33+ Kubernetes meafaigaluega saogalemu

Manatua. fa'aliliu.: Afai o loʻo e mafaufau e uiga i le saogalemu i Kubernetes-faʻavae atinaʻe, o lenei vaaiga sili ona lelei mai Sysdig o se amataga lelei mo se vaʻavaʻai vave i fofo o loʻo i ai nei. E aofia uma ai faiga lavelave mai taʻutaʻua taʻaloga maketi ma sili atu faʻaoga tauagafau e foia ai se faʻafitauli faʻapitoa. Ma i faʻamatalaga, pei o taimi uma, matou te fiafia e faʻalogo e uiga i lou poto masani i le faʻaaogaina o nei meafaigaluega ma vaʻai sootaga i isi galuega faatino.

Kubernetes security software products... e tele naua, e tofu lava ma a latou sini, lautele, ma laisene.

O le mea lena na matou filifili ai e fai lenei lisi ma aofia uma ai galuega faʻavae matala ma faʻasalalauga faʻapisinisi mai tagata faʻatau eseese. Matou te faʻamoemoe o le a fesoasoani ia te oe e iloa ai mea e sili ona fiafia i ai ma faasino oe i le itu saʻo e faʻatatau i au manaoga faʻapitoa Kubernetes saogalemu.

Vaega

Ina ia faʻafaigofie le faʻaogaina o le lisi, o meafaigaluega e faʻatulagaina e ala i galuega autu ma le faʻaogaina. O vaega nei na maua:

• Kubernetes su'esu'ega ata ma su'esu'ega fa'apitoa;
• saogalemu taimi ta'avale;
• Puipuiga o feso'otaiga Kubernetes;
• Fa'asoa ata ma pulega faalilolilo;
• Su'etusi saogalemu a Kubernetes;
• O oloa fa'apisinisi fa'apitoa.

Se'i tatou o ifo i le pisinisi:

Va'aiga ata Kubernetes

Taula

• Website: taula.com
• Laisene: leai se totogi (Apache) ma ofo faʻapisinisi

E su'esu'e e Anchore ata o atigipusa ma fa'ataga le siakiina o le saogalemu e fa'avae i luga o faiga fa'avae fa'aoga.

I le faaopoopo atu i le suʻesuʻeina masani o ata atigipusa mo faʻafitauli faʻapitoa mai le CVE database, e faia e Anchore le tele o siaki faʻaopoopo o se vaega o lana faiga faʻavae: siaki le Dockerfile, faʻamaonia faʻamaonia, afifi o gagana polokalame faʻaaogaina (npm, maven, etc. .), laisene polokalame ma sili atu .

Clair

• Website: coreos.com/clair (lea ua i lalo o le vaavaaiga a Red Hat)
• Laisene: saoloto (Apache)

O Clair o se tasi o uluai poloketi Open Source mo le suʻeina o ata. E lauiloa lautele o le siaki saogalemu i tua o le resitala ata o Quay (mai CoreOS - tusa. fa'aliliuga). E mafai e Clair ona aoina faʻamatalaga CVE mai le tele o punaoa eseese, e aofia ai lisi o faʻasalalauga faʻapitoa a Linux o loʻo tausia e le Debian, Red Hat, poʻo le Ubuntu security teams.

E le pei o Anchore, Clair e taulaʻi muamua i le sailia o faʻafitauli ma faʻafetaui faʻamaumauga i CVEs. Ae ui i lea, o le oloa e ofoina atu i tagata faʻaoga ni avanoa e faʻalautele ai galuega e faʻaaoga ai taʻavale plug-in.

aso

• Website: github.com/eliasgranderubio/dagda
• Laisene: saoloto (Apache)

E faia e Dagda au'ili'iliga fa'apitoa o ata atigipusa mo fa'aletonu ua iloa, Trojans, viruses, malware ma isi fa'amata'u.

E lua vaega iloga e iloagofie ai Dagda mai isi meafaigaluega tutusa:

• E tuufaatasia atoatoa ma ClamAV, galue e le gata o se meafaigaluega mo le suʻeina o ata o pusa, ae faʻapea foi o se antivirus.
• E tuʻuina atu foʻi le puipuiga o le taimi e ala i le mauaina o mea moni taimi mai le Docker daemon ma faʻatasi ma Falco (silasila i lalo) e aoina mea saogalemu a'o fa'agasolo le koneteina.

