Ponad 33 narzędzia bezpieczeństwa Kubernetes

Notatka. przeł.: Jeśli zastanawiasz się nad bezpieczeństwem w infrastrukturze opartej na Kubernetes, ten doskonały przegląd z Sysdig jest doskonałym punktem wyjścia do szybkiego spojrzenia na aktualne rozwiązania. Obejmuje zarówno złożone systemy znanych graczy rynkowych, jak i znacznie skromniejsze narzędzia, które rozwiązują konkretny problem. A w komentarzach, jak zawsze, chętnie usłyszymy o Waszych doświadczeniach z korzystaniem z tych narzędzi i zobaczymy linki do innych projektów.

Produkty oprogramowania zabezpieczającego Kubernetes... jest ich tak wiele, każdy z własnymi celami, zakresem i licencjami.

Dlatego postanowiliśmy stworzyć tę listę i uwzględnić zarówno projekty open source, jak i platformy komercyjne różnych dostawców. Mamy nadzieję, że pomoże Ci to zidentyfikować te, które są najbardziej interesujące i wskaże Ci właściwy kierunek w oparciu o Twoje konkretne potrzeby w zakresie bezpieczeństwa Kubernetes.

Kategorie

Aby ułatwić nawigację po liście, narzędzia są uporządkowane według głównych funkcji i aplikacji. Uzyskano następujące sekcje:

• Skanowanie obrazu Kubernetes i analiza statyczna;
• Bezpieczeństwo środowiska wykonawczego;
• Bezpieczeństwo sieci Kubernetes;
• Dystrybucja obrazów i zarządzanie tajemnicami;
• Audyt bezpieczeństwa Kubernetesa;
• Kompleksowe produkty komercyjne.

Przejdźmy do interesów:

Skanowanie obrazów Kubernetes

Kotwica

• Strona WWW: kotwica.com
• Licencja: bezpłatna (Apache) i oferta komercyjna

Anchore analizuje obrazy kontenerów i umożliwia kontrolę bezpieczeństwa w oparciu o zasady zdefiniowane przez użytkownika.

Oprócz zwykłego skanowania obrazów kontenerów pod kątem znanych luk w zabezpieczeniach z bazy danych CVE, Anchore wykonuje wiele dodatkowych kontroli w ramach swojej polityki skanowania: sprawdza plik Dockerfile, wycieki danych uwierzytelniających, pakiety używanych języków programowania (npm, maven itp.) .), licencje na oprogramowanie i wiele więcej.

Wyczyść

• Strona WWW: coreos.com/clair (obecnie pod okiem Red Hat)
• Licencja: darmowa (Apache)

Clair był jednym z pierwszych projektów Open Source do skanowania obrazów. Jest powszechnie znany jako skaner bezpieczeństwa stojący za rejestrem obrazów Quay (także z CoreOS - około. tłumaczenie). Clair może zbierać informacje o CVE z wielu różnych źródeł, w tym z list luk specyficznych dla dystrybucji Linuksa opracowanych przez zespoły ds. bezpieczeństwa Debiana, Red Hata lub Ubuntu.

W przeciwieństwie do Anchore, Clair koncentruje się przede wszystkim na wyszukiwaniu luk w zabezpieczeniach i dopasowywaniu danych do CVE. Produkt oferuje jednak użytkownikom pewne możliwości rozbudowy funkcji za pomocą sterowników wtyczek.

Dagda

• Strona WWW: github.com/eliasgranderubio/dagda
• Licencja: darmowa (Apache)

Dagda przeprowadza analizę statyczną obrazów kontenerów pod kątem znanych luk w zabezpieczeniach, trojanów, wirusów, złośliwego oprogramowania i innych zagrożeń.

Dwie istotne cechy wyróżniają Dagdę spośród innych podobnych narzędzi:

• Doskonale integruje się z ClamAV, pełniący nie tylko funkcję narzędzia do skanowania obrazów kontenerów, ale także antywirusa.
• Zapewnia także ochronę w czasie wykonywania poprzez odbieranie zdarzeń w czasie rzeczywistym od demona Docker i integrację z Falco (patrz poniżej) do zbierania zdarzeń związanych z bezpieczeństwem podczas działania kontenera.

