33+ alat kaamanan Kubernetes

Catetan. narjamahkeun.: Upami Anjeun keur wondering ngeunaan kaamanan di infrastruktur basis Kubernetes, Tinjauan unggulan ieu ti Sysdig mangrupakeun titik awal gede pikeun katingal gancang dina solusi ayeuna. Ieu ngawengku duanana sistem kompléks ti pamaén pasar well-dipikawanoh tur leuwih modest Utiliti nu ngajawab masalah husus. Sareng dina koméntar, sapertos biasa, kami bakal bagja ngadangu ngeunaan pangalaman anjeun nganggo alat-alat ieu sareng ningali tautan kana proyék-proyék anu sanés.

Produk parangkat lunak kaamanan Kubernetes... seueur pisan, masing-masing gaduh tujuan, ruang lingkup, sareng lisénsina masing-masing.

Éta sababna urang mutuskeun pikeun nyieun daptar ieu sareng kalebet proyék open source sareng platform komérsial ti padagang anu béda. Kami ngarepkeun éta bakal ngabantosan anjeun ngaidentipikasi anu paling dipikaresep sareng nunjuk anjeun ka arah anu leres dumasar kana kabutuhan kaamanan Kubernetes khusus anjeun.

kategori

Pikeun nyieun daptar gampang pikeun nganapigasi, alat-alat nu diatur ku fungsi utama jeung aplikasi. Bagian di handap ieu dicandak:

• Panyeken gambar Kubernetes sareng analisis statik;
• kaamanan Runtime;
• kaamanan jaringan Kubernetes;
• Sebaran gambar sareng manajemén rahasia;
• Inok kaamanan Kubernetes;
• produk komérsial komprehensif.

Hayu urang turun ka bisnis:

Nyeken gambar Kubernetes

Jangkar

• website: anchore.com
• Lisensi: bebas (Apache) jeung tawaran komérsial

Anchore nganalisa gambar wadahna sareng ngamungkinkeun pamariksaan kaamanan dumasar kana kawijakan anu ditetepkeun ku pangguna.

Salian scanning biasa tina gambar wadahna pikeun kerentanan anu dipikanyaho tina pangkalan data CVE, Anchore ngalaksanakeun seueur pamariksaan tambahan salaku bagian tina kabijakan scanning na: pariksa Dockerfile, bocor kredensial, bungkusan tina basa pamrograman anu dianggo (npm, maven, jsb. .), lisénsi software sareng seueur deui.

Clair

• website: coreos.com/clair (ayeuna di handapeun tutelage of Red Hat)
• Lisensi: gratis (Apache)

Clair mangrupikeun salah sahiji proyék Open Source munggaran pikeun scanning gambar. Hal ieu dipikawanoh lega salaku scanner kaamanan balik pendaptaran gambar Quay (ogé ti CoreOS - kira-kira. tarjamahan). Clair tiasa ngumpulkeun inpormasi CVE tina rupa-rupa sumber, kalebet daptar kerentanan khusus distribusi Linux anu dijaga ku tim kaamanan Debian, Red Hat, atanapi Ubuntu.

Beda sareng Anchore, Clair utamina museurkeun kana milarian kerentanan sareng data anu cocog sareng CVE. Sanajan kitu, produk nu nawarkeun pamaké sababaraha kasempetan pikeun dilegakeun fungsi maké plug-in drivers.

daga

• website: github.com/eliasgranderubio/dagda
• Lisensi: gratis (Apache)

Dagda ngalakukeun analisa statik gambar wadahna pikeun kerentanan anu dipikanyaho, Trojan, virus, malware sareng ancaman anu sanés.

Dua fitur anu kasohor ngabédakeun Dagda tina alat anu sami:

• Ieu integrates sampurna kalawan ClamAV, akting teu ukur salaku alat pikeun scanning gambar wadahna, tapi ogé salaku antipirus.
• Ogé nyadiakeun panyalindungan runtime ku narima acara real-time ti daemon Docker tur integrasi jeung Falco (tingali kahandap) pikeun ngumpulkeun acara kaamanan bari wadahna ngajalankeun.

