33+ Kubernetes aaladaha amniga

Ogow. turjumi: Haddii aad ka yaabban tahay ammaanka Kubernetes-ku-salaysan kaabayaasha, dulmar guud ee wanaagsan ee Sysdig waa bar bilow fiican si deg deg ah eegno xalalka hadda. Waxa ka mid ah hababka qalafsan ee ciyaartoyga suuqa ee caanka ah iyo agabyo aad u fudud oo xalliya dhibaato gaar ah. Iyo faallooyinka, sida had iyo jeer, waxaan ku farxi doonaa inaan maqalno khibradaada isticmaalka qalabkan oo aan aragno xiriirinta mashaariicda kale.

Kubernetes Alaabooyinka kumbiyuutarrada amniga...waxaa jira aad u badan oo iyaga ka mid ah, mid kastaa wuxuu leeyahay hadafkiisa, baaxaddiisa, iyo shatiyadiisa.

Taasi waa sababta aan u go'aansanay inaan abuurno liiskan oo aan ku darno labadaba mashruucyo il furan iyo goobo ganacsi oo ka socda iibiyayaal kala duwan. Waxaan rajeyneynaa inay kaa caawin doonto inaad garato kuwa ugu xiisaha badan oo ay kuu tilmaamto jihada saxda ah iyadoo lagu saleynayo baahiyahaaga amniga ee Kubernetes ee gaarka ah.

Qaybaha

Si liisku u fududaado in la dhex maro, aaladaha waxaa habeeya shaqada ugu weyn iyo codsiga. Qaybaha soo socda ayaa la helay:

• Sawirka sawirka Kubernetes iyo falanqaynta taagan;
• Badbaadada wakhtiga runtime;
• Ammaanka shabakadda Kubernetes;
• Qaybinta sawirka iyo maareynta siraha;
• Hantidhawrka amniga Kubernetes;
• Alaab ganacsi oo dhamaystiran.

Aan u dhaadhacno ganacsiga:

Sawirka sawirada Kubernetes

Barroosin

• Website: anchore.com
• Shatiga: bilaash (Apache) iyo ganacsi bixin

Anchore waxay falanqaysaa sawirada weelka waxayna ogolaataa hubinta amniga ee ku salaysan siyaasadaha qeexan isticmaale

Marka lagu daro iskaanka caadiga ah ee sawirada weelka ee dayacanka caanka ah ee xogta CVE, Anchore waxay qabataa jeegag badan oo dheeri ah taas oo qayb ka ah siyaasaddeeda iskaanka: waxay hubisaa Dockerfile, daadinta aqoonsiga, xirmooyinka luuqadaha barnaamijka ee la isticmaalo (npm, maven, iwm.) .), shatiyada software iyo qaar kaloo badan.

Clair

• Website: coreos.com/clair (hadda waxaa hoos yimaada koofiyadda cas)
• Shatiga: bilaash ah (Apache)

Clair wuxuu ahaa mid ka mid ah mashruucyadii Isha Furan ee ugu horreeyay ee sawir qaadista. Waxaa si weyn loogu yaqaannaa iskaanka amniga ee ka dambeeya diiwaanka sawirka Quay (sidoo kale ka yimid CoreOS - qiyaastii turjumaada). Clair waxay xogta CVE ka soo ururin kartaa ilo kala duwan oo kala duwan, oo ay ku jiraan liisaska dayacan qaybinta Linux gaar ah oo ay ilaaliyaan kooxaha Debian, Koofiyada Cas, ama Ubuntu.

Si ka duwan Anchore, Clair ugu horrayn waxay diiradda saartaa sidii loo heli lahaa dayacanka iyo isku-darka xogta CVEs. Si kastaba ha ahaatee, alaabtu waxay siisaa dadka isticmaala fursado ay ku ballaariyaan hawlaha iyaga oo isticmaalaya darawallada fur-in.

Daga

• Website: github.com/eliasgrandebio/dagda
• Shatiga: bilaash ah (Apache)

Dagda waxay qabataa falanqaynta sawirada weelka ee dayacanka la yaqaan, Trojans, viruses, malware iyo khataraha kale.

Laba sifo oo xusid mudan ayaa Dagda ka soocay aaladaha kale ee la midka ah:

• Waxay si fiican ula midowdaa ClamAV, ma aha oo kaliya sida qalab lagu baadho sawirada weelka, laakiin sidoo kale sida antivirus.
• Sidoo kale waxay bixisaa ilaalinta runtime adoo ka helaya dhacdooyinka waqtiga dhabta ah ee Docker daemon iyo la dhexgalka Falco (hoos eeg) in la ururiyo dhacdooyinka amniga inta konteenarku socdo.

