🥇33+ Kubernetes सुरक्षाका लागि उपकरणहरू

नोट। अनुवाद।: यदि तपाइँ Kubernetes-आधारित पूर्वाधारमा सुरक्षाको बारेमा सोच्दै हुनुहुन्छ भने, Sysdig बाट यो उत्कृष्ट सिंहावलोकन वर्तमान समाधानहरूमा द्रुत रूपमा हेर्नको लागि उत्कृष्ट सुरुवात बिन्दु हो। यसमा प्रख्यात बजार खेलाडीहरूबाट जटिल प्रणालीहरू र विशेष समस्या समाधान गर्ने धेरै सामान्य उपयोगिताहरू समावेश छन्। र टिप्पणीहरूमा, सधैं जस्तै, हामी यी उपकरणहरू प्रयोग गरेर तपाईंको अनुभवको बारेमा सुन्न र अन्य परियोजनाहरूको लिङ्कहरू हेर्न पाउँदा खुसी हुनेछौं।

Kubernetes सुरक्षा सफ्टवेयर उत्पादनहरू... तिनीहरूमध्ये धेरै छन्, प्रत्येकको आफ्नै लक्ष्य, दायरा, र इजाजतपत्रहरू छन्।

त्यसैले हामीले यो सूची सिर्जना गर्ने र विभिन्न विक्रेताहरूबाट खुला स्रोत परियोजनाहरू र व्यावसायिक प्लेटफर्महरू दुवै समावेश गर्ने निर्णय गरेका छौं। हामी आशा गर्दछौं कि यसले तपाईंलाई सबैभन्दा चासोका कुराहरू पहिचान गर्न र तपाईंको विशेष Kubernetes सुरक्षा आवश्यकताहरूको आधारमा सही दिशामा देखाउन मद्दत गर्नेछ।

कोटीहरू

सूची नेभिगेट गर्न सजिलो बनाउनको लागि, उपकरणहरू मुख्य प्रकार्य र अनुप्रयोगद्वारा व्यवस्थित छन्। निम्न खण्डहरू प्राप्त गरियो:

Kubernetes छवि स्क्यानिङ र स्थिर विश्लेषण;
रनटाइम सुरक्षा;
Kubernetes नेटवर्क सुरक्षा;
छवि वितरण र रहस्य व्यवस्थापन;
Kubernetes सुरक्षा लेखा परीक्षा;
व्यापक व्यावसायिक उत्पादनहरू।

व्यापारमा जाऔं:

Kubernetes छविहरू स्क्यान गर्दै

एंकर

वेबसाइट: anchore.com
इजाजतपत्र: नि: शुल्क (अपाचे) र व्यावसायिक प्रस्ताव

एन्कोरले कन्टेनर छविहरूको विश्लेषण गर्दछ र प्रयोगकर्ता-परिभाषित नीतिहरूमा आधारित सुरक्षा जाँचहरूलाई अनुमति दिन्छ।

CVE डाटाबेसबाट ज्ञात कमजोरीहरूका लागि कन्टेनर छविहरूको सामान्य स्क्यानिङको अतिरिक्त, एन्कोरले यसको स्क्यानिङ नीतिको भागको रूपमा धेरै अतिरिक्त जाँचहरू गर्दछ: डकरफाइल, प्रमाणिक चुहावट, प्रयोग गरिएका प्रोग्रामिङ भाषाहरूको प्याकेजहरू (npm, maven, आदि) जाँच गर्दछ। ।), सफ्टवेयर इजाजतपत्र र अधिक।

Clair

वेबसाइट: coreos.com/clair (अहिले रेड ह्याटको संरक्षण अन्तर्गत)
इजाजतपत्र: नि: शुल्क (अपाचे)

क्लेयर छवि स्क्यानिङको लागि पहिलो खुला स्रोत परियोजनाहरू मध्ये एक थियो। यो व्यापक रूपमा Quay छवि रजिस्ट्री पछाडि सुरक्षा स्क्यानर रूपमा चिनिन्छ (CoreOS बाट पनि - लगभग। अनुवाद)। Clair ले डेबियन, Red Hat, वा Ubuntu सुरक्षा टोलीहरूद्वारा राखिएको लिनक्स वितरण-विशिष्ट जोखिमहरूको सूची सहित विभिन्न स्रोतहरूबाट CVE जानकारी सङ्कलन गर्न सक्छ।

एन्कोरको विपरीत, क्लेयर मुख्यतया कमजोरीहरू फेला पार्न र CVE सँग मिल्दो डेटामा केन्द्रित छ। यद्यपि, उत्पादनले प्रयोगकर्ताहरूलाई प्लग-इन ड्राइभरहरू प्रयोग गरेर प्रकार्यहरू विस्तार गर्न केही अवसरहरू प्रदान गर्दछ।

दग्डा

वेबसाइट: github.com/eliasgranderubio/dagda
इजाजतपत्र: नि: शुल्क (अपाचे)

डग्डाले ज्ञात कमजोरीहरू, ट्रोजनहरू, भाइरसहरू, मालवेयर र अन्य खतराहरूको लागि कन्टेनर छविहरूको स्थिर विश्लेषण गर्दछ।

दुइटा उल्लेखनीय विशेषताहरूले डग्डालाई अन्य समान उपकरणहरूबाट अलग गर्दछ:

यो संग पूर्ण रूपमा एकीकृत हुन्छ क्लमएभि, कन्टेनर छविहरू स्क्यान गर्ने उपकरणको रूपमा मात्र काम गर्दैन, तर एन्टिभाइरसको रूपमा पनि।
डकर डेमनबाट वास्तविक-समय घटनाहरू प्राप्त गरेर र Falco सँग एकीकरण गरेर रनटाइम सुरक्षा प्रदान गर्दछ। (तल हेर) कन्टेनर चलिरहेको बेला सुरक्षा घटनाहरू सङ्कलन गर्न।

