குறிப்பு. மொழிபெயர்: Kubernetes-அடிப்படையிலான உள்கட்டமைப்பில் பாதுகாப்பைப் பற்றி நீங்கள் யோசிக்கிறீர்கள் என்றால், Sysdig இன் இந்த சிறந்த கண்ணோட்டம் தற்போதைய தீர்வுகளை விரைவாகப் பார்ப்பதற்கு ஒரு சிறந்த தொடக்க புள்ளியாகும். இது நன்கு அறியப்பட்ட சந்தை வீரர்களின் சிக்கலான அமைப்புகள் மற்றும் ஒரு குறிப்பிட்ட சிக்கலைத் தீர்க்கும் மிகவும் எளிமையான பயன்பாடுகள் இரண்டையும் உள்ளடக்கியது. கருத்துக்களில், எப்போதும் போல, இந்தக் கருவிகளைப் பயன்படுத்திய உங்கள் அனுபவத்தைப் பற்றி அறிந்து மற்ற திட்டங்களுக்கான இணைப்புகளைப் பார்ப்பதில் நாங்கள் மகிழ்ச்சியடைவோம்.
குபெர்னெட்ஸ் பாதுகாப்பு மென்பொருள் தயாரிப்புகள்... அவற்றில் பல உள்ளன, ஒவ்வொன்றும் அதன் சொந்த இலக்குகள், நோக்கம் மற்றும் உரிமங்கள்.
அதனால்தான் இந்தப் பட்டியலை உருவாக்கி, வெவ்வேறு விற்பனையாளர்களிடமிருந்து திறந்த மூல திட்டங்கள் மற்றும் வணிகத் தளங்கள் இரண்டையும் சேர்க்க முடிவு செய்துள்ளோம். உங்கள் குறிப்பிட்ட குபெர்னெட்ஸ் பாதுகாப்புத் தேவைகளின் அடிப்படையில் மிகவும் ஆர்வமுள்ளவற்றைக் கண்டறிந்து சரியான திசையில் உங்களைச் சுட்டிக்காட்ட இது உதவும் என்று நம்புகிறோம்.
வகை
பட்டியலை வழிசெலுத்துவதை எளிதாக்க, கருவிகள் முக்கிய செயல்பாடு மற்றும் பயன்பாட்டின் மூலம் ஒழுங்கமைக்கப்படுகின்றன. பின்வரும் பிரிவுகள் பெறப்பட்டன:
குபெர்னெட்ஸ் பட ஸ்கேனிங் மற்றும் நிலையான பகுப்பாய்வு;
ஆங்கர் கண்டெய்னர் படங்களை பகுப்பாய்வு செய்கிறது மற்றும் பயனர் வரையறுக்கப்பட்ட கொள்கைகளின் அடிப்படையில் பாதுகாப்பு சோதனைகளை அனுமதிக்கிறது.
CVE தரவுத்தளத்தில் இருந்து அறியப்பட்ட பாதிப்புகளுக்கு கண்டெய்னர் படங்களை வழக்கமான ஸ்கேன் செய்வதோடு, ஆங்கர் அதன் ஸ்கேனிங் கொள்கையின் ஒரு பகுதியாக பல கூடுதல் சோதனைகளைச் செய்கிறது: Dockerfile, நற்சான்றிதழ் கசிவுகள், பயன்படுத்தப்படும் நிரலாக்க மொழிகளின் தொகுப்புகள் (npm, maven போன்றவை. .), மென்பொருள் உரிமங்கள் மற்றும் பல .
க்ளேர்
வலைத்தளம்: coreos.com/clair(இப்போது Red Hat இன் பயிற்சியின் கீழ்)
உரிமம்: இலவசம் (அப்பாச்சி)
படத்தை ஸ்கேனிங்கிற்கான முதல் திறந்த மூல திட்டங்களில் கிளேர் ஒன்றாகும். இது குவே பட பதிவேட்டின் பின்னால் உள்ள பாதுகாப்பு ஸ்கேனர் என்று பரவலாக அறியப்படுகிறது (CoreOS இலிருந்தும் - தோராயமாக மொழிபெயர்ப்பு). Debian, Red Hat அல்லது Ubuntu பாதுகாப்புக் குழுக்களால் பராமரிக்கப்படும் Linux விநியோக-குறிப்பிட்ட பாதிப்புகளின் பட்டியல்கள் உட்பட பல்வேறு வகையான ஆதாரங்களில் இருந்து CVE தகவலை Clair சேகரிக்க முடியும்.
ஆங்கரைப் போலல்லாமல், Clair முதன்மையாக பாதிப்புகளைக் கண்டறிவதிலும், CVEக்களுடன் தரவைப் பொருத்துவதிலும் கவனம் செலுத்துகிறது. இருப்பினும், செருகுநிரல் இயக்கிகளைப் பயன்படுத்தி செயல்பாடுகளை விரிவாக்குவதற்கு தயாரிப்பு பயனர்களுக்கு சில வாய்ப்புகளை வழங்குகிறது.
Dagda அறியப்பட்ட பாதிப்புகள், ட்ரோஜான்கள், வைரஸ்கள், தீம்பொருள் மற்றும் பிற அச்சுறுத்தல்களுக்கான கொள்கலன் படங்களின் நிலையான பகுப்பாய்வு செய்கிறது.
இரண்டு குறிப்பிடத்தக்க அம்சங்கள் தாக்டாவை மற்ற ஒத்த கருவிகளிலிருந்து வேறுபடுத்துகின்றன:
இது செய்தபின் ஒருங்கிணைக்கிறது ClamAV உருவாகிறது, கண்டெய்னர் படங்களை ஸ்கேன் செய்வதற்கான கருவியாக மட்டுமல்லாமல், வைரஸ் தடுப்பு மருந்தாகவும் செயல்படுகிறது.
டோக்கர் டீமானிடமிருந்து நிகழ்நேர நிகழ்வுகளைப் பெறுவதன் மூலமும், ஃபால்கோவுடன் ஒருங்கிணைப்பதன் மூலமும் இயக்க நேர பாதுகாப்பை வழங்குகிறது. (கீழே பார்) கொள்கலன் இயங்கும் போது பாதுகாப்பு நிகழ்வுகளை சேகரிக்க.
