33+ Kubernetes ආරක්ෂක මෙවලම්

සටහන. පරිවර්තනය.: ඔබ Kubernetes පදනම් වූ යටිතල පහසුකම්වල ආරක්ෂාව ගැන කල්පනා කරන්නේ නම්, Sysdig වෙතින් මෙම විශිෂ්ට දළ විශ්ලේෂණය වත්මන් විසඳුම් පිළිබඳ ඉක්මන් බැල්මක් සඳහා විශිෂ්ට ආරම්භක ලක්ෂ්‍යයකි. එයට සුප්‍රසිද්ධ වෙළඳපල ක්‍රීඩකයින්ගේ සංකීර්ණ පද්ධති සහ විශේෂිත ගැටළුවක් විසඳන වඩාත් නිහතමානී උපයෝගිතා දෙකම ඇතුළත් වේ. අදහස් දැක්වීමේදී, සෑම විටම මෙන්, මෙම මෙවලම් භාවිතයෙන් ඔබේ අත්දැකීම් ගැන ඇසීමට සහ වෙනත් ව්‍යාපෘති වෙත සබැඳි බැලීමට අපි සතුටු වන්නෙමු.

Kubernetes ආරක්ෂක මෘදුකාංග නිෂ්පාදන... ඒවායින් බොහොමයක් තිබේ, ඒ සෑම එකක්ම තමන්ගේම ඉලක්ක, විෂය පථය සහ බලපත්‍ර ඇත.

අපි මෙම ලැයිස්තුව නිර්මාණය කිරීමට සහ විවිධ වෙළෙන්දන්ගෙන් විවෘත මූලාශ්‍ර ව්‍යාපෘති සහ වාණිජ වේදිකා යන දෙකම ඇතුළත් කිරීමට තීරණය කළේ එබැවිනි. ඔබගේ විශේෂිත Kubernetes ආරක්ෂක අවශ්‍යතා මත පදනම්ව ඔබට වඩාත් උනන්දුවක් දක්වන ඒවා හඳුනාගෙන නිවැරදි දිශාවට යොමු කිරීමට එය ඔබට උපකාර කරනු ඇතැයි අපි බලාපොරොත්තු වෙමු.

ප්රවර්ග

ලැයිස්තුවේ සැරිසැරීමට පහසු කිරීම සඳහා, මෙවලම් ප්රධාන කාර්යය සහ යෙදුම අනුව සංවිධානය කර ඇත. පහත සඳහන් කොටස් ලබා ගන්නා ලදී:

• Kubernetes රූප පරිලෝකනය සහ ස්ථිතික විශ්ලේෂණය;
• ධාවන කාල ආරක්ෂාව;
• Kubernetes ජාල ආරක්ෂාව;
• රූප බෙදා හැරීම සහ රහස් කළමනාකරණය;
• Kubernetes ආරක්ෂක විගණනය;
• විස්තීර්ණ වාණිජ නිෂ්පාදන.

අපි ව්යාපාරයට බහිමු:

Kubernetes පින්තූර ස්කෑන් කිරීම

නැංගුරම

• වෙබ් අඩවිය: anchore.com
• බලපත්‍රය: නොමිලේ (Apache) සහ වාණිජ දීමනාව

ඇන්කර් බහාලුම් රූප විශ්ලේෂණය කරන අතර පරිශීලක-නිර්වචනය කළ ප්‍රතිපත්ති මත පදනම්ව ආරක්ෂක පරීක්ෂා කිරීමට ඉඩ දෙයි.

CVE දත්ත ගබඩාවෙන් දන්නා දුර්වලතා සඳහා බහාලුම් රූප සාමාන්‍ය පරිලෝකනය කිරීමට අමතරව, ඇන්කර් එහි ස්කෑනිං ප්‍රතිපත්තියේ කොටසක් ලෙස බොහෝ අමතර චෙක්පත් සිදු කරයි: ඩොකර්ෆයිල්, අක්තපත්‍ර කාන්දුවීම්, භාවිතා කරන ක්‍රමලේඛන භාෂා පැකේජ (npm, maven, ආදිය පරීක්ෂා කරයි. .), මෘදුකාංග බලපත්‍ර සහ තවත් බොහෝ දේ .

ක්ලෙයාර්

• වෙබ් අඩවිය: coreos.com/clair (දැන් Red Hat යටතේ)
• බලපත්‍රය: නොමිලේ (Apache)

ක්ලෙයාර් යනු රූප පරිලෝකනය සඳහා වූ පළමු විවෘත මූලාශ්‍ර ව්‍යාපෘතිවලින් එකකි. එය Quay image registry පිටුපස ආරක්ෂක ස්කෑනරය ලෙස පුළුල් ලෙස හැඳින්වේ (CoreOS වෙතින්ද - ආසන්න වශයෙන් පරිවර්තනය). Clair умеет собирать информацию о CVE из большого числа источников, включая списки специфических для Linux-дистрибутивов уязвимостей, которые ведут команды по безопасности Debian, Red Hat හෝ Ubuntu.

ඇන්කර් මෙන් නොව, ක්ලෙයාර් මූලික වශයෙන් අවධානම් සොයා ගැනීම සහ CVEs වෙත දත්ත ගැලපීම කෙරෙහි අවධානය යොමු කරයි. කෙසේ වෙතත්, නිෂ්පාදනය මඟින් පරිශීලකයින්ට ප්ලග්-ඉන් ධාවක භාවිතයෙන් කාර්යයන් පුළුල් කිරීමට අවස්ථා කිහිපයක් ලබා දේ.

දග්ඩා

• වෙබ් අඩවිය: github.com/eliasgranderubio/dagda
• බලපත්‍රය: නොමිලේ (Apache)

Dagda දන්නා දුර්වලතා, ට්‍රෝජන්, වෛරස්, අනිෂ්ට මෘදුකාංග සහ වෙනත් තර්ජන සඳහා බහාලුම් රූපවල ස්ථිතික විශ්ලේෂණය සිදු කරයි.

