33+ Kubernetes sikkerhetsverktøy

Merk. overs.: Hvis du lurer på sikkerhet i Kubernetes-basert infrastruktur, er denne utmerkede oversikten fra Sysdig et flott utgangspunkt for en rask titt på de aktuelle løsningene. Det inkluderer både komplekse systemer fra kjente markedsaktører og mye mer beskjedne verktøy som løser et spesielt problem. Og i kommentarfeltet, som alltid, vil vi gjerne høre om din erfaring med å bruke disse verktøyene og se lenker til andre prosjekter.

Kubernetes sikkerhetsprogramvareprodukter ... det er så mange av dem, hver med sine egne mål, omfang og lisenser.

Det er derfor vi bestemte oss for å lage denne listen og inkludere både åpen kildekode-prosjekter og kommersielle plattformer fra forskjellige leverandører. Vi håper det vil hjelpe deg med å identifisere de som er mest interessante og peke deg i riktig retning basert på dine spesifikke Kubernetes-sikkerhetsbehov.

kategori

For å gjøre listen enklere å navigere, er verktøyene organisert etter hovedfunksjon og applikasjon. Følgende seksjoner ble oppnådd:

• Kubernetes bildeskanning og statisk analyse;
• Runtime sikkerhet;
• Kubernetes nettverkssikkerhet;
• Bildedistribusjon og hemmelighetshåndtering;
• Kubernetes sikkerhetsrevisjon;
• Omfattende kommersielle produkter.

La oss komme i gang:

Skanner Kubernetes-bilder

Anker

• nettside: anchore.com
• Lisens: gratis (Apache) og kommersielt tilbud

Anchore analyserer containerbilder og tillater sikkerhetssjekker basert på brukerdefinerte retningslinjer.

I tillegg til den vanlige skanningen av containerbilder for kjente sårbarheter fra CVE-databasen, utfører Anchore mange tilleggskontroller som en del av sin skannepolicy: sjekker Dockerfilen, legitimasjonslekkasjer, pakker med programmeringsspråkene som brukes (npm, maven, etc. .), programvarelisenser og mye mer .

Clear

• nettside: coreos.com/clair (nå under veiledning av Red Hat)
• Lisens: gratis (Apache)

Clair var et av de første Open Source-prosjektene for bildeskanning. Det er viden kjent som sikkerhetsskanneren bak Quay-bilderegisteret (også fra CoreOS - ca. oversettelse). Clair kan samle CVE-informasjon fra en lang rekke kilder, inkludert lister over Linux-distribusjonsspesifikke sårbarheter vedlikeholdt av sikkerhetsteamene Debian, Red Hat eller Ubuntu.

I motsetning til Anchore, fokuserer Clair først og fremst på å finne sårbarheter og matche data til CVE-er. Imidlertid gir produktet brukere noen muligheter til å utvide funksjoner ved å bruke plug-in-drivere.

dagda

• nettside: github.com/eliasgranderubio/dagda
• Lisens: gratis (Apache)

Dagda utfører statisk analyse av containerbilder for kjente sårbarheter, trojanere, virus, malware og andre trusler.

To bemerkelsesverdige funksjoner skiller Dagda fra andre lignende verktøy:

• Den integreres perfekt med ClamAV, fungerer ikke bare som et verktøy for å skanne beholderbilder, men også som et antivirus.
• Gir også kjøretidsbeskyttelse ved å motta sanntidshendelser fra Docker-demonen og integrere med Falco (se nedenfor) for å samle sikkerhetshendelser mens beholderen kjører.

KubeXray

• nettside: github.com/jfrog/kubexray
• Lisens: Gratis (Apache), men krever data fra JFrog Xray (kommersielt produkt)

KubeXray lytter til hendelser fra Kubernetes API-serveren og bruker metadata fra JFrog Xray for å sikre at kun pods som samsvarer med gjeldende policy blir lansert.

