33+ Kubernetes zana za usalama

Kumbuka. tafsiri.: Ikiwa unashangaa kuhusu usalama katika miundombinu inayotegemea Kubernetes, muhtasari huu bora kutoka kwa Sysdig ni mahali pazuri pa kuanzia kwa kuangalia kwa haraka suluhu za sasa. Inajumuisha mifumo changamano kutoka kwa wachezaji wanaojulikana wa soko na huduma za kawaida zaidi ambazo hutatua tatizo fulani. Na katika maoni, kama kawaida, tutafurahi kusikia kuhusu uzoefu wako wa kutumia zana hizi na kuona viungo vya miradi mingine.

Bidhaa za programu za usalama za Kubernetes... kuna nyingi sana, kila moja ikiwa na malengo yake, upeo na leseni.

Ndiyo maana tuliamua kuunda orodha hii na kujumuisha miradi huria na majukwaa ya kibiashara kutoka kwa wachuuzi tofauti. Tunatumahi itakusaidia kutambua zile zinazokuvutia zaidi na kukuelekeza katika mwelekeo sahihi kulingana na mahitaji yako mahususi ya usalama ya Kubernetes.

Jamii

Ili kufanya orodha iwe rahisi kuzunguka, zana zinapangwa na kazi kuu na programu. Sehemu zifuatazo zilipatikana:

• skanning ya picha ya Kubernetes na uchambuzi wa tuli;
• Usalama wa wakati wa kukimbia;
• Usalama wa mtandao wa Kubernetes;
• Usambazaji wa picha na usimamizi wa siri;
• ukaguzi wa usalama wa Kubernetes;
• Bidhaa kamili za kibiashara.

Wacha tushuke kwenye biashara:

Inachanganua picha za Kubernetes

Nanga

• Tovuti: anchore.com
• Leseni: bure (Apache) na ofa ya kibiashara

Anchore huchanganua picha za kontena na kuruhusu ukaguzi wa usalama kulingana na sera zilizobainishwa na mtumiaji.

Kwa kuongezea skanning ya kawaida ya picha za kontena kwa udhaifu unaojulikana kutoka kwa hifadhidata ya CVE, Anchore hufanya ukaguzi wa ziada kama sehemu ya sera yake ya skanning: hukagua Dockerfile, uvujaji wa sifa, vifurushi vya lugha za programu zinazotumiwa (npm, maven, nk. .), leseni za programu na mengi zaidi .

Clair

• Tovuti: msingi.com/clair (sasa chini ya ulezi wa Red Hat)
• Leseni: bure (Apache)

Clair ilikuwa mojawapo ya miradi ya kwanza ya Open Source ya kuchanganua picha. Inajulikana sana kama skana ya usalama nyuma ya sajili ya picha ya Quay (pia kutoka CoreOS - takriban. tafsiri). Clair inaweza kukusanya maelezo ya CVE kutoka vyanzo mbalimbali, ikiwa ni pamoja na orodha za udhaifu mahususi wa usambazaji wa Linux unaodumishwa na timu za usalama za Debian, Red Hat, au Ubuntu.

Tofauti na Anchore, Clair inalenga hasa kutafuta udhaifu na kulinganisha data na CVE. Hata hivyo, bidhaa huwapa watumiaji fursa fulani za kupanua utendaji kwa kutumia viendeshi vya programu-jalizi.

dagda

• Tovuti: github.com/eliasgranderubio/dagda
• Leseni: bure (Apache)

Dagda hufanya uchanganuzi tuli wa picha za kontena kwa udhaifu unaojulikana, Trojans, virusi, programu hasidi na vitisho vingine.

Vipengele viwili mashuhuri vinatofautisha Dagda kutoka kwa zana zingine zinazofanana:

• Inaunganisha kikamilifu na ClamAV, haifanyi kazi tu kama zana ya kuchanganua picha za chombo, lakini pia kama antivirus.
• Pia hutoa ulinzi wakati wa kukimbia kwa kupokea matukio ya wakati halisi kutoka kwa daemon ya Docker na kuunganishwa na Falco (tazama hapa chini) kukusanya matukio ya usalama wakati kontena linafanya kazi.

