33+ varnostnih orodij Kubernetes

Opomba. prevod: Če se sprašujete o varnosti v infrastrukturi, ki temelji na Kubernetesu, je ta odličen pregled iz Sysdiga odlično izhodišče za hiter pregled trenutnih rešitev. Vključuje tako zapletene sisteme znanih akterjev na trgu kot veliko bolj skromne pripomočke, ki rešujejo določen problem. V komentarjih pa bomo, kot vedno, veseli vaših izkušenj z uporabo teh orodij in si ogledali povezave do drugih projektov.

Varnostni programski izdelki Kubernetes ... toliko jih je, vsak s svojimi cilji, obsegom in licencami.

Zato smo se odločili ustvariti ta seznam in vključiti odprtokodne projekte in komercialne platforme različnih ponudnikov. Upamo, da vam bo pomagal prepoznati tiste, ki vas najbolj zanimajo, in vas usmeril v pravo smer glede na vaše specifične varnostne potrebe Kubernetes.

Категории

Za lažjo navigacijo po seznamu so orodja organizirana po glavni funkciji in aplikaciji. Pridobljeni so bili naslednji razdelki:

• skeniranje slik Kubernetes in statična analiza;
• Varnost med izvajanjem;
• Varnost omrežja Kubernetes;
• Distribucija slik in upravljanje skrivnosti;
• varnostna revizija Kubernetes;
• Celoviti komercialni izdelki.

Pa se lotimo stvari:

Skeniranje slik Kubernetes

Zasidrati

• Spletna stran: anchore.com
• Licenca: brezplačna (Apache) in komercialna ponudba

Anchore analizira slike vsebnikov in omogoča varnostne preglede na podlagi uporabniško določenih pravilnikov.

Poleg običajnega skeniranja slik vsebnika za znane ranljivosti iz baze podatkov CVE, Anchore izvaja številne dodatne preglede kot del svoje politike skeniranja: preveri Dockerfile, uhajanje poverilnic, pakete uporabljenih programskih jezikov (npm, maven itd.). .), licence programske opreme in še veliko več.

Počisti

• Spletna stran: coreos.com/clair (zdaj pod taktirko Red Hat)
• Licenca: brezplačno (Apache)

Clair je bil eden prvih odprtokodnih projektov za skeniranje slik. Splošno znan je kot varnostni skener za registrom slik Quay (tudi iz CoreOS - pribl. prevod). Clair lahko zbira informacije CVE iz številnih virov, vključno s seznami ranljivosti, specifičnih za distribucijo Linuxa, ki jih vzdržujejo varnostne ekipe Debian, Red Hat ali Ubuntu.

Za razliko od Anchore se Clair osredotoča predvsem na iskanje ranljivosti in ujemanje podatkov s CVE. Vendar pa izdelek ponuja uporabnikom nekaj priložnosti za razširitev funkcij z uporabo vtičnikov gonilnikov.

Dagda

• Spletna stran: github.com/eliasgranderubio/dagda
• Licenca: brezplačno (Apache)

Dagda izvaja statično analizo slik vsebnika za znane ranljivosti, trojance, viruse, zlonamerno programsko opremo in druge grožnje.

Dve pomembni lastnosti razlikujeta Dagdo od drugih podobnih orodij:

• Popolnoma se integrira z ClamAV, ki ne deluje le kot orodje za skeniranje slik vsebnikov, ampak tudi kot protivirusno sredstvo.
• Zagotavlja tudi zaščito med izvajanjem s prejemanjem dogodkov v realnem času od demona Docker in integracijo s Falcom (glej spodaj) za zbiranje varnostnih dogodkov med delovanjem vsebnika.

KubeXray

• Spletna stran: github.com/jfrog/kubexray
• Licenca: brezplačno (Apache), vendar zahteva podatke iz JFrog Xray (komercialni izdelek)

KubeXray posluša dogodke s strežnika Kubernetes API in uporablja metapodatke iz JFrog Xray, da zagotovi, da se zaženejo samo podi, ki ustrezajo trenutnemu pravilniku.