KubeXray

• Strona WWW: github.com/jfrog/kubexray
• Licencja: bezpłatna (Apache), ale wymaga danych z JFrog Xray (produkt komercyjny)

KubeXray nasłuchuje zdarzeń z serwera Kubernetes API i wykorzystuje metadane z JFrog Xray, aby mieć pewność, że uruchomione zostaną tylko pody zgodne z bieżącą polityką.

KubeXray nie tylko audytuje nowe lub zaktualizowane kontenery we wdrożeniach (podobnie jak kontroler dostępu w Kubernetesie), ale także dynamicznie sprawdza działające kontenery pod kątem zgodności z nowymi politykami bezpieczeństwa, usuwając zasoby odwołujące się do wrażliwych obrazów.

snyk

• Strona WWW: snyk.io
• Licencja: darmowa (Apache) i wersja komercyjna

Snyk to niezwykły skaner podatności, ponieważ jest specjalnie ukierunkowany na proces programowania i jest promowany jako „niezbędne rozwiązanie” dla programistów.

Snyk łączy się bezpośrednio z repozytoriami kodu, analizuje manifest projektu i analizuje zaimportowany kod wraz z bezpośrednimi i pośrednimi zależnościami. Snyk obsługuje wiele popularnych języków programowania i potrafi identyfikować ukryte ryzyka licencyjne.

Ciekawostki

• Strona WWW: github.com/knqyf263/trivy
• Licencja: bezpłatna (AGPL)

Trivy to prosty, ale potężny skaner podatności na zagrożenia dla kontenerów, który łatwo integruje się z potokiem CI/CD. Jego godną uwagi cechą jest łatwość instalacji i obsługi: aplikacja składa się z pojedynczego pliku binarnego i nie wymaga instalacji bazy danych ani dodatkowych bibliotek.

Wadą prostoty Trivy jest to, że musisz dowiedzieć się, jak analizować i przekazywać wyniki w formacie JSON, aby inne narzędzia bezpieczeństwa Kubernetes mogły z nich korzystać.

Bezpieczeństwo środowiska wykonawczego w Kubernetes

Falco

• Strona WWW: falco.org
• Licencja: darmowa (Apache)

Falco to zestaw narzędzi do zabezpieczania środowisk uruchomieniowych w chmurze. Część rodziny projektów CNCF.

Korzystając z narzędzi Sysdig na poziomie jądra systemu Linux i profilowania wywołań systemowych, Falco pozwala zagłębić się w zachowanie systemu. Jego silnik reguł wykonawczych jest w stanie wykryć podejrzaną aktywność w aplikacjach, kontenerach, hoście bazowym i orkiestratorze Kubernetes.

Falco zapewnia pełną przejrzystość działania i wykrywania zagrożeń, wdrażając w tym celu specjalne agenty na węzłach Kubernetes. Dzięki temu nie ma potrzeby modyfikowania kontenerów poprzez wprowadzanie do nich obcego kodu czy dodawanie kontenerów sidecar.

Struktury bezpieczeństwa systemu Linux dla środowiska wykonawczego

Te natywne frameworki dla jądra Linuksa nie są „narzędziami bezpieczeństwa Kubernetes” w tradycyjnym sensie, ale warto o nich wspomnieć, ponieważ stanowią ważny element w kontekście bezpieczeństwa runtime, które jest zawarte w Kubernetes Pod Security Policy (PSP).

AppArmor dołącza profil bezpieczeństwa do procesów działających w kontenerze, definiując uprawnienia systemu plików, reguły dostępu do sieci, łącząc biblioteki itp. Jest to system oparty na Obowiązkowej Kontroli Dostępu (MAC). Innymi słowy zapobiega wykonywaniu zabronionych działań.

