గమనిక. అనువాదం.: మీరు Kubernetes ఆధారిత మౌలిక సదుపాయాలలో భద్రత గురించి ఆలోచిస్తున్నట్లయితే, Sysdig నుండి ఈ అద్భుతమైన అవలోకనం ప్రస్తుత పరిష్కారాలను శీఘ్రంగా చూడటానికి ఒక గొప్ప ప్రారంభ స్థానం. ఇది ప్రసిద్ధ మార్కెట్ ప్లేయర్ల నుండి సంక్లిష్ట వ్యవస్థలను మరియు నిర్దిష్ట సమస్యను పరిష్కరించే మరింత నిరాడంబరమైన యుటిలిటీలను కలిగి ఉంటుంది. మరియు వ్యాఖ్యలలో, ఎప్పటిలాగే, ఈ సాధనాలను ఉపయోగించి మీ అనుభవం గురించి వినడానికి మరియు ఇతర ప్రాజెక్ట్లకు లింక్లను చూడటానికి మేము సంతోషిస్తాము.
కుబెర్నెట్స్ భద్రతా సాఫ్ట్వేర్ ఉత్పత్తులు... వాటిలో చాలా ఉన్నాయి, ఒక్కొక్కటి వాటి స్వంత లక్ష్యాలు, పరిధి మరియు లైసెన్స్లతో ఉంటాయి.
అందుకే మేము ఈ జాబితాను రూపొందించాలని నిర్ణయించుకున్నాము మరియు వివిధ విక్రేతల నుండి ఓపెన్ సోర్స్ ప్రాజెక్ట్లు మరియు వాణిజ్య ప్లాట్ఫారమ్లు రెండింటినీ చేర్చాము. మీ నిర్దిష్ట కుబెర్నెట్స్ భద్రతా అవసరాల ఆధారంగా మీకు అత్యంత ఆసక్తి ఉన్న వాటిని గుర్తించడంలో మరియు సరైన దిశలో మీకు సూచించడంలో ఇది మీకు సహాయపడుతుందని మేము ఆశిస్తున్నాము.
వర్గం
జాబితాను సులభంగా నావిగేట్ చేయడానికి, సాధనాలు ప్రధాన విధి మరియు అప్లికేషన్ ద్వారా నిర్వహించబడతాయి. కింది విభాగాలు పొందబడ్డాయి:
కుబెర్నెట్స్ ఇమేజ్ స్కానింగ్ మరియు స్టాటిక్ అనాలిసిస్;
యాంకర్ కంటైనర్ చిత్రాలను విశ్లేషిస్తుంది మరియు వినియోగదారు నిర్వచించిన విధానాల ఆధారంగా భద్రతా తనిఖీలను అనుమతిస్తుంది.
CVE డేటాబేస్ నుండి తెలిసిన దుర్బలత్వాల కోసం కంటైనర్ చిత్రాల సాధారణ స్కానింగ్తో పాటు, యాంకర్ దాని స్కానింగ్ విధానంలో భాగంగా అనేక అదనపు తనిఖీలను నిర్వహిస్తుంది: డాకర్ఫైల్, క్రెడెన్షియల్ లీక్లు, ఉపయోగించిన ప్రోగ్రామింగ్ భాషల ప్యాకేజీలు (npm, మావెన్, మొదలైనవి. .), సాఫ్ట్వేర్ లైసెన్స్లు మరియు మరిన్ని .
ఇమేజ్ స్కానింగ్ కోసం మొదటి ఓపెన్ సోర్స్ ప్రాజెక్ట్లలో క్లెయిర్ ఒకటి. ఇది క్వే ఇమేజ్ రిజిస్ట్రీ వెనుక ఉన్న సెక్యూరిటీ స్కానర్గా విస్తృతంగా ప్రసిద్ధి చెందింది (CoreOS నుండి కూడా - సుమారు అనువాదం). డెబియన్, Red Hat లేదా ఉబుంటు భద్రతా బృందాలు నిర్వహించే Linux పంపిణీ-నిర్దిష్ట దుర్బలత్వాల జాబితాలతో సహా అనేక రకాల మూలాధారాల నుండి Clair CVE సమాచారాన్ని సేకరించవచ్చు.
