සටහන. පරිවර්තනය.: ඔබ Kubernetes පදනම් වූ යටිතල පහසුකම්වල ආරක්ෂාව ගැන කල්පනා කරන්නේ නම්, Sysdig වෙතින් මෙම විශිෂ්ට දළ විශ්ලේෂණය වත්මන් විසඳුම් පිළිබඳ ඉක්මන් බැල්මක් සඳහා විශිෂ්ට ආරම්භක ලක්ෂ්යයකි. එයට සුප්රසිද්ධ වෙළඳපල ක්රීඩකයින්ගේ සංකීර්ණ පද්ධති සහ විශේෂිත ගැටළුවක් විසඳන වඩාත් නිහතමානී උපයෝගිතා දෙකම ඇතුළත් වේ. අදහස් දැක්වීමේදී, සෑම විටම මෙන්, මෙම මෙවලම් භාවිතයෙන් ඔබේ අත්දැකීම් ගැන ඇසීමට සහ වෙනත් ව්යාපෘති වෙත සබැඳි බැලීමට අපි සතුටු වන්නෙමු.
Kubernetes ආරක්ෂක මෘදුකාංග නිෂ්පාදන... ඒවායින් බොහොමයක් තිබේ, ඒ සෑම එකක්ම තමන්ගේම ඉලක්ක, විෂය පථය සහ බලපත්ර ඇත.
අපි මෙම ලැයිස්තුව නිර්මාණය කිරීමට සහ විවිධ වෙළෙන්දන්ගෙන් විවෘත මූලාශ්ර ව්යාපෘති සහ වාණිජ වේදිකා යන දෙකම ඇතුළත් කිරීමට තීරණය කළේ එබැවිනි. ඔබගේ විශේෂිත Kubernetes ආරක්ෂක අවශ්යතා මත පදනම්ව ඔබට වඩාත් උනන්දුවක් දක්වන ඒවා හඳුනාගෙන නිවැරදි දිශාවට යොමු කිරීමට එය ඔබට උපකාර කරනු ඇතැයි අපි බලාපොරොත්තු වෙමු.
ප්රවර්ග
ලැයිස්තුවේ සැරිසැරීමට පහසු කිරීම සඳහා, මෙවලම් ප්රධාන කාර්යය සහ යෙදුම අනුව සංවිධානය කර ඇත. පහත සඳහන් කොටස් ලබා ගන්නා ලදී:
- Kubernetes රූප පරිලෝකනය සහ ස්ථිතික විශ්ලේෂණය;
- ධාවන කාල ආරක්ෂාව;
- Kubernetes ජාල ආරක්ෂාව;
- රූප බෙදා හැරීම සහ රහස් කළමනාකරණය;
- Kubernetes ආරක්ෂක විගණනය;
- විස්තීර්ණ වාණිජ නිෂ්පාදන.
අපි ව්යාපාරයට බහිමු:
Kubernetes පින්තූර ස්කෑන් කිරීම
නැංගුරම
- වෙබ් අඩවිය:
anchore.com - බලපත්රය: නොමිලේ (Apache) සහ වාණිජ දීමනාව
ඇන්කර් බහාලුම් රූප විශ්ලේෂණය කරන අතර පරිශීලක-නිර්වචනය කළ ප්රතිපත්ති මත පදනම්ව ආරක්ෂක පරීක්ෂා කිරීමට ඉඩ දෙයි.
CVE දත්ත ගබඩාවෙන් දන්නා දුර්වලතා සඳහා බහාලුම් රූප සාමාන්ය පරිලෝකනය කිරීමට අමතරව, ඇන්කර් එහි ස්කෑනිං ප්රතිපත්තියේ කොටසක් ලෙස බොහෝ අමතර චෙක්පත් සිදු කරයි: ඩොකර්ෆයිල්, අක්තපත්ර කාන්දුවීම්, භාවිතා කරන ක්රමලේඛන භාෂා පැකේජ (npm, maven, ආදිය පරීක්ෂා කරයි. .), මෘදුකාංග බලපත්ර සහ තවත් බොහෝ දේ .
ක්ලෙයාර්
- වෙබ් අඩවිය:
coreos.com/clair (දැන් Red Hat යටතේ) - බලපත්රය: නොමිලේ (Apache)
ක්ලෙයාර් යනු රූප පරිලෝකනය සඳහා වූ පළමු විවෘත මූලාශ්ර ව්යාපෘතිවලින් එකකි. එය Quay image registry පිටුපස ආරක්ෂක ස්කෑනරය ලෙස පුළුල් ලෙස හැඳින්වේ (CoreOS වෙතින්ද - ආසන්න වශයෙන් පරිවර්තනය). Clair умеет собирать информацию о CVE из большого числа источников, включая списки специфических для Linux-дистрибутивов уязвимостей, которые ведут команды по безопасности Debian, Red Hat или Ubuntu.
ඇන්කර් මෙන් නොව, ක්ලෙයාර් මූලික වශයෙන් අවධානම් සොයා ගැනීම සහ CVEs වෙත දත්ත ගැලපීම කෙරෙහි අවධානය යොමු කරයි. කෙසේ වෙතත්, නිෂ්පාදනය මඟින් පරිශීලකයින්ට ප්ලග්-ඉන් ධාවක භාවිතයෙන් කාර්යයන් පුළුල් කිරීමට අවස්ථා කිහිපයක් ලබා දේ.
දග්ඩා
- වෙබ් අඩවිය:
github.com/eliasgranderubio/dagda - බලපත්රය: නොමිලේ (Apache)
Dagda දන්නා දුර්වලතා, ට්රෝජන්, වෛරස්, අනිෂ්ට මෘදුකාංග සහ වෙනත් තර්ජන සඳහා බහාලුම් රූපවල ස්ථිතික විශ්ලේෂණය සිදු කරයි.
