33+ د Kubernetes امنیتي وسیلې

نوټ. ژباړه: که تاسو د Kubernetes پر بنسټ زیربنا کې د امنیت په اړه فکر کوئ، د Sysdig څخه دا غوره کتنه د اوسني حلونو د چټک لید لپاره یو ښه پیل ټکی دی. پدې کې د مشهور بازار لوبغاړو څخه دواړه پیچلي سیسټمونه او نور ډیر معمولي اسانتیاوې شاملې دي چې یوه ځانګړې ستونزه حل کوي. او په نظرونو کې، د تل په څیر، موږ به خوشحاله یو چې د دې وسیلو په کارولو سره ستاسو د تجربې په اړه واورئ او د نورو پروژو لینکونه وګورئ.

د Kubernetes امنیتي سافټویر محصولات ... دلته ډیری یې شتون لري، هر یو د خپلو اهدافو، ساحې، او جوازونو سره.

له همدې امله موږ پریکړه وکړه چې دا لیست جوړ کړو او دواړه د خلاصې سرچینې پروژې او د مختلف پلورونکو څخه سوداګریز پلیټ فارمونه شامل کړو. موږ امید لرو چې دا به تاسو سره د هغه چا په پیژندلو کې مرسته وکړي چې خورا علاقه لري او ستاسو د ځانګړي Kubernetes امنیتي اړتیاو پراساس سم لوري ته په ګوته کوي.

کټګوري

د لیست نیولو لپاره اسانه کولو لپاره، وسایل د اصلي فعالیت او غوښتنلیک لخوا تنظیم شوي. لاندې برخې ترلاسه شوې:

• د کوبرنیټس عکس سکین کول او جامد تحلیل؛
• د وخت امنیت؛
• د Kubernetes شبکې امنیت؛
• د انځور ویش او د رازونو مدیریت؛
• د Kubernetes امنیتي پلټنه؛
• جامع سوداګریز محصولات.

راځئ چې سوداګرۍ ته راشو:

د کبرنیټ عکسونه سکین کول

لنگر

• وېب پاڼه: anchore.com
• جواز: وړیا (اپاچی) او سوداګریز وړاندیز

اینکر د کانټینر عکسونه تحلیلوي او د کارونکي لخوا ټاکل شوي پالیسیو پراساس د امنیت چکونو ته اجازه ورکوي.

د CVE ډیټابیس څخه د پیژندل شوي زیانونو لپاره د کانټینر عکسونو معمول سکین کولو سربیره ، اینکور د دې سکین کولو پالیسۍ برخې په توګه ډیری اضافي چیکونه ترسره کوي: د ډاکر فایل چیک کوي ، کریډینشل لیکونه ، د برنامه کولو ژبې کڅوړې کارول کیږي (npm ، maven ، او داسې نور. .)، د سافټویر جوازونه او نور ډیر څه.

Clair

• وېب پاڼه: coreos.com/clair (اوس د ریډ هټ تر سرپرستۍ لاندې)
• جواز: وړیا (اپاچی)

کلیر د عکس سکین کولو لپاره د لومړۍ خلاصې سرچینې پروژې څخه و. دا په پراخه کچه د Quay عکس راجسټری شاته د امنیت سکینر په توګه پیژندل شوی (د CoreOS څخه هم - نږدې ژباړه). کلیر کولی شي د مختلف سرچینو څخه د CVE معلومات راټول کړي ، پشمول د لینکس توزیع ځانګړي زیان منونکي لیستونه چې د Debian ، Red Hat ، یا Ubuntu امنیتي ټیمونو لخوا ساتل شوي.

د اینکور برعکس، کلیر په عمده توګه د زیان منونکو موندلو او CVEs سره د ډیټا سره سمون باندې تمرکز کوي. په هرصورت، محصول کاروونکو ته ځینې فرصتونه وړاندې کوي چې د پلگ ان ډرایورانو په کارولو سره فعالیتونه پراخ کړي.

ډاګدا

• وېب پاڼه: github.com/eliasgranderubio/dagda
• جواز: وړیا (اپاچی)

ډاګډا د پیژندل شوي زیانونو، ټروجن، ویروسونو، مالویر او نورو ګواښونو لپاره د کانټینر عکسونو جامد تحلیل ترسره کوي.

دوه د پام وړ ځانګړتیاوې داګدا د نورو ورته وسیلو څخه توپیر کوي:

• دا په بشپړه توګه سره یوځای کیږي کلیاموی، نه یوازې د کانټینر عکسونو سکین کولو لپاره د یوې وسیلې په توګه عمل کوي ، بلکه د انټي ویروس په توګه هم.
• د ډاکر ډیمون څخه د ریښتیني وخت پیښو ترلاسه کولو او د فالکو سره مدغم کولو سره د وخت محافظت هم چمتو کوي (لاندې وګورئ) د امنیتي پیښو راټولولو لپاره پداسې حال کې چې کانټینر روان وي.