කැපී පෙනෙන ලක්ෂණ දෙකක් Dagda වෙනත් සමාන මෙවලම් වලින් වෙන්කර හඳුනා ගනී:

• එය සමඟ පරිපූර්ණව ඒකාබද්ධ වේ ClamAV, බහාලුම් රූප පරිලෝකනය කිරීමේ මෙවලමක් ලෙස පමණක් නොව, ප්රතිවයිරසයක් ලෙසද ක්රියා කරයි.
• ඩොකර් ඩීමන් වෙතින් තත්‍ය කාලීන සිදුවීම් ලබා ගැනීමෙන් සහ ෆැල්කෝ සමඟ ඒකාබද්ධ වීමෙන් ධාවන කාල ආරක්ෂාව ද සපයයි. (පහත බලන්න) කන්ටේනරය ධාවනය වන අතරතුර ආරක්ෂක සිදුවීම් එකතු කිරීමට.

KubeXray

• වෙබ් අඩවිය: github.com/jfrog/kubexray
• බලපත්‍රය: නොමිලේ (Apache), නමුත් JFrog Xray වෙතින් දත්ත අවශ්‍ය වේ (වාණිජ්‍ය නිෂ්පාදනය)

KubeXray Kubernetes API සේවාදායකයෙන් සිදුවීම්වලට සවන් දෙන අතර වත්මන් ප්‍රතිපත්තියට ගැළපෙන පොඩ්ස් පමණක් දියත් කිරීම සහතික කිරීමට JFrog Xray වෙතින් පාර-දත්ත භාවිත කරයි.

KubeXray නව හෝ යාවත්කාලීන කළ බහාලුම් විගණනය කරනවා පමණක් නොව (Kubernetes හි ඇතුළත් කිරීමේ පාලකය හා සමානයි), නමුත් නව ආරක්ෂක ප්‍රතිපත්තිවලට අනුකූල වීම සඳහා ධාවනය වන බහාලුම් ගතිකව පරීක්ෂා කරයි, අවදානමට ලක්විය හැකි පින්තූර යොමු කරන සම්පත් ඉවත් කරයි.

ස්නික්

• වෙබ් අඩවිය: snyk.io
• බලපත්‍රය: නොමිලේ (Apache) සහ වාණිජ අනුවාද

Snyk යනු අසාමාන්‍ය අවදානම් ස්කෑනරයක් වන අතර එය විශේෂයෙන් සංවර්ධන ක්‍රියාවලිය ඉලක්ක කරන අතර සංවර්ධකයින් සඳහා "අත්‍යවශ්‍ය විසඳුමක්" ලෙස ප්‍රවර්ධනය කෙරේ.

Snyk සෘජුවම කේත ගබඩාවලට සම්බන්ධ කරයි, ව්‍යාපෘති මැනිෆෙස්ටය විග්‍රහ කරයි සහ සෘජු සහ වක්‍ර පරායත්තතා සමඟින් ආනයනික කේතය විශ්ලේෂණය කරයි. Snyk බොහෝ ජනප්‍රිය ක්‍රමලේඛන භාෂා සඳහා සහය දක්වන අතර සැඟවුණු බලපත්‍ර අවදානම් හඳුනා ගත හැකිය.

ට්රයිවි

• වෙබ් අඩවිය: github.com/knqyf263/trivy
• බලපත්‍රය: නොමිලේ (AGPL)

Trivy යනු CI/CD නල මාර්ගයකට පහසුවෙන් ඒකාබද්ධ වන බහාලුම් සඳහා සරල නමුත් බලවත් අවදානම් ස්කෑනරයකි. එහි කැපී පෙනෙන ලක්ෂණය වන්නේ එහි ස්ථාපනය සහ ක්‍රියාකාරිත්වයේ පහසුවයි: යෙදුම තනි ද්විමයයකින් සමන්විත වන අතර දත්ත සමුදායක් හෝ අතිරේක පුස්තකාලයක් ස්ථාපනය කිරීම අවශ්‍ය නොවේ.

Trivy හි සරලත්වයේ අවාසිය නම්, JSON ආකෘතියෙන් ප්‍රතිඵල විග්‍රහ කරන්නේ කෙසේද සහ අනෙකුත් Kubernetes ආරක්ෂක මෙවලම්වලට ඒවා භාවිත කළ හැකි වන පරිදි ඒවා යොමු කරන්නේ කෙසේදැයි ඔබ සොයා බැලිය යුතුය.

Kubernetes හි ධාවන කාල ආරක්ෂාව

ෆැල්කෝ

• වෙබ් අඩවිය: falco.org
• බලපත්‍රය: නොමිලේ (Apache)

Falco යනු වලාකුළු ධාවන කාල පරිසරයන් සුරක්ෂිත කිරීම සඳහා වූ මෙවලම් සමූහයකි. ව්යාපෘති පවුලේ කොටසක් සීඑන්සීඑෆ්.

Используя инструментарий Sysdig для работы на уровне ядра Linux и профилирование системных вызовов, Falco позволяет глубоко погрузиться в поведение системы. Его механизм runtime-правил способен обнаруживать подозрительную активность в приложениях, контейнерах, базовом хосте и оркестраторе Kubernetes.

Falco මෙම අරමුණු සඳහා Kubernetes නෝඩ් මත විශේෂ නියෝජිතයන් යෙදවීමෙන් ධාවන කාලය සහ තර්ජන හඳුනාගැනීමේ සම්පූර්ණ විනිවිදභාවය සපයයි. එහි ප්‍රතිඵලයක් වශයෙන්, බහාලුම්වලට තෙවන පාර්ශවීය කේතයක් හඳුන්වා දීමෙන් හෝ පැති කාර් බහාලුම් එකතු කිරීමෙන් ඒවා වෙනස් කිරීමට අවශ්‍ය නොවේ.

Фреймворки безопасности Linux для runtime

Эти родные для ядра Linux фреймворки не являются «инструментами безопасности Kubernetes» в привычном смысле, однако заслуживают упоминания, поскольку выступают важным элементом в контексте безопасности в runtime, что включается в Kubernetes Pod Security Policy (PSP).

ඇප්ආර්මර් කන්ටේනරය තුළ ක්‍රියාත්මක වන ක්‍රියාවලීන්, ගොනු පද්ධති වරප්‍රසාද නිර්වචනය කිරීම, ජාල ප්‍රවේශ නීති, පුස්තකාල සම්බන්ධ කිරීම යනාදිය සඳහා ආරක්ෂක පැතිකඩක් අමුණයි. මෙය අනිවාර්ය ප්‍රවේශ පාලනය (MAC) මත පදනම් වූ පද්ධතියකි. වෙනත් වචන වලින් කිවහොත්, එය තහනම් ක්‍රියාවන් සිදු කිරීමෙන් වළක්වයි.

