33+ Кубернетес безбедносних алата

Белешка. трансл.: Ако се питате о безбедности у инфраструктури заснованој на Кубернетес-у, овај одличан преглед из Сисдиг-а је одлична полазна тачка за брзи преглед тренутних решења. Укључује и сложене системе познатих тржишних играча и много скромније услужне програме који решавају одређени проблем. А у коментарима, као и увек, биће нам драго да чујемо о вашем искуству коришћења ових алата и да видимо везе до других пројеката.

Кубернетес безбедносни софтверски производи... има их толико, сваки са својим циљевима, обимом и лиценцама.

Зато смо одлучили да направимо ову листу и укључимо пројекте отвореног кода и комерцијалне платформе различитих произвођача. Надамо се да ће вам помоћи да идентификујете оне који су од највећег интереса и упутити вас у правом смеру на основу ваших специфичних Кубернетес безбедносних потреба.

Категории

Да би се листа лакше кретала, алати су организовани према главној функцији и апликацији. Добијени делови су били:

• Кубернетес скенирање слике и статичка анализа;
• Рунтиме сецурити;
• Кубернетес мрежна безбедност;
• Дистрибуција слике и управљање тајнама;
• Кубернетес ревизија безбедности;
• Свеобухватни комерцијални производи.

Идемо на посао:

Скенирање Кубернетес слика

Анцхоре

• Сајт: анцхоре.цом
• Лиценца: бесплатна (Апацхе) и комерцијална понуда

Анцхоре анализира слике контејнера и дозвољава безбедносне провере на основу кориснички дефинисаних смерница.

Поред уобичајеног скенирања слика контејнера за познате рањивости из ЦВЕ базе података, Анцхоре врши многе додатне провере као део своје политике скенирања: проверава Доцкерфиле, цурење акредитива, пакете коришћених програмских језика (нпм, мавен, итд. .), софтверске лиценце и још много тога.

Ведро

• Сајт: цореос.цом/цлаир (сада под надзором Ред Хата)
• Лиценца: бесплатна (Апацхе)

Цлаир је био један од првих пројеката отвореног кода за скенирање слика. Надалеко је познат као безбедносни скенер иза Куаи регистра слика (такође из ЦореОС-а - прибл. превод). Цлаир може да прикупља ЦВЕ информације из широког спектра извора, укључујући листе рањивости специфичних за Линук дистрибуцију које одржавају Дебиан, Ред Хат или Убунту безбедносни тимови.

За разлику од Анцхореа, Цлаир се првенствено фокусира на проналажење рањивости и упаривање података са ЦВЕ-овима. Међутим, производ нуди корисницима неке могућности за проширење функција помоћу драјвера за додатке.

Дагда

• Сајт: гитхуб.цом/елиасграндерубио/дагда
• Лиценца: бесплатна (Апацхе)

Дагда врши статичку анализу слика контејнера за познате рањивости, тројанце, вирусе, малвер и друге претње.

Две значајне карактеристике разликују Дагду од других сличних алата:

• Савршено се интегрише са ЦламАВ, који не делује само као алатка за скенирање слика контејнера, већ и као антивирус.
• Такође пружа заштиту током извршавања примањем догађаја у реалном времену од Доцкер демона и интеграцијом са Фалцо-ом (види доле) за прикупљање безбедносних догађаја док је контејнер покренут.

КубеКсраи

• Сајт: гитхуб.цом/јфрог/кубекраи
• Лиценца: бесплатна (Апацхе), али су потребни подаци од ЈФрог Ксраи-а (комерцијални производ)

КубеКсраи слуша догађаје са Кубернетес АПИ сервера и користи метаподатке из ЈФрог Ксраи-а да би осигурао да се покрећу само подови који одговарају тренутној политици.

КубеКсраи не само да проверава нове или ажуриране контејнере у примени (слично контролеру приступа у Кубернетес-у), већ и динамички проверава усклађеност покренутих контејнера са новим безбедносним политикама, уклањајући ресурсе који упућују на рањиве слике.