உரிமம்: இலவசம் (அப்பாச்சி), ஆனால் JFrog Xray இலிருந்து தரவு தேவை (வணிக தயாரிப்பு)
KubeXray, Kubernetes API சேவையகத்திலிருந்து நிகழ்வுகளைக் கேட்கிறது, மேலும் JFrog Xray இலிருந்து மெட்டாடேட்டாவைப் பயன்படுத்தி, தற்போதைய கொள்கையுடன் பொருந்தக்கூடிய காய்கள் மட்டுமே தொடங்கப்படுவதை உறுதி செய்கிறது.
KubeXray புதிய அல்லது புதுப்பிக்கப்பட்ட கண்டெய்னர்களை வரிசைப்படுத்தல்களில் தணிக்கை செய்வது மட்டுமல்லாமல் (குபெர்னெட்ஸில் உள்ள சேர்க்கை கட்டுப்படுத்தியைப் போன்றது), ஆனால் புதிய பாதுகாப்புக் கொள்கைகளுக்கு இணங்க இயங்கும் கொள்கலன்களைச் சரிபார்க்கிறது, பாதிக்கப்படக்கூடிய படங்களைக் குறிப்பிடும் ஆதாரங்களை நீக்குகிறது.
Snyk என்பது ஒரு அசாதாரண பாதிப்பு ஸ்கேனர் ஆகும், இது குறிப்பாக வளர்ச்சி செயல்முறையை குறிவைக்கிறது மற்றும் டெவலப்பர்களுக்கான "அத்தியாவசிய தீர்வாக" விளம்பரப்படுத்தப்படுகிறது.
Snyk நேரடியாக குறியீடு களஞ்சியங்களுடன் இணைக்கிறது, திட்ட மேனிஃபெஸ்டைப் பாகுபடுத்துகிறது மற்றும் நேரடி மற்றும் மறைமுக சார்புகளுடன் இறக்குமதி செய்யப்பட்ட குறியீட்டை பகுப்பாய்வு செய்கிறது. Snyk பல பிரபலமான நிரலாக்க மொழிகளை ஆதரிக்கிறது மற்றும் மறைக்கப்பட்ட உரிம அபாயங்களை அடையாளம் காண முடியும்.
டிரிவி என்பது சிஐ/சிடி பைப்லைனில் எளிதாக ஒருங்கிணைக்கும் கொள்கலன்களுக்கான எளிய ஆனால் சக்திவாய்ந்த பாதிப்பு ஸ்கேனர் ஆகும். அதன் குறிப்பிடத்தக்க அம்சம் அதன் நிறுவல் மற்றும் செயல்பாட்டின் எளிமை: பயன்பாடு ஒரு பைனரியைக் கொண்டுள்ளது மற்றும் தரவுத்தளத்தை அல்லது கூடுதல் நூலகங்களை நிறுவ தேவையில்லை.
ட்ரிவியின் எளிமையின் எதிர்மறையானது, JSON வடிவத்தில் முடிவுகளை எவ்வாறு அலசுவது மற்றும் அனுப்புவது என்பதை நீங்கள் கண்டுபிடிக்க வேண்டும், இதனால் மற்ற குபெர்னெட்ஸ் பாதுகாப்பு கருவிகள் அவற்றைப் பயன்படுத்த முடியும்.
ஃபால்கோ என்பது கிளவுட் இயக்க நேர சூழல்களைப் பாதுகாப்பதற்கான கருவிகளின் தொகுப்பாகும். திட்ட குடும்பத்தின் ஒரு பகுதி சி.என்.சி.எஃப்.
Sysdig இன் Linux கர்னல்-நிலை கருவி மற்றும் கணினி அழைப்பு விவரக்குறிப்பைப் பயன்படுத்தி, Falco உங்களை கணினி நடத்தையில் ஆழமாக மூழ்கடிக்க அனுமதிக்கிறது. அதன் இயக்க நேர விதிகள் எஞ்சின் பயன்பாடுகள், கொள்கலன்கள், அடிப்படை ஹோஸ்ட் மற்றும் குபெர்னெட்ஸ் ஆர்கெஸ்ட்ரேட்டரில் சந்தேகத்திற்குரிய செயல்பாட்டைக் கண்டறியும் திறன் கொண்டது.
இந்த நோக்கங்களுக்காக Kubernetes முனைகளில் சிறப்பு முகவர்களைப் பயன்படுத்துவதன் மூலம் Falco இயக்க நேரம் மற்றும் அச்சுறுத்தல் கண்டறிதலில் முழுமையான வெளிப்படைத்தன்மையை வழங்குகிறது. இதன் விளைவாக, கொள்கலன்களில் மூன்றாம் தரப்பு குறியீட்டை அறிமுகப்படுத்துவதன் மூலமோ அல்லது சைட்கார் கொள்கலன்களைச் சேர்ப்பதன் மூலமோ அவற்றை மாற்ற வேண்டிய அவசியமில்லை.
இயக்க நேரத்திற்கான லினக்ஸ் பாதுகாப்பு கட்டமைப்புகள்
லினக்ஸ் கர்னலுக்கான இந்த நேட்டிவ் ஃப்ரேம்வொர்க்குகள் பாரம்பரிய அர்த்தத்தில் “குபெர்னெட்ஸ் பாதுகாப்பு கருவிகள்” அல்ல, ஆனால் அவை குபெர்னெட்ஸ் பாட் பாதுகாப்புக் கொள்கையில் (பிஎஸ்பி) சேர்க்கப்பட்டுள்ள இயக்க நேர பாதுகாப்பின் சூழலில் ஒரு முக்கிய அங்கமாக இருப்பதால் குறிப்பிடத் தக்கது.
AppArmor கொள்கலனில் இயங்கும் செயல்முறைகளுக்கு பாதுகாப்பு சுயவிவரத்தை இணைக்கிறது, கோப்பு முறைமை சலுகைகளை வரையறுக்கிறது, பிணைய அணுகல் விதிகள், நூலகங்களை இணைத்தல் போன்றவை. இது கட்டாய அணுகல் கட்டுப்பாட்டின் (MAC) அடிப்படையிலான அமைப்பு. வேறு வார்த்தைகளில் கூறுவதானால், இது தடைசெய்யப்பட்ட செயல்களைத் தடுக்கிறது.