యాంకర్ వలె కాకుండా, క్లెయిర్ ప్రాథమికంగా దుర్బలత్వాలను కనుగొనడం మరియు CVEలకు డేటాను సరిపోల్చడంపై దృష్టి పెడుతుంది. అయినప్పటికీ, ప్లగ్-ఇన్ డ్రైవర్లను ఉపయోగించి ఫంక్షన్లను విస్తరించడానికి ఉత్పత్తి వినియోగదారులకు కొన్ని అవకాశాలను అందిస్తుంది.
తెలిసిన దుర్బలత్వాలు, ట్రోజన్లు, వైరస్లు, మాల్వేర్ మరియు ఇతర బెదిరింపుల కోసం డాగ్డా కంటైనర్ చిత్రాల స్టాటిక్ విశ్లేషణను నిర్వహిస్తుంది.
దగ్డాను ఇతర సారూప్య సాధనాల నుండి రెండు గుర్తించదగిన లక్షణాలు వేరు చేస్తాయి:
ఇది సంపూర్ణంగా కలిసిపోతుంది ClamAV, కంటైనర్ చిత్రాలను స్కానింగ్ చేసే సాధనంగా మాత్రమే కాకుండా, యాంటీవైరస్గా కూడా పనిచేస్తుంది.
డాకర్ డెమోన్ నుండి నిజ-సమయ ఈవెంట్లను స్వీకరించడం మరియు ఫాల్కోతో అనుసంధానించడం ద్వారా రన్టైమ్ రక్షణను కూడా అందిస్తుంది (కింద చూడుము) కంటైనర్ నడుస్తున్నప్పుడు భద్రతా ఈవెంట్లను సేకరించడానికి.
లైసెన్స్: ఉచితం (అపాచీ), కానీ JFrog Xray (వాణిజ్య ఉత్పత్తి) నుండి డేటా అవసరం
KubeXray Kubernetes API సర్వర్ నుండి ఈవెంట్లను వింటుంది మరియు ప్రస్తుత పాలసీకి సరిపోలే పాడ్లు మాత్రమే ప్రారంభించబడుతున్నాయని నిర్ధారించుకోవడానికి JFrog Xray నుండి మెటాడేటాను ఉపయోగిస్తుంది.
KubeXray డిప్లాయ్మెంట్లలో కొత్త లేదా అప్డేట్ చేయబడిన కంటైనర్లను ఆడిట్ చేయడమే కాకుండా (కుబెర్నెట్స్లోని అడ్మిషన్ కంట్రోలర్ మాదిరిగానే), కానీ కొత్త భద్రతా విధానాలకు అనుగుణంగా నడుస్తున్న కంటైనర్లను డైనమిక్గా తనిఖీ చేస్తుంది, హాని కలిగించే చిత్రాలను సూచించే వనరులను తొలగిస్తుంది.
Snyk అనేది అసాధారణమైన వల్నరబిలిటీ స్కానర్, ఇది ప్రత్యేకంగా అభివృద్ధి ప్రక్రియను లక్ష్యంగా చేసుకుంటుంది మరియు డెవలపర్లకు "అవసరమైన పరిష్కారం"గా ప్రచారం చేయబడుతుంది.
Snyk నేరుగా కోడ్ రిపోజిటరీలకు కనెక్ట్ చేస్తుంది, ప్రాజెక్ట్ మానిఫెస్ట్ను అన్వయిస్తుంది మరియు ప్రత్యక్ష మరియు పరోక్ష డిపెండెన్సీలతో పాటు దిగుమతి చేసుకున్న కోడ్ను విశ్లేషిస్తుంది. Snyk అనేక ప్రసిద్ధ ప్రోగ్రామింగ్ భాషలకు మద్దతు ఇస్తుంది మరియు దాచిన లైసెన్స్ ప్రమాదాలను గుర్తించగలదు.
