်းရှိတယ်။ free component လို့ ခေါ်တဲ့ product ပါ။ မိုက်ခရိုစကင်နာအားနည်းချက်များအတွက် ကွန်တိန်နာပုံများကို စကင်န်ဖတ်နိုင်စေမည့်၊ အခပေးဗားရှင်းများနှင့် ၎င်း၏စွမ်းဆောင်ရည်များကို နှိုင်းယှဉ်တင်ပြထားသည်။ ဒီစားပွဲ.

ဆေးတောင့် ၈

• Website: capsule8.com
• လိုင်စင်: စီးပွားရေး

Capsule8 သည် ဒေသတွင်း သို့မဟုတ် cloud Kubernetes အစုအဝေးတွင် ထောက်လှမ်းကိရိယာကို ထည့်သွင်းခြင်းဖြင့် အခြေခံအဆောက်အအုံတွင် ပေါင်းစပ်ထားသည်။ ဤ detector သည် host နှင့် network telemetry ကို စုဆောင်းပြီး ၎င်းကို မတူညီသော တိုက်ခိုက်မှုအမျိုးအစားများနှင့် ဆက်စပ်ပေးသည်။

Capsule8 အဖွဲ့သည် ၎င်း၏လုပ်ငန်းတာဝန်ကို စောစီးစွာရှာဖွေခြင်းနှင့် တိုက်ခိုက်မှုများကို တားဆီးခြင်းအဖြစ် ရှုမြင်သည်။ (၀-ရက်) အားနည်းချက်များ။ Capsule8 သည် အသစ်ရှာဖွေတွေ့ရှိထားသော ခြိမ်းခြောက်မှုများနှင့် ဆော့ဖ်ဝဲလ် အားနည်းချက်များကို တုံ့ပြန်ရန်အတွက် အပ်ဒိတ်လုပ်ထားသော လုံခြုံရေးစည်းမျဉ်းများကို တိုက်ရိုက်ဒေါင်းလုဒ်လုပ်နိုင်သည်။

ကာဗီရင်

• Website: www.cavirin.com
• လိုင်စင်: စီးပွားရေး

Cavirin သည် ဘေးကင်းရေးစံနှုန်းများတွင် ပါ၀င်သည့် အေဂျင်စီအမျိုးမျိုးအတွက် ကုမ္ပဏီဘက်မှ ကန်ထရိုက်တာအဖြစ် ဆောင်ရွက်သည်။ ၎င်းသည် ပုံများကို စကင်န်ဖတ်ရုံသာမက CI/CD ပိုက်လိုင်းတွင်ပါ ပေါင်းစည်းနိုင်ပြီး ၎င်းတို့သည် ပိတ်ထားသော သိုလှောင်နေရာများသို့ မဝင်မီ စံမဟုတ်သော ပုံများကို ပိတ်ဆို့နိုင်သည်။

Cavirin ၏လုံခြုံရေးအစုံသည် သင်၏ဆိုက်ဘာလုံခြုံရေးကိုယ်ဟန်အနေအထားကို အကဲဖြတ်ရန် စက်သင်ယူမှုကိုအသုံးပြုကာ လုံခြုံရေးတိုးတက်ကောင်းမွန်ရန်နှင့် လုံခြုံရေးစံနှုန်းများနှင့်လိုက်လျောညီထွေဖြစ်စေရန် အကြံပြုချက်များကို ပေးဆောင်သည်။

Google Cloud လုံခြုံရေး ကွပ်ကဲမှုဌာန

• Website: cloud.google.com/security-command-center
• လိုင်စင်: စီးပွားရေး

Cloud Security Command Center သည် လုံခြုံရေးအဖွဲ့များအား ဒေတာစုဆောင်းရန်၊ ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ရန်နှင့် ကုမ္ပဏီကို မထိခိုက်စေမီ ၎င်းတို့ကို ဖယ်ရှားရန် ကူညီပေးသည်။

နာမည်အကြံပြုထားသည့်အတိုင်း၊ Google Cloud SCC သည် လုံခြုံရေးအစီရင်ခံစာများ၊ ပိုင်ဆိုင်မှုစာရင်းအင်းအင်ဂျင်များနှင့် ပြင်ပအဖွဲ့အစည်းလုံခြုံရေးစနစ်များကို အရင်းအမြစ်တစ်ခုတည်းမှ ပေါင်းစပ်စီမံနိုင်သော ပေါင်းစပ်ထိန်းချုပ်မှုအကန့်တစ်ခုဖြစ်သည်။