KubeXray

• Tovuti: github.com/jfrog/kubexray
• Leseni: Bila malipo (Apache), lakini inahitaji data kutoka kwa JFrog Xray (bidhaa ya kibiashara)

KubeXray husikiliza matukio kutoka kwa seva ya Kubernetes API na hutumia metadata kutoka JFrog Xray ili kuhakikisha kuwa maganda yanayolingana na sera ya sasa ndiyo yanazinduliwa.

KubeXray haikagui tu kontena mpya au zilizosasishwa katika utumaji (sawa na kidhibiti cha uandikishaji katika Kubernetes), lakini pia hukagua kwa uthabiti makontena yanayoendesha ili kufuata sera mpya za usalama, na kuondoa nyenzo zinazorejelea picha zilizo hatarini.

Snyk

• Tovuti: snyk.io
• Leseni: bure (Apache) na matoleo ya kibiashara

Snyk ni kichanganuzi kisicho cha kawaida cha athari kwa kuwa kinalenga mchakato wa usanidi mahususi na kinakuzwa kama "suluhisho muhimu" kwa wasanidi programu.

Snyk huunganisha moja kwa moja na hazina za misimbo, huchanganua faili ya maelezo ya mradi na kuchanganua msimbo ulioletwa pamoja na tegemezi za moja kwa moja na zisizo za moja kwa moja. Snyk inasaidia lugha nyingi maarufu za programu na inaweza kutambua hatari zilizofichwa za leseni.

Trivy

• Tovuti: github.com/knqyf263/trivy
• Leseni: bila malipo (AGPL)

Trivy ni kichanganuzi rahisi lakini chenye uwezo wa kuathiriwa cha kontena ambazo huunganishwa kwa urahisi kwenye bomba la CI/CD. Kipengele chake kinachojulikana ni urahisi wa ufungaji na uendeshaji: maombi yanajumuisha binary moja na hauhitaji usakinishaji wa hifadhidata au maktaba ya ziada.

Kando ya unyenyekevu wa Trivy ni kwamba lazima ujue jinsi ya kuchanganua na kusambaza matokeo katika umbizo la JSON ili zana zingine za usalama za Kubernetes ziweze kuzitumia.

Usalama wa wakati wa kukimbia huko Kubernetes

Falco

• Tovuti: falco.org
• Leseni: bure (Apache)

Falco ni seti ya zana za kulinda mazingira ya wakati wa uendeshaji wa wingu. Sehemu ya familia ya mradi CNCF.

Kwa kutumia zana za kiwango cha kernel ya Sysdig's Linux na uwekaji wasifu wa simu wa mfumo, Falco hukuruhusu kuzama katika tabia ya mfumo. Injini yake ya sheria za wakati wa utekelezaji ina uwezo wa kugundua shughuli za kutiliwa shaka katika programu, kontena, seva pangishi ya msingi, na orchestrator ya Kubernetes.

Falco hutoa uwazi kamili katika muda wa utekelezaji na ugunduzi wa vitisho kwa kupeleka mawakala maalum kwenye nodi za Kubernetes kwa madhumuni haya. Kwa hivyo, hakuna haja ya kurekebisha kontena kwa kutambulisha msimbo wa watu wengine ndani yake au kuongeza vyombo vya kando.

Mifumo ya usalama ya Linux kwa wakati wa kukimbia

Miundo hii asilia ya kinu cha Linux si "zana za usalama za Kubernetes" kwa maana ya kitamaduni, lakini inafaa kutajwa kwa sababu ni kipengele muhimu katika muktadha wa usalama wa wakati wa utekelezaji, ambao umejumuishwa katika Sera ya Usalama ya Kubernetes Pod (PSP).

AppArmor huambatisha wasifu wa usalama kwa michakato inayoendeshwa kwenye kontena, kufafanua mapendeleo ya mfumo wa faili, sheria za ufikiaji wa mtandao, kuunganisha maktaba, n.k. Huu ni mfumo unaozingatia Udhibiti wa Ufikiaji wa Lazima (MAC). Kwa maneno mengine, inazuia vitendo vilivyokatazwa kufanywa.