KubeXray

• Website: github.com/jfrog/kubexray
• Shatiga: Bilaash (Apache), laakiin waxay u baahan tahay xogta JFrog Xray (alaabta ganacsiga)

KubeXray wuxuu dhagaystaa dhacdooyinka server-ka API ee Kubernetes wuxuuna isticmaalaa xogta badan ee JFrog Xray si loo hubiyo in kaliya boodhadhka ku habboon siyaasadda hadda la bilaabay.

KubeXray kaliya maaha inay xisaabiso weelasha cusub ama la cusboonaysiiyay ee ku jira hawlgelinta (oo la mid ah kantaroolaha gelitaanka ee Kubernetes), laakiin sidoo kale waxay si firfircoon u hubisaa weelasha socodsiinta u hoggaansanaanta siyaasadaha cusub ee amniga, iyadoo meesha ka saaraysa agabka tixraacaya sawirrada nugul.

Nacas

• Website: snyk.io
• Shatiga: bilaash (Apache) iyo noocyada ganacsiga

Snyk waa sawir-qaade nuglaanta oo aan caadi ahayn taas oo si gaar ah u bartilmaameedsanaysa habka horumarinta waxaana loo dallacsiiyay sidii "xalka muhiimka ah" ee horumariyeyaasha.

Snyk wuxuu si toos ah ugu xidhaa kaydadka koodka, wuxuu turjumaa bandhiga mashruuca oo uu falanqeeyaa koodka la soo dejiyay oo ay la socoto ku tiirsanaanta tooska ah iyo kuwa aan tooska ahayn. Snyk waxay taageertaa luuqado badan oo caan ah oo barnaamijka ah waxayna aqoonsan kartaa khataraha shatiga qarsoon.

Waxyeello

• Website: github.com/knqyf263/trivy
• Shatiga: bilaash (AGPL)

Trivy waa iskaanka nuglaanshaha fudud laakiin awood leh oo loogu talagalay weelasha si fudud ugu dhex milma dhuumaha CI/CD. Muuqaalkeeda xusid mudan ayaa ah fududaynta rakibidda iyo hawlgalka: codsigu wuxuu ka kooban yahay hal binary oo uma baahna rakibida kaydka xogta ama maktabado dheeraad ah.

Dhinaca hoose ee fududaynta Trivy waa inaad ogaatid sida loo kala saaro oo aad u gudbiso natiijooyinka qaabka JSON si qalabka kale ee ammaanka ee Kubernetes ay u isticmaalaan.

Nabadgelyada Runtime ee Kubernetes

Falco

• Website: falco.org
• Shatiga: bilaash ah (Apache)

Falco waa qalabyo kala duwan oo lagu sugi karo jawiyada runtime-ka. Qayb ka mid ah qoyska mashruuca CNCF.

Isticmaalka qalabaynta heerka kernel-ka ee Sysdig's Linux iyo hab-sheegida nidaamka, Falco wuxuu kuu ogolaanayaa inaad si qoto dheer u dhex gasho hab-dhaqanka nidaamka. Matoorka shuruucdiisa runtime-ku waxa uu awood u leeyahay in uu ogaado dhaqdhaqaaqyada laga shakiyo ee codsiyada, weelasha, martigeliyaha hoose, iyo abaabulaha Kubernetes.

Falco waxay bixisaa daahfurnaan buuxda wakhtiga runtime iyo ogaanshaha khatarta ah iyadoo u diraysa wakiillo gaar ah qanjidhada Kubernetes ujeedooyinkan. Natiijadu waxay tahay, looma baahna in wax laga beddelo weelasha iyadoo la gelinayo koodka qolo saddexaad ama lagu daro weelasha dhinac-dhinta.

Qaab-dhismeedka amniga Linux ee runtime

Qaab-dhismeedkan asalka ah ee kernel Linux maaha "Aaladaha amniga ee Kubernetes" macnaha dhaqameed, laakiin waxay mudan yihiin in la xuso sababtoo ah waxay yihiin shay muhiim ah oo ku saabsan amniga runtime, kaas oo lagu daro Siyaasadda Amniga Kubernetes Pod (PSP).

AppArmor ku lifaaqaa astaanta amniga habraacyada ku dhex socda weelka, qeexaya mudnaanta nidaamka faylalka, xeerarka gelitaanka shabakada, isku xidhka maktabadaha, iwm. Kani waa nidaam ku salaysan Kontroolka Helitaanka Qasabka ah (MAC). Si kale haddii loo dhigo, waxay ka hortagtaa falalka la mamnuucay in la sameeyo.