பாதுகாப்பு மேம்படுத்தப்பட்ட லினக்ஸ் (இது SELinux) என்பது லினக்ஸ் கர்னலில் உள்ள மேம்பட்ட பாதுகாப்பு தொகுதி ஆகும், இது AppArmor ஐப் போன்றது மற்றும் பெரும்பாலும் அதனுடன் ஒப்பிடப்படுகிறது. சக்தி, நெகிழ்வுத்தன்மை மற்றும் தனிப்பயனாக்கம் ஆகியவற்றில் SELinux AppArmor ஐ விட உயர்ந்தது. அதன் குறைபாடுகள் நீண்ட கற்றல் வளைவு மற்றும் அதிகரித்த சிக்கலானது.
Seccomp மற்றும் seccomp-bpf ஆனது சிஸ்டம் அழைப்புகளை வடிகட்டவும், அடிப்படை OS க்கு ஆபத்தானவை மற்றும் பயனர் பயன்பாடுகளின் இயல்பான செயல்பாட்டிற்கு தேவையில்லாதவற்றை செயல்படுத்துவதைத் தடுக்கவும் உங்களை அனுமதிக்கிறது. கன்டெய்னர்களின் பிரத்தியேகங்களை அறியாத போதிலும், சில வழிகளில் Seccomp ஃபால்கோவைப் போன்றது.
சிஸ்டிக் என்பது லினக்ஸ் சிஸ்டங்களை பகுப்பாய்வு செய்வதற்கும், கண்டறிவதற்கும் மற்றும் பிழைத்திருத்தம் செய்வதற்கும் ஒரு முழுமையான கருவியாகும் (விண்டோஸ் மற்றும் மேகோஸில் வேலை செய்கிறது, ஆனால் வரையறுக்கப்பட்ட செயல்பாடுகளுடன்). இது விரிவான தகவல் சேகரிப்பு, சரிபார்ப்பு மற்றும் தடயவியல் ஆய்வுக்கு பயன்படுத்தப்படலாம். (தடவியல்) அடிப்படை அமைப்பு மற்றும் அதில் இயங்கும் எந்த கொள்கலன்களும்.
சிஸ்டிக் கன்டெய்னர் ரன்டைம்கள் மற்றும் குபெர்னெட்ஸ் மெட்டாடேட்டாவை ஆதரிக்கிறது, இது சேகரிக்கும் அனைத்து கணினி நடத்தை தகவல்களுக்கும் கூடுதல் பரிமாணங்கள் மற்றும் லேபிள்களைச் சேர்க்கிறது. Sysdig ஐப் பயன்படுத்தி குபெர்னெட்ஸ் கிளஸ்டரை பகுப்பாய்வு செய்ய பல வழிகள் உள்ளன: நீங்கள் இதன் மூலம் பாயிண்ட்-இன்-டைம் கேப்சரைச் செய்யலாம். kubectl பிடிப்பு அல்லது செருகுநிரலைப் பயன்படுத்தி ncurses-அடிப்படையிலான ஊடாடும் இடைமுகத்தைத் தொடங்கவும் kubectl dig.
Aporeto "நெட்வொர்க் மற்றும் உள்கட்டமைப்பிலிருந்து பிரிக்கப்பட்ட பாதுகாப்பு" வழங்குகிறது. இதன் பொருள், குபெர்னெட்ஸ் சேவைகள் உள்ளூர் ஐடியைப் பெறுவது மட்டுமல்லாமல் (அதாவது, குபெர்னெட்ஸில் உள்ள சேவைக் கணக்கு), ஆனால் ஒரு உலகளாவிய ஐடி/கைரேகையைப் பெறலாம், இது வேறு எந்த சேவையுடனும் பாதுகாப்பாகவும் பரஸ்பரமாகவும் தொடர்பு கொள்ள பயன்படுகிறது, எடுத்துக்காட்டாக, OpenShift கிளஸ்டரில்.
Aporeto ஆனது Kubernetes/கன்டெய்னர்களுக்கு மட்டுமின்றி, ஹோஸ்ட்கள், கிளவுட் செயல்பாடுகள் மற்றும் பயனர்களுக்கும் தனித்துவமான ஐடியை உருவாக்கும் திறன் கொண்டது. இந்த அடையாளங்காட்டிகள் மற்றும் நிர்வாகியால் அமைக்கப்பட்ட நெட்வொர்க் பாதுகாப்பு விதிகளின் தொகுப்பைப் பொறுத்து, தகவல்தொடர்புகள் அனுமதிக்கப்படும் அல்லது தடுக்கப்படும்.
Calico பொதுவாக ஒரு கொள்கலன் ஆர்கெஸ்ட்ரேட்டர் நிறுவலின் போது பயன்படுத்தப்படுகிறது, இது கொள்கலன்களை ஒன்றோடொன்று இணைக்கும் ஒரு மெய்நிகர் நெட்வொர்க்கை உருவாக்க உங்களை அனுமதிக்கிறது. இந்த அடிப்படை நெட்வொர்க் செயல்பாட்டிற்கு கூடுதலாக, காலிகோ திட்டம் குபெர்னெட்ஸ் நெட்வொர்க் கொள்கைகள் மற்றும் அதன் சொந்த நெட்வொர்க் பாதுகாப்பு சுயவிவரங்களுடன் செயல்படுகிறது, எண்ட்பாயிண்ட் ACLs (அணுகல் கட்டுப்பாடு பட்டியல்கள்) மற்றும் நுழைவு மற்றும் வெளியேறும் போக்குவரத்திற்கான சிறுகுறிப்பு அடிப்படையிலான பிணைய பாதுகாப்பு விதிகளை ஆதரிக்கிறது.
Cilium கொள்கலன்களுக்கான ஃபயர்வாலாக செயல்படுகிறது மற்றும் குபெர்னெட்ஸ் மற்றும் மைக்ரோ சர்வீஸ் பணிச்சுமைகளுக்கு ஏற்றவாறு பிணைய பாதுகாப்பு அம்சங்களை வழங்குகிறது. Cilium ஆனது BPF (Berkeley Packet Filter) எனப்படும் புதிய லினக்ஸ் கர்னல் தொழில்நுட்பத்தைப் பயன்படுத்தி தரவை வடிகட்ட, கண்காணிக்க, திசைதிருப்ப மற்றும் சரிசெய்கிறது.
