33+ bezpečnostných nástrojov Kubernetes

Poznámka. preklad.: Ak vás zaujíma bezpečnosť v infraštruktúre založenej na Kubernetes, tento vynikajúci prehľad od spoločnosti Sysdig je skvelým východiskovým bodom pre rýchly pohľad na aktuálne riešenia. Zahŕňa komplexné systémy od známych hráčov na trhu a oveľa skromnejšie nástroje, ktoré riešia konkrétny problém. A v komentároch si ako vždy radi vypočujeme vaše skúsenosti s používaním týchto nástrojov a uvidíme odkazy na ďalšie projekty.

Produkty bezpečnostného softvéru Kubernetes... je ich veľmi veľa, každý má svoje vlastné ciele, rozsah a licencie.

Preto sme sa rozhodli vytvoriť tento zoznam a zahrnúť doň projekty s otvoreným zdrojovým kódom aj komerčné platformy od rôznych dodávateľov. Dúfame, že vám pomôže identifikovať tie, ktoré vás najviac zaujímajú, a nasmeruje vás správnym smerom na základe vašich špecifických potrieb zabezpečenia Kubernetes.

Категории

Na uľahčenie navigácie v zozname sú nástroje usporiadané podľa hlavnej funkcie a aplikácie. Získali sa tieto sekcie:

• skenovanie obrázkov a statická analýza Kubernetes;
• Bezpečnosť behu;
• bezpečnosť siete Kubernetes;
• Distribúcia obrázkov a správa tajomstiev;
• Bezpečnostný audit Kubernetes;
• Komplexné komerčné produkty.

Dajme sa do práce:

Skenovanie obrázkov Kubernetes

Kotva

• Website: anchore.com
• Licencia: bezplatná (Apache) a komerčná ponuka

Anchore analyzuje obrázky kontajnerov a umožňuje bezpečnostné kontroly na základe pravidiel definovaných používateľom.

Okrem zvyčajného skenovania obrázkov kontajnerov na známe zraniteľnosti z databázy CVE vykonáva Anchore mnoho ďalších kontrol ako súčasť svojej politiky skenovania: kontroluje súbor Dockerfile, úniky poverení, balíky používaných programovacích jazykov (npm, maven atď. .), softvérové ​​licencie a oveľa viac .

Clair

• Website: coreos.com/clair (teraz pod vedením Red Hat)
• Licencia: zadarmo (Apache)

Clair bol jedným z prvých Open Source projektov pre skenovanie obrázkov. Je všeobecne známy ako bezpečnostný skener za registrom obrázkov Quay (tiež z CoreOS - približne. preklad). Clair môže zhromažďovať informácie CVE zo širokej škály zdrojov vrátane zoznamov zraniteľností špecifických pre distribúciu Linuxu, ktoré spravujú bezpečnostné tímy Debian, Red Hat alebo Ubuntu.

Na rozdiel od Anchore sa Clair primárne zameriava na hľadanie slabých miest a porovnávanie údajov s CVE. Produkt však používateľom ponúka určité možnosti rozšírenia funkcií pomocou zásuvných ovládačov.

dagda

• Website: github.com/eliasgranderubio/dagda
• Licencia: zadarmo (Apache)

Dagda vykonáva statickú analýzu obrázkov kontajnerov na známe zraniteľnosti, trójske kone, vírusy, malvér a iné hrozby.

Dve pozoruhodné vlastnosti odlišujú Dagda od iných podobných nástrojov:

• Dokonale sa integruje s ClamAV, pôsobiaci nielen ako nástroj na skenovanie obrázkov kontajnerov, ale aj ako antivírus.
• Poskytuje tiež runtime ochranu prijímaním udalostí v reálnom čase od démona Docker a integráciou s Falco (Pozri nižšie) na zhromažďovanie bezpečnostných udalostí, keď je kontajner spustený.

KubeXray

• Website: github.com/jfrog/kubexray
• Licencia: Bezplatná (Apache), ale vyžaduje údaje z JFrog Xray (komerčný produkt)

KubeXray počúva udalosti zo servera Kubernetes API a používa metadáta z JFrog Xray, aby sa zabezpečilo, že sa spustia iba moduly, ktoré zodpovedajú aktuálnej politike.