कुबेएक्सरे

वेबसाइट: github.com/jfrog/kubexray
इजाजतपत्र: नि: शुल्क (अपाचे), तर JFrog Xray (व्यावसायिक उत्पादन) बाट डाटा आवश्यक छ।

KubeXray ले Kubernetes API सर्भरबाट घटनाहरू सुन्दछ र JFrog Xray बाट मेटाडेटा प्रयोग गर्दछ कि हालको नीतिसँग मेल खाने पोडहरू मात्र सुरू गरिएको छ।

KubeXray ले डिप्लोयमेन्टमा नयाँ वा अपडेट गरिएका कन्टेनरहरू मात्र अडिट गर्दैन (Kubernetes मा प्रवेश नियन्त्रक जस्तै), तर गतिशील रूपमा नयाँ सुरक्षा नीतिहरूको अनुपालनको लागि चलिरहेको कन्टेनरहरू जाँच गर्दछ, कमजोर छविहरूलाई सन्दर्भ गर्ने स्रोतहरू हटाउँदै।

Snyk

वेबसाइट: snyk.io
इजाजतपत्र: नि: शुल्क (अपाचे) र व्यावसायिक संस्करणहरू

Snyk एउटा असामान्य भेद्यता स्क्यानर हो जसमा यसले विशेष रूपमा विकास प्रक्रियालाई लक्षित गर्छ र विकासकर्ताहरूको लागि "आवश्यक समाधान" को रूपमा प्रचार गरिन्छ।

Snyk सिधै कोड रिपोजिटरीहरूमा जडान गर्दछ, प्रोजेक्ट म्यानिफेस्ट पार्स गर्दछ र प्रत्यक्ष र अप्रत्यक्ष निर्भरताहरू सहित आयातित कोडको विश्लेषण गर्दछ। Snyk ले धेरै लोकप्रिय प्रोग्रामिङ भाषाहरूलाई समर्थन गर्दछ र लुकेका इजाजतपत्र जोखिमहरू पहिचान गर्न सक्छ।

त्रिभि

वेबसाइट: github.com/knqyf263/trivy
इजाजतपत्र: नि: शुल्क (AGPL)

Trivy कन्टेनरहरूको लागि एक सरल तर शक्तिशाली भेद्यता स्क्यानर हो जुन सजिलै CI/CD पाइपलाइनमा एकीकृत हुन्छ। यसको उल्लेखनीय विशेषता यसको स्थापना र सञ्चालनको सहजता हो: अनुप्रयोगले एकल बाइनरी समावेश गर्दछ र डाटाबेस वा अतिरिक्त पुस्तकालयहरूको स्थापना आवश्यक पर्दैन।

Trivy को सरलता को नकारात्मक पक्ष यो हो कि तपाईले JSON ढाँचामा नतिजाहरू पार्स र फर्वार्ड गर्ने तरिका पत्ता लगाउनु पर्छ ताकि अन्य Kubernetes सुरक्षा उपकरणहरूले तिनीहरूलाई प्रयोग गर्न सकून्।

Kubernetes मा रनटाइम सुरक्षा

Falco

वेबसाइट: falco.org
इजाजतपत्र: नि: शुल्क (अपाचे)

Falco क्लाउड रनटाइम वातावरण सुरक्षित गर्न उपकरणहरूको एक सेट हो। परियोजना परिवारको अंश CNCF.

Sysdig को लिनक्स कर्नेल-स्तर टूलिङ र प्रणाली कल प्रोफाइलिङ प्रयोग गरेर, Falco ले तपाईंलाई प्रणाली व्यवहारमा गहिरो डुब्न अनुमति दिन्छ। यसको रनटाइम नियम इन्जिन अनुप्रयोगहरू, कन्टेनरहरू, अन्तर्निहित होस्ट, र Kubernetes अर्केस्ट्रेटरमा शंकास्पद गतिविधि पत्ता लगाउन सक्षम छ।

Falco ले यी उद्देश्यहरूको लागि Kubernetes नोडहरूमा विशेष एजेन्टहरू खटाएर रनटाइम र खतरा पत्ता लगाउन पूर्ण पारदर्शिता प्रदान गर्दछ। नतिजाको रूपमा, त्यहाँ तेस्रो-पक्ष कोड परिचय गरेर वा साइडकार कन्टेनरहरू थपेर कन्टेनरहरू परिमार्जन गर्न आवश्यक छैन।

रनटाइमको लागि लिनक्स सुरक्षा फ्रेमवर्क

लिनक्स कर्नेलका लागि यी नेटिभ फ्रेमवर्कहरू परम्परागत अर्थमा "कुबर्नेट्स सुरक्षा उपकरणहरू" होइनन्, तर तिनीहरू उल्लेख गर्न लायक छन् किनभने तिनीहरू रनटाइम सुरक्षाको सन्दर्भमा महत्त्वपूर्ण तत्व हुन्, जुन कुबर्नेट्स पोड सुरक्षा नीति (PSP) मा समावेश गरिएको छ।

AppArmor कन्टेनरमा चल्ने प्रक्रियाहरूमा सुरक्षा प्रोफाइल संलग्न गर्दछ, फाइल प्रणाली विशेषाधिकारहरू परिभाषित गर्दै, नेटवर्क पहुँच नियमहरू, पुस्तकालयहरू जडान गर्ने, आदि। यो अनिवार्य पहुँच नियन्त्रण (MAC) मा आधारित प्रणाली हो। अर्को शब्दमा, यसले निषेधित कार्यहरू प्रदर्शन हुनबाट रोक्छ।