KubeXray reviderer ikke bare nye eller oppdaterte beholdere i distribusjoner (i likhet med adgangskontrolleren i Kubernetes), men sjekker også dynamiske beholdere som kjører for samsvar med nye sikkerhetspolicyer, og fjerner ressurser som refererer til sårbare bilder.

Snyk

• nettside: snyk.io
• Lisens: gratis (Apache) og kommersielle versjoner

Snyk er en uvanlig sårbarhetsskanner ved at den spesifikt retter seg mot utviklingsprosessen og markedsføres som en "essensiell løsning" for utviklere.

Snyk kobler seg direkte til kodelagre, analyserer prosjektmanifestet og analyserer den importerte koden sammen med direkte og indirekte avhengigheter. Snyk støtter mange populære programmeringsspråk og kan identifisere skjulte lisensrisikoer.

Trivy

• nettside: github.com/knqyf263/trivy
• Lisens: gratis (AGPL)

Trivy er en enkel, men kraftig sårbarhetsskanner for containere som enkelt integreres i en CI/CD-pipeline. Den bemerkelsesverdige funksjonen er dens enkle installasjon og betjening: applikasjonen består av en enkelt binær og krever ikke installasjon av en database eller ekstra biblioteker.

Ulempen med Trivys enkelhet er at du må finne ut hvordan du analyserer og videresender resultatene i JSON-format slik at andre Kubernetes sikkerhetsverktøy kan bruke dem.

Kjøretidssikkerhet i Kubernetes

Falco

• nettside: falco.org
• Lisens: gratis (Apache)

Falco er et sett med verktøy for å sikre skykjøringsmiljøer. En del av prosjektfamilien CNCF.

Ved å bruke Sysdigs Linux-verktøy på kjernenivå og systemanropsprofilering lar Falco deg dykke dypt inn i systematferd. Dens kjøretidsreglermotor er i stand til å oppdage mistenkelig aktivitet i applikasjoner, containere, den underliggende verten og Kubernetes-orkestratoren.

Falco gir fullstendig åpenhet i kjøretids- og trusseldeteksjon ved å distribuere spesialagenter på Kubernetes-noder for disse formålene. Som et resultat er det ikke nødvendig å endre containere ved å introdusere tredjepartskode i dem eller legge til sidevogncontainere.

Linux sikkerhetsrammeverk for kjøretid

Disse native rammeverkene for Linux-kjernen er ikke "Kubernetes sikkerhetsverktøy" i tradisjonell forstand, men de er verdt å nevne fordi de er et viktig element i sammenheng med kjøretidssikkerhet, som er inkludert i Kubernetes Pod Security Policy (PSP).

AppArmor knytter en sikkerhetsprofil til prosesser som kjører i beholderen, definerer filsystemprivilegier, nettverkstilgangsregler, kobler til biblioteker, etc. Dette er et system basert på Mandatory Access Control (MAC). Det forhindrer med andre ord at forbudte handlinger utføres.

Sikkerhetsforbedret Linux (SELinux) er en avansert sikkerhetsmodul i Linux-kjernen, som i noen aspekter ligner på AppArmor og ofte sammenlignet med den. SELinux er overlegen AppArmor i kraft, fleksibilitet og tilpasning. Ulempene er lang læringskurve og økt kompleksitet.

Secomp og seccomp-bpf lar deg filtrere systemanrop, blokkere kjøringen av de som er potensielt farlige for basis-OS og ikke er nødvendige for normal drift av brukerapplikasjoner. Secomp ligner på Falco på noen måter, selv om den ikke kjenner detaljene til containere.

Sysdig åpen kildekode

• nettside: www.sysdig.com/opensource
• Lisens: gratis (Apache)

Sysdig er et komplett verktøy for å analysere, diagnostisere og feilsøke Linux-systemer (fungerer også på Windows og macOS, men med begrensede funksjoner). Den kan brukes til detaljert informasjonsinnhenting, verifisering og rettsmedisinsk analyse. (rettsmedisin) basesystemet og eventuelle beholdere som kjører på det.