ట్రివీ అనేది CI/CD పైప్లైన్లో సులభంగా కలిసిపోయే కంటైనర్ల కోసం సరళమైన కానీ శక్తివంతమైన దుర్బలత్వ స్కానర్. దీని గుర్తించదగిన లక్షణం ఇన్స్టాలేషన్ మరియు ఆపరేషన్ సౌలభ్యం: అప్లికేషన్ ఒకే బైనరీని కలిగి ఉంటుంది మరియు డేటాబేస్ లేదా అదనపు లైబ్రరీల ఇన్స్టాలేషన్ అవసరం లేదు.
Trivy యొక్క సరళత యొక్క ప్రతికూలత ఏమిటంటే, JSON ఆకృతిలో ఫలితాలను ఎలా అన్వయించాలో మరియు ఫార్వార్డ్ చేయాలో మీరు గుర్తించాలి, తద్వారా ఇతర కుబెర్నెట్స్ భద్రతా సాధనాలు వాటిని ఉపయోగించగలవు.
ఫాల్కో అనేది క్లౌడ్ రన్టైమ్ పరిసరాలను భద్రపరచడానికి సాధనాల సమితి. ప్రాజెక్ట్ కుటుంబంలో భాగం సిఎన్సిఎఫ్.
Sysdig యొక్క Linux కెర్నల్-స్థాయి టూలింగ్ మరియు సిస్టమ్ కాల్ ప్రొఫైలింగ్ ఉపయోగించి, ఫాల్కో మిమ్మల్ని సిస్టమ్ ప్రవర్తనలో లోతుగా డైవ్ చేయడానికి అనుమతిస్తుంది. దీని రన్టైమ్ రూల్స్ ఇంజిన్ అప్లికేషన్లు, కంటైనర్లు, అంతర్లీన హోస్ట్ మరియు కుబెర్నెట్స్ ఆర్కెస్ట్రేటర్లో అనుమానాస్పద కార్యాచరణను గుర్తించగలదు.
ఫాల్కో రన్టైమ్లో పూర్తి పారదర్శకతను అందిస్తుంది మరియు ఈ ప్రయోజనాల కోసం ప్రత్యేక ఏజెంట్లను కుబెర్నెటెస్ నోడ్లపై మోహరించడం ద్వారా ముప్పు గుర్తింపును అందిస్తుంది. ఫలితంగా, కంటైనర్లలో మూడవ పక్షం కోడ్ని ప్రవేశపెట్టడం ద్వారా లేదా సైడ్కార్ కంటైనర్లను జోడించడం ద్వారా వాటిని సవరించాల్సిన అవసరం లేదు.
రన్టైమ్ కోసం Linux సెక్యూరిటీ ఫ్రేమ్వర్క్లు
Linux కెర్నల్ కోసం ఈ స్థానిక ఫ్రేమ్వర్క్లు సాంప్రదాయ అర్థంలో “కుబెర్నెట్స్ సెక్యూరిటీ టూల్స్” కావు, అయితే అవి రన్టైమ్ సెక్యూరిటీ సందర్భంలో ఒక ముఖ్యమైన అంశం అయినందున అవి ప్రస్తావించదగినవి, ఇది Kubernetes Pod Security Policy (PSP)లో చేర్చబడింది.
యాప్ ఆర్మర్ కంటైనర్లో నడుస్తున్న ప్రాసెస్లకు భద్రతా ప్రొఫైల్ను జత చేస్తుంది, ఫైల్ సిస్టమ్ అధికారాలను నిర్వచించడం, నెట్వర్క్ యాక్సెస్ నియమాలు, లైబ్రరీలను కనెక్ట్ చేయడం మొదలైనవి. ఇది తప్పనిసరి యాక్సెస్ నియంత్రణ (MAC)పై ఆధారపడిన వ్యవస్థ. మరో మాటలో చెప్పాలంటే, ఇది నిషేధించబడిన చర్యలను నిర్వహించకుండా నిరోధిస్తుంది.