KubeXray

• Website: github.com/jfrog/kubexray
• Laisene: Free (Apache), ae manaʻomia faʻamatalaga mai le JFrog Xray (oloa faʻatau)

KubeXray fa'alogo i mea na tutupu mai le Kubernetes API server ma fa'aoga metadata mai le JFrog Xray e fa'amautinoa ai e na'o pods e fetaui ma faiga fa'avae o lo'o fa'alauiloa.

E le gata ina su'e e KubeXray ni koneteina fou pe fa'afou i fa'agaioiga (e tutusa ma le pule fa'atagaina i Kubernetes), ae fa'amanino fo'i le siakiina o koneteina o lo'o fa'agaioia mo le usita'ia o faiga fa'avae fou mo le puipuiga, aveese mea e fa'asino i ata vaivai.

Snyk

• Website: snyk.io
• Laisene: leai se totogi (Apache) ma faʻasalalauga faʻapisinisi

Snyk o se su'esu'ega fa'aletonu e le masani ai ona e fa'atatau tonu i le fa'agasologa o le atina'e ma fa'alauiloaina o se "fofo taua" mo tagata atia'e.

E feso'ota'i sa'o Snyk i fale teu oloa, fa'asalalau le fa'aaliga o le poloketi ma su'esu'e le tulafono fa'aulufale mai fa'atasi ai ma fa'alagolago tu'usa'o ma fa'alilolilo. E lagolagoina e Snyk le tele o gagana fa'apolokalame lauiloa ma e mafai ona fa'ailoaina tulaga lamatia o laisene.

Trivy

• Website: github.com/knqyf263/trivy
• Laisene: leai se totogi (AGPL)

O le Trivy o se su'e faigofie ae mamana mo koneteina e faigofie ona tu'ufa'atasia i totonu ole paipa CI/CD. O lona uiga iloga o lona faigofie o le faʻapipiʻiina ma le faʻaogaina: o le talosaga e aofia ai se binary e tasi ma e le manaʻomia le faʻapipiʻiina o se faʻamaumauga poʻo isi faletusi.

O le pito i lalo i le faigofie o Trivy e tatau ona e mafaufau pe faʻafefea ona faʻasalalau ma tuʻuina iʻuga i le JSON format ina ia mafai e isi meafaigaluega saogalemu Kubernetes ona faʻaogaina.

Puipuiga ole taimi fa'atino ile Kubernetes

Falco

• Website: falco.org
• Laisene: saoloto (Apache)

Falco o se seti o meafaigaluega mo le faʻamautuina o siʻosiʻomaga taimi taʻavale ao. Vaega o le aiga galuega faatino CNCF.

I le fa'aaogaina o le Sysdig's Linux kernel-level tooling ma le system call profileing, Falco e fa'atagaina oe e sosolo loloto i le faiga o amioga. O lana ta'avale tulafono afi e mafai ona iloa ai gaioiga masalomia i talosaga, koneteina, le 'au fa'avae, ma le Kubernetes orchestrator.

Falco e tuʻuina atu le manino atoatoa i le taimi faʻataʻavalevale ma le faʻamataʻu e ala i le faʻaogaina o sui faʻapitoa i nodes Kubernetes mo nei faʻamoemoega. O le i'uga, e leai se mea e mana'omia e sui ai atigipusa e ala i le tu'uina atu o fa'ailoga isi vaega i totonu po'o le fa'aopoopoina o pusa ta'avale.

Linux fa'avae saogalemu mo le ta'avale

O nei faʻavae masani mo le fatu Linux e le o "Meafaigaluega saogalemu Kubernetes" i le uiga masani, ae e tatau ona taʻua aua o se elemene taua i le tulaga o le saogalemu o le taimi, lea e aofia i le Kubernetes Pod Security Policy (PSP).

AppArmor fa'apipi'i se fa'ailoga saogalemu i fa'agaioiga o lo'o fa'agasolo i totonu o le koneteina, fa'amalamalamaina tulaga fa'apitoa o faila faila, tulafono fa'aoga feso'otaiga, feso'ota'iga faletusi, ma isi. Ole faiga lea e fa'avae ile Mandatory Access Control (MAC). I se isi faaupuga, e taofia ai gaioiga faasaina mai le faia.

Linux Fa'aleleia le Saogalemu (SELinux) o se faʻaoga saogalemu i luga o le Linux kernel, e tutusa i nisi itu i le AppArmor ma e masani ona faʻatusatusa i ai. SELinux e sili atu nai lo AppArmor i le mana, fetuutuunai ma aganuʻu. O ona fa'aletonu o le umi o le a'oa'oga ma fa'ateleina le lavelave.

