33+ Kubernetes حفاظتي اوزار

نوٽ. ترجمو: جيڪڏھن توھان حيران ٿي رھيا آھيو سلامتي بابت Kubernetes-based infrastructure ۾، Sysdig کان ھي شاندار جائزو موجوده حلن تي تڪڙو نظر ڏيڻ لاءِ ھڪڙو وڏو شروعاتي نقطو آھي. ان ۾ شامل آهن ٻنهي پيچيده نظامن مان معروف مارڪيٽ رانديگرن ۽ تمام گهڻيون معمولي افاديتون جيڪي هڪ خاص مسئلو حل ڪن ٿيون. ۽ تبصرن ۾، هميشه وانگر، اسان انهن اوزارن کي استعمال ڪندي توهان جي تجربي جي باري ۾ ٻڌي خوش ٿينداسين ۽ ٻين منصوبن جي لنڪ ڏسو.

Kubernetes سيڪيورٽي سافٽ ويئر پراڊڪٽس... انهن مان تمام گهڻا آهن، هر هڪ پنهنجن مقصدن، دائري ۽ لائسنس سان.

ان ڪري اسان هن لسٽ کي ٺاهڻ جو فيصلو ڪيو ۽ مختلف وينڊرز کان اوپن سورس پروجيڪٽ ۽ تجارتي پليٽ فارم ٻنهي کي شامل ڪيو. اسان کي اميد آهي ته اهو توهان جي انهن کي سڃاڻڻ ۾ مدد ڪندو جيڪي تمام گهڻي دلچسپي وارا آهن ۽ توهان جي مخصوص Kubernetes حفاظتي ضرورتن جي بنياد تي توهان کي صحيح طرف ڏانهن اشارو ڪندا.

درجا بندي

فهرست کي نيويگيٽ ڪرڻ آسان بڻائڻ لاءِ، اوزار منظم ڪيا ويا آهن مکيه فنڪشن ۽ ايپليڪيشن ذريعي. هيٺيان حصا حاصل ڪيا ويا:

• ڪبرنيٽس تصويري اسڪيننگ ۽ جامد تجزيو؛
• رن ٽائم سيڪيورٽي؛
• Kubernetes نيٽ ورڪ سيڪيورٽي؛
• تصوير جي ورڇ ۽ راز جو انتظام؛
• Kubernetes سيڪيورٽي آڊٽ؛
• جامع تجارتي مصنوعات.

اچو ته ڪاروبار ڏانهن وڃو:

اسڪيننگ ڪبرنيٽس تصويرون

لنگر

• ويب سائيٽ: anchore.com
• لائسنس: مفت (Apache) ۽ تجارتي آڇ

اينڪر ڪنٽينر تصويرن جو تجزيو ڪري ٿو ۽ صارف جي بيان ڪيل پاليسين جي بنياد تي سيڪيورٽي چيڪن جي اجازت ڏئي ٿو.

CVE ڊيٽابيس مان سڃاتل ڪمزورين لاءِ ڪنٽينر تصويرن جي معمولي اسڪيننگ کان علاوه، اينڪر پنهنجي اسڪيننگ پاليسي جي حصي طور ڪيترائي اضافي چيڪ انجام ڏئي ٿو: چيڪ ڪري ٿو Dockerfile، سندي ليک، پروگرامنگ ٻولين جا پيڪيجز استعمال ٿيل (npm، maven، وغيره) .)، سافٽ ويئر لائسنس ۽ گهڻو ڪجهه.

Clair

• ويب سائيٽ: coreos.com/clair (هاڻي Red Hat جي سرپرستي هيٺ)
• لائسنس: مفت (Apache)

ڪليئر تصوير اسڪيننگ لاءِ پهرين اوپن سورس منصوبن مان هڪ هو. اهو وڏي پيماني تي Quay تصوير رجسٽري جي پويان سيڪيورٽي اسڪينر طور سڃاتو وڃي ٿو (پڻ CoreOS کان - لڳ ڀڳ ترجمو). ڪليئر مختلف ذريعن کان CVE معلومات گڏ ڪري سگھي ٿو، بشمول لينڪس ڊسٽريبيوشن-مخصوص خطرن جون لسٽون جيڪي Debian، Red Hat، يا Ubuntu سيڪيورٽي ٽيمن پاران برقرار رکيا ويا آهن.

Anchore جي برعڪس، ڪليئر بنيادي طور تي نقصانن کي ڳولڻ ۽ CVEs جي ڊيٽا کي ملائڻ تي ڌيان ڏئي ٿو. بهرحال، پراڊڪٽ صارفين کي پلگ ان ڊرائيور استعمال ڪندي ڪم کي وڌائڻ لاء ڪجهه موقعا پيش ڪري ٿو.

دگدا

• ويب سائيٽ: github.com/eliasgranderubio/dagda
• لائسنس: مفت (Apache)

ڊگڊا ڪنٽينر تصويرن جو جامد تجزيو ڪري ٿو معلوم ٿيل نقصانن، ٽروجن، وائرس، مالويئر ۽ ٻين خطرن لاءِ.

ٻه قابل ذڪر خاصيتون ڊيگدا کي ٻين ساڳين اوزارن کان ڌار ڪن ٿا:

• اهو مڪمل طور تي گڏ ڪري ٿو ڪلام وي, ڪم نه صرف ڪنٽينر تصويرن کي اسڪين ڪرڻ لاء هڪ اوزار جي طور تي، پر پڻ هڪ اينٽي وائرس جي طور تي.
• Docker daemon کان حقيقي وقت جي واقعن کي حاصل ڪندي ۽ Falco سان گڏ رن ٽائم تحفظ پڻ فراهم ڪري ٿو (هيٺ ڏسو) حفاظتي واقعن کي گڏ ڪرڻ لاءِ جڏهن ڪنٽينر هلي رهيو آهي.