කැපී පෙනෙන ලක්ෂණ දෙකක් Dagda වෙනත් සමාන මෙවලම් වලින් වෙන්කර හඳුනා ගනී:
- එය සමඟ පරිපූර්ණව ඒකාබද්ධ වේ
ClamAV , බහාලුම් රූප පරිලෝකනය කිරීමේ මෙවලමක් ලෙස පමණක් නොව, ප්රතිවයිරසයක් ලෙසද ක්රියා කරයි. - ඩොකර් ඩීමන් වෙතින් තත්ය කාලීන සිදුවීම් ලබා ගැනීමෙන් සහ ෆැල්කෝ සමඟ ඒකාබද්ධ වීමෙන් ධාවන කාල ආරක්ෂාව ද සපයයි. (පහත බලන්න) කන්ටේනරය ධාවනය වන අතරතුර ආරක්ෂක සිදුවීම් එකතු කිරීමට.
KubeXray
- වෙබ් අඩවිය:
github.com/jfrog/kubexray - බලපත්රය: නොමිලේ (Apache), නමුත් JFrog Xray වෙතින් දත්ත අවශ්ය වේ (වාණිජ්ය නිෂ්පාදනය)
KubeXray Kubernetes API සේවාදායකයෙන් සිදුවීම්වලට සවන් දෙන අතර වත්මන් ප්රතිපත්තියට ගැළපෙන පොඩ්ස් පමණක් දියත් කිරීම සහතික කිරීමට JFrog Xray වෙතින් පාර-දත්ත භාවිත කරයි.
KubeXray නව හෝ යාවත්කාලීන කළ බහාලුම් විගණනය කරනවා පමණක් නොව (Kubernetes හි ඇතුළත් කිරීමේ පාලකය හා සමානයි), නමුත් නව ආරක්ෂක ප්රතිපත්තිවලට අනුකූල වීම සඳහා ධාවනය වන බහාලුම් ගතිකව පරීක්ෂා කරයි, අවදානමට ලක්විය හැකි පින්තූර යොමු කරන සම්පත් ඉවත් කරයි.
ස්නික්
- වෙබ් අඩවිය:
snyk.io - බලපත්රය: නොමිලේ (Apache) සහ වාණිජ අනුවාද
Snyk යනු අසාමාන්ය අවදානම් ස්කෑනරයක් වන අතර එය විශේෂයෙන් සංවර්ධන ක්රියාවලිය ඉලක්ක කරන අතර සංවර්ධකයින් සඳහා "අත්යවශ්ය විසඳුමක්" ලෙස ප්රවර්ධනය කෙරේ.
Snyk සෘජුවම කේත ගබඩාවලට සම්බන්ධ කරයි, ව්යාපෘති මැනිෆෙස්ටය විග්රහ කරයි සහ සෘජු සහ වක්ර පරායත්තතා සමඟින් ආනයනික කේතය විශ්ලේෂණය කරයි. Snyk බොහෝ ජනප්රිය ක්රමලේඛන භාෂා සඳහා සහය දක්වන අතර සැඟවුණු බලපත්ර අවදානම් හඳුනා ගත හැකිය.
ට්රයිවි
- වෙබ් අඩවිය:
github.com/knqyf263/trivy - බලපත්රය: නොමිලේ (AGPL)
Trivy යනු CI/CD නල මාර්ගයකට පහසුවෙන් ඒකාබද්ධ වන බහාලුම් සඳහා සරල නමුත් බලවත් අවදානම් ස්කෑනරයකි. එහි කැපී පෙනෙන ලක්ෂණය වන්නේ එහි ස්ථාපනය සහ ක්රියාකාරිත්වයේ පහසුවයි: යෙදුම තනි ද්විමයයකින් සමන්විත වන අතර දත්ත සමුදායක් හෝ අතිරේක පුස්තකාලයක් ස්ථාපනය කිරීම අවශ්ය නොවේ.
Trivy හි සරලත්වයේ අවාසිය නම්, JSON ආකෘතියෙන් ප්රතිඵල විග්රහ කරන්නේ කෙසේද සහ අනෙකුත් Kubernetes ආරක්ෂක මෙවලම්වලට ඒවා භාවිත කළ හැකි වන පරිදි ඒවා යොමු කරන්නේ කෙසේදැයි ඔබ සොයා බැලිය යුතුය.
Kubernetes හි ධාවන කාල ආරක්ෂාව
ෆැල්කෝ
- වෙබ් අඩවිය:
falco.org - බලපත්රය: නොමිලේ (Apache)
Falco යනු වලාකුළු ධාවන කාල පරිසරයන් සුරක්ෂිත කිරීම සඳහා වූ මෙවලම් සමූහයකි. ව්යාපෘති පවුලේ කොටසක්
Sysdig හි Linux කර්නල් මට්ටමේ මෙවලම් සහ පද්ධති ඇමතුම් පැතිකඩ භාවිතා කරමින්, Falco ඔබට පද්ධති හැසිරීම් වලට ගැඹුරට කිමිදීමට ඉඩ සලසයි. එහි ධාවන කාල රීති එන්ජිමට යෙදුම්, බහාලුම්, යටින් පවතින ධාරකය සහ Kubernetes වාද්ය වෘන්දය තුළ සැක කටයුතු ක්රියාකාරකම් හඳුනා ගැනීමට හැකියාව ඇත.
Falco මෙම අරමුණු සඳහා Kubernetes නෝඩ් මත විශේෂ නියෝජිතයන් යෙදවීමෙන් ධාවන කාලය සහ තර්ජන හඳුනාගැනීමේ සම්පූර්ණ විනිවිදභාවය සපයයි. එහි ප්රතිඵලයක් වශයෙන්, බහාලුම්වලට තෙවන පාර්ශවීය කේතයක් හඳුන්වා දීමෙන් හෝ පැති කාර් බහාලුම් එකතු කිරීමෙන් ඒවා වෙනස් කිරීමට අවශ්ය නොවේ.
