မှတ်ချက်။ ဘာသာပြန်− Kubernetes အခြေပြု အခြေခံအဆောက်အဦတွင် လုံခြုံရေးအကြောင်း သင်တွေးတောနေပါက၊ Sysdig မှ ဤကောင်းမွန်သော ခြုံငုံသုံးသပ်ချက်သည် လက်ရှိဖြေရှင်းချက်များကို အမြန်ကြည့်ရှုရန်အတွက် ကောင်းမွန်သော အစမှတ်တစ်ခုဖြစ်သည်။ ၎င်းတွင် နာမည်ကြီးစျေးကွက်ကစားသူများထံမှ ရှုပ်ထွေးသောစနစ်များနှင့် သီးခြားပြဿနာတစ်ခုကိုဖြေရှင်းပေးသည့် ကျိုးနွံသောအသုံးအဆောင်များစွာပါဝင်ပါသည်။ ထို့အပြင်၊ မှတ်ချက်များတွင်၊ ဤကိရိယာများကို အသုံးပြု၍ သင့်အတွေ့အကြုံအကြောင်း အမြဲကြားရပြီး အခြားပရောဂျက်များသို့ လင့်ခ်များကို ကြည့်ရှုရသည့်အတွက် ကျွန်ုပ်တို့ ပျော်ရွှင်ပါသည်။
Kubernetes လုံခြုံရေးဆော့ဖ်ဝဲလ် ထုတ်ကုန်များ... ၎င်းတို့ထဲမှ များစွာရှိပြီး တစ်ခုချင်းစီတွင် ၎င်းတို့၏ ပန်းတိုင်၊ နယ်ပယ်နှင့် လိုင်စင်များ ရှိသည်။
ထို့ကြောင့် ကျွန်ုပ်တို့သည် ဤစာရင်းကိုဖန်တီးပြီး မတူညီသောရောင်းချသူများထံမှ open source ပရောဂျက်များနှင့် စီးပွားဖြစ်ပလပ်ဖောင်းများပါ၀င်ရန် ဆုံးဖြတ်ခဲ့သည်။ သင်၏ သီးခြား Kubernetes လုံခြုံရေး လိုအပ်ချက်များအပေါ် အခြေခံ၍ စိတ်ပါဝင်စားဆုံးသူများကို ဖော်ထုတ်ပြီး သင့်အား လမ်းကြောင်းမှန်သို့ ညွှန်ပြရန် ကူညီပေးလိမ့်မည်ဟု ကျွန်ုပ်တို့ မျှော်လင့်ပါသည်။
အမျိုးအစား
စာရင်းကို ပိုမိုလွယ်ကူစွာ သွားလာနိုင်ရန်၊ ကိရိယာများကို ပင်မလုပ်ဆောင်ချက်နှင့် အက်ပ်လီကေးရှင်းဖြင့် စုစည်းထားသည်။ အောက်ပါ ကဏ္ဍများကို ရရှိခဲ့သည်-
- Kubernetes ရုပ်ပုံစကင်န်ဖတ်ခြင်းနှင့် တည်ငြိမ်မှုခွဲခြမ်းစိတ်ဖြာခြင်း၊
- Runtime လုံခြုံရေး၊
- Kubernetes ကွန်ရက်လုံခြုံရေး၊
- ရုပ်ပုံဖြန့်ဝေခြင်းနှင့် လျှို့ဝှက်ချက်များကို စီမံခန့်ခွဲခြင်း၊
- Kubernetes လုံခြုံရေးစစ်ဆေးမှု၊
- ဘက်စုံစီးပွားရေးထုတ်ကုန်များ။
လုပ်ငန်းစလိုက်ကြရအောင်။
Kubernetes ပုံများကို စကင်န်ဖတ်ခြင်း။
ကျောက်ဆူး
- Website:
anchore.com - လိုင်စင်- အခမဲ့ (Apache) နှင့် စီးပွားရေးဆိုင်ရာ ကမ်းလှမ်းချက်
Anchore သည် ကွန်တိန်နာပုံများကို ပိုင်းခြားစိတ်ဖြာပြီး အသုံးပြုသူသတ်မှတ်ထားသော မူဝါဒများအပေါ် အခြေခံ၍ လုံခြုံရေးစစ်ဆေးမှုများကို ခွင့်ပြုသည်။
CVE ဒေတာဘေ့စ်မှ လူသိများသော အားနည်းချက်များအတွက် ကွန်တိန်နာပုံများကို ပုံမှန်စကင်န်ဖတ်ခြင်းအပြင်၊ Anchore သည် ၎င်း၏စကင်ဖတ်စစ်ဆေးခြင်းမူဝါဒ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် နောက်ထပ်စစ်ဆေးမှုများစွာကို လုပ်ဆောင်သည်- Dockerfile၊ အထောက်အထား ပေါက်ကြားမှုများ၊ အသုံးပြုထားသော ပရိုဂရမ်ဘာသာစကားများ၏ ပက်ကေ့ဂျ်များ (npm၊ maven စသည်ဖြင့်) ကို စစ်ဆေးပေးသည် .) ဆော့ဖ်ဝဲလိုင်စင်များနှင့် အခြားအရာများ။
Clair
- Website:
coreos.com/clair (ယခု Red Hat ၏ အုပ်ချုပ်မှုအောက်တွင်) - လိုင်စင်- အခမဲ့ (Apache)
Clair သည် ရုပ်ပုံစကင်န်ဖတ်ခြင်းအတွက် ပထမဆုံးသော Open Source ပရောဂျက်များထဲမှ တစ်ခုဖြစ်သည်။ Quay image registry နောက်ကွယ်ရှိ လုံခြုံရေးစကင်နာဟု လူသိများသည်။ (CoreOS မှလည်း - အနီးစပ်ဆုံး ဘာသာပြန်). Clair သည် Debian၊ Red Hat သို့မဟုတ် Ubuntu လုံခြုံရေးအဖွဲ့များမှ ထိန်းသိမ်းထားသော Linux ဖြန့်ဖြူးရေးဆိုင်ရာ သီးခြားအားနည်းချက်များစာရင်းများအပါအဝင် အရင်းအမြစ်များစွာမှ CVE အချက်အလက်များကို စုဆောင်းနိုင်သည်။
Anchore နှင့်မတူဘဲ Clair သည် အားနည်းချက်များကို ရှာဖွေရန်နှင့် CVEs များနှင့် ကိုက်ညီသောဒေတာများကို အဓိကအာရုံစိုက်သည်။ သို့သော်၊ ထုတ်ကုန်သည် သုံးစွဲသူများအား plug-in drivers များကို အသုံးပြု၍ လုပ်ငန်းဆောင်တာများချဲ့ထွင်ရန် အခွင့်အရေးအချို့ကို ပေးပါသည်။
ဒဂ်ဒါ
- Website:
github.com/eliasgranderubio/dagda - လိုင်စင်- အခမဲ့ (Apache)
Dagda သည် လူသိများသော အားနည်းချက်များ၊ ထရိုဂျန်များ၊ ဗိုင်းရပ်စ်များ၊ malware နှင့် အခြားခြိမ်းခြောက်မှုများအတွက် ကွန်တိန်နာပုံများကို တည်ငြိမ်စွာ ခွဲခြမ်းစိတ်ဖြာပေးပါသည်။
ထင်ရှားသောအင်္ဂါရပ်နှစ်ခုသည် Dagda ကို အခြားအလားတူကိရိယာများနှင့် ခွဲခြားထားသည်။
- ဒါဟာဿုံနှင့်အတူပေါင်းစပ်
