نوٽ. ترجمو: جيڪڏھن توھان حيران ٿي رھيا آھيو سلامتي بابت Kubernetes-based infrastructure ۾، Sysdig کان ھي شاندار جائزو موجوده حلن تي تڪڙو نظر ڏيڻ لاءِ ھڪڙو وڏو شروعاتي نقطو آھي. ان ۾ شامل آهن ٻنهي پيچيده نظامن مان معروف مارڪيٽ رانديگرن ۽ تمام گهڻيون معمولي افاديتون جيڪي هڪ خاص مسئلو حل ڪن ٿيون. ۽ تبصرن ۾، هميشه وانگر، اسان انهن اوزارن کي استعمال ڪندي توهان جي تجربي جي باري ۾ ٻڌي خوش ٿينداسين ۽ ٻين منصوبن جي لنڪ ڏسو.
Kubernetes سيڪيورٽي سافٽ ويئر پراڊڪٽس... انهن مان تمام گهڻا آهن، هر هڪ پنهنجن مقصدن، دائري ۽ لائسنس سان.
ان ڪري اسان هن لسٽ کي ٺاهڻ جو فيصلو ڪيو ۽ مختلف وينڊرز کان اوپن سورس پروجيڪٽ ۽ تجارتي پليٽ فارم ٻنهي کي شامل ڪيو. اسان کي اميد آهي ته اهو توهان جي انهن کي سڃاڻڻ ۾ مدد ڪندو جيڪي تمام گهڻي دلچسپي وارا آهن ۽ توهان جي مخصوص Kubernetes حفاظتي ضرورتن جي بنياد تي توهان کي صحيح طرف ڏانهن اشارو ڪندا.
ڪليئر تصوير اسڪيننگ لاءِ پهرين اوپن سورس منصوبن مان هڪ هو. اهو وڏي پيماني تي Quay تصوير رجسٽري جي پويان سيڪيورٽي اسڪينر طور سڃاتو وڃي ٿو (پڻ CoreOS کان - لڳ ڀڳ ترجمو). ڪليئر مختلف ذريعن کان CVE معلومات گڏ ڪري سگھي ٿو، بشمول لينڪس ڊسٽريبيوشن-مخصوص خطرن جون لسٽون جيڪي Debian، Red Hat، يا Ubuntu سيڪيورٽي ٽيمن پاران برقرار رکيا ويا آهن.
Anchore جي برعڪس، ڪليئر بنيادي طور تي نقصانن کي ڳولڻ ۽ CVEs جي ڊيٽا کي ملائڻ تي ڌيان ڏئي ٿو. بهرحال، پراڊڪٽ صارفين کي پلگ ان ڊرائيور استعمال ڪندي ڪم کي وڌائڻ لاء ڪجهه موقعا پيش ڪري ٿو.
لائسنس: مفت (Apache)، پر JFrog Xray (تجارتي پراڊڪٽ) کان ڊيٽا جي ضرورت آهي
KubeXray Kubernetes API سرور کان واقعن کي ٻڌي ٿو ۽ JFrog Xray کان ميٽا ڊيٽا استعمال ڪري ٿو انهي کي يقيني بڻائڻ لاءِ ته صرف پوڊز جيڪي موجوده پاليسي سان ملن ٿا لانچ ڪيا وڃن.
KubeXray نه رڳو نون يا تازه ڪاري ڪنٽينرز جي آڊٽ ڪري ٿو ڊيپلائيمينٽن ۾ (ڪئبرنيٽس ۾ ايڊميشن ڪنٽرولر وانگر)، پر نئين سيڪيورٽي پاليسين جي تعميل لاءِ متحرڪ طور تي هلندڙ ڪنٽينرز کي به چيڪ ڪري ٿو، وسيلن کي هٽائي ٿو جيڪي خطرناڪ تصويرن جو حوالو ڏين ٿا.
Trivy ڪنٽينرز لاءِ هڪ سادي پر طاقتور ڪمزوري اسڪينر آهي جيڪا آساني سان CI/CD پائپ لائن ۾ ضم ٿي وڃي ٿي. ان جي قابل ذڪر خصوصيت ان جي تنصيب ۽ آپريشن جي آساني آهي: ايپليڪيشن هڪ واحد بائنري تي مشتمل آهي ۽ ڊيٽابيس يا اضافي لائبريرين جي انسٽاليشن جي ضرورت ناهي.