ධාවන කාලය සඳහා Linux ආරක්ෂක රාමු
Linux කර්නලය සඳහා වන මෙම ස්වදේශීය රාමු සාම්ප්රදායික අර්ථයෙන් “Kubernetes ආරක්ෂක මෙවලම්” නොවේ, නමුත් ඒවා Kubernetes Pod Security Policy (PSP) හි ඇතුළත් වන ධාවන කාල ආරක්ෂණයේ සන්දර්භය තුළ වැදගත් අංගයක් වන බැවින් ඒවා සඳහන් කිරීම වටී.
Security-Enhanced Linux (
Sysdig විවෘත මූලාශ්රය
- වෙබ් අඩවිය:
www.sysdig.com/opensource - බලපත්රය: නොමිලේ (Apache)
Sysdig යනු Linux පද්ධති විශ්ලේෂණය කිරීම, රෝග නිර්ණය කිරීම සහ දෝෂහරණය කිරීම සඳහා සම්පූර්ණ මෙවලමකි (Windows සහ macOS මතද ක්රියා කරයි, නමුත් සීමිත ක්රියාකාරකම් සමඟ). එය සවිස්තරාත්මක තොරතුරු රැස් කිරීම, සත්යාපනය සහ අධිකරණ වෛද්ය විශ්ලේෂණය සඳහා භාවිතා කළ හැක. (අධිවිද්යාව) මූලික පද්ධතිය සහ එය මත ධාවනය වන ඕනෑම බහාලුම්.
Sysdig එය එකතු කරන සියලුම පද්ධති හැසිරීම් තොරතුරු සඳහා අමතර මානයන් සහ ලේබල් එකතු කරමින් බහාලුම් ධාවන කාල සහ Kubernetes පාරදත්ත දේශීයව සහාය දක්වයි. Sysdig භාවිතයෙන් Kubernetes පොකුරක් විශ්ලේෂණය කිරීමට ක්රම කිහිපයක් තිබේ: ඔබට කාලය තුළ ග්රහණය කර ගත හැක
Kubernetes ජාල ආරක්ෂාව
අපෝරෙටෝ
- වෙබ් අඩවිය:
www.aporeto.com - බලපත්රය: වාණිජ
Aporeto "ජාලය සහ යටිතල පහසුකම් වලින් වෙන් වූ ආරක්ෂාව" ඉදිරිපත් කරයි. මෙයින් අදහස් කරන්නේ Kubernetes සේවාවන්ට දේශීය හැඳුනුම්පතක් (එනම් Kubernetes හි සේවා ගිණුම) පමණක් නොව, වෙනත් ඕනෑම සේවාවක් සමඟ ආරක්ෂිතව සහ අන්යෝන්ය වශයෙන් සන්නිවේදනය කිරීමට භාවිතා කළ හැකි විශ්වීය ID/ඇඟිලි සලකුණක් ද ලැබෙන බවයි, උදාහරණයක් ලෙස OpenShift පොකුරක් තුළ.
Aporeto Kubernetes/containers සඳහා පමණක් නොව, ධාරක, Cloud Functions සහ පරිශීලකයන් සඳහාද අනන්ය ID ජනනය කිරීමේ හැකියාව ඇත. මෙම හඳුනාගැනීම් සහ පරිපාලක විසින් සකසන ලද ජාල ආරක්ෂණ නීති මාලාව මත පදනම්ව, සන්නිවේදනයට ඉඩ දෙනු ලැබේ හෝ අවහිර කරනු ලැබේ.
කැලිකෝ
- වෙබ් අඩවිය:
www.projectcalico.org - බලපත්රය: නොමිලේ (Apache)
Calico සාමාන්යයෙන් බහාලුම් වාද්ය වෘන්ද ස්ථාපනයකදී යොදවනු ලැබේ, බහාලුම් අන්තර් සම්බන්ධිත අථත්ය ජාලයක් නිර්මාණය කිරීමට ඔබට ඉඩ සලසයි. මෙම මූලික ජාල ක්රියාකාරීත්වයට අමතරව, Calico ව්යාපෘතිය Kubernetes Network Policies සහ එහිම ජාල ආරක්ෂණ පැතිකඩ සමඟ ක්රියා කරයි, අන්ත ලක්ෂ්ය ACL (ප්රවේශ පාලන ලැයිස්තු) සහ Ingress සහ Egress ගමනාගමනය සඳහා විවරණ මත පදනම් වූ ජාල ආරක්ෂණ නීති සඳහා සහය දක්වයි.
සිලියම්
- වෙබ් අඩවිය:
www.cilium.io - බලපත්රය: නොමිලේ (Apache)
Cilium බහාලුම් සඳහා ෆයර්වෝලයක් ලෙස ක්රියා කරන අතර Kubernetes සහ microservices කාර්ය භාරයට දේශීයව ගැලපෙන ජාල ආරක්ෂණ විශේෂාංග සපයයි. දත්ත පෙරීමට, නිරීක්ෂණය කිරීමට, යළි-යොමු කිරීමට සහ නිවැරදි කිරීමට Cilium විසින් BPF (Berkeley Packet Filter) නම් නව ලිනක්ස් කර්නල් තාක්ෂණය භාවිතා කරයි.
Cilium හට Docker හෝ Kubernetes ලේබල සහ පාර-දත්ත භාවිතයෙන් බහාලුම් ID මත පදනම්ව ජාල ප්රවේශ ප්රතිපත්ති යෙදවීමට හැකියාව ඇත. Cilium ද HTTP හෝ gRPC වැනි විවිධ Layer 7 ප්රොටෝකෝල තේරුම් ගෙන පෙරහන් කරයි, උදාහරණයක් ලෙස Kubernetes යෙදවීම් දෙකක් අතර ඉඩ දෙන REST ඇමතුම් කට්ටලයක් නිර්වචනය කිරීමට ඔබට ඉඩ සලසයි.