ClamAV ကွန်တိန်နာပုံများကိုစကင်န်ဖတ်ရန်ကိရိယာတစ်ခုအနေဖြင့်သာမက antivirus တစ်ခုအနေဖြင့်လည်းလုပ်ဆောင်သည်။ - Docker daemon မှ အချိန်နှင့်တပြေးညီ ဖြစ်ရပ်များကို လက်ခံရရှိပြီး Falco နှင့် ပေါင်းစပ်ခြင်းဖြင့်လည်း runtime အကာအကွယ်ကို ပေးပါသည်။ (အောက်တွင်ကြည့်ပါ) ကွန်တိန်နာအလုပ်လုပ်နေစဉ် လုံခြုံရေးဖြစ်ရပ်များကို စုဆောင်းရန်။
KubeXray
- Website:
github.com/jfrog/kubexray - လိုင်စင်- အခမဲ့ (Apache)၊ သို့သော် JFrog Xray (လုပ်ငန်းသုံး ထုတ်ကုန်) မှ ဒေတာ လိုအပ်သည်
KubeXray သည် Kubernetes API ဆာဗာမှ အဖြစ်အပျက်များကို နားထောင်ပြီး လက်ရှိမူဝါဒနှင့် ကိုက်ညီသော pods များကိုသာ စတင်အသုံးပြုနိုင်ကြောင်း သေချာစေရန် JFrog Xray မှ မက်တာဒေတာကို အသုံးပြုပါသည်။
KubeXray သည် အသုံးပြုမှုတွင် အသစ် သို့မဟုတ် အပ်ဒိတ်လုပ်ထားသော ကွန်တိန်နာများကို စစ်ဆေးရုံသာမက ( Kubernetes ရှိ ဝင်ခွင့်ထိန်းချုပ်ကိရိယာနှင့် ဆင်တူသည်) ကိုလည်း လုံခြုံရေးမူဝါဒအသစ်များနှင့် လိုက်လျောညီထွေရှိစေရန် လုပ်ဆောင်နေသည့်ကွန်တိန်နာများကို စစ်ဆေးခြင်း၊ အားနည်းချက်ရှိသော ရုပ်ပုံများကို ကိုးကားသည့် အရင်းအမြစ်များကို ဖယ်ရှားခြင်း။
သရဲ
- Website:
snyk.io - လိုင်စင်- အခမဲ့ (Apache) နှင့် လုပ်ငန်းသုံးဗားရှင်းများ
Snyk သည် ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်ကို အထူးပစ်မှတ်ထားပြီး developer များအတွက် "မရှိမဖြစ်လိုအပ်သောဖြေရှင်းချက်" အဖြစ် မြှင့်တင်ထားသည့်အတွက် ပုံမှန်မဟုတ်သော အားနည်းချက်စကင်နာတစ်ခုဖြစ်သည်။
Snyk သည် ကုဒ်သိုလှောင်ရာနေရာများသို့ တိုက်ရိုက်ချိတ်ဆက်သည်၊ ပရောဂျက်မန်နီးဖက်စ်ကို ခွဲခြမ်းစိပ်ဖြာပြီး တိုက်ရိုက်နှင့် သွယ်ဝိုက်သောမှီခိုမှုများနှင့်အတူ တင်သွင်းလာသောကုဒ်ကို ပိုင်းခြားစိတ်ဖြာပါသည်။ Snyk သည် လူကြိုက်များသော ပရိုဂရမ်းမင်းဘာသာစကားများစွာကို ပံ့ပိုးပေးပြီး လျှို့ဝှက်လိုင်စင်အန္တရာယ်များကို ဖော်ထုတ်နိုင်ပါသည်။
ဉာဏ်စမ်း
- Website:
github.com/knqyf263/trivy - လိုင်စင်- အခမဲ့ (AGPL)
Trivy သည် CI/CD ပိုက်လိုင်းသို့ အလွယ်တကူ ပေါင်းစပ်နိုင်သော ကွန်တိန်နာများအတွက် ရိုးရှင်းသော်လည်း အားကောင်းသော အားနည်းချက်ကို စကင်ဖတ်စစ်ဆေးခြင်း ဖြစ်သည်။ ၎င်း၏ ထင်ရှားသောအင်္ဂါရပ်မှာ တပ်ဆင်ခြင်းနှင့် လည်ပတ်ရလွယ်ကူခြင်းဖြစ်သည်- အပလီကေးရှင်းတွင် binary တစ်ခုတည်းပါ၀င်ပြီး ဒေတာဘေ့စ်တစ်ခု သို့မဟုတ် အပိုစာကြည့်တိုက်များကို တပ်ဆင်ရန်မလိုအပ်ပါ။
Trivy ၏ရိုးရှင်းမှု၏ အားနည်းချက်မှာ အခြား Kubernetes လုံခြုံရေးကိရိယာများကို အသုံးပြုနိုင်ရန် ရလဒ်များကို JSON ဖော်မတ်တွင် မည်သို့ခွဲခြမ်းစိတ်ဖြာပြီး ပေးပို့ရမည်ကို အဖြေရှာရမည်ဖြစ်ပါသည်။
Kubernetes ရှိ Runtime လုံခြုံရေး
Falco
- Website:
falco.org - လိုင်စင်- အခမဲ့ (Apache)
Falco သည် cloud runtime ပတ်ဝန်းကျင်များကို လုံခြုံစေရန်အတွက် ကိရိယာအစုံဖြစ်သည်။ ပရောဂျက်မိသားစု၏ အစိတ်အပိုင်း
Sysdig ၏ Linux kernel-level tooling နှင့် system call profileing ကိုအသုံးပြု၍ Falco သည် သင့်အား စနစ်အပြုအမူထဲသို့ နက်နဲစွာ နက်နက်ရှိုင်းရှိုင်း ဝင်ရောက်နိုင်စေပါသည်။ ၎င်း၏ runtime စည်းမျဉ်းများအင်ဂျင်သည် အပလီကေးရှင်းများ၊ ကွန်တိန်နာများ၊ အရင်းခံအိမ်ရှင် နှင့် Kubernetes သံစုံတီးဝိုင်းများတွင် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ထောက်လှမ်းနိုင်သည်။
Falco သည် ဤရည်ရွယ်ချက်များအတွက် Kubernetes node များပေါ်တွင် အထူးအေးဂျင့်များကို အသုံးပြုခြင်းဖြင့် runtime နှင့် ခြိမ်းခြောက်မှုရှာဖွေခြင်းတွင် ပြီးပြည့်စုံသောပွင့်လင်းမြင်သာမှုကိုပေးပါသည်။ ရလဒ်အနေဖြင့်၊ ၎င်းတို့ထဲသို့ ပြင်ပကုဒ်ကိုထည့်သွင်းခြင်း သို့မဟုတ် ဘေးတွဲကွန်တိန်နာများထည့်ခြင်းဖြင့် ကွန်တိန်နာများကို ပြုပြင်ရန်မလိုအပ်ပါ။
runtime အတွက် Linux လုံခြုံရေးဘောင်များ
Linux kernel အတွက် ဤမူဘောင်များသည် သမားရိုးကျသဘောအရ "Kubernetes လုံခြုံရေးကိရိယာများ" မဟုတ်သော်လည်း Kubernetes Pod Security Policy (PSP) တွင် ထည့်သွင်းထားသည့် runtime လုံခြုံရေး၏ ဆက်စပ်မှုတွင် အရေးကြီးသောအစိတ်အပိုင်းတစ်ခုဖြစ်သောကြောင့် ၎င်းတို့သည် မှတ်သားထိုက်ပါသည်။
လုံခြုံရေး-မြှင့်တင်ထားသော Linux (
