33+ Kubernetes-beveiligingstools

Opmerking. vert.: Als u zich afvraagt ​​wat beveiligingsproblemen zijn in een op Kubernetes gebaseerde infrastructuur, dan is dit uitstekende overzicht van Sysdig een prima startpunt voor een snelle introductie van de oplossingen die vandaag relevant zijn. Het omvat zowel complexe systemen van bekende marktspelers als veel bescheidener hulpprogramma's die een bepaald probleem dekken. En in de commentaren zullen we, zoals altijd, graag meer te weten komen over uw ervaring met het gebruik van deze tools en links naar andere projecten zien.

Kubernetes-beveiligingssoftwareproducten... er zijn er zoveel en elk heeft zijn eigen doel, reikwijdte en licenties.

Daarom hebben we besloten om deze lijst samen te stellen en zowel open source-projecten als commerciële platforms van verschillende leveranciers op te nemen. We hopen dat het u helpt bij het kiezen van degene die het meest interessant zijn en u in de juiste richting wijst op basis van uw specifieke Kubernetes-beveiligingsbehoeften.

categorie

Om het gemakkelijker te maken om door de lijst te navigeren, zijn de tools gecategoriseerd op hoofdfunctie en toepassing. De resulterende secties zijn:

• Kubernetes beeldscanning en statische analyse;
• runtime-beveiliging;
• Kubernetes-netwerkbeveiliging;
• Distributie van afbeeldingen en beheer van geheimen;
• Kubernetes-beveiligingsaudit;
• Complexe commerciële producten.

Terzake:

Kubernetes-afbeeldingen scannen

Anker

• website: anker.com
• Licentie: gratis (Apache) en commercieel aanbod

Het Anchore-pakket analyseert containerafbeeldingen en maakt beveiligingscontroles mogelijk op basis van door de gebruiker gedefinieerd beleid.

Naast het gebruikelijke scannen van containerafbeeldingen op bekende kwetsbaarheden uit de CVE-database, voert Anchore veel aanvullende controles uit als onderdeel van het scanbeleid: controleert Dockerfile, gelekte inloggegevens, pakketten van gebruikte programmeertalen (npm, maven, etc.) , softwarelicenties en nog veel meer .

Duidelijk

• website: coreos.com/clair (nu onder de voogdij van Red Hat)
• Licentie: gratis (Apache)

Clair was een van de eerste Open Source-projecten voor het scannen van afbeeldingen. Het staat algemeen bekend als de beveiligingsscanner achter de Quay Image Registry. (ook van CoreOS - ca. vert.). Clair kan informatie over CVE's verzamelen uit een grote verscheidenheid aan bronnen, waaronder lijsten met Linux-distributiespecifieke kwetsbaarheden die worden bijgehouden door de Debian-, Red Hat- of Ubuntu-beveiligingsteams.

In tegenstelling tot Anchore is Clair vooral gericht op het vinden van kwetsbaarheden en het matchen van data met CVE. Het product biedt gebruikers echter enkele opties om de functionaliteit uit te breiden via plug-in-stuurprogramma's.

dagda

• website: github.com/eliasgranderubio/dagda
• Licentie: gratis (Apache)

Dagda analyseert containerafbeeldingen statisch op bekende kwetsbaarheden, Trojaanse paarden, virussen, malware en andere bedreigingen.

Het Dagda-pakket verschilt op twee opvallende manieren van andere vergelijkbare tools:

• Het integreert goed met ClamAV, niet alleen als hulpmiddel voor het scannen van containerafbeeldingen, maar ook als antivirus.
• Biedt ook runtime-bescherming door real-time gebeurtenissen van de Docker-daemon te ontvangen en te integreren met Falco (zie hieronder) om beveiligingsgebeurtenissen te verzamelen terwijl de container actief is.

KubeXray

• website: github.com/jfrog/kubexray
• Licentie: gratis (Apache), maar vereist gegevens van JFrog Xray (commercieel product)

KubeXray luistert naar gebeurtenissen van de Kubernetes API-server en gebruikt metadata van JFrog Xray om ervoor te zorgen dat alleen pods die overeenkomen met het huidige beleid starten.