Linux Iliyoimarishwa Usalama (SELinux) ni moduli ya hali ya juu ya usalama kwenye kinu cha Linux, sawa katika vipengele vingine kwa AppArmor na mara nyingi ikilinganishwa nayo. SELinux ni bora kuliko AppArmor kwa nguvu, kubadilika na ubinafsishaji. Hasara zake ni curve ya muda mrefu ya kujifunza na kuongezeka kwa utata.

Seccomp na seccomp-bpf hukuruhusu kuchuja simu za mfumo, kuzuia utekelezaji wa zile ambazo zinaweza kuwa hatari kwa OS ya msingi na hazihitajiki kwa operesheni ya kawaida ya programu za mtumiaji. Seccomp ni sawa na Falco kwa njia fulani, ingawa haijui maalum ya vyombo.

Sysdig chanzo wazi

• Tovuti: www.sysdig.com/opensource
• Leseni: bure (Apache)

Sysdig ni zana kamili ya kuchambua, kugundua na kurekebisha mifumo ya Linux (pia inafanya kazi kwenye Windows na macOS, lakini kwa utendakazi mdogo). Inaweza kutumika kwa ajili ya kukusanya taarifa za kina, uthibitishaji na uchambuzi wa mahakama. (madaktari) mfumo wa msingi na vyombo vyovyote vinavyoendesha juu yake.

Sysdig pia hutumia muda wa matumizi ya chombo na metadata ya Kubernetes, na kuongeza vipimo na lebo kwa maelezo yote ya tabia ya mfumo inayokusanya. Kuna njia kadhaa za kuchambua nguzo ya Kubernetes kwa kutumia Sysdig: unaweza kufanya kunasa kwa wakati kupitia kubectl kukamata au uzindua kiolesura cha mwingiliano cha msingi cha ncurses kwa kutumia programu-jalizi kubectl kuchimba.

Usalama wa Mtandao wa Kubernetes

Aporeto

• Tovuti: www.aporeto.com
• Leseni: biashara

Aporeto inatoa "usalama uliotenganishwa na mtandao na miundombinu." Hii inamaanisha kuwa huduma za Kubernetes hazipokei tu kitambulisho cha ndani (yaani ServiceAccount katika Kubernetes), lakini pia kitambulisho/alama ya vidole ambayo inaweza kutumika kuwasiliana kwa usalama na kuheshimiana na huduma nyingine yoyote, kwa mfano katika nguzo ya OpenShift.

Aporeto ina uwezo wa kutoa kitambulisho cha kipekee sio tu kwa Kubernetes/kontena, bali pia kwa wapangishi, vitendaji vya wingu na watumiaji. Kulingana na vitambulisho hivi na seti ya sheria za usalama wa mtandao zilizowekwa na msimamizi, mawasiliano yataruhusiwa au kuzuiwa.

Calico

• Tovuti: www.projectcalico.org
• Leseni: bure (Apache)

Calico kwa kawaida hutumwa wakati wa usakinishaji wa okestra ya kontena, huku kuruhusu kuunda mtandao pepe unaounganisha vyombo. Kando na utendakazi huu wa kimsingi wa mtandao, mradi wa Calico hufanya kazi na Sera za Mtandao wa Kubernetes na seti yake ya wasifu wa usalama wa mtandao, inasaidia ACL za mwisho (orodha za udhibiti wa ufikiaji) na sheria za usalama za mtandao kulingana na maelezo kwa trafiki ya Ingress na Egress.

Kilio

• Tovuti: www.cilium.io
• Leseni: bure (Apache)

Cilium hufanya kazi kama ngome ya kontena na hutoa vipengele vya usalama vya mtandao vinavyolengwa asili na Kubernetes na mizigo ya huduma ndogo. Cilium hutumia teknolojia mpya ya Linux kernel iitwayo BPF (Berkeley Packet Filter) ili kuchuja, kufuatilia, kuelekeza kwingine na kusahihisha data.

Cilium ina uwezo wa kupeleka sera za ufikiaji wa mtandao kulingana na Vitambulisho vya kontena kwa kutumia lebo na metadata ya Docker au Kubernetes. Cilium pia inaelewa na kuchuja itifaki mbalimbali za Tabaka la 7 kama vile HTTP au gRPC, kukuruhusu kufafanua kundi la simu za REST ambazo zitaruhusiwa kati ya matumizi mawili ya Kubernetes, kwa mfano.

