33+ mjete sigurie Kubernetes

Shënim. përkth.: Nëse po pyesni veten për sigurinë në infrastrukturën e bazuar në Kubernetes, kjo pasqyrë e shkëlqyer nga Sysdig është një pikënisje e shkëlqyer për një vështrim të shpejtë të zgjidhjeve aktuale. Ai përfshin të dyja sistemet komplekse nga lojtarët e njohur të tregut dhe shërbimet shumë më modeste që zgjidhin një problem të veçantë. Dhe në komente, si gjithmonë, do të jemi të lumtur të dëgjojmë për përvojën tuaj duke përdorur këto mjete dhe të shohim lidhje me projekte të tjera.

Produkte të softuerit të sigurisë Kubernetes... ka kaq shumë prej tyre, secila me qëllimet, shtrirjen dhe licencat e veta.

Kjo është arsyeja pse ne vendosëm të krijojmë këtë listë dhe të përfshijmë si projekte me burim të hapur ashtu edhe platforma komerciale nga shitës të ndryshëm. Shpresojmë që do t'ju ndihmojë të identifikoni ato që janë me më shumë interes dhe t'ju drejtojë në drejtimin e duhur bazuar në nevojat tuaja specifike të sigurisë së Kubernetes.

Kategoritë

Për ta bërë më të lehtë navigimin në listë, mjetet organizohen sipas funksionit dhe aplikacionit kryesor. Janë marrë pjesët e mëposhtme:

• Skanimi i imazhit Kubernetes dhe analiza statike;
• Siguria gjatë funksionimit;
• Siguria e rrjetit Kubernetes;
• Shpërndarja e imazheve dhe menaxhimi i sekreteve;
• Auditimi i sigurisë së Kubernetes;
• Produkte komerciale gjithëpërfshirëse.

Le të zbresim në biznes:

Skanimi i imazheve të Kubernetes

Spirancë

• Website: anchore.com
• Licenca: falas (Apache) dhe ofertë komerciale

Anchore analizon imazhet e kontejnerëve dhe lejon kontrollet e sigurisë bazuar në politikat e përcaktuara nga përdoruesi.

Përveç skanimit të zakonshëm të imazheve të kontejnerëve për dobësi të njohura nga baza e të dhënave CVE, Anchore kryen shumë kontrolle shtesë si pjesë e politikës së saj të skanimit: kontrollon skedarin Docker, rrjedhjet e kredencialeve, paketat e gjuhëve të programimit të përdorura (npm, maven, etj. .), licencat e softuerit dhe shumë më tepër.

Clair

• Website: coreos.com/clair (tani nën tutelën e Red Hat)
• Licenca: falas (Apache)

Clair ishte një nga projektet e para me burim të hapur për skanimin e imazheve. Ai njihet gjerësisht si skaneri i sigurisë pas regjistrit të imazheve të Quay (gjithashtu nga CoreOS - përafërsisht. përkthimi). Clair mund të mbledhë informacione CVE nga një shumëllojshmëri burimesh, duke përfshirë listat e dobësive specifike të shpërndarjes Linux të mbajtura nga ekipet e sigurisë Debian, Red Hat ose Ubuntu.

Ndryshe nga Anchore, Clair fokusohet kryesisht në gjetjen e dobësive dhe përputhjen e të dhënave me CVE. Sidoqoftë, produkti u ofron përdoruesve disa mundësi për të zgjeruar funksionet duke përdorur drejtuesit e shtojcave.

dagda

• Website: github.com/eliasgranderubio/dagda
• Licenca: falas (Apache)

Dagda kryen analiza statike të imazheve të kontejnerëve për dobësi të njohura, Trojans, viruse, malware dhe kërcënime të tjera.

Dy karakteristika të dukshme e dallojnë Dagda nga mjetet e tjera të ngjashme:

• Ai integrohet në mënyrë të përkryer me ClamAV, duke vepruar jo vetëm si një mjet për skanimin e imazheve të kontejnerëve, por edhe si një antivirus.
• Gjithashtu siguron mbrojtje në kohë ekzekutimi duke marrë ngjarje në kohë reale nga daemon Docker dhe duke u integruar me Falco (Shikoni më poshtë) për të mbledhur ngjarje sigurie ndërsa kontejneri është në punë.

