Mais de 33 ferramentas de segurança do Kubernetes

Observação. trad.: Se você está se perguntando sobre segurança na infraestrutura baseada em Kubernetes, esta excelente visão geral da Sysdig é um excelente ponto de partida para uma rápida visão das soluções atuais. Inclui sistemas complexos de players de mercado bem conhecidos e serviços públicos muito mais modestos que resolvem um problema específico. E nos comentários, como sempre, teremos o maior prazer em saber sua experiência com o uso dessas ferramentas e ver links para outros projetos.

Produtos de software de segurança Kubernetes... existem muitos deles, cada um com seus próprios objetivos, escopo e licenças.

É por isso que decidimos criar esta lista e incluir tanto projetos de código aberto quanto plataformas comerciais de diferentes fornecedores. Esperamos que isso ajude você a identificar aqueles que são de maior interesse e indique a direção certa com base em suas necessidades específicas de segurança do Kubernetes.

categoria

Para facilitar a navegação na lista, as ferramentas são organizadas por função principal e aplicativo. As seguintes seções foram obtidas:

• Varredura de imagens Kubernetes e análise estática;
• Segurança em tempo de execução;
• Segurança de rede Kubernetes;
• Distribuição de imagens e gerenciamento de segredos;
• Auditoria de segurança do Kubernetes;
• Produtos comerciais abrangentes.

Vamos ao que interessa:

Verificando imagens do Kubernetes

Âncora

• website: âncora.com
• Licença: gratuita (Apache) e oferta comercial

Anchore analisa imagens de contêineres e permite verificações de segurança com base em políticas definidas pelo usuário.

Além da varredura usual de imagens de contêiner em busca de vulnerabilidades conhecidas do banco de dados CVE, o Anchore realiza muitas verificações adicionais como parte de sua política de varredura: verifica o Dockerfile, vazamentos de credenciais, pacotes das linguagens de programação utilizadas (npm, maven, etc. .), licenças de software e muito mais.

Claro

• website: coreos.com/clair (agora sob a tutela da Red Hat)
• Licença: gratuita (Apache)

Clair foi um dos primeiros projetos Open Source para digitalização de imagens. É amplamente conhecido como o scanner de segurança por trás do registro de imagens do Quay (também do CoreOS - Aproximadamente. tradução). Clair pode coletar informações CVE de uma ampla variedade de fontes, incluindo listas de vulnerabilidades específicas de distribuições Linux mantidas pelas equipes de segurança Debian, Red Hat ou Ubuntu.

Ao contrário do Anchore, Clair se concentra principalmente em encontrar vulnerabilidades e combinar dados com CVEs. No entanto, o produto oferece aos usuários algumas oportunidades de expandir funções usando drivers plug-in.

dagda

• website: github.com/eliasgranderubio/dagda
• Licença: gratuita (Apache)

Dagda realiza análises estáticas de imagens de contêineres em busca de vulnerabilidades conhecidas, cavalos de Tróia, vírus, malware e outras ameaças.

Duas características notáveis ​​distinguem o Dagda de outras ferramentas semelhantes:

• Integra-se perfeitamente com ClamAV, atuando não apenas como ferramenta de verificação de imagens de contêineres, mas também como antivírus.
• Também fornece proteção em tempo de execução, recebendo eventos em tempo real do daemon Docker e integrando-se ao Falco (veja abaixo) para coletar eventos de segurança enquanto o contêiner está em execução.

KubeXray

• website: github.com/jfrog/kubexray
• Licença: Gratuita (Apache), mas requer dados do JFrog Xray (produto comercial)

KubeXray escuta eventos do servidor API Kubernetes e usa metadados do JFrog Xray para garantir que apenas os pods que correspondam à política atual sejam iniciados.

O KubeXray não apenas audita contêineres novos ou atualizados em implantações (semelhante ao controlador de admissão no Kubernetes), mas também verifica dinamicamente os contêineres em execução quanto à conformidade com novas políticas de segurança, removendo recursos que fazem referência a imagens vulneráveis.

Snyk

• website: snyk.io
• Licença: versões gratuitas (Apache) e comerciais

Snyk é um scanner de vulnerabilidade incomum, pois visa especificamente o processo de desenvolvimento e é promovido como uma “solução essencial” para desenvolvedores.

Snyk se conecta diretamente aos repositórios de código, analisa o manifesto do projeto e analisa o código importado junto com as dependências diretas e indiretas. Snyk oferece suporte a muitas linguagens de programação populares e pode identificar riscos ocultos de licença.