Istio

• Tovuti: istio.io
• Leseni: bure (Apache)

Istio inajulikana sana kwa kutekeleza dhana ya wavu wa huduma kwa kupeleka ndege ya udhibiti inayojitegemea na kuelekeza trafiki yote ya huduma inayodhibitiwa kupitia seva mbadala za Wajumbe zinazoweza kusanidiwa. Istio inachukua fursa ya mtazamo huu wa hali ya juu wa huduma ndogo na kontena zote kutekeleza mikakati mbalimbali ya usalama wa mtandao.

Uwezo wa usalama wa mtandao wa Istio unajumuisha usimbaji fiche wa TLS wenye uwazi ili kuboresha kiotomatiki mawasiliano kati ya huduma ndogo hadi HTTPS, na kitambulisho cha RBAC ya wamiliki na mfumo wa uidhinishaji ili kuruhusu/kukataa mawasiliano kati ya mizigo mbalimbali ya kazi kwenye nguzo.

Kumbuka. tafsiri.: Ili kujifunza zaidi kuhusu uwezo wa Istio unaozingatia usalama, soma Makala hii.

Tigera

• Tovuti: www.tigera.io
• Leseni: biashara

Inaitwa "Kubernetes Firewall," suluhu hili linasisitiza mbinu ya kutokuwa na imani na usalama wa mtandao.

Sawa na masuluhisho mengine asilia ya mtandao ya Kubernetes, Tigera hutegemea metadata kubainisha huduma na vitu mbalimbali kwenye nguzo na hutoa ugunduzi wa tatizo wakati wa utekelezaji, ukaguzi wa mara kwa mara wa utiifu, na mwonekano wa mtandao kwa miundomsingi iliyo na wingu nyingi au mseto yenye kontena.

Trireme

• Tovuti: www.aporeto.com/opensource
• Leseni: bure (Apache)

Trireme-Kubernetes ni utekelezaji rahisi na wa moja kwa moja wa vipimo vya Sera za Mtandao wa Kubernetes. Kipengele kinachojulikana zaidi ni kwamba - tofauti na bidhaa za usalama za mtandao wa Kubernetes - hauhitaji ndege kuu ya udhibiti ili kuratibu mesh. Hii hufanya suluhisho kuwa ndogo sana. Mjini Trireme, hili linafikiwa kwa kusakinisha wakala kwenye kila nodi ambayo inaunganishwa moja kwa moja na mrundikano wa TCP/IP wa mwenyeji.

Uenezi wa Picha na Usimamizi wa Siri

Grafeas

• Tovuti: grafeas.io
• Leseni: bure (Apache)

Grafeas ni API ya chanzo huria ya ukaguzi na usimamizi wa ugavi wa programu. Katika kiwango cha msingi, Grafeas ni zana ya kukusanya metadata na matokeo ya ukaguzi. Inaweza kutumika kufuatilia utiifu wa mbinu bora za usalama ndani ya shirika.

Chanzo hiki kikuu cha ukweli husaidia kujibu maswali kama vile:

• Nani alikusanya na kusaini kwa kontena fulani?
• Je, imepitisha uchunguzi na ukaguzi wote wa usalama unaohitajika na sera ya usalama? Lini? Matokeo yalikuwa nini?
• Nani aliipeleka kwenye uzalishaji? Ni vigezo gani maalum vilivyotumika wakati wa kupeleka?

Katika-toto

• Tovuti: katika-toto.github.io
• Leseni: bure (Apache)

In-toto ni mfumo ulioundwa ili kutoa uadilifu, uthibitishaji na ukaguzi wa msururu mzima wa usambazaji wa programu. Wakati wa kupeleka In-toto katika miundombinu, mpango hufafanuliwa kwanza ambao unaelezea hatua mbalimbali katika bomba (ghala, zana za CI/CD, zana za QA, wakusanyaji wa vizalia vya programu, n.k.) na watumiaji (watu wanaohusika) ambao wanaruhusiwa waanzishe.

In-toto hufuatilia utekelezaji wa mpango, kuthibitisha kwamba kila kazi katika mlolongo inafanywa ipasavyo na wafanyakazi walioidhinishwa pekee na kwamba hakuna udanganyifu ambao haujaidhinishwa umefanywa na bidhaa wakati wa harakati.