KubeXray

• وېب پاڼه: github.com/jfrog/kubexray
• جواز: وړیا (اپاچی)، مګر د JFrog Xray څخه ډاټا ته اړتیا لري (تجارتي محصول)

KubeXray د Kubernetes API سرور څخه پیښو ته غوږ نیسي او د JFrog Xray څخه میټاډاټا کاروي ترڅو ډاډ ترلاسه کړي چې یوازې هغه پوډونه چې د اوسني پالیسۍ سره سمون لري پیل شوي.

KubeXray نه یوازې په ګمارلو کې نوي یا تازه شوي کانټینرونه پلټنه کوي (په کوبرنیټس کې د داخلې کنټرولر سره ورته) ، بلکه په متحرک ډول د نوي امنیت پالیسیو سره موافقت لپاره روان کانټینرونه چیک کوي ، هغه سرچینې لرې کوي چې زیان منونکي عکسونو ته اشاره کوي.

سینک

• وېب پاڼه: snyk.io
• جواز: وړیا (اپاچی) او سوداګریزې نسخې

Snyk یو غیر معمولي زیان منونکي سکینر دی چې دا په ځانګړي ډول د پراختیا پروسه په نښه کوي او د پراختیا کونکو لپاره د "لازمي حل" په توګه هڅول کیږي.

Snyk مستقیم د کوډ ذخیره کولو سره نښلوي، د پروژې منشور پارس کوي او وارد شوي کوډ د مستقیم او غیر مستقیم انحصار سره تحلیل کوي. Snyk د ډیری مشهور پروګرامینګ ژبو ملاتړ کوي او کولی شي د پټ جواز خطرونه وپیژني.

ټریوی

• وېب پاڼه: github.com/knqyf263/trivy
• جواز: وړیا (AGPL)

Trivy د کانټینرونو لپاره یو ساده مګر پیاوړی زیان منونکی سکینر دی چې په اسانۍ سره په CI/CD پایپ لاین کې مدغم کیږي. د دې د پام وړ ځانګړتیا د نصب او عملیاتو اسانتیا ده: غوښتنلیک یو واحد بائنری لري او د ډیټابیس یا اضافي کتابتونونو نصبولو ته اړتیا نلري.

د Trivy سادګۍ ته منفي اړخ دا دی چې تاسو باید معلومه کړئ چې څنګه پایلې د JSON ب formatه کې پارس او فارورډ کړئ ترڅو نور د کوبرنیټس امنیت وسیلې یې وکاروي.

په Kubernetes کې د وخت امنیت

Falco

• وېب پاڼه: falco.org
• جواز: وړیا (اپاچی)

Falco د بادل چلولو چاپیریال خوندي کولو لپاره د وسیلو سیټ دی. د پروژې د کورنۍ برخه CNCF.

د سیسډیګ لینکس کرنل کچې وسیلې او سیسټم کال پروفایل کولو کارول ، فالکو تاسو ته اجازه درکوي د سیسټم چلند کې ژور ډوب کړئ. د دې د چلولو قواعدو انجن د دې وړتیا لري چې په غوښتنلیکونو، کانټینرونو، لاندې کوربه، او کوبرنیټس آرکیسټرټر کې د شکمن فعالیت کشف کړي.

Falco د دې موخو لپاره د Kubernetes نوډونو کې د ځانګړي اجنټانو په ګمارلو سره د چلولو او ګواښ کشف کې بشپړ شفافیت چمتو کوي. د پایلې په توګه ، د دریمې ډلې کوډ په معرفي کولو یا د سایډ کار کانټینرونو اضافه کولو سره د کانټینرونو ترمیم کولو ته اړتیا نشته.

د چلولو لپاره د لینکس امنیتي چوکاټونه

د لینکس کرنل لپاره دا اصلي چوکاټونه په دودیز معنی کې "Kubernetes امنیتي وسیلې" ندي، مګر دا د یادونې وړ دي ځکه چې دا د رن ټایم امنیت په شرایطو کې یو مهم عنصر دی، کوم چې د کوبرنیټس پوډ امنیت پالیسۍ (PSP) کې شامل دی.

اپارمور په کانټینر کې پروسو ته د امنیت پروفایل ضمیمه کوي، د فایل سیسټم امتیازات تعریفوي، د شبکې لاسرسي قواعد، د کتابتونونو نښلول، او داسې نور. دا یو سیسټم دی چې د لازمي لاسرسي کنټرول (MAC) پراساس دی. په بل عبارت، دا د منع شوي اعمالو د ترسره کولو مخه نیسي.