सुरक्षा-परिष्कृत लिनक्स (SELinux) लिनक्स कर्नेल मा एक उन्नत सुरक्षा मोड्युल हो, AppArmor को केहि पक्षहरु मा समान र अक्सर यो तुलना। SELinux शक्ति, लचिलोपन र अनुकूलन मा AppArmor भन्दा उच्च छ। यसको बेफाइदाहरू लामो सिक्ने वक्र र बढेको जटिलता हो।

सेकम्प र seccomp-bpf ले तपाईंलाई प्रणाली कलहरू फिल्टर गर्न, आधार OS को लागि सम्भावित खतरनाक हुने र प्रयोगकर्ता अनुप्रयोगहरूको सामान्य सञ्चालनको लागि आवश्यक नहुनेहरूको कार्यान्वयन रोक्न अनुमति दिन्छ। Seccomp केहि तरिकामा Falco जस्तै छ, यद्यपि यो कन्टेनर को विशिष्टता थाहा छैन।

Sysdig खुला स्रोत

वेबसाइट: www.sysdig.com/opensource
इजाजतपत्र: नि: शुल्क (अपाचे)

Sysdig लिनक्स प्रणालीहरूको विश्लेषण, निदान र डिबग गर्ने पूर्ण उपकरण हो (विन्डोज र macOS मा पनि काम गर्दछ, तर सीमित प्रकार्यहरूसँग)। यसलाई विस्तृत जानकारी सङ्कलन, प्रमाणीकरण र फोरेन्सिक विश्लेषणका लागि प्रयोग गर्न सकिन्छ। (फरेन्सिक) आधार प्रणाली र यसमा चलिरहेको कुनै पनि कन्टेनरहरू।

Sysdig ले कन्टेनर रनटाइमहरू र Kubernetes मेटाडेटालाई मूल रूपमा समर्थन गर्दछ, यसले सङ्कलन गर्ने सबै प्रणाली व्यवहार जानकारीमा थप आयाम र लेबलहरू थप्छ। त्यहाँ Sysdig प्रयोग गरेर Kubernetes क्लस्टर विश्लेषण गर्न धेरै तरिकाहरू छन्: तपाईं मार्फत पोइन्ट-इन-टाइम क्याप्चर गर्न सक्नुहुन्छ। kubectl कब्जा वा प्लगइन प्रयोग गरेर ncurses-आधारित अन्तरक्रियात्मक इन्टरफेस सुरु गर्नुहोस् kubectl खन्ने.

Kubernetes नेटवर्क सुरक्षा

Aporeto

वेबसाइट: www.aporeto.com
इजाजतपत्र: व्यावसायिक

Aporeto "नेटवर्क र पूर्वाधारबाट अलग सुरक्षा" प्रदान गर्दछ। यसको मतलब यो हो कि Kubernetes सेवाहरूले स्थानीय ID (अर्थात Kubernetes मा ServiceAccount) मात्र प्राप्त गर्दैन, तर एउटा विश्वव्यापी ID/फिंगरप्रिन्ट पनि प्राप्त गर्दछ जुन अन्य सेवाहरूसँग सुरक्षित र पारस्परिक रूपमा सञ्चार गर्न प्रयोग गर्न सकिन्छ, उदाहरणका लागि OpenShift क्लस्टरमा।

Aporeto Kubernetes/कन्टेनरहरूको लागि मात्र होइन, तर होस्टहरू, क्लाउड प्रकार्यहरू र प्रयोगकर्ताहरूका लागि पनि अद्वितीय ID उत्पन्न गर्न सक्षम छ। यी पहिचानकर्ताहरू र प्रशासकद्वारा सेट गरिएको नेटवर्क सुरक्षा नियमहरूको सेटमा निर्भर गर्दै, सञ्चारहरूलाई अनुमति दिइनेछ वा रोक लगाइनेछ।

Calico

वेबसाइट: www.projectcalico.org
इजाजतपत्र: नि: शुल्क (अपाचे)

क्यालिकोलाई सामान्यतया कन्टेनर अर्केस्ट्रेटर स्थापनाको क्रममा प्रयोग गरिन्छ, जसले तपाईंलाई कन्टेनरहरू आपसमा जोड्ने भर्चुअल नेटवर्क सिर्जना गर्न अनुमति दिन्छ। यस आधारभूत सञ्जाल कार्यक्षमताको अतिरिक्त, क्यालिको परियोजनाले Kubernetes नेटवर्क नीतिहरू र नेटवर्क सुरक्षा प्रोफाइलहरूको आफ्नै सेटसँग काम गर्दछ, एन्डपोइन्ट ACLs (पहुँच नियन्त्रण सूचीहरू) र Ingress र Egress ट्राफिकको लागि एनोटेसन-आधारित नेटवर्क सुरक्षा नियमहरूलाई समर्थन गर्दछ।

सिलियम

वेबसाइट: www.cilium.io
इजाजतपत्र: नि: शुल्क (अपाचे)

Cilium ले कन्टेनरहरूको लागि फायरवालको रूपमा कार्य गर्दछ र नेटवर्क सुरक्षा सुविधाहरू प्रदान गर्दछ जुन नेटिभ रूपमा Kubernetes र microservices workloads अनुरूप बनाइएको छ। Cilium ले BPF (बर्कले प्याकेट फिल्टर) नामक नयाँ लिनक्स कर्नेल टेक्नोलोजी प्रयोग गर्दछ फिल्टर, निगरानी, रिडिरेक्ट र डाटा सही गर्न।

Cilium डकर वा Kubernetes लेबल र मेटाडेटा प्रयोग गरेर कन्टेनर ID मा आधारित नेटवर्क पहुँच नीतिहरू प्रयोग गर्न सक्षम छ। Cilium ले HTTP वा gRPC जस्ता विभिन्न लेयर 7 प्रोटोकलहरू पनि बुझ्छ र फिल्टर गर्दछ, जसले तपाईंलाई REST कलहरूको सेट परिभाषित गर्न अनुमति दिन्छ जुन उदाहरणका लागि दुई Kubernetes डिप्लोयमेन्टहरू बीच अनुमति दिइनेछ।