KubeXray

• Website: github.com/jfrog/kubexray
• Licenca: Falas (Apache), por kërkon të dhëna nga JFrog Xray (produkt tregtar)

KubeXray dëgjon ngjarje nga serveri Kubernetes API dhe përdor meta të dhënat nga JFrog Xray për të siguruar që të hapen vetëm pods që përputhen me politikën aktuale.

KubeXray jo vetëm që kontrollon kontejnerët e rinj ose të përditësuar në vendosje (të ngjashme me kontrolluesin e pranimit në Kubernetes), por gjithashtu kontrollon dinamikisht kontejnerët që funksionojnë për pajtueshmërinë me politikat e reja të sigurisë, duke hequr burimet që referojnë imazhe të cenueshme.

Snyk

• Website: snyk.io
• Licenca: versione falas (Apache) dhe komerciale

Snyk është një skaner i pazakontë dobësie në atë që synon në mënyrë specifike procesin e zhvillimit dhe promovohet si një "zgjidhje thelbësore" për zhvilluesit.

Snyk lidhet drejtpërdrejt me depot e kodit, analizon manifestin e projektit dhe analizon kodin e importuar së bashku me varësitë direkte dhe indirekte. Snyk mbështet shumë gjuhë programimi të njohura dhe mund të identifikojë rreziqet e fshehura të licencës.

I parëndësishëm

• Website: github.com/knqyf263/trivy
• Licenca: falas (AGPL)

Trivy është një skaner i thjeshtë, por i fuqishëm i cenueshmërisë për kontejnerët që integrohet lehtësisht në një tubacion CI/CD. Karakteristika e tij e dukshme është lehtësia e instalimit dhe funksionimit: aplikacioni përbëhet nga një binar i vetëm dhe nuk kërkon instalim të një baze të dhënash ose bibliotekave shtesë.

Ana negative e thjeshtësisë së Trivy është se ju duhet të kuptoni se si t'i analizoni dhe përcjellni rezultatet në formatin JSON në mënyrë që mjetet e tjera të sigurisë Kubernetes t'i përdorin ato.

Siguria e kohës së funksionimit në Kubernetes

Falco

• Website: falco.org
• Licenca: falas (Apache)

Falco është një grup mjetesh për sigurimin e mjediseve të funksionimit në cloud. Pjesë e familjes së projektit CNCF.

Duke përdorur veglat e Sysdig të nivelit të kernelit Linux dhe profilizimin e thirrjeve të sistemit, Falco ju lejon të zhyteni thellë në sjelljen e sistemit. Motori i tij i rregullave të kohës së funksionimit është i aftë të zbulojë aktivitete të dyshimta në aplikacione, kontejnerë, hostin themelor dhe orkestruesin Kubernetes.

Falco siguron transparencë të plotë në kohën e ekzekutimit dhe zbulimin e kërcënimeve duke vendosur agjentë specialë në nyjet Kubernetes për këto qëllime. Si rezultat, nuk ka nevojë të modifikoni kontejnerët duke futur kodin e palëve të treta në to ose duke shtuar kontejnerë të karrigeve anësore.

Kornizat e sigurisë Linux për kohën e ekzekutimit

Këto korniza vendase për kernelin Linux nuk janë "mjete sigurie të Kubernetes" në kuptimin tradicional, por ia vlen të përmenden sepse janë një element i rëndësishëm në kontekstin e sigurisë së kohës së ekzekutimit, i cili përfshihet në Politikën e Sigurisë së Kubernetes Pod (PSP).

AppArmor i bashkëngjit një profil sigurie proceseve që ekzekutohen në kontejner, duke përcaktuar privilegjet e sistemit të skedarëve, rregullat e aksesit në rrjet, lidhjen e bibliotekave, etj. Ky është një sistem i bazuar në Kontrollin e Detyrueshëm të Aksesit (MAC). Me fjalë të tjera, parandalon kryerjen e veprimeve të ndaluara.