భద్రత-మెరుగైన Linux (SELinux) అనేది Linux కెర్నల్లోని ఒక అధునాతన భద్రతా మాడ్యూల్, ఇది AppArmor వంటి కొన్ని అంశాలలో సమానంగా ఉంటుంది మరియు తరచుగా దానితో పోల్చబడుతుంది. SELinux శక్తి, వశ్యత మరియు అనుకూలీకరణలో AppArmor కంటే మెరుగైనది. దీని ప్రతికూలతలు సుదీర్ఘ అభ్యాస వక్రత మరియు పెరిగిన సంక్లిష్టత.
సెకాంప్ మరియు seccomp-bpf సిస్టమ్ కాల్లను ఫిల్టర్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, బేస్ OS కోసం సంభావ్యంగా ప్రమాదకరమైనవి మరియు వినియోగదారు అప్లికేషన్ల సాధారణ ఆపరేషన్కు అవసరం లేని వాటి అమలును నిరోధించవచ్చు. Seccomp కొన్ని మార్గాల్లో ఫాల్కోను పోలి ఉంటుంది, అయినప్పటికీ కంటైనర్ల ప్రత్యేకతలు దీనికి తెలియదు.
Sysdig అనేది Linux సిస్టమ్లను విశ్లేషించడం, నిర్ధారించడం మరియు డీబగ్గింగ్ చేయడం కోసం ఒక పూర్తి సాధనం (Windows మరియు macOSలో కూడా పనిచేస్తుంది, కానీ పరిమిత ఫంక్షన్లతో). ఇది వివరణాత్మక సమాచార సేకరణ, ధృవీకరణ మరియు ఫోరెన్సిక్ విశ్లేషణ కోసం ఉపయోగించవచ్చు. (ఫోరెన్సిక్స్) బేస్ సిస్టమ్ మరియు దానిపై నడుస్తున్న ఏదైనా కంటైనర్లు.
Sysdig స్థానికంగా కంటైనర్ రన్టైమ్లు మరియు కుబెర్నెట్స్ మెటాడేటాకు మద్దతు ఇస్తుంది, ఇది సేకరించే అన్ని సిస్టమ్ ప్రవర్తన సమాచారానికి అదనపు కొలతలు మరియు లేబుల్లను జోడిస్తుంది. సిస్డిగ్ని ఉపయోగించి కుబెర్నెట్స్ క్లస్టర్ను విశ్లేషించడానికి అనేక మార్గాలు ఉన్నాయి: మీరు పాయింట్-ఇన్-టైమ్ క్యాప్చర్ని దీని ద్వారా చేయవచ్చు. kubectl క్యాప్చర్ లేదా ప్లగిన్ని ఉపయోగించి ncurses-ఆధారిత ఇంటరాక్టివ్ ఇంటర్ఫేస్ను ప్రారంభించండి kubectl డిగ్.
అపోరెటో "నెట్వర్క్ మరియు ఇన్ఫ్రాస్ట్రక్చర్ నుండి వేరు చేయబడిన భద్రత" అందిస్తుంది. దీని అర్థం Kubernetes సేవలు స్థానిక IDని (అంటే కుబెర్నెట్స్లో సర్వీస్ ఖాతా) మాత్రమే కాకుండా, ఏదైనా ఇతర సేవతో సురక్షితంగా మరియు పరస్పరం కమ్యూనికేట్ చేయడానికి ఉపయోగించే యూనివర్సల్ ID/ఫింగర్ప్రింట్ను కూడా అందుకుంటాయి, ఉదాహరణకు OpenShift క్లస్టర్లో.
అపోరెటో కుబెర్నెట్స్/కంటైనర్ల కోసం మాత్రమే కాకుండా హోస్ట్లు, క్లౌడ్ ఫంక్షన్లు మరియు యూజర్ల కోసం కూడా ప్రత్యేకమైన IDని రూపొందించగలదు. ఈ ఐడెంటిఫైయర్లు మరియు అడ్మినిస్ట్రేటర్ సెట్ చేసిన నెట్వర్క్ భద్రతా నియమాల సెట్ ఆధారంగా, కమ్యూనికేషన్లు అనుమతించబడతాయి లేదా బ్లాక్ చేయబడతాయి.