KubeXray ne revidira le novih ali posodobljenih vsebnikov v uvedbah (podobno kot krmilnik za sprejem v Kubernetesu), ampak tudi dinamično preverja skladnost tekočih vsebnikov z novimi varnostnimi politikami, pri čemer odstranjuje vire, ki se sklicujejo na ranljive slike.

Snyk

• Spletna stran: snyk.io
• Licenca: brezplačna (Apache) in komercialna različica

Snyk je nenavaden pregledovalnik ranljivosti, saj cilja posebej na razvojni proces in se promovira kot "bistvena rešitev" za razvijalce.

Snyk se neposredno poveže z repozitoriji kode, razčleni manifest projekta in analizira uvoženo kodo skupaj z neposrednimi in posrednimi odvisnostmi. Snyk podpira številne priljubljene programske jezike in lahko prepozna skrita licenčna tveganja.

Trivy

• Spletna stran: github.com/knqyf263/trivy
• Licenca: brezplačna (AGPL)

Trivy je preprost, a zmogljiv pregledovalnik ranljivosti za vsebnike, ki se enostavno integrira v cevovod CI/CD. Njena pomembna lastnost je enostavna namestitev in delovanje: aplikacija je sestavljena iz ene same dvojiške datoteke in ne zahteva namestitve baze podatkov ali dodatnih knjižnic.

Slaba stran preprostosti Trivyja je, da morate ugotoviti, kako razčleniti in posredovati rezultate v formatu JSON, da jih lahko uporabljajo druga varnostna orodja Kubernetes.

Varnost med izvajanjem v Kubernetesu

Falco

• Spletna stran: falco.org
• Licenca: brezplačno (Apache)

Falco je nabor orodij za varovanje izvajalnih okolij v oblaku. Del projektne družine CNCF.

Z uporabo Sysdigovega orodja na ravni jedra Linuxa in profiliranja sistemskih klicev vam Falco omogoča, da se poglobite v vedenje sistema. Njegov mehanizem pravil izvajanja je sposoben zaznati sumljivo dejavnost v aplikacijah, vsebnikih, osnovnem gostitelju in orkestratorju Kubernetes.

Falco zagotavlja popolno preglednost v času izvajanja in odkrivanju groženj z uvedbo posebnih agentov na vozliščih Kubernetes za te namene. Posledično ni potrebe po spreminjanju zabojnikov z uvedbo kode tretjih oseb vanje ali dodajanjem zabojnikov s prikolico.

Varnostni okviri Linuxa za čas izvajanja

Ta domača ogrodja za jedro Linuxa niso »varnostna orodja Kubernetes« v tradicionalnem smislu, vendar jih je vredno omeniti, ker so pomemben element v kontekstu varnosti med izvajanjem, ki je vključena v varnostno politiko Kubernetes Pod (PSP).

AppArmor pripne varnostni profil procesom, ki se izvajajo v vsebniku, definira privilegije datotečnega sistema, pravila dostopa do omrežja, povezovanje knjižnic itd. To je sistem, ki temelji na obveznem nadzoru dostopa (MAC). Z drugimi besedami, preprečuje izvajanje prepovedanih dejanj.

Linux z izboljšano varnostjo (SELinux) je napreden varnostni modul v jedru Linuxa, ki je v nekaterih pogledih podoben AppArmorju in ga pogosto primerjajo. SELinux je boljši od AppArmorja v moči, prilagodljivosti in prilagajanju. Njegovi slabosti sta dolga učna krivulja in večja kompleksnost.

Seccomp in seccomp-bpf omogočata filtriranje sistemskih klicev, blokiranje izvajanja tistih, ki so potencialno nevarni za osnovni OS in niso potrebni za normalno delovanje uporabniških aplikacij. Seccomp je v nekaterih pogledih podoben Falcu, čeprav ne pozna posebnosti kontejnerjev.

Sysdig odprtokodni

• Spletna stran: www.sysdig.com/opensource
• Licenca: brezplačno (Apache)

Sysdig je popolno orodje za analizo, diagnosticiranje in odpravljanje napak v sistemih Linux (deluje tudi v sistemih Windows in macOS, vendar z omejenimi funkcijami). Uporablja se lahko za podrobno zbiranje informacij, preverjanje in forenzično analizo. (forenzika) osnovni sistem in vse vsebnike, ki tečejo na njem.