Trivial

• website: github.com/knqyf263/trivy
• Licença: gratuita (AGPL)

Trivy é um scanner de vulnerabilidade simples, mas poderoso para contêineres que se integra facilmente a um pipeline de CI/CD. Sua característica notável é a facilidade de instalação e operação: o aplicativo consiste em um único binário e não requer instalação de banco de dados ou bibliotecas adicionais.

A desvantagem da simplicidade do Trivy é que você precisa descobrir como analisar e encaminhar os resultados no formato JSON para que outras ferramentas de segurança do Kubernetes possam usá-los.

Segurança de tempo de execução no Kubernetes

Falco

• website: falco.org
• Licença: gratuita (Apache)

Falco é um conjunto de ferramentas para proteger ambientes de execução em nuvem. Parte da família do projeto CNCF.

Usando as ferramentas de nível de kernel Linux da Sysdig e o perfil de chamadas do sistema, o Falco permite que você se aprofunde no comportamento do sistema. Seu mecanismo de regras de tempo de execução é capaz de detectar atividades suspeitas em aplicativos, contêineres, host subjacente e orquestrador Kubernetes.

Falco fornece total transparência no tempo de execução e detecção de ameaças, implantando agentes especiais em nós Kubernetes para esses fins. Como resultado, não há necessidade de modificar contêineres introduzindo código de terceiros neles ou adicionando contêineres secundários.

Estruturas de segurança Linux para tempo de execução

Essas estruturas nativas para o kernel Linux não são “ferramentas de segurança do Kubernetes” no sentido tradicional, mas vale a pena mencioná-las porque são um elemento importante no contexto da segurança do tempo de execução, que está incluída na Política de Segurança do Pod do Kubernetes (PSP).

AppArmor anexa um perfil de segurança aos processos em execução no contêiner, definindo privilégios do sistema de arquivos, regras de acesso à rede, conectando bibliotecas, etc. Este é um sistema baseado em Controle de Acesso Obrigatório (MAC). Em outras palavras, impede a realização de ações proibidas.

Linux com segurança aprimorada (SELinux) é um módulo de segurança avançado no kernel Linux, semelhante em alguns aspectos ao AppArmor e frequentemente comparado a ele. SELinux é superior ao AppArmor em potência, flexibilidade e personalização. Suas desvantagens são a longa curva de aprendizado e o aumento da complexidade.

Seccomp e seccomp-bpf permitem filtrar chamadas do sistema, bloquear a execução daquelas que são potencialmente perigosas para o sistema operacional base e não são necessárias para a operação normal dos aplicativos do usuário. O Seccomp é semelhante ao Falco em alguns aspectos, embora não conheça as especificidades dos contêineres.

Código aberto Sysdig

• website: www.sysdig.com/opensource
• Licença: gratuita (Apache)

Sysdig é uma ferramenta completa para análise, diagnóstico e depuração de sistemas Linux (também funciona em Windows e macOS, mas com funções limitadas). Ele pode ser usado para coleta detalhada de informações, verificação e análise forense. (forense) o sistema base e quaisquer contêineres em execução nele.

Sysdig também oferece suporte nativo a tempos de execução de contêiner e metadados do Kubernetes, adicionando dimensões e rótulos adicionais a todas as informações de comportamento do sistema que coleta. Existem várias maneiras de analisar um cluster Kubernetes usando Sysdig: você pode realizar a captura point-in-time via captura kubectl ou inicie uma interface interativa baseada em ncurses usando um plugin escavação kubectl.

Segurança de rede Kubernetes

Aporeto

• website: www.aporeto.com
• Licença: comercial

Aporeto oferece “segurança separada da rede e infraestrutura”. Isso significa que os serviços Kubernetes não recebem apenas um ID local (ou seja, ServiceAccount no Kubernetes), mas também um ID/impressão digital universal que pode ser usado para se comunicar de forma segura e mútua com qualquer outro serviço, por exemplo, em um cluster OpenShift.

Aporeto é capaz de gerar um ID único não só para Kubernetes/containers, mas também para hosts, funções de nuvem e usuários. Dependendo destes identificadores e do conjunto de regras de segurança de rede definidas pelo administrador, as comunicações serão permitidas ou bloqueadas.