ڪبي ايڪسري

• ويب سائيٽ: github.com/jfrog/kubexray
• لائسنس: مفت (Apache)، پر JFrog Xray (تجارتي پراڊڪٽ) کان ڊيٽا جي ضرورت آهي

KubeXray Kubernetes API سرور کان واقعن کي ٻڌي ٿو ۽ JFrog Xray کان ميٽا ڊيٽا استعمال ڪري ٿو انهي کي يقيني بڻائڻ لاءِ ته صرف پوڊز جيڪي موجوده پاليسي سان ملن ٿا لانچ ڪيا وڃن.

KubeXray نه رڳو نون يا تازه ڪاري ڪنٽينرز جي آڊٽ ڪري ٿو ڊيپلائيمينٽن ۾ (ڪئبرنيٽس ۾ ايڊميشن ڪنٽرولر وانگر)، پر نئين سيڪيورٽي پاليسين جي تعميل لاءِ متحرڪ طور تي هلندڙ ڪنٽينرز کي به چيڪ ڪري ٿو، وسيلن کي هٽائي ٿو جيڪي خطرناڪ تصويرن جو حوالو ڏين ٿا.

سيءَڪ

• ويب سائيٽ: snyk.io
• لائسنس: مفت (Apache) ۽ تجارتي ورزن

Snyk هڪ غير معمولي ڪمزوري اسڪينر آهي جنهن ۾ اهو خاص طور تي ترقي جي عمل کي نشانو بڻائيندو آهي ۽ ڊولپرز لاءِ ”لازمي حل“ طور ترقي يافته آهي.

Snyk سڌو سنئون ڪوڊ ريپوزٽريز سان ڳنڍي ٿو، پروجيڪٽ جي منشور کي پارس ڪري ٿو ۽ درآمد ٿيل ڪوڊ کي سڌو ۽ اڻ سڌي انحصار سان گڏ تجزيو ڪري ٿو. Snyk ڪيترن ئي مشهور پروگرامنگ ٻولين کي سپورٽ ڪري ٿو ۽ لڪيل لائسنس جي خطرن کي سڃاڻي سگھي ٿو.

ٽريو

• ويب سائيٽ: github.com/knqyf263/trivy
• لائسنس: مفت (AGPL)

Trivy ڪنٽينرز لاءِ هڪ سادي پر طاقتور ڪمزوري اسڪينر آهي جيڪا آساني سان CI/CD پائپ لائن ۾ ضم ٿي وڃي ٿي. ان جي قابل ذڪر خصوصيت ان جي تنصيب ۽ آپريشن جي آساني آهي: ايپليڪيشن هڪ واحد بائنري تي مشتمل آهي ۽ ڊيٽابيس يا اضافي لائبريرين جي انسٽاليشن جي ضرورت ناهي.

Trivy جي سادگي جو منفي پاسو اهو آهي ته توهان کي اهو معلوم ڪرڻو پوندو ته نتيجن کي JSON فارميٽ ۾ ڪيئن پارس ۽ اڳتي وڌايو وڃي ته جيئن ٻيا Kubernetes حفاظتي اوزار انهن کي استعمال ڪري سگهن.

Kubernetes ۾ رن ٽائم سيڪيورٽي

Falco

• ويب سائيٽ: falco.org
• لائسنس: مفت (Apache)

Falco ڪلائوڊ رن ٽائم ماحول کي محفوظ ڪرڻ لاءِ اوزارن جو هڪ سيٽ آهي. منصوبي جي خاندان جو حصو سي اين سي.

استعمال ڪندي Sysdig جي لينڪس ڪنييل-سطح جي ٽولنگ ۽ سسٽم ڪال پروفائلنگ، Falco توهان کي اجازت ڏئي ٿو ته توهان سسٽم جي رويي ۾ گهيرو ڪيو. ان جو رن ٽائم ضابطو انجڻ ايپليڪيشنن، ڪنٽينرز، هيٺيون ميزبان، ۽ ڪبرنيٽس آرڪيسٽرٽر ۾ مشڪوڪ سرگرمي کي ڳولڻ جي قابل آهي.

Falco انهن مقصدن لاءِ Kubernetes نوڊس تي خاص ايجنٽن کي مقرر ڪندي رن ٽائم ۽ خطري جي نشاندهي ۾ مڪمل شفافيت فراهم ڪري ٿو. نتيجي طور، ڪنٽينرز کي تبديل ڪرڻ جي ڪا ضرورت ناهي ٽئين پارٽي ڪوڊ متعارف ڪرائڻ سان يا سائڊ ڪار ڪنٽينرز شامل ڪندي.

رن ٽائم لاءِ لينڪس سيڪيورٽي فريم ورڪ

لينڪس ڪنيل لاءِ اهي اصلي فريم ورڪ روايتي معنيٰ ۾ ”ڪبرنيٽس سيڪيورٽي ٽولز“ نه آهن، پر اهي قابل ذڪر آهن ڇو ته اهي رن ٽائم سيڪيورٽي جي حوالي سان هڪ اهم عنصر آهن، جيڪي ڪبرنيٽس پوڊ سيڪيورٽي پاليسي (PSP) ۾ شامل آهن.

ايپ آرمر ڪنٽينر ۾ هلندڙ عملن لاءِ حفاظتي پروفائل ڳنڍي ٿو، فائيل سسٽم جي استحقاق جي وضاحت، نيٽ ورڪ رسائي جا ضابطا، لائبريرين کي ڳنڍڻ وغيره. اهو هڪ سسٽم آهي جيڪو لازمي رسائي ڪنٽرول (MAC) تي ٻڌل آهي. ٻين لفظن ۾، اهو منع ٿيل ڪمن کي انجام ڏيڻ کان روڪي ٿو.

سيڪيورٽي-بهتر لينڪس (SELinux) لينڪس ڪنييل ۾ هڪ ترقي يافته سيڪيورٽي ماڊل آهي، ڪجهه حصن ۾ AppArmor ۽ اڪثر ان جي مقابلي ۾. SELinux طاقت، لچڪ ۽ ڪسٽمائيزيشن ۾ AppArmor کان بھترين آھي. ان جا نقصان ڊگھي سکيا وارو وکر ۽ وڌندڙ پيچيدگي آهي.