KubeXray controleert niet alleen nieuwe of bijgewerkte containers in implementaties (vergelijkbaar met de toelatingscontroller in Kubernetes), maar controleert ook dynamische containers op naleving van nieuw beveiligingsbeleid, waarbij bronnen worden verwijderd die verwijzen naar kwetsbare afbeeldingen.

Snyk

• website: snyk.io
• Licentie: gratis (Apache) en commerciële versies

Snyk is een ongewone kwetsbaarheidsscanner in die zin dat het specifiek gericht is op het ontwikkelingsproces en wordt gepromoot als een "essentiële oplossing" voor ontwikkelaars.

Snyk maakt rechtstreeks verbinding met coderepository's, parseert het projectmanifest en parseert geïmporteerde code samen met directe en indirecte afhankelijkheden. Snyk ondersteunt veel populaire programmeertalen en kan verborgen licentierisico's detecteren.

Trivia

• website: github.com/knqyf263/trivy
• Licentie: gratis (AGPL)

Trivy is een eenvoudige maar krachtige scanner voor containerkwetsbaarheid die eenvoudig kan worden geïntegreerd in een CI/CD-pijplijn. Het opmerkelijke kenmerk is het gemak van installatie en bediening: de applicatie bestaat uit een enkel binair bestand en vereist geen installatie van een database of extra bibliotheken.

Het nadeel van de eenvoud van Trivy is dat je moet uitzoeken hoe je JSON-resultaten moet ontleden en verzenden, zodat andere Kubernetes-beveiligingstools ze kunnen gebruiken.

Runtime-beveiliging in Kubernetes

Falco

• website: falco.org
• Licentie: gratis (Apache)

Falco is een reeks tools voor het beveiligen van cloudruntimes. Onderdeel van een projectfamilie CNCF.

Met behulp van de Sysdig-toolkit voor het werken op Linux-kernelniveau en het profileren van systeemaanroepen, stelt Falco je in staat om diep in het gedrag van het systeem te duiken. De engine voor runtime-regels is in staat om verdachte activiteiten in applicaties, containers, de onderliggende host en de Kubernetes-orkestrator te detecteren.

Falco biedt volledige transparantie in runtime-werking en detectie van bedreigingen door hiervoor speciale agenten op Kubernetes-knooppunten in te stellen. Hierdoor is het niet nodig om containers aan te passen door er code van derden in te injecteren of zijspancontainers op te hangen.

Linux-beveiligingsframeworks voor runtime

Deze frameworks, eigen aan de Linux-kernel, zijn geen "Kubernetes-beveiligingstools" in de gebruikelijke zin, maar verdienen een vermelding omdat ze een belangrijk element zijn in de context van runtime-beveiliging, die is opgenomen in het Kubernetes Pod-beveiligingsbeleid (PSP) .

AppArmor koppelt een beveiligingsprofiel aan processen die in een container worden uitgevoerd, definieert bestandssysteemprivileges, netwerktoegangsregels, koppelt bibliotheken, enz. Het is een systeem gebaseerd op Mandatory Access Control (MAC). Met andere woorden, het voorkomt het uitvoeren van verboden handelingen.

Beveiliging verbeterde Linux (SELinux) is een geavanceerde beveiligingsmodule in de Linux-kernel, in sommige opzichten vergelijkbaar met AppArmor en er vaak mee vergeleken. SELinux overtreft AppArmor in termen van kracht, flexibiliteit en finesse. De nadelen zijn een lange ontwikkeling en een grotere complexiteit.

Seccomp en seccomp-bpf stellen u in staat om systeemoproepen te filteren, de uitvoering te blokkeren van oproepen die potentieel gevaarlijk zijn voor het onderliggende besturingssysteem en die niet nodig zijn voor de normale werking van gebruikerstoepassingen. Seccomp lijkt in sommige opzichten op Falco, hoewel het de specifieke kenmerken van containers niet kent.

Sysdig open source

• website: www.sysdig.com/opensource
• Licentie: gratis (Apache)

Sysdig is een complete tool voor het analyseren, diagnosticeren en debuggen van Linux-systemen (werkt ook op Windows en macOS, maar met beperkte functies). Het kan worden gebruikt voor het verzamelen van gedetailleerde informatie, verificatie en forensisch onderzoek (forensisch) het basissysteem en eventuele containers die erop draaien.

