33+ కుబెర్నెట్స్ భద్రతా సాధనాలు

గమనిక. అనువాదం.: మీరు Kubernetes ఆధారిత మౌలిక సదుపాయాలలో భద్రత గురించి ఆలోచిస్తున్నట్లయితే, Sysdig నుండి ఈ అద్భుతమైన అవలోకనం ప్రస్తుత పరిష్కారాలను శీఘ్రంగా చూడటానికి ఒక గొప్ప ప్రారంభ స్థానం. ఇది ప్రసిద్ధ మార్కెట్ ప్లేయర్‌ల నుండి సంక్లిష్ట వ్యవస్థలను మరియు నిర్దిష్ట సమస్యను పరిష్కరించే మరింత నిరాడంబరమైన యుటిలిటీలను కలిగి ఉంటుంది. మరియు వ్యాఖ్యలలో, ఎప్పటిలాగే, ఈ సాధనాలను ఉపయోగించి మీ అనుభవం గురించి వినడానికి మరియు ఇతర ప్రాజెక్ట్‌లకు లింక్‌లను చూడటానికి మేము సంతోషిస్తాము.

కుబెర్నెట్స్ భద్రతా సాఫ్ట్‌వేర్ ఉత్పత్తులు... వాటిలో చాలా ఉన్నాయి, ఒక్కొక్కటి వాటి స్వంత లక్ష్యాలు, పరిధి మరియు లైసెన్స్‌లతో ఉంటాయి.

అందుకే మేము ఈ జాబితాను రూపొందించాలని నిర్ణయించుకున్నాము మరియు వివిధ విక్రేతల నుండి ఓపెన్ సోర్స్ ప్రాజెక్ట్‌లు మరియు వాణిజ్య ప్లాట్‌ఫారమ్‌లు రెండింటినీ చేర్చాము. మీ నిర్దిష్ట కుబెర్నెట్స్ భద్రతా అవసరాల ఆధారంగా మీకు అత్యంత ఆసక్తి ఉన్న వాటిని గుర్తించడంలో మరియు సరైన దిశలో మీకు సూచించడంలో ఇది మీకు సహాయపడుతుందని మేము ఆశిస్తున్నాము.

వర్గం

జాబితాను సులభంగా నావిగేట్ చేయడానికి, సాధనాలు ప్రధాన విధి మరియు అప్లికేషన్ ద్వారా నిర్వహించబడతాయి. కింది విభాగాలు పొందబడ్డాయి:

• కుబెర్నెట్స్ ఇమేజ్ స్కానింగ్ మరియు స్టాటిక్ అనాలిసిస్;
• రన్‌టైమ్ భద్రత;
• కుబెర్నెట్స్ నెట్‌వర్క్ భద్రత;
• చిత్ర పంపిణీ మరియు రహస్య నిర్వహణ;
• కుబెర్నెట్స్ సెక్యూరిటీ ఆడిట్;
• సమగ్ర వాణిజ్య ఉత్పత్తులు.

వ్యాపారానికి దిగుదాం:

కుబెర్నెట్స్ చిత్రాలను స్కాన్ చేస్తోంది

యాంకర్

• వెబ్సైట్: anchore.com
• లైసెన్స్: ఉచిత (అపాచీ) మరియు వాణిజ్య ఆఫర్

యాంకర్ కంటైనర్ చిత్రాలను విశ్లేషిస్తుంది మరియు వినియోగదారు నిర్వచించిన విధానాల ఆధారంగా భద్రతా తనిఖీలను అనుమతిస్తుంది.

CVE డేటాబేస్ నుండి తెలిసిన దుర్బలత్వాల కోసం కంటైనర్ చిత్రాల సాధారణ స్కానింగ్‌తో పాటు, యాంకర్ దాని స్కానింగ్ విధానంలో భాగంగా అనేక అదనపు తనిఖీలను నిర్వహిస్తుంది: డాకర్‌ఫైల్, క్రెడెన్షియల్ లీక్‌లు, ఉపయోగించిన ప్రోగ్రామింగ్ భాషల ప్యాకేజీలు (npm, మావెన్, మొదలైనవి. .), సాఫ్ట్‌వేర్ లైసెన్స్‌లు మరియు మరిన్ని .

క్లెయిర్

• వెబ్సైట్: coreos.com/clair (ప్రస్తుతం Red Hat ఆధ్వర్యంలో)
• లైసెన్స్: ఉచితం (అపాచీ)

ఇమేజ్ స్కానింగ్ కోసం మొదటి ఓపెన్ సోర్స్ ప్రాజెక్ట్‌లలో క్లెయిర్ ఒకటి. ఇది క్వే ఇమేజ్ రిజిస్ట్రీ వెనుక ఉన్న సెక్యూరిటీ స్కానర్‌గా విస్తృతంగా ప్రసిద్ధి చెందింది (CoreOS నుండి కూడా - సుమారు అనువాదం). డెబియన్, Red Hat లేదా ఉబుంటు భద్రతా బృందాలు నిర్వహించే Linux పంపిణీ-నిర్దిష్ట దుర్బలత్వాల జాబితాలతో సహా అనేక రకాల మూలాధారాల నుండి Clair CVE సమాచారాన్ని సేకరించవచ్చు.

యాంకర్ వలె కాకుండా, క్లెయిర్ ప్రాథమికంగా దుర్బలత్వాలను కనుగొనడం మరియు CVEలకు డేటాను సరిపోల్చడంపై దృష్టి పెడుతుంది. అయినప్పటికీ, ప్లగ్-ఇన్ డ్రైవర్‌లను ఉపయోగించి ఫంక్షన్‌లను విస్తరించడానికి ఉత్పత్తి వినియోగదారులకు కొన్ని అవకాశాలను అందిస్తుంది.

దగ్డా

• వెబ్సైట్: github.com/eliasgranderubio/dagda
• లైసెన్స్: ఉచితం (అపాచీ)

తెలిసిన దుర్బలత్వాలు, ట్రోజన్‌లు, వైరస్‌లు, మాల్‌వేర్ మరియు ఇతర బెదిరింపుల కోసం డాగ్డా కంటైనర్ చిత్రాల స్టాటిక్ విశ్లేషణను నిర్వహిస్తుంది.

దగ్డాను ఇతర సారూప్య సాధనాల నుండి రెండు గుర్తించదగిన లక్షణాలు వేరు చేస్తాయి:

• ఇది సంపూర్ణంగా కలిసిపోతుంది ClamAV, కంటైనర్ చిత్రాలను స్కానింగ్ చేసే సాధనంగా మాత్రమే కాకుండా, యాంటీవైరస్‌గా కూడా పనిచేస్తుంది.
• డాకర్ డెమోన్ నుండి నిజ-సమయ ఈవెంట్‌లను స్వీకరించడం మరియు ఫాల్కోతో అనుసంధానించడం ద్వారా రన్‌టైమ్ రక్షణను కూడా అందిస్తుంది (కింద చూడుము) కంటైనర్ నడుస్తున్నప్పుడు భద్రతా ఈవెంట్‌లను సేకరించడానికి.