ආරක්ෂාව වැඩි දියුණු කළ Linux (SELinux) — это модуль расширенной безопасности в ядре Linux, в некоторых аспектах похожий на AppArmor и часто сравниваемый с ним. SELinux превосходит AppArmor по мощности, гибкости и тонкости настроек. Его недостатки — длительное освоение и повышенная сложность.

Seccomp සහ seccomp-bpf මඟින් පද්ධති ඇමතුම් පෙරීමට, මූලික OS සඳහා අනතුරුදායක විය හැකි ඒවා ක්‍රියාත්මක කිරීම අවහිර කිරීමට සහ පරිශීලක යෙදුම්වල සාමාන්‍ය ක්‍රියාකාරිත්වය සඳහා අවශ්‍ය නොවන ඒවා කිරීමට ඔබට ඉඩ සලසයි. Seccomp යනු බහාලුම්වල විශේෂතා නොදන්නා නමුත් සමහර ආකාරවලින් Falco වලට සමාන වේ.

Sysdig විවෘත මූලාශ්‍රය

• වෙබ් අඩවිය: www.sysdig.com/opensource
• බලපත්‍රය: නොමිලේ (Apache)

Sysdig — полноценный инструмент для анализа, диагностики и отладки Linux-систем (также работает на Windows и macOS, но с ограниченными функциями). Его можно использовать для сбора детальной информации, проверки и криминальной экспертизы (අධිවිද්‍යාව) මූලික පද්ධතිය සහ එය මත ධාවනය වන ඕනෑම බහාලුම්.

Sysdig එය එකතු කරන සියලුම පද්ධති හැසිරීම් තොරතුරු සඳහා අමතර මානයන් සහ ලේබල් එකතු කරමින් බහාලුම් ධාවන කාල සහ Kubernetes පාරදත්ත දේශීයව සහාය දක්වයි. Sysdig භාවිතයෙන් Kubernetes පොකුරක් විශ්ලේෂණය කිරීමට ක්‍රම කිහිපයක් තිබේ: ඔබට කාලය තුළ ග්‍රහණය කර ගත හැක kubectl අල්ලා ගැනීම හෝ ප්ලගිනයක් භාවිතයෙන් ncurses මත පදනම් වූ අන්තර්ක්‍රියාකාරී අතුරු මුහුණතක් දියත් කරන්න kubectl dig.

Kubernetes ජාල ආරක්ෂාව

අපෝරෙටෝ

• වෙබ් අඩවිය: www.aporeto.com
• බලපත්රය: වාණිජ

Aporeto "ජාලය සහ යටිතල පහසුකම් වලින් වෙන් වූ ආරක්ෂාව" ඉදිරිපත් කරයි. මෙයින් අදහස් කරන්නේ Kubernetes සේවාවන්ට දේශීය හැඳුනුම්පතක් (එනම් Kubernetes හි සේවා ගිණුම) පමණක් නොව, වෙනත් ඕනෑම සේවාවක් සමඟ ආරක්ෂිතව සහ අන්‍යෝන්‍ය වශයෙන් සන්නිවේදනය කිරීමට භාවිතා කළ හැකි විශ්වීය ID/ඇඟිලි සලකුණක් ද ලැබෙන බවයි, උදාහරණයක් ලෙස OpenShift පොකුරක් තුළ.

Aporeto Kubernetes/containers සඳහා පමණක් නොව, ධාරක, Cloud Functions සහ පරිශීලකයන් සඳහාද අනන්‍ය ID ජනනය කිරීමේ හැකියාව ඇත. මෙම හඳුනාගැනීම් සහ පරිපාලක විසින් සකසන ලද ජාල ආරක්ෂණ නීති මාලාව මත පදනම්ව, සන්නිවේදනයට ඉඩ දෙනු ලැබේ හෝ අවහිර කරනු ලැබේ.

කැලිකෝ

• වෙබ් අඩවිය: www.projectcalico.org
• බලපත්‍රය: නොමිලේ (Apache)

Calico සාමාන්‍යයෙන් බහාලුම් වාද්‍ය වෘන්ද ස්ථාපනයකදී යොදවනු ලැබේ, බහාලුම් අන්තර් සම්බන්ධිත අථත්‍ය ජාලයක් නිර්මාණය කිරීමට ඔබට ඉඩ සලසයි. මෙම මූලික ජාල ක්‍රියාකාරීත්වයට අමතරව, Calico ව්‍යාපෘතිය Kubernetes Network Policies සහ එහිම ජාල ආරක්ෂණ පැතිකඩ සමඟ ක්‍රියා කරයි, අන්ත ලක්ෂ්‍ය ACL (ප්‍රවේශ පාලන ලැයිස්තු) සහ Ingress සහ Egress ගමනාගමනය සඳහා විවරණ මත පදනම් වූ ජාල ආරක්ෂණ නීති සඳහා සහය දක්වයි.

සිලියම්

• වෙබ් අඩවිය: www.cilium.io
• බලපත්‍රය: නොමිලේ (Apache)

Cilium выступает в качестве брандмауэра для контейнеров и предоставляет функции по обеспечению сетевой безопасности, изначально адаптированные к Kubernetes и рабочим нагрузкам микросервисов. Cilium использует новую технологию ядра Linux под названием BPF (Berkeley Packet Filter) для фильтрации, мониторинга, перенаправления и корректировки данных.

Cilium හට Docker හෝ Kubernetes ලේබල සහ පාර-දත්ත භාවිතයෙන් බහාලුම් ID මත පදනම්ව ජාල ප්‍රවේශ ප්‍රතිපත්ති යෙදවීමට හැකියාව ඇත. Cilium ද HTTP හෝ gRPC වැනි විවිධ Layer 7 ප්‍රොටෝකෝල තේරුම් ගෙන පෙරහන් කරයි, උදාහරණයක් ලෙස Kubernetes යෙදවීම් දෙකක් අතර ඉඩ දෙන REST ඇමතුම් කට්ටලයක් නිර්වචනය කිරීමට ඔබට ඉඩ සලසයි.