Sysdig prav tako izvorno podpira izvajalne čase vsebnika in metapodatke Kubernetes ter dodaja dodatne dimenzije in oznake vsem informacijam o vedenju sistema, ki jih zbira. Obstaja več načinov za analizo gruče Kubernetes s pomočjo Sysdig: zajem v trenutku lahko izvedete prek zajem kubectl ali zaženite interaktivni vmesnik, ki temelji na ncurses, z uporabo vtičnika kubectl kopati.

Varnost omrežja Kubernetes

Aporeto

• Spletna stran: www.aporeto.com
• Licenca: komercialna

Aporeto ponuja "varnost, ločeno od omrežja in infrastrukture." To pomeni, da storitve Kubernetes ne prejmejo le lokalnega ID-ja (tj. ServiceAccount v Kubernetesu), temveč tudi univerzalni ID/prstni odtis, ki se lahko uporablja za varno in medsebojno komunikacijo s katero koli drugo storitvijo, na primer v gruči OpenShift.

Aporeto je sposoben ustvariti edinstven ID ne le za Kubernetes/vsebnike, ampak tudi za gostitelje, funkcije v oblaku in uporabnike. Odvisno od teh identifikatorjev in niza varnostnih pravil omrežja, ki jih je nastavil skrbnik, bo komunikacija dovoljena ali blokirana.

Calico

• Spletna stran: www.projectcalico.org
• Licenca: brezplačno (Apache)

Calico se običajno namesti med namestitvijo orkestratorja vsebnikov, kar vam omogoča, da ustvarite navidezno omrežje, ki povezuje vsebnike. Poleg te osnovne omrežne funkcionalnosti projekt Calico deluje z omrežnimi pravilniki Kubernetes in lastnim naborom omrežnih varnostnih profilov, podpira ACL končne točke (sezname za nadzor dostopa) in omrežna varnostna pravila za vhodni in izhodni promet, ki temeljijo na opombah.

Cilij

• Spletna stran: www.cilium.io
• Licenca: brezplačno (Apache)

Cilium deluje kot požarni zid za vsebnike in zagotavlja omrežne varnostne funkcije, ki so izvorno prilagojene delovnim obremenitvam Kubernetes in mikrostoritev. Cilium uporablja novo tehnologijo jedra Linuxa, imenovano BPF (Berkeley Packet Filter), za filtriranje, spremljanje, preusmerjanje in popravljanje podatkov.

Cilium je sposoben uvajati politike dostopa do omrežja na podlagi ID-jev vsebnikov z uporabo oznak in metapodatkov Docker ali Kubernetes. Cilium prav tako razume in filtrira različne protokole ravni 7, kot sta HTTP ali gRPC, kar vam omogoča, da definirate niz klicev REST, ki bodo na primer dovoljeni med dvema umestitvama Kubernetes.

Istio

• Spletna stran: istio.io
• Licenca: brezplačno (Apache)

Istio je splošno znan po izvajanju paradigme mrežnega omrežja z uvedbo nadzorne ravnine, neodvisne od platforme, in usmerjanjem celotnega prometa upravljanih storitev prek dinamično nastavljivih posrednikov Envoy. Istio izkorišča ta napredni pogled na vse mikrostoritve in vsebnike za implementacijo različnih varnostnih strategij omrežja.

Zmožnosti omrežne varnosti Istio vključujejo transparentno šifriranje TLS za samodejno nadgradnjo komunikacij med mikrostoritvami na HTTPS ter lastniški identifikacijski in avtorizacijski sistem RBAC za omogočanje/zavrnitev komunikacije med različnimi delovnimi obremenitvami v gruči.

Opomba. prevod: Če želite izvedeti več o zmožnostih Istia, osredotočenih na varnost, preberite ta članek.

Tigera

• Spletna stran: www.tigera.io
• Licenca: komercialna

Ta rešitev, imenovana »požarni zid Kubernetes«, poudarja pristop ničelnega zaupanja k varnosti omrežja.

Podobno kot druge domače omrežne rešitve Kubernetes se Tigera opira na metapodatke za identifikacijo različnih storitev in objektov v gruči ter zagotavlja zaznavanje težav med izvajanjem, stalno preverjanje skladnosti in vidnost omrežja za večoblačne ali hibridne monolitne vsebniške infrastrukture.