KubeXray

• website: github.com/jfrog/kubexray
• Lisensi: Gratis (Apache), tapi butuh data tina JFrog Xray (produk komersil)

KubeXray ngadangukeun acara ti server API Kubernetes sareng nganggo metadata tina JFrog Xray pikeun mastikeun yén ngan pods anu cocog sareng kawijakan ayeuna diluncurkeun.

KubeXray teu ngan audits peti anyar atawa diropéa dina deployments (sarupa jeung controller pangakuan di Kubernetes), tapi ogé dinamis pariksa ngajalankeun wadahna pikeun minuhan kawijakan kaamanan anyar, nyoplokkeun sumberdaya nu nuduhkeun gambar rentan.

Snyk

• website: snyk.io
• Lisensi: gratis (Apache) sareng versi komérsial

Snyk mangrupikeun panyeken kerentanan anu teu biasa sabab sacara khusus nargétkeun prosés pamekaran sareng diwanohkeun salaku "solusi penting" pikeun pamekar.

Snyk nyambung langsung ka repositories kode, parses manifest proyék jeung nganalisa kode diimpor babarengan jeung kagumantungan langsung jeung teu langsung. Snyk ngadukung seueur basa pamrograman anu populer sareng tiasa ngaidentipikasi résiko lisénsi anu disumputkeun.

Trivy

• website: github.com/knqyf263/trivy
• Lisensi: gratis (AGPL)

Trivy mangrupikeun panyeken kerentanan anu sederhana tapi kuat pikeun wadah anu gampang ngahijikeun kana pipa CI / CD. Fitur anu kasohor nyaéta betah instalasi sareng operasina: aplikasina diwangun ku binér tunggal sareng henteu ngabutuhkeun pamasangan pangkalan data atanapi perpustakaan tambahan.

Karugian tina kesederhanaan Trivy nyaéta anjeun kedah terang kumaha nga-parse sareng neraskeun hasil dina format JSON supados alat kaamanan Kubernetes sanésna tiasa dianggo.

Kaamanan runtime di Kubernetes

Falco

• website: falco.org
• Lisensi: gratis (Apache)

Falco mangrupikeun sakumpulan alat pikeun ngamankeun lingkungan runtime awan. Bagian tina kulawarga proyék CNCF.

Nganggo alat tingkat kernel Linux Sysdig sareng propil panggero sistem, Falco ngamungkinkeun anjeun pikeun teuleum jero kana paripolah sistem. Mesin aturan runtime na tiasa ngadeteksi kagiatan anu curiga dina aplikasi, wadah, host dasar, sareng orkestra Kubernetes.

Falco nyadiakeun transparansi lengkep dina runtime jeung deteksi ancaman ku deploying agén husus dina titik Kubernetes keur kaperluan ieu. Hasilna, teu kedah ngarobih wadahna ku cara ngenalkeun kode pihak katilu kana aranjeunna atanapi nambihan wadah sidecar.

Frameworks kaamanan Linux Ubuntu pikeun runtime

Kerangka asli pikeun kernel Linux ieu sanés "alat kaamanan Kubernetes" dina rasa tradisional, tapi patut disebatkeun sabab éta unsur penting dina kontéks kaamanan runtime, anu kalebet dina Kabijakan Kaamanan Kubernetes Pod (PSP).

Kasabut, nempelkeun profil kaamanan kana prosés anu dijalankeun dina wadahna, netepkeun hak istimewa sistem file, aturan aksés jaringan, nyambungkeun perpustakaan, jsb. Ieu sistem dumasar kana Mandatory Access Control (MAC). Dina basa sejen, eta nyegah lampah dilarang ti keur dipigawé.