Trivy جي سادگي جو منفي پاسو اهو آهي ته توهان کي اهو معلوم ڪرڻو پوندو ته نتيجن کي JSON فارميٽ ۾ ڪيئن پارس ۽ اڳتي وڌايو وڃي ته جيئن ٻيا Kubernetes حفاظتي اوزار انهن کي استعمال ڪري سگهن.
Falco ڪلائوڊ رن ٽائم ماحول کي محفوظ ڪرڻ لاءِ اوزارن جو هڪ سيٽ آهي. منصوبي جي خاندان جو حصو سي اين سي.
استعمال ڪندي Sysdig جي لينڪس ڪنييل-سطح جي ٽولنگ ۽ سسٽم ڪال پروفائلنگ، Falco توهان کي اجازت ڏئي ٿو ته توهان سسٽم جي رويي ۾ گهيرو ڪيو. ان جو رن ٽائم ضابطو انجڻ ايپليڪيشنن، ڪنٽينرز، هيٺيون ميزبان، ۽ ڪبرنيٽس آرڪيسٽرٽر ۾ مشڪوڪ سرگرمي کي ڳولڻ جي قابل آهي.
Falco انهن مقصدن لاءِ Kubernetes نوڊس تي خاص ايجنٽن کي مقرر ڪندي رن ٽائم ۽ خطري جي نشاندهي ۾ مڪمل شفافيت فراهم ڪري ٿو. نتيجي طور، ڪنٽينرز کي تبديل ڪرڻ جي ڪا ضرورت ناهي ٽئين پارٽي ڪوڊ متعارف ڪرائڻ سان يا سائڊ ڪار ڪنٽينرز شامل ڪندي.
رن ٽائم لاءِ لينڪس سيڪيورٽي فريم ورڪ
لينڪس ڪنيل لاءِ اهي اصلي فريم ورڪ روايتي معنيٰ ۾ ”ڪبرنيٽس سيڪيورٽي ٽولز“ نه آهن، پر اهي قابل ذڪر آهن ڇو ته اهي رن ٽائم سيڪيورٽي جي حوالي سان هڪ اهم عنصر آهن، جيڪي ڪبرنيٽس پوڊ سيڪيورٽي پاليسي (PSP) ۾ شامل آهن.
ايپ آرمر ڪنٽينر ۾ هلندڙ عملن لاءِ حفاظتي پروفائل ڳنڍي ٿو، فائيل سسٽم جي استحقاق جي وضاحت، نيٽ ورڪ رسائي جا ضابطا، لائبريرين کي ڳنڍڻ وغيره. اهو هڪ سسٽم آهي جيڪو لازمي رسائي ڪنٽرول (MAC) تي ٻڌل آهي. ٻين لفظن ۾، اهو منع ٿيل ڪمن کي انجام ڏيڻ کان روڪي ٿو.
سيڪمپ ۽ seccomp-bpf توهان کي سسٽم ڪالن کي فلٽر ڪرڻ جي اجازت ڏئي ٿو، انهن جي عمل کي روڪيو جيڪي ممڪن طور تي بنيادي OS لاءِ خطرناڪ آهن ۽ صارف جي ايپليڪيشنن جي عام آپريشن لاءِ گهربل نه آهن. Seccomp ڪجهه طريقن سان Falco سان ملندڙ جلندڙ آهي، جيتوڻيڪ اهو ڪنٽينرز جي خاصيتن کي نٿو ڄاڻي.
Sysdig لينڪس سسٽم جي تجزيو، تشخيص ۽ ڊيبگنگ لاء هڪ مڪمل اوزار آهي (پڻ ونڊوز ۽ macOS تي ڪم ڪري ٿو، پر محدود ڪمن سان). اهو تفصيلي معلومات گڏ ڪرڻ، تصديق ۽ فارنزڪ تجزيي لاءِ استعمال ٿي سگهي ٿو. (فارينڪس) بنيادي سسٽم ۽ ان تي هلندڙ ڪو به ڪنٽينر.