Trireme

• Spletna stran: www.aporeto.com/opensource
• Licenca: brezplačno (Apache)

Trireme-Kubernetes je preprosta in enostavna implementacija specifikacije omrežnih pravilnikov Kubernetes. Najpomembnejša značilnost je, da – za razliko od podobnih izdelkov za varnost omrežja Kubernetes – ne potrebuje centralne nadzorne ravnine za koordinacijo mreže. Zaradi tega je rešitev trivialno razširljiva. V Trireme je to doseženo z namestitvijo agenta na vsako vozlišče, ki se neposredno poveže z gostiteljevim skladom TCP/IP.

Širjenje slik in upravljanje skrivnosti

Grafeas

• Spletna stran: grafeas.io
• Licenca: brezplačno (Apache)

Grafeas je odprtokodni API za revizijo in upravljanje dobavne verige programske opreme. Na osnovni ravni je Grafeas orodje za zbiranje metapodatkov in revizijskih ugotovitev. Uporablja se lahko za sledenje skladnosti z najboljšimi varnostnimi praksami v organizaciji.

Ta centraliziran vir resnice pomaga odgovoriti na vprašanja, kot so:

• Kdo je prevzel in podpisal določen zabojnik?
• Ali je opravil vse varnostne preglede in preverjanja, ki jih zahteva varnostna politika? Kdaj? Kakšni so bili rezultati?
• Kdo ga je uvedel v proizvodnjo? Kateri specifični parametri so bili uporabljeni med uvajanjem?

In-toto

• Spletna stran: in-toto.github.io
• Licenca: brezplačno (Apache)

In-toto je ogrodje, zasnovano za zagotavljanje celovitosti, avtentikacije in revizije celotne dobavne verige programske opreme. Pri uvajanju In-toto v infrastrukturo je najprej definiran načrt, ki opisuje različne korake v cevovodu (repozitorij, orodja CI/CD, orodja QA, zbiralniki artefaktov itd.) in uporabnike (odgovorne osebe), ki jim je dovoljeno, da jih sprožiti.

In-toto spremlja izvajanje načrta in preverja, ali vsako nalogo v verigi pravilno izvaja le pooblaščeno osebje in da med premikanjem ni prišlo do nepooblaščenih manipulacij z izdelkom.

Portieris

• Spletna stran: github.com/IBM/portieris
• Licenca: brezplačno (Apache)

Portieris je sprejemni krmilnik za Kubernetes; uporablja se za uveljavljanje preverjanja zaupanja vsebine. Portieris uporablja strežnik Notar (o njem smo pisali na koncu ta članek - pribl. prevod) kot vir resnice za potrjevanje zaupanja vrednih in podpisanih artefaktov (tj. odobrenih slik vsebnika).

Ko je delovna obremenitev ustvarjena ali spremenjena v Kubernetesu, Portieris prenese informacije o podpisovanju in pravilnik o zaupanju vsebine za zahtevane slike vsebnika in po potrebi sproti spreminja objekt JSON API za izvajanje podpisanih različic teh slik.

Vault

• Spletna stran: www.vaultproject.io
• Licenca: brezplačno (MPL)

Vault je varna rešitev za shranjevanje zasebnih informacij: gesel, žetonov OAuth, potrdil PKI, računov za dostop, skrivnosti Kubernetes itd. Vault podpira številne napredne funkcije, kot je najem efemernih varnostnih žetonov ali organiziranje rotacije ključev.

Z uporabo grafikona Helm lahko Vault uvedete kot novo uvedbo v gruči Kubernetes s Consulom kot zaledno shrambo. Podpira izvorne vire Kubernetes, kot so žetoni ServiceAccount, in lahko celo deluje kot privzeta shramba za skrivnosti Kubernetes.

Opomba. prevod: Mimogrede, ravno včeraj je podjetje HashiCorp, ki razvija Vault, objavilo nekatere izboljšave za uporabo Vaulta v Kubernetesu in se nanašajo predvsem na Helmov grafikon. Preberite več v bloge razvijalca.