इस्तिओ

वेबसाइट: istio.io
इजाजतपत्र: नि: शुल्क (अपाचे)

Istio एक प्लेटफर्म-स्वतन्त्र नियन्त्रण विमान तैनाथ गरेर र गतिशील रूपमा कन्फिगर योग्य दूत प्रोक्सीहरू मार्फत सबै व्यवस्थित सेवा ट्राफिकहरू राउट गरेर सेवा जाल प्रतिमान लागू गर्नको लागि व्यापक रूपमा परिचित छ। Istio ले विभिन्न नेटवर्क सुरक्षा रणनीतिहरू लागू गर्न सबै माइक्रो सेवाहरू र कन्टेनरहरूको यो उन्नत दृश्यको फाइदा लिन्छ।

Istio को सञ्जाल सुरक्षा क्षमताहरूमा पारदर्शी TLS ईन्क्रिप्शन समावेश गर्दछ स्वचालित रूपमा माइक्रोसर्भिसेसहरू बीच सञ्चारहरू HTTPS मा अपग्रेड गर्न, र एक स्वामित्व RBAC पहिचान र प्राधिकरण प्रणाली क्लस्टरमा विभिन्न वर्कलोडहरू बीच सञ्चारलाई अनुमति दिन / अस्वीकार गर्न।

नोट। अनुवाद।: Istio को सुरक्षा-केन्द्रित क्षमताहरू बारे थप जान्नको लागि, पढ्नुहोस् यो लेख.

बाघ

वेबसाइट: www.tigera.io
इजाजतपत्र: व्यावसायिक

"Kubernetes फायरवाल" भनिन्छ, यो समाधानले नेटवर्क सुरक्षाको लागि शून्य-विश्वास दृष्टिकोणलाई जोड दिन्छ।

अन्य नेटिभ Kubernetes नेटवर्किङ समाधानहरू जस्तै, Tigera क्लस्टरमा विभिन्न सेवाहरू र वस्तुहरू पहिचान गर्न मेटाडेटामा निर्भर रहन्छ र रनटाइम समस्या पत्ता लगाउने, निरन्तर अनुपालन जाँच, र बहु-क्लाउड वा हाइब्रिड मोनोलिथिक-कन्टेनराइज्ड पूर्वाधारहरूको लागि नेटवर्क दृश्यता प्रदान गर्दछ।

त्रिरेम

वेबसाइट: www.aporeto.com/opensource
इजाजतपत्र: नि: शुल्क (अपाचे)

Trireme-Kubernetes Kubernetes नेटवर्क नीति विशिष्टता को एक सरल र सीधा कार्यान्वयन हो। सबैभन्दा उल्लेखनीय विशेषता यो हो कि - समान Kubernetes नेटवर्क सुरक्षा उत्पादनहरु को विपरीत - यो जाल समन्वय गर्न केन्द्रीय नियन्त्रण विमान आवश्यक पर्दैन। यसले समाधानलाई तुच्छ रूपमा स्केलेबल बनाउँछ। Trireme मा, यो होस्टको TCP/IP स्ट्याकमा सीधै जडान हुने प्रत्येक नोडमा एजेन्ट स्थापना गरेर प्राप्त हुन्छ।

छवि प्रचार र गोप्य व्यवस्थापन

Grafeas

वेबसाइट: grafeas.io
इजाजतपत्र: नि: शुल्क (अपाचे)

Grafeas सफ्टवेयर आपूर्ति श्रृंखला अडिटिङ र व्यवस्थापनको लागि खुला स्रोत API हो। आधारभूत स्तरमा, Grafeas मेटाडेटा र अडिट निष्कर्षहरू सङ्कलन गर्ने एउटा उपकरण हो। यो संगठन भित्र सुरक्षा उत्तम अभ्यासहरु संग अनुपालन ट्र्याक गर्न प्रयोग गर्न सकिन्छ।

सत्यको यो केन्द्रीकृत स्रोतले प्रश्नहरूको जवाफ दिन मद्दत गर्छ:

एक विशेष कन्टेनरको लागि कसले सङ्कलन र हस्ताक्षर गर्यो?
के यसले सुरक्षा नीति द्वारा आवश्यक सबै सुरक्षा स्क्यानहरू र जाँचहरू पारित गरेको छ? कहिले? परिणामहरू के थिए?
कसले यसलाई उत्पादनमा प्रयोग गर्यो? तैनाती को समयमा कुन विशिष्ट मापदण्डहरु प्रयोग गरियो?

इन-टोटो

वेबसाइट: in-toto.github.io
इजाजतपत्र: नि: शुल्क (अपाचे)

इन-टोटो सम्पूर्ण सफ्टवेयर आपूर्ति श्रृंखलाको अखण्डता, प्रमाणीकरण र अडिटिङ प्रदान गर्न डिजाइन गरिएको फ्रेमवर्क हो। पूर्वाधारमा इन-टोटो डिप्लोइ गर्दा, पाइपलाइनमा रहेका विभिन्न चरणहरू (भण्डार, CI/CD उपकरण, QA उपकरणहरू, कलाकृति सङ्कलनकर्ताहरू, आदि) र अनुमति दिइएको प्रयोगकर्ताहरू (जिम्मेवार व्यक्तिहरू) को वर्णन गर्ने योजनालाई पहिले परिभाषित गरिन्छ। तिनीहरूलाई पहल गर्नुहोस्।