Sysdig ပွင့်လင်းအရင်းအမြစ်
- Website:
www.sysdig.com/opensource - လိုင်စင်- အခမဲ့ (Apache)
Sysdig သည် Linux စနစ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း၊ အဖြေရှာခြင်းနှင့် အမှားရှာခြင်းအတွက် ပြီးပြည့်စုံသော tool တစ်ခု (Windows နှင့် macOS တို့တွင်လည်း လုပ်ဆောင်နိုင်သော်လည်း အကန့်အသတ်ရှိသော လုပ်ဆောင်ချက်များဖြင့်)။ အသေးစိတ် အချက်အလက်စုဆောင်းခြင်း၊ အတည်ပြုခြင်းနှင့် မှုခင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာခြင်းတို့အတွက် ၎င်းကို အသုံးပြုနိုင်သည်။ (မှုခင်းဆေးပညာ) အခြေခံစနစ်နှင့် ၎င်းပေါ်တွင် လုပ်ဆောင်နေသည့် မည်သည့်ကွန်တိန်နာများ။
Sysdig သည် ကွန်တိန်နာ runtimes နှင့် Kubernetes မက်တာဒေတာတို့ကို ထောက်ပံ့ပေးပြီး ၎င်းစုဆောင်းရရှိသည့် စနစ်အချက်အလက်အားလုံးတွင် ထပ်လောင်းအတိုင်းအတာများနှင့် အညွှန်းများထည့်ထားသည်။ Sysdig ကို အသုံးပြု၍ Kubernetes အစုအဝေးကို ခွဲခြမ်းစိတ်ဖြာရန် နည်းလမ်းများစွာ ရှိသည်- သင်သည် တစ်ဆင့်ချင်း အချိန်နှင့်တစ်ပြေးညီ ဖမ်းယူနိုင်သည်
Kubernetes ကွန်ရက် လုံခြုံရေး
Aporeto
- Website:
www.aporeto.com - လိုင်စင်: စီးပွားရေး
Aporeto သည် "ကွန်ရက်နှင့် အခြေခံအဆောက်အအုံမှ ခွဲထုတ်ထားသော လုံခြုံရေး" ကို ပေးသည်။ ဆိုလိုသည်မှာ Kubernetes ဝန်ဆောင်မှုများသည် ဒေသဆိုင်ရာ ID (ဆိုလိုသည်မှာ Kubernetes ရှိ ServiceAccount) ကို လက်ခံရရှိရုံသာမက OpenShift အစုအဝေးတစ်ခုတွင်၊ ဥပမာ၊ OpenShift အစုအဝေးတစ်ခုတွင် အခြားဝန်ဆောင်မှုတစ်ခုခုနှင့် လုံခြုံစွာ အပြန်အလှန်ဆက်သွယ်နိုင်ရန် အသုံးပြုနိုင်သည့် universal ID/ fingerprint ကို ဆိုလိုပါသည်။
Aporeto သည် Kubernetes/containers များအတွက်သာမက hosts၊ cloud လုပ်ဆောင်မှုများနှင့် အသုံးပြုသူများအတွက်လည်း ထူးခြားသော ID တစ်ခုကို ဖန်တီးပေးနိုင်သည်။ ဤသတ်မှတ်ချက်များနှင့် စီမံခန့်ခွဲသူမှ သတ်မှတ်ထားသော ကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများပေါ်မူတည်၍ ဆက်သွယ်ရေးများကို ခွင့်ပြုမည် သို့မဟုတ် ပိတ်ဆို့သွားမည်ဖြစ်သည်။
Calico
- Website:
www.projectcalico.org - လိုင်စင်- အခမဲ့ (Apache)
Calico သည် ပုံမှန်အားဖြင့် container orchestrator တပ်ဆင်မှုအတွင်း အသုံးချပြီး containers အပြန်အလှန်ချိတ်ဆက်နိုင်သော virtual network တစ်ခုကို ဖန်တီးနိုင်စေပါသည်။ ဤအခြေခံကွန်ရက်လုပ်ဆောင်နိုင်စွမ်းအပြင် Calico ပရောဂျက်သည် Kubernetes ကွန်ရက်မူဝါဒများနှင့် ၎င်း၏ကိုယ်ပိုင်ကွန်ရက်လုံခြုံရေးပရိုဖိုင်များနှင့်အတူ လုပ်ဆောင်နိုင်ပြီး၊ အဆုံးမှတ် ACLs (ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုစာရင်းများ) နှင့် Ingress နှင့် Egress အသွားအလာများအတွက် မှတ်ချက်-အခြေခံကွန်ရက်လုံခြုံရေးစည်းမျဉ်းများကို ပံ့ပိုးပေးပါသည်။
cilium
- Website:
www.cilium.io - လိုင်စင်- အခမဲ့ (Apache)
Cilium သည် ကွန်တိန်နာများအတွက် firewall တစ်ခုအဖြစ် လုပ်ဆောင်ပြီး Kubernetes နှင့် microservices workloads တို့နှင့် ကိုက်ညီသော ကွန်ရက်လုံခြုံရေးအင်္ဂါရပ်များကို ပံ့ပိုးပေးပါသည်။ Cilium သည် BPF (Berkeley Packet Filter) ဟုခေါ်သော Linux kernel နည်းပညာအသစ်ကို အသုံးပြု၍ ဒေတာများကို စစ်ထုတ်ခြင်း၊ စောင့်ကြည့်ခြင်း၊ ပြန်ညွှန်းခြင်းနှင့် မှန်ကန်စေရန်။
Cilium သည် Docker သို့မဟုတ် Kubernetes အညွှန်းများနှင့် မက်တာဒေတာများကို အသုံးပြု၍ ကွန်တိန်နာ ID များကို အခြေခံ၍ ကွန်ရက်ဝင်ရောက်ခွင့်မူဝါဒများကို အသုံးချနိုင်စွမ်းရှိသည်။ Cilium သည် HTTP သို့မဟုတ် gRPC ကဲ့သို့သော Layer 7 ပရိုတိုကောများကို နားလည်ပြီး စစ်ထုတ်ကာ၊ ဥပမာအားဖြင့် Kubernetes နှစ်ခုကြားတွင် ခွင့်ပြုပေးမည့် REST ခေါ်ဆိုမှုအစုအဝေးကို သတ်မှတ်နိုင်စေမည်ဖြစ်သည်။
Istio
- Website:
istio.io - လိုင်စင်- အခမဲ့ (Apache)
Istio သည် ပလပ်ဖောင်း-အမှီအခိုကင်းသော ထိန်းချုပ်မှုလေယာဉ်ကိုအသုံးပြုကာ ဝန်ဆောင်မှုအသွားအလာအားလုံးကို ရွေ့လျားပြောင်းလဲနိုင်သော Envoy proxies များမှတစ်ဆင့် လမ်းကြောင်းပေးခြင်းဖြင့် ဝန်ဆောင်မှု mesh ပါရာဒိုင်းကို အကောင်အထည်ဖော်ရန်အတွက် ကျယ်ပြန့်စွာလူသိများသည်။ Istio သည် ကွန်ရက်လုံခြုံရေးဗျူဟာအမျိုးမျိုးကို အကောင်အထည်ဖော်ရန်အတွက် မိုက်ခရိုဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများအားလုံး၏ ဤအဆင့်မြင့်မြင်ကွင်းကို အခွင့်ကောင်းယူသည်။