ඉස්ටියෝ

• වෙබ් අඩවිය: istio.io
• බලපත්‍රය: නොමිලේ (Apache)

වේදිකා-ස්වාධීන පාලන තලයක් යෙදවීමෙන් සහ ගතිකව වින්‍යාසගත කළ හැකි එන්වෝයි ප්‍රොක්සි හරහා කළමනාකරණය කරන ලද සියලුම සේවා ගමනාගමනය මෙහෙයවීමෙන් සේවා දැල් ආදර්ශය ක්‍රියාත්මක කිරීම සඳහා ඉස්ටියෝ පුළුල් ලෙස ප්‍රසිද්ධය. විවිධ ජාල ආරක්ෂණ ක්‍රමෝපායන් ක්‍රියාවට නැංවීම සඳහා සියලුම ක්ෂුද්‍ර සේවා සහ බහාලුම්වල මෙම උසස් දර්ශනයෙන් ඉස්ටියෝ ප්‍රයෝජන ගනී.

Istio හි ජාල ආරක්ෂණ හැකියාවන් අතරට ක්ෂුද්‍ර සේවා අතර සන්නිවේදන ස්වයංක්‍රීයව HTTPS වෙත උත්ශ්‍රේණි කිරීම සඳහා විනිවිද පෙනෙන TLS සංකේතනය සහ පොකුරේ විවිධ වැඩ බර අතර සන්නිවේදනයට ඉඩ දීම/ප්‍රතික්ෂේප කිරීම සඳහා හිමිකාර RBAC හඳුනාගැනීමේ සහ අවසර පද්ධතියක් ඇතුළත් වේ.

සටහන. පරිවර්තනය.: Istio හි ආරක්‍ෂාව කේන්ද්‍ර කරගත් හැකියාවන් ගැන වැඩිදුර දැන ගැනීමට, කියවන්න මේ ලිපිය කියවන්න.

කොටියා

• වෙබ් අඩවිය: www.tigera.io
• බලපත්රය: වාණිජ

"Kubernetes Firewall" ලෙස හඳුන්වන මෙම විසඳුම ජාල ආරක්ෂාව සඳහා ශුන්‍ය විශ්වාසනීය ප්‍රවේශයක් අවධාරණය කරයි.

අනෙකුත් දේශීය Kubernetes ජාලකරණ විසඳුම් වලට සමානව, Tigera විසින් පොකුරේ ඇති විවිධ සේවා සහ වස්තූන් හඳුනා ගැනීමට පාරදත්ත මත රඳා පවතින අතර බහු-වලාකුළු හෝ දෙමුහුන් ඒකලිතික-බහාලුම් යටිතල පහසුකම් සඳහා ධාවන කාල ගැටළු හඳුනාගැනීම, අඛණ්ඩ අනුකූලතා පරීක්ෂා කිරීම සහ ජාල දෘශ්‍යතාව සපයයි.

ට්රයිරීම්

• වෙබ් අඩවිය: www.aporeto.com/opensource
• බලපත්‍රය: නොමිලේ (Apache)

Trireme-Kubernetes — это простая и понятная реализация спецификации Kubernetes Network Policies. Самой примечательной особенностью является то, что — в отличие от похожих продуктов для сетевой безопасности Kubernetes — оно не требует центральной control plane для координации сетки (mesh). Это делает решение тривиально масштабируемым. В Trireme это достигается путем установки агента на каждый узел, который напрямую подключается к TCP/IP-стеку хоста.

රූප ප්‍රචාරණය සහ රහස් කළමනාකරණය

ග්රැෆියාස්

• වෙබ් අඩවිය: grafeas.io
• බලපත්‍රය: නොමිලේ (Apache)

Grafeas යනු මෘදුකාංග සැපයුම් දාම විගණනය සහ කළමනාකරණය සඳහා විවෘත මූලාශ්‍ර API වේ. මූලික මට්ටමින්, Grafeas යනු පාරදත්ත සහ විගණන සොයාගැනීම් එකතු කිරීමේ මෙවලමකි. සංවිධානයක් තුළ ආරක්‍ෂිත හොඳම භාවිතයන් සමඟ අනුකූල වීම නිරීක්ෂණය කිරීමට එය භාවිත කළ හැක.

මෙම මධ්‍යගත සත්‍ය මූලාශ්‍රය වැනි ප්‍රශ්නවලට පිළිතුරු දීමට උපකාරී වේ:

• විශේෂිත බහාලුමක් සඳහා එකතු කර අත්සන් කළේ කවුද?
• එය ආරක්ෂක ප්‍රතිපත්තියට අවශ්‍ය සියලුම ආරක්ෂක ස්කෑන් සහ චෙක්පත් සමත් වී තිබේද? කවදා ද? ප්‍රතිඵල මොනවාද?
• එය නිෂ්පාදනයට යෙදවූයේ කවුද? යෙදවීමේදී භාවිතා කරන ලද විශේෂිත පරාමිතීන් මොනවාද?

ඉන්-ටෝටෝ

• වෙබ් අඩවිය: in-toto.github.io
• බලපත්‍රය: නොමිලේ (Apache)

In-toto යනු සමස්ත මෘදුකාංග සැපයුම් දාමයේ අඛණ්ඩතාව, සත්‍යාපනය සහ විගණනය සැපයීම සඳහා නිර්මාණය කර ඇති රාමුවකි. යටිතල ව්‍යුහයක් තුළ In-toto යෙදවීමේදී, නල මාර්ගයේ විවිධ පියවර (නිධිය, CI/CD මෙවලම්, QA මෙවලම්, කෞතුක වස්තු එකතු කරන්නන්, ආදිය) සහ අවසර දී ඇති පරිශීලකයින් (වගකිවයුතු පුද්ගලයින්) විස්තර කරන සැලැස්මක් පළමුව අර්ථ දක්වා ඇත. ඒවා ආරම්භ කරන්න.

In-toto සැලැස්ම ක්‍රියාත්මක කිරීම අධීක්ෂණය කරයි, දාමයේ සෑම කාර්යයක්ම නිසි ලෙස සිදු කරනු ලබන්නේ බලයලත් පුද්ගලයින් විසින් පමණක් බවත්, චලනය අතරතුර නිෂ්පාදිතය සමඟ අනවසර උපාමාරු කිසිවක් සිදු කර නොමැති බවත් තහවුරු කරයි.