امنیت ته وده ورکول لینکس (SELinux) په لینکس کرنل کې یو پرمختللی امنیتي ماډل دی، په ځینو اړخونو کې د AppArmor سره ورته او ډیری وختونه د هغې سره پرتله کیږي. SELinux په ځواک، انعطاف او تخصیص کې د AppArmor څخه غوره دی. د دې زیانونه د اوږدې زده کړې منحل او د پیچلتیا زیاتوالی دی.

Seccomp او seccomp-bpf تاسو ته اجازه درکوي د سیسټم زنګونه فلټر کړئ، د هغو کسانو اجرا کول بند کړئ چې د بیس OS لپاره احتمالي خطرناک دي او د کاروونکي غوښتنلیکونو عادي عملیاتو لپاره اړتیا نلري. Seccomp په ځینو لارو کې د Falco سره ورته دی، که څه هم دا د کانټینرونو ځانګړتیاوې نه پوهیږي.

Sysdig خلاص سرچینه

• وېب پاڼه: www.sysdig.com/opensource
• جواز: وړیا (اپاچی)

سیسډیګ د لینکس سیسټمونو تحلیل ، تشخیص او ډیبګ کولو لپاره یوه بشپړه وسیله ده (په وینډوز او ماکوس کې هم کار کوي ، مګر د محدودو دندو سره). دا د تفصيلي معلوماتو راټولولو، تصدیق او عدلي تحلیل لپاره کارول کیدی شي. (عدالتي) د بیس سیسټم او کوم کانټینرونه چې په هغې کې روان دي.

سیسډیګ په اصلي ډول د کانټینر چلولو او کبرنیټ میټاډاټا ملاتړ کوي ، د سیسټم چلند ټولو معلوماتو ته اضافي ابعاد او لیبلونه اضافه کوي چې دا راټولوي. د Sysdig په کارولو سره د کبرنیټس کلستر تحلیل کولو لپاره ډیری لارې شتون لري: تاسو کولی شئ د وخت په وخت کې نیول له لارې واخلئ kubectl نیول یا د پلگ ان په کارولو سره د ncurses پر بنسټ متقابل انٹرفیس پیل کړئ kubectl dig.

د Kubernetes شبکې امنیت

Aporeto

• وېب پاڼه: www.aporeto.com
• جواز: سوداګریز

Aporeto وړاندیز کوي "امنیت د شبکې او زیربنا څخه جلا شوی." دا پدې مانا ده چې د Kubernetes خدمتونه نه یوازې یو محلي ID ترلاسه کوي (د بیلګې په توګه په Kubernetes کې د خدماتو حساب)، بلکه یو نړیوال ID/د ګوتو نښان هم چې د بل خدمت سره په خوندي او متقابل ډول د خبرو اترو لپاره کارول کیدی شي، د بیلګې په توګه د OpenShift کلستر کې.

Aporeto د دې وړتیا لري چې نه یوازې د کبرنیټس / کانټینرونو لپاره یو ځانګړی ID رامینځته کړي ، بلکه د کوربه ، کلاوډ افعال او کاروونکو لپاره هم. د دې پیژندونکو او د مدیر لخوا ټاکل شوي د شبکې امنیت مقرراتو پورې اړه لري ، مخابراتو ته به اجازه ورکړل شي یا بلاک شي.

کلیکو

• وېب پاڼه: www.projectcalico.org
• جواز: وړیا (اپاچی)

کیلیکو عموما د کانټینر آرکیسټریټ نصبولو پرمهال ځای په ځای کیږي ، تاسو ته اجازه درکوي یو مجازی شبکه رامینځته کړئ چې کانټینرونه سره وصل کړي. د دې بنسټیز شبکې فعالیت سربیره، د کالیکو پروژه د Kubernetes شبکې پالیسیو سره کار کوي او د هغې د شبکې امنیتي پروفایلونو سره کار کوي، د پای ټکي ACLs (د لاسرسي کنټرول لیستونو) او د Ingress او Egress ترافیک لپاره د تشریح پر بنسټ د شبکې امنیتي قواعدو ملاتړ کوي.

cilium

• وېب پاڼه: www.cilium.io
• جواز: وړیا (اپاچی)

Cilium د کانټینرونو لپاره د اور وژونکي په توګه کار کوي او د شبکې امنیت ځانګړتیاوې چمتو کوي چې په اصلي ډول د کوبرنیټس او مایکرو سرویسس کاري بارونو سره مطابقت لري. Cilium د BPF (Berkeley Packet Filter) په نوم د نوي لینکس کرنل ټیکنالوژي کاروي ترڅو ډاټا فلټر کړي، نظارت وکړي، ریډیریټ کړي او سم کړي.

Cilium د دې وړتیا لري چې د کانټینر IDs پراساس د شبکې لاسرسي پالیسۍ پلي کړي د Docker یا Kubernetes لیبلونو او میټاډاټا په کارولو سره. Cilium د مختلف پرت 7 پروتوکولونه هم پوهیږي او فلټر کوي لکه HTTP یا gRPC، تاسو ته اجازه درکوي د REST تلیفونونو سیټ تعریف کړئ چې د مثال په توګه به د دوه کوبرنیټس ګمارنې ترمینځ اجازه ورکړل شي.