KubeXray

• వెబ్సైట్: github.com/jfrog/kubexray
• లైసెన్స్: ఉచితం (అపాచీ), కానీ JFrog Xray (వాణిజ్య ఉత్పత్తి) నుండి డేటా అవసరం

KubeXray Kubernetes API సర్వర్ నుండి ఈవెంట్‌లను వింటుంది మరియు ప్రస్తుత పాలసీకి సరిపోలే పాడ్‌లు మాత్రమే ప్రారంభించబడుతున్నాయని నిర్ధారించుకోవడానికి JFrog Xray నుండి మెటాడేటాను ఉపయోగిస్తుంది.

KubeXray డిప్లాయ్‌మెంట్‌లలో కొత్త లేదా అప్‌డేట్ చేయబడిన కంటైనర్‌లను ఆడిట్ చేయడమే కాకుండా (కుబెర్నెట్స్‌లోని అడ్మిషన్ కంట్రోలర్ మాదిరిగానే), కానీ కొత్త భద్రతా విధానాలకు అనుగుణంగా నడుస్తున్న కంటైనర్‌లను డైనమిక్‌గా తనిఖీ చేస్తుంది, హాని కలిగించే చిత్రాలను సూచించే వనరులను తొలగిస్తుంది.

స్నిక్

• వెబ్సైట్: snyk.io
• లైసెన్స్: ఉచిత (అపాచీ) మరియు వాణిజ్య సంస్కరణలు

Snyk అనేది అసాధారణమైన వల్నరబిలిటీ స్కానర్, ఇది ప్రత్యేకంగా అభివృద్ధి ప్రక్రియను లక్ష్యంగా చేసుకుంటుంది మరియు డెవలపర్‌లకు "అవసరమైన పరిష్కారం"గా ప్రచారం చేయబడుతుంది.

Snyk నేరుగా కోడ్ రిపోజిటరీలకు కనెక్ట్ చేస్తుంది, ప్రాజెక్ట్ మానిఫెస్ట్‌ను అన్వయిస్తుంది మరియు ప్రత్యక్ష మరియు పరోక్ష డిపెండెన్సీలతో పాటు దిగుమతి చేసుకున్న కోడ్‌ను విశ్లేషిస్తుంది. Snyk అనేక ప్రసిద్ధ ప్రోగ్రామింగ్ భాషలకు మద్దతు ఇస్తుంది మరియు దాచిన లైసెన్స్ ప్రమాదాలను గుర్తించగలదు.

ట్రివి

• వెబ్సైట్: github.com/knqyf263/trivy
• లైసెన్స్: ఉచితం (AGPL)

ట్రివీ అనేది CI/CD పైప్‌లైన్‌లో సులభంగా కలిసిపోయే కంటైనర్‌ల కోసం సరళమైన కానీ శక్తివంతమైన దుర్బలత్వ స్కానర్. దీని గుర్తించదగిన లక్షణం ఇన్‌స్టాలేషన్ మరియు ఆపరేషన్ సౌలభ్యం: అప్లికేషన్ ఒకే బైనరీని కలిగి ఉంటుంది మరియు డేటాబేస్ లేదా అదనపు లైబ్రరీల ఇన్‌స్టాలేషన్ అవసరం లేదు.

Trivy యొక్క సరళత యొక్క ప్రతికూలత ఏమిటంటే, JSON ఆకృతిలో ఫలితాలను ఎలా అన్వయించాలో మరియు ఫార్వార్డ్ చేయాలో మీరు గుర్తించాలి, తద్వారా ఇతర కుబెర్నెట్స్ భద్రతా సాధనాలు వాటిని ఉపయోగించగలవు.

కుబెర్నెట్స్‌లో రన్‌టైమ్ సెక్యూరిటీ

ఫాల్కన్

• వెబ్సైట్: falco.org
• లైసెన్స్: ఉచితం (అపాచీ)

ఫాల్కో అనేది క్లౌడ్ రన్‌టైమ్ పరిసరాలను భద్రపరచడానికి సాధనాల సమితి. ప్రాజెక్ట్ కుటుంబంలో భాగం సిఎన్‌సిఎఫ్.

Sysdig యొక్క Linux కెర్నల్-స్థాయి టూలింగ్ మరియు సిస్టమ్ కాల్ ప్రొఫైలింగ్ ఉపయోగించి, ఫాల్కో మిమ్మల్ని సిస్టమ్ ప్రవర్తనలో లోతుగా డైవ్ చేయడానికి అనుమతిస్తుంది. దీని రన్‌టైమ్ రూల్స్ ఇంజిన్ అప్లికేషన్‌లు, కంటైనర్‌లు, అంతర్లీన హోస్ట్ మరియు కుబెర్నెట్స్ ఆర్కెస్ట్రేటర్‌లో అనుమానాస్పద కార్యాచరణను గుర్తించగలదు.

ఫాల్కో రన్‌టైమ్‌లో పూర్తి పారదర్శకతను అందిస్తుంది మరియు ఈ ప్రయోజనాల కోసం ప్రత్యేక ఏజెంట్‌లను కుబెర్నెటెస్ నోడ్‌లపై మోహరించడం ద్వారా ముప్పు గుర్తింపును అందిస్తుంది. ఫలితంగా, కంటైనర్‌లలో మూడవ పక్షం కోడ్‌ని ప్రవేశపెట్టడం ద్వారా లేదా సైడ్‌కార్ కంటైనర్‌లను జోడించడం ద్వారా వాటిని సవరించాల్సిన అవసరం లేదు.

రన్‌టైమ్ కోసం Linux సెక్యూరిటీ ఫ్రేమ్‌వర్క్‌లు

Linux కెర్నల్ కోసం ఈ స్థానిక ఫ్రేమ్‌వర్క్‌లు సాంప్రదాయ అర్థంలో “కుబెర్నెట్స్ సెక్యూరిటీ టూల్స్” కావు, అయితే అవి రన్‌టైమ్ సెక్యూరిటీ సందర్భంలో ఒక ముఖ్యమైన అంశం అయినందున అవి ప్రస్తావించదగినవి, ఇది Kubernetes Pod Security Policy (PSP)లో చేర్చబడింది.

యాప్ ఆర్మర్ కంటైనర్‌లో నడుస్తున్న ప్రాసెస్‌లకు భద్రతా ప్రొఫైల్‌ను జత చేస్తుంది, ఫైల్ సిస్టమ్ అధికారాలను నిర్వచించడం, నెట్‌వర్క్ యాక్సెస్ నియమాలు, లైబ్రరీలను కనెక్ట్ చేయడం మొదలైనవి. ఇది తప్పనిసరి యాక్సెస్ నియంత్రణ (MAC)పై ఆధారపడిన వ్యవస్థ. మరో మాటలో చెప్పాలంటే, ఇది నిషేధించబడిన చర్యలను నిర్వహించకుండా నిరోధిస్తుంది.