इन-टोटोले योजनाको कार्यान्वयनको अनुगमन गर्दछ, चेनमा भएका प्रत्येक कार्य अधिकृत कर्मचारीहरूद्वारा मात्र सही रूपमा प्रदर्शन गरिएको छ र आन्दोलनको क्रममा उत्पादनसँग कुनै अनाधिकृत हेरफेर गरिएको छैन भनी प्रमाणित गर्दै।

पोर्टिएरिस

वेबसाइट: github.com/IBM/portieris
इजाजतपत्र: नि: शुल्क (अपाचे)

Portieris Kubernetes को लागी एक प्रवेश नियन्त्रक हो; सामग्री विश्वास जाँच लागू गर्न प्रयोग गरिन्छ। Portieris सर्भर प्रयोग गर्दछ नोटरी (हामीले अन्तमा उनको बारेमा लेख्यौं यो लेख - लगभग। अनुवाद) विश्वसनीय र हस्ताक्षरित कलाकृतिहरू (जस्तै स्वीकृत कन्टेनर छविहरू) प्रमाणित गर्न सत्यको स्रोतको रूपमा।

जब Kubernetes मा कार्यभार सिर्जना वा परिमार्जन गरिन्छ, Portieris ले अनुरोध गरिएका कन्टेनर छविहरूको लागि हस्ताक्षर जानकारी र सामग्री विश्वास नीति डाउनलोड गर्दछ र आवश्यक भएमा, ती छविहरूको हस्ताक्षरित संस्करणहरू चलाउन JSON API वस्तुमा अन-द-फ्लाइ परिवर्तनहरू गर्दछ।

वाल्ट

वेबसाइट: www.vaultproject.io
इजाजतपत्र: नि: शुल्क (MPL)

Vault निजी जानकारी भण्डारण गर्नको लागि सुरक्षित समाधान हो: पासवर्डहरू, OAuth टोकनहरू, PKI प्रमाणपत्रहरू, पहुँच खाताहरू, Kubernetes गोप्यहरू, आदि। Vault ले धेरै उन्नत सुविधाहरूलाई समर्थन गर्दछ, जस्तै अल्पकालिक सुरक्षा टोकनहरू भाडामा दिने वा कुञ्जी रोटेशन व्यवस्थित गर्ने।

हेल्म चार्ट प्रयोग गरेर, Vault लाई Kubernetes क्लस्टरमा ब्याकइन्ड भण्डारणको रूपमा Consul सँग नयाँ परिनियोजनको रूपमा प्रयोग गर्न सकिन्छ। यसले नेटिभ Kubernetes स्रोतहरू जस्तै ServiceAccount टोकनहरूलाई समर्थन गर्दछ र Kubernetes गोप्यहरूको लागि पूर्वनिर्धारित भण्डारको रूपमा पनि कार्य गर्न सक्छ।

नोट। अनुवाद।: वैसे, भर्खरै, कम्पनी HashiCorp, जसले Vault विकास गर्छ, Kubernetes मा Vault प्रयोग गर्नका लागि केही सुधारहरूको घोषणा गर्‍यो, र विशेष गरी तिनीहरू हेल्म चार्टसँग सम्बन्धित छन्। मा थप पढ्नुहोस् ब्लोग प्रयोग गर्नुहोस्.

Kubernetes सुरक्षा अडिट

कुबे-बेंच

वेबसाइट: github.com/aquasecurity/kube-bench
इजाजतपत्र: नि: शुल्क (अपाचे)

कुबे-बेन्च एउटा गो एप्लिकेसन हो जसले सूचीबाट परीक्षणहरू चलाएर Kubernetes सुरक्षित रूपमा तैनाथ गरिएको छ कि छैन भनेर जाँच गर्छ। CIS Kubernetes बेन्चमार्क.

कुबे-बेन्चले क्लस्टर कम्पोनेन्टहरू (etcd, API, नियन्त्रक प्रबन्धक, आदि), शंकास्पद फाइल पहुँच अधिकारहरू, असुरक्षित खाताहरू वा खुला पोर्टहरू, स्रोत कोटाहरू, DoS आक्रमणहरू विरुद्ध सुरक्षा गर्न API कलहरूको संख्या सीमित गर्नका लागि सेटिङहरू बीच असुरक्षित कन्फिगरेसन सेटिङहरू खोज्छ। , आदि

कुबे-शिकारी

वेबसाइट: github.com/aquasecurity/kube-hunter
इजाजतपत्र: नि: शुल्क (अपाचे)

Kube-शिकारीले Kubernetes क्लस्टरहरूमा सम्भावित कमजोरीहरू (जस्तै रिमोट कोड कार्यान्वयन वा डेटा खुलासा) खोज्छ। कुबे-शिकारीलाई रिमोट स्क्यानरको रूपमा चलाउन सकिन्छ - जसमा यसले तेस्रो-पक्ष आक्रमणकर्ताको दृष्टिकोणबाट क्लस्टरको मूल्याङ्कन गर्नेछ - वा क्लस्टर भित्रको पोडको रूपमा।

कुबे-शिकारीको एक विशिष्ट विशेषता भनेको यसको "सक्रिय शिकार" मोड हो, जसको अवधिमा यसले समस्याहरू मात्र रिपोर्ट गर्दैन, तर लक्षित क्लस्टरमा फेला परेका कमजोरीहरूको फाइदा उठाउने प्रयास गर्दछ जसले सम्भावित रूपमा यसको सञ्चालनलाई हानि पुर्‍याउन सक्छ। त्यसैले सावधानीपूर्वक प्रयोग गर्नुहोस्!