Seccomp ma seccomp-bpf faʻatagaina oe e faʻamamāina telefoni feaveaʻi, poloka le faʻatinoina o mea e ono lamatia mo le OS faavae ma e le manaʻomia mo le faʻaogaina masani o talosaga a tagata. Seccomp e talitutusa ma Falco i nisi o auala, e ui lava na te le iloa faʻamatalaga patino o pusa.

Sysdig puna tatala

• Website: www.sysdig.com/opensource
• Laisene: saoloto (Apache)

Sysdig o se meafaigaluega atoatoa mo le suʻesuʻeina, suʻesuʻeina ma le faʻaogaina o faiga Linux (e galue foi i luga o Windows ma macOS, ae faʻatapulaʻaina galuega). E mafai ona fa'aoga mo le aoina o fa'amatalaga au'ili'ili, fa'amaonia ma su'esu'ega fa'afoma'i. (fa'afoma'i) le faiga fa'avae ma so'o se koneteina o lo'o i ai.

E lagolagoina fo'i e le Sysdig taimi fa'agasolo o koneteina ma metadata Kubernetes, fa'aopoopo i ai fa'aopoopoga fa'aopoopo ma fa'ailoga i fa'amatalaga uma o le amio o lo'o aoina. E tele auala e su'esu'e ai se fuifui Kubernetes e fa'aaoga ai le Sysdig: e mafai ona e fa'atinoina le pu'eina o le taimi-i-taimi e ala i pu'eina kubectl po'o le fa'alauiloaina o se feso'ota'iga feso'ota'iga fa'avae ncurses e fa'aoga ai se mea fa'apipi'i kubectl eli.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• Laisene: pisinisi

Ua ofoina atu e Aporeto le "saogalemu vavae ese mai le fesoʻotaʻiga ma atinaʻe." O lona uiga e le gata ina maua e auaunaga a Kubernetes se ID fa'apitonu'u (e pei o le ServiceAccount i Kubernetes), ae fa'apea fo'i se ID lautele/tamatamailima e mafai ona fa'aoga e feso'ota'i saogalemu ma felagolagoma'i ma so'o se isi au'aunaga, mo se fa'ata'ita'iga i totonu o le OpenShift cluster.

Aporeto e mafai ona gaosia se ID tulaga ese e le gata mo Kubernetes / koneteina, ae faʻapea foʻi mo 'au, galuega ao ma tagata faʻaoga. Faʻalagolago i nei faʻamatalaga ma le seti o tulafono saogalemu fesoʻotaʻiga faʻatulagaina e le pule, fesoʻotaʻiga o le a faʻatagaina pe poloka.

calico

• Website: www.projectcalico.org
• Laisene: saoloto (Apache)

O le Calico e masani ona faʻapipiʻiina i le taimi o le faʻapipiʻiina o le koneteina orchestrator, faʻatagaina oe e fatuina se fesoʻotaiga vavave e fesoʻotaʻi ai pusa. I le faaopoopo atu i lenei galuega autu o fesoʻotaʻiga, o loʻo galue le poloketi Calico ma Kubernetes Network Policies ma lana lava seti o faʻamatalaga saogalemu o fesoʻotaʻiga, lagolagoina ACLs pito i tua (lisi faʻatonutonu avanoa) ma tulafono faʻamautu fesoʻotaʻiga faʻavae mo Ingress ma Egress feoaiga.

Silia

• Website: www.cilium.io
• Laisene: saoloto (Apache)

O le Cilium e fai ma pa puipui mo koneteina ma maua ai le saogalemu o feso'ota'iga fa'apitoa e fa'atatau ile Kubernetes ma microservices galuega mamafa. O lo'o fa'aogaina e Cilium se tekonolosi fou a le Linux e ta'ua o le BPF (Berkeley Packet Filter) e fa'amama, mata'ituina, toe fa'asa'o ma sa'o fa'amaumauga.

E mafai e le Cilium ona faʻaogaina faiga faʻavae fesoʻotaʻiga e faʻavae i luga o ID container e faʻaaoga ai igoa Docker poʻo Kubernetes ma metadata. E malamalama foi Cilium ma faʻamama le tele o Layer 7 protocols e pei ole HTTP poʻo le gRPC, faʻatagaina oe e faʻamalamalamaina se seti o valaau REST o le a faʻatagaina i le va o le lua Kubernetes deployments, mo se faʻataʻitaʻiga.