భద్రత-మెరుగైన Linux (SELinux) అనేది Linux కెర్నల్‌లోని ఒక అధునాతన భద్రతా మాడ్యూల్, ఇది AppArmor వంటి కొన్ని అంశాలలో సమానంగా ఉంటుంది మరియు తరచుగా దానితో పోల్చబడుతుంది. SELinux శక్తి, వశ్యత మరియు అనుకూలీకరణలో AppArmor కంటే మెరుగైనది. దీని ప్రతికూలతలు సుదీర్ఘ అభ్యాస వక్రత మరియు పెరిగిన సంక్లిష్టత.

సెకాంప్ మరియు seccomp-bpf సిస్టమ్ కాల్‌లను ఫిల్టర్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, బేస్ OS కోసం సంభావ్యంగా ప్రమాదకరమైనవి మరియు వినియోగదారు అప్లికేషన్‌ల సాధారణ ఆపరేషన్‌కు అవసరం లేని వాటి అమలును నిరోధించవచ్చు. Seccomp కొన్ని మార్గాల్లో ఫాల్కోను పోలి ఉంటుంది, అయినప్పటికీ కంటైనర్ల ప్రత్యేకతలు దీనికి తెలియదు.

Sysdig ఓపెన్ సోర్స్

• వెబ్సైట్: www.sysdig.com/opensource
• లైసెన్స్: ఉచితం (అపాచీ)

Sysdig అనేది Linux సిస్టమ్‌లను విశ్లేషించడం, నిర్ధారించడం మరియు డీబగ్గింగ్ చేయడం కోసం ఒక పూర్తి సాధనం (Windows మరియు macOSలో కూడా పనిచేస్తుంది, కానీ పరిమిత ఫంక్షన్‌లతో). ఇది వివరణాత్మక సమాచార సేకరణ, ధృవీకరణ మరియు ఫోరెన్సిక్ విశ్లేషణ కోసం ఉపయోగించవచ్చు. (ఫోరెన్సిక్స్) బేస్ సిస్టమ్ మరియు దానిపై నడుస్తున్న ఏదైనా కంటైనర్లు.

Sysdig స్థానికంగా కంటైనర్ రన్‌టైమ్‌లు మరియు కుబెర్నెట్స్ మెటాడేటాకు మద్దతు ఇస్తుంది, ఇది సేకరించే అన్ని సిస్టమ్ ప్రవర్తన సమాచారానికి అదనపు కొలతలు మరియు లేబుల్‌లను జోడిస్తుంది. సిస్‌డిగ్‌ని ఉపయోగించి కుబెర్నెట్స్ క్లస్టర్‌ను విశ్లేషించడానికి అనేక మార్గాలు ఉన్నాయి: మీరు పాయింట్-ఇన్-టైమ్ క్యాప్చర్‌ని దీని ద్వారా చేయవచ్చు. kubectl క్యాప్చర్ లేదా ప్లగిన్‌ని ఉపయోగించి ncurses-ఆధారిత ఇంటరాక్టివ్ ఇంటర్‌ఫేస్‌ను ప్రారంభించండి kubectl డిగ్.

కుబెర్నెట్స్ నెట్‌వర్క్ సెక్యూరిటీ

అపోరెటో

• వెబ్సైట్: www.aporeto.com
• లైసెన్స్: వాణిజ్య

అపోరెటో "నెట్‌వర్క్ మరియు ఇన్‌ఫ్రాస్ట్రక్చర్ నుండి వేరు చేయబడిన భద్రత" అందిస్తుంది. దీని అర్థం Kubernetes సేవలు స్థానిక IDని (అంటే కుబెర్నెట్స్‌లో సర్వీస్ ఖాతా) మాత్రమే కాకుండా, ఏదైనా ఇతర సేవతో సురక్షితంగా మరియు పరస్పరం కమ్యూనికేట్ చేయడానికి ఉపయోగించే యూనివర్సల్ ID/ఫింగర్‌ప్రింట్‌ను కూడా అందుకుంటాయి, ఉదాహరణకు OpenShift క్లస్టర్‌లో.

అపోరెటో కుబెర్నెట్స్/కంటైనర్‌ల కోసం మాత్రమే కాకుండా హోస్ట్‌లు, క్లౌడ్ ఫంక్షన్‌లు మరియు యూజర్‌ల కోసం కూడా ప్రత్యేకమైన IDని రూపొందించగలదు. ఈ ఐడెంటిఫైయర్‌లు మరియు అడ్మినిస్ట్రేటర్ సెట్ చేసిన నెట్‌వర్క్ భద్రతా నియమాల సెట్ ఆధారంగా, కమ్యూనికేషన్‌లు అనుమతించబడతాయి లేదా బ్లాక్ చేయబడతాయి.

కాలికో

• వెబ్సైట్: www.projectcalico.org
• లైసెన్స్: ఉచితం (అపాచీ)

కాలికో సాధారణంగా కంటైనర్ ఆర్కెస్ట్రేటర్ ఇన్‌స్టాలేషన్ సమయంలో అమలు చేయబడుతుంది, ఇది కంటైనర్‌లను ఇంటర్‌కనెక్ట్ చేసే వర్చువల్ నెట్‌వర్క్‌ను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఈ ప్రాథమిక నెట్‌వర్క్ కార్యాచరణతో పాటు, కాలికో ప్రాజెక్ట్ కుబెర్నెట్స్ నెట్‌వర్క్ విధానాలు మరియు దాని స్వంత నెట్‌వర్క్ భద్రతా ప్రొఫైల్‌లతో పనిచేస్తుంది, ఎండ్‌పాయింట్ ACLలు (యాక్సెస్ కంట్రోల్ లిస్ట్‌లు) మరియు ఇన్‌గ్రెస్ మరియు ఎగ్రెస్ ట్రాఫిక్ కోసం ఉల్లేఖన-ఆధారిత నెట్‌వర్క్ భద్రతా నియమాలకు మద్దతు ఇస్తుంది.

సిలియం

• వెబ్సైట్: www.cilium.io
• లైసెన్స్: ఉచితం (అపాచీ)

Cilium కంటైనర్‌లకు ఫైర్‌వాల్‌గా పనిచేస్తుంది మరియు కుబెర్నెట్స్ మరియు మైక్రోసర్వీసెస్ వర్క్‌లోడ్‌లకు స్థానికంగా రూపొందించబడిన నెట్‌వర్క్ భద్రతా లక్షణాలను అందిస్తుంది. డేటాను ఫిల్టర్ చేయడానికి, పర్యవేక్షించడానికి, దారి మళ్లించడానికి మరియు సరిచేయడానికి Cilium BPF (Berkeley Packet Filter) అనే కొత్త Linux కెర్నల్ సాంకేతికతను ఉపయోగిస్తుంది.

Cilium డాకర్ లేదా కుబెర్నెట్స్ లేబుల్‌లు మరియు మెటాడేటాను ఉపయోగించి కంటైనర్ IDల ఆధారంగా నెట్‌వర్క్ యాక్సెస్ విధానాలను అమలు చేయగలదు. Cilium HTTP లేదా gRPC వంటి వివిధ లేయర్ 7 ప్రోటోకాల్‌లను కూడా అర్థం చేసుకుంటుంది మరియు ఫిల్టర్ చేస్తుంది, ఉదాహరణకు రెండు కుబెర్నెట్స్ డిప్లాయ్‌మెంట్‌ల మధ్య అనుమతించబడే REST కాల్‌ల సమితిని నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది.