ඉස්ටියෝ
- වෙබ් අඩවිය:
istio.io - බලපත්රය: නොමිලේ (Apache)
වේදිකා-ස්වාධීන පාලන තලයක් යෙදවීමෙන් සහ ගතිකව වින්යාසගත කළ හැකි එන්වෝයි ප්රොක්සි හරහා කළමනාකරණය කරන ලද සියලුම සේවා ගමනාගමනය මෙහෙයවීමෙන් සේවා දැල් ආදර්ශය ක්රියාත්මක කිරීම සඳහා ඉස්ටියෝ පුළුල් ලෙස ප්රසිද්ධය. විවිධ ජාල ආරක්ෂණ ක්රමෝපායන් ක්රියාවට නැංවීම සඳහා සියලුම ක්ෂුද්ර සේවා සහ බහාලුම්වල මෙම උසස් දර්ශනයෙන් ඉස්ටියෝ ප්රයෝජන ගනී.
Istio හි ජාල ආරක්ෂණ හැකියාවන් අතරට ක්ෂුද්ර සේවා අතර සන්නිවේදන ස්වයංක්රීයව HTTPS වෙත උත්ශ්රේණි කිරීම සඳහා විනිවිද පෙනෙන TLS සංකේතනය සහ පොකුරේ විවිධ වැඩ බර අතර සන්නිවේදනයට ඉඩ දීම/ප්රතික්ෂේප කිරීම සඳහා හිමිකාර RBAC හඳුනාගැනීමේ සහ අවසර පද්ධතියක් ඇතුළත් වේ.
සටහන. පරිවර්තනය.: Istio හි ආරක්ෂාව කේන්ද්ර කරගත් හැකියාවන් ගැන වැඩිදුර දැන ගැනීමට, කියවන්න
කොටියා
- වෙබ් අඩවිය:
www.tigera.io - බලපත්රය: වාණිජ
"Kubernetes Firewall" ලෙස හඳුන්වන මෙම විසඳුම ජාල ආරක්ෂාව සඳහා ශුන්ය විශ්වාසනීය ප්රවේශයක් අවධාරණය කරයි.
අනෙකුත් දේශීය Kubernetes ජාලකරණ විසඳුම් වලට සමානව, Tigera විසින් පොකුරේ ඇති විවිධ සේවා සහ වස්තූන් හඳුනා ගැනීමට පාරදත්ත මත රඳා පවතින අතර බහු-වලාකුළු හෝ දෙමුහුන් ඒකලිතික-බහාලුම් යටිතල පහසුකම් සඳහා ධාවන කාල ගැටළු හඳුනාගැනීම, අඛණ්ඩ අනුකූලතා පරීක්ෂා කිරීම සහ ජාල දෘශ්යතාව සපයයි.
ට්රයිරීම්
- වෙබ් අඩවිය:
www.aporeto.com/opensource - බලපත්රය: නොමිලේ (Apache)
Trireme-Kubernetes යනු Kubernetes ජාල ප්රතිපත්ති පිරිවිතරයේ සරල සහ සරල ක්රියාත්මක කිරීමකි. වඩාත්ම කැපී පෙනෙන ලක්ෂණය නම් - සමාන Kubernetes ජාල ආරක්ෂණ නිෂ්පාදන මෙන් නොව - දැල සම්බන්ධීකරණය කිරීමට මධ්යම පාලන තලයක් අවශ්ය නොවේ. මෙය විසඳුම සුළු වශයෙන් පරිමාණය කරයි. Trireme හි, මෙය සාක්ෂාත් කරගනු ලබන්නේ ධාරකයේ TCP/IP තොගයට සෘජුවම සම්බන්ධ වන එක් එක් නෝඩය මත නියෝජිතයෙකු ස්ථාපනය කිරීමෙනි.
රූප ප්රචාරණය සහ රහස් කළමනාකරණය
ග්රැෆියාස්
- වෙබ් අඩවිය:
grafeas.io - බලපත්රය: නොමිලේ (Apache)
Grafeas යනු මෘදුකාංග සැපයුම් දාම විගණනය සහ කළමනාකරණය සඳහා විවෘත මූලාශ්ර API වේ. මූලික මට්ටමින්, Grafeas යනු පාරදත්ත සහ විගණන සොයාගැනීම් එකතු කිරීමේ මෙවලමකි. සංවිධානයක් තුළ ආරක්ෂිත හොඳම භාවිතයන් සමඟ අනුකූල වීම නිරීක්ෂණය කිරීමට එය භාවිත කළ හැක.
මෙම මධ්යගත සත්ය මූලාශ්රය වැනි ප්රශ්නවලට පිළිතුරු දීමට උපකාරී වේ:
- විශේෂිත බහාලුමක් සඳහා එකතු කර අත්සන් කළේ කවුද?
- එය ආරක්ෂක ප්රතිපත්තියට අවශ්ය සියලුම ආරක්ෂක ස්කෑන් සහ චෙක්පත් සමත් වී තිබේද? කවදා ද? ප්රතිඵල මොනවාද?
- එය නිෂ්පාදනයට යෙදවූයේ කවුද? යෙදවීමේදී භාවිතා කරන ලද විශේෂිත පරාමිතීන් මොනවාද?
ඉන්-ටෝටෝ
- වෙබ් අඩවිය:
in-toto.github.io - බලපත්රය: නොමිලේ (Apache)
In-toto යනු සමස්ත මෘදුකාංග සැපයුම් දාමයේ අඛණ්ඩතාව, සත්යාපනය සහ විගණනය සැපයීම සඳහා නිර්මාණය කර ඇති රාමුවකි. යටිතල ව්යුහයක් තුළ In-toto යෙදවීමේදී, නල මාර්ගයේ විවිධ පියවර (නිධිය, CI/CD මෙවලම්, QA මෙවලම්, කෞතුක වස්තු එකතු කරන්නන්, ආදිය) සහ අවසර දී ඇති පරිශීලකයින් (වගකිවයුතු පුද්ගලයින්) විස්තර කරන සැලැස්මක් පළමුව අර්ථ දක්වා ඇත. ඒවා ආරම්භ කරන්න.