Varnostni pregled Kubernetes

Kube-klop

• Spletna stran: github.com/aquasecurity/kube-bench
• Licenca: brezplačno (Apache)

Kube-bench je aplikacija Go, ki preverja, ali je Kubernetes varno nameščen z izvajanjem testov s seznama CIS Kubernetes Benchmark.

Kube-bench išče nevarne nastavitve konfiguracije med komponentami gruče (etcd, API, upravljalnik krmilnika itd.), vprašljive pravice dostopa do datotek, nezaščitene račune ali odprta vrata, kvote virov, nastavitve za omejevanje števila klicev API za zaščito pred napadi DoS itd.

Kube-lovec

• Spletna stran: github.com/aquasecurity/kube-hunter
• Licenca: brezplačno (Apache)

Kube-hunter išče potencialne ranljivosti (kot je oddaljeno izvajanje kode ali razkritje podatkov) v gručah Kubernetes. Kube-hunter je mogoče zagnati kot oddaljeni skener - v tem primeru bo ocenil gručo z vidika napadalca tretje osebe - ali kot pod znotraj gruče.

Posebna značilnost Kube-hunterja je njegov način »aktivnega lova«, med katerim ne samo poroča o težavah, temveč poskuša izkoristiti tudi ranljivosti, odkrite v ciljni gruči, ki bi lahko škodovale njegovemu delovanju. Zato uporabljajte previdno!

Kubeaudit

• Spletna stran: github.com/Shopify/kubeaudit
• Licenca: brezplačno (MIT)

Kubeaudit je konzolno orodje, ki je bilo prvotno razvito v Shopifyju za revizijo konfiguracije Kubernetes glede različnih varnostnih težav. Pomaga na primer prepoznati vsebnike, ki se izvajajo neomejeno, se izvajajo kot root, zlorabljajo privilegije ali uporabljajo privzeti ServiceAccount.

Kubeaudit ima še druge zanimive lastnosti. Na primer, lahko analizira lokalne datoteke YAML, prepozna konfiguracijske napake, ki bi lahko povzročile varnostne težave, in jih samodejno odpravi.

Kubesec

• Spletna stran: kubesec.io
• Licenca: brezplačno (Apache)

Kubesec je posebno orodje, saj neposredno skenira datoteke YAML, ki opisujejo vire Kubernetes, in išče šibke parametre, ki bi lahko vplivali na varnost.

Zazna lahko na primer pretirane privilegije in dovoljenja, dodeljena podu, izvajanje vsebnika s root kot privzetim uporabnikom, povezovanje z gostiteljevim omrežnim imenskim prostorom ali nevarne priklope, kot je /proc gostitelj ali vtičnica Docker. Druga zanimiva lastnost Kubeseca je demo storitev, ki je na voljo na spletu, v katero lahko naložite YAML in ga takoj analizirate.

Odpri agenta politike

• Spletna stran: www.openpolicyagent.org
• Licenca: brezplačno (Apache)

Koncept OPA (Open Policy Agent) je ločiti varnostne politike in najboljše varnostne prakse od določene platforme za izvajanje: Docker, Kubernetes, Mesosphere, OpenShift ali katera koli njihova kombinacija.

OPA lahko na primer uvedete kot zaledje za sprejemni krmilnik Kubernetes in mu prenesete varnostne odločitve. Na ta način lahko agent OPA sproti preverja, zavrača in celo spreminja zahteve ter zagotavlja, da so izpolnjeni navedeni varnostni parametri. Varnostne politike OPA so napisane v njenem lastniškem jeziku DSL Rego.

Opomba. prevod: Več o OPA (in SPIFFE) smo pisali v ta material.

Obsežna komercialna orodja za analizo varnosti Kubernetes

Odločili smo se ustvariti ločeno kategorijo za komercialne platforme, ker običajno pokrivajo več varnostnih področij. Splošno predstavo o njihovih zmožnostih lahko dobite iz tabele:

* Napredni pregled in obdukcijska analiza s popolno ugrabitev sistemskega klica.