Сник

• Сајт: сник.ио
• Лиценца: бесплатна (Апацхе) и комерцијална верзија

Сник је необичан скенер рањивости по томе што посебно циља на процес развоја и промовише се као „есенцијално решење“ за програмере.

Сник се повезује директно са репозиторијумом кода, анализира манифест пројекта и анализира увезени код заједно са директним и индиректним зависностима. Сник подржава многе популарне програмске језике и може да идентификује скривене ризике лиценце.

Триви

• Сајт: гитхуб.цом/кнкиф263/триви
• Лиценца: бесплатна (АГПЛ)

Триви је једноставан, али моћан скенер рањивости за контејнере који се лако интегрише у ЦИ/ЦД цевовод. Његова значајна карактеристика је лакоћа инсталације и рада: апликација се састоји од једне бинарне датотеке и не захтева инсталацију базе података или додатних библиотека.

Недостатак једноставности Триви-ја је то што морате да схватите како да рашчланите и проследите резултате у ЈСОН формату тако да други Кубернетес безбедносни алати могу да их користе.

Безбедност током рада у Кубернетесу

Фалцо

• Сајт: фалцо.орг
• Лиценца: бесплатна (Апацхе)

Фалцо је скуп алата за обезбеђивање окружења за извршавање у облаку. Део породице пројекта ЦНЦФ.

Користећи Сисдиг-ов Линук алат на нивоу језгра и профилисање системских позива, Фалцо вам омогућава да зароните дубоко у понашање система. Његов механизам за правила времена извршавања је способан да открије сумњиве активности у апликацијама, контејнерима, основном хосту и Кубернетес оркестратору.

Фалцо обезбеђује потпуну транспарентност у времену извођења и откривању претњи тако што поставља специјалне агенте на Кубернетес чворове за ове сврхе. Као резултат тога, нема потребе за модификацијом контејнера увођењем кода треће стране у њих или додавањем бочних контејнера.

Линук безбедносни оквири за време извршавања

Ови изворни оквири за Линук кернел нису „Кубернетес безбедносни алати“ у традиционалном смислу, али су вредни помена јер су важан елемент у контексту безбедности током извршавања, која је укључена у Кубернетес Под безбедносну политику (ПСП).

АппАрмор прилаже безбедносни профил процесима који се покрећу у контејнеру, дефинишући привилегије система датотека, правила приступа мрежи, повезујући библиотеке итд. Ово је систем заснован на обавезној контроли приступа (МАЦ). Другим речима, спречава извођење забрањених радњи.

Безбедносно побољшан Линук (СЕЛинук) је напредни безбедносни модул у Линук кернелу, сличан у неким аспектима АппАрмор-у и често упоређиван са њим. СЕЛинук је супериорнији од АппАрмор-а у снази, флексибилности и прилагођавању. Његови недостаци су дуга крива учења и повећана сложеност.

Сеццомп и сеццомп-бпф вам омогућавају да филтрирате системске позиве, блокирате извршавање оних који су потенцијално опасни за основни ОС и нису потребни за нормалан рад корисничких апликација. Сеццомп је на неки начин сличан Фалцу, иако не познаје специфичности контејнера.

Сисдиг опен соурце

• Сајт: ввв.сисдиг.цом/опенсоурце
• Лиценца: бесплатна (Апацхе)

Сисдиг је комплетан алат за анализу, дијагностику и отклањање грешака у Линук системима (такође ради на Виндовс-у и мацОС-у, али са ограниченим функцијама). Може се користити за прикупљање детаљних информација, верификацију и форензичку анализу. (форензика) основни систем и све контејнере који раде на њему.