Sysdig پڻ مقامي طور تي ڪنٽينر رن ٽائمز ۽ ڪبرنيٽس ميٽاداٽا کي سپورٽ ڪري ٿو، اضافي طول و عرض ۽ ليبل شامل ڪري سڀني سسٽم جي رويي جي معلومات کي گڏ ڪري ٿو. Sysdig استعمال ڪندي ڪبرنيٽس ڪلستر جو تجزيو ڪرڻ جا ڪيترائي طريقا آھن: توھان ڪري سگھو ٿا پوائنٽ-ان-ٽائم ڪيپچر ذريعي kubectl قبضو يا هڪ پلگ ان استعمال ڪندي هڪ ncurses تي ٻڌل انٽرفيس شروع ڪريو kubectl dig.
Aporeto پيش ڪري ٿو "سيڪيورٽي نيٽ ورڪ ۽ انفراسٽرڪچر کان الڳ ٿيل." هن جو مطلب آهي ته Kubernetes خدمتون نه صرف مقامي ID حاصل ڪن ٿيون (يعني سروس اڪائونٽ Kubernetes ۾)، پر هڪ آفاقي ID/فنگر پرنٽ پڻ حاصل ڪري ٿو جيڪو محفوظ ۽ باهمي طور تي ڪنهن ٻئي خدمت سان رابطو ڪرڻ لاءِ استعمال ٿي سگهي ٿو، مثال طور OpenShift ڪلسٽر ۾.
Aporeto هڪ منفرد ID پيدا ڪرڻ جي قابل آهي نه صرف ڪبرنيٽس/ڪنٽينرز لاءِ، پر ميزبان، ڪلائوڊ افعال ۽ استعمال ڪندڙن لاءِ پڻ. انهن سڃاڻپ ڪندڙ ۽ منتظم طرفان مقرر ڪيل نيٽورڪ سيڪيورٽي ضابطن جي سيٽ تي منحصر ڪري، مواصلات کي اجازت ڏني ويندي يا بلاڪ ڪيو ويندو.
Cilium ڪنٽينرز لاءِ فائر وال جي طور تي ڪم ڪري ٿو ۽ نيٽ ورڪ سيڪيورٽي خاصيتون مهيا ڪري ٿو جيڪي مقامي طور تي ڪبرنيٽس ۽ مائڪرو سروسز ڪم لوڊ لاءِ ترتيب ڏنل آهن. Cilium ڊيٽا کي فلٽر ڪرڻ، مانيٽر ڪرڻ، ريڊائريڪٽ ڪرڻ ۽ درست ڪرڻ لاءِ BPF (Berkeley Packet Filter) نالي هڪ نئين لينڪس ڪنيل ٽيڪنالاجي استعمال ڪري ٿو.
Cilium نيٽ ورڪ رسائي پاليسين کي ترتيب ڏيڻ جي قابل آهي ڪنٽينر IDs جي بنياد تي Docker يا Kubernetes ليبلز ۽ ميٽا ڊيٽا استعمال ڪندي. Cilium پڻ سمجهي ٿو ۽ فلٽر ڪري ٿو مختلف پرت 7 پروٽوڪول جهڙوڪ HTTP يا gRPC، توهان کي REST ڪالن جي هڪ سيٽ جي وضاحت ڪرڻ جي اجازت ڏئي ٿي جيڪا اجازت ڏني ويندي ٻن ڪبرنيٽس جي وچ ۾، مثال طور.
Istio وڏي پيماني تي هڪ پليٽ فارم-آزاد ڪنٽرول جهاز کي ترتيب ڏيڻ ۽ متحرڪ طور تي ترتيب ڏيڻ واري Envoy proxies ذريعي سڀني منظم سروس ٽرئفڪ کي روٽ ڪندي سروس ميش پيراڊم کي لاڳو ڪرڻ لاءِ مشهور آهي. Istio مختلف نيٽ ورڪ سيڪيورٽي حڪمت عملي کي لاڳو ڪرڻ لاء سڀني مائڪرو سروسز ۽ ڪنٽينرز جي هن ترقي يافته نظر جو فائدو وٺندو آهي.