Linux oo Amniga La Wanaajiyey (SELinux) waa moduleka amniga horumarsan ee kernel Linux, oo la mid ah dhinacyada qaar ee AppArmor oo inta badan la barbar dhigo. SELinux wuxuu kaga sarreeyaa AppArmor xagga awoodda, dabacsanaanta iyo habeynta. Khasaareheedu waa qalooca waxbarashada dheer iyo kakanaanta oo kordhay.

Seccomp iyo seccomp-bpf waxay kuu oggolaanayaan inaad shaandhayso wicitaannada nidaamka, joojiso fulinta kuwa khatarta u ah OS-ka aasaasiga ah oo aan looga baahnayn hawlgalka caadiga ah ee codsiyada isticmaalaha. Seccomp wuxuu la mid yahay Falco siyaabaha qaar, inkastoo aysan garanayn waxyaabaha gaarka ah ee weelasha.

Sysdig il furan

• Website: www.sysdig.com/opensource
• Shatiga: bilaash ah (Apache)

Sysdig waa qalab dhamaystiran oo lagu falanqeeyo, lagu baadho oo lagu saxo nidaamyada Linux (sidoo kale wuxuu ku shaqeeyaa Windows iyo macOS, laakiin leh hawlo xadidan). Waxa loo isticmaali karaa xog ururin tifaftiran, xaqiijinta iyo falanqaynta dembiilaha. (forensics) nidaamka aasaasiga ah iyo weel kasta oo ku socda.

Sysdig sidoo kale asal ahaan waxay taageertaa runtimes weelka iyo xogta badan ee Kubernetes, isaga oo ku dara cabbiraad dheeri ah iyo calaamado dhammaan macluumaadka habdhaqanka nidaamka ay ururiso. Waxaa jira dhowr siyaabood oo lagu falanqeeyo kutlada Kubernetes iyadoo la adeegsanayo Sysdig: waxaad ku sameyn kartaa qabsashada waqtiga-dhibcaha iyadoo loo marayo qabsashada kubectl ama bilow is-dhexgal is-dhexgal ku salaysan oo ncurses ah adoo isticmaalaya plugin kubectl qod.

Amniga Shabakadda Kubernetes

Aporeto

• Website: www.aporeto.com
• Shatiga: ganacsi

Aporeto waxay bixisaa "ammaan ka soocay shabakada iyo kaabayaasha." Tani waxay ka dhigan tahay in adeegyada Kubernetes aysan helin oo keliya aqoonsiga degaanka (ie. ServiceAccount in Kubernetes), laakiin sidoo kale aqoonsi/faraha caalamiga ah oo loo isticmaali karo in lagula xiriiro si ammaan ah oo wadajir ah adeeg kasta, tusaale ahaan kutlada OpenShift.

Aporeto waxa uu awood u leeyahay in uu soo saaro aqoonsi gaar ah oo aan ahayn Kubernetes/koonteenarada, laakiin sidoo kale martigeliyayaasha, hawlaha daruuraha iyo isticmaalayaasha. Iyada oo ku xidhan aqoonsiyaashan iyo jaangooyada xeerarka amniga shabakada ee uu dejiyo maamuluhu, isgaadhsiinta waa la ogolaan doonaa ama waa la xannibi doonaa.

Calico

• Website: www.projectcalico.org
• Shatiga: bilaash ah (Apache)

Calico ayaa sida caadiga ah la geeyaa inta lagu guda jiro rakibaadda orchestrator-ka weelka, taasoo kuu ogolaaneysa inaad abuurto shabakad macmal ah oo isku xirta weelasha. Marka laga soo tago shaqeynta shabakadda aasaasiga ah, mashruuca Calico wuxuu la shaqeeyaa Siyaasadaha Shabakadda Kubernetes iyo qaabkeeda gaarka ah ee profiles amniga shabakadda, waxay taageertaa dhamaadka ACLs (liiska xakamaynta gelitaanka) iyo xeerarka amniga shabakada ku saleysan sharraxaadda ee Taraafikada Ingress iyo Egress.

cilium

• Website: www.cilium.io
• Shatiga: bilaash ah (Apache)

Cilium waxay u shaqeysaa sidii darbiga weelasha waxayna siisaa sifada amniga shabakada ee asal ahaan loogu talagaly Kubernetes iyo adeegyadda yar yar ee culeyska shaqada. Cilium waxay isticmaashaa tignoolajiyada cusub ee kernel Linux ee loo yaqaan BPF (Berkeley Packet Filter) si ay u shaandhayso, ula socoto, u jihayso oo u saxdo xogta.