Linux i përmirësuar me siguri (SELinux) është një modul i avancuar sigurie në kernelin Linux, i ngjashëm në disa aspekte me AppArmor dhe shpesh i krahasuar me të. SELinux është superior ndaj AppArmor në fuqi, fleksibilitet dhe personalizim. Disavantazhet e tij janë kurba e gjatë e të mësuarit dhe rritja e kompleksitetit.

Seccomp dhe seccomp-bpf ju lejojnë të filtroni thirrjet e sistemit, të bllokoni ekzekutimin e atyre që janë potencialisht të rrezikshme për sistemin operativ bazë dhe nuk nevojiten për funksionimin normal të aplikacioneve të përdoruesve. Seccomp është i ngjashëm me Falco në disa mënyra, megjithëse nuk i njeh specifikat e kontejnerëve.

Sysdig me burim të hapur

• Website: www.sysdig.com/opensource
• Licenca: falas (Apache)

Sysdig është një mjet i plotë për analizimin, diagnostikimin dhe korrigjimin e sistemeve Linux (punon gjithashtu në Windows dhe macOS, por me funksione të kufizuara). Mund të përdoret për mbledhjen e informacionit të detajuar, verifikimin dhe analizën mjeko-ligjore. (Forenzika) sistemin bazë dhe çdo kontejner që funksionon mbi të.

Sysdig gjithashtu mbështet në mënyrë origjinale kohëzgjatjen e kontejnerëve dhe të dhënat meta të Kubernetes, duke shtuar dimensione dhe etiketa shtesë për të gjitha informacionet e sjelljes së sistemit që mbledh. Ka disa mënyra për të analizuar një grup Kubernetes duke përdorur Sysdig: mund të kryeni kapjen pikë-në-kohë nëpërmjet kapje kubectl ose lëshoni një ndërfaqe interaktive të bazuar në ncurses duke përdorur një shtojcë kubectl dig.

Siguria e Rrjetit Kubernetes

Aporeto

• Website: www.aporeto.com
• Licenca: komerciale

Aporeto ofron "siguri të ndarë nga rrjeti dhe infrastruktura". Kjo do të thotë që shërbimet e Kubernetes jo vetëm që marrin një ID lokale (d.m.th. Service Account në Kubernetes), por gjithashtu një ID/gjurmë gishti universal që mund të përdoret për të komunikuar në mënyrë të sigurt dhe reciproke me çdo shërbim tjetër, për shembull në një grupim OpenShift.

Aporeto është në gjendje të gjenerojë një ID unike jo vetëm për Kubernetes/kontejnerët, por edhe për hostet, funksionet cloud dhe përdoruesit. Në varësi të këtyre identifikuesve dhe grupit të rregullave të sigurisë së rrjetit të vendosura nga administratori, komunikimet do të lejohen ose bllokohen.

prej basme

• Website: www.projectcalico.org
• Licenca: falas (Apache)

Calico zakonisht vendoset gjatë instalimit të orkestruesit të kontejnerëve, duke ju lejuar të krijoni një rrjet virtual që ndërlidh kontejnerët. Përveç këtij funksioni bazë të rrjetit, projekti Calico punon me Politikat e Rrjetit Kubernetes dhe grupin e vet të profileve të sigurisë së rrjetit, mbështet ACL-të e pikës fundore (listat e kontrollit të aksesit) dhe rregullat e sigurisë së rrjetit të bazuara në shënime për trafikun Ingress dhe Egress.

cilium

• Website: www.cilium.io
• Licenca: falas (Apache)

Ciliium vepron si një mur zjarri për kontejnerët dhe ofron veçori të sigurisë së rrjetit të përshtatura në mënyrë origjinale për ngarkesat e punës së Kubernetes dhe mikroservices. Cilium përdor një teknologji të re të kernelit Linux të quajtur BPF (Berkeley Packet Filter) për të filtruar, monitoruar, ridrejtuar dhe korrigjuar të dhënat.

Cilium është i aftë të vendosë politika të aksesit në rrjet bazuar në ID-të e kontejnerëve duke përdorur etiketat dhe metadatat Docker ose Kubernetes. Cilium gjithashtu kupton dhe filtron protokolle të ndryshme të Layer 7 si HTTP ose gRPC, duke ju lejuar të përcaktoni një grup thirrjesh REST që do të lejohen midis dy vendosjeve të Kubernetes, për shembull.