In-toto සැලැස්ම ක්රියාත්මක කිරීම අධීක්ෂණය කරයි, දාමයේ සෑම කාර්යයක්ම නිසි ලෙස සිදු කරනු ලබන්නේ බලයලත් පුද්ගලයින් විසින් පමණක් බවත්, චලනය අතරතුර නිෂ්පාදිතය සමඟ අනවසර උපාමාරු කිසිවක් සිදු කර නොමැති බවත් තහවුරු කරයි.
පෝටේරිස්
- වෙබ් අඩවිය:
github.com/IBM/portieris - බලපත්රය: නොමිලේ (Apache)
Portieris යනු Kubernetes සඳහා ඇතුළත් කිරීමේ පාලකයෙකි; අන්තර්ගත විශ්වාස පරීක්ෂාවන් බලාත්මක කිරීමට භාවිතා කරයි. Portieris සේවාදායකයක් භාවිතා කරයි
Kubernetes හි වැඩ බරක් නිර්මාණය කළ විට හෝ වෙනස් කළ විට, Portieris විසින් ඉල්ලා සිටින බහාලුම් රූප සඳහා අත්සන් කිරීමේ තොරතුරු සහ අන්තර්ගත භාර ප්රතිපත්තිය බාගත කරන අතර, අවශ්ය නම්, එම පින්තූරවල අත්සන් කළ අනුවාද ධාවනය කිරීමට JSON API වස්තුව වෙත පියාසර වෙනස්කම් සිදු කරයි.
සුරක්ෂිතාගාරය
- වෙබ් අඩවිය:
www.vaultproject.io - බලපත්රය: නොමිලේ (MPL)
වෝල්ට් යනු පුද්ගලික තොරතුරු ගබඩා කිරීම සඳහා ආරක්ෂිත විසඳුමකි: මුරපද, OAuth ටෝකන, PKI සහතික, ප්රවේශ ගිණුම්, Kubernetes රහස් යනාදිය. තාවකාලික ආරක්ෂක ටෝකන ලීසිං කිරීම හෝ යතුරු භ්රමණය සංවිධානය කිරීම වැනි බොහෝ උසස් විශේෂාංග සඳහා වෝල්ට් සහාය දක්වයි.
Helm ප්රස්ථාරය භාවිතා කරමින්, පසුපෙළ ආචයනය ලෙස කොන්සල් සමඟ Kubernetes පොකුරක නව යෙදවීමක් ලෙස Vault යෙදවිය හැක. එය ServiceAccount ටෝකන වැනි දේශීය Kubernetes සම්පත් සඳහා සහය දක්වන අතර Kubernetes රහස් සඳහා පෙරනිමි ගබඩාව ලෙස පවා ක්රියා කළ හැක.
සටහන. පරිවර්තනය.: මාර්ගය වන විට, ඊයේ දින වෝල්ට් සංවර්ධනය කරන සමාගම HashiCorp, Kubernetes හි Vault භාවිතා කිරීම සඳහා යම් වැඩිදියුණු කිරීම් ප්රකාශයට පත් කරන ලද අතර විශේෂයෙන් ඒවා Helm ප්රස්ථාරයට සම්බන්ධ වේ. තව කියවන්න
Kubernetes ආරක්ෂක විගණනය
Kube-bench
- වෙබ් අඩවිය:
github.com/aquasecurity/kube-bench - බලපත්රය: නොමිලේ (Apache)
Kube-bench යනු ලැයිස්තුවකින් පරීක්ෂණ ධාවනය කිරීමෙන් Kubernetes ආරක්ෂිතව යොදවා තිබේද යන්න පරීක්ෂා කරන Go යෙදුමකි.
Kube-bench පොකුරු සංරචක (etcd, API, පාලක කළමනාකරු, ආදිය), සැක සහිත ගොනු ප්රවේශ හිමිකම්, අනාරක්ෂිත ගිණුම් හෝ විවෘත වරායන්, සම්පත් කෝටාවන්, DoS ප්රහාරවලින් ආරක්ෂා වීමට API ඇමතුම් ගණන සීමා කිරීමේ සැකසුම් අතර අනාරක්ෂිත වින්යාස සැකසුම් සොයයි. , ආදිය.
කුබේ-දඩයක්කාරයා
- වෙබ් අඩවිය:
github.com/aquasecurity/kube-hunter - බලපත්රය: නොමිලේ (Apache)
Kube-hunter Kubernetes පොකුරු තුළ ඇති විය හැකි අවදානම් (දුරස්ථ කේත ක්රියාත්මක කිරීම හෝ දත්ත අනාවරණය කිරීම වැනි) සඳහා දඩයම් කරයි. Kube-hunter දුරස්ථ ස්කෑනරයක් ලෙස ධාවනය කළ හැක - එවැනි අවස්ථාවක එය තෙවන පාර්ශවීය ප්රහාරකයෙකුගේ දෘෂ්ටිකෝණයෙන් පොකුර ඇගයීමට ලක් කරයි - නැතහොත් පොකුර තුළ ඇති පොඩ් එකක් ලෙස.
Kube-hunter හි සුවිශේෂී ලක්ෂණයක් වන්නේ එහි “ක්රියාකාරී දඩයම්” මාදිලිය වන අතර, එම කාලය තුළ එය ගැටළු වාර්තා කරනවා පමණක් නොව, එහි ක්රියාකාරිත්වයට හානි කළ හැකි ඉලක්ක පොකුර තුළ සොයාගත් අවදානම් වලින් ප්රයෝජන ගැනීමට උත්සාහ කරයි. එබැවින් ප්රවේශමෙන් භාවිතා කරන්න!