KubeXray nielen audituje nové alebo aktualizované kontajnery v nasadeniach (podobne ako kontrolér prístupu v Kubernetes), ale tiež dynamicky kontroluje spustené kontajnery, či sú v súlade s novými bezpečnostnými politikami, pričom odstraňuje zdroje, ktoré odkazujú na zraniteľné obrázky.

Snyk

• Website: snyk.io
• Licencia: bezplatná (Apache) a komerčné verzie

Snyk je nezvyčajný skener zraniteľnosti v tom, že sa špecificky zameriava na proces vývoja a je propagovaný ako „základné riešenie“ pre vývojárov.

Snyk sa pripája priamo k úložiskám kódu, analyzuje manifest projektu a analyzuje importovaný kód spolu s priamymi a nepriamymi závislosťami. Snyk podporuje mnoho populárnych programovacích jazykov a dokáže identifikovať skryté licenčné riziká.

Trivy

• Website: github.com/knqyf263/trivy
• Licencia: zadarmo (AGPL)

Trivy je jednoduchý, ale výkonný skener zraniteľnosti pre kontajnery, ktorý sa ľahko integruje do potrubia CI/CD. Jeho pozoruhodnou vlastnosťou je jednoduchosť inštalácie a prevádzky: aplikácia pozostáva z jedného binárneho súboru a nevyžaduje inštaláciu databázy alebo ďalších knižníc.

Nevýhodou jednoduchosti Trivy je, že musíte prísť na to, ako analyzovať a posielať výsledky vo formáte JSON, aby ich mohli používať iné bezpečnostné nástroje Kubernetes.

Bezpečnosť behu v Kubernetes

falco

• Website: falco.org
• Licencia: zadarmo (Apache)

Falco je sada nástrojov na zabezpečenie cloudových runtime prostredí. Časť projektovej rodiny CNCF.

Pomocou nástrojov na úrovni jadra Sysdig a profilovania systémových volaní od spoločnosti Sysdig vám Falco umožňuje ponoriť sa hlboko do správania systému. Jeho modul pravidiel behu je schopný odhaliť podozrivú aktivitu v aplikáciách, kontajneroch, základnom hostiteľovi a orchestrátore Kubernetes.

Falco poskytuje úplnú transparentnosť pri behu a detekcii hrozieb nasadením špeciálnych agentov na uzloch Kubernetes na tieto účely. V dôsledku toho nie je potrebné upravovať kontajnery zavádzaním kódu tretích strán do nich alebo pridávaním kontajnerov postranných vozíkov.

Linuxové bezpečnostné rámce pre runtime

Tieto natívne rámce pre linuxové jadro nie sú „bezpečnostnými nástrojmi Kubernetes“ v tradičnom slova zmysle, ale stojí za zmienku, pretože sú dôležitým prvkom v kontexte zabezpečenia runtime, ktorý je zahrnutý v bezpečnostnej politike Kubernetes Pod (PSP).

AppArmor pripája bezpečnostný profil k procesom spusteným v kontajneri, definuje privilégiá súborového systému, pravidlá prístupu k sieti, pripájanie knižníc atď. Ide o systém založený na povinnej kontrole prístupu (MAC). Inými slovami, bráni vykonávaniu zakázaných činností.

Linux s vylepšeným zabezpečením (SELinux) je pokročilý bezpečnostný modul v jadre Linuxu, v niektorých aspektoch podobný AppArmor a často sa s ním porovnáva. SELinux je lepší ako AppArmor v sile, flexibilite a prispôsobení. Jeho nevýhodou je dlhá doba učenia a zvýšená zložitosť.

Seccomp a seccomp-bpf vám umožňujú filtrovať systémové volania, blokovať spustenie tých, ktoré sú potenciálne nebezpečné pre základný OS a nie sú potrebné pre bežnú prevádzku používateľských aplikácií. Seccomp je v niektorých smeroch podobný Falcu, aj keď nepozná špecifiká kontajnerov.

Sysdig s otvoreným zdrojom

• Website: www.sysdig.com/opensource
• Licencia: zadarmo (Apache)

Sysdig je kompletný nástroj na analýzu, diagnostiku a ladenie systémov Linux (funguje aj na Windows a macOS, ale s obmedzenými funkciami). Môže sa použiť na podrobné zhromažďovanie informácií, overovanie a forenznú analýzu. (forenzné) základný systém a všetky kontajnery, ktoré na ňom bežia.