Sysdig ondersteunt ook standaard uitvoerbare bestanden van containers en Kubernetes-metadata, waardoor extra dimensies en labels worden toegevoegd aan alle verzamelde informatie over systeemgedrag. Er zijn verschillende manieren om een ​​Kubernetes-cluster te analyseren met Sysdig: je kunt een tijdstip vastleggen via kubectl-opname of voer een interactieve interface uit op basis van ncurses met behulp van de plug-in kubectl graven.

Kubernetes-netwerkbeveiliging

Aporeto

• website: www.aporeto.com
• Licentie: commercieel

Aporeto biedt "beveiliging gescheiden van netwerk en infrastructuur". Dit betekent dat Kubernetes-services niet alleen een lokale ID krijgen (d.w.z. ServiceAccount in Kubernetes), maar ook een universele ID/vingerafdruk die kan worden gebruikt om veilig en wederzijds geverifieerd te communiceren met elke andere service, zoals in een OpenShift-cluster.

Aporeto kan niet alleen een uniek ID genereren voor Kubernetes/containers, maar ook voor hosts, cloudfuncties en gebruikers. Afhankelijk van deze ID's en de set netwerkbeveiligingsregels die door de beheerder zijn ingesteld, wordt communicatie toegestaan ​​of geblokkeerd.

Calico

• website: www.projectcalico.org
• Licentie: gratis (Apache)

Calico wordt meestal ingezet tijdens de installatie van de container-orchestrator, waarmee u een virtueel netwerk kunt maken dat containers koppelt. Naast deze basisnetwerkfunctionaliteit werkt het Calico-project met Kubernetes Network Policies en zijn eigen set netwerkbeveiligingsprofielen, ondersteunt het eindpunt-ACL's (Access Control Lists) en op annotaties gebaseerde netwerkbeveiligingsregels voor binnenkomend en uitgaand verkeer.

cilium

• website: www.cilium.io
• Licentie: gratis (Apache)

Cilium fungeert als een containerfirewall en biedt netwerkbeveiligingsfuncties die native zijn aangepast aan Kubernetes en microservices-workloads. Cilium gebruikt een nieuwe Linux-kerneltechnologie genaamd BPF (Berkeley Packet Filter) om gegevens te filteren, te bewaken, om te leiden en te corrigeren.

Cilium kan beleid voor netwerktoegang implementeren op basis van container-ID's met behulp van Docker- of Kubernetes-labels en metadata. Cilium begrijpt en filtert ook verschillende Layer 7-protocollen zoals HTTP of gRPC, waardoor u bijvoorbeeld de set REST-aanroepen kunt definiëren die tussen twee Kubernetes-implementaties is toegestaan.

Istio

• website: istio.io
• Licentie: gratis (Apache)

Istio staat algemeen bekend om het implementeren van het servicemesh-paradigma door een platformonafhankelijk besturingsvlak te implementeren en al het beheerde serviceverkeer om te leiden via dynamisch configureerbare Envoy-proxy's. Istio maakt gebruik van deze geavanceerde weergave van alle microservices en containers om verschillende netwerkbeveiligingsstrategieën te implementeren.

Istio's netwerkbeveiligingsmogelijkheden omvatten transparante TLS-codering om het communicatieprotocol tussen microservices automatisch te upgraden naar HTTPS, en een native RBAC-authenticatie- en autorisatiesysteem om communicatie tussen verschillende workloads in een cluster toe te staan/weigeren.

Opmerking. vert.: Zie voor meer informatie over de beveiligingsgerichte mogelijkheden van Istio dit artikel.

Tijger

• website: www.tigera.io
• Licentie: commercieel

Deze oplossing, die de "Kubernetes-firewall" wordt genoemd, legt de nadruk op een zero-trustbenadering van netwerkbeveiliging.

Net als andere Kubernetes-native netwerkoplossingen vertrouwt Tigera op metadata om verschillende services en objecten in een cluster te identificeren en biedt het runtime probleemdetectie, continue compliance en netwerkzichtbaarheid voor multi-cloud of hybride monolithische gecontaineriseerde infrastructuren.