Sysdig støtter også innebygd containerkjøring og Kubernetes-metadata, og legger til ytterligere dimensjoner og etiketter til all systematferdsinformasjon den samler inn. Det er flere måter å analysere en Kubernetes-klynge ved hjelp av Sysdig: du kan utføre punkt-i-tids-fangst via kubectl-fangst eller start et ncurses-basert interaktivt grensesnitt ved hjelp av en plugin kubectl grave.

Kubernetes nettverkssikkerhet

Aporeto

• nettside: www.aporeto.com
• Lisens: kommersiell

Aporeto tilbyr "sikkerhet atskilt fra nettverket og infrastrukturen." Dette betyr at Kubernetes-tjenester ikke bare mottar en lokal ID (dvs. ServiceAccount i Kubernetes), men også en universell ID/fingeravtrykk som kan brukes til å kommunisere sikkert og gjensidig med enhver annen tjeneste, for eksempel i en OpenShift-klynge.

Aporeto er i stand til å generere en unik ID ikke bare for Kubernetes/containere, men også for verter, skyfunksjoner og brukere. Avhengig av disse identifikatorene og settet med nettverkssikkerhetsregler satt av administratoren, vil kommunikasjon tillates eller blokkeres.

Calico

• nettside: www.projectcalico.org
• Lisens: gratis (Apache)

Calico er vanligvis distribuert under en container orkestrator installasjon, slik at du kan lage et virtuelt nettverk som kobler sammen containere. I tillegg til denne grunnleggende nettverksfunksjonaliteten, jobber Calico-prosjektet med Kubernetes Network Policies og sitt eget sett med nettverkssikkerhetsprofiler, støtter endepunkts ACL-er (tilgangskontrolllister) og merknadsbaserte nettverkssikkerhetsregler for Ingress- og Egress-trafikk.

cilium

• nettside: www.cilium.io
• Lisens: gratis (Apache)

Cilium fungerer som en brannmur for containere og gir nettverkssikkerhetsfunksjoner som er tilpasset Kubernetes og mikrotjenesters arbeidsbelastninger. Cilium bruker en ny Linux-kjerneteknologi kalt BPF (Berkeley Packet Filter) for å filtrere, overvåke, omdirigere og korrigere data.

Cilium er i stand til å distribuere retningslinjer for nettverkstilgang basert på container-ID-er ved å bruke Docker- eller Kubernetes-etiketter og metadata. Cilium forstår og filtrerer også forskjellige Layer 7-protokoller som HTTP eller gRPC, slik at du kan definere et sett med REST-anrop som vil tillates mellom to Kubernetes-distribusjoner, for eksempel.

Samme

• nettside: istio.io
• Lisens: gratis (Apache)

Istio er viden kjent for å implementere service mesh-paradigmet ved å distribuere et plattformuavhengig kontrollplan og rute all administrert tjenestetrafikk gjennom dynamisk konfigurerbare Envoy-proxyer. Istio utnytter denne avanserte visningen av alle mikrotjenester og beholdere for å implementere ulike nettverkssikkerhetsstrategier.

Istios nettverkssikkerhetsmuligheter inkluderer transparent TLS-kryptering for automatisk å oppgradere kommunikasjon mellom mikrotjenester til HTTPS, og et proprietært RBAC-identifikasjons- og autorisasjonssystem for å tillate/nekte kommunikasjon mellom ulike arbeidsbelastninger i klyngen.

Merk. overs.: For å lære mer om Istios sikkerhetsfokuserte funksjoner, les denne artikkelen.

Tigera

• nettside: www.tigera.io
• Lisens: kommersiell

Denne løsningen, kalt "Kubernetes-brannmuren", legger vekt på en null-tillit-tilnærming til nettverkssikkerhet.

I likhet med andre native Kubernetes-nettverksløsninger, er Tigera avhengig av metadata for å identifisere de ulike tjenestene og objektene i klyngen og gir kjøretidsproblemdeteksjon, kontinuerlig samsvarskontroll og nettverkssynlighet for multiskyer eller hybrid monolittisk-containeriserte infrastrukturer.