Istio جي نيٽ ورڪ سيڪيورٽي صلاحيتن ۾ شامل آهي شفاف TLS انڪريپشن کي خودڪار طور تي مائڪرو سروسز جي وچ ۾ رابطي کي HTTPS ڏانهن اپ گريڊ ڪرڻ، ۽ هڪ مالڪي RBAC سڃاڻپ ۽ اختيار ڏيڻ وارو نظام ڪلستر ۾ مختلف ڪم لوڊ جي وچ ۾ رابطي کي اجازت ڏيڻ / انڪار ڪرڻ لاء.
نوٽ. ترجمو: Istio جي سيڪيورٽي-مرڪوز صلاحيتن جي باري ۾ وڌيڪ سکڻ لاء، پڙهو اهو مضمون.
Trireme-Kubernetes Kubernetes نيٽورڪ پاليسين جي وضاحتن جو هڪ سادو ۽ سڌو عمل آهي. سڀ کان وڌيڪ قابل ذڪر خصوصيت اها آهي ته - ساڳي طرح Kubernetes نيٽ ورڪ سيڪيورٽي پروڊڪٽس جي برعڪس - ان کي ميش کي همٿائڻ لاءِ مرڪزي ڪنٽرول جهاز جي ضرورت ناهي. اهو حل ٿورڙي طور تي اسپيبلبل بڻائي ٿو. Trireme ۾، اهو هر نوڊ تي هڪ ايجنٽ کي نصب ڪندي حاصل ڪيو ويندو آهي جيڪو سڌو سنئون ميزبان جي TCP / IP اسٽيڪ سان ڳنڍيندو آهي.
Grafeas سافٽ ويئر سپلائي چين جي آڊيٽنگ ۽ انتظام لاءِ هڪ اوپن سورس API آهي. بنيادي سطح تي، گرافياس ميٽاداٽا ۽ آڊٽ جي نتيجن کي گڏ ڪرڻ لاءِ هڪ اوزار آهي. اهو هڪ تنظيم جي اندر سيڪيورٽي بهترين عملن جي تعميل کي ٽريڪ ڪرڻ لاء استعمال ڪري سگهجي ٿو.
سچ جو هي مرڪزي ذريعو سوالن جا جواب ڏيڻ ۾ مدد ڪري ٿو جهڙوڪ:
In-toto هڪ فريم ورڪ آهي جيڪو مڪمل سافٽ ويئر سپلائي چين جي سالميت، تصديق ۽ آڊيٽنگ مهيا ڪرڻ لاءِ ٺهيل آهي. جڏهن انفراسٽرڪچر ۾ ان-ٽوٽو کي ترتيب ڏيڻ، هڪ منصوبو پهريون ڀيرو بيان ڪيو ويو آهي جيڪو پائپ لائن ۾ مختلف مرحلن کي بيان ڪري ٿو (مخزن، CI/CD اوزار، QA اوزار، آرٽيڪل ڪليڪٽر، وغيره) ۽ استعمال ڪندڙ (ذميوار ماڻهو) جن کي اجازت ڏني وئي آهي. ان کي شروع ڪريو.
In-toto منصوبي جي عمل جي نگراني ڪري ٿو، تصديق ڪري ٿو ته زنجير ۾ هر ڪم صحيح طور تي صرف بااختيار اهلڪارن طرفان انجام ڏنو ويو آهي ۽ اهو ته حرڪت دوران پيداوار سان ڪا به غير مجاز ڦيرڦار نه ڪئي وئي آهي.
Vault خانگي معلومات کي محفوظ ڪرڻ لاءِ هڪ محفوظ حل آهي: پاسورڊ، OAuth ٽوڪن، PKI سرٽيفڪيٽ، رسائي اڪائونٽس، Kubernetes راز، وغيره. Vault ڪيترن ئي ترقي يافته خاصيتن کي سپورٽ ڪري ٿو، جهڙوڪ عارضي سيڪيورٽي ٽوڪن کي ليز ڏيڻ يا اهم گردش کي منظم ڪرڻ.