Trireem

• website: www.aporeto.com/opensource
• Licentie: gratis (Apache)

Trireme-Kubernetes is een eenvoudige en schone implementatie van de Kubernetes Network Policies-specificatie. Het meest opvallende kenmerk is dat er - in tegenstelling tot vergelijkbare Kubernetes-netwerkbeveiligingsproducten - geen centraal besturingsvlak nodig is om de mesh (mesh) te coördineren. Dit maakt de oplossing triviaal schaalbaar. Trireme bereikt dit door op elk knooppunt een agent te installeren die rechtstreeks verbinding maakt met de TCP/IP-stack van de host.

Beelddistributie en geheimbeheer

grafeas

• website: grapheas.io
• Licentie: gratis (Apache)

Grafeas is een open source API voor auditing en beheer van de software supply chain. Op basisniveau is Grafeas een tool voor het verzamelen van metadata en auditresultaten. Het kan worden gebruikt om de naleving van best practices op het gebied van beveiliging in een organisatie bij te houden.

Deze gecentraliseerde bron van waarheid helpt bij het beantwoorden van vragen als:

• Wie heeft een bepaalde container samengesteld en ondertekend?
• Heeft het alle beveiligingsscanners en beveiligingsbeleidscontroles doorstaan? Wanneer? Wat waren de resultaten?
• Wie heeft het in productie genomen? Welke parameters zijn gebruikt tijdens de implementatie?

in

• website: in-toto.github.io
• Licentie: gratis (Apache)

In-toto is een raamwerk dat is ontworpen om integriteit, authenticatie en auditing te bieden voor de gehele softwaretoeleveringsketen. Bij het implementeren van In-toto op de infrastructuur wordt eerst een plan gedefinieerd dat de verschillende stappen in de pijplijn beschrijft (repository, CI/CD-tools, QA-tools, artefactbouwers, etc.) en de gebruikers (verantwoordelijke personen) die mogen initieer ze.

In-toto controleert de uitvoering van het plan door te verifiëren dat elke taak in de keten alleen correct wordt uitgevoerd door geautoriseerd personeel en dat er tijdens de verplaatsing geen ongeoorloofde manipulaties met het product zijn uitgevoerd.

Portiers

• website: github.com/IBM/portieris
• Licentie: gratis (Apache)

Portieris is een toelatingscontroller voor Kubernetes; gebruikt om inhoudscontroles af te dwingen. Portieris gebruikt de server Notaris (we schreven aan het einde over hem dit artikel - ca. vert.) als bron van waarheid voor het valideren van vertrouwde en ondertekende artefacten (dat wil zeggen goedgekeurde containerimages).

Wanneer u een werkbelasting in Kubernetes maakt of wijzigt, laadt Portieris de handtekeninginformatie en het inhoudsvertrouwensbeleid voor de aangevraagde containerimages en brengt, indien nodig, direct wijzigingen aan in het API JSON-object om de ondertekende versies van die images uit te voeren.

Gewelf

• website: www.vaultproject.io
• Licentie: gratis (MPL)

Vault is een veilige oplossing voor het opslaan van gevoelige informatie: wachtwoorden, OAuth-tokens, PKI-certificaten, toegangsaccounts, Kubernetes-geheimen en meer. Vault ondersteunt veel geavanceerde functies, zoals het huren van kortstondige beveiligingstokens of het organiseren van sleutelrotatie.

Met behulp van het Helm-diagram kan Vault worden geïmplementeerd als een nieuwe implementatie in een Kubernetes-cluster met Consul als back-endopslag. Het ondersteunt native Kubernetes-resources zoals ServiceAccount-tokens en kan zelfs fungeren als de standaard Kubernetes-geheime opslag.

Opmerking. vert.: Trouwens, gisteren heeft HashiCorp, dat Vault ontwikkelt, enkele verbeteringen aangekondigd voor het gebruik van Vault in Kubernetes, en in het bijzonder hebben ze betrekking op de Helm-grafiek. Lees de details erin ontwikkelaarsblog.

