نوټ. ژباړه: که تاسو د Kubernetes پر بنسټ زیربنا کې د امنیت په اړه فکر کوئ، د Sysdig څخه دا غوره کتنه د اوسني حلونو د چټک لید لپاره یو ښه پیل ټکی دی. پدې کې د مشهور بازار لوبغاړو څخه دواړه پیچلي سیسټمونه او نور ډیر معمولي اسانتیاوې شاملې دي چې یوه ځانګړې ستونزه حل کوي. او په نظرونو کې، د تل په څیر، موږ به خوشحاله یو چې د دې وسیلو په کارولو سره ستاسو د تجربې په اړه واورئ او د نورو پروژو لینکونه وګورئ.
د Kubernetes امنیتي سافټویر محصولات ... دلته ډیری یې شتون لري، هر یو د خپلو اهدافو، ساحې، او جوازونو سره.
له همدې امله موږ پریکړه وکړه چې دا لیست جوړ کړو او دواړه د خلاصې سرچینې پروژې او د مختلف پلورونکو څخه سوداګریز پلیټ فارمونه شامل کړو. موږ امید لرو چې دا به تاسو سره د هغه چا په پیژندلو کې مرسته وکړي چې خورا علاقه لري او ستاسو د ځانګړي Kubernetes امنیتي اړتیاو پراساس سم لوري ته په ګوته کوي.
کټګوري
د لیست نیولو لپاره اسانه کولو لپاره، وسایل د اصلي فعالیت او غوښتنلیک لخوا تنظیم شوي. لاندې برخې ترلاسه شوې:
- د کوبرنیټس عکس سکین کول او جامد تحلیل؛
- د وخت امنیت؛
- د Kubernetes شبکې امنیت؛
- د انځور ویش او د رازونو مدیریت؛
- د Kubernetes امنیتي پلټنه؛
- جامع سوداګریز محصولات.
راځئ چې سوداګرۍ ته راشو:
د کبرنیټ عکسونه سکین کول
لنگر
- وېب پاڼه:
anchore.com - جواز: وړیا (اپاچی) او سوداګریز وړاندیز
اینکر د کانټینر عکسونه تحلیلوي او د کارونکي لخوا ټاکل شوي پالیسیو پراساس د امنیت چکونو ته اجازه ورکوي.
د CVE ډیټابیس څخه د پیژندل شوي زیانونو لپاره د کانټینر عکسونو معمول سکین کولو سربیره ، اینکور د دې سکین کولو پالیسۍ برخې په توګه ډیری اضافي چیکونه ترسره کوي: د ډاکر فایل چیک کوي ، کریډینشل لیکونه ، د برنامه کولو ژبې کڅوړې کارول کیږي (npm ، maven ، او داسې نور. .)، د سافټویر جوازونه او نور ډیر څه.
Clair
- وېب پاڼه:
coreos.com/clair (اوس د ریډ هټ تر سرپرستۍ لاندې) - جواز: وړیا (اپاچی)
کلیر د عکس سکین کولو لپاره د لومړۍ خلاصې سرچینې پروژې څخه و. دا په پراخه کچه د Quay عکس راجسټری شاته د امنیت سکینر په توګه پیژندل شوی (د CoreOS څخه هم - نږدې ژباړه). کلیر کولی شي د مختلف سرچینو څخه د CVE معلومات راټول کړي ، پشمول د لینکس توزیع ځانګړي زیان منونکي لیستونه چې د Debian ، Red Hat ، یا Ubuntu امنیتي ټیمونو لخوا ساتل شوي.
د اینکور برعکس، کلیر په عمده توګه د زیان منونکو موندلو او CVEs سره د ډیټا سره سمون باندې تمرکز کوي. په هرصورت، محصول کاروونکو ته ځینې فرصتونه وړاندې کوي چې د پلگ ان ډرایورانو په کارولو سره فعالیتونه پراخ کړي.
ډاګدا
- وېب پاڼه:
github.com/eliasgranderubio/dagda - جواز: وړیا (اپاچی)
ډاګډا د پیژندل شوي زیانونو، ټروجن، ویروسونو، مالویر او نورو ګواښونو لپاره د کانټینر عکسونو جامد تحلیل ترسره کوي.