سيڪمپ ۽ seccomp-bpf توهان کي سسٽم ڪالن کي فلٽر ڪرڻ جي اجازت ڏئي ٿو، انهن جي عمل کي روڪيو جيڪي ممڪن طور تي بنيادي OS لاءِ خطرناڪ آهن ۽ صارف جي ايپليڪيشنن جي عام آپريشن لاءِ گهربل نه آهن. Seccomp ڪجهه طريقن سان Falco سان ملندڙ جلندڙ آهي، جيتوڻيڪ اهو ڪنٽينرز جي خاصيتن کي نٿو ڄاڻي.

Sysdig اوپن سورس

• ويب سائيٽ: www.sysdig.com/opensource
• لائسنس: مفت (Apache)

Sysdig لينڪس سسٽم جي تجزيو، تشخيص ۽ ڊيبگنگ لاء هڪ مڪمل اوزار آهي (پڻ ونڊوز ۽ macOS تي ڪم ڪري ٿو، پر محدود ڪمن سان). اهو تفصيلي معلومات گڏ ڪرڻ، تصديق ۽ فارنزڪ تجزيي لاءِ استعمال ٿي سگهي ٿو. (فارينڪس) بنيادي سسٽم ۽ ان تي هلندڙ ڪو به ڪنٽينر.

Sysdig پڻ مقامي طور تي ڪنٽينر رن ٽائمز ۽ ڪبرنيٽس ميٽاداٽا کي سپورٽ ڪري ٿو، اضافي طول و عرض ۽ ليبل شامل ڪري سڀني سسٽم جي رويي جي معلومات کي گڏ ڪري ٿو. Sysdig استعمال ڪندي ڪبرنيٽس ڪلستر جو تجزيو ڪرڻ جا ڪيترائي طريقا آھن: توھان ڪري سگھو ٿا پوائنٽ-ان-ٽائم ڪيپچر ذريعي kubectl قبضو يا هڪ پلگ ان استعمال ڪندي هڪ ncurses تي ٻڌل انٽرفيس شروع ڪريو kubectl dig.

Kubernetes نيٽورڪ سيڪيورٽي

اپوريٽو

• ويب سائيٽ: www.aporeto.com
• لائسنس: تجارتي

Aporeto پيش ڪري ٿو "سيڪيورٽي نيٽ ورڪ ۽ انفراسٽرڪچر کان الڳ ٿيل." هن جو مطلب آهي ته Kubernetes خدمتون نه صرف مقامي ID حاصل ڪن ٿيون (يعني سروس اڪائونٽ Kubernetes ۾)، پر هڪ آفاقي ID/فنگر پرنٽ پڻ حاصل ڪري ٿو جيڪو محفوظ ۽ باهمي طور تي ڪنهن ٻئي خدمت سان رابطو ڪرڻ لاءِ استعمال ٿي سگهي ٿو، مثال طور OpenShift ڪلسٽر ۾.

Aporeto هڪ منفرد ID پيدا ڪرڻ جي قابل آهي نه صرف ڪبرنيٽس/ڪنٽينرز لاءِ، پر ميزبان، ڪلائوڊ افعال ۽ استعمال ڪندڙن لاءِ پڻ. انهن سڃاڻپ ڪندڙ ۽ منتظم طرفان مقرر ڪيل نيٽورڪ سيڪيورٽي ضابطن جي سيٽ تي منحصر ڪري، مواصلات کي اجازت ڏني ويندي يا بلاڪ ڪيو ويندو.

ڪيليڪو

• ويب سائيٽ: www.projectcalico.org
• لائسنس: مفت (Apache)

ڪيليڪو عام طور تي هڪ ڪنٽينر آرڪيسٽرٽر جي انسٽاليشن دوران ترتيب ڏني وئي آهي، توهان کي هڪ مجازي نيٽ ورڪ ٺاهڻ جي اجازت ڏئي ٿي جيڪا ڪنٽينرز کي ڳنڍي ٿي. هن بنيادي نيٽ ورڪ ڪارڪردگيءَ کان علاوه، ڪيليڪو پروجيڪٽ ڪبرنيٽس نيٽ ورڪ پاليسين ۽ نيٽ ورڪ سيڪيورٽي پروفائلز جي پنهنجي سيٽ سان ڪم ڪري ٿو، انڊريس ۽ ايگريس ٽريفڪ لاءِ اينٽي پوائنٽ ACLs (رسائي ڪنٽرول لسٽون) ۽ تشريح جي بنياد تي نيٽ ورڪ سيڪيورٽي ضابطن کي سپورٽ ڪري ٿو.

ڪيليم

• ويب سائيٽ: www.cilium.io
• لائسنس: مفت (Apache)

Cilium ڪنٽينرز لاءِ فائر وال جي طور تي ڪم ڪري ٿو ۽ نيٽ ورڪ سيڪيورٽي خاصيتون مهيا ڪري ٿو جيڪي مقامي طور تي ڪبرنيٽس ۽ مائڪرو سروسز ڪم لوڊ لاءِ ترتيب ڏنل آهن. Cilium ڊيٽا کي فلٽر ڪرڻ، مانيٽر ڪرڻ، ريڊائريڪٽ ڪرڻ ۽ درست ڪرڻ لاءِ BPF (Berkeley Packet Filter) نالي هڪ نئين لينڪس ڪنيل ٽيڪنالاجي استعمال ڪري ٿو.

Cilium نيٽ ورڪ رسائي پاليسين کي ترتيب ڏيڻ جي قابل آهي ڪنٽينر IDs جي بنياد تي Docker يا Kubernetes ليبلز ۽ ميٽا ڊيٽا استعمال ڪندي. Cilium پڻ سمجهي ٿو ۽ فلٽر ڪري ٿو مختلف پرت 7 پروٽوڪول جهڙوڪ HTTP يا gRPC، توهان کي REST ڪالن جي هڪ سيٽ جي وضاحت ڪرڻ جي اجازت ڏئي ٿي جيڪا اجازت ڏني ويندي ٻن ڪبرنيٽس جي وچ ۾، مثال طور.