ఇస్టియో

• వెబ్సైట్: istio.io
• లైసెన్స్: ఉచితం (అపాచీ)

ప్లాట్‌ఫారమ్-ఇండిపెండెంట్ కంట్రోల్ ప్లేన్‌ని అమలు చేయడం మరియు డైనమిక్‌గా కాన్ఫిగర్ చేయగల ఎన్వోయ్ ప్రాక్సీల ద్వారా నిర్వహించబడే అన్ని సేవా ట్రాఫిక్‌ను రూట్ చేయడం ద్వారా సర్వీస్ మెష్ నమూనాను అమలు చేయడం కోసం ఇస్టియో విస్తృతంగా ప్రసిద్ధి చెందింది. వివిధ నెట్‌వర్క్ భద్రతా వ్యూహాలను అమలు చేయడానికి ఇస్టియో అన్ని మైక్రోసర్వీస్‌లు మరియు కంటైనర్‌ల యొక్క ఈ అధునాతన వీక్షణను ఉపయోగించుకుంటుంది.

Istio యొక్క నెట్‌వర్క్ భద్రతా సామర్థ్యాలలో మైక్రోసర్వీస్‌ల మధ్య కమ్యూనికేషన్‌లను స్వయంచాలకంగా HTTPSకి అప్‌గ్రేడ్ చేయడానికి పారదర్శక TLS ఎన్‌క్రిప్షన్ మరియు క్లస్టర్‌లోని వివిధ పనిభారాల మధ్య కమ్యూనికేషన్‌ను అనుమతించడానికి/నిరాకరించడానికి యాజమాన్య RBAC గుర్తింపు మరియు అధికార వ్యవస్థ ఉన్నాయి.

గమనిక. అనువాదం.: ఇస్టియో యొక్క భద్రత-కేంద్రీకృత సామర్థ్యాల గురించి మరింత తెలుసుకోవడానికి, చదవండి ఈ వ్యాసం.

టైగెరా

• వెబ్సైట్: www.tigera.io
• లైసెన్స్: వాణిజ్య

"కుబెర్నెట్స్ ఫైర్‌వాల్" అని పిలవబడే ఈ పరిష్కారం నెట్‌వర్క్ భద్రతకు జీరో-ట్రస్ట్ విధానాన్ని నొక్కి చెబుతుంది.

ఇతర స్థానిక కుబెర్నెట్స్ నెట్‌వర్కింగ్ సొల్యూషన్‌ల మాదిరిగానే, టైగెరా క్లస్టర్‌లోని వివిధ సేవలు మరియు వస్తువులను గుర్తించడానికి మెటాడేటాపై ఆధారపడుతుంది మరియు మల్టీ-క్లౌడ్ లేదా హైబ్రిడ్ మోనోలిథిక్-కంటైనరైజ్డ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ల కోసం రన్‌టైమ్ ఇష్యూ డిటెక్షన్, నిరంతర సమ్మతి తనిఖీ మరియు నెట్‌వర్క్ విజిబిలిటీని అందిస్తుంది.

ట్రైరీమ్

• వెబ్సైట్: www.aporeto.com/opensource
• లైసెన్స్: ఉచితం (అపాచీ)

Trireme-Kubernetes అనేది Kubernetes నెట్‌వర్క్ పాలసీల స్పెసిఫికేషన్ యొక్క సరళమైన మరియు సూటిగా అమలు. అత్యంత ముఖ్యమైన లక్షణం ఏమిటంటే - ఇలాంటి కుబెర్నెట్స్ నెట్‌వర్క్ భద్రతా ఉత్పత్తుల వలె కాకుండా - మెష్‌ను సమన్వయం చేయడానికి దీనికి సెంట్రల్ కంట్రోల్ ప్లేన్ అవసరం లేదు. ఇది పరిష్కారాన్ని స్వల్పంగా కొలవగలిగేలా చేస్తుంది. ట్రైరీమ్‌లో, హోస్ట్ యొక్క TCP/IP స్టాక్‌కు నేరుగా కనెక్ట్ చేసే ప్రతి నోడ్‌లో ఏజెంట్‌ను ఇన్‌స్టాల్ చేయడం ద్వారా ఇది సాధించబడుతుంది.

చిత్ర ప్రచారం మరియు రహస్య నిర్వహణ

గ్రాఫేస్

• వెబ్సైట్: grafeas.io
• లైసెన్స్: ఉచితం (అపాచీ)

Grafeas అనేది సాఫ్ట్‌వేర్ సప్లై చైన్ ఆడిటింగ్ మరియు మేనేజ్‌మెంట్ కోసం ఒక ఓపెన్ సోర్స్ API. ప్రాథమిక స్థాయిలో, గ్రాఫీస్ అనేది మెటాడేటా మరియు ఆడిట్ ఫలితాలను సేకరించడానికి ఒక సాధనం. ఇది సంస్థలోని భద్రతా ఉత్తమ అభ్యాసాలకు అనుగుణంగా ట్రాక్ చేయడానికి ఉపయోగించబడుతుంది.

సత్యం యొక్క ఈ కేంద్రీకృత మూలం వంటి ప్రశ్నలకు సమాధానమివ్వడంలో సహాయపడుతుంది:

• నిర్దిష్ట కంటైనర్ కోసం ఎవరు సేకరించి సంతకం చేశారు?
• ఇది భద్రతా విధానానికి అవసరమైన అన్ని భద్రతా స్కాన్‌లు మరియు తనిఖీలను ఆమోదించిందా? ఎప్పుడు? ఫలితాలు ఏమిటి?
• దానిని ఉత్పత్తికి ఎవరు ఉపయోగించారు? విస్తరణ సమయంలో ఏ నిర్దిష్ట పారామితులు ఉపయోగించబడ్డాయి?

పూర్తిగా

• వెబ్సైట్: in-toto.github.io
• లైసెన్స్: ఉచితం (అపాచీ)

ఇన్-టోటో అనేది మొత్తం సాఫ్ట్‌వేర్ సరఫరా గొలుసు యొక్క సమగ్రత, ప్రమాణీకరణ మరియు ఆడిటింగ్‌ను అందించడానికి రూపొందించబడిన ఫ్రేమ్‌వర్క్. ఇన్‌ఫ్రాస్ట్రక్చర్‌లో ఇన్-టోటోను అమలు చేస్తున్నప్పుడు, పైప్‌లైన్‌లోని వివిధ దశలను (రిపోజిటరీ, CI/CD టూల్స్, QA టూల్స్, ఆర్టిఫ్యాక్ట్ కలెక్టర్లు మొదలైనవి) మరియు అనుమతించబడిన వినియోగదారులను (బాధ్యతగల వ్యక్తులు) వివరించే ప్లాన్ మొదట నిర్వచించబడుతుంది. వాటిని ప్రారంభించండి.