Istio ၏ ကွန်ရက်လုံခြုံရေးစွမ်းရည်များတွင် microservices များအကြား ဆက်သွယ်ရေးကို HTTPS သို့ အလိုအလျောက် အဆင့်မြှင့်ရန် ပွင့်လင်းမြင်သာသော TLS ကုဒ်ဝှက်ခြင်း နှင့် အစုအဖွဲ့အတွင်းရှိ မတူညီသော အလုပ်များအကြား ဆက်သွယ်မှုကို ခွင့်ပြုရန်/ငြင်းဆိုရန် တစ်ဦးတည်းပိုင် RBAC အထောက်အထားနှင့် ခွင့်ပြုချက်စနစ်တို့ ပါဝင်သည်။
မှတ်ချက်။ ဘာသာပြန်: Istio ၏ လုံခြုံရေးကို အဓိကထား လုပ်ဆောင်နိုင်စွမ်းများအကြောင်း ပိုမိုလေ့လာရန်၊ ဖတ်ရှုပါ။
Tigera
- Website:
www.tigera.io - လိုင်စင်: စီးပွားရေး
"Kubernetes Firewall" ဟုခေါ်သော ဤဖြေရှင်းချက်သည် ကွန်ရက်လုံခြုံရေးအတွက် လုံးဝယုံကြည်စိတ်ချရသော ချဉ်းကပ်မှုကို အလေးပေးပါသည်။
အခြားသော မူရင်း Kubernetes ကွန်ရက်ဖြေရှင်းချက်များနှင့် အလားတူ၊ Tigera သည် အစုအဝေးရှိ ဝန်ဆောင်မှုများနှင့် အရာဝတ္ထုအမျိုးမျိုးကို ခွဲခြားသတ်မှတ်ရန် မက်တာဒေတာကို အားကိုးပြီး runtime ပြဿနာကို သိရှိနိုင်ခြင်း၊ စဉ်ဆက်မပြတ်လိုက်နာမှုစစ်ဆေးခြင်းနှင့် ကွန်ရက်များစွာကို cloud သို့မဟုတ် hybrid monolithic-containerized အခြေခံအဆောက်အအုံများအတွက် ကွန်ရက်မြင်နိုင်စွမ်းကို ပံ့ပိုးပေးပါသည်။
Trireme
- Website:
www.aporeto.com/opensource - လိုင်စင်- အခမဲ့ (Apache)
Trireme-Kubernetes သည် Kubernetes Network Policies သတ်မှတ်ချက်၏ ရိုးရှင်းပြီး ရိုးရှင်းသော အကောင်အထည်ဖော်မှုတစ်ခုဖြစ်သည်။ အထင်ရှားဆုံးသောအင်္ဂါရပ်မှာ - အလားတူ Kubernetes ကွန်ရက်လုံခြုံရေးထုတ်ကုန်များနှင့်မတူဘဲ - ၎င်းသည် mesh ကိုညှိနှိုင်းရန်ဗဟိုထိန်းချုပ်မှုလေယာဉ်မလိုအပ်ပါ။ ၎င်းသည် ဖြေရှင်းချက်အသေးစိတ်တွင် အတိုင်းအတာတစ်ခုအထိ ဖြစ်လာစေသည်။ Trireme တွင်၊ host ၏ TCP/IP stack သို့ တိုက်ရိုက်ချိတ်ဆက်သည့် node တစ်ခုစီတွင် အေးဂျင့်တစ်ခုကို ထည့်သွင်းခြင်းဖြင့် ၎င်းကို အောင်မြင်သည်။
ရုပ်ပုံပြန့်ပွားမှုနှင့် လျှို့ဝှက်ချက်များ စီမံခန့်ခွဲမှု
Grafeas
- Website:
grafeas.io - လိုင်စင်- အခမဲ့ (Apache)
Grafeas သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်ကို စစ်ဆေးခြင်းနှင့် စီမံခန့်ခွဲခြင်းအတွက် အဖွင့်အရင်းအမြစ် API တစ်ခုဖြစ်သည်။ အခြေခံအဆင့်တွင်၊ Grafeas သည် မက်တာဒေတာစုဆောင်းခြင်းနှင့် စာရင်းစစ်တွေ့ရှိချက်များကို စုဆောင်းရန်အတွက် ကိရိယာတစ်ခုဖြစ်သည်။ အဖွဲ့အစည်းတစ်ခုအတွင်း လုံခြုံရေး အကောင်းဆုံး အလေ့အကျင့်များနှင့်အညီ လိုက်နာမှုကို ခြေရာခံရန် ၎င်းကို အသုံးပြုနိုင်သည်။
ဤဗဟိုချုပ်ကိုင်မှုရှိသော အမှန်တရားအရင်းအမြစ်သည် အောက်ပါမေးခွန်းများကို ဖြေရန်ကူညီပေးသည်-
- ကွန်တိန်နာတစ်ခုအတွက် ဘယ်သူက စုဆောင်းပြီး လက်မှတ်ထိုးတာလဲ။
- လုံခြုံရေးမူဝါဒအရ လိုအပ်သော လုံခြုံရေးစကင်န်များနှင့် စစ်ဆေးမှုများအားလုံးကို ကျော်ဖြတ်ပြီးပြီလား။ ဘယ်တော့လဲ? ရလဒ်တွေက ဘာတွေလဲ။
- ထုတ်လုပ်ရေးတွင် မည်သူက အသုံးချခဲ့သနည်း။ ဖြန့်ကျက်စဉ်အတွင်း မည်သည့် သီးခြားဘောင်များကို အသုံးပြုခဲ့သနည်း။
တိုတိုအတွင်း
- Website:
in-toto.github.io - လိုင်စင်- အခမဲ့ (Apache)
In-toto သည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်တစ်ခုလုံး၏ ခိုင်မာမှု၊ စစ်မှန်ကြောင်းနှင့် စစ်ဆေးခြင်းတို့ကို ပံ့ပိုးပေးရန် ဒီဇိုင်းထုတ်ထားသော မူဘောင်တစ်ခုဖြစ်သည်။ In-toto ကို အခြေခံအဆောက်အအုံတစ်ခုတွင် ဖြန့်ကျက်အသုံးပြုသည့်အခါ၊ ပိုက်လိုင်းရှိ အဆင့်အမျိုးမျိုးသောအဆင့်များ (သိုလှောင်မှု၊ CI/CD ကိရိယာများ၊ QA ကိရိယာများ၊ ပစ္စည်းများစုဆောင်းသူများ၊ စသည်) နှင့် အသုံးပြုသူများ (တာဝန်ရှိပုဂ္ဂိုလ်များ) တို့ကို ဖော်ပြသည့် အစီအစဉ်ကို ဦးစွာသတ်မှတ်သတ်မှတ်ထားသည်။ သူတို့ကို အစပြုပါ။
In-toto သည် အစီအစဉ်၏ အကောင်အထည်ဖော်မှုကို စောင့်ကြည့်စစ်ဆေးပြီး ကွင်းဆက်အတွင်းရှိ အလုပ်တစ်ခုစီကို အခွင့်အာဏာရှိပုဂ္ဂိုလ်များသာ မှန်ကန်စွာလုပ်ဆောင်ကြောင်းနှင့် လှုပ်ရှားမှုအတွင်း ထုတ်ကုန်နှင့်အတူ ခွင့်ပြုချက်မရှိဘဲ ခြယ်လှယ်မှုများ လုပ်ဆောင်ခဲ့ခြင်းမရှိကြောင်း အတည်ပြုသည်။