Istio

• Website: istio.io
• Licenca: falas (Apache)

Istio është gjerësisht i njohur për zbatimin e paradigmës së rrjetës së shërbimit duke vendosur një plan kontrolli të pavarur nga platforma dhe duke drejtuar të gjithë trafikun e menaxhuar të shërbimit përmes përfaqësuesve të Envoy të konfigurueshëm dinamikisht. Istio përfiton nga kjo pamje e avancuar e të gjitha mikroshërbimeve dhe kontejnerëve për të zbatuar strategji të ndryshme të sigurisë së rrjetit.

Aftësitë e sigurisë së rrjetit të Istio përfshijnë kriptim transparent TLS për të përmirësuar automatikisht komunikimet midis mikroshërbimeve në HTTPS dhe një sistem identifikimi dhe autorizimi të pronarit RBAC për të lejuar/refuzuar komunikimin midis ngarkesave të ndryshme të punës në grup.

Shënim. përkth.: Për të mësuar më shumë rreth aftësive të Istio të fokusuara në siguri, lexoni Ky artikull.

Tigera

• Website: www.tigera.io
• Licenca: komerciale

E quajtur "Kubernetes Firewall", kjo zgjidhje thekson një qasje me besim zero për sigurinë e rrjetit.

Ngjashëm me zgjidhjet e tjera vendase të rrjetit të Kubernetes, Tigera mbështetet në meta të dhënat për të identifikuar shërbimet dhe objektet e ndryshme në grup dhe ofron zbulimin e problemeve të kohës së ekzekutimit, kontrollin e vazhdueshëm të pajtueshmërisë dhe dukshmërinë e rrjetit për infrastrukturat me shumë re ose hibride monolitike-kontejner.

Triremë

• Website: www.aporeto.com/opensource
• Licenca: falas (Apache)

Trireme-Kubernetes është një zbatim i thjeshtë dhe i drejtpërdrejtë i specifikimit të Politikave të Rrjetit Kubernetes. Karakteristika më e dukshme është se - ndryshe nga produktet e ngjashme të sigurisë së rrjetit Kubernetes - nuk kërkon një plan qendror kontrolli për të koordinuar rrjetën. Kjo e bën zgjidhjen në mënyrë të parëndësishme të shkallëzueshme. Në Trireme, kjo arrihet duke instaluar një agjent në secilën nyje që lidhet drejtpërdrejt me pirgun TCP/IP të hostit.

Përhapja e imazhit dhe menaxhimi i sekreteve

Grafeas

• Website: grafeas.io
• Licenca: falas (Apache)

Grafeas është një API me burim të hapur për auditimin dhe menaxhimin e zinxhirit të furnizimit të softuerit. Në një nivel bazë, Grafeas është një mjet për mbledhjen e meta të dhënave dhe gjetjeve të auditimit. Mund të përdoret për të gjurmuar pajtueshmërinë me praktikat më të mira të sigurisë brenda një organizate.

Ky burim i centralizuar i së vërtetës ndihmon për t'iu përgjigjur pyetjeve si:

• Kush mblodhi dhe firmosi për një kontejner të caktuar?
• A i ka kaluar të gjitha skanimet dhe kontrollet e sigurisë të kërkuara nga politika e sigurisë? Kur? Cilat ishin rezultatet?
• Kush e vendosi atë në prodhim? Cilat parametra specifikë janë përdorur gjatë vendosjes?

In-toto

• Website: in-toto.github.io
• Licenca: falas (Apache)

In-toto është një kornizë e krijuar për të ofruar integritet, vërtetim dhe auditim të të gjithë zinxhirit të furnizimit të softuerit. Kur vendoset In-toto në një infrastrukturë, fillimisht përcaktohet një plan që përshkruan hapat e ndryshëm në tubacion (depo, mjetet CI/CD, mjetet e sigurimit të cilësisë, mbledhësit e objekteve, etj.) dhe përdoruesit (personat përgjegjës) të cilët lejohen të inicojë ato.