டோக்கர் அல்லது குபெர்னெட்ஸ் லேபிள்கள் மற்றும் மெட்டாடேட்டாவைப் பயன்படுத்தி கண்டெய்னர் ஐடிகளின் அடிப்படையில் நெட்வொர்க் அணுகல் கொள்கைகளை வரிசைப்படுத்த Cilium திறன் கொண்டது. சிலியம் HTTP அல்லது gRPC போன்ற பல்வேறு அடுக்கு 7 நெறிமுறைகளைப் புரிந்துகொண்டு வடிகட்டுகிறது, எடுத்துக்காட்டாக, இரண்டு குபெர்னெட்ஸ் வரிசைப்படுத்தல்களுக்கு இடையில் அனுமதிக்கப்படும் REST அழைப்புகளின் தொகுப்பை வரையறுக்க உங்களை அனுமதிக்கிறது.
இயங்குதளம்-சுயாதீனமான கட்டுப்பாட்டு விமானத்தைப் பயன்படுத்துவதன் மூலம் சேவை மெஷ் முன்னுதாரணத்தை செயல்படுத்துவதில் இஸ்டியோ பரவலாக அறியப்படுகிறது மற்றும் மாறும் வகையில் உள்ளமைக்கக்கூடிய என்வாய் ப்ராக்ஸிகள் மூலம் நிர்வகிக்கப்படும் அனைத்து சேவை போக்குவரத்தையும் வழிநடத்துகிறது. பல்வேறு நெட்வொர்க் பாதுகாப்பு உத்திகளைச் செயல்படுத்த அனைத்து மைக்ரோ சர்வீஸ்கள் மற்றும் கொள்கலன்களின் இந்த மேம்பட்ட பார்வையை இஸ்டியோ பயன்படுத்திக் கொள்கிறது.
மைக்ரோ சர்வீஸ்களுக்கு இடையேயான தகவல்தொடர்புகளை HTTPS க்கு தானாக மேம்படுத்த வெளிப்படையான TLS குறியாக்கம் மற்றும் கிளஸ்டரில் உள்ள பல்வேறு பணிச்சுமைகளுக்கு இடையே தகவல் பரிமாற்றத்தை அனுமதிக்க/மறுக்க தனியுரிம RBAC அடையாளம் மற்றும் அங்கீகார அமைப்பு ஆகியவை இஸ்டியோவின் நெட்வொர்க் பாதுகாப்பு திறன்களில் அடங்கும்.
குறிப்பு. மொழிபெயர்: இஸ்டியோவின் பாதுகாப்பு-மையப்படுத்தப்பட்ட திறன்களைப் பற்றி மேலும் அறிய, படிக்கவும் இந்த கட்டுரையில்.
"குபெர்னெட்ஸ் ஃபயர்வால்" என்று அழைக்கப்படும் இந்த தீர்வு பிணைய பாதுகாப்பிற்கான பூஜ்ஜிய நம்பிக்கை அணுகுமுறையை வலியுறுத்துகிறது.
பிற நேட்டிவ் குபெர்னெட்ஸ் நெட்வொர்க்கிங் தீர்வுகளைப் போலவே, டைகேராவும் கிளஸ்டரில் உள்ள பல்வேறு சேவைகள் மற்றும் பொருட்களை அடையாளம் காண மெட்டாடேட்டாவை நம்பியுள்ளது மற்றும் இயக்க நேர சிக்கல் கண்டறிதல், தொடர்ச்சியான இணக்கச் சரிபார்ப்பு மற்றும் மல்டி கிளவுட் அல்லது ஹைப்ரிட் மோனோலிதிக்-கன்டெய்னரைஸ்டு உள்கட்டமைப்புகளுக்கான நெட்வொர்க் தெரிவுநிலை ஆகியவற்றை வழங்குகிறது.
Trireme-Kubernetes என்பது Kubernetes நெட்வொர்க் கொள்கைகள் விவரக்குறிப்பின் எளிய மற்றும் நேரடியான செயலாக்கமாகும். மிகவும் குறிப்பிடத்தக்க அம்சம் என்னவென்றால் - ஒத்த குபெர்னெட்ஸ் நெட்வொர்க் பாதுகாப்பு தயாரிப்புகளைப் போலல்லாமல் - கண்ணியை ஒருங்கிணைக்க மத்திய கட்டுப்பாட்டு விமானம் தேவையில்லை. இது தீர்வை அற்பமாக அளவிடக்கூடியதாக ஆக்குகிறது. ட்ரைரீமில், ஹோஸ்டின் TCP/IP ஸ்டேக்குடன் நேரடியாக இணைக்கும் ஒவ்வொரு முனையிலும் ஒரு முகவரை நிறுவுவதன் மூலம் இது அடையப்படுகிறது.
Grafeas என்பது மென்பொருள் விநியோகச் சங்கிலி தணிக்கை மற்றும் நிர்வாகத்திற்கான ஒரு திறந்த மூல API ஆகும். அடிப்படை மட்டத்தில், கிராஃபியாஸ் என்பது மெட்டாடேட்டா மற்றும் தணிக்கை கண்டுபிடிப்புகளை சேகரிப்பதற்கான ஒரு கருவியாகும். ஒரு நிறுவனத்திற்குள் பாதுகாப்பு சிறந்த நடைமுறைகளுடன் இணங்குவதைக் கண்காணிக்க இது பயன்படுத்தப்படலாம்.
இந்த மையப்படுத்தப்பட்ட உண்மை ஆதாரம் போன்ற கேள்விகளுக்கு பதிலளிக்க உதவுகிறது:
ஒரு குறிப்பிட்ட கொள்கலனை சேகரித்து கையெழுத்திட்டது யார்?
பாதுகாப்புக் கொள்கைக்குத் தேவையான அனைத்து பாதுகாப்பு ஸ்கேன்கள் மற்றும் காசோலைகளை இது கடந்துவிட்டதா? எப்பொழுது? முடிவுகள் என்ன?
அதை உற்பத்திக்கு அனுப்பியது யார்? வரிசைப்படுத்தலின் போது என்ன குறிப்பிட்ட அளவுருக்கள் பயன்படுத்தப்பட்டன?