Linux ze zwiększonymi zabezpieczeniami (SELinux) to zaawansowany moduł bezpieczeństwa w jądrze Linuksa, podobny pod pewnymi względami do AppArmor i często do niego porównywany. SELinux przewyższa AppArmor pod względem mocy, elastyczności i dostosowywania. Jego wadami są długa krzywa uczenia się i zwiększona złożoność.

Drugi komp i seccomp-bpf umożliwiają filtrowanie wywołań systemowych, blokowanie wykonywania tych, które są potencjalnie niebezpieczne dla podstawowego systemu operacyjnego i nie są potrzebne do normalnego działania aplikacji użytkownika. Seccomp pod pewnymi względami przypomina Falco, choć nie zna specyfiki kontenerów.

Otwarte oprogramowanie Sysdig

• Strona WWW: www.sysdig.com/opensource
• Licencja: darmowa (Apache)

Sysdig to kompletne narzędzie do analizy, diagnozowania i debugowania systemów Linux (działa również na Windows i macOS, ale z ograniczonymi funkcjami). Można go używać do szczegółowego gromadzenia informacji, weryfikacji i analiz kryminalistycznych. (Kryminalni) system podstawowy i wszystkie działające na nim kontenery.

Sysdig natywnie obsługuje także środowiska wykonawcze kontenerów i metadane Kubernetes, dodając dodatkowe wymiary i etykiety do wszystkich gromadzonych informacji o zachowaniu systemu. Istnieje kilka sposobów analizowania klastra Kubernetes za pomocą narzędzia Sysdig: możesz wykonać przechwytywanie w określonym momencie za pomocą przechwytywanie kubectl lub uruchom interaktywny interfejs oparty na ncurses za pomocą wtyczki kubectl dig.

Bezpieczeństwo sieci Kubernetes

Aporeto

• Strona WWW: www.aporeto.com
• Licencja: komercyjna

Aporeto oferuje „bezpieczeństwo oddzielone od sieci i infrastruktury”. Oznacza to, że usługi Kubernetesa otrzymują nie tylko lokalny identyfikator (czyli ServiceAccount w Kubernetesie), ale także uniwersalny identyfikator/odcisk palca, za pomocą którego można bezpiecznie i wzajemnie komunikować się z dowolną inną usługą, np. w klastrze OpenShift.

Aporeto jest w stanie wygenerować unikalny identyfikator nie tylko dla Kubernetes/kontenerów, ale także dla hostów, funkcji chmurowych i użytkowników. W zależności od tych identyfikatorów oraz zestawu reguł bezpieczeństwa sieci ustalonych przez administratora, komunikacja zostanie dozwolona lub zablokowana.

Perkal

• Strona WWW: www.projectcalico.org
• Licencja: darmowa (Apache)

Calico jest zwykle wdrażane podczas instalacji koordynatora kontenerów, co pozwala na utworzenie sieci wirtualnej łączącej kontenery. Oprócz tej podstawowej funkcjonalności sieci, projekt Calico współpracuje z politykami sieciowymi Kubernetes i własnym zestawem profili bezpieczeństwa sieci, obsługuje listy ACL punktów końcowych (listy kontroli dostępu) oraz reguły bezpieczeństwa sieci oparte na adnotacjach dla ruchu przychodzącego i wychodzącego.

Migawka

• Strona WWW: www.cilium.io
• Licencja: darmowa (Apache)

Cilium działa jako zapora ogniowa dla kontenerów i zapewnia funkcje bezpieczeństwa sieci natywnie dostosowane do obciążeń Kubernetes i mikrousług. Cilium wykorzystuje nową technologię jądra Linuksa o nazwie BPF (Berkeley Packet Filter) do filtrowania, monitorowania, przekierowywania i korygowania danych.

Cilium może wdrażać zasady dostępu do sieci w oparciu o identyfikatory kontenerów przy użyciu etykiet i metadanych Docker lub Kubernetes. Cilium rozumie również i filtruje różne protokoły warstwy 7, takie jak HTTP lub gRPC, umożliwiając zdefiniowanie zestawu wywołań REST, które będą dozwolone na przykład między dwoma wdrożeniami Kubernetes.