Porteris

• Tovuti: github.com/IBM/porteris
• Leseni: bure (Apache)

Porteris ni kidhibiti cha uandikishaji cha Kubernetes; kutumika kutekeleza ukaguzi wa uaminifu wa maudhui. Porteris hutumia seva Mthibitishaji (tuliandika juu yake mwishoni Makala hii - takriban. tafsiri) kama chanzo cha ukweli ili kuthibitisha vizalia vya programu vinavyoaminika na vilivyotiwa saini (yaani, picha za kontena zilizoidhinishwa).

Wakati mzigo wa kazi unapoundwa au kurekebishwa katika Kubernetes, Porteris hupakua maelezo ya kutia saini na sera ya uaminifu wa maudhui kwa picha za kontena zilizoombwa na, ikihitajika, hufanya mabadiliko ya moja kwa moja kwenye kifaa cha API cha JSON ili kutekeleza matoleo yaliyotiwa saini ya picha hizo.

Vault

• Tovuti: www.vaultproject.io
• Leseni: bure (MPL)

Vault ni suluhisho salama la kuhifadhi taarifa za faragha: manenosiri, tokeni za OAuth, vyeti vya PKI, akaunti za ufikiaji, siri za Kubernetes, n.k. Vault hutumia vipengele vingi vya kina, kama vile kukodisha tokeni za usalama za muda mfupi au kuandaa mzunguko wa ufunguo.

Kwa kutumia chati ya Helm, Vault inaweza kutumwa kama sehemu mpya katika kundi la Kubernetes na Consul kama hifadhi ya nyuma. Inaauni rasilimali asili za Kubernetes kama tokeni za ServiceAccount na inaweza kufanya kazi kama hifadhi chaguomsingi ya siri za Kubernetes.

Kumbuka. tafsiri.: Kwa njia, jana tu kampuni ya HashiCorp, ambayo inakuza Vault, ilitangaza maboresho kadhaa ya kutumia Vault katika Kubernetes, na haswa yanahusiana na chati ya Helm. Soma zaidi katika blogi ya msanidi.

Ukaguzi wa Usalama wa Kubernetes

Kube-benchi

• Tovuti: github.com/aquasecurity/kube-bench
• Leseni: bure (Apache)

Kube-bench ni programu ya Go inayokagua kama Kubernetes imetumwa kwa usalama kwa kufanya majaribio kutoka kwenye orodha. CIS Kubernetes Benchmark.

Kube-bench hutafuta mipangilio ya usanidi isiyo salama kati ya vijenzi vya nguzo (nk, API, kidhibiti kidhibiti, n.k.), haki za ufikiaji wa faili zenye shaka, akaunti zisizolindwa au bandari zilizo wazi, upendeleo wa rasilimali, mipangilio ya kupunguza idadi ya simu za API ili kulinda dhidi ya mashambulizi ya DoS. , na kadhalika.

Kube-mwindaji

• Tovuti: github.com/aquasecurity/kube-hunter
• Leseni: bure (Apache)

Kube-hunter hutafuta udhaifu unaoweza kutokea (kama vile utekelezaji wa msimbo wa mbali au ufichuaji wa data) katika makundi ya Kubernetes. Kube-hunter inaweza kuendeshwa kama skana ya mbali - katika hali ambayo itatathmini nguzo kutoka kwa mtazamo wa mvamizi wa mtu mwingine - au kama ganda ndani ya nguzo.

Kipengele tofauti cha Kube-hunter ni hali yake ya "uwindaji hai", ambapo hairipoti tu matatizo, lakini pia inajaribu kuchukua fursa ya udhaifu uliogunduliwa katika nguzo lengwa ambayo inaweza kudhuru utendakazi wake. Kwa hivyo tumia kwa tahadhari!

Kubeaudit

• Tovuti: github.com/Shopify/kubeaudit
• Leseni: bure (MIT)

Kubeaudit ni zana ya kiweko iliyotengenezwa awali katika Shopify kukagua usanidi wa Kubernetes kwa masuala mbalimbali ya usalama. Kwa mfano, inasaidia kutambua vyombo vinavyoendeshwa bila vikwazo, vinavyofanya kazi kama mzizi, matumizi mabaya ya haki, au kutumia ServiceAccount chaguomsingi.