Cilium waxa ay awood u leedahay in ay geyso siyaasadaha gelitaanka shabakada ee ku salaysan aqoonsiga weelka iyada oo la isticmaalayo summada Docker ama Kubernetes iyo xogta badan. Cilium sidoo kale wuu fahmayaa oo shaandheeyaa borotokoolka Layer 7 ee kala duwan sida HTTP ama gRPC, taasoo kuu ogolaanaysa inaad qeexdo go'an wicitaanada REST oo loo ogolaan doono inta u dhaxaysa labada Kubernetes la diri karo, tusaale ahaan.

Istio

• Website: istio.io
• Shatiga: bilaash ah (Apache)

Istio waxa si weyn loogu yaqaanaa hirgelinta nidaamka mesh-ka adeegga iyadoo la geynayo diyaarad kontorool oo madax-bannaan oo ku hagaya dhammaan taraafikada adeegga la maareeyay iyada oo loo marayo wakiillada Ergayga si firfircoon u habaysan. Istio waxay ka faa'iidaysanaysaa aragtidan horumarsan ee dhammaan adeegyada yaryar iyo weelasha si ay u hirgeliyaan xeelado kala duwan oo amniga shabakadaha ah.

Awoodaha amniga shabakada Istio waxaa ka mid ah sirta TLS ee hufan si si toos ah loogu cusboonaysiiyo xidhiidhka ka dhexeeya adeegaha yar-yar ee HTTPS, iyo aqoonsiga RBAC ee lahaanshaha iyo nidaamka oggolaanshaha si loogu ogolaado/diido xidhiidhka ka dhexeeya culaysyada shaqo ee kala duwan ee kutlada.

Ogow. turjumi: Si aad wax badan uga ogaato awooda amniga ee Istio, akhri maqaalkani.

Tigera

• Website: www.tigera.io
• Shatiga: ganacsi

Waxaa loogu yeeraa "Kubernetes Firewall," xalkani wuxuu xooga saarayaa hab-aaminaad eber ah ee amniga shabakada.

Si la mid ah xalalka isku xidhka Kubernetes kale, Tigera waxay ku tiirsan tahay metadata si ay u aqoonsato adeegyada iyo walxaha kala duwan ee kutlada waxayna bixisaa ogaanshaha arrinta runtime, hubinta u hogaansanaanta joogtada ah, iyo muuqaalka shabakada ee kaabayaasha badan ee daruuraha ama isku-dhafka ah ee ka kooban hal-abuurka.

Trireme

• Website: www.aporeto.com/opensource
• Shatiga: bilaash ah (Apache)

Trireme-Kubernetes waa fulin fudud oo toos ah ee qeexida Siyaasadaha Shabakadda Kubernetes. Tilmaamaha ugu caansan ayaa ah - si ka duwan kuwa la midka ah ee Kubernetes amniga shebekadaha - uma baahna diyaarad kontorool dhexe si ay isugu duwo mesh-ka. Tani waxay xalku ka dhigaysaa mid aan miisaan lahayn. Trireme, tan waxaa lagu gaaraa iyada oo lagu rakibo wakiil nood kasta oo si toos ah ugu xidha xidhmada TCP/IP ee martida loo yahay.

Faafinta Sawirka iyo Maamulka Sirta

Grafeas

• Website: grafeas.io
• Shatiga: bilaash ah (Apache)

Grafeas waa isha furan API ee xisaabinta silsiladda sahayda software iyo maamulka. Heerka aasaasiga ah, Grafeas waa aalad lagu ururiyo xogta badan iyo natiijooyinka xisaabinta. Waxaa loo isticmaali karaa si loola socdo u hoggaansanaanta hababka ugu wanaagsan ee amniga ee hay'adda dhexdeeda.

Ilahan runta ah ee la dhexdhigay waxa ay caawisaa ka jawaabista su'aalaha sida:

• Yaa ururiyey oo u saxeexay weel gaar ah?
• Miyay ka gudubtay dhammaan baaritaannada amniga iyo hubinta ay u baahan tahay siyaasadda ammaanku? Goorma? Natiijadu maxay ahaayeen?
• Yaa u diray wax soo saarka? Waa maxay cabbirada gaarka ah ee la isticmaalay intii lagu jiray hawlgalinta?

In-tooto

• Website: gudaha-toto.github.io
• Shatiga: bilaash ah (Apache)

In-toto waa qaab-dhismeed loogu talagalay in lagu bixiyo daacadnimada, xaqiijinta iyo xisaabinta dhammaan silsiladda saadka software. Marka la geynayo In-toto kaabayaal, qorshe ayaa marka hore qeexaya tillaabooyinka kala duwan ee dhuumaha (bakhaarka, agabka CI/CD, agabka QA, alaab-ururinta, iwm) iyo isticmaalayaasha (dadka mas'uulka ah) ee loo oggol yahay inay iyaga bilaabi.