هيلم چارٽ استعمال ڪندي، والٽ کي ڪبرنيٽس ڪلستر ۾ نئين ڊيپلائيمينٽ طور مقرر ڪري سگھجي ٿو قونصل سان گڏ بيڪ اينڊ اسٽوريج طور. اهو مقامي ڪبرنيٽس وسيلن کي سپورٽ ڪري ٿو جهڙوڪ ServiceAccount ٽوڪن ۽ ڪبرنيٽس رازن لاءِ ڊفالٽ اسٽور طور ڪم ڪري سگھي ٿو.
نوٽ. ترجمو: رستي ۾، صرف ڪالهه ڪمپني HashiCorp، جيڪا Vault ٺاهي ٿي، Kubernetes ۾ Vault استعمال ڪرڻ لاء ڪجهه سڌارن جو اعلان ڪيو، ۽ خاص طور تي اهي هيلم چارٽ سان لاڳاپيل آهن. وڌيڪ پڙهو ۾ بلاگ ترتيب ڏيڻ.
ڪوبي بينچ هڪ گو ايپليڪيشن آهي جيڪا چيڪ ڪري ٿي ته ڇا ڪبرنيٽس لسٽ مان ٽيسٽ هلائڻ سان محفوظ طور تي ترتيب ڏنل آهي CIS ڪبرنيٽس بينچ مارڪ.
ڪوبي بينچ ڪلسٽر اجزاء (etcd، API، ڪنٽرولر مئنيجر، وغيره) جي وچ ۾ غير محفوظ ترتيب واري سيٽنگون ڳولي ٿو، قابل اعتراض فائل رسائي جا حق، غير محفوظ اڪائونٽس يا کليل بندرگاهن، وسيلن جي ڪوٽا، DoS حملن کان بچائڻ لاءِ API ڪالن جي تعداد کي محدود ڪرڻ لاءِ سيٽنگون وغيره
Kube-Hunter ڪبرنيٽس ڪلسٽرز ۾ امڪاني نقصانن (جهڙوڪ ريموٽ ڪوڊ جي عمل يا ڊيٽا جي ظاهر ڪرڻ) جو شڪار ڪري ٿو. Kube-Hunter کي ريموٽ اسڪينر طور هلائي سگھجي ٿو - ان صورت ۾ اھو ڪلستر جو جائزو وٺندو ھڪڙي ٽئين پارٽي حملي آور جي نقطي نظر کان - يا ڪلستر جي اندر ھڪڙي پوڊ جي طور تي.
Kube-Hunter جي هڪ خاص خصوصيت ان جو ”فعال شڪار“ موڊ آهي، جنهن دوران اهو نه رڳو مسئلن جي رپورٽ ڪري ٿو، پر ٽارگيٽ ڪلسٽر ۾ دريافت ڪيل ڪمزورين جو به فائدو وٺڻ جي ڪوشش ڪري ٿو، جيڪا ان جي آپريشن کي ممڪن طور تي نقصان پهچائي سگهي ٿي. تنهنڪري احتياط سان استعمال ڪريو!
Kubeaudit هڪ ڪنسول اوزار آهي اصل ۾ Shopify تي ترقي ڪئي وئي آهي مختلف سيڪيورٽي مسئلن لاءِ ڪبرنيٽس جي ترتيب جي آڊٽ ڪرڻ لاءِ. مثال طور، اهو ڪنٽينرز کي سڃاڻڻ ۾ مدد ڪري ٿو جيڪو غير پابنديون هلائي رهيو آهي، روٽ طور هلڻ، استحقاق کي غلط استعمال ڪرڻ، يا ڊفالٽ ServiceAccount استعمال ڪندي.
Kubeaudit ٻيا دلچسپ خاصيتون آهن. مثال طور، اهو مقامي YAML فائلن جو تجزيو ڪري سگھي ٿو، تشڪيل جي نقصن کي سڃاڻي سگھي ٿو جيڪي حفاظتي مسئلا پيدا ڪري سگھن ٿيون، ۽ پاڻمرادو انھن کي درست ڪري سگھن ٿيون.