ఇన్-టోటో ప్రణాళిక అమలును పర్యవేక్షిస్తుంది, గొలుసులోని ప్రతి పనిని అధీకృత సిబ్బంది మాత్రమే సరిగ్గా నిర్వహిస్తారని మరియు కదలిక సమయంలో ఉత్పత్తితో అనధికారిక అవకతవకలు జరగలేదని ధృవీకరిస్తుంది.

పోర్టీరిస్

• వెబ్సైట్: github.com/IBM/portieris
• లైసెన్స్: ఉచితం (అపాచీ)

పోర్టీరిస్ అనేది కుబెర్నెట్‌లకు అడ్మిషన్ కంట్రోలర్; కంటెంట్ ట్రస్ట్ తనిఖీలను అమలు చేయడానికి ఉపయోగిస్తారు. పోర్టీరిస్ సర్వర్‌ని ఉపయోగిస్తుంది నోటరీ (మేము అతని గురించి చివరలో వ్రాసాము ఈ వ్యాసం - సుమారు అనువాదం) విశ్వసనీయ మరియు సంతకం చేయబడిన కళాఖండాలను (అంటే ఆమోదించబడిన కంటైనర్ చిత్రాలు) ధృవీకరించడానికి సత్యానికి మూలం.

Kubernetesలో పనిభారం సృష్టించబడినప్పుడు లేదా సవరించబడినప్పుడు, Portieris అభ్యర్థించిన కంటైనర్ చిత్రాల కోసం సంతకం చేసే సమాచారం మరియు కంటెంట్ ట్రస్ట్ విధానాన్ని డౌన్‌లోడ్ చేస్తుంది మరియు అవసరమైతే, ఆ చిత్రాల సంతకం చేసిన సంస్కరణలను అమలు చేయడానికి JSON API ఆబ్జెక్ట్‌లో ఫ్లై మార్పులు చేస్తుంది.

ఖజానా

• వెబ్సైట్: www.vaultproject.io
• లైసెన్స్: ఉచితం (MPL)

వాల్ట్ అనేది ప్రైవేట్ సమాచారాన్ని నిల్వ చేయడానికి సురక్షితమైన పరిష్కారం: పాస్‌వర్డ్‌లు, OAuth టోకెన్‌లు, PKI సర్టిఫికేట్‌లు, యాక్సెస్ ఖాతాలు, కుబెర్నెట్స్ రహస్యాలు మొదలైనవి. వాల్ట్ ఎఫెమెరల్ సెక్యూరిటీ టోకెన్‌లను లీజుకు ఇవ్వడం లేదా కీ భ్రమణాన్ని నిర్వహించడం వంటి అనేక అధునాతన ఫీచర్‌లకు మద్దతు ఇస్తుంది.

హెల్మ్ చార్ట్‌ని ఉపయోగించి, వాల్ట్‌ని కాన్సుల్‌తో బ్యాకెండ్ స్టోరేజ్‌తో కుబెర్నెట్స్ క్లస్టర్‌లో కొత్త డిప్లాయ్‌మెంట్‌గా అమలు చేయవచ్చు. ఇది ServiceAccount టోకెన్‌ల వంటి స్థానిక Kubernetes వనరులకు మద్దతు ఇస్తుంది మరియు Kubernetes రహస్యాల కోసం డిఫాల్ట్ స్టోర్‌గా కూడా పని చేస్తుంది.

గమనిక. అనువాదం.: మార్గం ద్వారా, నిన్ననే HashiCorp, ఇది వాల్ట్‌ను అభివృద్ధి చేస్తుంది, కుబెర్నెట్స్‌లో వాల్ట్‌ను ఉపయోగించడం కోసం కొన్ని మెరుగుదలలను ప్రకటించింది మరియు ముఖ్యంగా అవి హెల్మ్ చార్ట్‌కు సంబంధించినవి. లో మరింత చదవండి బ్లాగ్ రాస్రాబోట్చికా.

కుబెర్నెట్స్ సెక్యూరిటీ ఆడిట్

కుబే-బెంచ్

• వెబ్సైట్: github.com/aquasecurity/kube-bench
• లైసెన్స్: ఉచితం (అపాచీ)

Kube-bench అనేది జాబితా నుండి పరీక్షలను అమలు చేయడం ద్వారా Kubernetes సురక్షితంగా అమలు చేయబడిందో లేదో తనిఖీ చేసే Go అప్లికేషన్. CIS కుబెర్నెటెస్ బెంచ్‌మార్క్.

Kube-bench క్లస్టర్ కాంపోనెంట్‌ల మధ్య అసురక్షిత కాన్ఫిగరేషన్ సెట్టింగ్‌ల కోసం చూస్తుంది (etcd, API, కంట్రోలర్ మేనేజర్, మొదలైనవి), సందేహాస్పద ఫైల్ యాక్సెస్ హక్కులు, అసురక్షిత ఖాతాలు లేదా ఓపెన్ పోర్ట్‌లు, రిసోర్స్ కోటాలు, DoS దాడుల నుండి రక్షించడానికి API కాల్‌ల సంఖ్యను పరిమితం చేసే సెట్టింగ్‌లు , మొదలైనవి

కుబే-వేటగాడు

• వెబ్సైట్: github.com/aquasecurity/kube-hunter
• లైసెన్స్: ఉచితం (అపాచీ)

కుబెర్నెటెస్ క్లస్టర్‌లలో సంభావ్య దుర్బలత్వాలను (రిమోట్ కోడ్ అమలు లేదా డేటా బహిర్గతం వంటివి) కోసం Kube-హంటర్ వేటాడుతుంది. Kube-హంటర్‌ను రిమోట్ స్కానర్‌గా అమలు చేయవచ్చు - ఈ సందర్భంలో ఇది క్లస్టర్‌ను మూడవ పక్షం దాడి చేసేవారి కోణం నుండి అంచనా వేస్తుంది - లేదా క్లస్టర్ లోపల పాడ్‌గా ఉంటుంది.

కుబే-హంటర్ యొక్క విలక్షణమైన లక్షణం దాని “యాక్టివ్ హంటింగ్” మోడ్, ఈ సమయంలో ఇది సమస్యలను నివేదించడమే కాకుండా, లక్ష్య క్లస్టర్‌లో కనుగొనబడిన దుర్బలత్వాల ప్రయోజనాన్ని పొందడానికి ప్రయత్నిస్తుంది, అది దాని ఆపరేషన్‌కు హాని కలిగించవచ్చు. కాబట్టి జాగ్రత్తగా వాడండి!

Kubeaudit

• వెబ్సైట్: github.com/Shopify/kubeaudit
• లైసెన్స్: ఉచితం (MIT)

Kubeaudit అనేది వివిధ భద్రతా సమస్యల కోసం Kubernetes కాన్ఫిగరేషన్‌ను ఆడిట్ చేయడానికి Shopifyలో మొదట అభివృద్ధి చేయబడిన కన్సోల్ సాధనం. ఉదాహరణకు, ఇది నియంత్రణ లేకుండా నడుస్తున్న కంటైనర్‌లను గుర్తించడంలో సహాయపడుతుంది, రూట్‌గా నడుస్తుంది, అధికారాలను దుర్వినియోగం చేస్తుంది లేదా డిఫాల్ట్ సర్వీస్‌అకౌంట్‌ని ఉపయోగిస్తుంది.