Sysdig tiež natívne podporuje runtime kontajnerov a metaúdaje Kubernetes a pridáva ďalšie dimenzie a štítky ku všetkým informáciám o správaní systému, ktoré zhromažďuje. Existuje niekoľko spôsobov, ako analyzovať klaster Kubernetes pomocou Sysdig: môžete vykonávať zachytávanie v určitom čase pomocou kubectl zachytenie alebo spustite interaktívne rozhranie založené na ncurses pomocou pluginu kubectl dig.

Zabezpečenie siete Kubernetes

Aporeto

• Website: www.aporeto.com
• Licencia: komerčná

Aporeto ponúka "zabezpečenie oddelené od siete a infraštruktúry." To znamená, že služby Kubernetes dostávajú nielen lokálne ID (t. j. ServiceAccount v Kubernetes), ale aj univerzálne ID/odtlačok prsta, ktorý možno použiť na bezpečnú a vzájomnú komunikáciu s akoukoľvek inou službou, napríklad v klastri OpenShift.

Aporeto dokáže vygenerovať jedinečné ID nielen pre Kubernetes/kontajnery, ale aj pre hostiteľov, cloudové funkcie a používateľov. V závislosti od týchto identifikátorov a súboru pravidiel bezpečnosti siete nastavených správcom bude komunikácia povolená alebo zablokovaná.

kaliko

• Website: www.projectcalico.org
• Licencia: zadarmo (Apache)

Calico sa zvyčajne nasadzuje počas inštalácie orchestrátora kontajnerov, čo vám umožňuje vytvoriť virtuálnu sieť, ktorá prepája kontajnery. Okrem tejto základnej sieťovej funkcionality projekt Calico pracuje so sieťovými politikami Kubernetes a vlastnou sadou sieťových bezpečnostných profilov, podporuje koncové ACL (zoznamy riadenia prístupu) a pravidlá sieťovej bezpečnosti založené na anotáciách pre vstupnú a výstupnú prevádzku.

cilium

• Website: www.cilium.io
• Licencia: zadarmo (Apache)

Cilium funguje ako brána firewall pre kontajnery a poskytuje funkcie zabezpečenia siete natívne prispôsobené pracovným zaťaženiam Kubernetes a mikroslužieb. Cilium používa novú technológiu jadra Linuxu s názvom BPF (Berkeley Packet Filter) na filtrovanie, monitorovanie, presmerovanie a opravu údajov.

Cilium dokáže nasadiť politiky prístupu k sieti založené na ID kontajnerov pomocou štítkov a metadát Docker alebo Kubernetes. Cilium tiež rozumie a filtruje rôzne protokoly vrstvy 7, ako je HTTP alebo gRPC, čo vám umožňuje definovať sadu REST hovorov, ktoré budú povolené napríklad medzi dvoma nasadeniami Kubernetes.

Istio

• Website: istio.io
• Licencia: zadarmo (Apache)

Spoločnosť Istio je všeobecne známa implementáciou paradigmy servisnej siete nasadením riadiacej roviny nezávislej od platformy a smerovaním všetkej prevádzky riadených služieb prostredníctvom dynamicky konfigurovateľných proxy serverov Envoy. Istio využíva tento pokročilý pohľad na všetky mikroslužby a kontajnery na implementáciu rôznych stratégií zabezpečenia siete.

Možnosti zabezpečenia siete Istio zahŕňajú transparentné šifrovanie TLS na automatickú aktualizáciu komunikácie medzi mikroslužbami na HTTPS a vlastný systém identifikácie a autorizácie RBAC, ktorý umožňuje/zakazuje komunikáciu medzi rôznymi pracovnými záťažami v klastri.

Poznámka. preklad.: Ak sa chcete dozvedieť viac o možnostiach Istio zameraných na bezpečnosť, prečítajte si v tomto článku.

Tigera

• Website: www.tigera.io
• Licencia: komerčná

Toto riešenie s názvom „Kubernetes Firewall“ zdôrazňuje prístup k bezpečnosti siete s nulovou dôverou.