In-toto monitoron zbatimin e planit, duke verifikuar që çdo detyrë në zinxhir të kryhet siç duhet vetëm nga personeli i autorizuar dhe se nuk është kryer asnjë manipulim i paautorizuar me produktin gjatë lëvizjes.

Portieris

• Website: github.com/IBM/portieris
• Licenca: falas (Apache)

Portieris është një kontrollues pranimi për Kubernetes; përdoret për të zbatuar kontrollet e besimit të përmbajtjes. Portieris përdor një server noter (Ne kemi shkruar për të në fund Ky artikull - përafërsisht. përkthimi) si një burim i së vërtetës për të vërtetuar artefaktet e besuara dhe të nënshkruara (d.m.th. imazhet e kontejnerëve të miratuar).

Kur një ngarkesë pune krijohet ose modifikohet në Kubernetes, Portieris shkarkon informacionin e nënshkrimit dhe politikën e besimit të përmbajtjes për imazhet e kërkuara të kontejnerit dhe, nëse është e nevojshme, bën ndryshime në lëvizje në objektin JSON API për të ekzekutuar versionet e nënshkruara të atyre imazheve.

Kasafortë

• Website: www.vaultproject.io
• Licenca: falas (MPL)

Vault është një zgjidhje e sigurt për ruajtjen e informacionit privat: fjalëkalimet, shenjat OAuth, certifikatat PKI, llogaritë e aksesit, sekretet e Kubernetes, etj. Vault mbështet shumë veçori të avancuara, të tilla si marrja me qira e shenjave kalimtare të sigurisë ose organizimi i rrotullimit të çelësave.

Duke përdorur grafikun Helm, Vault mund të vendoset si një vendosje e re në një grupim Kubernetes me Konsulin si hapësirë ​​ruajtëse. Ai mbështet burimet vendase të Kubernetes si shenjat e ServiceAccount dhe madje mund të veprojë si dyqani i paracaktuar për sekretet e Kubernetes.

Shënim. përkth.: Nga rruga, vetëm dje kompania HashiCorp, e cila zhvillon Vault, njoftoi disa përmirësime për përdorimin e Vault në Kubernetes, dhe në veçanti ato lidhen me diagramin Helm. Lexo më shumë në blog zhvilluesi.

Kontrolli i Sigurisë së Kubernetes

Kube-stol

• Website: github.com/aquasecurity/kube-bench
• Licenca: falas (Apache)

Kube-bench është një aplikacion Go që kontrollon nëse Kubernetes është vendosur në mënyrë të sigurt duke ekzekutuar teste nga një listë Standardi i Kubernetes CIS.

Kube-bench kërkon cilësime të pasigurta të konfigurimit midis komponentëve të grupit (etcd, API, menaxher kontrolluesi, etj.), të drejta të dyshimta të aksesit të skedarëve, llogari të pambrojtura ose porta të hapura, kuota burimesh, cilësime për kufizimin e numrit të thirrjeve API për t'u mbrojtur nga sulmet DoS , etj.

Kube-gjuetar

• Website: github.com/aquasecurity/kube-hunter
• Licenca: falas (Apache)

Kube-hunter gjuan për dobësi të mundshme (siç është ekzekutimi i kodit në distancë ose zbulimi i të dhënave) në grupimet Kubernetes. Kube-hunter mund të ekzekutohet si një skaner në distancë - në këtë rast ai do të vlerësojë grupin nga këndvështrimi i një sulmuesi të palës së tretë - ose si një pod brenda grupit.

Një tipar dallues i Kube-hunter është mënyra e tij e "gjuetisë aktive", gjatë së cilës ai jo vetëm raporton probleme, por gjithashtu përpiqet të përfitojë nga dobësitë e zbuluara në grupin e synuar që mund të dëmtojnë potencialisht funksionimin e tij. Pra, përdorni me kujdes!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Licenca: falas (MIT)

Kubeaudit është një mjet konsole i zhvilluar fillimisht në Shopify për të audituar konfigurimin e Kubernetes për çështje të ndryshme sigurie. Për shembull, ndihmon në identifikimin e kontejnerëve që funksionojnë të pakufizuar, që funksionojnë si rrënjë, abuzojnë me privilegjet ose përdorin llogarinë e paracaktuar të shërbimit.