Varnost Aqua

• Spletna stran: www.aquasec.com
• Licenca: komercialna

To komercialno orodje je zasnovano za vsebnike in delovne obremenitve v oblaku. Zagotavlja:

• Skeniranje slik, integrirano z registrom vsebnikov ali cevovodom CI/CD;
• Zaščita med izvajanjem z iskanjem sprememb v vsebnikih in drugih sumljivih dejavnostih;
• Izvorni požarni zid vsebnika;
• Varnost za brezstrežniške storitve v oblaku;
• Testiranje skladnosti in revizija v kombinaciji z beleženjem dogodkov.

Opomba. prevod: Omeniti velja tudi, da obstajajo brezplačna komponenta izdelka imenovana MicroScanner, ki vam omogoča skeniranje slik vsebnikov za ranljivosti. Primerjava njegovih zmogljivosti s plačljivimi različicami je predstavljena v ta tabela.

Kapsula8

• Spletna stran: capsule8.com
• Licenca: komercialna

Capsule8 se integrira v infrastrukturo z namestitvijo detektorja v lokalni ali oblačni gruči Kubernetes. Ta detektor zbira telemetrijo gostitelja in omrežja ter jo povezuje z različnimi vrstami napadov.

Ekipa Capsule8 svojo nalogo vidi v zgodnjem odkrivanju in preprečevanju napadov z novimi (0 dni) ranljivosti. Capsule8 lahko prenese posodobljena varnostna pravila neposredno na detektorje kot odgovor na novo odkrite grožnje in ranljivosti programske opreme.

Cavirin

• Spletna stran: www.cavirin.com
• Licenca: komercialna

Cavirin deluje kot izvajalec na strani podjetja za različne agencije, ki se ukvarjajo z varnostnimi standardi. Ne samo, da lahko skenira slike, ampak se lahko tudi vključi v cevovod CI/CD in blokira nestandardne slike, preden vstopijo v zaprta skladišča.

Cavirinov varnostni paket uporablja strojno učenje za oceno vaše kibernetske varnosti in ponuja nasvete za izboljšanje varnosti in izboljšanje skladnosti z varnostnimi standardi.

Google Cloud Security Command Center

• Spletna stran: cloud.google.com/security-command-center
• Licenca: komercialna

Cloud Security Command Center pomaga varnostnim ekipam zbirati podatke, prepoznati grožnje in jih odpraviti, preden škodijo podjetju.

Kot že ime pove, je Google Cloud SCC enotna nadzorna plošča, ki lahko integrira in upravlja različna varnostna poročila, mehanizme za računovodstvo sredstev in varnostne sisteme tretjih oseb iz enega samega centraliziranega vira.

Interoperabilni API, ki ga ponuja Google Cloud SCC, olajša integracijo varnostnih dogodkov, ki prihajajo iz različnih virov, kot sta Sysdig Secure (varnost vsebnika za aplikacije, ki izvirajo iz oblaka) ali Falco (varnost odprtokodnega časa izvajanja).

Večplastni vpogled (Qualys)

• Spletna stran: layeredinsight.com
• Licenca: komercialna

Layered Insight (zdaj del Qualys Inc.) temelji na konceptu »vgrajene varnosti«. Po skeniranju izvirne slike glede ranljivosti s statistično analizo in preverjanji CVE jo Layered Insight nadomesti z instrumentirano sliko, ki vključuje agenta kot binarno.

Ta agent vsebuje varnostne teste izvajalnega časa za analizo omrežnega prometa vsebnika, V/I tokov in dejavnosti aplikacije. Poleg tega lahko izvaja dodatne varnostne preglede, ki jih določi skrbnik infrastrukture ali ekipe DevOps.

NeuVector

• Spletna stran: neuvector.com
• Licenca: komercialna

NeuVector preverja varnost vsebnika in zagotavlja zaščito med izvajanjem tako, da analizira omrežno aktivnost in obnašanje aplikacij ter ustvari individualni varnostni profil za vsak vsebnik. Prav tako lahko sam blokira grožnje in izolira sumljivo dejavnost s spreminjanjem pravil lokalnega požarnega zidu.

NeuVectorjeva omrežna integracija, znana kot varnostna mreža, je zmožna globoke analize paketov in filtriranja sloja 7 za vse omrežne povezave v storitveni mreži.