In-toto wuxuu kormeeraa fulinta qorshaha, isagoo hubinaya in hawl kasta oo silsiladda ka mid ah ay si sax ah u fuliyaan shaqaale idman oo keliya iyo in aan wax-is-daba-marin aan la ogolayn lagu sameeyay badeecada inta lagu jiro dhaqdhaqaaqa.

Porteriis

• Website: github.com/IBM/porteriis
• Shatiga: bilaash ah (Apache)

Portieris waa maamulaha gelitaanka Kubernetes; loo isticmaalo in lagu meelmariyo hubinta kalsoonida nuxurka. Porteriis waxay isticmaashaa server Nootaayo (waxaan ka qornay isaga dhamaadka maqaalkan - qiyaastii turjumaada) sida isha runta ah si loo ansixiyo waxyaabaha la aamini karo iyo kuwa saxeexan (tusaale, sawirada weelka ee la ansixiyay).

Marka culeyska shaqada lagu abuuro ama wax laga beddelo gudaha Kubernetes, Portieris wuxuu soo dejiyaa macluumaadka saxiixa iyo siyaasadda aaminaadda nuxurka ee sawirrada weelka la codsaday, haddii loo baahdo, waxay ku samaysaa isbeddel ku-raagidda shayga JSON API si ay u socodsiiso noocyada saxeexan ee sawirradaas.

Vault

• Website: www.vaultproject.io
• Shatiga: bilaash (MPL)

Vault waa xal aamin ah oo lagu kaydiyo macluumaadka gaarka ah: ereyada sirta ah, calaamadaha OAuth, shahaadooyinka PKI, akoonnada gelitaanka, sirta Kubernetes, iwm. Vault waxay taageertaa sifooyin badan oo horumarsan, sida kiraysashada calaamadaha amniga ephemeral ama abaabulka wareejinta muhiimka ah.

Isticmaalka shaxda Helm, Vault waxa loo diri karaa sidii cusub oo la geyn lahaa kooxda Kubernetes oo leh Qunsulka sida kaydinta dhabarka. Waxay taageertaa agabyada Kubernetes ee asalka u ah sida ServiceAccount tokens waxayna xitaa u dhaqmi kartaa sida kaydka caadiga ah ee siraha Kubernetes.

Ogow. turjumiJid ahaan, shalay uun shirkadda HashiCorp, oo horumarisa Vault, ayaa ku dhawaaqday waxoogaa horumar ah oo ku saabsan adeegsiga Vault ee Kubernetes, gaar ahaan waxay la xidhiidhaan shaxda Helm. Wax badan ka sii akhri blog horumariye.

Hantidhawrka Amniga Kubernetes

Kube-bench

• Website: github.com/aquasecurity/kube-bench
• Shatiga: bilaash ah (Apache)

Kube-bench waa codsi Go kaas oo hubiya in Kubernetes loo diray si badbaado leh iyada oo la raacayo imtixaannada liiska CIS Kubernetes Benchmark.

Kube-bench wuxuu raadiyaa habayn aan ammaan ahayn oo ka mid ah qaybaha kutlada (iwm, API, maareeyaha kontoroolka, iwm.), Xuquuqda gelitaanka faylka su'aallaha, xisaabaadka aan la ilaalin ama dekedaha furan, kootada kheyraadka, dejinta xaddidaadda tirada wicitaannada API si looga ilaaliyo weerarrada DoS iwm.

Kube-ugaadhsade

• Website: github.com/aquasecurity/kube-hunter
• Shatiga: bilaash ah (Apache)

Kube-ugaadhsade ayaa ugaarsada dayacanka iman kara (sida fulinta koodka fog ama shaacinta xogta) ee kutlooyinka Kubernetes. Kube-ugaadhsiga waxa loo ordi karaa sidii iskaanka fog-fog - kiis kaas waxa ay qiimaynaysaa kutlada marka laga eego aragtida weerarka koox saddexaad - ama sida boodhka gudaha kooxda.

Sifada gaarka ah ee Kube-ugaadhsiga waa qaabkeeda "ugaadhsiga fir fircoon", inta lagu guda jiro taas oo aan kaliya ka warbixin dhibaatooyinka, laakiin sidoo kale waxay isku daydaa inay ka faa'iideysato dayacanka laga helay kooxda bartilmaameedka ah ee waxyeello u geysan karta hawlgalkeeda. Markaa si taxadir leh u isticmaal!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Shatiga: bilaash (MIT)

Kubeaudit waa qalab konsole oo asal ahaan laga sameeyay Shopify si loo xisaabiyo qaabeynta Kubernetes arrimaha amniga kala duwan. Tusaale ahaan, waxa ay caawisaa in la aqoonsado weelasha si aan xadidnayn u shaqaynaya, xidid ahaan u shaqaynaya, mudnaanta ku-tagrifalka, ama isticmaalka adeegaAccount-ka caadiga ah.