اسټیټو

• وېب پاڼه: istio.io
• جواز: وړیا (اپاچی)

اسټیو په پراخه کچه د پلیټ فارم - خپلواک کنټرول الوتکې ځای په ځای کولو او د متحرک ډول تنظیم کولو وړ استازي پراکسي له لارې د ټولو مدیریت شوي خدماتو ترافیک روټ کولو سره د خدماتو میش تمثیل پلي کولو لپاره په پراخه کچه پیژندل شوی. اسټیو د ټولو مایکرو خدماتو او کانټینرونو د دې پرمختللي لید څخه ګټه پورته کوي ترڅو د مختلف شبکې امنیت ستراتیژیو پلي کړي.

د اسټیو د شبکې امنیت وړتیاو کې شفاف TLS کوډ کول شامل دي ترڅو په اتوماتيک ډول HTTPS ته د مایکرو خدماتو ترمینځ مخابرات لوړ کړي ، او د ملکیت RBAC پیژندنې او واک ورکولو سیسټم ترڅو په کلستر کې د مختلف کاري بارونو ترمینځ ارتباط ته اجازه / رد کړي.

نوټ. ژباړه: د اسټیو د امنیت متمرکز ظرفیتونو په اړه د نورو معلوماتو لپاره، ولولئ دا مقاله.

پړانګ

• وېب پاڼه: www.tigera.io
• جواز: سوداګریز

د "Kubernetes Firewall" په نوم یادیږي، دا حل د شبکې امنیت ته د صفر اعتماد چلند ټینګار کوي.

د نورو اصلي Kubernetes شبکې حلونو په څیر، ټایګرا په کلستر کې د مختلف خدماتو او شیانو پیژندلو لپاره په میټاډاټا تکیه کوي او د چلولو وخت مسله کشف، دوامداره تعمیل چک کول، او د ملټي کلاوډ یا هایبرډ مونولیتیک کانټینر شوي زیربنا لپاره د شبکې لید وړاندې کوي.

ټریرم

• وېب پاڼه: www.aporeto.com/opensource
• جواز: وړیا (اپاچی)

Trireme-Kubernetes د Kubernetes شبکې د پالیسیو مشخصاتو یو ساده او مستقیم تطبیق دی. ترټولو د پام وړ ځانګړتیا دا ده چې - د ورته Kubernetes شبکې امنیت محصولاتو برعکس - دا د میش همغږي کولو لپاره مرکزي کنټرول الوتکې ته اړتیا نلري. دا حل په لږه اندازه د توزیع وړ کوي. په Trireme کې، دا په هر نوډ کې د اجنټ نصبولو سره ترلاسه کیږي چې مستقیم د کوربه TCP/IP سټیک سره نښلوي.

د انځور تبلیغ او راز مدیریت

Grafeas

• وېب پاڼه: grafeas.io
• جواز: وړیا (اپاچی)

Grafeas د سافټویر عرضه کولو سلسلې پلټنې او مدیریت لپاره د خلاصې سرچینې API دی. په بنسټیزه کچه، Grafeas د میټاډاټا راټولولو او د پلټنې موندنې یوه وسیله ده. دا په یوه سازمان کې د امنیت غوره کړنو سره د موافقت تعقیب لپاره کارول کیدی شي.

د حقیقت دا مرکزي سرچینه د پوښتنو ځوابونو کې مرسته کوي لکه:

• چا د یو ځانګړي کانټینر لپاره راټول او لاسلیک کړل؟
• ایا دا ټول امنیتي سکینونه او چکونه چې د امنیت پالیسۍ لخوا اړین دي تیر شوي؟ كله؟ پایلې څه وې؟
• چا دا تولید ته ځای په ځای کړی؟ کوم ځانګړي پیرامیټونه د ګمارنې پرمهال کارول شوي؟

په بشپړ ډول

• وېب پاڼه: in-toto.github.io
• جواز: وړیا (اپاچی)

In-toto یو چوکاټ دی چې د بشپړ سافټویر رسولو سلسلې بشپړتیا، تصدیق او پلټنې چمتو کولو لپاره ډیزاین شوی. کله چې په زیربنا کې د ان-ټوټو ځای په ځای کول، یو پلان لومړی تعریف شوی چې په پایپ لاین کې مختلف مرحلې بیانوي (ذخیرې، CI/CD اوزار، QA اوزار، د هنري توکو راټولونکي، او نور) او کاروونکي (مسوول اشخاص) چې اجازه لري. دوی پیل کړئ.

In-toto د پلان اجرا کول څاري، دا تاییدوي چې په سلسله کې هره دنده یوازې د مجاز پرسونل لخوا په سمه توګه ترسره کیږي او دا چې د حرکت په جریان کې د محصول سره هیڅ غیرقانوني لاسوهنه نه ده ترسره شوې.