Kubeauudit
- වෙබ් අඩවිය:
github.com/Shopify/kubeaudit - බලපත්රය: නොමිලේ (MIT)
Kubeaudit යනු විවිධ ආරක්ෂක ගැටළු සඳහා Kubernetes වින්යාසය විගණනය කිරීම සඳහා මුලින් Shopify හි සංවර්ධනය කරන ලද කොන්සෝල මෙවලමකි. උදාහරණයක් ලෙස, එය අසීමිත ලෙස ධාවනය වන බහාලුම් හඳුනා ගැනීමට, root ලෙස ධාවනය කිරීම, වරප්රසාද අනිසි ලෙස භාවිතා කිරීම හෝ පෙරනිමි සේවා ගිණුම භාවිතා කිරීම හඳුනා ගැනීමට උදවු කරයි.
Kubeaudit හි තවත් රසවත් විශේෂාංග ඇත. උදාහරණයක් ලෙස, එය දේශීය YAML ගොනු විශ්ලේෂණය කිරීමට, ආරක්ෂක ගැටළු වලට තුඩු දිය හැකි වින්යාස දෝෂ හඳුනා ගැනීමට සහ ඒවා ස්වයංක්රීයව නිවැරදි කිරීමට හැකිය.
කුබෙසෙක්
- වෙබ් අඩවිය:
kubesec.io - බලපත්රය: නොමිලේ (Apache)
Kubesec යනු ආරක්ෂාවට බලපෑ හැකි දුර්වල පරාමිති සොයමින් Kubernetes සම්පත් විස්තර කරන YAML ගොනු සෘජුවම පරිලෝකනය කරන විශේෂ මෙවලමකි.
උදාහරණයක් ලෙස, එයට පොඩ් එකකට ලබා දී ඇති අධික වරප්රසාද සහ අවසර හඳුනා ගත හැක, පෙරනිමි පරිශීලකයා ලෙස root සහිත කන්ටේනරයක් ධාවනය කිරීම, ධාරකයේ ජාල නාම අවකාශයට සම්බන්ධ වීම, හෝ වැනි භයානක සවි කිරීම් /proc
සත්කාරක හෝ ඩොකර් සොකට්. Kubesec හි තවත් රසවත් අංගයක් වන්නේ ඔබට YAML උඩුගත කර එය වහාම විශ්ලේෂණය කළ හැකි මාර්ගගත ආදර්ශන සේවාවයි.
විවෘත ප්රතිපත්ති නියෝජිතයා
- වෙබ් අඩවිය:
www.openpolicyagent.org - බලපත්රය: නොමිලේ (Apache)
OPA (Open Policy Agent) හි සංකල්පය වන්නේ විශේෂිත ධාවන කාල වේදිකාවකින් ආරක්ෂක ප්රතිපත්ති සහ ආරක්ෂිත හොඳම භාවිතයන් විසංයෝජනය කිරීමයි: Docker, Kubernetes, Mesosphere, OpenShift, හෝ එහි ඕනෑම සංයෝජනයක්.
උදාහරණයක් ලෙස, ඔබට Kubernetes ඇතුළත් කිරීමේ පාලකය සඳහා පසුබිමක් ලෙස OPA යෙදවිය හැක, එයට ආරක්ෂක තීරණ පවරයි. මේ ආකාරයෙන්, OPA නියෝජිතයාට පියාසර කරන විට ඉල්ලීම් වලංගු කිරීමට, ප්රතික්ෂේප කිරීමට සහ වෙනස් කිරීමට පවා හැකිය, නිශ්චිත ආරක්ෂක පරාමිතීන් සපුරා ඇති බව සහතික කරයි. OPA හි ආරක්ෂක ප්රතිපත්ති එහි හිමිකාර DSL භාෂාව වන Rego වලින් ලියා ඇත.
සටහන. පරිවර්තනය.: අපි OPA (සහ SPIFFE) ගැන වැඩි විස්තර ලිව්වා
Kubernetes ආරක්ෂක විශ්ලේෂණය සඳහා විස්තීර්ණ වාණිජ මෙවලම්
Мы решили завести отдельную категорию для коммерческих платформ, поскольку они, как правило, охватывают сразу несколько областей безопасности. Общее представление об их возможностях можно получить из таблицы:
* උසස් පරීක්ෂණය සහ සම්පූර්ණ පශ්චාත් මරණ පරීක්ෂණය
ඇක්වා ආරක්ෂාව
- වෙබ් අඩවිය:
www.aquasec.com - බලපත්රය: වාණිජ
මෙම වාණිජ මෙවලම බහාලුම් සහ වලාකුළු වැඩ බර සඳහා නිර්මාණය කර ඇත. එය සපයනවා:
- බහාලුම් රෙජිස්ට්රියක් හෝ CI/CD නල මාර්ගයක් සමඟ අනුකලිත රූප පරිලෝකනය;
- බහාලුම්වල වෙනස්කම් සහ වෙනත් සැක කටයුතු ක්රියාකාරකම් සෙවීම සමඟ ධාවන කාල ආරක්ෂාව;
- බහාලුම්-දේශීය ගිනි පවුර;
- වලාකුළු සේවාවන්හි සේවාදායක රහිත සඳහා ආරක්ෂාව;
- සිදුවීම් ලොග් කිරීම සමඟ ඒකාබද්ධව අනුකූලතා පරීක්ෂාව සහ විගණනය.
සටහන. පරිවර්තනය.: ඇති බව ද සඳහන් කිරීම වටී නිෂ්පාදනයේ නිදහස් සංරචකය ලෙස හැඳින්වේ
කැප්සියුල8
- වෙබ් අඩවිය:
capsule8.com - බලපත්රය: වාණිජ
Capsule8 දේශීය හෝ වලාකුළු Kubernetes පොකුරක් මත අනාවරකය ස්ථාපනය කිරීමෙන් යටිතල පහසුකම් සමඟ ඒකාබද්ධ වේ. මෙම අනාවරකය විවිධ වර්ගයේ ප්රහාර සමඟ සහසම්බන්ධ කරමින් ධාරක සහ ජාල ටෙලිමෙට්රි එකතු කරයි.