कुबेअडिट

वेबसाइट: github.com/Shopify/kubeaudit
लाइसेन्स: नि: शुल्क (MIT)

Kubeaudit एक कन्सोल उपकरण हो जुन मूल रूपमा Shopify मा विभिन्न सुरक्षा मुद्दाहरूको लागि Kubernetes कन्फिगरेसन अडिट गर्न विकास गरिएको हो। उदाहरणका लागि, यसले कन्टेनरहरू अप्रतिबन्धित चलिरहेको, रूटको रूपमा चलिरहेको, विशेषाधिकारहरू दुरुपयोग गर्ने, वा पूर्वनिर्धारित सेवा खाता प्रयोग गरी पहिचान गर्न मद्दत गर्दछ।

Kubeaudit अन्य रोचक सुविधाहरू छन्। उदाहरणका लागि, यसले स्थानीय YAML फाइलहरू विश्लेषण गर्न सक्छ, सुरक्षा समस्याहरू निम्त्याउन सक्ने कन्फिगरेसन त्रुटिहरू पहिचान गर्न सक्छ, र तिनीहरूलाई स्वचालित रूपमा समाधान गर्न सक्छ।

कुबेसेक

वेबसाइट: kubesec.io
इजाजतपत्र: नि: शुल्क (अपाचे)

Kubesec एउटा विशेष उपकरण हो जसमा यसले YAML फाइलहरू सीधै स्क्यान गर्दछ जसले Kubernetes स्रोतहरू वर्णन गर्दछ, कमजोर प्यारामिटरहरू खोज्छ जसले सुरक्षालाई असर गर्न सक्छ।

उदाहरणका लागि, यसले पोडलाई दिइएको अत्यधिक विशेषाधिकार र अनुमतिहरू पत्ता लगाउन सक्छ, पूर्वनिर्धारित प्रयोगकर्ताको रूपमा रूटको साथ कन्टेनर चलाउने, होस्टको नेटवर्क नेमस्पेसमा जडान गर्ने, वा खतरनाक माउन्टहरू जस्तै। /proc होस्ट वा डकर सकेट। Kubesec को अर्को रोचक विशेषता अनलाइन उपलब्ध डेमो सेवा हो, जसमा तपाइँ YAML अपलोड गर्न सक्नुहुन्छ र तुरुन्तै विश्लेषण गर्न सक्नुहुन्छ।

नीति एजेन्ट खोल्नुहोस्

वेबसाइट: www.openpolicyagent.org
इजाजतपत्र: नि: शुल्क (अपाचे)

OPA (ओपन पॉलिसी एजेन्ट) को अवधारणा भनेको सुरक्षा नीतिहरू र सुरक्षाका उत्कृष्ट अभ्यासहरूलाई एक विशिष्ट रनटाइम प्लेटफर्मबाट डिकपल गर्नु हो: डकर, कुबर्नेट्स, मेसोस्फियर, ओपनशिफ्ट, वा यसको कुनै पनि संयोजन।

उदाहरणका लागि, तपाईंले OPA लाई Kubernetes भर्ना नियन्त्रकको लागि ब्याकइन्डको रूपमा प्रयोग गर्न सक्नुहुन्छ, यसमा सुरक्षा निर्णयहरू प्रत्यायोजन गर्न सक्नुहुन्छ। यस तरिकाले, OPA एजेन्टले तोकिएको सुरक्षा मापदण्डहरू पूरा भएको सुनिश्चित गर्दै उडानमा अनुरोधहरूलाई मान्य गर्न, अस्वीकार गर्न र परिमार्जन गर्न पनि सक्छ। OPA का सुरक्षा नीतिहरू यसको स्वामित्वको DSL भाषा, रेगोमा लेखिएका छन्।

नोट। अनुवाद।: हामीले OPA (र SPIFFE) को बारेमा थप लेख्यौं यो सामग्री.

Kubernetes सुरक्षा विश्लेषणको लागि व्यापक व्यावसायिक उपकरण

हामीले व्यावसायिक प्लेटफर्महरूका लागि छुट्टै कोटी सिर्जना गर्ने निर्णय गर्यौं किनभने तिनीहरूले सामान्यतया धेरै सुरक्षा क्षेत्रहरू कभर गर्छन्। तिनीहरूको क्षमताहरूको सामान्य विचार तालिकाबाट प्राप्त गर्न सकिन्छ:

* पूरा संग उन्नत परीक्षा र पोस्टमार्टम विश्लेषण प्रणाली कल अपहरण.

एक्वा सुरक्षा

वेबसाइट: www.aquasec.com
इजाजतपत्र: व्यावसायिक

यो व्यावसायिक उपकरण कन्टेनर र क्लाउड वर्कलोडहरूको लागि डिजाइन गरिएको हो। यसले प्रदान गर्दछ:

कन्टेनर रजिस्ट्री वा CI/CD पाइपलाइनसँग एकीकृत छवि स्क्यानिङ;
कन्टेनर र अन्य संदिग्ध गतिविधिहरूमा परिवर्तनहरूको लागि खोजीको साथ रनटाइम सुरक्षा;
कन्टेनर-नेटिभ फायरवाल;
क्लाउड सेवाहरूमा सर्भररहितको लागि सुरक्षा;
अनुपालन परीक्षण र अडिटिङ घटना लगिङ संग संयुक्त।

नोट। अनुवाद।: यो पनि ध्यान दिन लायक छ कि त्यहाँ छन् उत्पादन को नि: शुल्क कम्पोनेन्ट भनिन्छ माइक्रो स्क्यानर, जसले तपाईंलाई कमजोरीहरूको लागि कन्टेनर छविहरू स्क्यान गर्न अनुमति दिन्छ। सशुल्क संस्करणहरूसँग यसको क्षमताहरूको तुलना प्रस्तुत गरिएको छ यो तालिका.