دوه د پام وړ ځانګړتیاوې داګدا د نورو ورته وسیلو څخه توپیر کوي:
- دا په بشپړه توګه سره یوځای کیږي
کلیاموی ، نه یوازې د کانټینر عکسونو سکین کولو لپاره د یوې وسیلې په توګه عمل کوي ، بلکه د انټي ویروس په توګه هم. - د ډاکر ډیمون څخه د ریښتیني وخت پیښو ترلاسه کولو او د فالکو سره مدغم کولو سره د وخت محافظت هم چمتو کوي (لاندې وګورئ) د امنیتي پیښو راټولولو لپاره پداسې حال کې چې کانټینر روان وي.
KubeXray
- وېب پاڼه:
github.com/jfrog/kubexray - جواز: وړیا (اپاچی)، مګر د JFrog Xray څخه ډاټا ته اړتیا لري (تجارتي محصول)
KubeXray د Kubernetes API سرور څخه پیښو ته غوږ نیسي او د JFrog Xray څخه میټاډاټا کاروي ترڅو ډاډ ترلاسه کړي چې یوازې هغه پوډونه چې د اوسني پالیسۍ سره سمون لري پیل شوي.
KubeXray نه یوازې په ګمارلو کې نوي یا تازه شوي کانټینرونه پلټنه کوي (په کوبرنیټس کې د داخلې کنټرولر سره ورته) ، بلکه په متحرک ډول د نوي امنیت پالیسیو سره موافقت لپاره روان کانټینرونه چیک کوي ، هغه سرچینې لرې کوي چې زیان منونکي عکسونو ته اشاره کوي.
سینک
- وېب پاڼه:
snyk.io - جواز: وړیا (اپاچی) او سوداګریزې نسخې
Snyk یو غیر معمولي زیان منونکي سکینر دی چې دا په ځانګړي ډول د پراختیا پروسه په نښه کوي او د پراختیا کونکو لپاره د "لازمي حل" په توګه هڅول کیږي.
Snyk مستقیم د کوډ ذخیره کولو سره نښلوي، د پروژې منشور پارس کوي او وارد شوي کوډ د مستقیم او غیر مستقیم انحصار سره تحلیل کوي. Snyk د ډیری مشهور پروګرامینګ ژبو ملاتړ کوي او کولی شي د پټ جواز خطرونه وپیژني.
ټریوی
- وېب پاڼه:
github.com/knqyf263/trivy - جواز: وړیا (AGPL)
Trivy د کانټینرونو لپاره یو ساده مګر پیاوړی زیان منونکی سکینر دی چې په اسانۍ سره په CI/CD پایپ لاین کې مدغم کیږي. د دې د پام وړ ځانګړتیا د نصب او عملیاتو اسانتیا ده: غوښتنلیک یو واحد بائنری لري او د ډیټابیس یا اضافي کتابتونونو نصبولو ته اړتیا نلري.
د Trivy سادګۍ ته منفي اړخ دا دی چې تاسو باید معلومه کړئ چې څنګه پایلې د JSON ب formatه کې پارس او فارورډ کړئ ترڅو نور د کوبرنیټس امنیت وسیلې یې وکاروي.
په Kubernetes کې د وخت امنیت
Falco
- وېب پاڼه:
falco.org - جواز: وړیا (اپاچی)
Falco د بادل چلولو چاپیریال خوندي کولو لپاره د وسیلو سیټ دی. د پروژې د کورنۍ برخه
د سیسډیګ لینکس کرنل کچې وسیلې او سیسټم کال پروفایل کولو کارول ، فالکو تاسو ته اجازه درکوي د سیسټم چلند کې ژور ډوب کړئ. د دې د چلولو قواعدو انجن د دې وړتیا لري چې په غوښتنلیکونو، کانټینرونو، لاندې کوربه، او کوبرنیټس آرکیسټرټر کې د شکمن فعالیت کشف کړي.
Falco د دې موخو لپاره د Kubernetes نوډونو کې د ځانګړي اجنټانو په ګمارلو سره د چلولو او ګواښ کشف کې بشپړ شفافیت چمتو کوي. د پایلې په توګه ، د دریمې ډلې کوډ په معرفي کولو یا د سایډ کار کانټینرونو اضافه کولو سره د کانټینرونو ترمیم کولو ته اړتیا نشته.
د چلولو لپاره د لینکس امنیتي چوکاټونه
د لینکس کرنل لپاره دا اصلي چوکاټونه په دودیز معنی کې "Kubernetes امنیتي وسیلې" ندي، مګر دا د یادونې وړ دي ځکه چې دا د رن ټایم امنیت په شرایطو کې یو مهم عنصر دی، کوم چې د کوبرنیټس پوډ امنیت پالیسۍ (PSP) کې شامل دی.