Portieris
- Website:
github.com/IBM/portieris - လိုင်စင်- အခမဲ့ (Apache)
Portieris သည် Kubernetes အတွက် ဝင်ခွင့်ထိန်းချုပ်သူဖြစ်သည်။ အကြောင်းအရာယုံကြည်မှုစစ်ဆေးမှုများကို တွန်းအားပေးရန် အသုံးပြုသည်။ Portieris သည် ဆာဗာကို အသုံးပြုသည်။
အလုပ်ဝန်တစ်ခုကို Kubernetes တွင် ဖန်တီး သို့မဟုတ် ပြင်ဆင်သည့်အခါ၊ Portieris သည် တောင်းဆိုထားသော ကွန်တိန်နာပုံများအတွက် လက်မှတ်ရေးထိုးမှုအချက်အလက်နှင့် အကြောင်းအရာယုံကြည်မှုမူဝါဒကို ဒေါင်းလုဒ်လုပ်ကာ လိုအပ်ပါက အဆိုပါပုံများ၏ လက်မှတ်ရေးထိုးထားသောဗားရှင်းများကို လုပ်ဆောင်ရန် JSON API အရာဝတ္တုတွင် အပြောင်းအလဲများပြုလုပ်သည်။
ပင်လယ်ကမ်းစောင်း
- Website:
www.vaultproject.io - လိုင်စင်- အခမဲ့ (MPL)
Vault သည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို သိမ်းဆည်းရန်အတွက် လုံခြုံသောဖြေရှင်းချက်တစ်ခုဖြစ်သည်- စကားဝှက်များ၊ OAuth တိုကင်များ၊ PKI လက်မှတ်များ၊ ဝင်ရောက်အသုံးပြုခွင့်အကောင့်များ၊ Kubernetes လျှို့ဝှက်ချက်များ၊ စသည်ဖြင့်။ Vault သည် တဒင်္ဂလုံခြုံရေးတိုကင်များ ငှားရမ်းခြင်း သို့မဟုတ် သော့လှည့်ခြင်းများ စီစဉ်ပေးခြင်းကဲ့သို့သော အဆင့်မြင့်အင်္ဂါရပ်များစွာကို ပံ့ပိုးပေးပါသည်။
Helm ဇယားကို အသုံးပြု၍ ကောင်စစ်ဝန်နှင့်အတူ Kubernetes အစုအဝေးတွင် ကျောထောက်နောက်ခံသိုလှောင်မှုအဖြစ် Vault ကို ဖြန့်ကျက်မှုအသစ်အဖြစ် အသုံးချနိုင်သည်။ ၎င်းသည် ServiceAccount တိုကင်များကဲ့သို့သော မူရင်း Kubernetes အရင်းအမြစ်များကို ပံ့ပိုးပေးပြီး Kubernetes လျှို့ဝှက်ချက်များကို မူရင်းစတိုးအဖြစ်ပင် လုပ်ဆောင်နိုင်သည်။
မှတ်ချက်။ ဘာသာပြန်- စကားမစပ်၊ Vault ကို တီထွင်သည့် HashiCorp သည် ယမန်နေ့က Kubernetes တွင် Vault အသုံးပြုခြင်းအတွက် တိုးတက်မှုအချို့ကို ကြေညာခဲ့ပြီး အထူးသဖြင့် ၎င်းတို့သည် Helm ဇယားနှင့် သက်ဆိုင်ပါသည်။ တွင်ပိုမိုဖတ်ရှုပါ။
Kubernetes လုံခြုံရေးစစ်ဆေးမှု
Kube-ခုံတန်းလျား
- Website:
github.com/aquasecurity/kube-bench - လိုင်စင်- အခမဲ့ (Apache)
Kube-bench သည် စာရင်းတစ်ခုမှ စမ်းသပ်မှုများ လုပ်ဆောင်ခြင်းဖြင့် Kubernetes ကို လုံခြုံစွာ အသုံးပြုထားခြင်း ရှိမရှိ စစ်ဆေးပေးသည့် Go အက်ပ်တစ်ခု ဖြစ်သည်။
Kube-bench သည် အစုအစည်း အစိတ်အပိုင်းများ (etcd၊ API၊ controller manager စသည်)၊ မေးခွန်းထုတ်စရာ ဖိုင်ဝင်ရောက်ခွင့် အခွင့်အရေး၊ အကာအကွယ်မဲ့ အကောင့်များ သို့မဟုတ် ဖွင့်ထားသော ဆိပ်ကမ်းများ၊ အရင်းအမြစ်ခွဲတမ်းများ၊ DoS တိုက်ခိုက်မှုများကို ကာကွယ်ရန် API ခေါ်ဆိုမှု အရေအတွက်ကို ကန့်သတ်ရန်အတွက် ဆက်တင်များကို ရှာဖွေသည် စသည်တို့
Kube-မုဆိုး
- Website:
github.com/aquasecurity/kube-hunter - လိုင်စင်- အခမဲ့ (Apache)
Kube-hunter သည် Kubernetes အစုအဝေးများရှိ ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များ (ဥပမာ အဝေးကုဒ်လုပ်ဆောင်မှု သို့မဟုတ် ဒေတာထုတ်ဖော်မှု) ကို ရှာဖွေသည်။ Kube-hunter ကို အဝေးထိန်းစကင်နာအဖြစ် လုပ်ဆောင်နိုင်သည် - ယင်းအခြေအနေတွင် ပြင်ပအဖွဲ့အစည်း တိုက်ခိုက်သူ၏ ရှုထောင့်မှ အစုအဝေးကို အကဲဖြတ်မည် - သို့မဟုတ် အစုအဝေးအတွင်းရှိ pod တစ်ခုဖြစ်သည်။
Kube-hunter ၏ထူးခြားသောအင်္ဂါရပ်မှာ ၎င်း၏ "တက်ကြွသောအမဲလိုက်ခြင်း" မုဒ်ဖြစ်ပြီး ၎င်းသည် ပြဿနာများကို သတင်းပို့ရုံသာမက ၎င်း၏လုပ်ဆောင်ချက်ကို အန္တရာယ်ဖြစ်စေနိုင်သည့် ပစ်မှတ်အစုအဝေးတွင် တွေ့ရှိထားသော အားနည်းချက်များကို အခွင့်ကောင်းယူရန်လည်း ကြိုးစားသည်။ ဒါကြောင့် သတိနဲ့သုံးပါ။
Kubeaudit
- Website:
github.com/Shopify/kubeaudit - လိုင်စင်- အခမဲ့ (MIT)
Kubeaudit သည် လုံခြုံရေးပြဿနာအမျိုးမျိုးအတွက် Kubernetes ဖွဲ့စည်းမှုပုံစံကို စစ်ဆေးရန်အတွက် Shopify တွင် မူလတီထွင်ထားသည့် ကွန်ဆိုးလ်တူးလ်တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ကန့်သတ်မထားဘဲ လုပ်ဆောင်နေသည့် ကွန်တိန်နာများကို ဖော်ထုတ်ရန်၊ အမြစ်အဖြစ် လုပ်ဆောင်နေခြင်း၊ အခွင့်ထူးများကို အလွဲသုံးစားလုပ်ခြင်း သို့မဟုတ် မူရင်း ServiceAccount ကို အသုံးပြုခြင်းတို့ကို ခွဲခြားသတ်မှတ်ရန် ကူညီပေးသည်။