Kubeaudit ina vipengele vingine vya kuvutia. Kwa mfano, inaweza kuchanganua faili za YAML za ndani, kutambua dosari za usanidi ambazo zinaweza kusababisha matatizo ya usalama, na kuzirekebisha kiotomatiki.

Kubesec

• Tovuti: kubesec.io
• Leseni: bure (Apache)

Kubesec ni zana maalum kwa kuwa inachanganua faili za YAML moja kwa moja zinazoelezea rasilimali za Kubernetes, ikitafuta vigezo dhaifu vinavyoweza kuathiri usalama.

Kwa mfano, inaweza kugundua upendeleo na ruhusa nyingi zilizotolewa kwa ganda, kuendesha kontena iliyo na mzizi kama mtumiaji chaguo-msingi, kuunganisha kwenye nafasi ya majina ya mtandao wa mwenyeji, au vipachiko hatari kama vile. /proc mwenyeji au tundu la Docker. Kipengele kingine cha kuvutia cha Kubesec ni huduma ya onyesho inayopatikana mtandaoni, ambayo unaweza kupakia YAML na kuichanganua mara moja.

Fungua Wakala wa Sera

• Tovuti: www.openpolicagent.org
• Leseni: bure (Apache)

Dhana ya OPA (Wakala wa Sera Huria) ni kubatilisha sera za usalama na mbinu bora za usalama kutoka kwa jukwaa mahususi la wakati wa utekelezaji: Docker, Kubernetes, Mesosphere, OpenShift, au mchanganyiko wake wowote.

Kwa mfano, unaweza kupeleka OPA kama kidhibiti cha uandikishaji cha Kubernetes, ukikabidhi maamuzi ya usalama kwake. Kwa njia hii, wakala wa OPA anaweza kuthibitisha, kukataa, na hata kurekebisha maombi kwa njia ya ndege, kuhakikisha kwamba vigezo maalum vya usalama vinatimizwa. Sera za usalama za OPA zimeandikwa katika lugha yake ya umiliki ya DSL, Rego.

Kumbuka. tafsiri.: Tuliandika zaidi kuhusu OPA (na SIFFE) katika mambo haya.

Zana za kina za kibiashara za uchanganuzi wa usalama wa Kubernetes

Tuliamua kuunda kategoria tofauti kwa majukwaa ya kibiashara kwa sababu kwa kawaida hushughulikia maeneo mengi ya usalama. Wazo la jumla la uwezo wao linaweza kupatikana kutoka kwa meza:

* Uchunguzi wa hali ya juu na uchanganuzi wa baada ya kifo kamili mfumo wa utekaji nyara.

Usalama wa Aqua

• Tovuti: www.aquasec.com
• Leseni: biashara

Chombo hiki cha kibiashara kimeundwa kwa vyombo na mizigo ya kazi ya wingu. Inatoa:

• Kuchanganua picha kuunganishwa na sajili ya vyombo au bomba la CI/CD;
• Ulinzi wa wakati wa kukimbia na utafutaji wa mabadiliko katika vyombo na shughuli nyingine za tuhuma;
• Firewall ya asili ya chombo;
• Usalama kwa wasio na seva katika huduma za wingu;
• Jaribio la kufuata na ukaguzi pamoja na kumbukumbu za matukio.

Kumbuka. tafsiri.: Inafaa pia kuzingatia kuwa kuna sehemu ya bure ya bidhaa inayoitwa MicroScanner, ambayo hukuruhusu kuchanganua picha za kontena kwa udhaifu. Ulinganisho wa uwezo wake na matoleo yaliyolipwa yanawasilishwa meza hii.

Kibonge8

• Tovuti: capsule8.com
• Leseni: biashara

Capsule8 inaunganishwa katika miundombinu kwa kusakinisha kigunduzi kwenye nguzo ya ndani au ya wingu ya Kubernetes. Kigunduzi hiki hukusanya telemetry ya seva pangishi na mtandao, kikiunganisha na aina tofauti za mashambulizi.