Podobnie

• Strona WWW: istio.io
• Licencja: darmowa (Apache)

Istio jest powszechnie znane z wdrażania paradygmatu siatki usług poprzez wdrażanie niezależnej od platformy płaszczyzny kontrolnej i kierowanie całego ruchu usług zarządzanych przez dynamicznie konfigurowalne serwery proxy Envoy. Istio wykorzystuje ten zaawansowany widok wszystkich mikrousług i kontenerów do wdrażania różnych strategii bezpieczeństwa sieci.

Możliwości zabezpieczeń sieci Istio obejmują przezroczyste szyfrowanie TLS, które automatycznie uaktualnia komunikację między mikrousługami do protokołu HTTPS, a także zastrzeżony system identyfikacji i autoryzacji RBAC, który umożliwia/zabrania komunikacji między różnymi obciążeniami w klastrze.

Notatka. przeł.: Aby dowiedzieć się więcej o możliwościach Istio związanych z bezpieczeństwem, przeczytaj ten artykuł.

Tygrys

• Strona WWW: www.tigera.io
• Licencja: komercyjna

Rozwiązanie to, zwane „zaporą Kubernetes”, kładzie nacisk na podejście do bezpieczeństwa sieci oparte na zerowym zaufaniu.

Podobnie jak inne natywne rozwiązania sieciowe Kubernetes, Tigera opiera się na metadanych w celu identyfikacji różnych usług i obiektów w klastrze oraz zapewnia wykrywanie problemów w czasie wykonywania, ciągłe sprawdzanie zgodności i widoczność sieci w przypadku infrastruktur wielochmurowych lub hybrydowych, składających się z monolitycznych kontenerów.

Tryrema

• Strona WWW: www.aporeto.com/opensource
• Licencja: darmowa (Apache)

Trireme-Kubernetes to prosta i bezpośrednia implementacja specyfikacji zasad sieciowych Kubernetes. Najbardziej godną uwagi cechą jest to, że – w przeciwieństwie do podobnych produktów bezpieczeństwa sieci Kubernetes – nie wymaga centralnej płaszczyzny kontrolnej do koordynowania siatki. Dzięki temu rozwiązanie jest banalnie skalowalne. W Trireme osiąga się to poprzez zainstalowanie agenta na każdym węźle, który bezpośrednio łączy się ze stosem TCP/IP hosta.

Propagacja obrazu i zarządzanie tajemnicami

Grafeas

• Strona WWW: grafeas.io
• Licencja: darmowa (Apache)

Grafeas to interfejs API typu open source do audytowania i zarządzania łańcuchem dostaw oprogramowania. Na podstawowym poziomie Grafeas jest narzędziem do zbierania metadanych i wniosków z audytu. Można go używać do śledzenia zgodności z najlepszymi praktykami bezpieczeństwa w organizacji.

To scentralizowane źródło prawdy pomaga odpowiedzieć na pytania takie jak:

• Kto odebrał i podpisał kontrakt na konkretny kontener?
• Czy przeszedł wszystkie skany i kontrole bezpieczeństwa wymagane przez politykę bezpieczeństwa? Gdy? Jakie były wyniki?
• Kto wdrożył to do produkcji? Jakie konkretne parametry zostały użyte podczas wdrożenia?

W toto

• Strona WWW: w-toto.github.io
• Licencja: darmowa (Apache)

In-toto to framework zaprojektowany w celu zapewnienia integralności, uwierzytelniania i audytu całego łańcucha dostaw oprogramowania. Podczas wdrażania In-toto w infrastrukturze najpierw definiowany jest plan opisujący różne etapy potoku (repozytorium, narzędzia CI/CD, narzędzia kontroli jakości, moduły zbierające artefakty itp.) oraz użytkownicy (osoby odpowiedzialne), którzy mogą je zainicjować.