Kubeaudit တွင် အခြားသော စိတ်ဝင်စားဖွယ် အင်္ဂါရပ်များ ရှိသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် ဒေသန္တရ YAML ဖိုင်များကို ပိုင်းခြားစိတ်ဖြာနိုင်ပြီး လုံခြုံရေးပြဿနာများဆီသို့ ဦးတည်သွားစေနိုင်သည့် ဖွဲ့စည်းမှုဆိုင်ရာ ချို့ယွင်းချက်များကို ရှာဖွေဖော်ထုတ်နိုင်ပြီး ၎င်းတို့ကို အလိုအလျောက် ပြုပြင်ပေးနိုင်သည်။
Kubesec
- Website:
kubesec.io - လိုင်စင်- အခမဲ့ (Apache)
Kubernetes သည် လုံခြုံရေးကို ထိခိုက်စေနိုင်သည့် အားနည်းသော ကန့်သတ်ဘောင်များကို ရှာဖွေနေသည့် Kubernetes အရင်းအမြစ်များကို ဖော်ပြသည့် YAML ဖိုင်များကို တိုက်ရိုက်စကင်န်ဖတ်ခြင်းအတွက် အထူးကိရိယာတစ်ခုဖြစ်သည်။
ဥပမာအားဖြင့်၊ ၎င်းသည် pod တစ်ခုအား ပေးအပ်ထားသော အလွန်အကျွံ အခွင့်ထူးများနှင့် ခွင့်ပြုချက်များကို ရှာဖွေနိုင်သည်၊ မူရင်းအသုံးပြုသူအဖြစ် root ပါသည့် ကွန်တိန်နာကို လုပ်ဆောင်ခြင်း၊ လက်ခံသူ၏ ကွန်ရက် namespace သို့ ချိတ်ဆက်ခြင်း သို့မဟုတ် အန္တရာယ်ရှိသော mount များကဲ့သို့သော /proc
host သို့မဟုတ် Docker socket။ Kubesec ၏နောက်ထပ်စိတ်ဝင်စားစရာကောင်းသည့်အင်္ဂါရပ်မှာ YAML ကိုတင်ပြီးချက်ချင်းခွဲခြမ်းစိတ်ဖြာနိုင်သည့်အွန်လိုင်းတွင်ရရှိနိုင်သည့်သရုပ်ပြဝန်ဆောင်မှုဖြစ်သည်။
မူဝါဒအေးဂျင့်ဖွင့်ပါ။
- Website:
www.openpolicyagent.org - လိုင်စင်- အခမဲ့ (Apache)
OPA (Open Policy Agent) ၏ သဘောတရားမှာ လုံခြုံရေးမူဝါဒများနှင့် လုံခြုံရေးဆိုင်ရာ အကောင်းဆုံးအလေ့အကျင့်များကို သီးခြား runtime ပလပ်ဖောင်း- Docker၊ Kubernetes၊ Mesosphere၊ OpenShift သို့မဟုတ် ၎င်းတို့ပေါင်းစပ်မှုတစ်ခုမှ လုံခြုံရေးမူဝါဒများကို ပိုင်းဖြတ်ရန်ဖြစ်သည်။
ဥပမာအားဖြင့်၊ သင်သည် Kubernetes ဝင်ခွင့်ထိန်းချုပ်ကိရိယာအတွက် နောက်ခံတစ်ခုအနေဖြင့် OPA ကို အသုံးပြုနိုင်ပြီး လုံခြုံရေးဆုံးဖြတ်ချက်များကို ၎င်းထံလွှဲအပ်နိုင်သည်။ ဤနည်းအားဖြင့်၊ OPA အေးဂျင့်သည် သတ်မှတ်ထားသော လုံခြုံရေးကန့်သတ်ချက်များ ပြည့်မီကြောင်း သေချာစေရန်အတွက် တောင်းဆိုချက်များကို အတည်ပြုနိုင်၊ ပယ်ချကာ အပြောင်းအလဲများပင် ပြုလုပ်နိုင်ပါသည်။ OPA ၏ လုံခြုံရေးမူဝါဒများကို ၎င်း၏ကိုယ်ပိုင် DSL ဘာသာစကား Rego ဖြင့် ရေးသားထားသည်။
မှတ်ချက်။ ဘာသာပြန်: ကျွန်ုပ်တို့သည် OPA (နှင့် SPIFFE) အကြောင်း ပိုမိုရေးသားခဲ့သည်။
Kubernetes လုံခြုံရေးခွဲခြမ်းစိတ်ဖြာမှုအတွက် ပြီးပြည့်စုံသော စီးပွားရေးဆိုင်ရာ ကိရိယာများ
၎င်းတို့သည် ပုံမှန်အားဖြင့် လုံခြုံရေးနယ်ပယ်များစွာကို လွှမ်းခြုံထားသောကြောင့် စီးပွားဖြစ်ပလပ်ဖောင်းများအတွက် သီးခြားအမျိုးအစားတစ်ခုကို ဖန်တီးရန် ဆုံးဖြတ်ခဲ့သည်။ ၎င်းတို့၏ စွမ်းဆောင်ရည်ဆိုင်ရာ ယေဘုယျ အယူအဆကို ဇယားမှ ရယူနိုင်သည်။
* ပြီးပြည့်စုံသောအဆင့်မြင့်စစ်ဆေးမှုနှင့်သေဆုံးမှုခွဲခြမ်းစိတ်ဖြာခြင်း။
Aqua လုံခြုံရေး
- Website:
www.aquasec.com ဖြစ်သည် - လိုင်စင်: စီးပွားရေး
ဤလုပ်ငန်းသုံးကိရိယာသည် ကွန်တိန်နာများနှင့် cloud အလုပ်များများအတွက် ဒီဇိုင်းထုတ်ထားသည်။ ကထောက်ပံ့:
- ကွန်တိန်နာမှတ်ပုံတင်ခြင်း သို့မဟုတ် CI/CD ပိုက်လိုင်းဖြင့် ပေါင်းစပ်ထားသော ရုပ်ပုံစကင်ဖတ်ခြင်း
- ကွန်တိန်နာများတွင် အပြောင်းအလဲများနှင့် အခြားသံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ရှာဖွေခြင်းဖြင့် Runtime ကာကွယ်ခြင်း၊
- ကွန်တိန်နာ-ဇာတိ firewall;
- cloud ဝန်ဆောင်မှုများတွင် serverless အတွက် လုံခြုံရေး၊
- လိုက်နာမှုစမ်းသပ်ခြင်းနှင့် စာရင်းစစ်ခြင်းတို့ကို ဖြစ်ရပ်မှတ်တမ်းဖြင့် ပေါင်းစပ်ထားသည်။
မှတ်ချက်။ ဘာသာပြန်: အဲဒါတွေလည်းရှိတယ်။ free component လို့ ခေါ်တဲ့ product ပါ။
ဆေးတောင့် ၈
- Website:
capsule8.com - လိုင်စင်: စီးပွားရေး
Capsule8 သည် ဒေသတွင်း သို့မဟုတ် cloud Kubernetes အစုအဝေးတွင် ထောက်လှမ်းကိရိယာကို ထည့်သွင်းခြင်းဖြင့် အခြေခံအဆောက်အအုံတွင် ပေါင်းစပ်ထားသည်။ ဤ detector သည် host နှင့် network telemetry ကို စုဆောင်းပြီး ၎င်းကို မတူညီသော တိုက်ခိုက်မှုအမျိုးအစားများနှင့် ဆက်စပ်ပေးသည်။