Capsule8 කණ්ඩායම එහි කර්තව්යය දකින්නේ නව ප්රහාර කලින් හඳුනා ගැනීම සහ ප්රහාර වැළැක්වීමයි (දින-0) දුර්වලතා. Capsule8 හට අලුතින් සොයාගත් තර්ජන සහ මෘදුකාංග දුර්වලතා වලට ප්රතිචාර වශයෙන් යාවත්කාලීන ආරක්ෂක නීති සෘජුවම අනාවරක වෙත බාගත කළ හැක.
කැවිරින්
- වෙබ් අඩවිය:
www.cavirin.com - බලපත්රය: වාණිජ
Cavirin ආරක්ෂක ප්රමිතීන්ට සම්බන්ධ විවිධ ආයතන සඳහා සමාගම් පාර්ශ්ව කොන්ත්රාත්කරුවෙකු ලෙස ක්රියා කරයි. එයට රූප පරිලෝකනය කිරීමට පමණක් නොව, එය CI/CD නල මාර්ගයට ඒකාබද්ධ කළ හැකි අතර, ඒවා සංවෘත ගබඩාවලට ඇතුළු වීමට පෙර සම්මත නොවන රූප අවහිර කරයි.
Cavirin හි ආරක්ෂක කට්ටලය ඔබේ සයිබර් ආරක්ෂණ ඉරියව්ව තක්සේරු කිරීමට යන්ත්ර ඉගෙනීම භාවිතා කරයි, ආරක්ෂාව වැඩි දියුණු කිරීමට සහ ආරක්ෂක ප්රමිතීන්ට අනුකූල වීම වැඩි දියුණු කිරීමට උපදෙස් ලබා දෙයි.
Google Cloud Security Command Center
- වෙබ් අඩවිය:
cloud.google.com/security-command-center - බලපත්රය: වාණිජ
Cloud Security Command Center ආරක්ෂක කණ්ඩායම්වලට දත්ත රැස් කිරීමට, තර්ජන හඳුනා ගැනීමට සහ සමාගමට හානි කිරීමට පෙර ඒවා ඉවත් කිරීමට උදවු කරයි.
නමට අනුව, Google Cloud SCC යනු තනි, මධ්යගත මූලාශ්රයකින් විවිධ ආරක්ෂක වාර්තා, වත්කම් ගිණුම්කරණ යන්ත්ර සහ තෙවන පාර්ශවීය ආරක්ෂක පද්ධති ඒකාබද්ධ කිරීමට සහ කළමනාකරණය කිරීමට හැකි ඒකාබද්ධ පාලන පැනලයකි.
Google Cloud SCC විසින් පිරිනමනු ලබන අන්තර් ක්රියාකාරී API මඟින් Sysdig Secure (Cloud-native applications සඳහා බහාලුම් ආරක්ෂාව) හෝ Falco (විවෘත මූලාශ්ර ධාවන කාල ආරක්ෂාව) වැනි විවිධ මූලාශ්රවලින් පැමිණෙන ආරක්ෂක සිදුවීම් ඒකාබද්ධ කිරීම පහසු කරයි.
ස්ථර තීක්ෂ්ණ බුද්ධිය (Qualys)
- වෙබ් අඩවිය:
layeredinsight.com - බලපත්රය: වාණිජ
Layered Insight (දැන් Qualys Inc හි කොටසක්) ගොඩනගා ඇත්තේ "Embedded Security" යන සංකල්පය මතය. සංඛ්යානමය විශ්ලේෂණ සහ CVE චෙක්පත් භාවිතයෙන් මුල් රූපය දුර්වලතා සඳහා පරිලෝකනය කිරීමෙන් පසුව, ලේයර්ඩ් ඉන්සයිට් එය ද්විමය වශයෙන් නියෝජිතයා ඇතුළත් උපකරණ සහිත රූපයකින් ප්රතිස්ථාපනය කරයි.
බහාලුම් ජාල ගමනාගමනය, I/O ප්රවාහ සහ යෙදුම් ක්රියාකාරකම් විශ්ලේෂණය කිරීමට මෙම නියෝජිතයා සතුව ධාවන කාල ආරක්ෂණ පරීක්ෂණ අඩංගු වේ. ඊට අමතරව, යටිතල පහසුකම් පරිපාලක හෝ DevOps කණ්ඩායම් විසින් නිශ්චිතව දක්වා ඇති අතිරේක ආරක්ෂක පරීක්ෂාවන් සිදු කළ හැක.
NeuVector
- වෙබ් අඩවිය:
neuvector.com - බලපත්රය: වාණිජ
NeuVector බහාලුම් ආරක්ෂාව පරීක්ෂා කරන අතර ජාල ක්රියාකාරකම් සහ යෙදුම් හැසිරීම විශ්ලේෂණය කිරීමෙන් ධාවන කාල ආරක්ෂාව සපයයි, එක් එක් බහාලුම් සඳහා තනි ආරක්ෂක පැතිකඩක් නිර්මාණය කරයි. දේශීය ෆයර්වෝල් නීති වෙනස් කිරීමෙන් සැක කටයුතු ක්රියාකාරකම් හුදකලා කරමින් එය විසින්ම තර්ජන අවහිර කළ හැකිය.
NeuVector's Network Integration, Security Mesh ලෙස හඳුන්වනු ලබන අතර, සේවා දැලෙහි ඇති සියලුම ජාල සම්බන්ධතා සඳහා ගැඹුරු පැකට් විශ්ලේෂණය සහ 7 ස්ථරය පෙරීම කළ හැකිය.