Trireme

• nettside: www.aporeto.com/opensource
• Lisens: gratis (Apache)

Trireme-Kubernetes er en enkel og grei implementering av Kubernetes Network Policies-spesifikasjonen. Den mest bemerkelsesverdige funksjonen er at – i motsetning til lignende Kubernetes nettverkssikkerhetsprodukter – krever det ikke et sentralt kontrollplan for å koordinere nettet. Dette gjør løsningen trivielt skalerbar. I Trireme oppnås dette ved å installere en agent på hver node som kobles direkte til vertens TCP/IP-stack.

Bildeformidling og hemmelighetsbehandling

Grafeas

• nettside: grafeas.io
• Lisens: gratis (Apache)

Grafeas er en åpen kildekode API for revisjon og administrasjon av programvareforsyningskjeder. På et grunnleggende nivå er Grafeas et verktøy for innsamling av metadata og revisjonsfunn. Den kan brukes til å spore etterlevelse av beste praksis for sikkerhet i en organisasjon.

Denne sentraliserte kilden til sannhet hjelper deg med å svare på spørsmål som:

• Hvem samlet inn og signerte for en bestemt beholder?
• Har den bestått alle sikkerhetsskanninger og kontroller som kreves av sikkerhetspolicyen? Når? Hva var resultatene?
• Hvem distribuerte den til produksjon? Hvilke spesifikke parametere ble brukt under distribusjonen?

In-toto

• nettside: in-toto.github.io
• Lisens: gratis (Apache)

In-toto er et rammeverk designet for å gi integritet, autentisering og revisjon av hele programvareforsyningskjeden. Ved utplassering av In-toto i en infrastruktur defineres først en plan som beskriver de ulike trinnene i pipelinen (depot, CI/CD-verktøy, QA-verktøy, artefaktsamlere osv.) og brukerne (ansvarlige personer) som har lov til å sette i gang dem.

In-toto overvåker gjennomføringen av planen, og verifiserer at hver oppgave i kjeden utføres riktig av kun autorisert personell og at ingen uautoriserte manipulasjoner har blitt utført med produktet under bevegelse.

Portieris

• nettside: github.com/IBM/portieris
• Lisens: gratis (Apache)

Portieris er opptakskontrollør for Kubernetes; brukes til å håndheve kontroll av innholdstillit. Portieris bruker en server Notarius publicus (vi skrev om ham på slutten denne artikkelen - ca. oversettelse) som en kilde til sannhet for å validere pålitelige og signerte artefakter (dvs. godkjente beholderbilder).

Når en arbeidsbelastning opprettes eller endres i Kubernetes, laster Portieris ned signeringsinformasjonen og retningslinjene for tillit til innhold for de forespurte beholderbildene og, om nødvendig, gjør endringer i JSON API-objektet for å kjøre signerte versjoner av disse bildene.

Vault

• nettside: www.vaultproject.io
• Lisens: gratis (MPL)

Vault er en sikker løsning for lagring av privat informasjon: passord, OAuth-tokens, PKI-sertifikater, tilgangskontoer, Kubernetes-hemmeligheter, etc. Vault støtter mange avanserte funksjoner, for eksempel leasing av flyktige sikkerhetstokens eller organisering av nøkkelrotasjon.

Ved å bruke Helm-diagrammet kan Vault distribueres som en ny distribusjon i en Kubernetes-klynge med Consul som backend-lagring. Den støtter innfødte Kubernetes-ressurser som ServiceAccount-tokens og kan til og med fungere som standardbutikk for Kubernetes-hemmeligheter.

Merk. overs.: Forresten, i går annonserte selskapet HashiCorp, som utvikler Vault, noen forbedringer for bruk av Vault i Kubernetes, og spesielt er de relatert til Helm-diagrammet. Les mer i utviklerblogg.