Linux Ditingkatkeun Kaamanan (SELinux) nyaéta modul kaamanan canggih dina kernel Linux, sarupa dina sababaraha aspék AppArmor sarta mindeng dibandingkeun eta. SELinux punjul ti AppArmor dina kakuatan, kalenturan sareng kustomisasi. Kalemahanna nyaéta kurva diajar anu panjang sareng pajeulitna ningkat.

Seccomp sareng seccomp-bpf ngamungkinkeun anjeun nyaring telepon sistem, meungpeuk palaksanaan jalma anu berpotensi bahaya pikeun OS dasar sareng henteu diperyogikeun pikeun operasi normal aplikasi pangguna. Seccomp sami sareng Falco dina sababaraha cara, sanaos henteu terang spésifikasi wadahna.

Sysdig open source

• website: www.sysdig.com/opensource
• Lisensi: gratis (Apache)

Sysdig mangrupikeun alat anu lengkep pikeun nganalisa, ngadiagnosa sareng nga-debug sistem Linux (ogé tiasa dianggo dina Windows sareng macOS, tapi kalayan fungsi terbatas). Éta tiasa dianggo pikeun ngumpulkeun inpormasi lengkep, verifikasi sareng analisa forensik. (forensik) sistem dasar sareng wadah naon waé anu aya di dinya.

Sysdig ogé asli ngarojong runtimes wadahna sarta metadata Kubernetes, nambahkeun dimensi tambahan sarta labél ka sadaya informasi kabiasaan sistem eta ngumpulkeun. Aya sababaraha cara pikeun nganalisis klaster Kubernetes nganggo Sysdig: anjeun tiasa ngalakukeun néwak point-in-time via kubectl newak atawa ngajalankeun antarbeungeut interaktif dumasar ncurses ngagunakeun plugin a kubectl dig.

Kaamanan Jaringan Kubernetes

Aporeto

• website: www.aporeto.com
• Lisensi: komérsial

Aporeto nawarkeun "kaamanan dipisahkeun tina jaringan jeung infrastruktur." Ieu ngandung harti yén jasa Kubernetes henteu ngan ukur nampi ID lokal (nyaéta ServiceAccount di Kubernetes), tapi ogé ID universal / sidik jari anu tiasa dianggo pikeun komunikasi aman sareng silih sareng jasa anu sanés, contona dina klaster OpenShift.

Aporeto sanggup ngahasilkeun ID unik henteu ngan pikeun Kubernetes / wadahna, tapi ogé pikeun host, fungsi awan sareng pangguna. Gumantung kana identifier ieu sareng set aturan kaamanan jaringan anu diatur ku administrator, komunikasi bakal diidinan atanapi diblokir.

Calico

• website: www.projectcalico.org
• Lisensi: gratis (Apache)

Calico ilaharna deployed salila instalasi orchestrator wadahna, ngamungkinkeun Anjeun pikeun nyieun jaringan virtual nu interconnects wadahna. Salian fungsionalitas jaringan dasar ieu, proyék Calico jalan kalawan Kawijakan Jaringan Kubernetes jeung set sorangan profil kaamanan jaringan, ngarojong ACLs titik tungtung (daptar kontrol aksés) jeung aturan kaamanan jaringan basis annotation pikeun lalulintas Ingress na Egress.

cilium

• website: www.cilium.io
• Lisensi: gratis (Apache)

Cilium tindakan minangka firewall pikeun peti jeung nyadiakeun fitur kaamanan jaringan natively tailored mun Kubernetes sarta microservices workloads. Cilium ngagunakeun téknologi kernel Linux anyar anu disebut BPF (Berkeley Packet Filter) pikeun nyaring, ngawas, alihan sareng ngabenerkeun data.

Cilium sanggup nyebarkeun kawijakan aksés jaringan dumasar kana ID wadahna nganggo labél Docker atanapi Kubernetes sareng metadata. Cilium ogé ngartos sareng nyaring rupa-rupa protokol Lapisan 7 sapertos HTTP atanapi gRPC, ngamungkinkeun anjeun pikeun nangtukeun sakumpulan telepon REST anu bakal diidinan antara dua panyebaran Kubernetes, contona.