Istio

• Website: istio.io
• Laisene: saoloto (Apache)

Istio e lauiloa lautele mo le faʻatinoina o le 'auʻaunaga mesh paradigm e ala i le faʻapipiʻiina o se vaʻalele tutoʻatasi tutoʻatasi ma faʻataʻitaʻiina uma feʻaveaʻi auaunaga faʻatautaia e ala i le faʻaogaina o le Envoy proxies. E fa'aogaina e Istio lenei va'aiga mamao o microservices uma ma koneteina e fa'atino ai ta'iala mo le saogalemu o feso'otaiga.

Istio's network security capability e aofia ai le manino TLS encryption e otometi le faʻaleleia o fesoʻotaʻiga i le va o microservices i le HTTPS, ma se faʻamaoniga RBAC faʻapitoa ma faʻatagaina e faʻatagaina / faʻafitia fesoʻotaʻiga i le va o galuega eseese i le fuifui.

Manatua. fa'aliliu.: Ina ia aʻoaʻo atili e uiga i le faʻaogaina o le saogalemu o Istio, faitau lenei tusiga.

Tigera

• Website: www.tigera.io
• Laisene: pisinisi

Ua ta'ua o le "Kubernetes Firewall," o lenei fofo o loʻo faʻamamafaina ai le leai o se faʻalagolago i le saogalemu o fesoʻotaiga.

E tutusa ma isi fa'amatalaga feso'otaiga a Kubernetes, e fa'alagolago le Tigera i metadata e iloa ai le tele o auaunaga ma mea faitino i totonu o le fuifui ma maua ai le su'esu'eina o fa'afitauli taimi, siakiga fa'aauau pea, ma le va'aiga o feso'ota'iga mo le tele-cloud po'o le hybrid monolithic-containered infrastructures.

Trireme

• Website: www.aporeto.com/opensource
• Laisene: saoloto (Apache)

Trireme-Kubernetes o se faʻatinoga faigofie ma tuusaʻo o le Kubernetes Network Policies specification. O le mea e sili ona iloga o le - e le pei o Kubernetes network security products - e le manaʻomia se vaʻalele faʻatonu e faʻamaopoopoina le mata. O le mea lea e mafai ai ona fuaina le fofo. I le Trireme, e maua lenei mea e ala i le faʻapipiʻiina o se sui i luga o node taʻitasi e fesoʻotaʻi saʻo i le faʻapipiʻi TCP/IP a le talimalo.

Fa'asalalauina Ata ma Pulea Mealilo

Grafeas

• Website: grafeas.io
• Laisene: saoloto (Apache)

O le Grafeas o se API fa'apitoa mo le su'eina ma le pulega o su'esu'ega fa'akomepiuta. I se tulaga faavae, o le Grafeas o se meafaigaluega mo le aoina o metadata ma suʻega suʻega. E mafai ona fa'aoga e siaki ai le tausisia o faiga sili ona saogalemu i totonu o se fa'alapotopotoga.

O lenei punavai autu o upumoni e fesoasoani e tali fesili e pei o:

• O ai na aoina ma saini mo se pusa faapitoa?
• Ua pasia uma su'esu'ega saogalemu ma siaki e mana'omia e le faiga fa'avae saogalemu? O afea? O ā iʻuga?
• O ai na fa'atinoina i le gaosiga? O a fa'ailoga fa'apitoa na fa'aaogaina i le taimi o le fa'apipi'iina?

In-toto

• Website: in-toto.github.io
• Laisene: saoloto (Apache)

In-toto ose fa'avae ua fa'atulagaina e tu'uina atu ai le fa'amaoni, fa'amaoni ma le su'etusi o le vaega atoa o sapalai polokalame. Pe a fa'apipi'i In-toto i totonu o se atina'e, e muamua fa'amatalaina se fuafuaga e fa'amatala ai laasaga eseese i le paipa (fale teu oloa, meafaigaluega CI/CD, meafaigaluega QA, tagata aoina mea, ma isi) ma tagata fa'aoga (tagata fa'atatau) e fa'atagaina. amataina i latou.

O le In-toto e mata'ituina le fa'atinoina o le fuafuaga, ma fa'amaonia o galuega ta'itasi i le filifili e fa'atino lelei e na'o tagata fa'atagaina ma e leai ni fa'atonuga na faia i le oloa i le taimi o fegasoloa'iga.