Timu ya Capsule8 inaona kazi yake kama kutambua mapema na kuzuia mashambulizi kwa kutumia mpya (0-siku) udhaifu. Capsule8 inaweza kupakua sheria zilizosasishwa za usalama moja kwa moja kwa vigunduzi ili kukabiliana na matishio mapya na udhaifu wa programu.

Cavirin

• Tovuti: www.cavirin.com
• Leseni: biashara

Cavirin hufanya kazi kama mkandarasi wa upande wa kampuni kwa mashirika mbalimbali yanayohusika na viwango vya usalama. Sio tu kwamba inaweza kuchanganua picha, lakini pia inaweza kuunganishwa kwenye bomba la CI/CD, ikizuia picha zisizo za kawaida kabla ya kuingia kwenye hazina zilizofungwa.

Kitengo cha usalama cha Cavirin hutumia kujifunza kwa mashine ili kutathmini mkao wako wa usalama wa mtandao, kutoa vidokezo vya kuboresha usalama na kuboresha utiifu wa viwango vya usalama.

Kituo cha Amri za Usalama za Wingu la Google

• Tovuti: cloud.google.com/security-command-center
• Leseni: biashara

Kituo cha Amri za Usalama wa Wingu husaidia timu za usalama kukusanya data, kutambua vitisho na kuviondoa kabla ya kudhuru kampuni.

Kama jina linavyopendekeza, Google Cloud SCC ni paneli dhibiti iliyounganishwa inayoweza kujumuisha na kudhibiti ripoti mbalimbali za usalama, injini za uhasibu wa mali na mifumo ya usalama ya watu wengine kutoka chanzo kimoja, kilicho katikati.

API inayoweza kutumika inayotolewa na Google Cloud SCC hurahisisha kuunganisha matukio ya usalama kutoka vyanzo mbalimbali, kama vile Sysdig Secure (usalama wa kontena kwa programu asilia za wingu) au Falco (Usalama wa wakati wa utekelezaji wa Chanzo Huria).

Maarifa ya Tabaka (Qualys)

• Tovuti: layeredinsight.com
• Leseni: biashara

Layered Insight (sasa ni sehemu ya Qualys Inc) imejengwa juu ya dhana ya "usalama uliopachikwa." Baada ya kuchanganua taswira asili ili kubaini udhaifu kwa kutumia uchanganuzi wa takwimu na ukaguzi wa CVE, Layered Insight huibadilisha na kuweka picha yenye ala inayojumuisha wakala kama mfumo wa jozi.

Wakala huyu ana majaribio ya usalama ya wakati wa utekelezaji ili kuchanganua trafiki ya mtandao wa chombo, mtiririko wa I/O na shughuli za programu. Kwa kuongeza, inaweza kufanya ukaguzi wa ziada wa usalama uliobainishwa na msimamizi wa miundombinu au timu za DevOps.

NeuVector

• Tovuti: neuvector.com
• Leseni: biashara

NeuVector hukagua usalama wa kontena na hutoa ulinzi wakati wa kukimbia kwa kuchanganua shughuli za mtandao na tabia ya utumaji, na kuunda wasifu wa usalama wa kila chombo. Inaweza pia kuzuia vitisho yenyewe, ikitenga shughuli inayotiliwa shaka kwa kubadilisha sheria za mitaa za ngome.

Muunganisho wa mtandao wa NeuVector, unaojulikana kama Security Mesh, unaweza kufanya uchambuzi wa kina wa pakiti na uchujaji wa safu ya 7 kwa miunganisho yote ya mtandao kwenye wavu wa huduma.

StackRox

• Tovuti: www.stackrox.com
• Leseni: biashara

Jukwaa la usalama la kontena la StackRox hujitahidi kufunika mzunguko mzima wa maisha wa programu za Kubernetes katika kundi. Kama majukwaa mengine ya kibiashara kwenye orodha hii, StackRox hutengeneza wasifu wa wakati wa utekelezaji kulingana na tabia ya chombo kinachozingatiwa na huamsha kengele kiotomatiki kwa hitilafu zozote.

Zaidi ya hayo, StackRox huchanganua usanidi wa Kubernetes kwa kutumia Kubernetes CIS na vitabu vingine vya sheria ili kutathmini utiifu wa kontena.