Podobne ako iné natívne sieťové riešenia Kubernetes, Tigera sa spolieha na metadáta na identifikáciu rôznych služieb a objektov v klastri a poskytuje detekciu problémov pri behu, nepretržitú kontrolu súladu a viditeľnosť siete pre multicloudové alebo hybridné monolitické kontajnerové infraštruktúry.

triréme

• Website: www.aporeto.com/opensource
• Licencia: zadarmo (Apache)

Trireme-Kubernetes je jednoduchá a priamočiara implementácia špecifikácie sieťových politík Kubernetes. Najpozoruhodnejšou vlastnosťou je, že na rozdiel od podobných produktov zabezpečenia siete Kubernetes nevyžaduje centrálnu riadiacu rovinu na koordináciu siete. Vďaka tomu je riešenie triviálne škálovateľné. V Trireme sa to dosiahne inštaláciou agenta na každý uzol, ktorý sa priamo pripája k zásobníku TCP/IP hostiteľa.

Propagácia obrazu a správa tajomstiev

Grafeas

• Website: grafeas.io
• Licencia: zadarmo (Apache)

Grafeas je open source API pre audit a správu dodávateľského reťazca softvéru. Grafeas je na základnej úrovni nástrojom na zber metadát a zistení auditu. Môže sa použiť na sledovanie súladu s osvedčenými bezpečnostnými postupmi v rámci organizácie.

Tento centralizovaný zdroj pravdy pomáha odpovedať na otázky ako:

• Kto vyzbieral a podpísal konkrétny kontajner?
• Prešiel všetkými bezpečnostnými kontrolami a kontrolami vyžadovanými bezpečnostnou politikou? Kedy? Aké boli výsledky?
• Kto to nasadil do výroby? Aké konkrétne parametre boli použité počas nasadenia?

In-toto

• Website: in-toto.github.io
• Licencia: zadarmo (Apache)

In-toto je rámec navrhnutý tak, aby poskytoval integritu, autentifikáciu a audit celého dodávateľského reťazca softvéru. Pri nasadzovaní In-toto v infraštruktúre je najprv definovaný plán, ktorý popisuje rôzne kroky v potrubí (úložisko, nástroje CI/CD, nástroje QA, zberače artefaktov atď.) a používateľov (zodpovedné osoby), ktorí majú povolené iniciovať ich.

In-toto monitoruje plnenie plánu a overuje, že každú úlohu v reťazci vykonáva správne len oprávnená osoba a že s výrobkom počas pohybu neboli vykonané žiadne neoprávnené manipulácie.

Portieris

• Website: github.com/IBM/portieris
• Licencia: zadarmo (Apache)

Portieris je kontrolér vstupu pre Kubernetes; používa sa na presadzovanie kontrol dôveryhodnosti obsahu. Portieris používa server notár (písali sme o ňom na konci tento článok - približne. preklad) ako zdroj pravdy na overenie dôveryhodných a podpísaných artefaktov (t. j. schválených obrázkov kontajnerov).

Keď sa v Kubernetes vytvorí alebo upraví pracovné zaťaženie, Portieris stiahne podpisové informácie a politiku dôveryhodnosti obsahu pre požadované obrázky kontajnerov a v prípade potreby za chodu vykoná zmeny v objekte JSON API, aby sa spustili podpísané verzie týchto obrázkov.

Klenba

• Website: www.vaultproject.io
• Licencia: zadarmo (MPL)

Vault je bezpečné riešenie na ukladanie súkromných informácií: heslá, tokeny OAuth, certifikáty PKI, prístupové účty, tajomstvá Kubernetes atď. Vault podporuje mnoho pokročilých funkcií, ako je prenájom dočasných bezpečnostných tokenov alebo organizovanie striedania kľúčov.

Pomocou grafu Helm je možné nasadiť Vault ako nové nasadenie v klastri Kubernetes s Consul ako koncovým úložiskom. Podporuje natívne zdroje Kubernetes, ako sú tokeny ServiceAccount, a môže dokonca fungovať ako predvolený obchod pre tajomstvá Kubernetes.

Poznámka. preklad.: Mimochodom, práve včera spoločnosť HashiCorp, ktorá vyvíja Vault, oznámila niektoré vylepšenia pre používanie Vaultu v Kubernetes a týkajú sa najmä Helm grafu. Prečítajte si viac v vývojársky blog.