Kubesec ھڪڙو خاص اوزار آھي جنھن ۾ اھو سڌو سنئون YAML فائلن کي اسڪين ڪري ٿو جيڪو بيان ڪري ٿو Kubernetes وسيلن، ڪمزور پيٽرولر کي ڳولي رھيا آھن جيڪي سيڪيورٽي کي متاثر ڪري سگھن ٿا.
مثال طور، اهو هڪ پوڊ کي ڏنل اضافي استحقاق ۽ اجازتن جو پتو لڳائي سگھي ٿو، روٽ سان ڪنٽينر کي ڊفالٽ صارف جي طور تي هلائڻ، ميزبان جي نيٽ ورڪ جي نالي جي جڳهه سان ڳنڍڻ، يا خطرناڪ مائونٽ جهڙوڪ /proc ميزبان يا Docker ساکٽ. Kubesec جي هڪ ٻي دلچسپ خصوصيت آهي ڊيمو سروس آن لائن دستياب آهي، جنهن ۾ توهان YAML اپلوڊ ڪري سگهو ٿا ۽ فوري طور تي ان جو تجزيو ڪيو.
OPA (اوپن پاليسي ايجنٽ) جو تصور سيڪيورٽي پاليسين ۽ سيڪيورٽي بهترين عملن کي هڪ مخصوص رن ٽائم پليٽ فارم تان ڊيڪول ڪرڻ آهي: ڊڪر، ڪبرنيٽس، ميسوسفيئر، اوپن شفٽ، يا ان جو ڪو ميلاپ.
مثال طور، توهان OPA کي ڪبرنيٽس ايڊميشن ڪنٽرولر لاءِ پسمنظر جي طور تي ترتيب ڏئي سگهو ٿا، ان کي سيڪيورٽي فيصلا سونپڻ. هن طريقي سان، OPA ايجنٽ پرواز تي درخواستن جي تصديق، رد، ۽ حتي ترميم ڪري سگهي ٿو، انهي کي يقيني بڻائڻ ته مخصوص حفاظتي معيارن سان ملاقات ڪئي وئي آهي. OPA جي سيڪيورٽي پاليسيون ان جي ملڪيت واري DSL ٻولي، ريگو ۾ لکيل آهن.
اسان تجارتي پليٽ فارمن لاءِ الڳ ڪيٽيگري ٺاهڻ جو فيصلو ڪيو ڇاڪاڻ ته اهي عام طور تي ڪيترن ئي حفاظتي علائقن کي ڍڪيندا آهن. انهن جي صلاحيتن جو هڪ عام خيال ٽيبل مان حاصل ڪري سگهجي ٿو:
تصويري اسڪيننگ هڪ ڪنٽينر رجسٽري يا CI/CD پائپ لائن سان ضم ٿي؛
ڪنٽينرز ۽ ٻين مشڪوڪ سرگرمي ۾ تبديلين جي ڳولا سان رن ٽائم تحفظ؛
ڪنٽينر-آبائي فائر وال؛
ڪلائوڊ سروسز ۾ بي سرور لاءِ سيڪيورٽي؛
تعميل جي جاچ ۽ آڊيٽنگ ايونٽ لاگنگ سان گڏ.
نوٽ. ترجمو: اهو پڻ قابل ذڪر آهي ته موجود آهن پراڊڪٽ جو آزاد حصو سڏيو ويندو آهي مائڪرو اسڪينر، جيڪو توهان کي خطرن لاءِ ڪنٽينر تصويرون اسڪين ڪرڻ جي اجازت ڏئي ٿو. ادا ڪيل ورزن سان ان جي صلاحيتن جو هڪ مقابلو پيش ڪيو ويو آهي هن ٽيبل.
ڪيپسول 8 مقامي يا ڪلائوڊ ڪبرنيٽس ڪلستر تي ڊيڪٽر کي نصب ڪندي انفراسٽرڪچر ۾ ضم ٿي. هي ڊيڪٽر ميزبان ۽ نيٽ ورڪ ٽيليميٽري گڏ ڪري ٿو، ان کي مختلف قسم جي حملن سان لاڳاپو رکي ٿو.