استيو

• ويب سائيٽ: istio.io
• لائسنس: مفت (Apache)

Istio وڏي پيماني تي هڪ پليٽ فارم-آزاد ڪنٽرول جهاز کي ترتيب ڏيڻ ۽ متحرڪ طور تي ترتيب ڏيڻ واري Envoy proxies ذريعي سڀني منظم سروس ٽرئفڪ کي روٽ ڪندي سروس ميش پيراڊم کي لاڳو ڪرڻ لاءِ مشهور آهي. Istio مختلف نيٽ ورڪ سيڪيورٽي حڪمت عملي کي لاڳو ڪرڻ لاء سڀني مائڪرو سروسز ۽ ڪنٽينرز جي هن ترقي يافته نظر جو فائدو وٺندو آهي.

Istio جي نيٽ ورڪ سيڪيورٽي صلاحيتن ۾ شامل آهي شفاف TLS انڪريپشن کي خودڪار طور تي مائڪرو سروسز جي وچ ۾ رابطي کي HTTPS ڏانهن اپ گريڊ ڪرڻ، ۽ هڪ مالڪي RBAC سڃاڻپ ۽ اختيار ڏيڻ وارو نظام ڪلستر ۾ مختلف ڪم لوڊ جي وچ ۾ رابطي کي اجازت ڏيڻ / انڪار ڪرڻ لاء.

نوٽ. ترجمو: Istio جي سيڪيورٽي-مرڪوز صلاحيتن جي باري ۾ وڌيڪ سکڻ لاء، پڙهو اهو مضمون.

ٽائيگرا

• ويب سائيٽ: www.tigera.io
• لائسنس: تجارتي

سڏيو ويندو آهي "Kubernetes فائر وال،" هي حل نيٽ ورڪ سيڪيورٽي لاء صفر اعتماد واري طريقي تي زور ڏئي ٿو.

ٻين اصلي ڪبرنيٽس نيٽ ورڪنگ حلن وانگر، ٽائيگرا ڪلسٽر ۾ مختلف خدمتن ۽ شين جي سڃاڻپ ڪرڻ لاءِ ميٽاڊيٽا تي ڀاڙي ٿو ۽ رن ٽائم مسئلي جي نشاندهي، مسلسل تعميل جي چڪاس، ۽ ملٽي ڪلائوڊ يا هائبرڊ مونوليٿڪ-ڪنٽينر ٿيل انفراسٽرڪچرز لاءِ نيٽ ورڪ جي نمائش مهيا ڪري ٿي.

ٽريم

• ويب سائيٽ: www.aporeto.com/opensource
• لائسنس: مفت (Apache)

Trireme-Kubernetes Kubernetes نيٽورڪ پاليسين جي وضاحتن جو هڪ سادو ۽ سڌو عمل آهي. سڀ کان وڌيڪ قابل ذڪر خصوصيت اها آهي ته - ساڳي طرح Kubernetes نيٽ ورڪ سيڪيورٽي پروڊڪٽس جي برعڪس - ان کي ميش کي همٿائڻ لاءِ مرڪزي ڪنٽرول جهاز جي ضرورت ناهي. اهو حل ٿورڙي طور تي اسپيبلبل بڻائي ٿو. Trireme ۾، اهو هر نوڊ تي هڪ ايجنٽ کي نصب ڪندي حاصل ڪيو ويندو آهي جيڪو سڌو سنئون ميزبان جي TCP / IP اسٽيڪ سان ڳنڍيندو آهي.

تصويري پروپيگنڊا ۽ راز جو انتظام

گرافياس

• ويب سائيٽ: grafeas.io
• لائسنس: مفت (Apache)

Grafeas سافٽ ويئر سپلائي چين جي آڊيٽنگ ۽ انتظام لاءِ هڪ اوپن سورس API آهي. بنيادي سطح تي، گرافياس ميٽاداٽا ۽ آڊٽ جي نتيجن کي گڏ ڪرڻ لاءِ هڪ اوزار آهي. اهو هڪ تنظيم جي اندر سيڪيورٽي بهترين عملن جي تعميل کي ٽريڪ ڪرڻ لاء استعمال ڪري سگهجي ٿو.

سچ جو هي مرڪزي ذريعو سوالن جا جواب ڏيڻ ۾ مدد ڪري ٿو جهڙوڪ:

• ڪنهن خاص ڪنٽينر لاءِ گڏ ڪيو ۽ دستخط ڪيو؟
• ڇا اهو سيڪيورٽي پاليسي طرفان گهربل سڀئي سيڪيورٽي اسڪين ۽ چيڪ پاس ڪري چڪو آهي؟ جڏهن؟ نتيجا ڇا هئا؟
• ڪير ان کي پيداوار تي لڳايو؟ مقرري دوران ڪھڙا مخصوص پيٽرول استعمال ڪيا ويا؟

مڪمل طور تي

• ويب سائيٽ: in-toto.github.io
• لائسنس: مفت (Apache)

In-toto هڪ فريم ورڪ آهي جيڪو مڪمل سافٽ ويئر سپلائي چين جي سالميت، تصديق ۽ آڊيٽنگ مهيا ڪرڻ لاءِ ٺهيل آهي. جڏهن انفراسٽرڪچر ۾ ان-ٽوٽو کي ترتيب ڏيڻ، هڪ منصوبو پهريون ڀيرو بيان ڪيو ويو آهي جيڪو پائپ لائن ۾ مختلف مرحلن کي بيان ڪري ٿو (مخزن، CI/CD اوزار، QA اوزار، آرٽيڪل ڪليڪٽر، وغيره) ۽ استعمال ڪندڙ (ذميوار ماڻهو) جن کي اجازت ڏني وئي آهي. ان کي شروع ڪريو.

In-toto منصوبي جي عمل جي نگراني ڪري ٿو، تصديق ڪري ٿو ته زنجير ۾ هر ڪم صحيح طور تي صرف بااختيار اهلڪارن طرفان انجام ڏنو ويو آهي ۽ اهو ته حرڪت دوران پيداوار سان ڪا به غير مجاز ڦيرڦار نه ڪئي وئي آهي.