In-toto என்பது முழு மென்பொருள் விநியோகச் சங்கிலியின் ஒருமைப்பாடு, அங்கீகாரம் மற்றும் தணிக்கை ஆகியவற்றை வழங்க வடிவமைக்கப்பட்ட ஒரு கட்டமைப்பாகும். ஒரு உள்கட்டமைப்பில் இன்-டூட்டோவைப் பயன்படுத்தும்போது, பைப்லைனில் உள்ள பல்வேறு படிகள் (களஞ்சியம், CI/CD கருவிகள், QA கருவிகள், கலைப்பொருள் சேகரிப்பாளர்கள் போன்றவை) மற்றும் பயனர்கள் (பொறுப்பான நபர்கள்) ஆகியவற்றை விவரிக்கும் திட்டம் முதலில் வரையறுக்கப்படுகிறது. அவற்றைத் தொடங்குங்கள்.
திட்டத்தின் செயல்பாட்டினை இன்-டூட்டோ கண்காணிக்கிறது, சங்கிலியில் உள்ள ஒவ்வொரு பணியும் அங்கீகரிக்கப்பட்ட பணியாளர்களால் மட்டுமே சரியாகச் செய்யப்படுகிறது என்பதையும், இயக்கத்தின் போது தயாரிப்புடன் அங்கீகரிக்கப்படாத கையாளுதல்கள் எதுவும் மேற்கொள்ளப்படவில்லை என்பதையும் சரிபார்க்கிறது.
போர்டீரிஸ் என்பது குபெர்னெட்டஸின் சேர்க்கை கட்டுப்பாட்டாளர்; உள்ளடக்க நம்பிக்கைச் சோதனைகளைச் செயல்படுத்தப் பயன்படுகிறது. போர்டீரிஸ் ஒரு சேவையகத்தைப் பயன்படுத்துகிறார் நோட்டரி(இறுதியில் அவரைப் பற்றி எழுதினோம் இந்த கட்டுரை - தோராயமாக மொழிபெயர்ப்பு) நம்பகமான மற்றும் கையொப்பமிடப்பட்ட கலைப்பொருட்களை (அதாவது அங்கீகரிக்கப்பட்ட கொள்கலன் படங்கள்) சரிபார்க்க உண்மையின் ஆதாரமாக.
Kubernetes இல் பணிச்சுமை உருவாக்கப்படும்போது அல்லது மாற்றப்படும்போது, கோரப்பட்ட கொள்கலன் படங்களுக்கான கையொப்பம் தகவல் மற்றும் உள்ளடக்க நம்பிக்கைக் கொள்கையை Portieris பதிவிறக்கம் செய்து, தேவைப்பட்டால், JSON API ஆப்ஜெக்ட்டில் அந்த படங்களின் கையொப்பமிடப்பட்ட பதிப்புகளை இயக்கும் போது மாற்றங்களைச் செய்கிறது.
வால்ட் என்பது தனிப்பட்ட தகவல்களைச் சேமிப்பதற்கான பாதுகாப்பான தீர்வாகும்: கடவுச்சொற்கள், OAuth டோக்கன்கள், PKI சான்றிதழ்கள், அணுகல் கணக்குகள், குபெர்னெட்ஸ் ரகசியங்கள் போன்றவை. எபிமரல் பாதுகாப்பு டோக்கன்களை குத்தகைக்கு எடுப்பது அல்லது முக்கிய சுழற்சியை ஒழுங்கமைப்பது போன்ற பல மேம்பட்ட அம்சங்களை வால்ட் ஆதரிக்கிறது.
ஹெல்ம் விளக்கப்படத்தைப் பயன்படுத்தி, குபெர்னெட்ஸ் கிளஸ்டரில் வால்ட் ஒரு புதிய வரிசைப்படுத்துதலாக கன்சல் பின்தள சேமிப்பகமாக பயன்படுத்தப்படலாம். இது ServiceAccount டோக்கன்கள் போன்ற நேட்டிவ் குபெர்னெட்ஸ் ஆதாரங்களை ஆதரிக்கிறது மேலும் குபெர்னெட்ஸ் ரகசியங்களுக்கான இயல்புநிலை ஸ்டோராகவும் செயல்பட முடியும்.
குறிப்பு. மொழிபெயர்: மூலம், நேற்று தான் HashiCorp, வால்ட்டை உருவாக்குகிறது, Kubernetes இல் வால்ட்டைப் பயன்படுத்துவதற்கான சில மேம்பாடுகளை அறிவித்தது, குறிப்பாக அவை ஹெல்ம் விளக்கப்படத்துடன் தொடர்புடையவை. மேலும் படிக்கவும் வலைப்பதிவு ராஸ்ரபோட்ச்சிகா.
க்ளஸ்டர் கூறுகள் (etcd, API, கட்டுப்படுத்தி மேலாளர், முதலியன), சந்தேகத்திற்குரிய கோப்பு அணுகல் உரிமைகள், பாதுகாப்பற்ற கணக்குகள் அல்லது திறந்த போர்ட்கள், ஆதார ஒதுக்கீடுகள், DoS தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பதற்காக API அழைப்புகளின் எண்ணிக்கையைக் கட்டுப்படுத்துவதற்கான அமைப்புகள் ஆகியவற்றில் பாதுகாப்பற்ற உள்ளமைவு அமைப்புகளை Kube-bench தேடுகிறது. , முதலியன
குபெர்னெட்டஸ் கிளஸ்டர்களில் சாத்தியமான பாதிப்புகளை (ரிமோட் குறியீடு செயல்படுத்துதல் அல்லது தரவு வெளிப்படுத்துதல் போன்றவை) Kube-hunter வேட்டையாடுகிறது. க்யூப்-ஹன்டரை ரிமோட் ஸ்கேனராக இயக்கலாம் - அப்படியானால், மூன்றாம் தரப்பு தாக்குபவர்களின் பார்வையில் இருந்து கிளஸ்டரை மதிப்பிடும் - அல்லது கிளஸ்டருக்குள் ஒரு பாடாக.
Kube-hunter இன் ஒரு தனித்துவமான அம்சம் அதன் “செயலில் வேட்டையாடும்” பயன்முறையாகும், இதன் போது இது சிக்கல்களைப் புகாரளிப்பது மட்டுமல்லாமல், அதன் செயல்பாட்டிற்கு தீங்கு விளைவிக்கும் இலக்கு கிளஸ்டரில் கண்டறியப்பட்ட பாதிப்புகளைப் பயன்படுத்தவும் முயற்சிக்கிறது. எனவே எச்சரிக்கையுடன் பயன்படுத்தவும்!