क्याप्सुल ८

वेबसाइट: capsule8.com
इजाजतपत्र: व्यावसायिक

स्थानीय वा क्लाउड Kubernetes क्लस्टरमा डिटेक्टर स्थापना गरेर क्याप्सुल8 पूर्वाधारमा एकीकृत हुन्छ। यो डिटेक्टरले होस्ट र नेटवर्क टेलिमेट्री सङ्कलन गर्दछ, यसलाई विभिन्न प्रकारका आक्रमणहरूसँग सम्बन्धित गर्दछ।

क्याप्सुल ८ टोलीले नयाँ प्रयोग गरेर आक्रमणको प्रारम्भिक पहिचान र रोकथामको रूपमा आफ्नो कार्यलाई हेर्छ (०-दिन) कमजोरीहरू। क्याप्सूल8ले नयाँ पत्ता लगाएका खतराहरू र सफ्टवेयर कमजोरीहरूको प्रतिक्रियामा डिटेक्टरहरूमा अद्यावधिक सुरक्षा नियमहरू डाउनलोड गर्न सक्छ।

क्याभिरिन

वेबसाइट: www.cavirin.com
इजाजतपत्र: व्यावसायिक

Cavirin सुरक्षा मापदण्डहरूमा संलग्न विभिन्न एजेन्सीहरूको लागि कम्पनी-साइड ठेकेदारको रूपमा कार्य गर्दछ। यसले छविहरू स्क्यान मात्र गर्न सक्दैन, तर यसले CI/CD पाइपलाइनमा पनि एकीकृत गर्न सक्छ, गैर-मानक छविहरूलाई बन्द भण्डारहरूमा प्रवेश गर्नु अघि रोक्दै।

Cavirin को सुरक्षा सुइटले तपाइँको साइबरसुरक्षा मुद्राको मूल्याङ्कन गर्न मेसिन लर्निङ प्रयोग गर्दछ, सुरक्षा सुधार गर्न र सुरक्षा मापदण्डहरूको अनुपालन सुधार गर्न सुझावहरू प्रदान गर्दछ।

गुगल क्लाउड सुरक्षा आदेश केन्द्र

वेबसाइट: cloud.google.com/security-command-center
इजाजतपत्र: व्यावसायिक

क्लाउड सेक्युरिटी कमाण्ड सेन्टरले सुरक्षा टोलीहरूलाई डेटा सङ्कलन गर्न, खतराहरू पहिचान गर्न र कम्पनीलाई हानि पुर्‍याउनु अघि तिनीहरूलाई हटाउन मद्दत गर्छ।

नामले सुझाव दिए जस्तै, Google Cloud SCC एक एकीकृत नियन्त्रण प्यानल हो जसले एकल, केन्द्रीकृत स्रोतबाट विभिन्न प्रकारका सुरक्षा रिपोर्टहरू, सम्पत्ति लेखा इन्जिनहरू, र तेस्रो-पक्ष सुरक्षा प्रणालीहरूलाई एकीकृत र व्यवस्थापन गर्न सक्छ।

गुगल क्लाउड SCC द्वारा प्रस्ताव गरिएको इन्टरअपरेबल API ले विभिन्न स्रोतहरूबाट आउने सुरक्षा घटनाहरूलाई एकीकृत गर्न सजिलो बनाउँछ, जस्तै Sysdig Secure (क्लाउड-नेटिभ अनुप्रयोगहरूको लागि कन्टेनर सुरक्षा) वा Falco (खुला स्रोत रनटाइम सुरक्षा)।

स्तरित अन्तरदृष्टि (Qualys)

वेबसाइट: layeredinsight.com
इजाजतपत्र: व्यावसायिक

लेयर्ड इनसाइट (अहिले क्वालिस इंकको अंश) "इम्बेडेड सुरक्षा" को अवधारणामा निर्मित छ। सांख्यिकीय विश्लेषण र CVE जाँचहरू प्रयोग गरेर कमजोरीहरूको लागि मूल छवि स्क्यान गरेपछि, स्तरित इनसाइटले यसलाई बाइनरीको रूपमा एजेन्ट समावेश गर्ने इन्स्ट्रुमेन्टेड छविसँग बदल्छ।

यो एजेन्टले कन्टेनर नेटवर्क ट्राफिक, I/O प्रवाह र अनुप्रयोग गतिविधि विश्लेषण गर्न रनटाइम सुरक्षा परीक्षणहरू समावेश गर्दछ। थप रूपमा, यसले पूर्वाधार प्रशासक वा DevOps टोलीहरू द्वारा निर्दिष्ट अतिरिक्त सुरक्षा जाँचहरू गर्न सक्छ।

NeuVector

वेबसाइट: neuvector.com
इजाजतपत्र: व्यावसायिक

NeuVector ले कन्टेनर सुरक्षा जाँच गर्दछ र नेटवर्क गतिविधि र अनुप्रयोग व्यवहारको विश्लेषण गरेर रनटाइम सुरक्षा प्रदान गर्दछ, प्रत्येक कन्टेनरको लागि व्यक्तिगत सुरक्षा प्रोफाइल सिर्जना गर्दछ। यसले स्थानीय फायरवाल नियमहरू परिवर्तन गरेर संदिग्ध गतिविधिलाई अलग गर्दै आफ्नै धम्कीहरू रोक्न पनि सक्छ।

NeuVector को नेटवर्क एकीकरण, सुरक्षा जालको रूपमा चिनिन्छ, सेवा जालमा सबै नेटवर्क जडानहरूको लागि गहिरो प्याकेट विश्लेषण र तह 7 फिल्टर गर्न सक्षम छ।

StackRox

वेबसाइट: www.stackrox.com
इजाजतपत्र: व्यावसायिक

StackRox कन्टेनर सुरक्षा प्लेटफर्मले Kubernetes अनुप्रयोगहरूको सम्पूर्ण जीवनचक्रलाई क्लस्टरमा कभर गर्ने प्रयास गर्दछ। यस सूचीमा अन्य व्यावसायिक प्लेटफर्महरू जस्तै, StackRox ले अवलोकन गरिएको कन्टेनर व्यवहारमा आधारित रनटाइम प्रोफाइल उत्पन्न गर्दछ र स्वचालित रूपमा कुनै पनि विचलनको लागि अलार्म बढाउँछ।