Kubeaudit ఇతర ఆసక్తికరమైన లక్షణాలను కలిగి ఉంది. ఉదాహరణకు, ఇది స్థానిక YAML ఫైల్‌లను విశ్లేషించగలదు, భద్రతా సమస్యలకు దారితీసే కాన్ఫిగరేషన్ లోపాలను గుర్తించగలదు మరియు వాటిని స్వయంచాలకంగా పరిష్కరించగలదు.

కుబెసెక్

• వెబ్సైట్: kubesec.io
• లైసెన్స్: ఉచితం (అపాచీ)

Kubesec అనేది ఒక ప్రత్యేక సాధనం, ఇది Kubernetes వనరులను వివరించే YAML ఫైల్‌లను నేరుగా స్కాన్ చేస్తుంది, భద్రతను ప్రభావితం చేసే బలహీనమైన పారామితుల కోసం వెతుకుతుంది.

ఉదాహరణకు, ఇది పాడ్‌కు మంజూరైన అధిక అధికారాలు మరియు అనుమతులను గుర్తించగలదు, డిఫాల్ట్ వినియోగదారుగా రూట్‌తో కంటైనర్‌ను నడుపుతోంది, హోస్ట్ యొక్క నెట్‌వర్క్ నేమ్‌స్పేస్‌కు కనెక్ట్ చేయడం లేదా వంటి ప్రమాదకరమైన మౌంట్‌లు /proc హోస్ట్ లేదా డాకర్ సాకెట్. Kubesec యొక్క మరొక ఆసక్తికరమైన ఫీచర్ ఆన్‌లైన్‌లో అందుబాటులో ఉన్న డెమో సేవ, దీనిలో మీరు YAMLని అప్‌లోడ్ చేయవచ్చు మరియు వెంటనే దానిని విశ్లేషించవచ్చు.

పాలసీ ఏజెంట్‌ని తెరవండి

• వెబ్సైట్: www.openpolicyagent.org
• లైసెన్స్: ఉచితం (అపాచీ)

OPA (ఓపెన్ పాలసీ ఏజెంట్) యొక్క భావన అనేది నిర్దిష్ట రన్‌టైమ్ ప్లాట్‌ఫారమ్ నుండి భద్రతా విధానాలు మరియు భద్రతా ఉత్తమ అభ్యాసాలను విడదీయడం: డాకర్, కుబెర్నెట్స్, మెసోస్పియర్, ఓపెన్‌షిఫ్ట్ లేదా వాటి కలయిక.

ఉదాహరణకు, మీరు కుబెర్నెట్స్ అడ్మిషన్ కంట్రోలర్ కోసం OPAని బ్యాకెండ్‌గా అమలు చేయవచ్చు, దానికి భద్రతా నిర్ణయాలను అప్పగించవచ్చు. ఈ విధంగా, OPA ఏజెంట్ పేర్కొన్న భద్రతా పారామితులకు అనుగుణంగా ఉన్నారని నిర్ధారిస్తూ, ఫ్లైలో అభ్యర్థనలను ధృవీకరించవచ్చు, తిరస్కరించవచ్చు మరియు సవరించవచ్చు. OPA యొక్క భద్రతా విధానాలు దాని యాజమాన్య DSL భాష అయిన రెగోలో వ్రాయబడ్డాయి.

గమనిక. అనువాదం.: మేము OPA (మరియు SPIFFE) గురించి మరింత రాశాము ఈ విషయం.

కుబెర్నెట్స్ భద్రతా విశ్లేషణ కోసం సమగ్ర వాణిజ్య సాధనాలు

మేము వాణిజ్య ప్లాట్‌ఫారమ్‌ల కోసం ప్రత్యేక వర్గాన్ని సృష్టించాలని నిర్ణయించుకున్నాము ఎందుకంటే అవి సాధారణంగా బహుళ భద్రతా ప్రాంతాలను కవర్ చేస్తాయి. వారి సామర్థ్యాల యొక్క సాధారణ ఆలోచనను పట్టిక నుండి పొందవచ్చు:

* అధునాతన పరీక్ష మరియు పూర్తి పోస్ట్ మార్టం విశ్లేషణ సిస్టమ్ కాల్ హైజాకింగ్.

ఆక్వా సెక్యూరిటీ

• వెబ్సైట్: www.aquasec.com
• లైసెన్స్: వాణిజ్య

ఈ వాణిజ్య సాధనం కంటైనర్‌లు మరియు క్లౌడ్ వర్క్‌లోడ్‌ల కోసం రూపొందించబడింది. ఇది అందిస్తుంది:

• ఇమేజ్ స్కానింగ్ కంటైనర్ రిజిస్ట్రీ లేదా CI/CD పైప్‌లైన్‌తో ఏకీకృతం చేయబడింది;
• కంటైనర్‌లలో మార్పులు మరియు ఇతర అనుమానాస్పద కార్యకలాపాల కోసం శోధనతో రన్‌టైమ్ రక్షణ;
• కంటైనర్-స్థానిక ఫైర్‌వాల్;
• క్లౌడ్ సేవల్లో సర్వర్‌లెస్ కోసం భద్రత;
• ఈవెంట్ లాగింగ్‌తో కలిపి సమ్మతి పరీక్ష మరియు ఆడిటింగ్.

గమనిక. అనువాదం.: ఇది కూడా ఉన్నాయి పేర్కొంది విలువ అనే ఉత్పత్తి యొక్క ఉచిత భాగం మైక్రోస్కానర్, ఇది దుర్బలత్వాల కోసం కంటైనర్ చిత్రాలను స్కాన్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. చెల్లింపు సంస్కరణలతో దాని సామర్థ్యాల పోలిక ప్రదర్శించబడింది ఈ పట్టిక.

గుళిక8

• వెబ్సైట్: capsule8.com
• లైసెన్స్: వాణిజ్య

క్యాప్సూల్8 లోకల్ లేదా క్లౌడ్ కుబెర్నెట్స్ క్లస్టర్‌లో డిటెక్టర్‌ను ఇన్‌స్టాల్ చేయడం ద్వారా ఇన్‌ఫ్రాస్ట్రక్చర్‌లో కలిసిపోతుంది. ఈ డిటెక్టర్ హోస్ట్ మరియు నెట్‌వర్క్ టెలిమెట్రీని సేకరిస్తుంది, ఇది వివిధ రకాల దాడులతో సహసంబంధం కలిగిస్తుంది.

క్యాప్సూల్8 బృందం దాని పనిని కొత్త వాటిని ఉపయోగించి ముందస్తుగా గుర్తించడం మరియు దాడులను నివారించడంగా చూస్తుంది (0-రోజు) దుర్బలత్వాలు. క్యాప్సూల్8 కొత్తగా కనుగొనబడిన బెదిరింపులు మరియు సాఫ్ట్‌వేర్ దుర్బలత్వాలకు ప్రతిస్పందనగా డిటెక్టర్‌లకు నేరుగా అప్‌డేట్ చేయబడిన భద్రతా నియమాలను డౌన్‌లోడ్ చేయగలదు.