پورٽيئرس

• ويب سائيٽ: github.com/IBM/portieris
• لائسنس: مفت (Apache)

Portieris Kubernetes لاء هڪ داخلا ڪنٽرولر آهي. مواد جي اعتماد جي چڪاس کي لاڳو ڪرڻ لاء استعمال ڪيو ويو. Portieris هڪ سرور استعمال ڪري ٿو نوٽس (اسان آخر ۾ هن جي باري ۾ لکيو هي آرٽيڪل - لڳ ڀڳ ترجمو) معتبر ۽ دستخط ٿيل نمونن (يعني منظور ٿيل ڪنٽينر تصويرون) جي تصديق ڪرڻ لاءِ سچائي جو ذريعو.

جڏهن ڪوبرنيٽس ۾ ڪم لوڊ ٺاهي يا تبديل ڪيو ويندو آهي، پورٽيئرس درخواست ٿيل ڪنٽينر تصويرن لاءِ سائننگ انفارميشن ۽ مواد جي اعتماد واري پاليسي کي ڊائون لوڊ ڪري ٿو ۽، جيڪڏهن ضروري هجي ته، انهن تصويرن جي دستخط ٿيل ورزن کي هلائڻ لاءِ JSON API اعتراض ۾ آن دي فلائي تبديليون ڪري ٿو.

نقص

• ويب سائيٽ: www.vaultproject.io
• لائسنس: مفت (MPL)

Vault خانگي معلومات کي محفوظ ڪرڻ لاءِ هڪ محفوظ حل آهي: پاسورڊ، OAuth ٽوڪن، PKI سرٽيفڪيٽ، رسائي اڪائونٽس، Kubernetes راز، وغيره. Vault ڪيترن ئي ترقي يافته خاصيتن کي سپورٽ ڪري ٿو، جهڙوڪ عارضي سيڪيورٽي ٽوڪن کي ليز ڏيڻ يا اهم گردش کي منظم ڪرڻ.

هيلم چارٽ استعمال ڪندي، والٽ کي ڪبرنيٽس ڪلستر ۾ نئين ڊيپلائيمينٽ طور مقرر ڪري سگھجي ٿو قونصل سان گڏ بيڪ اينڊ اسٽوريج طور. اهو مقامي ڪبرنيٽس وسيلن کي سپورٽ ڪري ٿو جهڙوڪ ServiceAccount ٽوڪن ۽ ڪبرنيٽس رازن لاءِ ڊفالٽ اسٽور طور ڪم ڪري سگھي ٿو.

نوٽ. ترجمو: رستي ۾، صرف ڪالهه ڪمپني HashiCorp، جيڪا Vault ٺاهي ٿي، Kubernetes ۾ Vault استعمال ڪرڻ لاء ڪجهه سڌارن جو اعلان ڪيو، ۽ خاص طور تي اهي هيلم چارٽ سان لاڳاپيل آهن. وڌيڪ پڙهو ۾ بلاگ ترتيب ڏيڻ.

Kubernetes سيڪيورٽي آڊٽ

ڪَبي بينچ

• ويب سائيٽ: github.com/aquasecurity/kube-bench
• لائسنس: مفت (Apache)

ڪوبي بينچ هڪ گو ايپليڪيشن آهي جيڪا چيڪ ڪري ٿي ته ڇا ڪبرنيٽس لسٽ مان ٽيسٽ هلائڻ سان محفوظ طور تي ترتيب ڏنل آهي CIS ڪبرنيٽس بينچ مارڪ.

ڪوبي بينچ ڪلسٽر اجزاء (etcd، API، ڪنٽرولر مئنيجر، وغيره) جي وچ ۾ غير محفوظ ترتيب واري سيٽنگون ڳولي ٿو، قابل اعتراض فائل رسائي جا حق، غير محفوظ اڪائونٽس يا کليل بندرگاهن، وسيلن جي ڪوٽا، DoS حملن کان بچائڻ لاءِ API ڪالن جي تعداد کي محدود ڪرڻ لاءِ سيٽنگون وغيره

ڪَبُ- شڪاري

• ويب سائيٽ: github.com/aquasecurity/kube-hunter
• لائسنس: مفت (Apache)

Kube-Hunter ڪبرنيٽس ڪلسٽرز ۾ امڪاني نقصانن (جهڙوڪ ريموٽ ڪوڊ جي عمل يا ڊيٽا جي ظاهر ڪرڻ) جو شڪار ڪري ٿو. Kube-Hunter کي ريموٽ اسڪينر طور هلائي سگھجي ٿو - ان صورت ۾ اھو ڪلستر جو جائزو وٺندو ھڪڙي ٽئين پارٽي حملي آور جي نقطي نظر کان - يا ڪلستر جي اندر ھڪڙي پوڊ جي طور تي.

Kube-Hunter جي هڪ خاص خصوصيت ان جو ”فعال شڪار“ موڊ آهي، جنهن دوران اهو نه رڳو مسئلن جي رپورٽ ڪري ٿو، پر ٽارگيٽ ڪلسٽر ۾ دريافت ڪيل ڪمزورين جو به فائدو وٺڻ جي ڪوشش ڪري ٿو، جيڪا ان جي آپريشن کي ممڪن طور تي نقصان پهچائي سگهي ٿي. تنهنڪري احتياط سان استعمال ڪريو!

ڪبي آڊٽ

• ويب سائيٽ: github.com/Shopify/kubeaudit
• لائسنس: مفت (MIT)

Kubeaudit هڪ ڪنسول اوزار آهي اصل ۾ Shopify تي ترقي ڪئي وئي آهي مختلف سيڪيورٽي مسئلن لاءِ ڪبرنيٽس جي ترتيب جي آڊٽ ڪرڻ لاءِ. مثال طور، اهو ڪنٽينرز کي سڃاڻڻ ۾ مدد ڪري ٿو جيڪو غير پابنديون هلائي رهيو آهي، روٽ طور هلڻ، استحقاق کي غلط استعمال ڪرڻ، يا ڊفالٽ ServiceAccount استعمال ڪندي.