Сисдиг такође изворно подржава времена извођења контејнера и Кубернетес метаподатке, додајући додатне димензије и ознаке свим информацијама о понашању система које прикупља. Постоји неколико начина да анализирате Кубернетес кластер користећи Сисдиг: можете извршити снимање у тренутку преко кубецтл цаптуре или покрените интерактивни интерфејс заснован на нцурсес користећи додатак кубецтл диг.

Кубернетес мрежна безбедност

Апорето

• Сајт: ввв.апорето.цом
• Лиценца: комерцијална

Апорето нуди „безбедност одвојену од мреже и инфраструктуре“. То значи да Кубернетес услуге не само да добијају локални ИД (тј. СервицеАццоунт у Кубернетесу), већ и универзални ИД/отисак прста који се може користити за безбедну и међусобну комуникацију са било којом другом услугом, на пример у ОпенСхифт кластеру.

Апорето је у стању да генерише јединствени ИД не само за Кубернетес/контејнере, већ и за хостове, функције у облаку и кориснике. У зависности од ових идентификатора и скупа мрежних безбедносних правила које је поставио администратор, комуникација ће бити дозвољена или блокирана.

Цалицо

• Сајт: ввв.пројецтцалицо.орг
• Лиценца: бесплатна (Апацхе)

Цалицо се обично примењује током инсталације оркестратора контејнера, омогућавајући вам да креирате виртуелну мрежу која повезује контејнере. Поред ове основне мрежне функционалности, пројекат Цалицо ради са Кубернетес мрежним политикама и сопственим скупом безбедносних профила мреже, подржава АЦЛ-ове крајњих тачака (листе контроле приступа) и правила безбедности мреже заснована на напоменама за улазни и излазни саобраћај.

Цилиум

• Сајт: ввв.цилиум.ио
• Лиценца: бесплатна (Апацхе)

Цилиум делује као заштитни зид за контејнере и обезбеђује функције мрежне безбедности које су природно прилагођене Кубернетес-у и радним оптерећењима микросервиса. Цилиум користи нову технологију Линук кернела под називом БПФ (Беркелеи Пацкет Филтер) за филтрирање, праћење, преусмеравање и исправљање података.

Цилиум може да примењује смернице за приступ мрежи на основу ИД-ова контејнера користећи Доцкер или Кубернетес ознаке и метаподатке. Цилиум такође разуме и филтрира различите протоколе слоја 7 као што су ХТТП или гРПЦ, омогућавајући вам да дефинишете скуп РЕСТ позива који ће бити дозвољени између две примене Кубернетеса, на пример.

Истио

• Сајт: истио.ио
• Лиценца: бесплатна (Апацхе)

Истио је надалеко познат по имплементацији парадигме сервисне мреже постављањем контролне равни независне од платформе и рутирањем целог управљаног сервисног саобраћаја преко динамички конфигурабилних Енвои проксија. Истио користи предности овог напредног погледа на све микросервисе и контејнере за имплементацију различитих стратегија мрежне безбедности.

Истио-ове мрежне безбедносне могућности укључују транспарентно ТЛС шифровање за аутоматску надоградњу комуникације између микросервиса на ХТТПС, и власнички РБАЦ систем идентификације и ауторизације који дозвољава/одбија комуникацију између различитих радних оптерећења у кластеру.

Белешка. трансл.: Да бисте сазнали више о Истио-овим могућностима усмереним на безбедност, прочитајте Овај чланак.

Тигера

• Сајт: ввв.тигера.ио
• Лиценца: комерцијална

Названо „Кубернетес заштитни зид“, ово решење наглашава приступ мрежној безбедности без поверења.

Слично другим домаћим Кубернетес мрежним решењима, Тигера се ослања на метаподатке да идентификује различите услуге и објекте у кластеру и обезбеђује откривање проблема током извршавања, континуирану проверу усклађености и видљивост мреже за мулти-цлоуд или хибридне монолитно-контејнерске инфраструктуре.