Portieris

• Website: github.com/IBM/portieris
• Laisene: saoloto (Apache)

O Portieris ose pule fa'atagaina mo Kubernetes; fa'aoga e fa'amalosia ai su'esu'ega fa'atuatuaina o mataupu. Portieris faʻaaogaina se 'auʻaunaga Notari (sa matou tusia e uiga ia te ia i le faaiuga lenei tusiga - tusa. fa'aliliuga) e avea ma puna o le mea moni e faʻamaonia ai mea faʻatuatuaina ma sainia (e pei o ata faʻamaonia ua faʻatagaina).

Pe a faia se galuega mamafa pe suia ile Kubernetes, e la'uina e Portieris le fa'amatalaga saini ma faiga fa'avae fa'alagolago i mea mo ata o koneteina talosaga ma, pe a mana'omia, faia suiga i luga ole laiga ile mea JSON API e fa'agasolo ai fa'ailoga saini o na ata.

Vault

• Website: www.vaultproject.io
• Laisene: leai se totogi (MPL)

Vault o se fofo saogalemu mo le teuina o faʻamatalaga patino: faʻaupuga, faʻailoga OAuth, tusi pasi PKI, faʻamatalaga avanoa, mea lilo Kubernetes, ma isi. E lagolagoina e Vault le tele o vaega fa'apitoa, e pei o le lisiina o fa'ailoga saogalemu ephemeral po'o le fa'atulagaina o suiga ki.

I le fa'aaogaina o le siata Helm, e mafai ona fa'atūina le Vault e fai ma fa'apolokalame fou i totonu o le fa'aputuga Kubernetes ma le Konesula e fa'aputu i tua. E lagolagoina puna'oa masani Kubernetes pei o ServiceAccount fa'ailoga ma e mafai fo'i ona fai ma fa'atauga fa'aletonu mo mea lilo a Kubernetes.

Manatua. fa'aliliu.: I le ala, naʻo ananafi le kamupani HashiCorp, lea e atiaʻe Vault, faʻasalalau nisi faʻaleleia mo le faʻaaogaina o Vault i Kubernetes ma aemaise lava latou faʻafesoʻotaʻi i le siata Helm. Faitau atili ile blog atina'e.

Su'etusi Saogalemu Kubernetes

Kube-nofoa

• Website: github.com/aquasecurity/kube-bench
• Laisene: saoloto (Apache)

Kube-bench o se Go application e siaki pe faʻapipiʻi lelei Kubernetes e ala i le suʻeina o suʻega mai se lisi CIS Kubernetes Fa'ailoga.

Kube-bench e vaʻavaʻai mo faʻamautu faʻamautu le saogalemu i totonu o vaega faʻapipiʻi (etcd, API, pule pule, ma isi), aia tatau avanoa faila faila, faʻamatalaga e le puipuia poʻo avanoa tatala, faʻaogaina o punaoa, faʻatulagaina mo le faʻatapulaʻaina o numera o telefoni API e puipuia mai osofaiga a le DoS , ma isi.

Kube- tuli manu

• Website: github.com/aquasecurity/kube-hunter
• Laisene: saoloto (Apache)

E su'e e Kube-hunter ni fa'aletonu e ono tula'i mai (pei o le fa'atinoina o code mamao po'o le fa'ailoaina o fa'amatalaga) i fuifui Kubernetes. Kube-hunter e mafai ona faʻatautaia e pei o se masini vaʻaia mamao - i le tulaga lea o le a iloiloina ai le fuifui mai le vaaiga a se tagata osofaʻi lona tolu - pe pei o se pusa i totonu o le fuifui.

O se vaega fa'apitoa o Kube-hunter o lona faiga "tutuga fa'amalosi", lea e le gata ina lipotia ai fa'afitauli, ae taumafai fo'i e fa'aogaina fa'aletonu o lo'o maua i totonu o le vaega fa'atatau e ono afaina ai lana gaioiga. Fa'aaoga la ma le fa'aeteete!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Laisene: leai se totogi (MIT)

O le Kubeaudit o se meafaigaluega faʻamafanafana na amataina ile Shopify e suʻe ai le faʻatulagaga Kubernetes mo faʻafitauli eseese. Mo se faʻataʻitaʻiga, e fesoasoani e iloa ai pusa o loʻo taʻavale e le faʻatapulaaina, faʻaogaina e pei o aʻa, faʻaaoga sese avanoa, poʻo le faʻaaogaina o le ServiceAccount e le mafai.