Sysdig Salama

• Tovuti: sysdig.com/products/secure
• Leseni: biashara

Sysdig Secure hulinda programu katika kontena zima na mzunguko wa maisha wa Kubernetes. Yeye huchanganua picha vyombo, hutoa ulinzi wa wakati wa kukimbia kulingana na data ya kujifunza mashine, hufanya cream. utaalamu wa kutambua udhaifu, kuzuia vitisho, wachunguzi kufuata viwango vilivyowekwa na ukaguzi wa shughuli katika huduma ndogo ndogo.

Sysdig Secure inaunganishwa na zana za CI/CD kama vile Jenkins na hudhibiti picha zinazopakiwa kutoka kwa sajili za Docker, kuzuia picha hatari zisionekane katika toleo la umma. Pia hutoa usalama kamili wa wakati wa kukimbia, pamoja na:

• uwekaji wasifu wa wakati wa kukimbia unaotegemea ML na ugunduzi wa hitilafu;
• sera za wakati wa utekelezaji kulingana na matukio ya mfumo, API ya ukaguzi wa K8s, miradi ya pamoja ya jumuiya (FIM - ufuatiliaji wa uadilifu wa faili; udukuzi wa siri) na mfumo MITER AT&CK;
• majibu na utatuzi wa matukio.

Usalama wa Kontena Unaoweza Kulipishwa

• Tovuti: www.tenable.com/products/tenable-io/container-security
• Leseni: biashara

Kabla ya ujio wa kontena, Tenable ilijulikana sana katika tasnia kama kampuni ya Nessus, zana maarufu ya uwindaji wa hatari na ukaguzi wa usalama.

Tenable Container Security huongeza utaalamu wa usalama wa kompyuta wa kampuni ili kuunganisha bomba la CI/CD na hifadhidata za athari, vifurushi maalum vya kugundua programu hasidi, na mapendekezo ya kusuluhisha matishio ya usalama.

Twistlock (Mitandao ya Palo Alto)

• Tovuti: www.twistlock.com
• Leseni: biashara

Twistlock inajitangaza kama jukwaa linalolenga huduma za wingu na vyombo. Twistlock inasaidia watoa huduma mbalimbali wa wingu (AWS, Azure, GCP), waimbaji wa vyombo (Kubernetes, Mesospehere, OpenShift, Docker), nyakati za kukimbia zisizo na seva, mifumo ya matundu na zana za CI/CD.

Kando na mbinu za kawaida za usalama za kiwango cha biashara kama vile uunganishaji wa bomba la CI/CD au uchanganuzi wa picha, Twistlock hutumia ujifunzaji wa mashine kuunda mifumo ya tabia mahususi ya chombo na sheria za mtandao.

Wakati fulani uliopita, Twistlock ilinunuliwa na Palo Alto Networks, ambayo inamiliki miradi ya Evident.io na RedLock. Bado haijajulikana jinsi majukwaa haya matatu yataunganishwa ndani PRISMA kutoka Palo Alto.

Saidia kujenga katalogi bora zaidi ya zana za usalama za Kubernetes!

Tunajitahidi kufanya orodha hii kamili iwezekanavyo, na kwa hili tunahitaji msaada wako! Wasiliana nasi (@sysdig) ikiwa una zana nzuri akilini ambayo inastahili kujumuishwa katika orodha hii, au utapata hitilafu/maelezo yaliyopitwa na wakati.

Unaweza pia kujiunga na yetu jarida la kila mwezi pamoja na habari kutoka kwa mfumo ikolojia wa asili wa wingu na hadithi kuhusu miradi ya kuvutia kutoka kwa ulimwengu wa usalama wa Kubernetes.

PS kutoka kwa mtafsiri

Soma pia kwenye blogi yetu:

• «Utangulizi wa Sera za Mtandao wa Kubernetes kwa Wataalamu wa Usalama";
• «Docker na Kubernetes katika mazingira nyeti kwa usalama";
• «Mbinu 9 Bora za Usalama wa Kubernetes";
• «Njia 11 za (Si) Kuwa Mwathirika wa Udukuzi wa Kubernetes";
• «OPA na SIFFE ni miradi miwili mipya katika CNCF ya usalama wa programu ya wingu'.

Chanzo: mapenzi.com