Триреме

• Сајт: ввв.апорето.цом/опенсоурце
• Лиценца: бесплатна (Апацхе)

Триреме-Кубернетес је једноставна и јасна имплементација спецификације Кубернетес мрежних политика. Најзначајнија карактеристика је да – за разлику од сличних Кубернетес производа за безбедност мреже – не захтева централну контролну раван за координацију мреже. Ово чини решење тривијално скалабилним. У Триреме-у, ово се постиже инсталирањем агента на сваки чвор који се директно повезује са ТЦП/ИП стеком домаћина.

Пропагација слике и управљање тајнама

Графеас

• Сајт: графеас.ио
• Лиценца: бесплатна (Апацхе)

Графеас је АПИ отвореног кода за ревизију и управљање ланцем набавке софтвера. На основном нивоу, Графеас је алат за прикупљање метаподатака и налаза ревизије. Може се користити за праћење усклађености са најбољим безбедносним праксама унутар организације.

Овај централизовани извор истине помаже у одговору на питања као што су:

• Ко је прикупио и потписао за одређени контејнер?
• Да ли је прошао сва безбедносна скенирања и провере које захтева безбедносна политика? Када? Какви су били резултати?
• Ко га је поставио у производњу? Који специфични параметри су коришћени током примене?

У целини

• Сајт: ин-тото.гитхуб.ио
• Лиценца: бесплатна (Апацхе)

Ин-тото је оквир дизајниран да обезбеди интегритет, аутентификацију и ревизију читавог ланца набавке софтвера. Приликом постављања Ин-тото у инфраструктуру, прво се дефинише план који описује различите кораке у процесу (репозиторијум, ЦИ/ЦД алати, КА алати, сакупљачи артефаката, итд.) и кориснике (одговорне особе) којима је дозвољено да покренути их.

Ин-тото прати извршење плана, проверавајући да сваки задатак у ланцу правилно обавља само овлашћено особље и да нису вршене неовлашћене манипулације са производом током кретања.

Портиерис

• Сајт: гитхуб.цом/ИБМ/портиерис
• Лиценца: бесплатна (Апацхе)

Портиерис је контролор приступа за Кубернетес; користи се за спровођење провера поверења садржаја. Портиерис користи сервер Бележник (писали смо о њему на крају овај чланак - прибл. превод) као извор истине за потврђивање поузданих и потписаних артефаката (тј. одобрених слика контејнера).

Када се радно оптерећење креира или модификује у Кубернетес-у, Портиерис преузима информације о потписивању и политику поверења у садржај за захтеване слике контејнера и, ако је потребно, врши измене у ходу у ЈСОН АПИ објекту да би покренуо потписане верзије тих слика.

Свод

• Сајт: ввв.ваултпројецт.ио
• Лиценца: бесплатна (МПЛ)

Трезор је безбедно решење за чување приватних информација: лозинке, ОАутх токени, ПКИ сертификати, приступни налози, Кубернетес тајне итд. Трезор подржава многе напредне функције, као што је изнајмљивање ефемерних безбедносних токена или организовање ротације кључева.

Користећи Хелм графикон, Ваулт се може применити као нова примена у Кубернетес кластеру са Цонсул-ом као позадинским складиштем. Подржава изворне Кубернетес ресурсе као што су токени СервицеАццоунт и може чак да делује као подразумевано складиште за Кубернетес тајне.

Белешка. трансл.: Иначе, управо је јуче компанија ХасхиЦорп, која развија Ваулт, најавила нека побољшања за коришћење Ваулт-а у Кубернетес-у, а посебно се односе на Хелм графикон. Прочитајте више у блог програмера.

Кубернетес Сецурити Аудит

Кубе-клупа

• Сајт: гитхуб.цом/акуасецурити/кубе-бенцх
• Лиценца: бесплатна (Апацхе)

Кубе-бенцх је Го апликација која проверава да ли је Кубернетес безбедно примењен покретањем тестова са листе ЦИС Кубернетес Бенцхмарк.