In-toto monitoruje wykonanie planu, sprawdzając, czy każde zadanie w łańcuchu jest wykonywane prawidłowo wyłącznie przez upoważniony personel i czy podczas przemieszczania produktu nie dokonano nieautoryzowanych manipulacji.

Portierisa

• Strona WWW: github.com/IBM/portieris
• Licencja: darmowa (Apache)

Portieris jest kontrolerem dostępu dla Kubernetes; używany do egzekwowania kontroli zaufania treści. Portieris korzysta z serwera Notariusz (pisaliśmy o nim na końcu ten artykuł - około. tłumaczenie) jako źródło prawdy umożliwiające weryfikację zaufanych i podpisanych artefaktów (tj. zatwierdzonych obrazów kontenerów).

Kiedy obciążenie jest tworzone lub modyfikowane w Kubernetes, Portieris pobiera informacje o podpisie i zasady zaufania treści dla żądanych obrazów kontenerów i, jeśli to konieczne, na bieżąco wprowadza zmiany w obiekcie API JSON, aby uruchomić podpisane wersje tych obrazów.

Sklepienie

• Strona WWW: www.vaultproject.io
• Licencja: bezpłatna (MPL)

Vault to bezpieczne rozwiązanie do przechowywania prywatnych informacji: haseł, tokenów OAuth, certyfikatów PKI, kont dostępowych, sekretów Kubernetes itp. Vault obsługuje wiele zaawansowanych funkcji, takich jak dzierżawa efemerycznych tokenów zabezpieczających lub organizowanie rotacji kluczy.

Korzystając z wykresu Helm, Vault można wdrożyć jako nowe wdrożenie w klastrze Kubernetes z Consul jako magazynem zaplecza. Obsługuje natywne zasoby Kubernetes, takie jak tokeny ServiceAccount, a nawet może działać jako domyślny magazyn sekretów Kubernetes.

Notatka. przeł.: Swoją drogą, wczoraj firma HashiCorp, która rozwija Vault, ogłosiła pewne ulepszenia dotyczące korzystania z Vault w Kubernetes, w szczególności dotyczą one wykresu Helm. Przeczytaj więcej w blog dla programistów.

Audyt bezpieczeństwa Kubernetesa

Kube-ławka

• Strona WWW: github.com/aquasecurity/kube-bench
• Licencja: darmowa (Apache)

Kube-bench to aplikacja Go, która sprawdza, czy Kubernetes jest bezpiecznie wdrożony, uruchamiając testy z listy Benchmark CIS Kubernetes.

Kube-bench szuka niepewnych ustawień konfiguracyjnych wśród komponentów klastra (etcd, API, menedżer kontrolera itp.), wątpliwych praw dostępu do plików, niechronionych kont lub otwartych portów, przydziałów zasobów, ustawień ograniczających liczbę wywołań API w celu ochrony przed atakami DoS itp.

Łowca Kube

• Strona WWW: github.com/aquasecurity/kube-hunter
• Licencja: darmowa (Apache)

Kube-hunter wyszukuje potencjalne luki (takie jak zdalne wykonanie kodu lub ujawnienie danych) w klastrach Kubernetes. Kube-hunter można uruchomić jako zdalny skaner – w takim przypadku oceni klaster z punktu widzenia osoby atakującej z zewnątrz – lub jako pod wewnątrz klastra.

Cechą charakterystyczną Kube-huntera jest tryb „aktywnego polowania”, podczas którego nie tylko zgłasza on problemy, ale także stara się wykorzystać wykryte w docelowym klastrze luki, które mogą potencjalnie zaszkodzić jego działaniu. Używaj więc ostrożnie!

Kubeaudit

• Strona WWW: github.com/Shopify/kubeaudit
• Licencja: bezpłatna (MIT)

Kubeaudit to narzędzie konsolowe pierwotnie opracowane w Shopify w celu audytowania konfiguracji Kubernetes pod kątem różnych problemów związanych z bezpieczeństwem. Na przykład pomaga zidentyfikować kontenery działające bez ograniczeń, działające jako root, nadużywające uprawnień lub korzystające z domyślnego konta ServiceAccount.