Kubeaudit ka veçori të tjera interesante. Për shembull, mund të analizojë skedarët lokalë YAML, të identifikojë të metat e konfigurimit që mund të çojnë në probleme sigurie dhe t'i rregullojë ato automatikisht.

Kubesec

• Website: kubesec.io
• Licenca: falas (Apache)

Kubesec është një mjet i veçantë në atë që skanon drejtpërdrejt skedarët YAML që përshkruajnë burimet e Kubernetes, duke kërkuar parametra të dobët që mund të ndikojnë në sigurinë.

Për shembull, mund të zbulojë privilegje dhe leje të tepërta të dhëna një pod, drejtimin e një kontejneri me root si përdoruesin e paracaktuar, lidhjen me hapësirën e emrave të rrjetit të hostit ose montime të rrezikshme si p.sh. /proc host ose fole Docker. Një tjetër veçori interesante e Kubesec është shërbimi demo i disponueshëm në internet, në të cilin mund të ngarkoni YAML dhe ta analizoni menjëherë.

Hap agjentin e politikave

• Website: www.openpolicyagent.org
• Licenca: falas (Apache)

Koncepti i OPA (Open Policy Agent) është të shkëputë politikat e sigurisë dhe praktikat më të mira të sigurisë nga një platformë specifike e ekzekutimit: Docker, Kubernetes, Mesosphere, OpenShift ose ndonjë kombinim i tyre.

Për shembull, ju mund të vendosni OPA si një mbështetje për kontrolluesin e pranimit të Kubernetes, duke deleguar vendimet e sigurisë tek ai. Në këtë mënyrë, agjenti OPA mund të vërtetojë, refuzojë dhe madje modifikojë kërkesat menjëherë, duke siguruar që parametrat e specifikuar të sigurisë janë përmbushur. Politikat e sigurisë të OPA-s janë të shkruara në gjuhën e saj të pronarit DSL, Rego.

Shënim. përkth.: Ne kemi shkruar më shumë për OPA (dhe SPIFFE) në këtë material.

Mjete gjithëpërfshirëse tregtare për analizën e sigurisë Kubernetes

Ne vendosëm të krijojmë një kategori të veçantë për platformat komerciale sepse ato zakonisht mbulojnë zona të shumta sigurie. Një ide e përgjithshme e aftësive të tyre mund të merret nga tabela:

* Ekzaminimi i avancuar dhe analiza pas vdekjes me të plotë rrëmbimi i thirrjeve të sistemit.

Aqua Security

• Website: www.aquasec.com
• Licenca: komerciale

Ky mjet tregtar është krijuar për kontejnerë dhe ngarkesa pune në renë kompjuterike. Ajo siguron:

• Skanimi i imazhit i integruar me një regjistër kontejneri ose tubacion CI/CD;
• Mbrojtja gjatë ekzekutimit me kërkimin e ndryshimeve në kontejnerë dhe aktivitete të tjera të dyshimta;
• Firewall-i vendas i kontejnerit;
• Siguria për shërbimet pa server në cloud;
• Testimi i pajtueshmërisë dhe auditimi i kombinuar me regjistrimin e ngjarjeve.

Shënim. përkth.: Vlen gjithashtu të theksohet se ka komponenti i lirë i produktit i quajtur Mikroskaner, i cili ju lejon të skanoni imazhet e kontejnerëve për dobësi. Një krahasim i aftësive të tij me versionet e paguara është paraqitur në këtë tabelë.

Kapsula 8

• Website: kapsulë8.com
• Licenca: komerciale

Capsule8 integrohet në infrastrukturë duke instaluar detektorin në një grup lokal ose cloud Kubernetes. Ky detektor mbledh telemetrinë e hostit dhe rrjetit, duke e lidhur atë me lloje të ndryshme sulmesh.

Ekipi Capsule8 e sheh detyrën e tij si zbulimin e hershëm dhe parandalimin e sulmeve duke përdorur të reja (0-ditore) dobësitë. Capsule8 mund të shkarkojë rregullat e përditësuara të sigurisë drejtpërdrejt në detektorë në përgjigje të kërcënimeve të zbuluara rishtazi dhe dobësive të softuerit.