Chita

• website: www.projectcalico.org
• Licença: gratuita (Apache)

O Calico normalmente é implantado durante a instalação de um orquestrador de contêineres, permitindo criar uma rede virtual que interconecta contêineres. Além dessa funcionalidade básica de rede, o projeto Calico funciona com políticas de rede Kubernetes e seu próprio conjunto de perfis de segurança de rede, suporta ACLs de endpoint (listas de controle de acesso) e regras de segurança de rede baseadas em anotações para tráfego de entrada e saída.

Cílio

• website: www.cilium.io
• Licença: gratuita (Apache)

Cilium atua como um firewall para contêineres e fornece recursos de segurança de rede adaptados nativamente para cargas de trabalho de Kubernetes e microsserviços. Cilium usa uma nova tecnologia de kernel Linux chamada BPF (Berkeley Packet Filter) para filtrar, monitorar, redirecionar e corrigir dados.

Cilium é capaz de implantar políticas de acesso à rede baseadas em IDs de contêiner usando rótulos e metadados Docker ou Kubernetes. Cilium também entende e filtra vários protocolos da Camada 7, como HTTP ou gRPC, permitindo definir um conjunto de chamadas REST que serão permitidas entre duas implantações do Kubernetes, por exemplo.

Istio

• website: istio.io
• Licença: gratuita (Apache)

O Istio é amplamente conhecido por implementar o paradigma de malha de serviço, implantando um plano de controle independente de plataforma e roteando todo o tráfego de serviço gerenciado por meio de proxies Envoy configuráveis ​​dinamicamente. O Istio aproveita essa visão avançada de todos os microsserviços e contêineres para implementar diversas estratégias de segurança de rede.

Os recursos de segurança de rede do Istio incluem criptografia TLS transparente para atualizar automaticamente as comunicações entre microsserviços para HTTPS e um sistema proprietário de identificação e autorização RBAC para permitir/negar a comunicação entre diferentes cargas de trabalho no cluster.

Observação. trad.: para saber mais sobre os recursos focados em segurança do Istio, leia Este artigo.

Tigresa

• website: www.tigera.io
• Licença: comercial

Chamada de “Firewall Kubernetes”, esta solução enfatiza uma abordagem de confiança zero para segurança de rede.

Semelhante a outras soluções de rede nativas do Kubernetes, Tigera depende de metadados para identificar os vários serviços e objetos no cluster e fornece detecção de problemas em tempo de execução, verificação contínua de conformidade e visibilidade de rede para infraestruturas multinuvem ou híbridas monolíticas em contêineres.

Trirreme

• website: www.aporeto.com/opensource
• Licença: gratuita (Apache)

Trireme-Kubernetes é uma implementação simples e direta da especificação de políticas de rede Kubernetes. A característica mais notável é que – ao contrário de produtos semelhantes de segurança de rede Kubernetes – ele não requer um plano de controle central para coordenar a malha. Isso torna a solução trivialmente escalável. No Trireme, isso é conseguido instalando um agente em cada nó que se conecta diretamente à pilha TCP/IP do host.

Propagação de imagens e gerenciamento de segredos

Grafeas

• website: grafeas.io
• Licença: gratuita (Apache)

Grafeas é uma API de código aberto para auditoria e gerenciamento da cadeia de suprimentos de software. Em um nível básico, o Grafeas é uma ferramenta para coletar metadados e resultados de auditoria. Ele pode ser usado para monitorar a conformidade com as práticas recomendadas de segurança dentro de uma organização.

Esta fonte centralizada de verdade ajuda a responder perguntas como:

• Quem coletou e assinou um determinado contêiner?
• Ele passou em todas as verificações e verificações de segurança exigidas pela política de segurança? Quando? Quais foram os resultados?
• Quem o implantou na produção? Quais parâmetros específicos foram usados ​​durante a implantação?

Totalmente

• website: in-toto.github.io
• Licença: gratuita (Apache)

In-toto é uma estrutura projetada para fornecer integridade, autenticação e auditoria de toda a cadeia de fornecimento de software. Ao implantar o In-toto em uma infraestrutura, primeiro é definido um plano que descreve as várias etapas do pipeline (repositório, ferramentas de CI/CD, ferramentas de controle de qualidade, coletores de artefatos, etc.) e os usuários (pessoas responsáveis) que têm permissão para iniciá-los.

A In-toto monitora a execução do plano, verificando se cada tarefa da cadeia é executada corretamente apenas por pessoal autorizado e se nenhuma manipulação não autorizada foi realizada com o produto durante a movimentação.