Kubernetes sikkerhetsrevisjon

Kube-benk

• nettside: github.com/aquasecurity/kube-bench
• Lisens: gratis (Apache)

Kube-bench er en Go-applikasjon som sjekker om Kubernetes er distribuert sikkert ved å kjøre tester fra en liste CIS Kubernetes Benchmark.

Kube-bench ser etter usikre konfigurasjonsinnstillinger blant klyngekomponenter (osv., API, kontrolleradministrator osv.), tvilsomme filtilgangsrettigheter, ubeskyttede kontoer eller åpne porter, ressurskvoter, innstillinger for å begrense antall API-anrop for å beskytte mot DoS-angrep , etc.

Kube-jeger

• nettside: github.com/aquasecurity/kube-hunter
• Lisens: gratis (Apache)

Kube-hunter jakter på potensielle sårbarheter (som ekstern kjøring av kode eller avsløring av data) i Kubernetes-klynger. Kube-hunter kan kjøres som en ekstern skanner - i så fall vil den evaluere klyngen fra synspunktet til en tredjepartsangriper - eller som en pod inne i klyngen.

Et særtrekk ved Kube-hunter er dens "aktive jakt"-modus, der den ikke bare rapporterer problemer, men også prøver å utnytte sårbarheter oppdaget i målklyngen som potensielt kan skade driften. Så bruk med forsiktighet!

Kubeaudit

• nettside: github.com/Shopify/kubeaudit
• Lisens: gratis (MIT)

Kubeaudit er et konsollverktøy som opprinnelig ble utviklet hos Shopify for å overvåke Kubernetes-konfigurasjon for ulike sikkerhetsproblemer. For eksempel hjelper det med å identifisere beholdere som kjører ubegrenset, kjører som root, misbruker privilegier eller bruker standard ServiceAccount.

Kubeaudit har andre interessante funksjoner. For eksempel kan den analysere lokale YAML-filer, identifisere konfigurasjonsfeil som kan føre til sikkerhetsproblemer og automatisk fikse dem.

Kubesec

• nettside: kubesec.io
• Lisens: gratis (Apache)

Kubesec er et spesialverktøy ved at det direkte skanner YAML-filer som beskriver Kubernetes-ressurser, på jakt etter svake parametere som kan påvirke sikkerheten.

For eksempel kan den oppdage overdrevne privilegier og tillatelser gitt til en pod, kjøre en beholder med root som standardbruker, koble til vertens nettverksnavneområde eller farlige mounts som /proc vert eller docker-kontakt. En annen interessant funksjon ved Kubesec er demotjenesten tilgjengelig på nettet, der du kan laste opp YAML og umiddelbart analysere den.

Åpne policyagent

• nettside: www.openpolicyagent.org
• Lisens: gratis (Apache)

Konseptet med OPA (Open Policy Agent) er å koble sikkerhetspolicyer og beste praksiser for sikkerhet fra en spesifikk kjøretidsplattform: Docker, Kubernetes, Mesosphere, OpenShift eller en kombinasjon av disse.

Du kan for eksempel distribuere OPA som en backend for Kubernetes-opptakskontrolleren, og delegere sikkerhetsbeslutninger til den. På denne måten kan OPA-agenten validere, avvise og til og med endre forespørsler i farten, og sikre at de spesifiserte sikkerhetsparametrene oppfylles. OPAs sikkerhetspolicyer er skrevet på det proprietære DSL-språket, Rego.

Merk. overs.: Vi skrev mer om OPA (og SPIFFE) i dette materialet.

Omfattende kommersielle verktøy for Kubernetes sikkerhetsanalyse

Vi bestemte oss for å opprette en egen kategori for kommersielle plattformer fordi de vanligvis dekker flere sikkerhetsområder. En generell ide om deres evner kan fås fra tabellen:

* Avansert undersøkelse og post mortem analyse med komplett kapring av systemanrop.