පෝටේරිස්

• වෙබ් අඩවිය: github.com/IBM/portieris
• බලපත්‍රය: නොමිලේ (Apache)

Portieris යනු Kubernetes සඳහා ඇතුළත් කිරීමේ පාලකයෙකි; අන්තර්ගත විශ්වාස පරීක්ෂාවන් බලාත්මක කිරීමට භාවිතා කරයි. Portieris සේවාදායකයක් භාවිතා කරයි නොතාරිස් (අපි ඔහු ගැන අවසානයේ ලිව්වා මෙම ලිපිය - ආසන්න වශයෙන් පරිවර්තනය) විශ්වාසනීය සහ අත්සන් කළ පුරාවස්තු (එනම් අනුමත බහාලුම් පින්තූර) වලංගු කිරීමට සත්‍ය මූලාශ්‍රයක් ලෙස.

Kubernetes හි වැඩ බරක් නිර්මාණය කළ විට හෝ වෙනස් කළ විට, Portieris විසින් ඉල්ලා සිටින බහාලුම් රූප සඳහා අත්සන් කිරීමේ තොරතුරු සහ අන්තර්ගත භාර ප්‍රතිපත්තිය බාගත කරන අතර, අවශ්‍ය නම්, එම පින්තූරවල අත්සන් කළ අනුවාද ධාවනය කිරීමට JSON API වස්තුව වෙත පියාසර වෙනස්කම් සිදු කරයි.

සුරක්ෂිතාගාරය

• වෙබ් අඩවිය: www.vaultproject.io
• බලපත්‍රය: නොමිලේ (MPL)

වෝල්ට් යනු පුද්ගලික තොරතුරු ගබඩා කිරීම සඳහා ආරක්ෂිත විසඳුමකි: මුරපද, OAuth ටෝකන, PKI සහතික, ප්‍රවේශ ගිණුම්, Kubernetes රහස් යනාදිය. තාවකාලික ආරක්ෂක ටෝකන ලීසිං කිරීම හෝ යතුරු භ්‍රමණය සංවිධානය කිරීම වැනි බොහෝ උසස් විශේෂාංග සඳහා වෝල්ට් සහාය දක්වයි.

Helm ප්‍රස්ථාරය භාවිතා කරමින්, පසුපෙළ ආචයනය ලෙස කොන්සල් සමඟ Kubernetes පොකුරක නව යෙදවීමක් ලෙස Vault යෙදවිය හැක. එය ServiceAccount ටෝකන වැනි දේශීය Kubernetes සම්පත් සඳහා සහය දක්වන අතර Kubernetes රහස් සඳහා පෙරනිමි ගබඩාව ලෙස පවා ක්‍රියා කළ හැක.

සටහන. පරිවර්තනය.: මාර්ගය වන විට, ඊයේ දින වෝල්ට් සංවර්ධනය කරන සමාගම HashiCorp, Kubernetes හි Vault භාවිතා කිරීම සඳහා යම් වැඩිදියුණු කිරීම් ප්‍රකාශයට පත් කරන ලද අතර විශේෂයෙන් ඒවා Helm ප්‍රස්ථාරයට සම්බන්ධ වේ. තව කියවන්න බ්ලොග් අඩවිය.

Kubernetes ආරක්ෂක විගණනය

කුබේ-බෙන්ච්

• වෙබ් අඩවිය: github.com/aquasecurity/kube-bench
• බලපත්‍රය: නොමිලේ (Apache)

Kube-bench යනු ලැයිස්තුවකින් පරීක්ෂණ ධාවනය කිරීමෙන් Kubernetes ආරක්ෂිතව යොදවා තිබේද යන්න පරීක්ෂා කරන Go යෙදුමකි. CIS Kubernetes මිණුම් ලකුණ.

Kube-bench පොකුරු සංරචක (etcd, API, පාලක කළමනාකරු, ආදිය), සැක සහිත ගොනු ප්‍රවේශ හිමිකම්, අනාරක්ෂිත ගිණුම් හෝ විවෘත වරායන්, සම්පත් කෝටාවන්, DoS ප්‍රහාරවලින් ආරක්ෂා වීමට API ඇමතුම් ගණන සීමා කිරීමේ සැකසුම් අතර අනාරක්ෂිත වින්‍යාස සැකසුම් සොයයි. , ආදිය.

කුබේ-දඩයක්කාරයා

• වෙබ් අඩවිය: github.com/aquasecurity/kube-hunter
• බලපත්‍රය: නොමිලේ (Apache)

Kube-hunter Kubernetes පොකුරු තුළ ඇති විය හැකි අවදානම් (දුරස්ථ කේත ක්‍රියාත්මක කිරීම හෝ දත්ත අනාවරණය කිරීම වැනි) සඳහා දඩයම් කරයි. Kube-hunter දුරස්ථ ස්කෑනරයක් ලෙස ධාවනය කළ හැක - එවැනි අවස්ථාවක එය තෙවන පාර්ශවීය ප්‍රහාරකයෙකුගේ දෘෂ්ටිකෝණයෙන් පොකුර ඇගයීමට ලක් කරයි - නැතහොත් පොකුර තුළ ඇති පොඩ් එකක් ලෙස.

Kube-hunter හි සුවිශේෂී ලක්ෂණයක් වන්නේ එහි “ක්‍රියාකාරී දඩයම්” මාදිලිය වන අතර, එම කාලය තුළ එය ගැටළු වාර්තා කරනවා පමණක් නොව, එහි ක්‍රියාකාරිත්වයට හානි කළ හැකි ඉලක්ක පොකුර තුළ සොයාගත් අවදානම් වලින් ප්‍රයෝජන ගැනීමට උත්සාහ කරයි. එබැවින් ප්රවේශමෙන් භාවිතා කරන්න!

Kubeauudit

• වෙබ් අඩවිය: github.com/Shopify/kubeaudit
• බලපත්‍රය: නොමිලේ (MIT)

Kubeaudit යනු විවිධ ආරක්ෂක ගැටළු සඳහා Kubernetes වින්‍යාසය විගණනය කිරීම සඳහා මුලින් Shopify හි සංවර්ධනය කරන ලද කොන්සෝල මෙවලමකි. උදාහරණයක් ලෙස, එය අසීමිත ලෙස ධාවනය වන බහාලුම් හඳුනා ගැනීමට, root ලෙස ධාවනය කිරීම, වරප්‍රසාද අනිසි ලෙස භාවිතා කිරීම හෝ පෙරනිමි සේවා ගිණුම භාවිතා කිරීම හඳුනා ගැනීමට උදවු කරයි.