پورټیریس

• وېب پاڼه: github.com/IBM/portieris
• جواز: وړیا (اپاچی)

پورټیریس د کوبرنیټس لپاره د داخلې کنټرولر دی؛ د منځپانګې باور چکونو پلي کولو لپاره کارول کیږي. پورټیریس یو سرور کاروي نوټریټ (موږ په پای کې د هغه په ​​اړه لیکلي دا مقاله - نږدې ژباړه) د باور وړ او لاسلیک شوي اثار (د بیلګې په توګه تصویب شوي کانټینر عکسونه) د اعتبار لپاره د حقیقت سرچینې په توګه.

کله چې په کوبرنیټس کې د کار بار رامینځته یا بدل شي ، پورټیریس د غوښتل شوي کانټینر عکسونو لپاره د لاسلیک کولو معلوماتو او مینځپانګې باور پالیسي ډاونلوډ کوي او که اړتیا وي ، د دې عکسونو لاسلیک شوي نسخو چلولو لپاره د JSON API اعتراض کې د الوتنې په جریان کې بدلونونه رامینځته کوي.

هدېرې

• وېب پاڼه: www.vaultproject.io
• جواز: وړیا (MPL)

والټ د شخصي معلوماتو ذخیره کولو لپاره یو خوندي حل دی: پاسورډونه، د OAuth ټوکنونه، د PKI سندونه، حسابونو ته لاسرسی، د Kubernetes رازونه، او نور. والټ د ډیری پرمختللو ځانګړتیاو ملاتړ کوي، لکه د لنډمهاله امنیتي توکیو اجاره کول یا د کلیدي گردش تنظیم کول.

د هیلم چارټ په کارولو سره، والټ د کوبرنیټس کلستر کې د نوي ګمارنې په توګه د کنسول سره د بیکینډ ذخیره کولو په توګه ګمارل کیدی شي. دا د اصلي Kubernetes سرچینو ملاتړ کوي لکه د ServiceAccount Tokens او حتی کولی شي د Kubernetes رازونو لپاره د ډیفالټ پلورنځي په توګه عمل وکړي.

نوټ. ژباړه: په خواشینۍ سره، تیره ورځ شرکت HashiCorp، چې Vault ته وده ورکوي، په Kubernetes کې د والټ کارولو لپاره ځینې پرمختګونه اعلان کړل، او په ځانګړې توګه دوی د هیلم چارټ پورې اړه لري. نور په کې ولولئ بلاګ разработчика.

د Kubernetes امنیت پلټنه

کیوب بینچ

• وېب پاڼه: github.com/aquasecurity/kube-bench
• جواز: وړیا (اپاچی)

کیوب بینچ د ګو غوښتنلیک دی چې ګوري چې ایا کوبرنیټس د لیست څخه د ازموینو په چلولو سره په خوندي ډول ګمارل شوی د CIS Kubernetes بنچمارک.

کیوب بینچ د کلستر اجزاو (etcd، API، کنټرولر مدیر، او نور) ترمنځ د ناامنه ترتیباتو ترتیباتو په لټه کې دي، د پوښتنې وړ فایل لاسرسي حقونه، غیر خوندي حسابونه یا خلاص بندرونه، د سرچینو کوټې، د DoS بریدونو په وړاندې د ساتنې لپاره د API کالونو شمیر محدودولو لپاره ترتیبات , etc.

کوبی - ښکار

• وېب پاڼه: github.com/aquasecurity/kube-hunter
• جواز: وړیا (اپاچی)

Kube-Hunter د Kubernetes په کلسترونو کې د احتمالي زیانونو (لکه د ریموټ کوډ اجرا کول یا د معلوماتو افشا کول) لټون کوي. کیوب هینټر د ریموټ سکینر په توګه پرمخ وړل کیدی شي - پدې حالت کې دا به د دریمې ډلې برید کونکي له لید څخه کلستر ارزوي - یا په کلستر کې دننه د پوډ په توګه.

د کوبی ښکار یو ځانګړی ځانګړتیا د هغې د "فعال ښکار" حالت دی، چې په جریان کې دا نه یوازې د ستونزو راپور ورکوي، بلکې هڅه کوي چې په نښه شوي کلستر کې کشف شوي زیانمننې څخه ګټه پورته کړي چې ممکن ممکن د هغې عملیات زیانمن کړي. نو د احتیاط څخه کار واخلئ!

کوبیوډیټ

• وېب پاڼه: github.com/Shopify/kubeaudit
• جواز: وړیا (MIT)

Kubeaudit د کنسول وسیله ده چې په اصل کې په Shopify کې د مختلف امنیتي مسلو لپاره د Kubernetes تشکیلاتو پلټنې لپاره رامینځته شوې. د مثال په توګه، دا د کانټینرونو په پیژندلو کې مرسته کوي چې غیر محدودیت لري، د روټ په توګه چلوي، د امتیازاتو څخه ناوړه ګټه پورته کوي، یا د ډیفالټ خدمت حساب کاروي.