Capsule8 အဖွဲ့သည် ၎င်း၏လုပ်ငန်းတာဝန်ကို စောစီးစွာရှာဖွေခြင်းနှင့် တိုက်ခိုက်မှုများကို တားဆီးခြင်းအဖြစ် ရှုမြင်သည်။ (၀-ရက်) အားနည်းချက်များ။ Capsule8 သည် အသစ်ရှာဖွေတွေ့ရှိထားသော ခြိမ်းခြောက်မှုများနှင့် ဆော့ဖ်ဝဲလ် အားနည်းချက်များကို တုံ့ပြန်ရန်အတွက် အပ်ဒိတ်လုပ်ထားသော လုံခြုံရေးစည်းမျဉ်းများကို တိုက်ရိုက်ဒေါင်းလုဒ်လုပ်နိုင်သည်။
ကာဗီရင်
- Website:
www.cavirin.com - လိုင်စင်: စီးပွားရေး
Cavirin သည် ဘေးကင်းရေးစံနှုန်းများတွင် ပါ၀င်သည့် အေဂျင်စီအမျိုးမျိုးအတွက် ကုမ္ပဏီဘက်မှ ကန်ထရိုက်တာအဖြစ် ဆောင်ရွက်သည်။ ၎င်းသည် ပုံများကို စကင်န်ဖတ်ရုံသာမက CI/CD ပိုက်လိုင်းတွင်ပါ ပေါင်းစည်းနိုင်ပြီး ၎င်းတို့သည် ပိတ်ထားသော သိုလှောင်နေရာများသို့ မဝင်မီ စံမဟုတ်သော ပုံများကို ပိတ်ဆို့နိုင်သည်။
Cavirin ၏လုံခြုံရေးအစုံသည် သင်၏ဆိုက်ဘာလုံခြုံရေးကိုယ်ဟန်အနေအထားကို အကဲဖြတ်ရန် စက်သင်ယူမှုကိုအသုံးပြုကာ လုံခြုံရေးတိုးတက်ကောင်းမွန်ရန်နှင့် လုံခြုံရေးစံနှုန်းများနှင့်လိုက်လျောညီထွေဖြစ်စေရန် အကြံပြုချက်များကို ပေးဆောင်သည်။
Google Cloud လုံခြုံရေး ကွပ်ကဲမှုဌာန
- Website:
cloud.google.com/security-command-center - လိုင်စင်: စီးပွားရေး
Cloud Security Command Center သည် လုံခြုံရေးအဖွဲ့များအား ဒေတာစုဆောင်းရန်၊ ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ရန်နှင့် ကုမ္ပဏီကို မထိခိုက်စေမီ ၎င်းတို့ကို ဖယ်ရှားရန် ကူညီပေးသည်။
နာမည်အကြံပြုထားသည့်အတိုင်း၊ Google Cloud SCC သည် လုံခြုံရေးအစီရင်ခံစာများ၊ ပိုင်ဆိုင်မှုစာရင်းအင်းအင်ဂျင်များနှင့် ပြင်ပအဖွဲ့အစည်းလုံခြုံရေးစနစ်များကို အရင်းအမြစ်တစ်ခုတည်းမှ ပေါင်းစပ်စီမံနိုင်သော ပေါင်းစပ်ထိန်းချုပ်မှုအကန့်တစ်ခုဖြစ်သည်။
Google Cloud SCC မှ ပေးဆောင်နိုင်သော အပြန်အလှန်လုပ်ဆောင်နိုင်သော API သည် Sysdig Secure (cloud-native applications များအတွက် ကွန်တိန်နာလုံခြုံရေး) သို့မဟုတ် Falco (Open Source runtime လုံခြုံရေး) ကဲ့သို့သော အရင်းအမြစ်အမျိုးမျိုးမှလာသော လုံခြုံရေးဖြစ်ရပ်များကို ပေါင်းစပ်ရန် လွယ်ကူစေသည်။
အလွှာလိုက် ဝိပဿနာ (အရည်အသွေးများ)၊
- Website:
layeredinsight.com - လိုင်စင်: စီးပွားရေး
Layered Insight (ယခု Qualys Inc ၏ တစ်စိတ်တစ်ပိုင်း) သည် "embedded security" ၏ သဘောတရားပေါ်တွင် တည်ဆောက်ထားသည်။ စာရင်းအင်းခွဲခြမ်းစိတ်ဖြာမှုနှင့် CVE စစ်ဆေးမှုများကို အသုံးပြု၍ အားနည်းချက်များအတွက် မူရင်းပုံကို စကင်န်ဖတ်ပြီးနောက်၊ Layered Insight သည် ၎င်းကို အေးဂျင့်အဖြစ် binary ပါ၀င်သည့် တူရိယာပုံတစ်ခုဖြင့် အစားထိုးသည်။
ဤအေးဂျင့်တွင် ကွန်တိန်နာကွန်ရက်အသွားအလာ၊ I/O စီးဆင်းမှုနှင့် အပလီကေးရှင်းလုပ်ဆောင်ချက်များကို ပိုင်းခြားစိတ်ဖြာရန် runtime လုံခြုံရေးစစ်ဆေးမှုများ ပါရှိသည်။ ထို့အပြင်၊ ၎င်းသည် အခြေခံအဆောက်အအုံစီမံခန့်ခွဲသူ သို့မဟုတ် DevOps အဖွဲ့များမှ သတ်မှတ်ထားသည့် နောက်ထပ်လုံခြုံရေးစစ်ဆေးမှုများကို လုပ်ဆောင်နိုင်သည်။
NeuVector
- Website:
neuvector.com - လိုင်စင်: စီးပွားရေး
NeuVector သည် ကွန်တိန်နာလုံခြုံရေးကို စစ်ဆေးပြီး ကွန်ရက်လုပ်ဆောင်ချက်နှင့် အပလီကေးရှင်းအပြုအမူများကို ပိုင်းခြားစိတ်ဖြာခြင်းဖြင့် ကွန်တိန်နာတစ်ခုစီအတွက် တစ်ဦးချင်းလုံခြုံရေးပရိုဖိုင်ကို ဖန်တီးပေးပါသည်။ ၎င်းသည် ဒေသတွင်း firewall စည်းမျဉ်းများကို ပြောင်းလဲခြင်းဖြင့် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို သီးခြားခွဲထုတ်နိုင်ပြီး ခြိမ်းခြောက်မှုများကိုလည်း ပိတ်ဆို့နိုင်သည်။
Security Mesh ဟုလူသိများသော NeuVector ၏ကွန်ရက်ပေါင်းစပ်မှုသည် ဝန်ဆောင်မှု mesh ရှိ ကွန်ရက်ချိတ်ဆက်မှုအားလုံးအတွက် နက်ရှိုင်းသော ပက်ကတ်ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် အလွှာ 7 စစ်ထုတ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်စွမ်းရှိသည်။
StackRox
- Website:
www.stackrox.com - လိုင်စင်: စီးပွားရေး