امنیت ته وده ورکول لینکس (
Sysdig خلاص سرچینه
- وېب پاڼه:
www.sysdig.com/opensource - جواز: وړیا (اپاچی)
سیسډیګ د لینکس سیسټمونو تحلیل ، تشخیص او ډیبګ کولو لپاره یوه بشپړه وسیله ده (په وینډوز او ماکوس کې هم کار کوي ، مګر د محدودو دندو سره). دا د تفصيلي معلوماتو راټولولو، تصدیق او عدلي تحلیل لپاره کارول کیدی شي. (عدالتي) د بیس سیسټم او کوم کانټینرونه چې په هغې کې روان دي.
سیسډیګ په اصلي ډول د کانټینر چلولو او کبرنیټ میټاډاټا ملاتړ کوي ، د سیسټم چلند ټولو معلوماتو ته اضافي ابعاد او لیبلونه اضافه کوي چې دا راټولوي. د Sysdig په کارولو سره د کبرنیټس کلستر تحلیل کولو لپاره ډیری لارې شتون لري: تاسو کولی شئ د وخت په وخت کې نیول له لارې واخلئ
د Kubernetes شبکې امنیت
Aporeto
- وېب پاڼه:
www.aporeto.com - جواز: سوداګریز
Aporeto وړاندیز کوي "امنیت د شبکې او زیربنا څخه جلا شوی." دا پدې مانا ده چې د Kubernetes خدمتونه نه یوازې یو محلي ID ترلاسه کوي (د بیلګې په توګه په Kubernetes کې د خدماتو حساب)، بلکه یو نړیوال ID/د ګوتو نښان هم چې د بل خدمت سره په خوندي او متقابل ډول د خبرو اترو لپاره کارول کیدی شي، د بیلګې په توګه د OpenShift کلستر کې.
Aporeto د دې وړتیا لري چې نه یوازې د کبرنیټس / کانټینرونو لپاره یو ځانګړی ID رامینځته کړي ، بلکه د کوربه ، کلاوډ افعال او کاروونکو لپاره هم. د دې پیژندونکو او د مدیر لخوا ټاکل شوي د شبکې امنیت مقرراتو پورې اړه لري ، مخابراتو ته به اجازه ورکړل شي یا بلاک شي.
کلیکو
- وېب پاڼه:
www.projectcalico.org - جواز: وړیا (اپاچی)
کیلیکو عموما د کانټینر آرکیسټریټ نصبولو پرمهال ځای په ځای کیږي ، تاسو ته اجازه درکوي یو مجازی شبکه رامینځته کړئ چې کانټینرونه سره وصل کړي. د دې بنسټیز شبکې فعالیت سربیره، د کالیکو پروژه د Kubernetes شبکې پالیسیو سره کار کوي او د هغې د شبکې امنیتي پروفایلونو سره کار کوي، د پای ټکي ACLs (د لاسرسي کنټرول لیستونو) او د Ingress او Egress ترافیک لپاره د تشریح پر بنسټ د شبکې امنیتي قواعدو ملاتړ کوي.
cilium
- وېب پاڼه:
www.cilium.io - جواز: وړیا (اپاچی)
Cilium د کانټینرونو لپاره د اور وژونکي په توګه کار کوي او د شبکې امنیت ځانګړتیاوې چمتو کوي چې په اصلي ډول د کوبرنیټس او مایکرو سرویسس کاري بارونو سره مطابقت لري. Cilium د BPF (Berkeley Packet Filter) په نوم د نوي لینکس کرنل ټیکنالوژي کاروي ترڅو ډاټا فلټر کړي، نظارت وکړي، ریډیریټ کړي او سم کړي.
Cilium د دې وړتیا لري چې د کانټینر IDs پراساس د شبکې لاسرسي پالیسۍ پلي کړي د Docker یا Kubernetes لیبلونو او میټاډاټا په کارولو سره. Cilium د مختلف پرت 7 پروتوکولونه هم پوهیږي او فلټر کوي لکه HTTP یا gRPC، تاسو ته اجازه درکوي د REST تلیفونونو سیټ تعریف کړئ چې د مثال په توګه به د دوه کوبرنیټس ګمارنې ترمینځ اجازه ورکړل شي.