Kubeaudit نورې په زړه پورې ځانګړتیاوې لري. د مثال په توګه ، دا کولی شي ځایی YAML فایلونه تحلیل کړي ، د تشکیلاتو نیمګړتیاوې وپیژني چې کولی شي د امنیت ستونزو لامل شي ، او په اتوماتيک ډول یې حل کړي.

کوبیسیک

• وېب پاڼه: kubesec.io
• جواز: وړیا (اپاچی)

کوبیسیک یوه ځانګړې وسیله ده چې دا په مستقیم ډول د YAML فایلونه سکین کوي ​​چې د Kubernetes سرچینې تشریح کوي، د ضعیف پیرامیټونو په لټه کې دي چې کولی شي امنیت اغیزمن کړي.

د مثال په توګه ، دا کولی شي پوډ ته ورکړل شوي ډیر امتیازات او اجازې کشف کړي ، د ډیفالټ کارونکي په توګه د روټ سره کانټینر چلوي ، د کوربه شبکې نوم ځای سره وصل کول ، یا خطرناک ماونټونه لکه /proc کوربه یا ډاکر ساکټ. د کوبیسیک بله په زړه پوري ځانګړتیا د ډیمو خدمت دی چې آنلاین شتون لري ، په کوم کې چې تاسو کولی شئ YAML اپلوډ کړئ او سمدلاسه یې تحلیل کړئ.

د پالیسۍ ایجنټ خلاص کړئ

• وېب پاڼه: www.openpolicyagent.org
• جواز: وړیا (اپاچی)

د OPA (د خلاصې پالیسۍ اجنټ) مفهوم د ځانګړي رن ټایم پلیټ فارم څخه د امنیت پالیسي او امنیت غوره عملونو ډیپلول دي: ډاکر ، کوبرنیټس ، میسوسفیر ، اوپن شیف ، یا د دې کوم ترکیب.

د مثال په توګه، تاسو کولی شئ OPA د Kubernetes د داخلې کنټرولر لپاره د شالید په توګه ځای په ځای کړئ، دې ته د امنیت پریکړې سپارل. په دې توګه، د OPA اجنټ کولی شي په الوتنه کې غوښتنې تایید، رد او حتی تعدیل کړي، ډاډ ترلاسه کړي چې مشخص شوي امنیتي پیرامیټونه پوره شوي. د OPA امنیتي تګلارې د دې ملکیت DSL ژبه کې لیکل شوي، ریګو.

نوټ. ژباړه: موږ د OPA (او SPIFFE) په اړه نور څه لیکلي دا مواد.

د Kubernetes امنیت تحلیل لپاره جامع تجارتي وسیلې

موږ پریکړه وکړه چې د سوداګریزو پلیټونو لپاره جلا کټګورۍ رامینځته کړو ځکه چې دوی عموما ډیری امنیتي ساحې پوښي. د دوی د وړتیاوو عمومي نظر له جدول څخه ترلاسه کیدی شي:

* پرمختللې معاینه او د پوسټ مارټم تحلیل په بشپړ ډول سیسټم زنګ وهل.

د آوا امنیت

• وېب پاڼه: www.aquasec.com
• جواز: سوداګریز

دا سوداګریزه وسیله د کانټینرونو او بادل کاري بارونو لپاره ډیزاین شوې. دا وړاندې کوي:

• د عکس سکین کول د کانټینر ثبت یا CI/CD پایپ لاین سره مدغم شوی؛
• په کانتینرونو او نورو مشکوکو فعالیتونو کې د بدلونونو لټون سره د چلولو وخت محافظت؛
• د کانټینر اصلي فایروال؛
• په کلاوډ خدماتو کې د سرور پرته امنیت؛
• د موافقت ازموینه او تفتیش د پیښې د ننوتلو سره یوځای کیږي.

نوټ. ژباړه: دا هم د یادولو وړ ده چې شتون لري د محصول وړیا برخه نومیږي مایکرو سکینر، کوم چې تاسو ته اجازه درکوي د زیان منونکو لپاره د کانټینر عکسونه سکین کړئ. د تادیه شوي نسخو سره د دې وړتیاو پرتله کول په کې وړاندې کیږي دا میز.

کیپسول۸

• وېب پاڼه: capsule8.com
• جواز: سوداګریز

کیپسول 8 په ځایی یا کلاوډ Kubernetes کلستر کې د کشف کونکي په نصبولو سره زیربنا کې مدغم کوي. دا کشف کونکی کوربه او د شبکې ټیلی میټری راټولوي، دا د مختلفو بریدونو سره تړاو لري.