Istio

• website: isio.io
• Lisensi: gratis (Apache)

Istio dipikawanoh lega pikeun nerapkeun paradigma bolong jasa ku deploying pesawat kontrol platform-independen tur routing sadaya lalulintas jasa junun ngaliwatan proxies utusan dinamis configurable. Istio ngamangpaatkeun pandangan canggih ieu sadaya jasa mikro sareng wadah pikeun nerapkeun sababaraha strategi kaamanan jaringan.

Kamampuhan kaamanan jaringan Istio kalebet enkripsi TLS transparan pikeun otomatis ningkatkeun komunikasi antara layanan mikro ka HTTPS, sareng sistem idéntifikasi sareng otorisasi RBAC proprietary pikeun ngawenangkeun / mungkir komunikasi antara beban kerja anu béda dina kluster.

Catetan. narjamahkeun.: Pikeun leuwih jéntré ngeunaan kamampuhan fokus kaamanan Istio urang, baca artikel ieu.

Tigera

• website: www.tigera.io
• Lisensi: komérsial

Disebut "Kubernetes Firewall," solusi ieu nekenkeun pendekatan enol-percanten kana kaamanan jaringan.

Sarupa sareng solusi jejaring Kubernetes asli anu sanés, Tigera ngandelkeun metadata pikeun ngaidentipikasi rupa-rupa jasa sareng objék dina kluster sareng nyayogikeun deteksi masalah runtime, pamariksaan patuh kontinyu, sareng pisibilitas jaringan pikeun infrastruktur multi-awan atanapi hibrida monolithic-containerized.

Trireme

• website: www.aporeto.com/opensource
• Lisensi: gratis (Apache)

Trireme-Kubernetes mangrupikeun palaksanaan anu sederhana sareng lugas tina spésifikasi Kabijakan Jaringan Kubernetes. Fitur anu paling kasohor nyaéta - teu sapertos produk kaamanan jaringan Kubernetes anu sami - éta henteu peryogi pesawat kontrol sentral pikeun koordinat bolong. Hal ieu ngajadikeun solusi trivially scalable. Dina Trireme, ieu dihontal ku cara masang agén dina unggal titik anu langsung nyambung ka tumpukan TCP/IP host.

Rambatan Gambar jeung Manajemén Rahasia

Grafeas

• website: grafeas.io
• Lisensi: gratis (Apache)

Grafeas mangrupikeun API open source pikeun pamariksaan sareng manajemén ranté suplai parangkat lunak. Dina tingkat dasar, Grafeas mangrupikeun alat pikeun ngumpulkeun metadata sareng panemuan audit. Éta tiasa dianggo pikeun ngalacak patuh kana prakték kaamanan pangsaéna dina hiji organisasi.

Sumber bebeneran terpusat ieu ngabantosan ngajawab patarosan sapertos:

• Saha anu ngumpulkeun sareng nandatanganan wadah khusus?
• Naha éta parantos lulus sadaya scan kaamanan sareng cek anu diperyogikeun ku kawijakan kaamanan? Iraha? Naon hasilna?
• Saha anu nyebarkeun éta pikeun produksi? Parameter khusus naon anu dianggo nalika panyebaran?

Di-toto

• website: in-toto.github.io
• Lisensi: gratis (Apache)

In-toto mangrupikeun kerangka anu dirancang pikeun nyayogikeun integritas, auténtikasi sareng pamariksaan sadaya ranté suplai parangkat lunak. Nalika nyebarkeun In-toto dina prasarana, rencana munggaran ditetepkeun anu ngajelaskeun rupa-rupa léngkah dina pipa (repositori, alat CI / CD, alat QA, kolektor artefak, jsb) sareng pangguna (jalma anu tanggung jawab) anu diidinan initiate aranjeunna.