اسټیټو
- وېب پاڼه:
istio.io - جواز: وړیا (اپاچی)
اسټیو په پراخه کچه د پلیټ فارم - خپلواک کنټرول الوتکې ځای په ځای کولو او د متحرک ډول تنظیم کولو وړ استازي پراکسي له لارې د ټولو مدیریت شوي خدماتو ترافیک روټ کولو سره د خدماتو میش تمثیل پلي کولو لپاره په پراخه کچه پیژندل شوی. اسټیو د ټولو مایکرو خدماتو او کانټینرونو د دې پرمختللي لید څخه ګټه پورته کوي ترڅو د مختلف شبکې امنیت ستراتیژیو پلي کړي.
د اسټیو د شبکې امنیت وړتیاو کې شفاف TLS کوډ کول شامل دي ترڅو په اتوماتيک ډول HTTPS ته د مایکرو خدماتو ترمینځ مخابرات لوړ کړي ، او د ملکیت RBAC پیژندنې او واک ورکولو سیسټم ترڅو په کلستر کې د مختلف کاري بارونو ترمینځ ارتباط ته اجازه / رد کړي.
نوټ. ژباړه: د اسټیو د امنیت متمرکز ظرفیتونو په اړه د نورو معلوماتو لپاره، ولولئ
پړانګ
- وېب پاڼه:
www.tigera.io - جواز: سوداګریز
د "Kubernetes Firewall" په نوم یادیږي، دا حل د شبکې امنیت ته د صفر اعتماد چلند ټینګار کوي.
د نورو اصلي Kubernetes شبکې حلونو په څیر، ټایګرا په کلستر کې د مختلف خدماتو او شیانو پیژندلو لپاره په میټاډاټا تکیه کوي او د چلولو وخت مسله کشف، دوامداره تعمیل چک کول، او د ملټي کلاوډ یا هایبرډ مونولیتیک کانټینر شوي زیربنا لپاره د شبکې لید وړاندې کوي.
ټریرم
- وېب پاڼه:
www.aporeto.com/opensource - جواز: وړیا (اپاچی)
Trireme-Kubernetes د Kubernetes شبکې د پالیسیو مشخصاتو یو ساده او مستقیم تطبیق دی. ترټولو د پام وړ ځانګړتیا دا ده چې - د ورته Kubernetes شبکې امنیت محصولاتو برعکس - دا د میش همغږي کولو لپاره مرکزي کنټرول الوتکې ته اړتیا نلري. دا حل په لږه اندازه د توزیع وړ کوي. په Trireme کې، دا په هر نوډ کې د اجنټ نصبولو سره ترلاسه کیږي چې مستقیم د کوربه TCP/IP سټیک سره نښلوي.
د انځور تبلیغ او راز مدیریت
Grafeas
- وېب پاڼه:
grafeas.io - جواز: وړیا (اپاچی)
Grafeas د سافټویر عرضه کولو سلسلې پلټنې او مدیریت لپاره د خلاصې سرچینې API دی. په بنسټیزه کچه، Grafeas د میټاډاټا راټولولو او د پلټنې موندنې یوه وسیله ده. دا په یوه سازمان کې د امنیت غوره کړنو سره د موافقت تعقیب لپاره کارول کیدی شي.
د حقیقت دا مرکزي سرچینه د پوښتنو ځوابونو کې مرسته کوي لکه:
- چا د یو ځانګړي کانټینر لپاره راټول او لاسلیک کړل؟
- ایا دا ټول امنیتي سکینونه او چکونه چې د امنیت پالیسۍ لخوا اړین دي تیر شوي؟ كله؟ پایلې څه وې؟
- چا دا تولید ته ځای په ځای کړی؟ کوم ځانګړي پیرامیټونه د ګمارنې پرمهال کارول شوي؟
په بشپړ ډول
- وېب پاڼه:
in-toto.github.io - جواز: وړیا (اپاچی)
In-toto یو چوکاټ دی چې د بشپړ سافټویر رسولو سلسلې بشپړتیا، تصدیق او پلټنې چمتو کولو لپاره ډیزاین شوی. کله چې په زیربنا کې د ان-ټوټو ځای په ځای کول، یو پلان لومړی تعریف شوی چې په پایپ لاین کې مختلف مرحلې بیانوي (ذخیرې، CI/CD اوزار، QA اوزار، د هنري توکو راټولونکي، او نور) او کاروونکي (مسوول اشخاص) چې اجازه لري. دوی پیل کړئ.
In-toto د پلان اجرا کول څاري، دا تاییدوي چې په سلسله کې هره دنده یوازې د مجاز پرسونل لخوا په سمه توګه ترسره کیږي او دا چې د حرکت په جریان کې د محصول سره هیڅ غیرقانوني لاسوهنه نه ده ترسره شوې.