Kubeaudit waxay leedahay astaamo kale oo xiiso leh. Tusaale ahaan, waxay falanqeyn kartaa faylasha YAML maxalliga ah, waxay aqoonsan kartaa cilladaha qaabeynta ee u horseedi kara dhibaatooyinka amniga, oo si toos ah u hagaajin kara.

Kubesec

• Website: kubesec.io
• Shatiga: bilaash ah (Apache)

Kubesec waa qalab gaar ah oo ay si toos ah u baadho faylalka YAML ee qeexaya ilaha Kubernetes, iyaga oo raadinaya xaddi daciif ah oo saameyn kara amniga.

Tusaale ahaan, waxay ogaan kartaa dhawrsanaanta xad dhaafka ah iyo oggolaanshaha la siiyay boodhka, ku shaqaynta weelka xididka isticmaalaha caadiga ah, ku xidhida magaca shabakada martida loo yahay, ama korka khatarta ah sida /proc martigeliyaha ama godka Docker. Muuqaalka kale ee xiisaha leh ee Kubesec waa adeegga demo ee laga heli karo khadka tooska ah, kaas oo aad ku dhejin karto YAML isla markiibana u falanqeyso.

Wakiilka Siyaasadda Furan

• Website: www.openpolicyagent.org
• Shatiga: bilaash ah (Apache)

Fikradda OPA (Wakiilka Siyaasadda Furan) waa in la kala saaro siyaasadaha amniga iyo hab-dhaqannada ugu wanaagsan ee amniga laga bilaabo madal runtime gaar ah: Docker, Kubernetes, Mesosphere, OpenShift, ama isku darka kasta.

Tusaale ahaan, waxaad u diri kartaa OPA sidii dhabarka dambe ee maamulaha gelitaanka Kubernetes, u wakiishay go'aannada amniga. Sidan, wakiilka OPA waxa uu ku ansixin karaa, diidi karaa, oo xitaa wax ka beddeli karaa codsiyada duullimaadka, isaga oo hubinaya in cabbirrada amniga ee la cayimay la buuxiyey. Siyaasadaha amniga ee OPA waxay ku qoran yihiin luqaddeeda gaarka ah ee DSL, Rego.

Ogow. turjumiWaxaan wax badan ka qornay OPA (iyo SPIFFE) gudaha qalabkan.

Qalab ganacsi oo dhamaystiran oo loogu talagalay falanqaynta amniga Kubernetes

Waxaan go'aansanay inaan u abuurno qayb gaar ah goobaha ganacsiga sababtoo ah waxay daboolaan meelo badan oo ammaan ah. Fikrad guud oo ku saabsan awoodahooda ayaa laga heli karaa miiska:

* Baadhitaan heersare ah iyo falanqaynta dhimashada ka dib oo dhammaystiran system call afduub.

Amniga Aqua

• Website: www.aquasec.com
• Shatiga: ganacsi

Qalabkan ganacsi waxaa loogu talagalay weelasha iyo culeysyada shaqada daruuraha. Waxay bixisaa:

• Sawirka sawirka oo lagu daray diiwaanka weelka ama dhuumaha CI/CD;
• Ilaalinta wakhtiga ay ku socoto raadinta isbeddelada weelasha iyo hawlaha kale ee laga shakiyo;
• Kontaynarro-guriga dab-demiska;
• Amniga server-la'aanta ee adeegyada daruuraha;
• Imtixaanka u hoggaansanaanta iyo xisaabinta oo ay weheliso qorista dhacdada.

Ogow. turjumi: Waxaa kaloo xusid mudan inay jiraan qaybta bilaashka ah ee alaabta la yiraahdo MicroScanner, kaas oo kuu ogolaanaya inaad sawirto sawirada weelka si aad u aragto dayacan. Isbarbardhigga awoodeeda iyo noocyada lacag bixinta ayaa lagu soo bandhigay miiskaan.

Kaabsoosha8

• Website: capsule8.com
• Shatiga: ganacsi

Capsule8 waxa ay ku biirtaa kaabayaasha iyada oo ku rakibaysa qalabka wax baadha ee kutlada Kubernetes ee maxaliga ah ama daruuraha. Baahiyahani waxa uu ururiyaa telemetry-ga martida loo yahay iyo shabakada, isaga oo ku xidha noocyada kala duwan ee weerarada.