Google Cloud SCC မှ ပေးဆောင်နိုင်သော အပြန်အလှန်လုပ်ဆောင်နိုင်သော API သည် Sysdig Secure (cloud-native applications များအတွက် ကွန်တိန်နာလုံခြုံရေး) သို့မဟုတ် Falco (Open Source runtime လုံခြုံရေး) ကဲ့သို့သော အရင်းအမြစ်အမျိုးမျိုးမှလာသော လုံခြုံရေးဖြစ်ရပ်များကို ပေါင်းစပ်ရန် လွယ်ကူစေသည်။

အလွှာလိုက် ဝိပဿနာ (အရည်အသွေးများ)၊

• Website: layeredinsight.com
• လိုင်စင်: စီးပွားရေး

Layered Insight (ယခု Qualys Inc ၏ တစ်စိတ်တစ်ပိုင်း) သည် "embedded security" ၏ သဘောတရားပေါ်တွင် တည်ဆောက်ထားသည်။ စာရင်းအင်းခွဲခြမ်းစိတ်ဖြာမှုနှင့် CVE စစ်ဆေးမှုများကို အသုံးပြု၍ အားနည်းချက်များအတွက် မူရင်းပုံကို စကင်န်ဖတ်ပြီးနောက်၊ Layered Insight သည် ၎င်းကို အေးဂျင့်အဖြစ် binary ပါ၀င်သည့် တူရိယာပုံတစ်ခုဖြင့် အစားထိုးသည်။

ဤအေးဂျင့်တွင် ကွန်တိန်နာကွန်ရက်အသွားအလာ၊ I/O စီးဆင်းမှုနှင့် အပလီကေးရှင်းလုပ်ဆောင်ချက်များကို ပိုင်းခြားစိတ်ဖြာရန် runtime လုံခြုံရေးစစ်ဆေးမှုများ ပါရှိသည်။ ထို့အပြင်၊ ၎င်းသည် အခြေခံအဆောက်အအုံစီမံခန့်ခွဲသူ သို့မဟုတ် DevOps အဖွဲ့များမှ သတ်မှတ်ထားသည့် နောက်ထပ်လုံခြုံရေးစစ်ဆေးမှုများကို လုပ်ဆောင်နိုင်သည်။

NeuVector

• Website: neuvector.com
• လိုင်စင်: စီးပွားရေး

NeuVector သည် ကွန်တိန်နာလုံခြုံရေးကို စစ်ဆေးပြီး ကွန်ရက်လုပ်ဆောင်ချက်နှင့် အပလီကေးရှင်းအပြုအမူများကို ပိုင်းခြားစိတ်ဖြာခြင်းဖြင့် ကွန်တိန်နာတစ်ခုစီအတွက် တစ်ဦးချင်းလုံခြုံရေးပရိုဖိုင်ကို ဖန်တီးပေးပါသည်။ ၎င်းသည် ဒေသတွင်း firewall စည်းမျဉ်းများကို ပြောင်းလဲခြင်းဖြင့် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို သီးခြားခွဲထုတ်နိုင်ပြီး ခြိမ်းခြောက်မှုများကိုလည်း ပိတ်ဆို့နိုင်သည်။

Security Mesh ဟုလူသိများသော NeuVector ၏ကွန်ရက်ပေါင်းစပ်မှုသည် ဝန်ဆောင်မှု mesh ရှိ ကွန်ရက်ချိတ်ဆက်မှုအားလုံးအတွက် နက်ရှိုင်းသော ပက်ကတ်ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် အလွှာ 7 စစ်ထုတ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်စွမ်းရှိသည်။