Kubeaudit ma inne interesujące funkcje. Na przykład może analizować lokalne pliki YAML, identyfikować błędy konfiguracyjne, które mogą prowadzić do problemów z bezpieczeństwem i automatycznie je naprawiać.

Kubesec

• Strona WWW: kubesec.io
• Licencja: darmowa (Apache)

Kubesec to specjalne narzędzie, które bezpośrednio skanuje pliki YAML opisujące zasoby Kubernetesa w poszukiwaniu słabych parametrów, które mogłyby mieć wpływ na bezpieczeństwo.

Na przykład może wykryć nadmierne uprawnienia i uprawnienia przyznane podowi, uruchomić kontener z rootem jako domyślnym użytkownikiem, połączyć się z sieciową przestrzenią nazw hosta lub niebezpieczne montowania, takie jak /proc hosta lub gniazda Docker. Kolejną ciekawą funkcją Kubesec jest dostępna online usługa demonstracyjna, do której możesz wgrać YAML i od razu go przeanalizować.

Agent otwartej polityki

• Strona WWW: www.openpolicyagent.org
• Licencja: darmowa (Apache)

Koncepcja OPA (Open Policy Agent) polega na oddzieleniu zasad bezpieczeństwa i najlepszych praktyk bezpieczeństwa od konkretnej platformy wykonawczej: Docker, Kubernetes, Mesosfera, OpenShift lub dowolna ich kombinacja.

Można na przykład wdrożyć OPA jako backend dla kontrolera dostępu Kubernetes, delegując do niego decyzje dotyczące bezpieczeństwa. W ten sposób agent OPA może na bieżąco sprawdzać, odrzucać, a nawet modyfikować żądania, zapewniając spełnienie określonych parametrów bezpieczeństwa. Zasady bezpieczeństwa OPA są napisane w zastrzeżonym języku DSL, Rego.

Notatka. przeł.: Więcej o OPA (i SPIFFE) pisaliśmy w ten materiał.

Kompleksowe narzędzia komercyjne do analizy bezpieczeństwa Kubernetes

Postanowiliśmy stworzyć osobną kategorię dla platform komercyjnych, ponieważ zazwyczaj obejmują one wiele obszarów bezpieczeństwa. Ogólne pojęcie o ich możliwościach można uzyskać z tabeli:

* Zaawansowane badanie i analiza pośmiertna z kompletem przejmowanie wywołań systemowych.

Bezpieczeństwo wodne

• Strona WWW: www.aquasec.com
• Licencja: komercyjna

To komercyjne narzędzie jest przeznaczone do obsługi kontenerów i obciążeń w chmurze. To zapewnia:

• Skanowanie obrazu zintegrowane z rejestrem kontenerów lub potokiem CI/CD;
• Ochrona środowiska uruchomieniowego z wyszukiwaniem zmian w kontenerach i inną podejrzaną aktywnością;
• Zapora sieciowa natywna dla kontenera;
• Bezpieczeństwo usług bezserwerowych w chmurze;
• Testowanie zgodności i audyt w połączeniu z rejestrowaniem zdarzeń.

Notatka. przeł.: Warto również zauważyć, że istnieją darmowy składnik produktu tzw Mikroskaner, która umożliwia skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach. Porównanie jego możliwości z wersjami płatnymi przedstawiono w ten stół.

Kapsuła 8

• Strona WWW: kapsułka8.com
• Licencja: komercyjna

Capsule8 integruje się z infrastrukturą poprzez instalację detektora na lokalnym lub chmurowym klastrze Kubernetes. Ten detektor zbiera dane telemetryczne hosta i sieci, korelując je z różnymi typami ataków.

Zespół Capsule8 widzi swoje zadanie jako wczesne wykrywanie i zapobieganie atakom z wykorzystaniem nowych (0 dni) luki w zabezpieczeniach. Capsule8 może pobierać zaktualizowane reguły bezpieczeństwa bezpośrednio do detektorów w odpowiedzi na nowo wykryte zagrożenia i luki w oprogramowaniu.