In-toto monitor palaksanaan rencana, verifying yén unggal tugas dina ranté dipigawé leres ku tanaga otorisasi wungkul tur yén euweuh manipulasi diidinan geus dilumangsungkeun kalawan produk salila gerak.

Portieris

• website: github.com/IBM/portieris
• Lisensi: gratis (Apache)

Portieris mangrupa controller pangakuan pikeun Kubernetes; dipaké pikeun ngalaksanakeun cék kapercayaan eusi. Portieris ngagunakeun server Notaris (Kami nyerat ngeunaan anjeunna dina tungtungna Artikel ieu - kira-kira. tarjamahan) salaku sumber bebeneran pikeun validasi artefak dipercaya jeung ditandatanganan (ie gambar wadahna disatujuan).

Nalika beban kerja didamel atanapi dirobih dina Kubernetes, Portieris ngaunduh inpormasi penandatanganan sareng kabijakan kapercayaan eusi pikeun gambar wadahna anu dipénta sareng, upami diperyogikeun, ngadamel parobihan langsung ka objek API JSON pikeun ngajalankeun vérsi gambar anu ditandatanganan.

lomari wesi

• website: www.vaultproject.io
• Lisensi: gratis (MPL)

Vault mangrupikeun solusi anu aman pikeun nyimpen inpormasi pribadi: kecap akses, token OAuth, sertipikat PKI, akun aksés, Rahasia Kubernetes, jsb. Vault ngadukung seueur fitur canggih, sapertos ngajakan token kaamanan ephemeral atanapi ngatur rotasi konci.

Ngagunakeun bagan Helm, Vault bisa disebarkeun salaku deployment anyar dina klaster Kubernetes kalawan Konsul salaku gudang backend. Éta ngadukung sumber daya Kubernetes asli sapertos token ServiceAccount bahkan tiasa janten toko standar pikeun rahasia Kubernetes.

Catetan. narjamahkeun.: Ngomong-ngomong, kamari perusahaan HashiCorp, anu ngembangkeun Vault, ngumumkeun sababaraha perbaikan pikeun ngagunakeun Vault di Kubernetes, sareng khususna aya hubunganana sareng bagan Helm. Baca leuwih dina blog pamekar.

Inok Kaamanan Kubernetes

Kube-bangku

• website: github.com/aquasecurity/kube-bench
• Lisensi: gratis (Apache)

Kube-bench mangrupikeun aplikasi Go anu mariksa naha Kubernetes disebarkeun sacara aman ku ngajalankeun tés tina daptar. CIS Kubernetes Patokan.

Kube-bench néangan setélan konfigurasi teu aman diantara komponén klaster (jsb, API, controller manager, jsb), hak aksés file questionable, akun nu teu dijagi atawa port kabuka, kuota sumberdaya, setelan pikeun ngawatesan jumlah panggero API ngajaga ngalawan serangan DoS. , jsb.

Kube-hunter

• website: github.com/aquasecurity/kube-hunter
• Lisensi: gratis (Apache)

Kube-hunter ngaburu poténsi kerentanan (sapertos palaksanaan kode jauh atanapi panyingkepan data) dina klaster Kubernetes. Kube-hunter tiasa dijalankeun salaku alat panyeken jauh - dina hal éta bakal ngevaluasi klaster tina sudut pandang anu nyerang pihak katilu - atanapi salaku pod di jero kluster.

A fitur has tina Kube-hunter nyaeta na mode "moro aktip", salila eta teu ngan ngalaporkeun masalah, tapi ogé nyoba ngamangpaatkeun kerentanan kapanggih dina klaster target nu berpotensi ngarugikeun operasi na. Jadi make kalawan caution!

Kubeaudit

• website: github.com/Shopify/kubeaudit
• Lisensi: gratis (MIT)

Kubeaudit mangrupikeun alat konsol anu mimitina dikembangkeun di Shopify pikeun ngaudit konfigurasi Kubernetes pikeun sagala rupa masalah kaamanan. Contona, éta mantuan ngaidentipikasi peti ngajalankeun unrestricted, ngajalankeun salaku root, nyalahgunakeun hak husus, atawa ngagunakeun ServiceAccount standar.