Kubeaudit என்பது பல்வேறு பாதுகாப்புச் சிக்கல்களுக்கு Kubernetes உள்ளமைவைத் தணிக்கை செய்ய முதலில் Shopify இல் உருவாக்கப்பட்ட ஒரு கன்சோல் கருவியாகும். எடுத்துக்காட்டாக, கட்டுப்பாடில்லாமல் இயங்கும், ரூட்டாக இயங்கும், சிறப்புரிமைகளை தவறாகப் பயன்படுத்துதல் அல்லது இயல்புநிலை சேவைக் கணக்கைப் பயன்படுத்துதல் போன்ற கண்டெய்னர்களைக் கண்டறிய இது உதவுகிறது.
Kubeaudit மற்ற சுவாரஸ்யமான அம்சங்களைக் கொண்டுள்ளது. எடுத்துக்காட்டாக, இது உள்ளூர் YAML கோப்புகளைப் பகுப்பாய்வு செய்யலாம், பாதுகாப்புச் சிக்கல்களுக்கு வழிவகுக்கும் உள்ளமைவு குறைபாடுகளைக் கண்டறிந்து அவற்றைத் தானாகவே சரிசெய்யலாம்.
Kubesec என்பது ஒரு சிறப்புக் கருவியாகும், இது Kubernetes ஆதாரங்களை விவரிக்கும் YAML கோப்புகளை நேரடியாக ஸ்கேன் செய்து, பாதுகாப்பைப் பாதிக்கக்கூடிய பலவீனமான அளவுருக்களைத் தேடுகிறது.
எடுத்துக்காட்டாக, இது ஒரு பாட்க்கு வழங்கப்பட்ட அதிகப்படியான சலுகைகள் மற்றும் அனுமதிகளைக் கண்டறியும், இயல்புநிலை பயனராக ரூட்டுடன் ஒரு கொள்கலனை இயக்குதல், ஹோஸ்டின் நெட்வொர்க் பெயர்வெளியுடன் இணைத்தல் அல்லது போன்ற ஆபத்தான மவுண்ட்கள் /proc ஹோஸ்ட் அல்லது டோக்கர் சாக்கெட். Kubesec இன் மற்றொரு சுவாரஸ்யமான அம்சம் ஆன்லைனில் கிடைக்கும் டெமோ சேவையாகும், இதில் நீங்கள் YAML ஐ பதிவேற்றி உடனடியாக பகுப்பாய்வு செய்யலாம்.
OPA (Open Policy Agent) கருத்து என்பது ஒரு குறிப்பிட்ட இயக்க நேர தளத்திலிருந்து பாதுகாப்பு கொள்கைகள் மற்றும் பாதுகாப்பு சிறந்த நடைமுறைகளை துண்டிப்பதாகும்: Docker, Kubernetes, Mesosphere, OpenShift அல்லது அதன் கலவையாகும்.
எடுத்துக்காட்டாக, குபெர்னெட்ஸ் அட்மிஷன் கன்ட்ரோலருக்கான பின்தளமாக OPA ஐப் பயன்படுத்தலாம், பாதுகாப்பு முடிவுகளை அதற்கு வழங்கலாம். இந்த வழியில், OPA முகவர் குறிப்பிட்ட பாதுகாப்பு அளவுருக்கள் பூர்த்தி செய்யப்படுவதை உறுதிசெய்து, பறக்கும்போது கோரிக்கைகளை சரிபார்க்கலாம், நிராகரிக்கலாம் மற்றும் மாற்றலாம். OPA இன் பாதுகாப்புக் கொள்கைகள் அதன் தனியுரிம DSL மொழியான ரெகோவில் எழுதப்பட்டுள்ளன.
குறிப்பு. மொழிபெயர்: OPA (மற்றும் SPIFFE) பற்றி மேலும் எழுதினோம் இந்த பொருள்.
குபெர்னெட்ஸ் பாதுகாப்பு பகுப்பாய்வுக்கான விரிவான வணிகக் கருவிகள்
வணிகத் தளங்களுக்கான தனி வகையை உருவாக்க முடிவு செய்தோம், ஏனெனில் அவை பொதுவாக பல பாதுகாப்புப் பகுதிகளை உள்ளடக்கும். அவர்களின் திறன்களைப் பற்றிய பொதுவான யோசனையை அட்டவணையில் இருந்து பெறலாம்:
இந்த வணிகக் கருவி கொள்கலன்கள் மற்றும் கிளவுட் பணிச்சுமைகளுக்காக வடிவமைக்கப்பட்டுள்ளது. இது வழங்குகிறது:
கன்டெய்னர் ரெஜிஸ்ட்ரி அல்லது CI/CD பைப்லைனுடன் ஒருங்கிணைக்கப்பட்ட பட ஸ்கேனிங்;
கொள்கலன்களில் மாற்றங்கள் மற்றும் பிற சந்தேகத்திற்கிடமான செயல்பாடுகளுக்கான தேடலுடன் இயக்க நேர பாதுகாப்பு;
கொள்கலன்-சொந்த ஃபயர்வால்;
கிளவுட் சேவைகளில் சர்வர் இல்லாதவர்களுக்கான பாதுகாப்பு;
இணங்குதல் சோதனை மற்றும் தணிக்கை நிகழ்வு பதிவுடன் இணைந்து.
குறிப்பு. மொழிபெயர்: உள்ளன என்பதும் குறிப்பிடத்தக்கது என்று அழைக்கப்படும் பொருளின் இலவச கூறு மைக்ரோ ஸ்கேனர், இது பாதிப்புகளுக்கு கண்டெய்னர் படங்களை ஸ்கேன் செய்ய உங்களை அனுமதிக்கிறது. கட்டண பதிப்புகளுடன் அதன் திறன்களின் ஒப்பீடு வழங்கப்படுகிறது இந்த அட்டவணை.
லோக்கல் அல்லது கிளவுட் குபெர்னெட்ஸ் கிளஸ்டரில் டிடெக்டரை நிறுவுவதன் மூலம் காப்ஸ்யூல்8 உள்கட்டமைப்பில் ஒருங்கிணைக்கிறது. இந்த டிடெக்டர் ஹோஸ்ட் மற்றும் நெட்வொர்க் டெலிமெட்ரியை சேகரிக்கிறது, இது பல்வேறு வகையான தாக்குதல்களுடன் தொடர்புபடுத்துகிறது.