Portieris

• website: github.com/IBM/portieris
• Licença: gratuita (Apache)

Portieris é um controlador de admissão para Kubernetes; usado para impor verificações de confiança de conteúdo. Portieris usa um servidor Notário (escrevemos sobre ele no final este artigo - Aproximadamente. tradução) como fonte de verdade para validar artefatos confiáveis ​​e assinados (ou seja, imagens de contêiner aprovadas).

Quando uma carga de trabalho é criada ou modificada no Kubernetes, o Portieris baixa as informações de assinatura e a política de confiança de conteúdo para as imagens de contêiner solicitadas e, se necessário, faz alterações imediatas no objeto da API JSON para executar versões assinadas dessas imagens.

Cofre

• website: www.vaultproject.io
• Licença: gratuita (MPL)

Vault é uma solução segura para armazenar informações privadas: senhas, tokens OAuth, certificados PKI, contas de acesso, segredos do Kubernetes, etc. O Vault oferece suporte a muitos recursos avançados, como o aluguel de tokens de segurança efêmeros ou a organização da rotação de chaves.

Usando o gráfico Helm, o Vault pode ser implantado como uma nova implantação em um cluster Kubernetes com Consul como armazenamento de back-end. Ele oferece suporte a recursos nativos do Kubernetes, como tokens ServiceAccount, e pode até atuar como armazenamento padrão para segredos do Kubernetes.

Observação. trad.: A propósito, ontem mesmo a empresa HashiCorp, que desenvolve o Vault, anunciou algumas melhorias no uso do Vault no Kubernetes e, em particular, relacionadas ao gráfico Helm. Leia mais em blog do desenvolvedor.

Auditoria de segurança do Kubernetes

Banco Kube

• website: github.com/aquasecurity/kube-bench
• Licença: gratuita (Apache)

Kube-bench é um aplicativo Go que verifica se o Kubernetes está implantado com segurança, executando testes de uma lista Referência do CIS Kubernetes.

Kube-bench procura configurações inseguras entre componentes do cluster (etcd, API, gerenciador de controlador, etc.), direitos de acesso a arquivos questionáveis, contas desprotegidas ou portas abertas, cotas de recursos, configurações para limitar o número de chamadas de API para proteção contra ataques DoS , etc.

Seja um caçador

• website: github.com/aquasecurity/kube-hunter
• Licença: gratuita (Apache)

O Kube-hunter procura vulnerabilidades potenciais (como execução remota de código ou divulgação de dados) em clusters Kubernetes. O Kube-hunter pode ser executado como um scanner remoto - nesse caso, ele avaliará o cluster do ponto de vista de um invasor terceirizado - ou como um pod dentro do cluster.

Uma característica distintiva do Kube-hunter é o seu modo de “caça ativa”, durante o qual ele não apenas relata problemas, mas também tenta tirar vantagem das vulnerabilidades descobertas no cluster alvo que podem potencialmente prejudicar sua operação. Portanto, use com cautela!

Kubeaudit

• website: github.com/Shopify/kubeaudit
• Licença: gratuita (MIT)

Kubeaudit é uma ferramenta de console desenvolvida originalmente no Shopify para auditar a configuração do Kubernetes para vários problemas de segurança. Por exemplo, ajuda a identificar contêineres em execução irrestrita, como root, abuso de privilégios ou uso da ServiceAccount padrão.

Kubeaudit possui outros recursos interessantes. Por exemplo, ele pode analisar arquivos YAML locais, identificar falhas de configuração que podem levar a problemas de segurança e corrigi-los automaticamente.

Kubesec

• website: kubesec.io
• Licença: gratuita (Apache)

Kubesec é uma ferramenta especial porque verifica diretamente arquivos YAML que descrevem recursos do Kubernetes, procurando parâmetros fracos que possam afetar a segurança.

Por exemplo, ele pode detectar privilégios e permissões excessivos concedidos a um pod, executar um contêiner com root como usuário padrão, conectar-se ao namespace de rede do host ou montagens perigosas como /proc host ou soquete Docker. Outra característica interessante do Kubesec é o serviço de demonstração disponível online, no qual você pode fazer upload de YAML e analisá-lo imediatamente.