ڪئپسول 8 ٽيم پنهنجي ڪم کي نئين استعمال ڪندي حملن جي ابتدائي ڳولڻ ۽ روڪڻ جي طور تي ڏسي ٿي (0-ڏينهن) ڪمزوريون. ڪئپسول 8 ڊائون لوڊ ڪري سگھن ٿا تازه ڪاري حفاظتي ضابطا سڌي طرح ڊيڪٽرن کي نئين دريافت ٿيل خطرن ۽ سافٽ ويئر جي ڪمزورين جي جواب ۾.
Cavirin حفاظتي معيارن ۾ شامل مختلف ايجنسين لاءِ ڪمپني جي پاسي واري ٺيڪيدار طور ڪم ڪري ٿو. نه رڳو اهو تصويرون اسڪين ڪري سگهي ٿو، پر اهو پڻ CI/CD پائپ لائن ۾ ضم ٿي سگهي ٿو، غير معياري تصويرن کي بلاڪ ڪرڻ کان اڳ اهي بند ٿيل ذخيرو ۾ داخل ٿيڻ کان اڳ.
Cavirin جو سيڪيورٽي سوٽ توهان جي سائبر سيڪيورٽي پوزيشن جو جائزو وٺڻ لاءِ مشين لرننگ استعمال ڪري ٿو، سيڪيورٽي کي بهتر بڻائڻ ۽ سيڪيورٽي معيارن جي تعميل کي بهتر بڻائڻ لاءِ تجويزون پيش ڪري ٿو.
پرت واري بصيرت (هاڻي Qualys Inc جو حصو) ”ايمبيڊڊ سيڪيورٽي“ جي تصور تي ٺهيل آهي. شمارياتي تجزيي ۽ CVE چيڪن کي استعمال ڪندي ڪمزورين لاءِ اصل تصوير کي اسڪين ڪرڻ کان پوءِ، پرت واري بصيرت ان کي هڪ اوزار واري تصوير سان تبديل ڪري ٿي جنهن ۾ ايجنٽ بائنري طور شامل آهي.
هي ايجنٽ رن ٽائم سيڪيورٽي ٽيسٽ تي مشتمل آهي ڪنٽينر نيٽ ورڪ ٽرئفڪ، I/O وهڪري ۽ ايپليڪيشن سرگرمي جو تجزيو ڪرڻ لاءِ. ان کان علاوه، اهو اضافي حفاظتي چيڪن کي انجام ڏئي سگھي ٿو جيڪو بيان ڪيل انفراسٽرڪچر ايڊمنسٽريٽر يا DevOps ٽيمن طرفان.
ڪنٽينرز جي اچڻ کان اڳ، Tenable وڏي پيماني تي صنعت ۾ Nessus جي پويان ڪمپني طور سڃاتو ويندو هو، هڪ مشهور خطرناڪ شڪار ۽ سيڪيورٽي آڊيٽنگ اوزار.
ٽينبل ڪنٽينر سيڪيورٽي ڪمپني جي ڪمپيوٽر سيڪيورٽي ماهر کي استعمال ڪري ٿي CI/CD پائيپ لائين کي ضم ڪرڻ لاءِ ڪمزور ڊيٽابيسس، خاص مالويئر ڳولڻ واري پيڪيجز، ۽ حفاظتي خطرن کي حل ڪرڻ لاءِ سفارشون.
ڪبرنيٽس سيڪيورٽي اوزار جي بهترين فهرست ٺاهڻ ۾ مدد ڪريو!
اسان ڪوشش ڪريون ٿا ته هن فهرست کي مڪمل طور تي ممڪن بڻائي سگهون، ۽ ان لاء اسان کي توهان جي مدد جي ضرورت آهي! اسان سان رابطو ڪريو (@sysdig) جيڪڏهن توهان جي ذهن ۾ هڪ بهترين اوزار آهي جيڪو هن لسٽ ۾ شامل ڪرڻ جي لائق آهي، يا توهان کي هڪ غلطي / پراڻي معلومات ملي ٿي.
توهان پڻ اسان جي رڪنيت حاصل ڪري سگهو ٿا مهيني نيوز ليٽر بادل جي مقامي ماحولياتي نظام جي خبرن سان ۽ ڪبرنيٽس سيڪيورٽي جي دنيا کان دلچسپ منصوبن بابت ڪهاڻيون.