StackRox ကွန်တိန်နာလုံခြုံရေးပလက်ဖောင်းသည် Kubernetes အပလီကေးရှင်းများ၏ဘဝသံသရာတစ်ခုလုံးကို အစုအဝေးတစ်ခုအတွင်း လွှမ်းခြုံရန် ကြိုးပမ်းသည်။ ဤစာရင်းရှိ အခြားသော စီးပွားဖြစ်ပလပ်ဖောင်းများကဲ့သို့ပင်၊ StackRox သည် သတိပြုမိသော ကွန်တိန်နာအပြုအမူအပေါ် အခြေခံ၍ runtime ပရိုဖိုင်ကို ထုတ်ပေးပြီး သွေဖည်မှုများအတွက် နှိုးဆော်သံကို အလိုအလျောက် ထုတ်ပေးပါသည်။
ထို့အပြင်၊ StackRox သည် ကွန်တိန်နာလိုက်နာမှုကို အကဲဖြတ်ရန် Kubernetes CIS နှင့် အခြားစည်းမျဉ်းစာအုပ်များကို အသုံးပြု၍ Kubernetes ဖွဲ့စည်းမှုပုံစံများကို ပိုင်းခြားစိတ်ဖြာပါသည်။
Sysdig လုံခြုံသည်။
- Website:
sysdig.com/products/secure - လိုင်စင်: စီးပွားရေး
Sysdig Secure သည် ကွန်တိန်နာတစ်ခုလုံးနှင့် Kubernetes ဘဝသံသရာတစ်လျှောက် အပလီကေးရှင်းများကို ကာကွယ်ပေးသည်။ သူ
Sysdig Secure သည် Jenkins ကဲ့သို့သော CI/CD ကိရိယာများနှင့် ပေါင်းစပ်ပြီး Docker မှတ်ပုံတင်ခြင်းမှ တင်ထားသော ပုံများကို ထုတ်လုပ်ရာတွင် အန္တရာယ်ရှိသော ပုံများ မပေါ်စေရန် တားဆီးပေးသည်။ ၎င်းသည် ပြည့်စုံသော runtime လုံခြုံရေးကိုလည်း ပံ့ပိုးပေးသည်၊၊
- ML-based runtime profileing နှင့် ကွဲလွဲစွာ ထောက်လှမ်းခြင်း၊
- စနစ်ဖြစ်ရပ်များ၊ K8s-စာရင်းစစ် API၊ ပူးတွဲကွန်မြူနတီပရောဂျက်များ (FIM - ဖိုင်သမာဓိစောင့်ကြပ်ကြည့်ရှုခြင်း၊ cryptojacking) နှင့် မူဘောင်များအပေါ် အခြေခံထားသော runtime မူဝါဒများ
MITER ATT&CK ; - တုံ့ပြန်မှုနှင့် အဖြစ်အပျက်များကို ဖြေရှင်းခြင်း။
Tenable Container Security
- Website:
www.tenable.com/products/tenable-io/container-security - လိုင်စင်: စီးပွားရေး
ကွန်တိန်နာများ မထွန်းကားမီတွင် Tenable သည် နာမည်ကြီး အားနည်းချက်ရှာဖွေခြင်းနှင့် လုံခြုံရေးစာရင်းစစ်ကိရိယာ Nessus နောက်ကွယ်မှ ကုမ္ပဏီအဖြစ် လူသိများခဲ့သည်။
Tenable Container Security သည် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အားနည်းချက် ဒေတာဘေ့စ်များ၊ အထူးပြု မဲလ်ဝဲ ထောက်လှမ်းမှု ပက်ကေ့ဂျ်များနှင့် လုံခြုံရေး ခြိမ်းခြောက်မှုများကို ဖြေရှင်းရန် အကြံပြုချက်များ နှင့် CI/CD ပိုက်လိုင်းကို ပေါင်းစပ်ရန် ကုမ္ပဏီ၏ ကွန်ပျူတာ လုံခြုံရေး ကျွမ်းကျင်မှုကို အသုံးချသည်။
Twistlock (Palo Alto Networks)
- Website:
www.twistlock.com - လိုင်စင်: စီးပွားရေး
Twistlock သည် cloud ဝန်ဆောင်မှုများနှင့် ကွန်တိန်နာများကို အာရုံစိုက်သည့် ပလပ်ဖောင်းတစ်ခုအဖြစ် မြှင့်တင်သည်။ Twistlock သည် အမျိုးမျိုးသော cloud ပံ့ပိုးပေးသူများ (AWS၊ Azure၊ GCP)၊ ကွန်တိန်နာသံစုံတီးဝိုင်းများ (Kubernetes၊ Mesospehere၊ OpenShift၊ Docker)၊ serverless runtimes၊ mesh frameworks နှင့် CI/CD ကိရိယာများကို ပံ့ပိုးပေးပါသည်။
CI/CD ပိုက်လိုင်းပေါင်းစည်းခြင်း သို့မဟုတ် ပုံစကင်န်ဖတ်ခြင်းကဲ့သို့ သမားရိုးကျ လုပ်ငန်းအဆင့် လုံခြုံရေးနည်းပညာများအပြင်၊ Twistlock သည် ကွန်တိန်နာဆိုင်ရာ သီးခြားအပြုအမူပုံစံများနှင့် ကွန်ရက်စည်းမျဉ်းများကို ဖန်တီးရန်အတွက် စက်သင်ယူမှုကို အသုံးပြုသည်။
မကြာသေးမီက Twistlock ကို Evident.io နှင့် RedLock ပရောဂျက်များပိုင်ဆိုင်သည့် Palo Alto Networks မှ ဝယ်ယူခဲ့သည်။ ဤပလပ်ဖောင်းသုံးခုကို မည်သို့ပေါင်းစပ်မည်ကို အတိအကျမသိရသေးပါ။
Kubernetes လုံခြုံရေးကိရိယာများ၏ အကောင်းဆုံး ကက်တလောက်ကို တည်ဆောက်ရန် ကူညီပါ။
ဤကက်တလောက်ကို တတ်နိုင်သမျှ ပြီးပြည့်စုံအောင် လုပ်ရန် ကျွန်ုပ်တို့ ကြိုးစားနေပြီး ၎င်းအတွက် ကျွန်ုပ်တို့သည် သင့်အကူအညီကို လိုအပ်ပါသည်။ ကြှနျုပျတို့ကိုဆကျသှယျရနျ (
သင်သည်လည်းကျွန်ုပ်တို့၏စာရင်းသွင်းနိုင်ပါသည်။
PS ဘာသာပြန်မှ
ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ
- «
လုံခြုံရေးကျွမ်းကျင်သူများအတွက် Kubernetes ကွန်ရက်မူဝါဒများကို မိတ်ဆက်ခြင်း။ "; - «
လုံခြုံရေးအကဲဆတ်သော ပတ်ဝန်းကျင်များတွင် Docker နှင့် Kubernetes "; - «
Kubernetes လုံခြုံရေးအတွက် အကောင်းဆုံး အလေ့အကျင့် ၉ ခု "; - «
Kubernetes ဟက်ကာ၏ သားကောင်ဖြစ်ရန် (မပြုရန်) နည်းလမ်း 11 ခု "; - «
OPA နှင့် SPIFFE သည် cloud အက်ပလီကေးရှင်းလုံခြုံရေးအတွက် CNCF မှ ပရောဂျက်အသစ်နှစ်ခုဖြစ်သည်။ "။
source: www.habr.com