Kubernetes-beveiligingsaudit

Kube-bank

• website: github.com/aquasecurity/kube-bench
• Licentie: gratis (Apache)

Kube-bench is een Go-applicatie die controleert of Kubernetes veilig is geïmplementeerd door tests uit een lijst uit te voeren CIS Kubernetes-benchmark.

Kube-bench zoekt naar onveilige configuratie-instellingen tussen clustercomponenten (etcd, API, controller manager, enz.), twijfelachtige bestandsmachtigingen, onveilige accounts of open poorten, bronquota, API-oproeplimietinstellingen om te beschermen tegen DoS-aanvallen, enz.

Kube-jager

• website: github.com/aquasecurity/kube-hunter
• Licentie: gratis (Apache)

Kube-hunter "jaagt" op mogelijke kwetsbaarheden (zoals het uitvoeren van externe code of het vrijgeven van gegevens) in Kubernetes-clusters. Kube-hunter kan worden uitgevoerd als een externe scanner - in welk geval het de cluster zal evalueren vanuit het oogpunt van een externe aanvaller - of als een pod binnen de cluster.

Een onderscheidend kenmerk van Kube-hunter is de "actieve jacht"-modus, waarin het niet alleen problemen meldt, maar ook probeert misbruik te maken van kwetsbaarheden in het doelcluster die de werking ervan mogelijk kunnen schaden. Wees dus voorzichtig!

Kubaudit

• website: github.com/Shopify/kubeaudit
• Licentie: gratis (MIT)

Kubeaudit is een consoletool die oorspronkelijk door Shopify is ontwikkeld om uw Kubernetes-configuratie te controleren op verschillende beveiligingsproblemen. Het helpt bijvoorbeeld bij het identificeren van containers die zonder onderscheid worden uitgevoerd, als root worden uitgevoerd, misbruik maken van bevoegdheden of het standaard ServiceAccount gebruiken.

Kubeaudit heeft ook andere interessante functies. Het kan bijvoorbeeld lokale YAML-bestanden parseren, configuratiefouten identificeren die tot beveiligingsproblemen kunnen leiden, en deze automatisch oplossen.

Kubesec

• website: kubesec.io
• Licentie: gratis (Apache)

Kubesec is speciaal omdat het Kubernetes-resource-YAML-bestanden rechtstreeks scant op zwakke instellingen die de beveiliging kunnen beïnvloeden.

Het kan bijvoorbeeld buitensporige privileges en machtigingen detecteren die aan een pod zijn verleend, een container uitvoeren met root als de standaardgebruiker, verbinding maken met de netwerknaamruimte van de host, of gevaarlijke mounts zoals /proc host of Docker-socket. Een andere interessante feature van Kubesec is een online demoservice waar je YAML kunt uploaden en direct kunt analyseren.

Beleidsagent openen

• website: www.openpolicyagent.org
• Licentie: gratis (Apache)

Het concept van OPA (Open Policy Agent) is om beveiligingsbeleid en best practices voor beveiliging te scheiden van een specifiek runtime-platform: Docker, Kubernetes, Mesosphere, OpenShift of een combinatie daarvan.

U kunt OPA bijvoorbeeld inzetten als backend voor een Kubernetes-toegangscontroller en beveiligingsbeslissingen hieraan delegeren. Op deze manier kan de OPA-agent verzoeken direct controleren, weigeren en zelfs wijzigen, zodat de gespecificeerde beveiligingsparameters worden gerespecteerd. Het beveiligingsbeleid in OPA is geschreven in zijn eigen DSL, Rego.

Opmerking. vert.: We schreven meer over OPA (en SPIFFE) in dit spul.

Uitgebreide commerciële Kubernetes-beveiligingsanalysetools

We hebben besloten een aparte categorie voor commerciële platforms te maken, omdat deze de neiging hebben om meerdere beveiligingsgebieden tegelijk te dekken. Een algemeen idee van hun capaciteiten kan worden verkregen uit de tabel:

* Geavanceerde expertise en post-mortemanalyse met volledige vastleggen van systeemoproepen.