Bezpečnostný audit Kubernetes

Kube-lavička

• Website: github.com/aquasecurity/kube-bench
• Licencia: zadarmo (Apache)

Kube-bench je aplikácia Go, ktorá kontroluje, či je Kubernetes nasadený bezpečne, spustením testov zo zoznamu Benchmark CIS Kubernetes.

Kube-bench hľadá nezabezpečené konfiguračné nastavenia medzi komponentmi klastra (etcd, API, správca radiča atď.), pochybné prístupové práva k súborom, nechránené účty alebo otvorené porty, kvóty zdrojov, nastavenia na obmedzenie počtu volaní API na ochranu pred útokmi DoS , atď.

Kube-lovec

• Website: github.com/aquasecurity/kube-hunter
• Licencia: zadarmo (Apache)

Kube-hunter hľadá potenciálne zraniteľné miesta (ako je vzdialené spustenie kódu alebo sprístupnenie údajov) v klastroch Kubernetes. Kube-hunter môže byť spustený ako vzdialený skener – v takom prípade vyhodnotí klaster z pohľadu útočníka tretej strany – alebo ako modul vo vnútri klastra.

Charakteristickým rysom Kube-huntera je režim „aktívneho lovu“, počas ktorého nielen hlási problémy, ale snaží sa využiť aj zraniteľnosti objavené v cieľovom klastri, ktoré by mohli potenciálne poškodiť jeho fungovanie. Preto používajte opatrne!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Licencia: bezplatná (MIT)

Kubeaudit je konzolový nástroj pôvodne vyvinutý v Shopify na auditovanie konfigurácie Kubernetes pre rôzne bezpečnostné problémy. Pomáha napríklad identifikovať kontajnery, ktoré bežia bez obmedzenia, bežia ako root, zneužívajú privilégiá alebo používajú predvolený ServiceAccount.

Kubeaudit má ďalšie zaujímavé funkcie. Dokáže napríklad analyzovať lokálne súbory YAML, identifikovať chyby v konfigurácii, ktoré by mohli viesť k problémom so zabezpečením, a automaticky ich opraviť.

Kubesec

• Website: kubesec.io
• Licencia: zadarmo (Apache)

Kubesec je špeciálny nástroj v tom, že priamo skenuje súbory YAML, ktoré popisujú zdroje Kubernetes, pričom hľadá slabé parametre, ktoré by mohli ovplyvniť bezpečnosť.

Môže napríklad zistiť nadmerné privilégiá a povolenia udelené pod, spustenie kontajnera s rootom ako predvoleným používateľom, pripojenie k mennému priestoru siete hostiteľa alebo nebezpečné pripojenia ako /proc hostiteľ alebo zásuvka Docker. Ďalšou zaujímavou funkciou Kubesec je demo služba dostupná online, do ktorej môžete nahrať YAML a okamžite ho analyzovať.

Otvorte Policy Agent

• Website: www.openpolicyagent.org
• Licencia: zadarmo (Apache)

Koncept OPA (Open Policy Agent) spočíva v oddelení bezpečnostných politík a osvedčených postupov zabezpečenia od konkrétnej runtime platformy: Docker, Kubernetes, Mesosphere, OpenShift alebo akejkoľvek ich kombinácie.

Môžete napríklad nasadiť OPA ako backend pre kontrolór prístupu Kubernetes a delegovať naň rozhodnutia o bezpečnosti. Týmto spôsobom môže agent OPA overovať, odmietať a dokonca upravovať požiadavky za behu, čím sa zabezpečí splnenie špecifikovaných bezpečnostných parametrov. Bezpečnostné zásady OPA sú napísané v jej vlastnom jazyku DSL, Rego.

Poznámka. preklad.: Viac o OPA (a SPIFFE) sme písali v tieto veci.

Komplexné komerčné nástroje pre analýzu zabezpečenia Kubernetes

Rozhodli sme sa vytvoriť samostatnú kategóriu pre komerčné platformy, pretože zvyčajne pokrývajú viacero oblastí bezpečnosti. Všeobecnú predstavu o ich schopnostiach možno získať z tabuľky:

* Pokročilé vyšetrenie a post mortem analýza s komplet únos systémových hovorov.