Kubeaudit boga fitur metot séjén. Salaku conto, éta tiasa nganalisis file YAML lokal, ngaidentipikasi cacad konfigurasi anu tiasa nyababkeun masalah kaamanan, sareng ngalereskeunana sacara otomatis.

Kubesec

• website: kubesec.io
• Lisensi: gratis (Apache)

Kubesec mangrupikeun alat khusus anu langsung nyeken file YAML anu ngajelaskeun sumber Kubernetes, milarian parameter anu lemah anu tiasa mangaruhan kaamanan.

Contona, éta bisa ngadeteksi kaleuleuwihan hak husus sarta idin dibikeun ka pod a, ngajalankeun wadah kalawan root salaku pamaké standar, nyambungkeun ka spasi ngaran jaringan host urang, atawa mounts bahaya kawas. /proc host atanapi Docker stop kontak. Fitur anu sanés tina Kubesec nyaéta layanan demo anu sayogi online, dimana anjeun tiasa unggah YAML sareng langsung nganalisis éta.

Buka Agen Kabijakan

• website: www.openpolicyagent.org
• Lisensi: gratis (Apache)

Konsep OPA (Agen Kabijakan Terbuka) nyaéta pikeun ngaleungitkeun kawijakan kaamanan sareng prakték kaamanan pangsaéna tina platform runtime khusus: Docker, Kubernetes, Mesosphere, OpenShift, atanapi kombinasi naon waé.

Contona, anjeun tiasa nyebarkeun OPA salaku backend pikeun pengendali pangakuan Kubernetes, masihan kaputusan kaamanan ka éta. Ku cara ieu, agén OPA tiasa nga-validasi, nampik, sareng bahkan ngarobih pamenta dina laleur, mastikeun yén parameter kaamanan anu ditetepkeun. Kabijakan kaamanan OPA ditulis dina basa DSL proprietary na, Rego.

Catetan. narjamahkeun.: Urang wrote langkung seueur ngeunaan OPA (jeung SPIFFE) di bahan ieu.

Alat komérsial komprehensif pikeun analisis kaamanan Kubernetes

Urang mutuskeun nyieun kategori misah pikeun platform komérsial sabab ilaharna ngawengku sababaraha wewengkon kaamanan. Gagasan umum ngeunaan kamampuanna tiasa didapet tina tabél:

* Pamariksaan canggih sareng analisis post mortem kalayan lengkep pangbajak panggero sistem.

Aqua Kaamanan

• website: www.aquasec.com
• Lisensi: komérsial

Alat komérsial ieu dirancang pikeun wadah sareng beban kerja awan. Eta nyadiakeun:

• Scanning gambar terpadu sareng pendaptaran wadahna atanapi pipa CI / CD;
• Perlindungan runtime kalayan milarian parobahan dina wadah sareng kagiatan curiga anu sanés;
• firewall wadahna-pribumi;
• Kaamanan pikeun serverless dina jasa awan;
• Tes patuh sareng pamariksaan digabungkeun sareng logging acara.

Catetan. narjamahkeun.: Éta ogé sia ​​noting yén aya bebas komponén produk disebut MicroScanner, nu ngidinan Anjeun pikeun nyeken gambar wadahna pikeun vulnerabilities. Perbandingan kamampuanna sareng versi anu mayar dibere dina méja ieu.

Kapsul8

• website: kapsul8.com
• Lisensi: komérsial

Capsule8 ngahijikeun kana infrastruktur ku cara masang detektor dina klaster Kubernetes lokal atanapi awan. Detektor ieu ngumpulkeun telemétri host sareng jaringan, ngahubungkeunana sareng sababaraha jinis serangan.