StackRox

• Spletna stran: www.stackrox.com
• Licenca: komercialna

Varnostna platforma vsebnika StackRox si prizadeva pokriti celoten življenjski cikel aplikacij Kubernetes v gruči. Tako kot druge komercialne platforme na tem seznamu tudi StackRox ustvari profil izvajalnega časa na podlagi opaženega obnašanja vsebnika in samodejno sproži alarm za morebitna odstopanja.

Poleg tega StackRox analizira konfiguracije Kubernetes z uporabo Kubernetes CIS in drugih knjig pravil za oceno skladnosti vsebnika.

Sysdig Secure

• Spletna stran: sysdig.com/products/secure
• Licenca: komercialna

Sysdig Secure ščiti aplikacije skozi celoten vsebnik in življenjski cikel Kubernetes. On skenira slike posode, zagotavlja zaščita med izvajanjem po podatkih strojnega učenja izvaja smetano. strokovnost za prepoznavanje ranljivosti, blokiranje groženj, nadzor skladnost z uveljavljenimi standardi in revizijske dejavnosti v mikrostoritvah.

Sysdig Secure se integrira z orodji CI/CD, kot je Jenkins, in nadzoruje slike, naložene iz registrov Docker, ter preprečuje, da bi se nevarne slike pojavile v produkciji. Zagotavlja tudi celovito varnost med izvajanjem, vključno z:

• Profiliranje in zaznavanje anomalij na osnovi ML;
• pravilniki izvajalnega okolja, ki temeljijo na sistemskih dogodkih, K8s-audit API, skupni projekti skupnosti (FIM - spremljanje celovitosti datotek; cryptojacking) in okvir MITRE ATT & CK;
• odziv in reševanje incidentov.

Trdna varnost vsebnika

• Spletna stran: www.tenable.com/products/tenable-io/container-security
• Licenca: komercialna

Pred pojavom vsebnikov je bil Tenable v industriji splošno znan kot podjetje, ki stoji za Nessusom, priljubljenim orodjem za iskanje ranljivosti in varnostno revizijo.

Tenable Container Security izkorišča strokovno znanje o računalniški varnosti podjetja za integracijo cevovoda CI/CD z bazami podatkov o ranljivostih, specializiranimi paketi za odkrivanje zlonamerne programske opreme in priporočili za reševanje varnostnih groženj.

Twistlock (Palo Alto Networks)

• Spletna stran: www.twistlock.com
• Licenca: komercialna

Twistlock se promovira kot platforma, osredotočena na storitve v oblaku in vsebnike. Twistlock podpira različne ponudnike oblakov (AWS, Azure, GCP), vsebniške orkestratorje (Kubernetes, Mesospehere, OpenShift, Docker), brezstrežniška izvajalska okolja, mrežna ogrodja in orodja CI/CD.

Poleg običajnih varnostnih tehnik na ravni podjetja, kot je integracija cevovoda CI/CD ali skeniranje slik, Twistlock uporablja strojno učenje za ustvarjanje vedenjskih vzorcev in omrežnih pravil, specifičnih za vsebnik.

Pred časom je Twistlock kupilo podjetje Palo Alto Networks, ki ima v lasti projekta Evident.io in RedLock. Kako natančno bodo te tri platforme integrirane, še ni znano PRISMA iz Palo Alta.

Pomagajte zgraditi najboljši katalog varnostnih orodij Kubernetes!

Prizadevamo si, da bi bil ta katalog čim bolj popoln, pri tem pa potrebujemo vašo pomoč! Kontaktiraj nas (@sysdig), če imate v mislih kul orodje, ki je vredno vključitve na ta seznam, ali če najdete napako/zastarele informacije.

Lahko se tudi naročite na naše mesečno glasilo z novicami iz oblačnega ekosistema in zgodbami o zanimivih projektih iz sveta varnosti Kubernetes.

PS od prevajalca

Preberite tudi na našem blogu:

• «Uvod v omrežne pravilnike Kubernetes za varnostne strokovnjake»;
• «Docker in Kubernetes v varnostno občutljivih okoljih»;
• «9 najboljših praks varnosti Kubernetes»;
• «11 načinov, kako (ne)postati žrtev vdora v Kubernetes»;
• «OPA in SPIFFE sta dva nova projekta pri CNCF za varnost aplikacij v oblaku".

Vir: www.habr.com