கேப்சூல்8 குழு அதன் பணியை முன்கூட்டியே கண்டறிதல் மற்றும் புதியவற்றைப் பயன்படுத்தி தாக்குதல்களைத் தடுப்பதாகும் (0-நாள்) பாதிப்புகள். புதிதாக கண்டுபிடிக்கப்பட்ட அச்சுறுத்தல்கள் மற்றும் மென்பொருள் பாதிப்புகளுக்கு பதிலளிக்கும் வகையில், கேப்சூல்8 மேம்படுத்தப்பட்ட பாதுகாப்பு விதிகளை டிடெக்டர்களுக்கு நேரடியாக பதிவிறக்கம் செய்யலாம்.
பாதுகாப்புத் தரங்களில் ஈடுபட்டுள்ள பல்வேறு ஏஜென்சிகளுக்கு கேவிரின் நிறுவனம் பக்க ஒப்பந்ததாரராக செயல்படுகிறது. இது படங்களை ஸ்கேன் செய்வது மட்டுமல்லாமல், CI/CD பைப்லைனிலும் ஒருங்கிணைத்து, மூடிய களஞ்சியங்களுக்குள் நுழைவதற்கு முன் தரமற்ற படங்களைத் தடுக்கும்.
கேவிரின் பாதுகாப்புத் தொகுப்பு உங்கள் இணையப் பாதுகாப்பு நிலையை மதிப்பிடுவதற்கு இயந்திரக் கற்றலைப் பயன்படுத்துகிறது, பாதுகாப்பை மேம்படுத்துவதற்கும் பாதுகாப்புத் தரங்களுக்கு இணங்குவதை மேம்படுத்துவதற்கும் உதவிக்குறிப்புகளை வழங்குகிறது.
கிளவுட் செக்யூரிட்டி கமாண்ட் சென்டர் பாதுகாப்பு குழுக்களுக்கு தரவைச் சேகரிக்கவும், அச்சுறுத்தல்களைக் கண்டறியவும், நிறுவனத்திற்கு தீங்கு விளைவிக்கும் முன் அவற்றை அகற்றவும் உதவுகிறது.
பெயர் குறிப்பிடுவது போல, Google Cloud SCC என்பது ஒரு ஒருங்கிணைந்த கட்டுப்பாட்டுப் பலகமாகும், இது பலவிதமான பாதுகாப்பு அறிக்கைகள், சொத்துக் கணக்கியல் இயந்திரங்கள் மற்றும் மூன்றாம் தரப்பு பாதுகாப்பு அமைப்புகளை ஒரே மையப்படுத்தப்பட்ட மூலத்திலிருந்து ஒருங்கிணைத்து நிர்வகிக்க முடியும்.
Google Cloud SCC வழங்கும் இயங்கக்கூடிய API ஆனது Sysdig Secure (கிளவுட்-நேட்டிவ் பயன்பாடுகளுக்கான கொள்கலன் பாதுகாப்பு) அல்லது Falco (திறந்த மூல இயக்க நேர பாதுகாப்பு) போன்ற பல்வேறு ஆதாரங்களில் இருந்து வரும் பாதுகாப்பு நிகழ்வுகளை ஒருங்கிணைப்பதை எளிதாக்குகிறது.
லேயர்டு இன்சைட் (இப்போது குவாலிஸ் இன்க் இன் ஒரு பகுதி) "உட்பொதிக்கப்பட்ட பாதுகாப்பு" என்ற கருத்தின் அடிப்படையில் கட்டமைக்கப்பட்டுள்ளது. புள்ளியியல் பகுப்பாய்வு மற்றும் CVE சரிபார்ப்புகளைப் பயன்படுத்தி பாதிப்புகளுக்கு அசல் படத்தை ஸ்கேன் செய்த பிறகு, லேயர்டு இன்சைட் அதை பைனரியாக முகவரை உள்ளடக்கிய ஒரு கருவிப் படத்துடன் மாற்றுகிறது.
இந்த ஏஜெண்டில் கண்டெய்னர் நெட்வொர்க் ட்ராஃபிக், I/O ஃப்ளோக்கள் மற்றும் அப்ளிகேஷன் செயல்பாடு ஆகியவற்றை பகுப்பாய்வு செய்வதற்கான இயக்க நேர பாதுகாப்பு சோதனைகள் உள்ளன. கூடுதலாக, இது உள்கட்டமைப்பு நிர்வாகி அல்லது DevOps குழுக்களால் குறிப்பிடப்பட்ட கூடுதல் பாதுகாப்பு சோதனைகளைச் செய்ய முடியும்.
NeuVector கொள்கலன் பாதுகாப்பை சரிபார்க்கிறது மற்றும் நெட்வொர்க் செயல்பாடு மற்றும் பயன்பாட்டு நடத்தையை பகுப்பாய்வு செய்வதன் மூலம் இயக்க நேர பாதுகாப்பை வழங்குகிறது, ஒவ்வொரு கொள்கலனுக்கும் தனிப்பட்ட பாதுகாப்பு சுயவிவரத்தை உருவாக்குகிறது. உள்ளூர் ஃபயர்வால் விதிகளை மாற்றுவதன் மூலம் சந்தேகத்திற்கிடமான செயல்பாட்டைத் தனிமைப்படுத்தி, அச்சுறுத்தல்களைத் தானாகவே தடுக்கலாம்.
செக்யூரிட்டி மெஷ் என அழைக்கப்படும் நியூவெக்டரின் நெட்வொர்க் ஒருங்கிணைப்பு, சேவை மெஷில் உள்ள அனைத்து நெட்வொர்க் இணைப்புகளுக்கும் ஆழமான பாக்கெட் பகுப்பாய்வு மற்றும் லேயர் 7 வடிகட்டல் திறன் கொண்டது.