پورټیریس
- وېب پاڼه:
github.com/IBM/portieris - جواز: وړیا (اپاچی)
پورټیریس د کوبرنیټس لپاره د داخلې کنټرولر دی؛ د منځپانګې باور چکونو پلي کولو لپاره کارول کیږي. پورټیریس یو سرور کاروي
کله چې په کوبرنیټس کې د کار بار رامینځته یا بدل شي ، پورټیریس د غوښتل شوي کانټینر عکسونو لپاره د لاسلیک کولو معلوماتو او مینځپانګې باور پالیسي ډاونلوډ کوي او که اړتیا وي ، د دې عکسونو لاسلیک شوي نسخو چلولو لپاره د JSON API اعتراض کې د الوتنې په جریان کې بدلونونه رامینځته کوي.
هدېرې
- وېب پاڼه:
www.vaultproject.io - جواز: وړیا (MPL)
والټ د شخصي معلوماتو ذخیره کولو لپاره یو خوندي حل دی: پاسورډونه، د OAuth ټوکنونه، د PKI سندونه، حسابونو ته لاسرسی، د Kubernetes رازونه، او نور. والټ د ډیری پرمختللو ځانګړتیاو ملاتړ کوي، لکه د لنډمهاله امنیتي توکیو اجاره کول یا د کلیدي گردش تنظیم کول.
د هیلم چارټ په کارولو سره، والټ د کوبرنیټس کلستر کې د نوي ګمارنې په توګه د کنسول سره د بیکینډ ذخیره کولو په توګه ګمارل کیدی شي. دا د اصلي Kubernetes سرچینو ملاتړ کوي لکه د ServiceAccount Tokens او حتی کولی شي د Kubernetes رازونو لپاره د ډیفالټ پلورنځي په توګه عمل وکړي.
نوټ. ژباړه: په خواشینۍ سره، تیره ورځ شرکت HashiCorp، چې Vault ته وده ورکوي، په Kubernetes کې د والټ کارولو لپاره ځینې پرمختګونه اعلان کړل، او په ځانګړې توګه دوی د هیلم چارټ پورې اړه لري. نور په کې ولولئ
د Kubernetes امنیت پلټنه
کیوب بینچ
- وېب پاڼه:
github.com/aquasecurity/kube-bench - جواز: وړیا (اپاچی)
کیوب بینچ د ګو غوښتنلیک دی چې ګوري چې ایا کوبرنیټس د لیست څخه د ازموینو په چلولو سره په خوندي ډول ګمارل شوی
کیوب بینچ د کلستر اجزاو (etcd، API، کنټرولر مدیر، او نور) ترمنځ د ناامنه ترتیباتو ترتیباتو په لټه کې دي، د پوښتنې وړ فایل لاسرسي حقونه، غیر خوندي حسابونه یا خلاص بندرونه، د سرچینو کوټې، د DoS بریدونو په وړاندې د ساتنې لپاره د API کالونو شمیر محدودولو لپاره ترتیبات , etc.
کوبی - ښکار
- وېب پاڼه:
github.com/aquasecurity/kube-hunter - جواز: وړیا (اپاچی)
Kube-Hunter د Kubernetes په کلسترونو کې د احتمالي زیانونو (لکه د ریموټ کوډ اجرا کول یا د معلوماتو افشا کول) لټون کوي. کیوب هینټر د ریموټ سکینر په توګه پرمخ وړل کیدی شي - پدې حالت کې دا به د دریمې ډلې برید کونکي له لید څخه کلستر ارزوي - یا په کلستر کې دننه د پوډ په توګه.
د کوبی ښکار یو ځانګړی ځانګړتیا د هغې د "فعال ښکار" حالت دی، چې په جریان کې دا نه یوازې د ستونزو راپور ورکوي، بلکې هڅه کوي چې په نښه شوي کلستر کې کشف شوي زیانمننې څخه ګټه پورته کړي چې ممکن ممکن د هغې عملیات زیانمن کړي. نو د احتیاط څخه کار واخلئ!
کوبیوډیټ
- وېب پاڼه:
github.com/Shopify/kubeaudit - جواز: وړیا (MIT)
Kubeaudit د کنسول وسیله ده چې په اصل کې په Shopify کې د مختلف امنیتي مسلو لپاره د Kubernetes تشکیلاتو پلټنې لپاره رامینځته شوې. د مثال په توګه، دا د کانټینرونو په پیژندلو کې مرسته کوي چې غیر محدودیت لري، د روټ په توګه چلوي، د امتیازاتو څخه ناوړه ګټه پورته کوي، یا د ډیفالټ خدمت حساب کاروي.