StackRox
- වෙබ් අඩවිය:
www.stackrox.com - බලපත්රය: වාණිජ
StackRox බහාලුම් ආරක්ෂණ වේදිකාව Kubernetes යෙදුම්වල සම්පූර්ණ ජීවන චක්රය පොකුරක් තුළ ආවරණය කිරීමට උත්සාහ කරයි. මෙම ලැයිස්තුවේ ඇති අනෙකුත් වාණිජ වේදිකා මෙන්ම, StackRox විසින් නිරීක්ෂණය කරන ලද බහාලුම් හැසිරීම් මත පදනම්ව ධාවන කාල පැතිකඩක් ජනනය කරන අතර ඕනෑම අපගමනය සඳහා ස්වයංක්රීයව අනතුරු ඇඟවීමක් කරයි.
අතිරේකව, StackRox විසින් Kubernetes CIS සහ අනෙකුත් නීති පොත් භාවිතා කරමින් බහාලුම් අනුකූලතාවය ඇගයීමට Kubernetes වින්යාස විශ්ලේෂණය කරයි.
Sysdig Secure
- වෙබ් අඩවිය:
sysdig.com/products/secure - බලපත්රය: වාණිජ
Sysdig Secure සමස්ත බහාලුම් සහ Kubernetes ජීවන චක්රය පුරා යෙදුම් ආරක්ෂා කරයි. ඔහු
Sysdig Secure ජෙන්කින්ස් වැනි CI/CD මෙවලම් සමඟ ඒකාබද්ධ වන අතර ඩොකර් රෙජිස්ට්රාර් වෙතින් පටවන ලද පින්තූර පාලනය කරයි, නිෂ්පාදනයේදී භයානක රූප දිස්වීම වළක්වයි. එය ඇතුළුව පුළුල් ධාවන කාල ආරක්ෂාවක් ද සපයයි:
- ML මත පදනම් වූ ධාවන කාල පැතිකඩ සහ විෂමතා හඳුනාගැනීම;
- පද්ධති සිදුවීම්, K8s-විගණන API, ඒකාබද්ධ ප්රජා ව්යාපෘති (FIM - ගොනු අඛණ්ඩතාව අධීක්ෂණය; ගුප්ත කේතනය) සහ රාමුව මත පදනම් වූ ධාවන කාල ප්රතිපත්ති
MITER ATT&CK ; - ප්රතිචාර සහ සිදුවීම් විසඳීම.
Tenable බහාලුම් ආරක්ෂාව
- වෙබ් අඩවිය:
www.tenable.com/products/tenable-io/container-security - බලපත්රය: වාණිජ
බහාලුම් පැමිණීමට පෙර, ජනප්රිය අවදානම් දඩයම් සහ ආරක්ෂක විගණන මෙවලමක් වන Nessus පිටුපස සිටින සමාගම ලෙස Tenable කර්මාන්තයේ පුළුල් ලෙස ප්රසිද්ධ විය.
Tenable Container Security මගින් CI/CD නල මාර්ගයක් අවදානම් දත්ත සමුදායන්, විශේෂිත අනිෂ්ට මෘදුකාංග හඳුනාගැනීමේ පැකේජ සහ ආරක්ෂක තර්ජන නිරාකරණය කිරීම සඳහා නිර්දේශයන් සමඟ ඒකාබද්ධ කිරීමට සමාගමේ පරිගණක ආරක්ෂණ විශේෂඥතාව භාවිතා කරයි.
Twistlock (Palo Alto Networks)
- වෙබ් අඩවිය:
www.twistlock.com - බලපත්රය: වාණිජ
Twistlock ක්ලවුඩ් සේවා සහ බහාලුම් කෙරෙහි අවධානය යොමු කරන වේදිකාවක් ලෙස ප්රවර්ධනය කරයි. Twistlock විවිධ වලාකුළු සපයන්නන් (AWS, Azure, GCP), බහාලුම් වාද්ය වෘන්ද (Kubernetes, Mesospehere, OpenShift, Docker), සේවාදායක රහිත ධාවන කාල, දැල් රාමු සහ CI/CD මෙවලම් සඳහා සහය දක්වයි.
CI/CD නල මාර්ග ඒකාබද්ධ කිරීම හෝ රූප පරිලෝකනය වැනි සාම්ප්රදායික ව්යවසාය-ශ්රේණියේ ආරක්ෂක ක්රමවලට අමතරව, Twistlock බහාලුම්-විශේෂිත හැසිරීම් රටා සහ ජාල රීති උත්පාදනය කිරීමට යන්ත්ර ඉගෙනීම භාවිතා කරයි.
කලකට පෙර, Twistlock මිලදී ගන්නා ලද්දේ Evident.io සහ RedLock ව්යාපෘති හිමි Palo Alto Networks විසිනි. මෙම වේදිකා තුන හරියටම ඒකාබද්ධ කරන්නේ කෙසේද යන්න තවමත් නොදනී
Kubernetes ආරක්ෂක මෙවලම්වල හොඳම නාමාවලිය තැනීමට උදවු කරන්න!
අපි මෙම නාමාවලිය හැකිතාක් සම්පූර්ණ කිරීමට උත්සාහ කරන අතර, මේ සඳහා අපට ඔබගේ උදව් අවශ්ය වේ! අපව අමතන්න (
ඔබට අපගේ දායකත්වයද ලබා ගත හැක
පරිවර්තකගෙන් PS
අපගේ බ්ලොග් අඩවියේ ද කියවන්න:
- «
ආරක්ෂක වෘත්තිකයන් සඳහා Kubernetes ජාල ප්රතිපත්ති පිළිබඳ හැඳින්වීමක් »; - «
ආරක්ෂාව ඉල්ලන පරිසරයක ඩොකර් සහ කුබර්නෙට්ස් »; - «
9 Kubernetes ආරක්ෂක හොඳම භාවිතයන් »; - «
Kubernetes Hack එකක ගොදුරක් වීමට (නොවන) මාර්ග 11 »; - «
OPA සහ SPIFFE යනු CNCF හි වලාකුළු යෙදුම් ආරක්ෂාව සඳහා නව ව්යාපෘති දෙකකි ".
මූලාශ්රය: www.habr.com