Kubeaudit ٻيا دلچسپ خاصيتون آهن. مثال طور، اهو مقامي YAML فائلن جو تجزيو ڪري سگھي ٿو، تشڪيل جي نقصن کي سڃاڻي سگھي ٿو جيڪي حفاظتي مسئلا پيدا ڪري سگھن ٿيون، ۽ پاڻمرادو انھن کي درست ڪري سگھن ٿيون.

ڪبيسڪ

• ويب سائيٽ: kubesec.io
• لائسنس: مفت (Apache)

Kubesec ھڪڙو خاص اوزار آھي جنھن ۾ اھو سڌو سنئون YAML فائلن کي اسڪين ڪري ٿو جيڪو بيان ڪري ٿو Kubernetes وسيلن، ڪمزور پيٽرولر کي ڳولي رھيا آھن جيڪي سيڪيورٽي کي متاثر ڪري سگھن ٿا.

مثال طور، اهو هڪ پوڊ کي ڏنل اضافي استحقاق ۽ اجازتن جو پتو لڳائي سگھي ٿو، روٽ سان ڪنٽينر کي ڊفالٽ صارف جي طور تي هلائڻ، ميزبان جي نيٽ ورڪ جي نالي جي جڳهه سان ڳنڍڻ، يا خطرناڪ مائونٽ جهڙوڪ /proc ميزبان يا Docker ساکٽ. Kubesec جي هڪ ٻي دلچسپ خصوصيت آهي ڊيمو سروس آن لائن دستياب آهي، جنهن ۾ توهان YAML اپلوڊ ڪري سگهو ٿا ۽ فوري طور تي ان جو تجزيو ڪيو.

اوپن پاليسي ايجنٽ

• ويب سائيٽ: www.openpolicyagent.org
• لائسنس: مفت (Apache)

OPA (اوپن پاليسي ايجنٽ) جو تصور سيڪيورٽي پاليسين ۽ سيڪيورٽي بهترين عملن کي هڪ مخصوص رن ٽائم پليٽ فارم تان ڊيڪول ڪرڻ آهي: ڊڪر، ڪبرنيٽس، ميسوسفيئر، اوپن شفٽ، يا ان جو ڪو ميلاپ.

مثال طور، توهان OPA کي ڪبرنيٽس ايڊميشن ڪنٽرولر لاءِ پسمنظر جي طور تي ترتيب ڏئي سگهو ٿا، ان کي سيڪيورٽي فيصلا سونپڻ. هن طريقي سان، OPA ايجنٽ پرواز تي درخواستن جي تصديق، رد، ۽ حتي ترميم ڪري سگهي ٿو، انهي کي يقيني بڻائڻ ته مخصوص حفاظتي معيارن سان ملاقات ڪئي وئي آهي. OPA جي سيڪيورٽي پاليسيون ان جي ملڪيت واري DSL ٻولي، ريگو ۾ لکيل آهن.

نوٽ. ترجمو: اسان OPA بابت وڌيڪ لکيو (۽ SPIFFE) ۾ هي مواد.

Kubernetes سيڪيورٽي تجزيي لاءِ جامع تجارتي اوزار

اسان تجارتي پليٽ فارمن لاءِ الڳ ڪيٽيگري ٺاهڻ جو فيصلو ڪيو ڇاڪاڻ ته اهي عام طور تي ڪيترن ئي حفاظتي علائقن کي ڍڪيندا آهن. انهن جي صلاحيتن جو هڪ عام خيال ٽيبل مان حاصل ڪري سگهجي ٿو:

* ترقي يافته امتحان ۽ پوسٽ مارٽم تجزيو مڪمل ڪرڻ سان سسٽم ڪال اغوا.

پاڻي جي حفاظت

• ويب سائيٽ: www.aquasec.com
• لائسنس: تجارتي

هي تجارتي اوزار ڪنٽينرز ۽ ڪلائوڊ ڪم لوڊ لاء ٺهيل آهي. اهو مهيا ڪري ٿو:

• تصويري اسڪيننگ هڪ ڪنٽينر رجسٽري يا CI/CD پائپ لائن سان ضم ٿي؛
• ڪنٽينرز ۽ ٻين مشڪوڪ سرگرمي ۾ تبديلين جي ڳولا سان رن ٽائم تحفظ؛
• ڪنٽينر-آبائي فائر وال؛
• ڪلائوڊ سروسز ۾ بي سرور لاءِ سيڪيورٽي؛
• تعميل جي جاچ ۽ آڊيٽنگ ايونٽ لاگنگ سان گڏ.

نوٽ. ترجمو: اهو پڻ قابل ذڪر آهي ته موجود آهن پراڊڪٽ جو آزاد حصو سڏيو ويندو آهي مائڪرو اسڪينر، جيڪو توهان کي خطرن لاءِ ڪنٽينر تصويرون اسڪين ڪرڻ جي اجازت ڏئي ٿو. ادا ڪيل ورزن سان ان جي صلاحيتن جو هڪ مقابلو پيش ڪيو ويو آهي هن ٽيبل.

ڪيپسول 8

• ويب سائيٽ: capsule8.com
• لائسنس: تجارتي

ڪيپسول 8 مقامي يا ڪلائوڊ ڪبرنيٽس ڪلستر تي ڊيڪٽر کي نصب ڪندي انفراسٽرڪچر ۾ ضم ٿي. هي ڊيڪٽر ميزبان ۽ نيٽ ورڪ ٽيليميٽري گڏ ڪري ٿو، ان کي مختلف قسم جي حملن سان لاڳاپو رکي ٿو.

ڪئپسول 8 ٽيم پنهنجي ڪم کي نئين استعمال ڪندي حملن جي ابتدائي ڳولڻ ۽ روڪڻ جي طور تي ڏسي ٿي (0-ڏينهن) ڪمزوريون. ڪئپسول 8 ڊائون لوڊ ڪري سگھن ٿا تازه ڪاري حفاظتي ضابطا سڌي طرح ڊيڪٽرن کي نئين دريافت ٿيل خطرن ۽ سافٽ ويئر جي ڪمزورين جي جواب ۾.