د کیپسول 8 ټیم خپل دنده د نوي په کارولو سره د بریدونو دمخه کشف او مخنیوي په توګه ګوري (0 ورځی) زیانمنتیاوې کیپسول 8 کولی شي د نوي کشف شوي ګواښونو او سافټویر زیانونو په ځواب کې مستقیم کشف کونکو ته تازه شوي امنیتي مقررات ډاونلوډ کړي.

Cavirin

• وېب پاڼه: www.cavirin.com
• جواز: سوداګریز

Cavirin د مختلفو ادارو لپاره د شرکت اړخ قراردادي په توګه کار کوي چې د خوندیتوب معیارونو کې ښکیل دي. نه یوازې دا کولی شي عکسونه سکین کړي ، بلکه دا کولی شي د CI/CD پایپ لاین کې هم مدغم شي ، د غیر معیاري عکسونو مخه نیسي مخکې لدې چې دوی تړل شوي زیرمو ته ننوځي.

د کاویرین امنیت سویټ ستاسو د سایبر امنیت وضعیت ارزولو لپاره د ماشین زده کړې کاروي ، د امنیت ښه کولو او د امنیت معیارونو سره موافقت ته وده ورکولو لارښوونې وړاندیز کوي.

د ګوګل کلاوډ امنیت قوماندې مرکز

• وېب پاڼه: cloud.google.com/security-command-center
• جواز: سوداګریز

د کلاوډ امنیت قوماندې مرکز د امنیت ټیمونو سره د معلوماتو راټولولو کې مرسته کوي، ګواښونه پیژني، او مخکې له دې چې دوی شرکت ته زیان ورسوي له منځه یوسي.

لکه څنګه چې نوم وړاندیز کوي، د ګوګل کلاوډ SCC یو متحد کنټرول پینل دی چې کولی شي د یو واحد، مرکزي سرچینې څخه مختلف امنیتي راپورونه، د شتمنیو محاسبې انجنونه، او د دریمې ډلې امنیتي سیسټمونه یوځای او اداره کړي.

د ګوګل کلاوډ SCC لخوا وړاندیز شوی متقابل API د مختلف سرچینو څخه د امنیت پیښو ادغام کول اسانه کوي ، لکه سیسډیګ سیکیور (د کلاوډ اصلي غوښتنلیکونو لپاره کانټینر امنیت) یا فالکو (د خلاصې سرچینې چلولو امنیت).

پرتې بصیرت (Qualys)

• وېب پاڼه: layeredinsight.com
• جواز: سوداګریز

پرت لرونکي بصیرت (اوس د Qualys Inc برخه) د "ایمبیډ شوي امنیت" مفهوم باندې رامینځته شوی. د احصایوي تحلیلونو او CVE چکونو په کارولو سره د زیان منونکو لپاره اصلي عکس سکین کولو وروسته ، پرت لرونکي بصیرت دا د یوه وسیله شوي عکس سره بدلوي چې اجنټ د بائنری په توګه پکې شامل وي.

دا اجنټ د کانټینر شبکې ترافیک ، I/O جریان او غوښتنلیک فعالیت تحلیل کولو لپاره د وخت امنیت ازموینې لري. سربیره پردې ، دا کولی شي د زیربنا مدیر یا DevOps ټیمونو لخوا مشخص شوي اضافي امنیت چیکونه ترسره کړي.

NeuVector

• وېب پاڼه: neuvector.com
• جواز: سوداګریز

NeuVector د کانټینر امنیت چیک کوي او د شبکې فعالیت او غوښتنلیک چلند تحلیل کولو سره د چلولو محافظت چمتو کوي ، د هر کانټینر لپاره د انفرادي امنیت پروفایل رامینځته کوي. دا کولی شي پخپله د ګواښونو مخه ونیسي، د ځایی فایروال مقرراتو بدلولو سره شکمن فعالیت جلا کوي.

د NeuVector د شبکې ادغام چې د امنیت میش په نوم پیژندل کیږي، د خدماتو میش کې د ټولو شبکو اتصالاتو لپاره د ژور پیکټ تحلیل او پرت 7 فلټر کولو وړتیا لري.

StackRox

• وېب پاڼه: www.stackrox.com
• جواز: سوداګریز

د StackRox کانټینر امنیت پلیټ فارم هڅه کوي د کوبرنیټس غوښتنلیکونو ټول ژوند په کلستر کې پوښي. په دې لیست کې د نورو سوداګریزو پلیټ فارمونو په څیر، StackRox د لیدل شوي کانټینر چلند پراساس د وخت وخت پروفایل رامینځته کوي او په اتوماتيک ډول د هر ډول انحراف لپاره الارم راپورته کوي.

برسیره پردې، StackRox د کانټینر اطاعت ارزولو لپاره د Kubernetes CIS او نورو قواعدو کتابونو په کارولو سره د Kubernetes تشکیلات تحلیلوي.