Aqua Beveiliging

• website: www.aquasec.com
• Licentie: commercieel

Deze commerciële tool is ontworpen voor containers en cloudworkloads. Het zorgt voor:

• Scannen van afbeeldingen geïntegreerd met containerregister of CI/CD-pijplijn;
• Runtime-bescherming met het zoeken naar wijzigingen in containers en andere verdachte activiteiten;
• Native containerfirewall;
• Beveiliging voor serverloos in cloudservices;
• Compliance en audit gecombineerd met event logging.

Opmerking. vert.: Het is ook vermeldenswaard dat er zijn gratis onderdeel van het product genoemd microscanner, waarmee u containerafbeeldingen kunt scannen op kwetsbaarheden. Vergelijking van de functies met betaalde versies wordt gepresenteerd in deze tafel.

Capsule 8

• website: capsule8. com
• Licentie: commercieel

Capsule8 integreert in de infrastructuur door de detector te installeren in een lokaal of cloud Kubernetes-cluster. Deze detector verzamelt host- en netwerktelemetrie en correleert deze met verschillende soorten aanvallen.

Het Capsule8-team zet zich in voor vroege detectie en preventie van aanvallen met behulp van vers (0 dagen) kwetsbaarheden. Capsule8 kan bijgewerkte beveiligingsregels rechtstreeks naar detectoren uploaden als reactie op nieuw ontdekte bedreigingen en softwarekwetsbaarheden.

Cavirine

• website: www.cavirin.com
• Licentie: commercieel

Cavirin treedt op als tegenpartij van verschillende bureaus voor beveiligingsstandaarden. Het kan niet alleen afbeeldingen scannen, maar het kan ook worden geïntegreerd in de CI/CD-pijplijn, waardoor niet-compatibele afbeeldingen worden geblokkeerd voordat ze privé-repository's binnenkomen.

De Cavirin Security Suite maakt gebruik van machine learning om de staat van cyberbeveiliging te beoordelen, geeft advies over hoe de beveiliging kan worden verhoogd en de naleving van de beveiligingsregels kan worden verbeterd.

Commandocentrum voor Google Cloud-beveiliging

• website: cloud.google.com/security-command-center
• Licentie: commercieel

Cloud Security Command Center helpt beveiligingsteams gegevens te verzamelen, bedreigingen te identificeren en deze te herstellen voordat ze het bedrijf schade berokkenen.

Zoals de naam al aangeeft, is Google Cloud SCC een uniform configuratiescherm dat verschillende beveiligingsrapporten, engine voor het volgen van activa en beveiligingssystemen van derden kan integreren en beheren vanuit een enkele, gecentraliseerde bron.

De interoperabele API die wordt aangeboden door Google Cloud SCC vergemakkelijkt de integratie van beveiligingsgebeurtenissen die afkomstig zijn van verschillende bronnen, zoals Sysdig Secure (containerbeveiliging voor cloud-native applicaties) of Falco (Open Source runtime-beveiliging).

Gelaagd inzicht (Qualys)

• website: gelaagdinsight.com
• Licentie: commercieel

Layered Insight (nu onderdeel van Qualys Inc) is gebouwd op het concept van "embedded security". Na het scannen van de originele afbeelding op kwetsbaarheden met behulp van statistische analysemethoden en het uitvoeren van CVE-controles, vervangt Layered Insight deze door een geïnstrumenteerde afbeelding met een agent in de vorm van een binair bestand.

Deze agent bevat runtime-beveiligingstests om containernetwerkverkeer, I/O-stromen en applicatie-activiteit te analyseren. Bovendien kan het aanvullende beveiligingscontroles uitvoeren die zijn gespecificeerd door de infrastructuurbeheerder of DevOps-teams.

NeuVector

• website: neuvector.com
• Licentie: commercieel

NeuVector voert containerbeveiligingscontroles en runtime-bescherming uit door netwerkactiviteit en applicatiegedrag te analyseren en voor elke container een individueel beveiligingsprofiel te creëren. Het kan ook zelf bedreigingen blokkeren door verdachte activiteiten te isoleren door lokale firewallregels aan te passen.