కావిరిన్

• వెబ్సైట్: www.cavirin.com
• లైసెన్స్: వాణిజ్య

కావిరిన్ భద్రతా ప్రమాణాలకు సంబంధించిన వివిధ ఏజన్సీలకు కంపెనీ పక్షాన కాంట్రాక్టర్‌గా వ్యవహరిస్తుంది. ఇది ఇమేజ్‌లను స్కాన్ చేయడమే కాకుండా, CI/CD పైప్‌లైన్‌లో కూడా కలిసిపోతుంది, అవి క్లోజ్డ్ రిపోజిటరీలలోకి ప్రవేశించే ముందు ప్రామాణికం కాని ఇమేజ్‌లను బ్లాక్ చేస్తుంది.

కావిరిన్ యొక్క సెక్యూరిటీ సూట్ మీ సైబర్ సెక్యూరిటీ భంగిమను అంచనా వేయడానికి మెషీన్ లెర్నింగ్‌ని ఉపయోగిస్తుంది, భద్రతను మెరుగుపరచడానికి మరియు భద్రతా ప్రమాణాలకు అనుగుణంగా మెరుగుపరచడానికి చిట్కాలను అందిస్తోంది.

Google క్లౌడ్ సెక్యూరిటీ కమాండ్ సెంటర్

• వెబ్సైట్: cloud.google.com/security-command-center
• లైసెన్స్: వాణిజ్య

క్లౌడ్ సెక్యూరిటీ కమాండ్ సెంటర్ భద్రతా బృందాలకు డేటాను సేకరించడంలో, బెదిరింపులను గుర్తించడంలో మరియు కంపెనీకి హాని కలిగించే ముందు వాటిని తొలగించడంలో సహాయపడుతుంది.

పేరు సూచించినట్లుగా, Google Cloud SCC అనేది ఏకీకృత నియంత్రణ ప్యానెల్, ఇది ఒకే కేంద్రీకృత మూలం నుండి వివిధ రకాల భద్రతా నివేదికలు, ఆస్తి అకౌంటింగ్ ఇంజిన్‌లు మరియు మూడవ-పక్ష భద్రతా వ్యవస్థలను ఏకీకృతం చేయగలదు మరియు నిర్వహించగలదు.

Google Cloud SCC అందించే ఇంటర్‌ఆపరబుల్ API, Sysdig Secure (క్లౌడ్-నేటివ్ అప్లికేషన్‌ల కోసం కంటైనర్ సెక్యూరిటీ) లేదా ఫాల్కో (ఓపెన్ సోర్స్ రన్‌టైమ్ సెక్యూరిటీ) వంటి వివిధ మూలాల నుండి వచ్చే భద్రతా ఈవెంట్‌లను ఏకీకృతం చేయడాన్ని సులభతరం చేస్తుంది.

లేయర్డ్ ఇన్‌సైట్ (క్వాలీస్)

• వెబ్సైట్: layeredinight.com
• లైసెన్స్: వాణిజ్య

లేయర్డ్ ఇన్‌సైట్ (ఇప్పుడు క్వాలిస్ ఇంక్‌లో భాగం) "ఎంబెడెడ్ సెక్యూరిటీ" అనే భావనపై నిర్మించబడింది. గణాంక విశ్లేషణ మరియు CVE తనిఖీలను ఉపయోగించి దుర్బలత్వాల కోసం అసలైన చిత్రాన్ని స్కాన్ చేసిన తర్వాత, లేయర్డ్ ఇన్‌సైట్ ఏజెంట్‌ను బైనరీగా చేర్చే సాధన చిత్రంతో భర్తీ చేస్తుంది.

కంటైనర్ నెట్‌వర్క్ ట్రాఫిక్, I/O ఫ్లోలు మరియు అప్లికేషన్ యాక్టివిటీని విశ్లేషించడానికి ఈ ఏజెంట్ రన్‌టైమ్ భద్రతా పరీక్షలను కలిగి ఉంది. అదనంగా, ఇది ఇన్‌ఫ్రాస్ట్రక్చర్ అడ్మినిస్ట్రేటర్ లేదా DevOps బృందాలు పేర్కొన్న అదనపు భద్రతా తనిఖీలను నిర్వహించగలదు.

న్యూవెక్టర్

• వెబ్సైట్: neuvector.com
• లైసెన్స్: వాణిజ్య

NeuVector కంటైనర్ భద్రతను తనిఖీ చేస్తుంది మరియు నెట్‌వర్క్ కార్యాచరణ మరియు అప్లికేషన్ ప్రవర్తనను విశ్లేషించడం ద్వారా ప్రతి కంటైనర్‌కు వ్యక్తిగత భద్రతా ప్రొఫైల్‌ను సృష్టించడం ద్వారా రన్‌టైమ్ రక్షణను అందిస్తుంది. ఇది స్థానిక ఫైర్‌వాల్ నియమాలను మార్చడం ద్వారా అనుమానాస్పద కార్యకలాపాన్ని వేరుచేసి, బెదిరింపులను స్వయంగా నిరోధించగలదు.

NeuVector యొక్క నెట్‌వర్క్ ఇంటిగ్రేషన్, సెక్యూరిటీ మెష్ అని పిలుస్తారు, సర్వీస్ మెష్‌లోని అన్ని నెట్‌వర్క్ కనెక్షన్‌ల కోసం లోతైన ప్యాకెట్ విశ్లేషణ మరియు లేయర్ 7 ఫిల్టరింగ్ చేయగలదు.

స్టాక్‌రాక్స్

• వెబ్సైట్: www.stackrox.com
• లైసెన్స్: వాణిజ్య

StackRox కంటైనర్ సెక్యూరిటీ ప్లాట్‌ఫారమ్ ఒక క్లస్టర్‌లో Kubernetes అప్లికేషన్‌ల మొత్తం జీవితచక్రాన్ని కవర్ చేయడానికి ప్రయత్నిస్తుంది. ఈ జాబితాలోని ఇతర వాణిజ్య ప్లాట్‌ఫారమ్‌ల మాదిరిగానే, StackRox గమనించిన కంటైనర్ ప్రవర్తన ఆధారంగా రన్‌టైమ్ ప్రొఫైల్‌ను రూపొందిస్తుంది మరియు ఏదైనా వ్యత్యాసాల కోసం స్వయంచాలకంగా అలారంను పెంచుతుంది.

అదనంగా, StackRox కంటైనర్ సమ్మతిని అంచనా వేయడానికి Kubernetes CIS మరియు ఇతర నియమ పుస్తకాలను ఉపయోగించి Kubernetes కాన్ఫిగరేషన్‌లను విశ్లేషిస్తుంది.