Tim Capsule8 ningali tugasna salaku deteksi awal sareng pencegahan serangan nganggo anu anyar (0-dinten) vulnerabilities. Capsule8 tiasa ngaunduh aturan kaamanan anu diropéa langsung ka detéktor pikeun ngaréspon kana ancaman sareng kerentanan parangkat lunak anu nembe kapendak.

Kavirin

• website: www.cavirin.com
• Lisensi: komérsial

Cavirin tindakan minangka kontraktor sisi perusahaan pikeun sagala rupa agénsi aub dina standar kaamanan. Henteu ngan ukur tiasa nyeken gambar, tapi ogé tiasa ngahijikeun kana pipa CI / CD, ngahalangan gambar anu henteu standar sateuacan aranjeunna asupkeun repositori katutup.

Suite kaamanan Cavirin ngagunakeun pembelajaran mesin pikeun meunteun postur kaamanan maya anjeun, nawiskeun tip pikeun ningkatkeun kaamanan sareng ningkatkeun patuh kana standar kaamanan.

Pusat Komando Kaamanan Google Cloud

• website: cloud.google.com/security-command-center
• Lisensi: komérsial

Cloud Security Command Center ngabantosan tim kaamanan ngumpulkeun data, ngaidentipikasi ancaman, sareng ngaleungitkeun aranjeunna sateuacan ngarugikeun perusahaan.

Sakumaha ngaranna nunjukkeun, Google Cloud SCC mangrupakeun panel kontrol hasil ngahijikeun Tatar nu bisa ngahijikeun jeung ngatur rupa-rupa laporan kaamanan, mesin akuntansi asset, sarta sistem kaamanan pihak katilu ti hiji, sumber terpusat.

API interoperable ditawarkeun ku Google Cloud SCC ngagampangkeun pikeun ngahijikeun acara kaamanan anu asalna tina sagala rupa sumber, sapertos Sysdig Secure (kaamanan wadah pikeun aplikasi cloud-asli) atanapi Falco (kaamanan runtime Open Source).

Wawasan Lapisan (Qualys)

• website: layeredinsight.com
• Lisensi: komérsial

Layered Insight (ayeuna bagian tina Qualys Inc) diwangun dina konsép "kaamanan anu dipasang." Saatos nyeken gambar asli pikeun kerentanan nganggo analisa statistik sareng cék CVE, Layered Insight ngagentos gambar éta ku gambar instrumented anu kalebet agén salaku binér.

Agén ieu ngandung tés kaamanan runtime pikeun nganalisis lalu lintas jaringan wadah, aliran I / O sareng kagiatan aplikasi. Salaku tambahan, éta tiasa ngalaksanakeun pamariksaan kaamanan tambahan anu ditangtukeun ku administrator infrastruktur atanapi tim DevOps.

NeuVéktor

• website: neuvector.com
• Lisensi: komérsial

NeuVector pariksa kaamanan wadahna sarta nyadiakeun panyalindungan runtime ku analisa aktivitas jaringan jeung kabiasaan aplikasi, nyieun hiji profil kaamanan individu pikeun tiap wadahna. Éta ogé tiasa meungpeuk ancaman nyalira, ngasingkeun kagiatan anu curiga ku cara ngarobih aturan firewall lokal.

Integrasi jaringan NeuVector, katelah Security Mesh, sanggup analisa pakét jero sareng nyaring lapisan 7 pikeun sadaya sambungan jaringan dina bolong jasa.

StackRox

• website: www.stackrox.com
• Lisensi: komérsial

Platform kaamanan wadah StackRox narékahan pikeun nutupan sakabéh siklus kahirupan aplikasi Kubernetes dina klaster. Sapertos platform komérsial anu sanés dina daptar ieu, StackRox ngahasilkeun profil runtime dumasar kana paripolah wadahna anu dititénan sareng otomatis ngangkat alarm pikeun panyimpangan naon waé.

Salaku tambahan, StackRox nganalisa konfigurasi Kubernetes nganggo Kubernetes CIS sareng buku aturan anu sanés pikeun meunteun patuh wadah.