ڪيئرين

• ويب سائيٽ: www.cavirin.com
• لائسنس: تجارتي

Cavirin حفاظتي معيارن ۾ شامل مختلف ايجنسين لاءِ ڪمپني جي پاسي واري ٺيڪيدار طور ڪم ڪري ٿو. نه رڳو اهو تصويرون اسڪين ڪري سگهي ٿو، پر اهو پڻ CI/CD پائپ لائن ۾ ضم ٿي سگهي ٿو، غير معياري تصويرن کي بلاڪ ڪرڻ کان اڳ اهي بند ٿيل ذخيرو ۾ داخل ٿيڻ کان اڳ.

Cavirin جو سيڪيورٽي سوٽ توهان جي سائبر سيڪيورٽي پوزيشن جو جائزو وٺڻ لاءِ مشين لرننگ استعمال ڪري ٿو، سيڪيورٽي کي بهتر بڻائڻ ۽ سيڪيورٽي معيارن جي تعميل کي بهتر بڻائڻ لاءِ تجويزون پيش ڪري ٿو.

گوگل ڪلائوڊ سيڪيورٽي ڪمانڊ سينٽر

• ويب سائيٽ: cloud.google.com/security-command-center
• لائسنس: تجارتي

ڪلائوڊ سيڪيورٽي ڪمانڊ سينٽر سيڪيورٽي ٽيمن کي ڊيٽا گڏ ڪرڻ، خطرن جي نشاندهي ڪرڻ، ۽ ڪمپني کي نقصان پهچائڻ کان اڳ انهن کي ختم ڪرڻ ۾ مدد ڪري ٿو.

جيئن ته نالو مشورو ڏئي ٿو، Google Cloud SCC ھڪڙو متحد ڪنٽرول پينل آھي جيڪو ھڪڙي قسم جي سيڪيورٽي رپورٽن، اثاثن جي اڪائونٽنگ انجڻ، ۽ ھڪڙي ھڪڙي، مرڪزي ذريعن کان ٽئين پارٽي سيڪيورٽي سسٽم کي منظم ۽ منظم ڪري سگھي ٿو.

Google Cloud SCC پاران پيش ڪيل بين الاقوامي API مختلف ذريعن کان ايندڙ سيڪيورٽي واقعن کي ضم ڪرڻ آسان بڻائي ٿو، جهڙوڪ Sysdig Secure (ڪلائوڊ-مقامي ايپليڪيشنن لاء ڪنٽينر سيڪيورٽي) يا Falco (اوپن سورس رن ٽائم سيڪيورٽي).

پرت واري بصيرت (ڪوالس)

• ويب سائيٽ: layeredinsight.com
• لائسنس: تجارتي

پرت واري بصيرت (هاڻي Qualys Inc جو حصو) ”ايمبيڊڊ سيڪيورٽي“ جي تصور تي ٺهيل آهي. شمارياتي تجزيي ۽ CVE چيڪن کي استعمال ڪندي ڪمزورين لاءِ اصل تصوير کي اسڪين ڪرڻ کان پوءِ، پرت واري بصيرت ان کي هڪ اوزار واري تصوير سان تبديل ڪري ٿي جنهن ۾ ايجنٽ بائنري طور شامل آهي.

هي ايجنٽ رن ٽائم سيڪيورٽي ٽيسٽ تي مشتمل آهي ڪنٽينر نيٽ ورڪ ٽرئفڪ، I/O وهڪري ۽ ايپليڪيشن سرگرمي جو تجزيو ڪرڻ لاءِ. ان کان علاوه، اهو اضافي حفاظتي چيڪن کي انجام ڏئي سگھي ٿو جيڪو بيان ڪيل انفراسٽرڪچر ايڊمنسٽريٽر يا DevOps ٽيمن طرفان.

NeuVector

• ويب سائيٽ: neuvector.com
• لائسنس: تجارتي

NeuVector ڪنٽينر سيڪيورٽي کي چيڪ ڪري ٿو ۽ نيٽ ورڪ جي سرگرمي ۽ ايپليڪيشن جي رويي جو تجزيو ڪندي رن ٽائم تحفظ فراهم ڪري ٿو، هر ڪنٽينر لاءِ هڪ انفرادي سيڪيورٽي پروفائل ٺاهي ٿو. اهو پڻ پنهنجو پاڻ تي خطرن کي بلاڪ ڪري سگهي ٿو، مقامي فائر وال قاعدن کي تبديل ڪندي مشڪوڪ سرگرمي کي الڳ ڪري.

NeuVector جو نيٽ ورڪ انٽيگريشن، جيڪو سڪيورٽي ميش جي نالي سان سڃاتو وڃي ٿو، ڊيپ پيڪٽ جي تجزيي جي قابل آهي ۽ سروس ميش ۾ سڀني نيٽ ورڪ ڪنيڪشن لاءِ پرت 7 فلٽرنگ.

StackRox

• ويب سائيٽ: www.stackrox.com
• لائسنس: تجارتي

StackRox ڪنٽينر سيڪيورٽي پليٽ فارم ڪبرنيٽس ايپليڪيشنن جي پوري زندگي کي ڪلستر ۾ ڍڪڻ جي ڪوشش ڪري ٿو. هن لسٽ تي ٻين تجارتي پليٽ فارمن وانگر، StackRox هڪ رن ٽائم پروفائل ٺاهي ٿو مشاهدو ڪنٽينر جي رويي جي بنياد تي ۽ خودڪار طور تي ڪنهن به انحراف لاءِ الارم وڌائي ٿو.

اضافي طور تي، StackRox ڪنٽينر جي تعميل جو جائزو وٺڻ لاءِ Kubernetes CIS ۽ ٻين قاعدن جي ڪتابن کي استعمال ڪندي ڪبرنيٽس ترتيبن جو تجزيو ڪري ٿو.