Kubeaudit හි තවත් රසවත් විශේෂාංග ඇත. උදාහරණයක් ලෙස, එය දේශීය YAML ගොනු විශ්ලේෂණය කිරීමට, ආරක්ෂක ගැටළු වලට තුඩු දිය හැකි වින්‍යාස දෝෂ හඳුනා ගැනීමට සහ ඒවා ස්වයංක්‍රීයව නිවැරදි කිරීමට හැකිය.

කුබෙසෙක්

• වෙබ් අඩවිය: kubesec.io
• බලපත්‍රය: නොමිලේ (Apache)

Kubesec යනු ආරක්ෂාවට බලපෑ හැකි දුර්වල පරාමිති සොයමින් Kubernetes සම්පත් විස්තර කරන YAML ගොනු සෘජුවම පරිලෝකනය කරන විශේෂ මෙවලමකි.

උදාහරණයක් ලෙස, එයට පොඩ් එකකට ලබා දී ඇති අධික වරප්‍රසාද සහ අවසර හඳුනා ගත හැක, පෙරනිමි පරිශීලකයා ලෙස root සහිත කන්ටේනරයක් ධාවනය කිරීම, ධාරකයේ ජාල නාම අවකාශයට සම්බන්ධ වීම, හෝ වැනි භයානක සවි කිරීම් /proc සත්කාරක හෝ ඩොකර් සොකට්. Kubesec හි තවත් රසවත් අංගයක් වන්නේ ඔබට YAML උඩුගත කර එය වහාම විශ්ලේෂණය කළ හැකි මාර්ගගත ආදර්ශන සේවාවයි.

විවෘත ප්‍රතිපත්ති නියෝජිතයා

• වෙබ් අඩවිය: www.openpolicyagent.org
• බලපත්‍රය: නොමිලේ (Apache)

OPA (Open Policy Agent) හි සංකල්පය වන්නේ විශේෂිත ධාවන කාල වේදිකාවකින් ආරක්‍ෂක ප්‍රතිපත්ති සහ ආරක්‍ෂිත හොඳම භාවිතයන් විසංයෝජනය කිරීමයි: Docker, Kubernetes, Mesosphere, OpenShift, හෝ එහි ඕනෑම සංයෝජනයක්.

උදාහරණයක් ලෙස, ඔබට Kubernetes ඇතුළත් කිරීමේ පාලකය සඳහා පසුබිමක් ලෙස OPA යෙදවිය හැක, එයට ආරක්ෂක තීරණ පවරයි. මේ ආකාරයෙන්, OPA නියෝජිතයාට පියාසර කරන විට ඉල්ලීම් වලංගු කිරීමට, ප්‍රතික්ෂේප කිරීමට සහ වෙනස් කිරීමට පවා හැකිය, නිශ්චිත ආරක්ෂක පරාමිතීන් සපුරා ඇති බව සහතික කරයි. OPA හි ආරක්ෂක ප්‍රතිපත්ති එහි හිමිකාර DSL භාෂාව වන Rego වලින් ලියා ඇත.

සටහන. පරිවර්තනය.: අපි OPA (සහ SPIFFE) ගැන වැඩි විස්තර ලිව්වා මේ දේවල්.

Kubernetes ආරක්ෂක විශ්ලේෂණය සඳහා විස්තීර්ණ වාණිජ මෙවලම්

වාණිජ වේදිකා සඳහා වෙනම කාණ්ඩයක් නිර්මාණය කිරීමට අපි තීරණය කළේ ඒවා සාමාන්‍යයෙන් බහු ආරක්ෂක අංශ ආවරණය වන බැවිනි. ඔවුන්ගේ හැකියාවන් පිළිබඳ පොදු අදහසක් වගුවෙන් ලබාගත හැකිය:

* උසස් පරීක්ෂණය සහ සම්පූර්ණ පශ්චාත් මරණ පරීක්ෂණය පද්ධති ඇමතුම පැහැර ගැනීම.

ඇක්වා ආරක්ෂාව

• වෙබ් අඩවිය: www.aquasec.com
• බලපත්රය: වාණිජ

මෙම වාණිජ මෙවලම බහාලුම් සහ වලාකුළු වැඩ බර සඳහා නිර්මාණය කර ඇත. එය සපයනවා:

• බහාලුම් රෙජිස්ට්‍රියක් හෝ CI/CD නල මාර්ගයක් සමඟ අනුකලිත රූප පරිලෝකනය;
• බහාලුම්වල වෙනස්කම් සහ වෙනත් සැක කටයුතු ක්‍රියාකාරකම් සෙවීම සමඟ ධාවන කාල ආරක්ෂාව;
• බහාලුම්-දේශීය ගිනි පවුර;
• වලාකුළු සේවාවන්හි සේවාදායක රහිත සඳහා ආරක්ෂාව;
• සිදුවීම් ලොග් කිරීම සමඟ ඒකාබද්ධව අනුකූලතා පරීක්ෂාව සහ විගණනය.

සටහන. පරිවර්තනය.: ඇති බව ද සඳහන් කිරීම වටී නිෂ්පාදනයේ නිදහස් සංරචකය ලෙස හැඳින්වේ මයික්‍රෝ ස්කෑනර්, එමඟින් ඔබට අවදානම් සඳහා බහාලුම් රූප පරිලෝකනය කිරීමට ඉඩ සලසයි. ගෙවන ලද අනුවාද සමඟ එහි හැකියාවන් සංසන්දනය කර ඇත මෙම වගුව.

කැප්සියුල8

• වෙබ් අඩවිය: capsule8.com
• බලපත්රය: වාණිජ

Capsule8 දේශීය හෝ වලාකුළු Kubernetes පොකුරක් මත අනාවරකය ස්ථාපනය කිරීමෙන් යටිතල පහසුකම් සමඟ ඒකාබද්ධ වේ. මෙම අනාවරකය විවිධ වර්ගයේ ප්‍රහාර සමඟ සහසම්බන්ධ කරමින් ධාරක සහ ජාල ටෙලිමෙට්‍රි එකතු කරයි.

Capsule8 කණ්ඩායම එහි කර්තව්‍යය දකින්නේ නව ප්‍රහාර කලින් හඳුනා ගැනීම සහ ප්‍රහාර වැළැක්වීමයි (දින-0) දුර්වලතා. Capsule8 හට අලුතින් සොයාගත් තර්ජන සහ මෘදුකාංග දුර්වලතා වලට ප්‍රතිචාර වශයෙන් යාවත්කාලීන ආරක්ෂක නීති සෘජුවම අනාවරක වෙත බාගත කළ හැක.