సిస్డిగ్ సెక్యూర్

• వెబ్సైట్: sysdig.com/products/secure
• లైసెన్స్: వాణిజ్య

Sysdig Secure మొత్తం కంటైనర్ మరియు Kubernetes జీవితచక్రం అంతటా అప్లికేషన్‌లను రక్షిస్తుంది. అతను చిత్రాలను స్కాన్ చేస్తుంది కంటైనర్లు, అందిస్తుంది రన్‌టైమ్ రక్షణ మెషిన్ లెర్నింగ్ డేటా ప్రకారం, క్రీమ్ నిర్వహిస్తుంది. బలహీనతలను గుర్తించడంలో నైపుణ్యం, బెదిరింపులను అడ్డుకోవడం, మానిటర్లు స్థాపించబడిన ప్రమాణాలకు అనుగుణంగా మరియు మైక్రోసర్వీస్‌లో కార్యకలాపాలను తనిఖీ చేస్తుంది.

Sysdig Secure జెంకిన్స్ వంటి CI/CD సాధనాలతో అనుసంధానం చేస్తుంది మరియు డాకర్ రిజిస్ట్రీల నుండి లోడ్ చేయబడిన చిత్రాలను నియంత్రిస్తుంది, ఉత్పత్తిలో ప్రమాదకరమైన చిత్రాలు కనిపించకుండా చేస్తుంది. ఇది సమగ్ర రన్‌టైమ్ భద్రతను కూడా అందిస్తుంది, వీటిలో:

• ML-ఆధారిత రన్‌టైమ్ ప్రొఫైలింగ్ మరియు అసాధారణ గుర్తింపు;
• సిస్టమ్ ఈవెంట్‌లు, K8s-ఆడిట్ API, ఉమ్మడి కమ్యూనిటీ ప్రాజెక్ట్‌లు (FIM - ఫైల్ సమగ్రత పర్యవేక్షణ; క్రిప్టోజాకింగ్) మరియు ఫ్రేమ్‌వర్క్ ఆధారంగా రన్‌టైమ్ విధానాలు MITER ATT&CK;
• సంఘటనల ప్రతిస్పందన మరియు పరిష్కారం.

టెనబుల్ కంటైనర్ సెక్యూరిటీ

• వెబ్సైట్: www.tenable.com/products/tenable-io/container-security
• లైసెన్స్: వాణిజ్య

కంటైనర్ల రాకకు ముందు, టెనబుల్ అనేది ప్రముఖ వల్నరబిలిటీ హంటింగ్ మరియు సెక్యూరిటీ ఆడిటింగ్ సాధనం అయిన నెసస్ వెనుక ఉన్న కంపెనీగా పరిశ్రమలో విస్తృతంగా ప్రసిద్ది చెందింది.

టెనబుల్ కంటైనర్ సెక్యూరిటీ అనేది CI/CD పైప్‌లైన్‌ను వల్నరబిలిటీ డేటాబేస్‌లు, ప్రత్యేకమైన మాల్వేర్ డిటెక్షన్ ప్యాకేజీలు మరియు సెక్యూరిటీ బెదిరింపులను పరిష్కరించడానికి సిఫార్సులతో ఇంటిగ్రేట్ చేయడానికి కంపెనీ కంప్యూటర్ సెక్యూరిటీ నైపుణ్యాన్ని ప్రభావితం చేస్తుంది.

ట్విస్ట్‌లాక్ (పాలో ఆల్టో నెట్‌వర్క్స్)

• వెబ్సైట్: www.twistlock.com
• లైసెన్స్: వాణిజ్య

Twistlock క్లౌడ్ సేవలు మరియు కంటైనర్‌లపై దృష్టి కేంద్రీకరించిన ప్లాట్‌ఫారమ్‌గా ప్రచారం చేస్తుంది. ట్విస్ట్‌లాక్ వివిధ క్లౌడ్ ప్రొవైడర్‌లు (AWS, అజూర్, GCP), కంటైనర్ ఆర్కెస్ట్రేటర్‌లు (కుబెర్నెట్స్, మెసోస్‌పిహెర్, ఓపెన్‌షిఫ్ట్, డాకర్), సర్వర్‌లెస్ రన్‌టైమ్‌లు, మెష్ ఫ్రేమ్‌వర్క్‌లు మరియు CI/CD సాధనాలకు మద్దతు ఇస్తుంది.

CI/CD పైప్‌లైన్ ఇంటిగ్రేషన్ లేదా ఇమేజ్ స్కానింగ్ వంటి సంప్రదాయ ఎంటర్‌ప్రైజ్-గ్రేడ్ సెక్యూరిటీ టెక్నిక్‌లతో పాటు, ట్విస్ట్‌లాక్ కంటైనర్-నిర్దిష్ట ప్రవర్తనా నమూనాలు మరియు నెట్‌వర్క్ నియమాలను రూపొందించడానికి మెషిన్ లెర్నింగ్‌ను ఉపయోగిస్తుంది.

కొంతకాలం క్రితం, Evident.io మరియు RedLock ప్రాజెక్ట్‌లను కలిగి ఉన్న పాలో ఆల్టో నెట్‌వర్క్స్ ద్వారా Twistlock కొనుగోలు చేయబడింది. ఈ మూడు ప్లాట్‌ఫారమ్‌లు ఏ విధంగా అనుసంధానించబడతాయో ఇంకా తెలియదు ప్రిస్మా పాలో ఆల్టో నుండి.

కుబెర్నెట్స్ భద్రతా సాధనాల యొక్క ఉత్తమ కేటలాగ్‌ను రూపొందించడంలో సహాయపడండి!

మేము ఈ కేటలాగ్‌ను వీలైనంత పూర్తి చేయడానికి ప్రయత్నిస్తున్నాము మరియు దీని కోసం మాకు మీ సహాయం కావాలి! మమ్మల్ని సంప్రదించండి (@సిస్డిగ్) మీరు ఈ జాబితాలో చేర్చడానికి యోగ్యమైన మంచి సాధనాన్ని మనస్సులో కలిగి ఉంటే లేదా మీరు ఎర్రర్/పాత సమాచారాన్ని కనుగొంటే.

మీరు కూడా మా సభ్యత్వాన్ని పొందవచ్చు నెలవారీ వార్తాలేఖ క్లౌడ్-నేటివ్ ఎకోసిస్టమ్ నుండి వార్తలు మరియు కుబెర్నెటెస్ సెక్యూరిటీ ప్రపంచం నుండి ఆసక్తికరమైన ప్రాజెక్ట్‌ల గురించిన కథనాలతో.

అనువాదకుని నుండి PS

మా బ్లాగులో కూడా చదవండి:

• «సెక్యూరిటీ ప్రొఫెషనల్స్ కోసం కుబెర్నెట్స్ నెట్‌వర్క్ పాలసీలకు ఒక పరిచయం";
• «భద్రతను కోరుకునే వాతావరణంలో డాకర్ మరియు కుబెర్నెట్స్";
• «కుబెర్నెట్స్ భద్రత కోసం 9 ఉత్తమ పద్ధతులు";
• «కుబెర్నెటెస్ హ్యాక్‌కు బాధితులుగా మారడానికి (కాదు) 11 మార్గాలు";
• «OPA మరియు SPIFFE క్లౌడ్ అప్లికేషన్ భద్రత కోసం CNCFలో రెండు కొత్త ప్రాజెక్ట్‌లు".

మూలం: www.habr.com