Sysdig Secure

• ويب سائيٽ: sysdig.com/products/secure
• لائسنس: تجارتي

Sysdig Secure سڄي ڪنٽينر ۽ ڪبرنيٽس لائف سائيڪل ۾ ايپليڪيشنن جي حفاظت ڪري ٿو. هن اسڪين تصويرون ڪنٽينر، مهيا ڪري ٿو هلندڙ وقت جي حفاظت مشين لرننگ ڊيٽا جي مطابق، ڪريم انجام ڏئي ٿو. ماهر خطرات جي نشاندهي ڪرڻ، بلاڪ خطرن، مانيٽر قائم ڪيل معيار سان تعميل ۽ مائڪرو سروسز ۾ سرگرميون آڊٽ ڪري ٿو.

Sysdig Secure CI/CD ٽولز جهڙوڪ جينڪنز سان ضم ٿي ويو آهي ۽ ڊاڪر رجسٽرين مان لوڊ ٿيل تصويرن کي ڪنٽرول ڪري ٿو، خطرناڪ تصويرن کي پيداوار ۾ ظاهر ٿيڻ کان روڪي ٿو. اهو پڻ مهيا ڪري ٿو جامع رن ٽائم سيڪيورٽي، جنهن ۾ شامل آهن:

• ايم ايل جي بنياد تي رن ٽائم پروفائلنگ ۽ بي ترتيبي جي سڃاڻپ؛
• رن ٽائم پاليسيون سسٽم جي واقعن جي بنياد تي، K8s-آڊيٽ API، گڏيل ڪميونٽي پروجيڪٽس (FIM - فائل جي سالميت جي نگراني؛ cryptojacking) ۽ فريم ورڪ ميٽر اي ٽي اينڊ سي;
• ردعمل ۽ واقعن جو حل.

ٽينبل ڪنٽينر سيڪيورٽي

• ويب سائيٽ: www.tenable.com/products/tenable-io/container-security
• لائسنس: تجارتي

ڪنٽينرز جي اچڻ کان اڳ، Tenable وڏي پيماني تي صنعت ۾ Nessus جي پويان ڪمپني طور سڃاتو ويندو هو، هڪ مشهور خطرناڪ شڪار ۽ سيڪيورٽي آڊيٽنگ اوزار.

ٽينبل ڪنٽينر سيڪيورٽي ڪمپني جي ڪمپيوٽر سيڪيورٽي ماهر کي استعمال ڪري ٿي CI/CD پائيپ لائين کي ضم ڪرڻ لاءِ ڪمزور ڊيٽابيسس، خاص مالويئر ڳولڻ واري پيڪيجز، ۽ حفاظتي خطرن کي حل ڪرڻ لاءِ سفارشون.

ٽوسٽ لاک (پالو آلٽو نيٽ ورڪ)

• ويب سائيٽ: www.twistlock.com
• لائسنس: تجارتي

Twistlock پاڻ کي هڪ پليٽ فارم طور ترقي ڪري ٿو جيڪو ڪلائوڊ سروسز ۽ ڪنٽينرز تي مرکوز آهي. Twistlock مختلف ڪلائوڊ فراهم ڪندڙن کي سپورٽ ڪري ٿو (AWS، Azure، GCP)، ڪنٽينر آرڪيسٽرٽر (Kubernetes، Mesospehere، OpenShift، Docker)، بي سرور رن ٽائمز، ميش فريم ورڪ ۽ CI/CD اوزار.

ان کان علاوه روايتي انٽرپرائز-گريڊ سيڪيورٽي ٽيڪنالاجي جهڙوڪ CI/CD پائپ لائن انٽيگريشن يا تصويري اسڪيننگ، ٽوسٽ لاڪ مشين لرننگ استعمال ڪري ٿو ڪنٽينر جي مخصوص رويي جي نمونن ۽ نيٽ ورڪ ضابطن کي پيدا ڪرڻ لاءِ.

ڪجھ عرصو اڳ، ٽوسٽ لاڪ پالو آلٽو نيٽ ورڪ پاران خريد ڪيو ويو، جيڪو Evident.io ۽ RedLock منصوبن جو مالڪ آھي. اهو اڃا تائين معلوم ناهي ته انهن ٽنهي پليٽ فارمن کي ڪيئن ضم ڪيو ويندو PRISMA پالو آلٽو کان.

ڪبرنيٽس سيڪيورٽي اوزار جي بهترين فهرست ٺاهڻ ۾ مدد ڪريو!

اسان ڪوشش ڪريون ٿا ته هن فهرست کي مڪمل طور تي ممڪن بڻائي سگهون، ۽ ان لاء اسان کي توهان جي مدد جي ضرورت آهي! اسان سان رابطو ڪريو (@sysdig) جيڪڏهن توهان جي ذهن ۾ هڪ بهترين اوزار آهي جيڪو هن لسٽ ۾ شامل ڪرڻ جي لائق آهي، يا توهان کي هڪ غلطي / پراڻي معلومات ملي ٿي.

توهان پڻ اسان جي رڪنيت حاصل ڪري سگهو ٿا مهيني نيوز ليٽر بادل جي مقامي ماحولياتي نظام جي خبرن سان ۽ ڪبرنيٽس سيڪيورٽي جي دنيا کان دلچسپ منصوبن بابت ڪهاڻيون.

پي ايس مترجم کان

اسان جي بلاگ تي پڻ پڙهو:

• «سيڪيورٽي پروفيشنلز لاءِ ڪبرنيٽس نيٽورڪ پاليسين جو هڪ تعارف"؛
• «ڊاکر ۽ ڪبرنيٽس سيڪيورٽي گهربل ماحول ۾"؛
• «ڪبرنيٽس سيڪيورٽي لاءِ 9 بهترين طريقا"؛
• «11 طريقا (نه) هڪ ڪبرنيٽس هيڪ جو شڪار ٿيڻ"؛
• «OPA ۽ SPIFFE ٻه نوان منصوبا آهن CNCF تي ڪلائوڊ ايپليڪيشن سيڪيورٽي لاءِ».

جو ذريعو: www.habr.com