Kubeaudit ei ai isi mea manaia. Mo se faʻataʻitaʻiga, e mafai ona suʻesuʻeina faila YAML i le lotoifale, faʻailoa faʻaletonu o le faʻatulagaina e ono mafua ai faʻafitauli saogalemu, ma otometi ona toe faaleleia.

Kubesec

• Website: kubesec.io
• Laisene: saoloto (Apache)

O le Kubesec o se meafaigaluega faʻapitoa e suʻe saʻo ai faila YAML o loʻo faʻamatalaina punaoa Kubernetes, suʻe mo mea vaivai e ono afaina ai le saogalemu.

Mo se faʻataʻitaʻiga, e mafai ona iloa ai le tele o avanoa ma faʻatagaga ua tuʻuina atu i se pod, faʻaogaina se atigipusa e iai le aʻa o le tagata faʻaoga faaletonu, faʻafesoʻotaʻi i le igoa o fesoʻotaʻiga a le tagata talimalo, poʻo ni mauga mataʻutia e pei o /proc talimalo po'o le Docker socket. O le isi mea manaia o Kubesec o le demo auaunaga o loʻo maua i luga ole laiga, lea e mafai ona e faʻapipiʻiina ai le YAML ma vave faʻavasega.

Tatala Sui Faiga Faavae

• Website: www.openpolicyagent.org
• Laisene: saoloto (Apache)

O le manatu o le OPA (Open Policy Agent) o le faʻamavaeina lea o faiga faʻavae saogalemu ma faiga sili ona saogalemu mai se taʻaloga faʻapitoa: Docker, Kubernetes, Mesosphere, OpenShift, poʻo soʻo se tuʻufaʻatasia.

Mo se faʻataʻitaʻiga, e mafai ona e faʻaogaina le OPA e fai ma tua mo le Kubernetes faʻatagaina le faʻatagaina, tuʻuina atu i ai faʻaiuga saogalemu. I lenei auala, e mafai e le sui o le OPA ona faʻamaonia, teena, ma e oʻo lava i le suia o talosaga i luga o le lele, faʻamautinoa o loʻo faʻamalieina tulaga faʻamaonia. O faiga fa'avae a le OPA o lo'o tusia i lana gagana DSL, Rego.

Manatua. fa'aliliu.: Na matou tusia atili e uiga i OPA (ma SPIFFE) i totonu lenei mea.

Mea faigaluega fa'apisinisi fa'apitoa mo su'esu'ega saogalemu a Kubernetes

Na matou filifili e fai se isi vaega mo fa'asalalauga fa'apisinisi ona e masani ona latou aofia ai le tele o vaega saogalemu. O se manatu lautele o latou gafatia e mafai ona maua mai le laulau:

* Su'esu'ega fa'apitoa ma su'esu'ega tu'u oti fa'atasi faiga faomea.

Aqua Security

• Website: www.aquasec.com
• Laisene: pisinisi

O lenei meafaigaluega faapisinisi ua mamanuina mo koneteina ma ao galuega mamafa. E maua ai:

• Su'ega ata ua tu'ufa'atasia ma se koneteina resitala po'o CI/CD paipa;
• Puipuiga ole taimi fa'atino ile su'eina o suiga ile koneteina ma isi gaioiga masalomia;
• Pupuni-native firewall;
• Puipuiga mo serverless i auaunaga ao;
• Su'ega tausisia ma su'etusi tu'ufa'atasia ma fa'amaumauga o mea e tutupu.

Manatua. fa'aliliu.: E taua foi le matauina e iai vaega saoloto o le oloa ua ta'ua MicroScanner, lea e mafai ai ona e suʻeina ata o pusa mo faʻafitauli. O se fa'atusatusaga o ona gafatia ma fa'aliliuga totogi o lo'o tu'uina atu i totonu lenei laulau.

Kapsul8

• Website: capsule8.com
• Laisene: pisinisi

Capsule8 fa'apipi'i i totonu o atina'e e ala i le fa'apipi'iina o le mea e iloa ai i luga o se fa'alapotopotoga po'o le ao Kubernetes cluster. O lenei masini e aoina le telefoni ma fesoʻotaʻiga, faʻatasi ma ituaiga eseese o osofaʻiga.