Cavirin

• Strona WWW: www.cavirin.com
• Licencja: komercyjna

Cavirin działa jako wykonawca po stronie firmy dla różnych agencji zajmujących się standardami bezpieczeństwa. Może nie tylko skanować obrazy, ale także integrować się z potokiem CI/CD, blokując niestandardowe obrazy, zanim trafią do zamkniętych repozytoriów.

Pakiet bezpieczeństwa Cavirin wykorzystuje uczenie maszynowe do oceny stanu cyberbezpieczeństwa, oferując wskazówki dotyczące poprawy bezpieczeństwa i poprawy zgodności ze standardami bezpieczeństwa.

Centrum zarządzania bezpieczeństwem Google Cloud

• Strona WWW: cloud.google.com/security-command-center
• Licencja: komercyjna

Cloud Security Command Center pomaga zespołom ds. bezpieczeństwa zbierać dane, identyfikować zagrożenia i eliminować je, zanim wyrządzą szkodę firmie.

Jak sama nazwa wskazuje, Google Cloud SCC to ujednolicony panel sterowania, który może integrować i zarządzać różnymi raportami bezpieczeństwa, silnikami księgowania zasobów i systemami bezpieczeństwa innych firm z jednego, scentralizowanego źródła.

Interoperacyjne API oferowane przez Google Cloud SCC ułatwia integrację zdarzeń bezpieczeństwa pochodzących z różnych źródeł, takich jak Sysdig Secure (bezpieczeństwo kontenera dla aplikacji natywnych w chmurze) czy Falco (bezpieczeństwo wykonawcze Open Source).

Warstwowy wgląd (Qualys)

• Strona WWW: LayeredInsight.com
• Licencja: komercyjna

Layered Insight (obecnie część Qualys Inc) opiera się na koncepcji „wbudowanych zabezpieczeń”. Po przeskanowaniu oryginalnego obrazu pod kątem luk przy użyciu analizy statystycznej i kontroli CVE, Layered Insight zastępuje go obrazem instrumentalnym, który zawiera agenta w postaci binarnej.

Ten agent zawiera testy bezpieczeństwa środowiska uruchomieniowego umożliwiające analizę ruchu w sieci kontenerów, przepływów we/wy i aktywności aplikacji. Dodatkowo może przeprowadzać dodatkowe kontrole bezpieczeństwa określone przez administratora infrastruktury lub zespoły DevOps.

NeuWektor

• Strona WWW: Neuvector.com
• Licencja: komercyjna

NeuVector sprawdza bezpieczeństwo kontenera i zapewnia ochronę środowiska wykonawczego, analizując aktywność sieciową i zachowanie aplikacji, tworząc indywidualny profil bezpieczeństwa dla każdego kontenera. Może także samodzielnie blokować zagrożenia, izolując podejrzaną aktywność poprzez zmianę lokalnych reguł zapory sieciowej.

Integracja sieciowa NeuVector, znana jako Security Mesh, umożliwia głęboką analizę pakietów i filtrowanie warstwy 7 dla wszystkich połączeń sieciowych w siatce usług.

StackRox

• Strona WWW: www.stackrox.com
• Licencja: komercyjna

Platforma bezpieczeństwa kontenerów StackRox stara się objąć cały cykl życia aplikacji Kubernetes w klastrze. Podobnie jak inne platformy komercyjne na tej liście, StackRox generuje profil środowiska wykonawczego na podstawie zaobserwowanego zachowania kontenera i automatycznie podnosi alarm w przypadku jakichkolwiek odchyleń.

Dodatkowo StackRox analizuje konfiguracje Kubernetes przy użyciu Kubernetes CIS i innych podręczników w celu oceny zgodności kontenerów.