කැවිරින්

• වෙබ් අඩවිය: www.cavirin.com
• බලපත්රය: වාණිජ

Cavirin ආරක්ෂක ප්‍රමිතීන්ට සම්බන්ධ විවිධ ආයතන සඳහා සමාගම් පාර්ශ්ව කොන්ත්‍රාත්කරුවෙකු ලෙස ක්‍රියා කරයි. එයට රූප පරිලෝකනය කිරීමට පමණක් නොව, එය CI/CD නල මාර්ගයට ඒකාබද්ධ කළ හැකි අතර, ඒවා සංවෘත ගබඩාවලට ඇතුළු වීමට පෙර සම්මත නොවන රූප අවහිර කරයි.

Cavirin හි ආරක්ෂක කට්ටලය ඔබේ සයිබර් ආරක්ෂණ ඉරියව්ව තක්සේරු කිරීමට යන්ත්‍ර ඉගෙනීම භාවිතා කරයි, ආරක්ෂාව වැඩි දියුණු කිරීමට සහ ආරක්ෂක ප්‍රමිතීන්ට අනුකූල වීම වැඩි දියුණු කිරීමට උපදෙස් ලබා දෙයි.

Google Cloud Security Command Center

• වෙබ් අඩවිය: cloud.google.com/security-command-center
• බලපත්රය: වාණිජ

Cloud Security Command Center ආරක්ෂක කණ්ඩායම්වලට දත්ත රැස් කිරීමට, තර්ජන හඳුනා ගැනීමට සහ සමාගමට හානි කිරීමට පෙර ඒවා ඉවත් කිරීමට උදවු කරයි.

නමට අනුව, Google Cloud SCC යනු තනි, මධ්‍යගත මූලාශ්‍රයකින් විවිධ ආරක්ෂක වාර්තා, වත්කම් ගිණුම්කරණ යන්ත්‍ර සහ තෙවන පාර්ශවීය ආරක්ෂක පද්ධති ඒකාබද්ධ කිරීමට සහ කළමනාකරණය කිරීමට හැකි ඒකාබද්ධ පාලන පැනලයකි.

Google Cloud SCC විසින් පිරිනමනු ලබන අන්තර් ක්‍රියාකාරී API මඟින් Sysdig Secure (Cloud-native applications සඳහා බහාලුම් ආරක්ෂාව) හෝ Falco (විවෘත මූලාශ්‍ර ධාවන කාල ආරක්ෂාව) වැනි විවිධ මූලාශ්‍රවලින් පැමිණෙන ආරක්ෂක සිදුවීම් ඒකාබද්ධ කිරීම පහසු කරයි.

ස්ථර තීක්ෂ්ණ බුද්ධිය (Qualys)

• වෙබ් අඩවිය: layeredinsight.com
• බලපත්රය: වාණිජ

Layered Insight (දැන් Qualys Inc හි කොටසක්) ගොඩනගා ඇත්තේ "Embedded Security" යන සංකල්පය මතය. සංඛ්‍යානමය විශ්ලේෂණ සහ CVE චෙක්පත් භාවිතයෙන් මුල් රූපය දුර්වලතා සඳහා පරිලෝකනය කිරීමෙන් පසුව, ලේයර්ඩ් ඉන්සයිට් එය ද්විමය වශයෙන් නියෝජිතයා ඇතුළත් උපකරණ සහිත රූපයකින් ප්‍රතිස්ථාපනය කරයි.

බහාලුම් ජාල ගමනාගමනය, I/O ප්‍රවාහ සහ යෙදුම් ක්‍රියාකාරකම් විශ්ලේෂණය කිරීමට මෙම නියෝජිතයා සතුව ධාවන කාල ආරක්ෂණ පරීක්ෂණ අඩංගු වේ. ඊට අමතරව, යටිතල පහසුකම් පරිපාලක හෝ DevOps කණ්ඩායම් විසින් නිශ්චිතව දක්වා ඇති අතිරේක ආරක්ෂක පරීක්ෂාවන් සිදු කළ හැක.

NeuVector

• වෙබ් අඩවිය: neuvector.com
• බලපත්රය: වාණිජ

NeuVector බහාලුම් ආරක්ෂාව පරීක්ෂා කරන අතර ජාල ක්‍රියාකාරකම් සහ යෙදුම් හැසිරීම විශ්ලේෂණය කිරීමෙන් ධාවන කාල ආරක්ෂාව සපයයි, එක් එක් බහාලුම් සඳහා තනි ආරක්ෂක පැතිකඩක් නිර්මාණය කරයි. දේශීය ෆයර්වෝල් නීති වෙනස් කිරීමෙන් සැක කටයුතු ක්‍රියාකාරකම් හුදකලා කරමින් එය විසින්ම තර්ජන අවහිර කළ හැකිය.

NeuVector's Network Integration, Security Mesh ලෙස හඳුන්වනු ලබන අතර, සේවා දැලෙහි ඇති සියලුම ජාල සම්බන්ධතා සඳහා ගැඹුරු පැකට් විශ්ලේෂණය සහ 7 ස්ථරය පෙරීම කළ හැකිය.

StackRox

• වෙබ් අඩවිය: www.stackrox.com
• බලපත්රය: වාණිජ

StackRox බහාලුම් ආරක්ෂණ වේදිකාව Kubernetes යෙදුම්වල සම්පූර්ණ ජීවන චක්‍රය පොකුරක් තුළ ආවරණය කිරීමට උත්සාහ කරයි. මෙම ලැයිස්තුවේ ඇති අනෙකුත් වාණිජ වේදිකා මෙන්ම, StackRox විසින් නිරීක්ෂණය කරන ලද බහාලුම් හැසිරීම් මත පදනම්ව ධාවන කාල පැතිකඩක් ජනනය කරන අතර ඕනෑම අපගමනය සඳහා ස්වයංක්‍රීයව අනතුරු ඇඟවීමක් කරයි.

අතිරේකව, StackRox විසින් Kubernetes CIS සහ අනෙකුත් නීති පොත් භාවිතා කරමින් බහාලුම් අනුකූලතාවය ඇගයීමට Kubernetes වින්‍යාස විශ්ලේෂණය කරයි.