Agente de política aberta

• website: www.openpolicyagent.org
• Licença: gratuita (Apache)

O conceito de OPA (Open Policy Agent) é dissociar políticas de segurança e práticas recomendadas de segurança de uma plataforma de tempo de execução específica: Docker, Kubernetes, Mesosphere, OpenShift ou qualquer combinação destes.

Por exemplo, você pode implantar o OPA como back-end para o controlador de admissão do Kubernetes, delegando a ele decisões de segurança. Dessa forma, o agente OPA pode validar, rejeitar e até mesmo modificar solicitações dinamicamente, garantindo que os parâmetros de segurança especificados sejam atendidos. As políticas de segurança da OPA são escritas em sua linguagem DSL proprietária, Rego.

Observação. trad.: Escrevemos mais sobre OPA (e SPIFFE) em este material.

Ferramentas comerciais abrangentes para análise de segurança do Kubernetes

Decidimos criar uma categoria separada para plataformas comerciais porque elas normalmente cobrem diversas áreas de segurança. Uma ideia geral de suas capacidades pode ser obtida na tabela:

* Exame avançado e análise post mortem com completa sequestro de chamada de sistema.

Segurança Aqua

• website: www.aquasec.com
• Licença: comercial

Esta ferramenta comercial foi projetada para contêineres e cargas de trabalho em nuvem. Ele fornece:

• Varredura de imagens integrada a um registro de contêiner ou pipeline de CI/CD;
• Proteção em tempo de execução com busca por alterações em containers e outras atividades suspeitas;
• Firewall nativo de contêiner;
• Segurança para serviços serverless em nuvem;
• Testes de conformidade e auditoria combinados com registro de eventos.

Observação. trad.: Também é importante notar que existem componente gratuito do produto chamado MicroScanner, que permite verificar vulnerabilidades em imagens de contêiner. Uma comparação de seus recursos com versões pagas é apresentada em esta mesa.

Cápsula8

• website: capsule8.com
• Licença: comercial

Capsule8 integra-se à infraestrutura instalando o detector em um cluster Kubernetes local ou em nuvem. Este detector coleta telemetria de host e rede, correlacionando-a com diferentes tipos de ataques.

A equipe Capsule8 vê sua tarefa como detecção precoce e prevenção de ataques usando novos (0 dias) vulnerabilidades. Capsule8 pode baixar regras de segurança atualizadas diretamente para detectores em resposta a ameaças e vulnerabilidades de software recém-descobertas.

Cavirin

• website: www.cavirin.com
• Licença: comercial

Cavirin atua como contratante da empresa para diversas agências envolvidas em padrões de segurança. Ele não apenas pode digitalizar imagens, mas também pode integrar-se ao pipeline de CI/CD, bloqueando imagens não padrão antes que elas entrem em repositórios fechados.

O pacote de segurança da Cavirin usa aprendizado de máquina para avaliar sua postura de segurança cibernética, oferecendo dicas para melhorar a segurança e melhorar a conformidade com os padrões de segurança.

Central de comando de segurança do Google Cloud

• website: cloud.google.com/security-command-center
• Licença: comercial

O Cloud Security Command Center ajuda as equipes de segurança a coletar dados, identificar ameaças e eliminá-las antes que prejudiquem a empresa.

Como o nome sugere, o Google Cloud SCC é um painel de controle unificado que pode integrar e gerenciar uma variedade de relatórios de segurança, mecanismos de contabilidade de ativos e sistemas de segurança de terceiros a partir de uma fonte única e centralizada.

A API interoperável oferecida pelo Google Cloud SCC facilita a integração de eventos de segurança provenientes de diversas fontes, como Sysdig Secure (segurança de contêiner para aplicativos nativos da nuvem) ou Falco (segurança de tempo de execução de código aberto).

Insight em camadas (Qualys)

• website: layeredinsight. com
• Licença: comercial

Layered Insight (agora parte da Qualys Inc) baseia-se no conceito de “segurança incorporada”. Depois de verificar vulnerabilidades na imagem original usando análise estatística e verificações CVE, o Layered Insight a substitui por uma imagem instrumentada que inclui o agente como um binário.

Este agente contém testes de segurança em tempo de execução para analisar o tráfego da rede de contêineres, fluxos de E/S e atividade de aplicativos. Além disso, ele pode realizar verificações de segurança adicionais especificadas pelo administrador da infraestrutura ou pelas equipes de DevOps.