Aqua Security

• Website: www.aquasec.com
• Licencia: komerčná

Tento komerčný nástroj je určený pre kontajnery a cloudové úlohy. To poskytuje:

• Skenovanie obrazu integrované s registrom kontajnerov alebo potrubím CI/CD;
• Runtime ochrana s vyhľadávaním zmien v kontajneroch a inej podozrivej činnosti;
• Kontajnerovo natívny firewall;
• Bezpečnosť pre bezserverové cloudové služby;
• Testovanie súladu a audit v kombinácii s protokolovaním udalostí.

Poznámka. preklad.: Za zmienku tiež stojí, že existujú voľná zložka produktu tzv MicroScanner, ktorý vám umožňuje skenovať obrázky kontajnerov a hľadať chyby zabezpečenia. Porovnanie jeho schopností s platenými verziami je uvedené v tejto tabuľky.

Kapsula8

• Website: kapsule8.com
• Licencia: komerčná

Capsule8 sa integruje do infraštruktúry inštaláciou detektora na lokálny alebo cloudový klaster Kubernetes. Tento detektor zhromažďuje telemetriu hostiteľa a siete a porovnáva ju s rôznymi typmi útokov.

Tím Capsule8 vidí svoju úlohu vo včasnej detekcii a prevencii útokov pomocou nových (0 dní) zraniteľnosti. Capsule8 dokáže stiahnuť aktualizované bezpečnostné pravidlá priamo do detektorov v reakcii na novoobjavené hrozby a softvérové ​​zraniteľnosti.

Cavirin

• Website: www.cavirin.com
• Licencia: komerčná

Cavirin pôsobí ako dodávateľ na strane spoločnosti pre rôzne agentúry zapojené do bezpečnostných noriem. Nielenže dokáže skenovať obrázky, ale môže sa tiež integrovať do potrubia CI/CD a blokovať neštandardné obrázky predtým, ako vstúpia do uzavretých úložísk.

Bezpečnostný balík Cavirin využíva strojové učenie na posúdenie vašej pozície v oblasti kybernetickej bezpečnosti a ponúka tipy na zlepšenie zabezpečenia a zlepšenie súladu s bezpečnostnými štandardmi.

Centrum príkazov Google Cloud Security

• Website: cloud.google.com/security-command-center
• Licencia: komerčná

Cloud Security Command Center pomáha bezpečnostným tímom zhromažďovať údaje, identifikovať hrozby a eliminovať ich skôr, ako poškodia spoločnosť.

Ako už názov napovedá, Google Cloud SCC je zjednotený ovládací panel, ktorý dokáže z jedného centralizovaného zdroja integrovať a spravovať rôzne bezpečnostné správy, nástroje na účtovanie majetku a bezpečnostné systémy tretích strán.

Interoperabilné rozhranie API, ktoré ponúka Google Cloud SCC, uľahčuje integráciu bezpečnostných udalostí pochádzajúcich z rôznych zdrojov, ako je napríklad Sysdig Secure (zabezpečenie kontajnerov pre cloudové natívne aplikácie) alebo Falco (zabezpečenie s otvoreným zdrojom).

Layered Insight (Qualys)

• Website: layeredinsight.com
• Licencia: komerčná

Layered Insight (teraz súčasť Qualys Inc) je postavený na koncepte „embedded security“. Po naskenovaní pôvodného obrázku na chyby zabezpečenia pomocou štatistickej analýzy a kontrol CVE ho Layered Insight nahradí inštrumentovaným obrázkom, ktorý obsahuje agenta ako binárny súbor.

Tento agent obsahuje runtime bezpečnostné testy na analýzu kontajnerovej sieťovej prevádzky, I/O tokov a aktivity aplikácií. Okrem toho môže vykonávať dodatočné bezpečnostné kontroly špecifikované správcom infraštruktúry alebo tímami DevOps.

NeuVector

• Website: neuvector.com
• Licencia: komerčná

NeuVector kontroluje bezpečnosť kontajnera a poskytuje ochranu za behu pomocou analýzy sieťovej aktivity a správania aplikácií, pričom pre každý kontajner vytvára individuálny bezpečnostný profil. Môže tiež blokovať hrozby samostatne, pričom izoluje podozrivú aktivitu zmenou miestnych pravidiel brány firewall.

Sieťová integrácia NeuVector, známa ako Security Mesh, je schopná hĺbkovej analýzy paketov a filtrovania vrstvy 7 pre všetky sieťové pripojenia v servisnej sieti.