Kubeaudit نورې په زړه پورې ځانګړتیاوې لري. د مثال په توګه ، دا کولی شي ځایی YAML فایلونه تحلیل کړي ، د تشکیلاتو نیمګړتیاوې وپیژني چې کولی شي د امنیت ستونزو لامل شي ، او په اتوماتيک ډول یې حل کړي.
کوبیسیک
- وېب پاڼه:
kubesec.io - جواز: وړیا (اپاچی)
کوبیسیک یوه ځانګړې وسیله ده چې دا په مستقیم ډول د YAML فایلونه سکین کوي چې د Kubernetes سرچینې تشریح کوي، د ضعیف پیرامیټونو په لټه کې دي چې کولی شي امنیت اغیزمن کړي.
د مثال په توګه ، دا کولی شي پوډ ته ورکړل شوي ډیر امتیازات او اجازې کشف کړي ، د ډیفالټ کارونکي په توګه د روټ سره کانټینر چلوي ، د کوربه شبکې نوم ځای سره وصل کول ، یا خطرناک ماونټونه لکه /proc
کوربه یا ډاکر ساکټ. د کوبیسیک بله په زړه پوري ځانګړتیا د ډیمو خدمت دی چې آنلاین شتون لري ، په کوم کې چې تاسو کولی شئ YAML اپلوډ کړئ او سمدلاسه یې تحلیل کړئ.
د پالیسۍ ایجنټ خلاص کړئ
- وېب پاڼه:
www.openpolicyagent.org - جواز: وړیا (اپاچی)
د OPA (د خلاصې پالیسۍ اجنټ) مفهوم د ځانګړي رن ټایم پلیټ فارم څخه د امنیت پالیسي او امنیت غوره عملونو ډیپلول دي: ډاکر ، کوبرنیټس ، میسوسفیر ، اوپن شیف ، یا د دې کوم ترکیب.
د مثال په توګه، تاسو کولی شئ OPA د Kubernetes د داخلې کنټرولر لپاره د شالید په توګه ځای په ځای کړئ، دې ته د امنیت پریکړې سپارل. په دې توګه، د OPA اجنټ کولی شي په الوتنه کې غوښتنې تایید، رد او حتی تعدیل کړي، ډاډ ترلاسه کړي چې مشخص شوي امنیتي پیرامیټونه پوره شوي. د OPA امنیتي تګلارې د دې ملکیت DSL ژبه کې لیکل شوي، ریګو.
نوټ. ژباړه: موږ د OPA (او SPIFFE) په اړه نور څه لیکلي
د Kubernetes امنیت تحلیل لپاره جامع تجارتي وسیلې
موږ پریکړه وکړه چې د سوداګریزو پلیټونو لپاره جلا کټګورۍ رامینځته کړو ځکه چې دوی عموما ډیری امنیتي ساحې پوښي. د دوی د وړتیاوو عمومي نظر له جدول څخه ترلاسه کیدی شي:
* پرمختللې معاینه او د پوسټ مارټم تحلیل په بشپړ ډول
د آوا امنیت
- وېب پاڼه:
www.aquasec.com - جواز: سوداګریز
دا سوداګریزه وسیله د کانټینرونو او بادل کاري بارونو لپاره ډیزاین شوې. دا وړاندې کوي:
- د عکس سکین کول د کانټینر ثبت یا CI/CD پایپ لاین سره مدغم شوی؛
- په کانتینرونو او نورو مشکوکو فعالیتونو کې د بدلونونو لټون سره د چلولو وخت محافظت؛
- د کانټینر اصلي فایروال؛
- په کلاوډ خدماتو کې د سرور پرته امنیت؛
- د موافقت ازموینه او تفتیش د پیښې د ننوتلو سره یوځای کیږي.
نوټ. ژباړه: دا هم د یادولو وړ ده چې شتون لري د محصول وړیا برخه نومیږي
کیپسول۸
- وېب پاڼه:
capsule8.com - جواز: سوداګریز
کیپسول 8 په ځایی یا کلاوډ Kubernetes کلستر کې د کشف کونکي په نصبولو سره زیربنا کې مدغم کوي. دا کشف کونکی کوربه او د شبکې ټیلی میټری راټولوي، دا د مختلفو بریدونو سره تړاو لري.