Кубе-бенцх тражи несигурна подешавања конфигурације међу компонентама кластера (етцд, АПИ, менаџер контролера, итд.), сумњива права приступа датотекама, незаштићене налоге или отворене портове, квоте ресурса, подешавања за ограничавање броја АПИ позива ради заштите од ДоС напада , итд.

Кубе-ловац

• Сајт: гитхуб.цом/акуасецурити/кубе-хунтер
• Лиценца: бесплатна (Апацхе)

Кубе-хунтер тражи потенцијалне рањивости (као што је даљинско извршавање кода или откривање података) у Кубернетес кластерима. Кубе-хунтер се може покренути као удаљени скенер - у том случају ће проценити кластер са тачке гледишта нападача треће стране - или као под унутар кластера.

Карактеристична карактеристика Кубе-хунтер-а је његов режим „активног лова”, током којег не само да пријављује проблеме, већ и покушава да искористи рањивости откривене у циљном кластеру који би потенцијално могли да нашкоде његовом раду. Зато користите опрезно!

Кубеаудит

• Сајт: гитхуб.цом/Схопифи/кубеаудит
• Лиценца: бесплатна (МИТ)

Кубеаудит је алатка за конзолу првобитно развијена у Схопифи-у за ревизију Кубернетес конфигурације за различите безбедносне проблеме. На пример, помаже да се идентификују контејнери који раде неограничено, раде као роот, злоупотребљавају привилегије или користе подразумевани СервицеАццоунт.

Кубеаудит има и друге занимљиве карактеристике. На пример, може да анализира локалне ИАМЛ датотеке да би идентификовао конфигурационе недостатке који би могли да доведу до безбедносних проблема и да их аутоматски поправи.

Кубесец

• Сајт: кубесец.ио
• Лиценца: бесплатна (Апацхе)

Кубесец је посебан алат по томе што директно скенира ИАМЛ датотеке које описују Кубернетес ресурсе, тражећи слабе параметре који би могли да утичу на безбедност.

На пример, може да открије прекомерне привилегије и дозволе додељене под, покреће контејнер са роот-ом као подразумеваним корисником, повезује се са мрежним простором имена хоста или опасна монтирања као што су /proc хост или Доцкер соцкет. Још једна занимљива карактеристика Кубесец-а је демо услуга доступна на мрежи, у коју можете да отпремите ИАМЛ и одмах га анализирате.

Опен Полици Агент

• Сајт: ввв.опенполициагент.орг
• Лиценца: бесплатна (Апацхе)

Концепт ОПА (Опен Полици Агент) је да одвоји безбедносне политике и најбоље безбедносне праксе од специфичне платформе за време извршавања: Доцкер, Кубернетес, Месоспхере, ОпенСхифт или било која њихова комбинација.

На пример, можете да примените ОПА као позадину за Кубернетес контролер приступа, делегирајући му безбедносне одлуке. На овај начин, ОПА агент може да потврди, одбије, па чак и да модификује захтеве у ходу, обезбеђујући да су наведени безбедносни параметри испуњени. ОПА безбедносне политике су написане на сопственом ДСЛ језику, Рего.

Белешка. трансл.: Писали смо више о ОПА (и СПИФФЕ) у овај материјал.

Свеобухватни комерцијални алати за Кубернетес безбедносну анализу

Одлучили смо да направимо посебну категорију за комерцијалне платформе јер оне обично покривају више безбедносних области. Општа идеја о њиховим могућностима може се добити из табеле:

* Напредни преглед и обдукција са комплетним отмица системског позива.

Акуа Сецурити

• Сајт: ввв.акуасец.цом
• Лиценца: комерцијална

Овај комерцијални алат је дизајниран за контејнере и радна оптерећења у облаку. Обезбеђује:

• Скенирање слике интегрисано са регистром контејнера или ЦИ/ЦД цевоводом;
• Рунтиме заштита са тражењем промена у контејнерима и другим сумњивим активностима;
• Контејнерски заштитни зид;
• Сигурност за услуге у облаку без сервера;
• Тестирање усклађености и ревизија у комбинацији са евидентирањем догађаја.