Sysdig Secure

• Strona WWW: sysdig.com/products/secure
• Licencja: komercyjna

Sysdig Secure chroni aplikacje przez cały cykl życia kontenera i Kubernetes. On skanuje obrazy kontenery, zapewnia ochrona środowiska wykonawczego według danych uczenia maszynowego wykonuje krem. ekspertyza w zakresie identyfikacji podatności, blokuje zagrożenia, monitoruje zgodność z ustalonymi standardami i audytuje aktywność w mikroserwisach.

Sysdig Secure integruje się z narzędziami CI/CD, takimi jak Jenkins i kontroluje obrazy ładowane z rejestrów Dockera, zapobiegając pojawianiu się niebezpiecznych obrazów w środowisku produkcyjnym. Zapewnia również kompleksowe bezpieczeństwo środowiska wykonawczego, w tym:

• Profilowanie środowiska wykonawczego i wykrywanie anomalii w oparciu o ML;
• zasady wykonawcze oparte na zdarzeniach systemowych, API K8s-audit, wspólne projekty społecznościowe (FIM - monitorowanie integralności plików; cryptojacking) i framework MITER ATT & CK;
• reagowanie i rozwiązywanie incydentów.

Trwałe bezpieczeństwo kontenera

• Strona WWW: www.tenable.com/products/tenable-io/container-security
• Licencja: komercyjna

Przed pojawieniem się kontenerów firma Tenable była powszechnie znana w branży jako firma stojąca za Nessusem, popularnym narzędziem do wykrywania luk w zabezpieczeniach i audytu bezpieczeństwa.

Tenable Container Security wykorzystuje specjalistyczną wiedzę firmy w zakresie bezpieczeństwa komputerowego do integracji potoku CI/CD z bazami danych podatności na zagrożenia, specjalistycznymi pakietami do wykrywania złośliwego oprogramowania i zaleceniami dotyczącymi rozwiązywania zagrożeń bezpieczeństwa.

Twistlock (sieci Palo Alto)

• Strona WWW: www.twistlock.com
• Licencja: komercyjna

Twistlock promuje się jako platforma skupiona na usługach chmurowych i kontenerach. Twistlock obsługuje różnych dostawców usług w chmurze (AWS, Azure, GCP), koordynatorów kontenerów (Kubernetes, Mesospehere, OpenShift, Docker), bezserwerowe środowiska wykonawcze, frameworki mesh i narzędzia CI/CD.

Oprócz konwencjonalnych technik bezpieczeństwa klasy korporacyjnej, takich jak integracja potoków CI/CD lub skanowanie obrazów, Twistlock wykorzystuje uczenie maszynowe do generowania wzorców zachowań i reguł sieciowych specyficznych dla kontenera.

Jakiś czas temu Twistlock został kupiony przez Palo Alto Networks, do którego należą projekty Evident.io i RedLock. Nie wiadomo jeszcze, w jaki sposób dokładnie te trzy platformy zostaną zintegrowane PRISMA z Palo Alto.

Pomóż zbudować najlepszy katalog narzędzi bezpieczeństwa Kubernetes!

Dokładamy wszelkich starań, aby ten katalog był jak najbardziej kompletny i w tym celu potrzebujemy Twojej pomocy! Skontaktuj się z nami (@sysdig), jeśli masz na myśli fajne narzędzie, które warto umieścić na tej liście, lub znajdziesz błąd/nieaktualne informacje.

Możesz także zapisać się do naszego Miesięczny biuletyn z aktualnościami z ekosystemu cloud-native oraz opowieściami o ciekawych projektach ze świata bezpieczeństwa Kubernetes.

PS od tłumacza

Przeczytaj także na naszym blogu:

• «Wprowadzenie do zasad sieci Kubernetes dla specjalistów ds. bezpieczeństwa";
• «Docker i Kubernetes w środowiskach wrażliwych na bezpieczeństwo";
• «9 najlepszych praktyk dotyczących bezpieczeństwa Kubernetes";
• «11 sposobów, jak (nie) stać się ofiarą hackowania Kubernetesa";
• «OPA i SPIFFE to dwa nowe projekty w CNCF dotyczące bezpieczeństwa aplikacji chmurowych".

Źródło: www.habr.com