StackRox

• Website: www.stackrox.com
• လိုင်စင်: စီးပွားရေး

StackRox ကွန်တိန်နာလုံခြုံရေးပလက်ဖောင်းသည် Kubernetes အပလီကေးရှင်းများ၏ဘဝသံသရာတစ်ခုလုံးကို အစုအဝေးတစ်ခုအတွင်း လွှမ်းခြုံရန် ကြိုးပမ်းသည်။ ဤစာရင်းရှိ အခြားသော စီးပွားဖြစ်ပလပ်ဖောင်းများကဲ့သို့ပင်၊ StackRox သည် သတိပြုမိသော ကွန်တိန်နာအပြုအမူအပေါ် အခြေခံ၍ runtime ပရိုဖိုင်ကို ထုတ်ပေးပြီး သွေဖည်မှုများအတွက် နှိုးဆော်သံကို အလိုအလျောက် ထုတ်ပေးပါသည်။

ထို့အပြင်၊ StackRox သည် ကွန်တိန်နာလိုက်နာမှုကို အကဲဖြတ်ရန် Kubernetes CIS နှင့် အခြားစည်းမျဉ်းစာအုပ်များကို အသုံးပြု၍ Kubernetes ဖွဲ့စည်းမှုပုံစံများကို ပိုင်းခြားစိတ်ဖြာပါသည်။

Sysdig လုံခြုံသည်။

• Website: sysdig.com/products/secure
• လိုင်စင်: စီးပွားရေး

Sysdig Secure သည် ကွန်တိန်နာတစ်ခုလုံးနှင့် Kubernetes ဘဝသံသရာတစ်လျှောက် အပလီကေးရှင်းများကို ကာကွယ်ပေးသည်။ သူ ပုံများကို scan ဖတ်ပါ။ ကွန်တိန်နာများ၊ ထောက်ပံ့ပေးသည်။ runtime ကာကွယ်မှု machine learning data အရ ခရင်မ်ကို လုပ်ဆောင်သည်။ အားနည်းချက်များကို ဖော်ထုတ်ရန်၊ ခြိမ်းခြောက်မှုများကို ပိတ်ဆို့ရန်၊ စောင့်ကြည့်ရန် ကျွမ်းကျင်မှု သတ်မှတ်ထားသော စံချိန်စံညွှန်းများနှင့် ကိုက်ညီခြင်း။ နှင့် microservices များတွင် လုပ်ဆောင်ချက်များကို စစ်ဆေးခြင်း။

Sysdig Secure သည် Jenkins ကဲ့သို့သော CI/CD ကိရိယာများနှင့် ပေါင်းစပ်ပြီး Docker မှတ်ပုံတင်ခြင်းမှ တင်ထားသော ပုံများကို ထုတ်လုပ်ရာတွင် အန္တရာယ်ရှိသော ပုံများ မပေါ်စေရန် တားဆီးပေးသည်။ ၎င်းသည် ပြည့်စုံသော runtime လုံခြုံရေးကိုလည်း ပံ့ပိုးပေးသည်၊၊

• ML-based runtime profileing နှင့် ကွဲလွဲစွာ ထောက်လှမ်းခြင်း၊
• စနစ်ဖြစ်ရပ်များ၊ K8s-စာရင်းစစ် API၊ ပူးတွဲကွန်မြူနတီပရောဂျက်များ (FIM - ဖိုင်သမာဓိစောင့်ကြပ်ကြည့်ရှုခြင်း၊ cryptojacking) နှင့် မူဘောင်များအပေါ် အခြေခံထားသော runtime မူဝါဒများ MITER ATT&CK;
• တုံ့ပြန်မှုနှင့် အဖြစ်အပျက်များကို ဖြေရှင်းခြင်း။

Tenable Container Security

• Website: www.tenable.com/products/tenable-io/container-security
• လိုင်စင်: စီးပွားရေး

ကွန်တိန်နာများ မထွန်းကားမီတွင် Tenable သည် နာမည်ကြီး အားနည်းချက်ရှာဖွေခြင်းနှင့် လုံခြုံရေးစာရင်းစစ်ကိရိယာ Nessus နောက်ကွယ်မှ ကုမ္ပဏီအဖြစ် လူသိများခဲ့သည်။

Tenable Container Security သည် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အားနည်းချက် ဒေတာဘေ့စ်များ၊ အထူးပြု မဲလ်ဝဲ ထောက်လှမ်းမှု ပက်ကေ့ဂျ်များနှင့် လုံခြုံရေး ခြိမ်းခြောက်မှုများကို ဖြေရှင်းရန် အကြံပြုချက်များ နှင့် CI/CD ပိုက်လိုင်းကို ပေါင်းစပ်ရန် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အသုံးချသည်။