Белешка. трансл.: Такође је вредно напоменути да постоје бесплатна компонента производа тзв МицроСцаннер, који вам омогућава да скенирате слике контејнера у потрази за рањивостима. Поређење његових могућности са плаћеним верзијама је представљено у овај сто.

Цапсуле8

• Сајт: цапсуле8.цом
• Лиценца: комерцијална

Цапсуле8 се интегрише у инфраструктуру инсталирањем детектора на локални или облак Кубернетес кластер. Овај детектор прикупља телеметрију домаћина и мреже, повезујући је са различитим врстама напада.

Тим Цапсуле8 свој задатак види као рано откривање и превенцију напада коришћењем нових (0 дана) рањивости. Цапсуле8 може да преузме ажурирана безбедносна правила директно на детекторе као одговор на новооткривене претње и рањивости софтвера.

Цавирин

• Сајт: ввв.цавирин.цом
• Лиценца: комерцијална

Цавирин делује као извођач радова за различите агенције које се баве безбедносним стандардима. Не само да може да скенира слике, већ може и да се интегрише у ЦИ/ЦД цевовод, блокирајући нестандардне слике пре него што уђу у затворена спремишта.

Цавиринов безбедносни пакет користи машинско учење за процену вашег положаја у вези са сајбер-безбедношћу, нудећи савете за побољшање безбедности и усаглашеност са безбедносним стандардима.

Командни центар Гоогле Цлоуд Сецурити

• Сајт: цлоуд.гоогле.цом/сецурити-цомманд-центер
• Лиценца: комерцијална

Цлоуд Сецурити Цомманд Центер помаже безбедносним тимовима да прикупљају податке, идентификују претње и елиминишу их пре него што нанесу штету компанији.

Као што име сугерише, Гоогле Цлоуд СЦЦ је обједињена контролна табла која може да интегрише и управља разним безбедносним извештајима, машинама за рачуноводство имовине и безбедносним системима трећих страна из једног, централизованог извора.

Интероперабилни АПИ који нуди Гоогле Цлоуд СЦЦ олакшава интеграцију безбедносних догађаја који долазе из различитих извора, као што су Сисдиг Сецуре (безбедност контејнера за апликације које су изворне у облаку) или Фалцо (безбедност током извршавања отвореног кода).

Вишеслојни увид (Куалис)

• Сајт: лаиерединсигхт.цом
• Лиценца: комерцијална

Лаиеред Инсигхт (сада део Куалис Инц) је изграђен на концепту „уграђене безбедности“. Након скенирања оригиналне слике у потрази за рањивостима помоћу статистичке анализе и ЦВЕ провера, Лаиеред Инсигхт је замењује инструментираном сликом која укључује агента као бинарни фајл.

Овај агент садржи тестове безбедности током извршавања за анализу мрежног саобраћаја контејнера, И/О токова и активности апликације. Поред тога, може да изврши додатне безбедносне провере које одреди администратор инфраструктуре или ДевОпс тимови.

НеуВецтор

• Сајт: неувецтор.цом
• Лиценца: комерцијална

НеуВецтор проверава безбедност контејнера и обезбеђује заштиту током рада анализирајући мрежну активност и понашање апликације, креирајући индивидуални безбедносни профил за сваки контејнер. Такође може самостално да блокира претње, изолујући сумњиве активности променом локалних правила заштитног зида.

НеуВецтор-ова мрежна интеграција, позната као Сецурити Месх, је способна за дубоку анализу пакета и филтрирање слоја 7 за све мрежне везе у сервисној мрежи.

СтацкРок

• Сајт: ввв.стацкрок.цом
• Лиценца: комерцијална

СтацкРок платформа за безбедност контејнера настоји да покрије цео животни циклус Кубернетес апликација у кластеру. Као и друге комерцијалне платформе на овој листи, СтацкРок генерише рунтиме профил на основу уоченог понашања контејнера и аутоматски подиже аларм за сва одступања.