Kavirina

• Website: www.cavirin.com
• Licenca: komerciale

Cavirin vepron si një kontraktues i kompanisë për agjenci të ndryshme të përfshira në standardet e sigurisë. Jo vetëm që mund të skanojë imazhe, por gjithashtu mund të integrohet në tubacionin CI/CD, duke bllokuar imazhet jo standarde përpara se të hyjnë në depo të mbyllura.

Kompleti i sigurisë i Cavirin përdor mësimin e makinerive për të vlerësuar qëndrimin tuaj të sigurisë kibernetike, duke ofruar këshilla për të përmirësuar sigurinë dhe për të përmirësuar përputhjen me standardet e sigurisë.

Qendra e Komandës së Sigurisë së Google Cloud

• Website: cloud.google.com/security-command-center
• Licenca: komerciale

Qendra e Komandës së Sigurisë në renë kompjuterike ndihmon ekipet e sigurisë të mbledhin të dhëna, të identifikojnë kërcënimet dhe t'i eliminojnë ato përpara se të dëmtojnë kompaninë.

Siç sugjeron emri, Google Cloud SCC është një panel kontrolli i unifikuar që mund të integrojë dhe menaxhojë një sërë raportesh sigurie, motorë të kontabilitetit të aseteve dhe sisteme sigurie të palëve të treta nga një burim i vetëm dhe i centralizuar.

API-ja e ndërveprueshme e ofruar nga Google Cloud SCC e bën të lehtë integrimin e ngjarjeve të sigurisë që vijnë nga burime të ndryshme, të tilla si Sysdig Secure (siguria e kontejnerëve për aplikacionet vendase të cloud) ose Falco (siguria e kohës së funksionimit me burim të hapur).

Insight me shtresa (Qualys)

• Website: layeredinsight.com
• Licenca: komerciale

Layered Insight (tani pjesë e Qualys Inc) është ndërtuar mbi konceptin e "sigurisë së ngulitur". Pas skanimit të imazhit origjinal për dobësi duke përdorur analiza statistikore dhe kontrolle CVE, Layered Insight e zëvendëson atë me një imazh të instrumentuar që përfshin agjentin si një binar.

Ky agjent përmban teste sigurie në kohën e ekzekutimit për të analizuar trafikun e rrjetit të kontejnerëve, flukset hyrëse/dalëse dhe aktivitetin e aplikacionit. Përveç kësaj, ai mund të kryejë kontrolle shtesë të sigurisë të specifikuara nga administratori i infrastrukturës ose ekipet e DevOps.

NeuVektor

• Website: neuvector.com
• Licenca: komerciale

NeuVector kontrollon sigurinë e kontejnerit dhe siguron mbrojtje në kohën e ekzekutimit duke analizuar aktivitetin e rrjetit dhe sjelljen e aplikacionit, duke krijuar një profil sigurie individuale për çdo kontejner. Ai gjithashtu mund të bllokojë vetë kërcënimet, duke izoluar aktivitetin e dyshimtë duke ndryshuar rregullat lokale të murit të zjarrit.

Integrimi i rrjetit të NeuVector, i njohur si Security Mesh, është i aftë për analiza të thella të paketave dhe filtrim të shtresës 7 për të gjitha lidhjet e rrjetit në rrjetën e shërbimit.

StackRox

• Website: www.stackrox.com
• Licenca: komerciale

Platforma e sigurisë së kontejnerëve StackRox përpiqet të mbulojë të gjithë ciklin jetësor të aplikacioneve Kubernetes në një grup. Ashtu si platformat e tjera komerciale në këtë listë, StackRox gjeneron një profil të kohës së funksionimit bazuar në sjelljen e vëzhguar të kontejnerit dhe ngre automatikisht një alarm për çdo devijim.

Për më tepër, StackRox analizon konfigurimet e Kubernetes duke përdorur Kubernetes CIS dhe rregullore të tjera për të vlerësuar pajtueshmërinë e kontejnerëve.