Sysdig خوندي

• وېب پاڼه: sysdig.com/products/secure
• جواز: سوداګریز

Sysdig Secure غوښتنلیکونه په ټول کانټینر او Kubernetes ژوند دوره کې ساتي. هغه انځورونه سکین کوي کانتینرونه، برابروي د وخت ساتنه د ماشین زده کړې ډاټا مطابق، کریم ترسره کوي. تخصص د زیان منونکو پیژندلو، د ګواښونو مخنیوی، څارونکي د تاسیس شوي معیارونو سره مطابقت او په مایکرو خدماتو کې د فعالیت پلټنه.

سیسډیګ سیکیور د CI/CD وسیلو سره مدغم کیږي لکه جینکنز او د ډاکر راجسټری څخه بار شوي عکسونه کنټرولوي ، په تولید کې د خطرناک عکسونو څرګندیدو مخه نیسي. دا د چلولو جامع امنیت هم چمتو کوي، په شمول:

• د ML پر بنسټ د چلولو وخت پروفایل کول او د بې نظمۍ کشف؛
• د سیسټم پیښو، K8s-audit API، ګډې ټولنې پروژې (FIM - د فایل بشپړتیا څارنه؛ cryptojacking) او چوکاټ پر بنسټ د چلولو پالیسۍ MITER AT&CK;
• غبرګون او د پیښو حل.

د ټینبل کانټینر امنیت

• وېب پاڼه: www.tenable.com/products/tenable-io/container-security
• جواز: سوداګریز

د کانټینرونو له راتګ دمخه، Tenable په صنعت کې په پراخه کچه د نیسس تر شا شرکت په توګه پیژندل شوی و، د زیان منونکي ښکار او امنیت پلټنې وسیله.

د ټین ایبل کانټینر امنیت د شرکت د کمپیوټر امنیت تخصص څخه ګټه پورته کوي ترڅو د زیان مننې ډیټابیسونو سره د CI/CD پایپ لاین مدغم کړي ، د مالویر کشف ځانګړي کڅوړې ، او د امنیتي ګواښونو د حل لپاره وړاندیزونه.

Twistlock (پالو الټو شبکې)

• وېب پاڼه: www.twistlock.com
• جواز: سوداګریز

Twistlock ځان د یو پلیټ فارم په توګه هڅوي چې په کلاوډ خدماتو او کانټینرونو تمرکز کوي. Twistlock د مختلف کلاوډ چمتو کونکو (AWS، Azure، GCP)، کانټینر آرکیسټریټرز (Kubernetes، Mesospehere، OpenShift، Docker)، د سرور بې چلولو وختونو، میش چوکاټونو او CI/CD وسیلو ملاتړ کوي.

د دودیز تصدۍ درجې امنیتي تخنیکونو سربیره لکه د CI/CD پایپ لاین ادغام یا عکس سکین کول ، Twistlock د کانټینر ځانګړي چلند نمونې او د شبکې مقرراتو رامینځته کولو لپاره د ماشین زده کړې کاروي.

څه موده وړاندې، Twistlock د پالو الټو شبکې لخوا اخیستل شوی و، کوم چې د Evident.io او RedLock پروژې لري. دا لا معلومه نده چې دا درې پلیټ فارمونه به په سمه توګه څنګه مدغم شي PRISMA د پالو الټو څخه.

د Kubernetes امنیتي وسیلو غوره کتلاګ جوړولو کې مرسته وکړئ!

موږ هڅه کوو چې دا کتلاګ د امکان تر حده بشپړ کړو، او د دې لپاره موږ ستاسو مرستې ته اړتیا لرو! موږ سره اړیکه ونیسئ (@sysdig) که تاسو په ذهن کې یو ښه وسیله لرئ چې په دې لیست کې د شاملولو وړ وي، یا تاسو یوه تېروتنه / زاړه معلومات ومومئ.

تاسو هم کولی شئ زموږ سره ګډون وکړئ میاشتنۍ خبرپاڼه د بادل اصلي ایکوسیستم څخه خبرونو او د کوبرنیټس امنیت نړۍ څخه په زړه پورې پروژو په اړه کیسې سره.

PS د ژباړونکي څخه

زموږ په بلاګ کې هم ولولئ:

• «د امنیتي مسلکیانو لپاره د کوبرنیټس شبکې پالیسیو پیژندنه»
• «د امنیت غوښتنې چاپیریال کې ډاکر او کبرنیټس»
• «د Kubernetes امنیت لپاره 9 غوره کړنې»
• «د کبرنیټس هیک قرباني کیدو لپاره (نه) 11 لارې»
• «OPA او SPIFFE د کلاوډ غوښتنلیک امنیت لپاره په CNCF کې دوه نوې پروژې دي".

سرچینه: www.habr.com