Sysdig Secure

• වෙබ් අඩවිය: sysdig.com/products/secure
• බලපත්රය: වාණිජ

Sysdig Secure සමස්ත බහාලුම් සහ Kubernetes ජීවන චක්‍රය පුරා යෙදුම් ආරක්ෂා කරයි. ඔහු පින්තූර ස්කෑන් කරයි බහාලුම්, සපයයි ධාවන කාල ආරක්ෂාව යන්ත්‍ර ඉගෙනීමේ දත්ත වලට අනුව, ක්‍රීම් සිදු කරයි. දුර්වලතා හඳුනාගැනීම, තර්ජන අවහිර කිරීම, නිරීක්ෂකයින් සඳහා විශේෂඥ දැනුම ස්ථාපිත ප්රමිතීන්ට අනුකූල වීම සහ ක්ෂුද්‍ර සේවාවල ක්‍රියාකාරකම් විගණනය කරයි.

Sysdig Secure ජෙන්කින්ස් වැනි CI/CD මෙවලම් සමඟ ඒකාබද්ධ වන අතර ඩොකර් රෙජිස්ට්‍රාර් වෙතින් පටවන ලද පින්තූර පාලනය කරයි, නිෂ්පාදනයේදී භයානක රූප දිස්වීම වළක්වයි. එය ඇතුළුව පුළුල් ධාවන කාල ආරක්ෂාවක් ද සපයයි:

• ML මත පදනම් වූ ධාවන කාල පැතිකඩ සහ විෂමතා හඳුනාගැනීම;
• පද්ධති සිදුවීම්, K8s-විගණන API, ඒකාබද්ධ ප්‍රජා ව්‍යාපෘති (FIM - ගොනු අඛණ්ඩතාව අධීක්ෂණය; ගුප්ත කේතනය) සහ රාමුව මත පදනම් වූ ධාවන කාල ප්‍රතිපත්ති MITER ATT&CK;
• ප්රතිචාර සහ සිදුවීම් විසඳීම.

Tenable බහාලුම් ආරක්ෂාව

• වෙබ් අඩවිය: www.tenable.com/products/tenable-io/container-security
• බලපත්රය: වාණිජ

බහාලුම් පැමිණීමට පෙර, ජනප්‍රිය අවදානම් දඩයම් සහ ආරක්ෂක විගණන මෙවලමක් වන Nessus පිටුපස සිටින සමාගම ලෙස Tenable කර්මාන්තයේ පුළුල් ලෙස ප්‍රසිද්ධ විය.

Tenable Container Security මගින් CI/CD නල මාර්ගයක් අවදානම් දත්ත සමුදායන්, විශේෂිත අනිෂ්ට මෘදුකාංග හඳුනාගැනීමේ පැකේජ සහ ආරක්ෂක තර්ජන නිරාකරණය කිරීම සඳහා නිර්දේශයන් සමඟ ඒකාබද්ධ කිරීමට සමාගමේ පරිගණක ආරක්ෂණ විශේෂඥතාව භාවිතා කරයි.

Twistlock (Palo Alto Networks)

• වෙබ් අඩවිය: www.twistlock.com
• බලපත්රය: වාණිජ

Twistlock ක්ලවුඩ් සේවා සහ බහාලුම් කෙරෙහි අවධානය යොමු කරන වේදිකාවක් ලෙස ප්‍රවර්ධනය කරයි. Twistlock විවිධ වලාකුළු සපයන්නන් (AWS, Azure, GCP), බහාලුම් වාද්‍ය වෘන්ද (Kubernetes, Mesospehere, OpenShift, Docker), සේවාදායක රහිත ධාවන කාල, දැල් රාමු සහ CI/CD මෙවලම් සඳහා සහය දක්වයි.

CI/CD නල මාර්ග ඒකාබද්ධ කිරීම හෝ රූප පරිලෝකනය වැනි සාම්ප්‍රදායික ව්‍යවසාය-ශ්‍රේණියේ ආරක්ෂක ක්‍රමවලට අමතරව, Twistlock බහාලුම්-විශේෂිත හැසිරීම් රටා සහ ජාල රීති උත්පාදනය කිරීමට යන්ත්‍ර ඉගෙනීම භාවිතා කරයි.

කලකට පෙර, Twistlock මිලදී ගන්නා ලද්දේ Evident.io සහ RedLock ව්‍යාපෘති හිමි Palo Alto Networks විසිනි. මෙම වේදිකා තුන හරියටම ඒකාබද්ධ කරන්නේ කෙසේද යන්න තවමත් නොදනී PRISMA Palo Alto වෙතින්.

Kubernetes ආරක්ෂක මෙවලම්වල හොඳම නාමාවලිය තැනීමට උදවු කරන්න!

අපි මෙම නාමාවලිය හැකිතාක් සම්පූර්ණ කිරීමට උත්සාහ කරන අතර, මේ සඳහා අපට ඔබගේ උදව් අවශ්‍ය වේ! අපව අමතන්න (@sysdig) ඔබට මෙම ලැයිස්තුවට ඇතුළත් කිරීමට සුදුසු සිසිල් මෙවලමක් මනසේ තිබේ නම්, හෝ ඔබ දෝෂයක්/යල් පැන ගිය තොරතුරු සොයා ගන්නේ නම්.

ඔබට අපගේ දායකත්වයද ලබා ගත හැක මාසික පුවත් පත්‍රිකාව ක්ලවුඩ්-ස්වදේශික පරිසර පද්ධතියෙන් ලැබෙන ප්‍රවෘත්ති සහ Kubernetes ආරක්ෂක ලෝකයේ රසවත් ව්‍යාපෘති පිළිබඳ කථා සමඟ.

පරිවර්තකගෙන් PS

අපගේ බ්ලොග් අඩවියේ ද කියවන්න:

• «ආරක්ෂක වෘත්තිකයන් සඳහා Kubernetes ජාල ප්‍රතිපත්ති පිළිබඳ හැඳින්වීමක්»;
• «ආරක්‍ෂාව ඉල්ලන පරිසරයක ඩොකර් සහ කුබර්නෙට්ස්»;
• «9 Kubernetes ආරක්ෂක හොඳම භාවිතයන්»;
• «Kubernetes Hack එකක ගොදුරක් වීමට (නොවන) මාර්ග 11»;
• «OPA සහ SPIFFE යනු CNCF හි වලාකුළු යෙදුම් ආරක්ෂාව සඳහා නව ව්‍යාපෘති දෙකකි".

මූලාශ්රය: www.habr.com