د کیپسول 8 ټیم خپل دنده د نوي په کارولو سره د بریدونو دمخه کشف او مخنیوي په توګه ګوري (0 ورځی) زیانمنتیاوې کیپسول 8 کولی شي د نوي کشف شوي ګواښونو او سافټویر زیانونو په ځواب کې مستقیم کشف کونکو ته تازه شوي امنیتي مقررات ډاونلوډ کړي.
Cavirin
- وېب پاڼه:
www.cavirin.com - جواز: سوداګریز
Cavirin د مختلفو ادارو لپاره د شرکت اړخ قراردادي په توګه کار کوي چې د خوندیتوب معیارونو کې ښکیل دي. نه یوازې دا کولی شي عکسونه سکین کړي ، بلکه دا کولی شي د CI/CD پایپ لاین کې هم مدغم شي ، د غیر معیاري عکسونو مخه نیسي مخکې لدې چې دوی تړل شوي زیرمو ته ننوځي.
د کاویرین امنیت سویټ ستاسو د سایبر امنیت وضعیت ارزولو لپاره د ماشین زده کړې کاروي ، د امنیت ښه کولو او د امنیت معیارونو سره موافقت ته وده ورکولو لارښوونې وړاندیز کوي.
د ګوګل کلاوډ امنیت قوماندې مرکز
- وېب پاڼه:
cloud.google.com/security-command-center - جواز: سوداګریز
د کلاوډ امنیت قوماندې مرکز د امنیت ټیمونو سره د معلوماتو راټولولو کې مرسته کوي، ګواښونه پیژني، او مخکې له دې چې دوی شرکت ته زیان ورسوي له منځه یوسي.
لکه څنګه چې نوم وړاندیز کوي، د ګوګل کلاوډ SCC یو متحد کنټرول پینل دی چې کولی شي د یو واحد، مرکزي سرچینې څخه مختلف امنیتي راپورونه، د شتمنیو محاسبې انجنونه، او د دریمې ډلې امنیتي سیسټمونه یوځای او اداره کړي.
د ګوګل کلاوډ SCC لخوا وړاندیز شوی متقابل API د مختلف سرچینو څخه د امنیت پیښو ادغام کول اسانه کوي ، لکه سیسډیګ سیکیور (د کلاوډ اصلي غوښتنلیکونو لپاره کانټینر امنیت) یا فالکو (د خلاصې سرچینې چلولو امنیت).
پرتې بصیرت (Qualys)
- وېب پاڼه:
layeredinsight.com - جواز: سوداګریز
پرت لرونکي بصیرت (اوس د Qualys Inc برخه) د "ایمبیډ شوي امنیت" مفهوم باندې رامینځته شوی. د احصایوي تحلیلونو او CVE چکونو په کارولو سره د زیان منونکو لپاره اصلي عکس سکین کولو وروسته ، پرت لرونکي بصیرت دا د یوه وسیله شوي عکس سره بدلوي چې اجنټ د بائنری په توګه پکې شامل وي.
دا اجنټ د کانټینر شبکې ترافیک ، I/O جریان او غوښتنلیک فعالیت تحلیل کولو لپاره د وخت امنیت ازموینې لري. سربیره پردې ، دا کولی شي د زیربنا مدیر یا DevOps ټیمونو لخوا مشخص شوي اضافي امنیت چیکونه ترسره کړي.
NeuVector
- وېب پاڼه:
neuvector.com - جواز: سوداګریز
NeuVector د کانټینر امنیت چیک کوي او د شبکې فعالیت او غوښتنلیک چلند تحلیل کولو سره د چلولو محافظت چمتو کوي ، د هر کانټینر لپاره د انفرادي امنیت پروفایل رامینځته کوي. دا کولی شي پخپله د ګواښونو مخه ونیسي، د ځایی فایروال مقرراتو بدلولو سره شکمن فعالیت جلا کوي.
د NeuVector د شبکې ادغام چې د امنیت میش په نوم پیژندل کیږي، د خدماتو میش کې د ټولو شبکو اتصالاتو لپاره د ژور پیکټ تحلیل او پرت 7 فلټر کولو وړتیا لري.