Sysdig Secure

• Website: sysdig.com/products/secure
• Licenca: komerciale

Sysdig Secure mbron aplikacionet në të gjithë kontejnerin dhe ciklin e jetës së Kubernetes. Ai skanon imazhet kontejnerë, ofron mbrojtje në kohëzgjatje sipas të dhënave të mësimit të makinës, kryen krem. ekspertizë për të identifikuar dobësitë, bllokon kërcënimet, monitoron pajtueshmërinë me standardet e vendosura dhe auditon aktivitetin në mikroshërbime.

Sysdig Secure integrohet me mjetet CI/CD si Jenkins dhe kontrollon imazhet e ngarkuara nga regjistrat Docker, duke parandaluar shfaqjen e imazheve të rrezikshme në prodhim. Ai gjithashtu ofron siguri gjithëpërfshirëse të kohës së ekzekutimit, duke përfshirë:

• Profilizimi dhe zbulimi i anomalive të bazuara në ML;
• politikat e kohës së ekzekutimit të bazuara në ngjarjet e sistemit, API-ja e auditimit K8s, projektet e përbashkëta të komunitetit (FIM - monitorimi i integritetit të skedarëve; kriptojacking) dhe kornizën MITER AT&CK;
• reagimin dhe zgjidhjen e incidenteve.

Siguria e kontejnerëve të qëndrueshëm

• Website: www.tenable.com/products/tenable-io/container-security
• Licenca: komerciale

Para ardhjes së kontejnerëve, Tenable njihej gjerësisht në industri si kompania pas Nessus, një mjet popullor për gjuetinë e cenueshmërisë dhe auditimin e sigurisë.

Tenable Container Security përdor ekspertizën e sigurisë kompjuterike të kompanisë për të integruar një tubacion CI/CD me bazat e të dhënave të cenueshmërisë, paketat e specializuara të zbulimit të malware dhe rekomandimet për zgjidhjen e kërcënimeve të sigurisë.

Twistlock (Rrjetet Palo Alto)

• Website: www.twistlock.com
• Licenca: komerciale

Twistlock promovon veten si një platformë e fokusuar në shërbimet cloud dhe kontejnerët. Twistlock mbështet ofrues të ndryshëm cloud (AWS, Azure, GCP), orkestruesit e kontejnerëve (Kubernetes, Mesospehere, OpenShift, Docker), kohëzgjatje pa server, korniza rrjetë dhe mjete CI/CD.

Përveç teknikave konvencionale të sigurisë të shkallës së ndërmarrjes, si integrimi i tubacionit CI/CD ose skanimi i imazhit, Twistlock përdor mësimin e makinerive për të gjeneruar modele sjelljeje specifike për kontejnerët dhe rregulla rrjeti.

Pak kohë më parë, Twistlock u ble nga Palo Alto Networks, e cila zotëron projektet Evident.io dhe RedLock. Nuk dihet ende se si do të integrohen saktësisht këto tre platforma PRISMA nga Palo Alto.

Ndihmoni në ndërtimin e katalogut më të mirë të mjeteve të sigurisë Kubernetes!

Ne përpiqemi ta bëjmë këtë katalog sa më të plotë, dhe për këtë kemi nevojë për ndihmën tuaj! Na kontaktoni (@sysdig) nëse keni në mendje një mjet të mrekullueshëm që ia vlen të përfshihet në këtë listë, ose gjeni një gabim/informacion të vjetëruar.

Ju gjithashtu mund të abonoheni në tonë buletin mujor me lajme nga ekosistemi vendas i reve kompjuterike dhe histori rreth projekteve interesante nga bota e sigurisë Kubernetes.

PS nga përkthyesi

Lexoni edhe në blogun tonë:

• «Një hyrje në politikat e rrjetit Kubernetes për profesionistët e sigurisë"?
• «Docker dhe Kubernetes në mjedise të ndjeshme ndaj sigurisë"?
• «9 praktikat më të mira për sigurinë e Kubernetes"?
• «11 mënyra për të (të mos) bërë viktimë e një hakimi të Kubernetes"?
• «OPA dhe SPIFFE janë dy projekte të reja në CNCF për sigurinë e aplikacioneve cloud'.

Burimi: www.habr.com