Kooxda Capsule8 waxay hawshooda u arkaan inay tahay ogaanshaha hore iyo ka hortagga weerarada iyadoo la isticmaalayo cusub (0-maalin) baylahda. Capsule8 waxay si toos ah u soo dejisan kartaa xeerarka amniga ee la cusboonaysiiyay si ay uga jawaabto hanjabaadaha cusub ee la helay iyo dayacanka software-ka.

Cavirin

• Website: www.cavirin.com
• Shatiga: ganacsi

Cavirin wuxuu u shaqeeyaa sidii qandaraasle-shirkadeed ee hay'ado kala duwan oo ku lug leh heerarka amniga. Ma aha oo kaliya in ay sawirto sawirada, laakiin sidoo kale waxay ku dhex milmi kartaa dhuumaha CI / CD, oo xannibaya sawirada aan caadiga ahayn ka hor intaanay gelin kaydka xiran.

Qaybta amniga ee Cavirin waxay isticmaashaa barashada mashiinka si ay u qiimeeyaan booskaaga amniga internetka, iyagoo siinaya talooyin lagu wanaajinayo amniga oo loo wanaajiyo u hoggaansanaanta heerarka amniga.

Xarunta Taliska Ammaanka Google Cloud

• Website: Cloud.google.com/security-command-center
• Shatiga: ganacsi

Xarunta Taliska Amniga Cloud waxay ka caawisaa kooxaha amniga inay ururiyaan xogta, aqoonsadaan khataraha, oo ay tirtiraan ka hor intaanay waxyeello u geysan shirkadda.

Sida magacu soo jeedinayo, Google Cloud SCC waa guddi kontarool oo midaysan oo isku dari kara oo maamuli kara warbixinnada amniga ee kala duwan, matoorada xisaabinta hantida, iyo nidaamyada amniga ee qolo saddexaad oo ka timid hal, il dhexe.

API-ga wada shaqayn kara ee ay bixiso Google Cloud SCC waxa ay sahlaysaa in la isku daro dhacdooyinka amniga ee ka imanaya ilo kala duwan, sida Sysdig Secure (ilaalinta konteenarada ee codsiyada waddaniga ah) ama Falco (Open Source Runtime security).

Aragtida lakabka ah (Qualys)

• Website: Layeredinsight.com
• Shatiga: ganacsi

Layered Insight (hadda qayb ka ah Qualys Inc) waxay ku dhisan tahay fikradda "amniga ku dhex jira." Ka dib markii la sawiro sawirka asalka ah ee dayacanka iyadoo la adeegsanayo falanqaynta tirakoobka iyo hubinta CVE, Layered Insight waxay ku beddeshaa sawir qalabaysan oo uu ku jiro wakiilka sida binary.

Wakiilkani waxa uu ka kooban yahay imtixaanada amniga runtime si loo falanqeeyo taraafikada shabakada weelka, socodka I/O iyo dhaqdhaqaaqa codsiga. Intaa waxaa dheer, waxay samayn kartaa hubinta amniga dheeraadka ah ee ay qeexeen maamulaha kaabayaasha ama kooxaha DevOps.

NeuVector

• Website: neuvector.com
• Shatiga: ganacsi

NeuVector waxay hubisaa ammaanka weelka waxayna bixisaa ilaalinta runtime iyadoo la falanqeynayo dhaqdhaqaaqa shabakada iyo habdhaqanka codsiga, abuurista astaanta amniga ee shakhsi kasta weel kasta. Waxa kale oo ay iskeed u xannibi kartaa hanjabaadaha, iyada oo go'doomin karta dhaqdhaqaaqa shakiga leh iyada oo beddeleysa xeerarka dab-damiska maxalliga ah.

Isku xirka shabakadda NeuVector, oo loo yaqaan Mesh Security, ayaa awood u leh falanqaynta baakidhka qoto dheer iyo shaandhaynta lakabka 7 ee dhammaan xidhiidhada shabakadda ee mesh adeegga.

StackRox

• Website: www.stackrox.com
• Shatiga: ganacsi

Qalabka amniga weelka StackRox wuxuu ku dadaalayaa inuu daboolo dhammaan meertada nolosha ee codsiyada Kubernetes ee kutlada. Sida goobaha kale ee ganacsiga ee liiskan ku jira, StackRox waxay soo saartaa muuqaal runtime ah oo ku salaysan habdhaqanka weelka ee la arkay oo waxay si toos ah u kicisaa qaylo-dhaan kasta oo leexleexan.

Intaa waxaa dheer, StackRox waxay falanqaysaa habaynta Kubernetes iyadoo la isticmaalayo Kubernetes CIS iyo buugaagta xeer ee kale si loo qiimeeyo u hoggaansanaanta weelka.