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• လိုင်စင်: စီးပွားရေး

Twistlock သည် cloud ဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများကို အာရုံစိုက်သည့် ပလပ်ဖောင်းတစ်ခုအဖြစ် မြှင့်တင်သည်။ Twistlock သည် အမျိုးမျိုးသော cloud ပံ့ပိုးပေးသူများ (AWS၊ Azure၊ GCP)၊ ကွန်တိန်နာသံစုံတီးဝိုင်းများ (Kubernetes၊ Mesospehere၊ OpenShift၊ Docker)၊ serverless runtimes၊ mesh frameworks နှင့် CI/CD ကိရိယာများကို ပံ့ပိုးပေးပါသည်။

CI/CD ပိုက်လိုင်းပေါင်းစည်းခြင်း သို့မဟုတ် ပုံစကင်န်ဖတ်ခြင်းကဲ့သို့ သမားရိုးကျ လုပ်ငန်းအဆင့် လုံခြုံရေးနည်းပညာများအပြင်၊ Twistlock သည် ကွန်တိန်နာဆိုင်ရာ သီးခြားအပြုအမူပုံစံများနှင့် ကွန်ရက်စည်းမျဉ်းများကို ဖန်တီးရန်အတွက် စက်သင်ယူမှုကို အသုံးပြုသည်။

မကြာသေးမီက Twistlock ကို Evident.io နှင့် RedLock ပရောဂျက်များပိုင်ဆိုင်သည့် Palo Alto Networks မှ ဝယ်ယူခဲ့သည်။ ဤပလပ်ဖောင်းသုံးခုကို မည်သို့ပေါင်းစပ်မည်ကို အတိအကျမသိရသေးပါ။ PRISMA Palo Alto မှ

Kubernetes လုံခြုံရေးကိရိယာများ၏ အကောင်းဆုံး ကက်တလောက်ကို တည်ဆောက်ရန် ကူညီပါ။

ဤကက်တလောက်ကို တတ်နိုင်သမျှ ပြီးပြည့်စုံအောင် လုပ်ရန် ကျွန်ုပ်တို့ ကြိုးစားနေပြီး ၎င်းအတွက် ကျွန်ုပ်တို့သည် သင့်အကူအညီကို လိုအပ်ပါသည်။ ကြှနျုပျတို့ကိုဆကျသှယျရနျ (@sysdig) သင့်တွင် ဤစာရင်းတွင်ပါဝင်ထိုက်သော ကိရိယာတစ်ခုရှိလျှင် သို့မဟုတ် အမှား/ခေတ်မမီသော အချက်အလက်တစ်ခုကို သင်တွေ့နိုင်သည်။

သင်သည်လည်းကျွန်ုပ်တို့၏စာရင်းသွင်းနိုင်ပါသည်။ လစဉ်သတင်းလွှာ cloud-ဇာတိဂေဟစနစ်မှသတင်းများနှင့် Kubernetes လုံခြုံရေးကမ္ဘာမှ စိတ်ဝင်စားဖွယ်ပရောဂျက်များအကြောင်း ဇာတ်လမ်းများ။

PS ဘာသာပြန်မှ

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

• «လုံခြုံရေးကျွမ်းကျင်သူများအတွက် Kubernetes ကွန်ရက်မူဝါဒများကို မိတ်ဆက်ခြင်း။";
• «လုံခြုံရေးအကဲဆတ်သော ပတ်ဝန်းကျင်များတွင် Docker နှင့် Kubernetes";
• «Kubernetes လုံခြုံရေးအတွက် အကောင်းဆုံး အလေ့အကျင့် ၉ ခု";
• «Kubernetes ဟက်ကာ၏ သားကောင်ဖြစ်ရန် (မပြုရန်) နည်းလမ်း 11 ခု";
• «OPA နှင့် SPIFFE သည် cloud အက်ပလီကေးရှင်းလုံခြုံရေးအတွက် CNCF မှ ပရောဂျက်အသစ်နှစ်ခုဖြစ်သည်။"။

source: www.habr.com