NeuVetor

• website: neuvector. com
• Licença: comercial

NeuVector verifica a segurança do contêiner e fornece proteção em tempo de execução analisando a atividade da rede e o comportamento do aplicativo, criando um perfil de segurança individual para cada contêiner. Ele também pode bloquear ameaças por conta própria, isolando atividades suspeitas alterando as regras locais do firewall.

A integração de rede do NeuVector, conhecida como Security Mesh, é capaz de análise profunda de pacotes e filtragem de camada 7 para todas as conexões de rede na malha de serviço.

StackRoxName

• website: www.stackrox.com
• Licença: comercial

A plataforma de segurança de contêiner StackRox se esforça para cobrir todo o ciclo de vida dos aplicativos Kubernetes em um cluster. Como outras plataformas comerciais nesta lista, StackRox gera um perfil de tempo de execução baseado no comportamento observado do contêiner e dispara automaticamente um alarme para quaisquer desvios.

Além disso, StackRox analisa configurações do Kubernetes usando o Kubernetes CIS e outros livros de regras para avaliar a conformidade do contêiner.

Sysdig seguro

• website: sysdig.com/products/secure
• Licença: comercial

O Sysdig Secure protege aplicativos em todo o ciclo de vida do contêiner e do Kubernetes. Ele digitaliza imagens recipientes, fornece proteção em tempo de execução de acordo com dados de aprendizado de máquina, executa creme. experiência para identificar vulnerabilidades, bloquear ameaças, monitorar conformidade com os padrões estabelecidos e atividades de auditoria em microsserviços.

Sysdig Secure integra-se com ferramentas CI/CD como Jenkins e controla imagens carregadas de registros Docker, evitando que imagens perigosas apareçam na produção. Ele também fornece segurança abrangente em tempo de execução, incluindo:

• Perfil de tempo de execução baseado em ML e detecção de anomalias;
• políticas de tempo de execução baseadas em eventos do sistema, API de auditoria K8s, projetos comunitários conjuntos (FIM - monitoramento de integridade de arquivos; cryptojacking) e estrutura MITER ATT & CK;
• resposta e resolução de incidentes.

Segurança de contêineres Tenable

• website: www.tenable.com/products/tenable-io/container-security
• Licença: comercial

Antes do advento dos contêineres, a Tenable era amplamente conhecida no setor como a empresa por trás do Nessus, uma ferramenta popular de detecção de vulnerabilidades e auditoria de segurança.

O Tenable Container Security aproveita a experiência em segurança de computadores da empresa para integrar um pipeline de CI/CD com bancos de dados de vulnerabilidades, pacotes especializados de detecção de malware e recomendações para resolver ameaças à segurança.

Twistlock (Redes Palo Alto)

• website: www.twistlock.com
• Licença: comercial

Twistlock se promove como uma plataforma focada em serviços e contêineres em nuvem. Twistlock oferece suporte a vários provedores de nuvem (AWS, Azure, GCP), orquestradores de contêineres (Kubernetes, Mesospehere, OpenShift, Docker), tempos de execução sem servidor, estruturas de malha e ferramentas de CI/CD.

Além das técnicas convencionais de segurança de nível empresarial, como integração de pipeline de CI/CD ou digitalização de imagens, o Twistlock usa aprendizado de máquina para gerar padrões comportamentais e regras de rede específicos de contêineres.

Há algum tempo, a Twistlock foi comprada pela Palo Alto Networks, proprietária dos projetos Evident.io e RedLock. Ainda não se sabe exatamente como essas três plataformas serão integradas PRISMA de Palo Alto.

Ajude a construir o melhor catálogo de ferramentas de segurança Kubernetes!

Nós nos esforçamos para tornar este catálogo o mais completo possível e para isso precisamos da sua ajuda! Contate-nos (@sysdig) se você tiver uma ferramenta interessante em mente que mereça ser incluída nesta lista ou se encontrar um erro/informação desatualizada.

Você também pode assinar nosso Jornal mensal com notícias do ecossistema nativo da nuvem e histórias sobre projetos interessantes do mundo da segurança do Kubernetes.

PS do tradutor

Leia também em nosso blog:

• «Uma introdução às políticas de rede Kubernetes para profissionais de segurança";
• «Docker e Kubernetes em ambientes que exigem segurança";
• «9 práticas recomendadas de segurança do Kubernetes";
• «11 maneiras de (não) se tornar vítima de um hack do Kubernetes";
• «OPA e SPIFFE são dois novos projetos na CNCF para segurança de aplicações em nuvem".

Fonte: habr.com