ஸ்டாக்ராக்ஸ் கொள்கலன் பாதுகாப்பு தளமானது குபெர்னெட்டஸ் பயன்பாடுகளின் முழு வாழ்க்கைச் சுழற்சியையும் ஒரு கிளஸ்டரில் மறைக்க முயற்சிக்கிறது. இந்தப் பட்டியலில் உள்ள மற்ற வணிகத் தளங்களைப் போலவே, StackRox ஆனது கவனிக்கப்பட்ட கொள்கலன் நடத்தையின் அடிப்படையில் இயக்க நேர சுயவிவரத்தை உருவாக்குகிறது மற்றும் ஏதேனும் விலகல்களுக்கு தானாகவே அலாரத்தை எழுப்புகிறது.
கூடுதலாக, StackRox, Kubernetes CIS மற்றும் பிற விதிப்புத்தகங்களைப் பயன்படுத்தி கொள்கலன் இணக்கத்தை மதிப்பிடுவதற்கு Kubernetes கட்டமைப்புகளை பகுப்பாய்வு செய்கிறது.
சிஸ்டிக் செக்யூர் முழு கொள்கலன் மற்றும் குபெர்னெட்ஸ் வாழ்க்கைச் சுழற்சி முழுவதும் பயன்பாடுகளைப் பாதுகாக்கிறது. அவர் படங்களை ஸ்கேன் செய்கிறது கொள்கலன்கள், வழங்குகிறது இயக்க நேர பாதுகாப்பு இயந்திர கற்றல் தரவு படி, கிரீம் செய்கிறது. பாதிப்புகளை அடையாளம் காண நிபுணத்துவம், அச்சுறுத்தல்களைத் தடுக்கிறது, கண்காணிப்பாளர்கள் நிறுவப்பட்ட தரநிலைகளுக்கு இணங்குதல் மற்றும் மைக்ரோ சர்வீஸில் செயல்பாடுகளை தணிக்கை செய்கிறது.
Sysdig Secure ஆனது ஜென்கின்ஸ் போன்ற CI/CD கருவிகளுடன் ஒருங்கிணைக்கிறது மற்றும் Docker பதிவேட்டில் இருந்து ஏற்றப்படும் படங்களைக் கட்டுப்படுத்துகிறது, தயாரிப்பில் ஆபத்தான படங்கள் தோன்றுவதைத் தடுக்கிறது. இது விரிவான இயக்க நேர பாதுகாப்பையும் வழங்குகிறது, உட்பட:
ML அடிப்படையிலான இயக்க நேர விவரக்குறிப்பு மற்றும் ஒழுங்கின்மை கண்டறிதல்;
கணினி நிகழ்வுகள், K8s-ஆடிட் API, கூட்டு சமூக திட்டங்கள் (FIM - கோப்பு ஒருமைப்பாடு கண்காணிப்பு; கிரிப்டோஜாக்கிங்) மற்றும் கட்டமைப்பின் அடிப்படையிலான இயக்க நேரக் கொள்கைகள் MITER ATT&CK;
கன்டெய்னர்கள் வருவதற்கு முன்பு, டெனபிள் நிறுவனம் நெசஸின் பின்னால் உள்ள நிறுவனமாக பரவலாக அறியப்பட்டது, இது ஒரு பிரபலமான பாதிப்பு வேட்டை மற்றும் பாதுகாப்பு தணிக்கைக் கருவியாகும்.
டெனபிள் கன்டெய்னர் செக்யூரிட்டியானது, CI/CD பைப்லைனை பாதிப்பு தரவுத்தளங்கள், சிறப்பு தீம்பொருள் கண்டறிதல் தொகுப்புகள் மற்றும் பாதுகாப்பு அச்சுறுத்தல்களைத் தீர்ப்பதற்கான பரிந்துரைகளுடன் ஒருங்கிணைக்க நிறுவனத்தின் கணினி பாதுகாப்பு நிபுணத்துவத்தை மேம்படுத்துகிறது.
கிளவுட் சேவைகள் மற்றும் கொள்கலன்களில் கவனம் செலுத்தும் தளமாக Twistlock தன்னை விளம்பரப்படுத்துகிறது. Twistlock பல்வேறு கிளவுட் வழங்குநர்கள் (AWS, Azure, GCP), கன்டெய்னர் ஆர்கெஸ்ட்ரேட்டர்கள் (Kubernetes, Mesospehere, OpenShift, Docker), சர்வர்லெஸ் இயக்க நேரங்கள், மெஷ் கட்டமைப்புகள் மற்றும் CI/CD கருவிகளை ஆதரிக்கிறது.
CI/CD பைப்லைன் ஒருங்கிணைப்பு அல்லது பட ஸ்கேனிங் போன்ற வழக்கமான நிறுவன-தர பாதுகாப்பு நுட்பங்களுடன், Twistlock கொள்கலன்-குறிப்பிட்ட நடத்தை முறைகள் மற்றும் நெட்வொர்க் விதிகளை உருவாக்க இயந்திர கற்றலைப் பயன்படுத்துகிறது.
சில காலத்திற்கு முன்பு, Evident.io மற்றும் RedLock திட்டங்களுக்குச் சொந்தமான பாலோ ஆல்டோ நெட்வொர்க்குகளால் Twistlock வாங்கப்பட்டது. இந்த மூன்று தளங்களும் எவ்வாறு சரியாக ஒருங்கிணைக்கப்படும் என்பது இன்னும் தெரியவில்லை Prisma பாலோ ஆல்டோவிலிருந்து.
குபெர்னெட்ஸ் பாதுகாப்பு கருவிகளின் சிறந்த பட்டியலை உருவாக்க உதவுங்கள்!
இந்த பட்டியலை முடிந்தவரை முழுமையாக்க நாங்கள் முயற்சி செய்கிறோம், இதற்கு உங்கள் உதவி தேவை! எங்களை தொடர்பு கொள்ள (@sysdig) இந்தப் பட்டியலில் சேர்க்கத் தகுதியான ஒரு சிறந்த கருவியை நீங்கள் மனதில் வைத்திருந்தால் அல்லது பிழை/காலாவதியான தகவலைக் கண்டால்.
நீங்கள் எங்களுடைய குழுவிற்கும் குழுசேரலாம் மாதாந்திர செய்திமடல் கிளவுட்-நேட்டிவ் சுற்றுச்சூழல் அமைப்பிலிருந்து வரும் செய்திகள் மற்றும் குபெர்னெட்ஸ் பாதுகாப்பு உலகில் இருந்து சுவாரஸ்யமான திட்டங்கள் பற்றிய கதைகள்.