Sysdig Aman

• website: sysdig.com/products/secure
• Lisensi: komérsial

Sysdig Secure ngajagi aplikasi sapanjang sakabéh wadah sareng siklus hirup Kubernetes. Anjeunna nyeken gambar wadahna, nyadiakeun panyalindungan runtime nurutkeun data learning mesin, ngalakukeun krim. kaahlian pikeun ngaidentipikasi vulnerabilities, blok ancaman, monitor patuh kana standar anu ditetepkeun sarta aktivitas audits dina microservices.

Sysdig Secure ngahiji sareng alat CI / CD sapertos Jenkins sareng ngontrol gambar anu dimuat tina pendaptaran Docker, nyegah gambar bahaya tina muncul dina produksi. Éta ogé nyayogikeun kaamanan runtime komprehensif, kalebet:

• Propil runtime basis ML sareng deteksi anomali;
• kawijakan runtime dumasar kana acara sistem, K8s-audit API, proyék komunitas gabungan (FIM - file monitoring integritas; cryptojacking) jeung kerangka MITER AT&CK;
• respon jeung resolusi kajadian.

Kaamanan Wadahna Tenable

• website: www.tenable.com/products/tenable-io/container-security
• Lisensi: komérsial

Sateuacan mecenghulna wadah, Tenable dikenal sacara lega di industri salaku perusahaan tukangeun Nessus, alat moro kerentanan sareng pamariksaan kaamanan anu populér.

Tenable Container Security ngamangpaatkeun kaahlian kaamanan komputer perusahaan pikeun ngahijikeun pipa CI/CD sareng database kerentanan, bungkusan deteksi malware khusus, sareng rekomendasi pikeun ngarengsekeun ancaman kaamanan.

Twistlock (Jaringan Palo Alto)

• website: www.twistlock.com
• Lisensi: komérsial

Twistlock ngamajukeun dirina salaku platform anu difokuskeun kana jasa awan sareng wadah. Twistlock ngadukung sababaraha panyadia awan (AWS, Azure, GCP), orkestrator wadah (Kubernetes, Mesospehere, OpenShift, Docker), runtime tanpa server, kerangka bolong sareng alat CI / CD.

Salian téknik kaamanan kelas perusahaan konvensional sapertos integrasi pipa CI / CD atanapi scanning gambar, Twistlock ngagunakeun mesin learning pikeun ngahasilkeun pola paripolah khusus wadah sareng aturan jaringan.

Sababaraha waktu ka tukang, Twistlock dibeuli ku Palo Alto Networks, nu boga proyék Evident.io jeung RedLock. Henteu acan terang kumaha persisna tilu platform ieu bakal diintegrasikeun PRISMA ti Palo Alto.

Pitulung ngawangun katalog pangsaéna tina alat kaamanan Kubernetes!

Urang narékahan pikeun nyieun katalog ieu salaku lengkep sabisa, sarta pikeun ieu kami butuh pitulung anjeun! Taros Kami (@sysdig) lamun boga alat tiis dina pikiran nu pantes kaasup dina daptar ieu, atawa anjeun manggihan kasalahan / informasi luntur.

Anjeun oge bisa ngalanggan kami buletin bulanan kalawan warta ti ékosistem awan-asli jeung carita ngeunaan proyék metot ti dunya kaamanan Kubernetes.

PS ti penerjemah

Baca ogé dina blog urang:

• «Perkenalan kana Kabijakan Jaringan Kubernetes pikeun Profesional Kaamanan";
• «Docker sareng Kubernetes dina lingkungan sénsitip kaamanan";
• «9 Prakték Pangalusna pikeun Kaamanan Kubernetes";
• «11 Cara pikeun (Henteu) Janten Korban Hack Kubernetes";
• «OPA sareng SPIFFE mangrupikeun dua proyék énggal di CNCF pikeun kaamanan aplikasi awan".

sumber: www.habr.com