E va'aia e le 'au Capsule8 lana galuega o le vave iloa ma le puipuia o osofa'iga e fa'aaoga ai mea fou (0-aso) fa'aletonu. Capsule8 e mafai ona la'u sa'o mai tulafono fa'apolopologa fa'afouga i tagata su'esu'e e tali atu ai i fa'amata'u fou na maua ma fa'aletonu polokalame.

Cavirin

• Website: www.cavirin.com
• Laisene: pisinisi

O le Cavirin o lo'o galue ose kamupani fa'akonekarate mo ofisa eseese o lo'o a'afia i tulaga saogalemu. E le gata e mafai ona su'esu'eina ata, ae mafai fo'i ona tu'ufa'atasia i totonu ole paipa CI/CD, poloka ai ata e le'i fa'ata'atia a'o le'i ulufale atu i fale teu oloa.

O lo'o fa'aogaina e le Cavirin's security suite le a'oa'oina o masini e su'esu'e ai lou tu'i i luga ole laiga, tu'uina atu fautuaga e fa'aleleia atili ai le saogalemu ma fa'aleleia atili le tausisia o tulaga saogalemu.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• Laisene: pisinisi

Cloud Security Command Center e fesoasoani i vaega o le puipuiga e aoina faʻamaumauga, faʻailoa faʻamataʻu, ma faʻaumatia aʻo leʻi afaina le kamupani.

E pei ona taʻu mai e le igoa, Google Cloud SCC o se vaega faʻatonutonu tuʻufaʻatasia e mafai ona tuʻufaʻatasia ma faʻatautaia le tele o lipoti tau puipuiga, masini faʻamaumauga o aseta, ma faiga faʻapitoa a le isi vaega mai se tasi, faʻapitoa faʻapitoa.

Ole interoperable API ofo mai e Google Cloud SCC e fa'afaigofie ai le tu'ufa'atasia o mea tau puipuiga e sau mai fa'apogai eseese, e pei ole Sysdig Secure (container security for cloud-native applications) poʻo Falco (Open Source runtime security).

Layered Malamalamaaga (Qualys)

• Website: layeredinsight.com
• Laisene: pisinisi

Layered Insight (lea ua avea nei ma vaega o Qualys Inc) ua fausia i luga o le manatu o le "saogalemu faʻapipiʻi." A maeʻa le suʻesuʻeina o le ata muamua mo faʻafitauli e faʻaaoga ai fuainumera fuainumera ma siaki CVE, Layered Insight e suitulaga i se ata tuʻufaʻatasia e aofia ai le sui o se binary.

O lo'o iai i lenei sui su'ega mo le puipuiga o taimi e su'esu'e ai fefa'ataua'iga o feso'ota'iga i koneteina, fa'agasolo I/O ma fa'agaioiga talosaga. E le gata i lea, e mafai ona faia ni siaki faʻaopoopo faʻapitoa e faʻamaonia e le pule o mea tetele poʻo DevOps teams.

NeuVector

• Website: neuvector.com
• Laisene: pisinisi

E siakiina e le NeuVector le saogalemu o pusa ma saunia le puipuiga o le taimi e ala i le suʻesuʻeina o gaioiga o fesoʻotaʻiga ma amioga faʻaoga, fatuina o se faʻamatalaga saogalemu a le tagata lava ia mo pusa taʻitasi. E mafai fo'i ona poloka fa'amata'u na'o ia, fa'ate'a'eseina gaioiga masalomia e ala i le suia o tulafono fa'alotoifale.

O le feso'ota'iga feso'ota'iga a NeuVector, ua ta'ua o le Security Mesh, e mafai ona su'esu'eina fa'aputu loloto ma fa'amama le layer 7 mo feso'ota'iga feso'ota'iga uma i le 'au'aunaga.

StackRox

• Website: www.stackrox.com
• Laisene: pisinisi

O le StackRox container security platform e taumafai e ufiufi le taamilosaga atoa o talosaga Kubernetes i se fuifui. E pei o isi fa'asalalauga fa'apisinisi i luga o lenei lisi, e fa'atupuina e StackRox se fa'asologa o taimi fa'ata'ita'i e fa'avae i luga o le va'aiga o koneteina ma otometi lava ona fa'atupuina se fa'ailo mo so'o se suiga.

E le gata i lea, e su'esu'e e StackRox fa'atonuga a Kubernetes e fa'aaoga ai le Kubernetes CIS ma isi tusi tulafono e iloilo ai le tausisia o pusa.