StackRox
- وېب پاڼه:
www.stackrox.com - جواز: سوداګریز
د StackRox کانټینر امنیت پلیټ فارم هڅه کوي د کوبرنیټس غوښتنلیکونو ټول ژوند په کلستر کې پوښي. په دې لیست کې د نورو سوداګریزو پلیټ فارمونو په څیر، StackRox د لیدل شوي کانټینر چلند پراساس د وخت وخت پروفایل رامینځته کوي او په اتوماتيک ډول د هر ډول انحراف لپاره الارم راپورته کوي.
برسیره پردې، StackRox د کانټینر اطاعت ارزولو لپاره د Kubernetes CIS او نورو قواعدو کتابونو په کارولو سره د Kubernetes تشکیلات تحلیلوي.
Sysdig خوندي
- وېب پاڼه:
sysdig.com/products/secure - جواز: سوداګریز
Sysdig Secure غوښتنلیکونه په ټول کانټینر او Kubernetes ژوند دوره کې ساتي. هغه
سیسډیګ سیکیور د CI/CD وسیلو سره مدغم کیږي لکه جینکنز او د ډاکر راجسټری څخه بار شوي عکسونه کنټرولوي ، په تولید کې د خطرناک عکسونو څرګندیدو مخه نیسي. دا د چلولو جامع امنیت هم چمتو کوي، په شمول:
- د ML پر بنسټ د چلولو وخت پروفایل کول او د بې نظمۍ کشف؛
- د سیسټم پیښو، K8s-audit API، ګډې ټولنې پروژې (FIM - د فایل بشپړتیا څارنه؛ cryptojacking) او چوکاټ پر بنسټ د چلولو پالیسۍ
MITER AT&CK ; - غبرګون او د پیښو حل.
د ټینبل کانټینر امنیت
- وېب پاڼه:
www.tenable.com/products/tenable-io/container-security - جواز: سوداګریز
د کانټینرونو له راتګ دمخه، Tenable په صنعت کې په پراخه کچه د نیسس تر شا شرکت په توګه پیژندل شوی و، د زیان منونکي ښکار او امنیت پلټنې وسیله.
د ټین ایبل کانټینر امنیت د شرکت د کمپیوټر امنیت تخصص څخه ګټه پورته کوي ترڅو د زیان مننې ډیټابیسونو سره د CI/CD پایپ لاین مدغم کړي ، د مالویر کشف ځانګړي کڅوړې ، او د امنیتي ګواښونو د حل لپاره وړاندیزونه.
Twistlock (پالو الټو شبکې)
- وېب پاڼه:
www.twistlock.com - جواز: سوداګریز
Twistlock ځان د یو پلیټ فارم په توګه هڅوي چې په کلاوډ خدماتو او کانټینرونو تمرکز کوي. Twistlock د مختلف کلاوډ چمتو کونکو (AWS، Azure، GCP)، کانټینر آرکیسټریټرز (Kubernetes، Mesospehere، OpenShift، Docker)، د سرور بې چلولو وختونو، میش چوکاټونو او CI/CD وسیلو ملاتړ کوي.
د دودیز تصدۍ درجې امنیتي تخنیکونو سربیره لکه د CI/CD پایپ لاین ادغام یا عکس سکین کول ، Twistlock د کانټینر ځانګړي چلند نمونې او د شبکې مقرراتو رامینځته کولو لپاره د ماشین زده کړې کاروي.
څه موده وړاندې، Twistlock د پالو الټو شبکې لخوا اخیستل شوی و، کوم چې د Evident.io او RedLock پروژې لري. دا لا معلومه نده چې دا درې پلیټ فارمونه به په سمه توګه څنګه مدغم شي
د Kubernetes امنیتي وسیلو غوره کتلاګ جوړولو کې مرسته وکړئ!
موږ هڅه کوو چې دا کتلاګ د امکان تر حده بشپړ کړو، او د دې لپاره موږ ستاسو مرستې ته اړتیا لرو! موږ سره اړیکه ونیسئ (
تاسو هم کولی شئ زموږ سره ګډون وکړئ
PS د ژباړونکي څخه
زموږ په بلاګ کې هم ولولئ:
- «
د امنیتي مسلکیانو لپاره د کوبرنیټس شبکې پالیسیو پیژندنه » - «
د امنیت غوښتنې چاپیریال کې ډاکر او کبرنیټس » - «
د Kubernetes امنیت لپاره 9 غوره کړنې » - «
د کبرنیټس هیک قرباني کیدو لپاره (نه) 11 لارې » - «
OPA او SPIFFE د کلاوډ غوښتنلیک امنیت لپاره په CNCF کې دوه نوې پروژې دي ".
سرچینه: www.habr.com