थप रूपमा, StackRox ले Kubernetes CIS र अन्य नियमपुस्तिकाहरू प्रयोग गरेर कन्टेनर अनुपालन मूल्याङ्कन गर्न Kubernetes कन्फिगरेसनहरूको विश्लेषण गर्दछ।

Sysdig सुरक्षित

वेबसाइट: sysdig.com/products/secure
इजाजतपत्र: व्यावसायिक

Sysdig Secure ले सम्पूर्ण कन्टेनर र Kubernetes जीवनचक्रमा अनुप्रयोगहरूलाई सुरक्षित गर्दछ। उहाँले तस्बिरहरू स्क्यान गर्दछ कन्टेनर, प्रदान गर्दछ रनटाइम सुरक्षा मेसिन लर्निङ डाटा अनुसार, क्रीम प्रदर्शन गर्दछ। कमजोरीहरू, ब्लक धम्कीहरू, मनिटरहरू पहिचान गर्न विशेषज्ञता स्थापित मापदण्डहरु संग अनुपालन र सूक्ष्म सेवाहरूमा गतिविधि लेखा।

Sysdig Secure ले जेन्किन्स जस्ता CI/CD उपकरणहरूसँग एकीकृत गर्दछ र डकर रजिस्ट्रीहरूबाट लोड गरिएका छविहरूलाई नियन्त्रण गर्दछ, खतरनाक छविहरूलाई उत्पादनमा देखा पर्नबाट रोक्छ। यसले व्यापक रनटाइम सुरक्षा पनि प्रदान गर्दछ, सहित:

ML-आधारित रनटाइम प्रोफाइलिङ र विसंगति पत्ता लगाउने;
प्रणाली घटनाहरू, K8s-अडिट API, संयुक्त सामुदायिक परियोजनाहरू (FIM - फाइल अखण्डता निगरानी; क्रिप्टोज्याकिंग) र फ्रेमवर्कमा आधारित रनटाइम नीतिहरू मिटर एटीटी एन्ड सीके;
घटनाहरूको प्रतिक्रिया र समाधान।

टेनेबल कन्टेनर सुरक्षा

वेबसाइट: www.tenable.com/products/tenable-io/container-security
इजाजतपत्र: व्यावसायिक

कन्टेनरको आगमन अघि, टेनेबललाई उद्योगमा नेसस पछिको कम्पनीको रूपमा व्यापक रूपमा चिनिन्थ्यो, एक लोकप्रिय भेद्यता शिकार र सुरक्षा लेखा परीक्षण उपकरण।

टेनेबल कन्टेनर सुरक्षाले CI/CD पाइपलाइनलाई भेद्यता डेटाबेस, विशेष मालवेयर पत्ता लगाउने प्याकेजहरू, र सुरक्षा खतराहरू समाधान गर्नका लागि सिफारिसहरू समावेश गर्न कम्पनीको कम्प्युटर सुरक्षा विशेषज्ञताको लाभ उठाउँछ।

ट्विस्टलक (पालो अल्टो नेटवर्क)

वेबसाइट: www.twistlock.com
इजाजतपत्र: व्यावसायिक

ट्विस्टलकले क्लाउड सेवाहरू र कन्टेनरहरूमा केन्द्रित प्लेटफर्मको रूपमा आफूलाई बढावा दिन्छ। ट्विस्टलकले विभिन्न क्लाउड प्रदायकहरू (AWS, Azure, GCP), कन्टेनर अर्केस्ट्रेटरहरू (Kubernetes, Mesospehere, OpenShift, Docker), सर्भरलेस रनटाइमहरू, जाल फ्रेमवर्कहरू र CI/CD उपकरणहरूलाई समर्थन गर्दछ।

CI/CD पाइपलाइन एकीकरण वा छवि स्क्यानिङ जस्ता परम्परागत इन्टरप्राइज-ग्रेड सुरक्षा प्रविधिहरूको अतिरिक्त, Twistlock ले कन्टेनर-विशिष्ट व्यवहार ढाँचा र नेटवर्क नियमहरू उत्पन्न गर्न मेसिन लर्निङ प्रयोग गर्दछ।

केहि समय पहिले, ट्विस्टलक Evident.io र RedLock प्रोजेक्टहरूको स्वामित्वमा रहेको Palo Alto Networks द्वारा खरिद गरिएको थियो। यो अझै थाहा छैन कि यी तीन प्लेटफर्महरू कसरी एकीकृत हुनेछन् PRISMA पालो अल्टोबाट।

Kubernetes सुरक्षा उपकरणहरूको उत्कृष्ट सूची निर्माण गर्न मद्दत गर्नुहोस्!

हामी यस सूचीलाई सकेसम्म पूर्ण बनाउन प्रयास गर्छौं, र यसका लागि हामीलाई तपाईंको सहयोग चाहिन्छ! हामीलाई सम्पर्क गर्नुहोस (@sysdig) यदि तपाइँको दिमागमा राम्रो उपकरण छ जुन यो सूचीमा समावेश गर्न योग्य छ, वा तपाइँ त्रुटि/पुरानो जानकारी फेला पार्नुहुन्छ।

तपाईं पनि हाम्रो सदस्यता लिन सक्नुहुन्छ मासिक न्यूजलेटर क्लाउड-नेटिभ इकोसिस्टमबाट समाचारहरू र कुबेरनेट सुरक्षाको संसारबाट रोचक परियोजनाहरूका कथाहरू।

अनुवादकबाट PS

हाम्रो ब्लगमा पनि पढ्नुहोस्:

स्रोत: www.habr.com

33+ Kubernetes सुरक्षा उपकरणहरू