Aqua Security

• nettside: www.aquasec.com
• Lisens: kommersiell

Dette kommersielle verktøyet er designet for containere og skyarbeidsbelastninger. Det gir:

• Bildeskanning integrert med et containerregister eller CI/CD-pipeline;
• Kjøretidsbeskyttelse med søk etter endringer i beholdere og annen mistenkelig aktivitet;
• Container-native brannmur;
• Sikkerhet for serverløse i skytjenester;
• Samsvarstesting og revisjon kombinert med hendelseslogging.

Merk. overs.: Det er også verdt å merke seg at det finnes gratis komponent av produktet kalt MicroScanner, som lar deg skanne containerbilder for sårbarheter. En sammenligning av dens evner med betalte versjoner er presentert i dette bordet.

Kapsel 8

• nettside: capsule8.com
• Lisens: kommersiell

Capsule8 integreres i infrastrukturen ved å installere detektoren på en lokal eller sky Kubernetes-klynge. Denne detektoren samler verts- og nettverkstelemetri, og korrelerer den med forskjellige typer angrep.

Capsule8-teamet ser på sin oppgave som tidlig oppdagelse og forebygging av angrep ved hjelp av nye (0-dager) sårbarheter. Capsule8 kan laste ned oppdaterte sikkerhetsregler direkte til detektorer som svar på nylig oppdagede trusler og programvaresårbarheter.

Cavirin

• nettside: www.cavirin.com
• Lisens: kommersiell

Cavirin fungerer som en bedriftssidekontraktør for ulike byråer som er involvert i sikkerhetsstandarder. Ikke bare kan den skanne bilder, men den kan også integreres i CI/CD-rørledningen, og blokkerer ikke-standardiserte bilder før de går inn i lukkede arkiver.

Cavirins sikkerhetspakke bruker maskinlæring for å vurdere cybersikkerhetsstillingen din, og gir tips for å forbedre sikkerheten og forbedre samsvar med sikkerhetsstandarder.

Google Cloud Security Command Center

• nettside: cloud.google.com/security-command-center
• Lisens: kommersiell

Cloud Security Command Center hjelper sikkerhetsteam med å samle inn data, identifisere trusler og eliminere dem før de skader selskapet.

Som navnet antyder, er Google Cloud SCC et enhetlig kontrollpanel som kan integrere og administrere en rekke sikkerhetsrapporter, aktivaregnskapsmotorer og tredjeparts sikkerhetssystemer fra én enkelt sentralisert kilde.

Den interoperable APIen som tilbys av Google Cloud SCC gjør det enkelt å integrere sikkerhetshendelser som kommer fra ulike kilder, for eksempel Sysdig Secure (beholdersikkerhet for skybaserte applikasjoner) eller Falco (Open Source runtime security).

Lagdelt innsikt (Qualys)

• nettside: layeredinsight.com
• Lisens: kommersiell

Layered Insight (nå en del av Qualys Inc) er bygget på konseptet «innebygd sikkerhet». Etter å ha skannet det originale bildet for sårbarheter ved hjelp av statistisk analyse og CVE-sjekker, erstatter Layered Insight det med et instrumentert bilde som inkluderer agenten som en binær.

Denne agenten inneholder kjøretidssikkerhetstester for å analysere containernettverkstrafikk, I/O-flyter og applikasjonsaktivitet. I tillegg kan den utføre ytterligere sikkerhetskontroller spesifisert av infrastrukturadministratoren eller DevOps-teamene.

NeuVector

• nettside: neuvector.com
• Lisens: kommersiell

NeuVector sjekker containersikkerhet og gir kjøretidsbeskyttelse ved å analysere nettverksaktivitet og applikasjonsatferd, og skaper en individuell sikkerhetsprofil for hver container. Den kan også blokkere trusler på egen hånd, og isolere mistenkelig aktivitet ved å endre lokale brannmurregler.

NeuVectors nettverksintegrasjon, kjent som Security Mesh, er i stand til dyp pakkeanalyse og lag 7-filtrering for alle nettverkstilkoblinger i tjenestenettverket.