De netwerkintegratie van NeuVector, bekend als Security Mesh, is in staat tot diepgaande pakketinspectie en laag 7-filtering voor alle netwerkverbindingen in een servicemesh.

stapelrox

• website: www.stackrox.com
• Licentie: commercieel

Het StackRox-containerbeveiligingsplatform heeft tot doel de volledige levenscyclus van Kubernetes-applicaties in een cluster te dekken. Net als andere commerciële platforms op deze lijst, genereert StackRox een runtimeprofiel op basis van waargenomen containergedrag en slaat automatisch een alarm af bij eventuele afwijkingen.

Daarnaast analyseert StackRox Kubernetes-configuraties met behulp van CIS Kubernetes en andere rulebooks om de naleving van containers te evalueren.

Sysdig veilig

• website: sysdig.com/products/secure
• Licentie: commercieel

Sysdig Secure beschermt applicaties gedurende de hele container- en Kubernetes-levenscyclus. Hij scant afbeeldingen containers, biedt looptijd bescherming voert volgens machine learning crimineel gedrag uit. expertise om kwetsbaarheden te identificeren, bedreigingen te blokkeren, monitoren voldoen aan vastgestelde normen en audits activiteit in microservices.

Sysdig Secure kan worden geïntegreerd met CI/CD-tools zoals Jenkins en beheert afbeeldingen die worden geladen vanuit Docker-registers, waardoor wordt voorkomen dat gevaarlijke afbeeldingen in productie verschijnen. Het biedt ook uitgebreide runtime-beveiliging, waaronder:

• ML-gebaseerde runtime-profilering en anomaliedetectie;
• runtimebeleid op basis van systeemgebeurtenissen, K8s-audit API, gezamenlijke gemeenschapsprojecten (FIM - file integrity monitoring; cryptojacking) en framework MITRE ATT & CK;
• respons en eliminatie van incidenten.

Duurzame containerbeveiliging

• website: www.tenable.com/products/tenable-io/container-security
• Licentie: commercieel

Vóór de komst van containers stond Tenable in de branche algemeen bekend als het bedrijf dat Nessus ontwikkelde, een populaire tool voor het opsporen van kwetsbaarheden en beveiligingscontroles.

Tenable Container Security maakt gebruik van de expertise van het bedrijf op het gebied van computerbeveiliging om een ​​CI/CD-pijplijn te integreren met kwetsbaarheidsdatabases, gespecialiseerde malwaredetectiepakketten en beveiligingsadviezen.

Twistlock (Palo Alto-netwerken)

• website: www.twistlock.com
• Licentie: commercieel

Twistlock promoot zichzelf als een platform gericht op clouddiensten en containers. Twistlock ondersteunt verschillende cloudproviders (AWS, Azure, GCP), containerorkestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverloze runtimes, mesh-frameworks en CI/CD-tools.

Naast de gebruikelijke beveiligingsmethoden op bedrijfsniveau, zoals CI/CD-pijplijnintegratie of het scannen van afbeeldingen, gebruikt Twistlock machine learning om containerspecifieke gedragspatronen en netwerkregels te genereren.

Enige tijd geleden werd Twistlock gekocht door Palo Alto Networks, eigenaar van de projecten Evident.io en RedLock. Het is nog niet precies bekend hoe deze drie platformen geïntegreerd gaan worden PRISMA van Palo Alto.

Bouw mee aan de beste Kubernetes-beveiligingstoolcatalogus!

We streven ernaar om deze catalogus zo compleet mogelijk te maken, en daarvoor hebben we jouw hulp nodig! Neem contact met ons op (@sysdig) als je een coole tool in gedachten hebt die het verdient om in deze lijst te worden opgenomen, of als je een bug/verouderde informatie vindt.

U kunt zich ook abonneren op onze Maandelijkse nieuwsbrief met nieuws over het cloud-native ecosysteem en verhalen over interessante projecten uit de wereld van Kubernetes-beveiliging.

PS van vertaler

Lees ook op onze blog:

• «Een inleiding tot Kubernetes-netwerkbeleid voor beveiligingsprofessionals";
• «Docker en Kubernetes in beveiligingseisende omgevingen";
• «9 Best practices voor Kubernetes-beveiliging";
• «11 manieren om (niet) gehackt te worden in Kubernetes";
• «OPA en SPIFFE zijn twee nieuwe projecten bij CNCF voor beveiliging van cloudapplicaties.

Bron: www.habr.com