StackRox

• Website: www.stackrox.com
• Licencia: komerčná

Bezpečnostná platforma kontajnerov StackRox sa snaží pokryť celý životný cyklus aplikácií Kubernetes v klastri. Rovnako ako ostatné komerčné platformy v tomto zozname, aj StackRox generuje runtime profil na základe pozorovaného správania kontajnera a automaticky spustí alarm pre akékoľvek odchýlky.

Okrem toho StackRox analyzuje konfigurácie Kubernetes pomocou Kubernetes CIS a iných súborov pravidiel na vyhodnotenie súladu s kontajnermi.

Sysdig Secure

• Website: sysdig.com/products/secure
• Licencia: komerčná

Sysdig Secure chráni aplikácie počas celého životného cyklu kontajnera a Kubernetes. On skenuje obrázky kontajnerov, poskytuje runtime ochranu podľa údajov strojového učenia vykonáva krém. odbornosť na identifikáciu slabých miest, blokovanie hrozieb, monitorovanie dodržiavanie stanovených noriem a audítorskú činnosť v mikroslužbách.

Sysdig Secure sa integruje s nástrojmi CI/CD, ako je Jenkins, a riadi obrázky načítané z registrov Docker, čím zabraňuje tomu, aby sa vo výrobe objavili nebezpečné obrázky. Poskytuje tiež komplexné zabezpečenie za behu, vrátane:

• profilovanie a detekcia anomálií na báze ML;
• runtime politiky založené na systémových udalostiach, K8s-audit API, spoločných komunitných projektoch (FIM - monitorovanie integrity súborov; cryptojacking) a frameworku MITRE ATT&CK;
• reakciu a riešenie incidentov.

Udržateľné zabezpečenie kontajnerov

• Website: www.tenable.com/products/tenable-io/container-security
• Licencia: komerčná

Pred príchodom kontajnerov bol Tenable v priemysle široko známy ako spoločnosť stojaca za Nessusom, populárnym nástrojom na vyhľadávanie zraniteľností a bezpečnostný audit.

Tenable Container Security využíva odborné znalosti spoločnosti v oblasti počítačovej bezpečnosti na integráciu kanála CI/CD s databázami zraniteľností, špecializovanými balíkmi na detekciu škodlivého softvéru a odporúčaniami na riešenie bezpečnostných hrozieb.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Licencia: komerčná

Twistlock sa propaguje ako platforma zameraná na cloudové služby a kontajnery. Twistlock podporuje rôznych cloudových poskytovateľov (AWS, Azure, GCP), kontajnerové orchestrátory (Kubernetes, Mesospehere, OpenShift, Docker), bezserverové runtime, mesh frameworky a CI/CD nástroje.

Okrem bežných bezpečnostných techník na podnikovej úrovni, ako je integrácia CI/CD potrubia alebo skenovanie obrázkov, Twistlock využíva strojové učenie na generovanie vzorcov správania a sieťových pravidiel špecifických pre kontajnery.

Twistlock pred časom kúpila spoločnosť Palo Alto Networks, ktorá vlastní projekty Evident.io a RedLock. Zatiaľ nie je známe, ako presne budú tieto tri platformy integrované PRISMA z Palo Alto.

Pomôžte vytvoriť najlepší katalóg bezpečnostných nástrojov Kubernetes!

Snažíme sa, aby bol tento katalóg čo najkompletnejší, a preto potrebujeme vašu pomoc! Kontaktuj nás (@sysdig) ak máte na mysli skvelý nástroj, ktorý si zaslúži zahrnutie do tohto zoznamu, alebo nájdete chybu/zastarané informácie.

Môžete sa tiež prihlásiť na odber našich mesačný newsletter s novinkami z cloudového natívneho ekosystému a príbehmi o zaujímavých projektoch zo sveta bezpečnosti Kubernetes.

PS od prekladateľa

Prečítajte si aj na našom blogu:

• «Úvod do sieťových zásad Kubernetes pre profesionálov v oblasti bezpečnosti»;
• «Docker a Kubernetes v prostrediach náročných na bezpečnosť»;
• «9 Osvedčené postupy zabezpečenia Kubernetes»;
• «11 spôsobov, ako sa (ne)stať obeťou hacku Kubernetes»;
• «OPA a SPIFFE sú dva nové projekty v CNCF pre bezpečnosť cloudových aplikácií".

Zdroj: hab.com