Поред тога, СтацкРок анализира Кубернетес конфигурације користећи Кубернетес ЦИС и друге правилнике да процени усклађеност контејнера.

Сисдиг Сецуре

• Сајт: сисдиг.цом/продуцтс/сецуре
• Лиценца: комерцијална

Сисдиг Сецуре штити апликације током целог животног циклуса контејнера и Кубернетес-а. Он скенира слике контејнере, обезбеђује заштита током рада према подацима машинског учења, врши крем. стручност за идентификацију рањивости, блокира претње, надгледа усклађеност са утврђеним стандардима и ревизијске активности у микросервисима.

Сисдиг Сецуре се интегрише са ЦИ/ЦД алатима као што је Јенкинс и контролише слике учитане из Доцкер регистара, спречавајући појаву опасних слика у производњи. Такође пружа свеобухватну сигурност током рада, укључујући:

• Профилисање времена извршавања засновано на МЛ-у и откривање аномалија;
• рунтиме политике засноване на системским догађајима, К8с-аудит АПИ-ју, заједничким пројектима заједнице (ФИМ - праћење интегритета датотека; криптојацкинг) и оквиру МИТЕР АТТ&ЦК;
• реаговање и решавање инцидената.

Одржива безбедност контејнера

• Сајт: ввв.тенабле.цом/продуцтс/тенабле-ио/цонтаинер-сецурити
• Лиценца: комерцијална

Пре појаве контејнера, Тенабле је био надалеко познат у индустрији као компанија која стоји иза Нессус-а, популарног алата за тражење рањивости и безбедносну ревизију.

Тенабле Цонтаинер Сецурити користи стручност компаније за рачунарску безбедност да интегрише ЦИ/ЦД цевовод са базама података рањивости, специјализованим пакетима за откривање малвера и препорукама за решавање безбедносних претњи.

Твистлоцк (Пало Алто Нетворкс)

• Сајт: ввв.твистлоцк.цом
• Лиценца: комерцијална

Твистлоцк се промовише као платформа фокусирана на услуге у облаку и контејнере. Твистлоцк подржава различите добављаче облака (АВС, Азуре, ГЦП), оркестраторе контејнера (Кубернетес, Месоспехере, ОпенСхифт, Доцкер), рунтимес без сервера, мрежне оквире и ЦИ/ЦД алате.

Поред конвенционалних безбедносних техника корпоративног нивоа, као што су интеграција ЦИ/ЦД цевовода или скенирање слика, Твистлоцк користи машинско учење за генерисање образаца понашања специфичних за контејнере и мрежних правила.

Пре извесног времена, Твистлоцк је купила Пало Алто Нетворкс, која поседује пројекте Евидент.ио и РедЛоцк. Још није познато како ће тачно ове три платформе бити интегрисане Присма из Пало Алта.

Помозите да направите најбољи каталог Кубернетес безбедносних алата!

Трудимо се да овај каталог буде што комплетнији, а за то нам је потребна ваша помоћ! Контактирајте нас (@сисдиг) ако имате на уму кул алат који је вредан укључивања на ову листу, или пронађете грешку/застареле информације.

Такође се можете претплатити на наше месечни билтен са вестима из цлоуд-нативе екосистема и причама о занимљивим пројектима из света Кубернетес безбедности.

ПС од преводиоца

Прочитајте и на нашем блогу:

• «Увод у Кубернетес мрежне политике за професионалце у области безбедности";
• «Доцкер и Кубернетес у безбедносно осетљивим окружењима";
• «9 најбољих пракси за Кубернетес безбедност";
• «11 начина да (не) постанете жртва Кубернетес хака";
• «ОПА и СПИФФЕ су два нова пројекта у ЦНЦФ-у за безбедност апликација у облаку'.

Извор: ввв.хабр.цом