Sysdig Secure

• Website: sysdig.com/products/security
• Shatiga: ganacsi

Sysdig Secure waxa ay ilaalisaa codsiyada weelka oo dhan iyo meertada nolosha Kubernetes. Isaga sawiro sawiro weelasha, waxay bixisaa ilaalinta runtime Marka loo eego xogta barashada mashiinka, waxay qabataa kareem. khibrad si loo aqoonsado dayacanka, horjoogsada hanjabaadaha, kormeerayaasha u hoggaansanaanta heerarka la aasaasay iyo hubinta dhaqdhaqaaqa adeegyada yar yar.

Sysdig Secure waxa ay la midaysaa qalabka CI/CD sida Jenkins oo uu xakameeyo sawirada laga soo raray diiwaanka Docker, isaga oo ka hortagaya in sawirada khatarta ah ay ka soo muuqdaan wax soo saarka. Waxa kale oo ay bixisaa ammaan runtime oo dhamaystiran, oo ay ku jiraan:

• ML ku salaysan xog-ururinta runtime iyo ogaanshaha cillad;
• siyaasadaha runtime ee ku salaysan dhacdooyinka nidaamka, K8s-audit API, mashaariicda bulshada wadajirka ah (FIM - ilaalinta daacadnimada faylka; cryptojacking) iyo qaab-dhismeedka MITER AT&CK;
• ka jawaabista iyo xallinta dhacdooyinka.

Badbaadada Kontaynarada la qabadsiin karo

• Website: www.tenable.com/products/tenable-io/container-security
• Shatiga: ganacsi

Kahor imaanshaha weelasha, Tenable waxaa si weyn loogu yaqaanay warshadaha inay tahay shirkadda ka dambeysa Nessus, oo ah ugaarsiga nugul ee caanka ah iyo aaladda hubinta amniga.

Ammaanka Kontaynarrada La xejin karo waxay ka faa'iidaysataa khibradda amniga kombiyuutarka ee shirkadda si ay ugu dhexgeliso dhuumaha CI/CD xog-ururinta nuglaanta, xirmooyinka ogaanshaha malware-ka gaarka ah, iyo talooyinka xallinta khataraha amniga.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Shatiga: ganacsi

Twistlock waxay isu dhiirrigelisaa sidii madal diiradda lagu saarayo adeegyada daruuraha iyo weelasha. Twistlock waxay taageertaa bixiyeyaasha daruuraha kala duwan (AWS, Azure, GCP), orchestrators weelka (Kubernetes, Mesospehere, OpenShift, Docker), runtimes aan server lahayn, qaab-dhismeedka mesh iyo aaladaha CI/CD.

Marka lagu daro farsamooyinka amniga heerka ganacsiga ee caadiga ah sida is dhexgalka dhuumaha CI/CD ama sawirka sawirka, Twistlock waxay isticmaashaa barashada mashiinka si ay u abuurto habab dhaqaneed gaar ah oo weel gaar ah iyo xeerarka shabakada.

Waqti ka hor, Twistlock waxaa iibsaday Palo Alto Networks, oo leh mashaariicda Evident.io iyo RedLock. Ilaa hadda lama garanayo sida saxda ah ee saddexdan goobood loo midayn doono PRISMA ka Palo Alto.

Ka caawi dhisitaanka buug-gacmeedka ugu fiican ee qalabka amniga Kubernetes!

Waxaan ku dadaaleynaa inaan ka dhigno buug-yarahaan sida ugu macquulsan, taasna waxaan ugu baahanahay caawintaada! Nala soo xiriir (@sysdig) Haddii aad maskaxda ku hayso qalab fiican oo u qalma in lagu daro liiskan, ama aad hesho khalad/macluumaad duugoobay.

Waxaad sidoo kale isku qori kartaa our warside bille ah oo leh wararka ka imanaya nidaamka deegaanka deegaanka ee daruuriga ah iyo sheekooyin ku saabsan mashaariicda xiisaha leh ee ka socda adduunka ee amniga Kubernetes.

PS ka turjumaan

Sidoo kale ka akhri boggayaga:

• «Hordhac Xeerarka Shabakadda Kubernetes ee Xirfadlayaasha Amniga";
• «Docker iyo Kubernetes oo ku yaal deegaan ammaan-doon ah";
• «9 Hababka ugu Fiican ee Amniga Kubernetes";
• «11 Siyaabaha (Ma aha) Loogu Noqon karo Dhibbanaha Hack Kubernetes";
• «OPA iyo SPIFFE waa laba mashruuc oo cusub oo CNCF ah oo loogu talagalay amniga codsiga daruuriga".

Source: www.habr.com