Sysdig Secure

• Website: sysdig.com/products/secure
• Laisene: pisinisi

E puipuia e le Sysdig Secure talosaga i totonu o le pusa atoa ma le Kubernetes olaola. O ia su'e ata containers, saunia puipuiga o le ta'avale e tusa ai ma faʻamatalaga aʻoaʻoga masini, faʻatino kulimi. poto masani e faʻailoa ai faʻafitauli, poloka faʻamataʻu, mataʻituina tausisia o tulaga faataatitia ma galuega su'etusi i auaunaga laiti.

Sysdig Secure faʻatasi ma meafaigaluega CI / CD e pei o Jenkins ma faʻatonutonu ata o loʻo utaina mai le Docker registries, puipuia ata mataʻutia mai le faʻaalia i le gaosiga. E tuʻuina atu ai foʻi le saogalemu atoatoa o le taimi, e aofia ai:

• ML-fa'avae fa'ata'ita'iga taimi fa'ata'ita'i ma le su'esu'eina o anomaly;
• faiga faʻavae taimi faʻavae e faʻavae i luga o mea faʻapitoa, K8s-suʻesuʻe API, faʻalapotopotoga faʻalapotopotoga faʻatasi (FIM - mataʻituina faʻamaoni faila; cryptojacking) ma faʻavae MITER AT&CK;
• tali ma foia o faalavelave.

Puipuiga o le Container Tenable

• Website: www.tenable.com/products/tenable-io/container-security
• Laisene: pisinisi

A'o le'i o'o mai koneteina, sa ta'uta'ua lautele Tenable i le alamanuia o le kamupani i tua atu o Nessus, o se ta'uta'ua o le tulituliloaina o mea vaivai ma le saogalemu.

O le Tenable Container Security e fa'aogaina le tomai fa'akomepiuta a le kamupani e tu'ufa'atasia ai se paipa CI/CD fa'atasi ai ma fa'amaumauga fa'aletonu, afifi fa'apitoa e iloa ai mea leaga, ma fautuaga mo le fo'ia o faiga fa'amata'u.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Laisene: pisinisi

Twistlock faʻalauiloaina ia lava o se faʻavae e taulaʻi i auaunaga ao ma pusa. E lagolagoina e Twistlock le tele o mea e tuʻuina atu ao (AWS, Azure, GCP), faʻapipiʻi koneteina (Kubernetes, Mesospehere, OpenShift, Docker), taʻaloga e leai se server, faʻavaa mesh ma meafaigaluega CI / CD.

I le faaopoopo atu i faiga masani o le saogalemu o atinaʻe e pei ole CI/CD pipeline integration poʻo le suʻesuʻeina o ata, Twistlock faʻaogaina masini aʻoaʻoga e faʻatupu ai faʻataʻitaʻiga faʻapitoa ma tulafono o fesoʻotaʻiga.

I se taimi ua mavae, Twistlock na faʻatau e Palo Alto Networks, lea e ona le Evident.io ma RedLock poloketi. E le o iloa tonu pe faʻapefea ona tuʻufaʻatasia nei faʻavae e tolu i totonu PRISMA mai Palo Alto.

Fesoasoani e fausia le lisi sili o meafaigaluega saogalemu Kubernetes!

Matou te taumafai e faia lenei faʻamaumauga ia atoatoa pe a mafai, ma mo lenei mea matou te manaʻomia lau fesoasoani! Faafesootai matou (@sysdig) pe afai o loʻo i ai sau mea faigaluega malulu i lou mafaufau e tatau ona faʻaofi i totonu o lenei lisi, pe e te mauaina se mea sese / faʻamatalaga tuai.

E mafai foi ona e lesitala i la matou nusipepa faalemasina fa'atasi ai ma tala fou mai le fa'anatura fa'anatura ma tala e uiga i galuega fa'afiafia mai le lalolagi o le puipuiga a Kubernetes.

PS mai faaliliu

Faitau foi i la matou blog:

• «Ose Folasaga ile Kubernetes Network Policies for Security Professionals";
• «Docker ma Kubernetes i totonu o siosiomaga saogalemu";
• «9 Fa'ata'ita'iga Sili mo Kubernetes Saogalemu";
• «11 Auala e (Leai) Avea ma Victim of a Kubernetes Hack";
• «OPA ma SPIFFE o ni poloketi fou e lua i le CNCF mo le puipuiga o le faʻaogaina o ao".

puna: www.habr.com