StackRox

• nettside: www.stackrox.com
• Lisens: kommersiell

StackRox-beholdersikkerhetsplattformen streber etter å dekke hele livssyklusen til Kubernetes-applikasjoner i en klynge. I likhet med andre kommersielle plattformer på denne listen, genererer StackRox en kjøretidsprofil basert på observert beholderoppførsel og gir automatisk en alarm for eventuelle avvik.

I tillegg analyserer StackRox Kubernetes-konfigurasjoner ved å bruke Kubernetes CIS og andre regelbøker for å evaluere beholderoverholdelse.

Sysdig Secure

• nettside: sysdig.com/products/secure
• Lisens: kommersiell

Sysdig Secure beskytter applikasjoner gjennom hele containeren og Kubernetes livssyklus. Han skanner bilder containere, gir kjøretidsbeskyttelse i henhold til maskinlæringsdata, utfører krem. ekspertise for å identifisere sårbarheter, blokkere trusler, overvåke samsvar med etablerte standarder og revisjoner aktivitet i mikrotjenester.

Sysdig Secure integreres med CI/CD-verktøy som Jenkins og kontrollerer bilder lastet fra Docker-registre, og forhindrer at farlige bilder vises i produksjon. Det gir også omfattende kjøretidssikkerhet, inkludert:

• ML-basert kjøretidsprofilering og oppdagelse av anomalier;
• kjøretidspolicyer basert på systemhendelser, K8s-audit API, felles fellesskapsprosjekter (FIM - filintegritetsovervåking; kryptojacking) og rammeverk MITER ATT & CK;
• respons og løsning av hendelser.

Holdbar containersikkerhet

• nettside: www.tenable.com/products/tenable-io/container-security
• Lisens: kommersiell

Før ankomsten av containere var Tenable viden kjent i bransjen som selskapet bak Nessus, et populært sårbarhetsjakt- og sikkerhetsrevisjonsverktøy.

Tenable Container Security utnytter selskapets datasikkerhetsekspertise for å integrere en CI/CD-pipeline med sårbarhetsdatabaser, spesialiserte skadevareoppdagelsespakker og anbefalinger for å løse sikkerhetstrusler.

Twistlock (Palo Alto Networks)

• nettside: www.twistlock.com
• Lisens: kommersiell

Twistlock markedsfører seg selv som en plattform fokusert på skytjenester og containere. Twistlock støtter ulike skyleverandører (AWS, Azure, GCP), containerorkestratorer (Kubernetes, Mesospehere, OpenShift, Docker), serverløse kjøretider, mesh-rammeverk og CI/CD-verktøy.

I tillegg til konvensjonelle sikkerhetsteknikker i bedriftsklasse som CI/CD-pipeline-integrasjon eller bildeskanning, bruker Twistlock maskinlæring for å generere beholderspesifikke atferdsmønstre og nettverksregler.

For en tid siden ble Twistlock kjøpt av Palo Alto Networks, som eier Evident.io- og RedLock-prosjektene. Det er foreløpig ikke kjent hvordan nøyaktig disse tre plattformene skal integreres i PRISMA fra Palo Alto.

Hjelp med å bygge den beste katalogen over Kubernetes sikkerhetsverktøy!

Vi streber etter å gjøre denne katalogen så komplett som mulig, og til dette trenger vi din hjelp! Kontakt oss (@sysdig) hvis du har et kult verktøy i tankene som er verdig å inkludere i denne listen, eller du finner en feil/utdatert informasjon.

Du kan også abonnere på vår månedlig nyhetsbrev med nyheter fra det skybaserte økosystemet og historier om interessante prosjekter fra Kubernetes-sikkerhetsverdenen.

PS fra oversetter

Les også på bloggen vår:

• «En introduksjon til Kubernetes nettverkspolicyer for sikkerhetseksperter";
• «Docker og Kubernetes i sikkerhetskrevende miljøer";
• «9 beste fremgangsmåter for Kubernetes Security";
• «11 måter å (ikke) bli et offer for et Kubernetes-hack";
• «OPA og SPIFFE er to nye prosjekter hos CNCF for skyapplikasjonssikkerhet'.

Kilde: www.habr.com