కాలికో సాధారణంగా కంటైనర్ ఆర్కెస్ట్రేటర్ ఇన్స్టాలేషన్ సమయంలో అమలు చేయబడుతుంది, ఇది కంటైనర్లను ఇంటర్కనెక్ట్ చేసే వర్చువల్ నెట్వర్క్ను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఈ ప్రాథమిక నెట్వర్క్ కార్యాచరణతో పాటు, కాలికో ప్రాజెక్ట్ కుబెర్నెట్స్ నెట్వర్క్ విధానాలు మరియు దాని స్వంత నెట్వర్క్ భద్రతా ప్రొఫైల్లతో పనిచేస్తుంది, ఎండ్పాయింట్ ACLలు (యాక్సెస్ కంట్రోల్ లిస్ట్లు) మరియు ఇన్గ్రెస్ మరియు ఎగ్రెస్ ట్రాఫిక్ కోసం ఉల్లేఖన-ఆధారిత నెట్వర్క్ భద్రతా నియమాలకు మద్దతు ఇస్తుంది.
Cilium కంటైనర్లకు ఫైర్వాల్గా పనిచేస్తుంది మరియు కుబెర్నెట్స్ మరియు మైక్రోసర్వీసెస్ వర్క్లోడ్లకు స్థానికంగా రూపొందించబడిన నెట్వర్క్ భద్రతా లక్షణాలను అందిస్తుంది. డేటాను ఫిల్టర్ చేయడానికి, పర్యవేక్షించడానికి, దారి మళ్లించడానికి మరియు సరిచేయడానికి Cilium BPF (Berkeley Packet Filter) అనే కొత్త Linux కెర్నల్ సాంకేతికతను ఉపయోగిస్తుంది.
Cilium డాకర్ లేదా కుబెర్నెట్స్ లేబుల్లు మరియు మెటాడేటాను ఉపయోగించి కంటైనర్ IDల ఆధారంగా నెట్వర్క్ యాక్సెస్ విధానాలను అమలు చేయగలదు. Cilium HTTP లేదా gRPC వంటి వివిధ లేయర్ 7 ప్రోటోకాల్లను కూడా అర్థం చేసుకుంటుంది మరియు ఫిల్టర్ చేస్తుంది, ఉదాహరణకు రెండు కుబెర్నెట్స్ డిప్లాయ్మెంట్ల మధ్య అనుమతించబడే REST కాల్ల సమితిని నిర్వచించడానికి మిమ్మల్ని అనుమతిస్తుంది.
ప్లాట్ఫారమ్-ఇండిపెండెంట్ కంట్రోల్ ప్లేన్ని అమలు చేయడం మరియు డైనమిక్గా కాన్ఫిగర్ చేయగల ఎన్వోయ్ ప్రాక్సీల ద్వారా నిర్వహించబడే అన్ని సేవా ట్రాఫిక్ను రూట్ చేయడం ద్వారా సర్వీస్ మెష్ నమూనాను అమలు చేయడం కోసం ఇస్టియో విస్తృతంగా ప్రసిద్ధి చెందింది. వివిధ నెట్వర్క్ భద్రతా వ్యూహాలను అమలు చేయడానికి ఇస్టియో అన్ని మైక్రోసర్వీస్లు మరియు కంటైనర్ల యొక్క ఈ అధునాతన వీక్షణను ఉపయోగించుకుంటుంది.
Istio యొక్క నెట్వర్క్ భద్రతా సామర్థ్యాలలో మైక్రోసర్వీస్ల మధ్య కమ్యూనికేషన్లను స్వయంచాలకంగా HTTPSకి అప్గ్రేడ్ చేయడానికి పారదర్శక TLS ఎన్క్రిప్షన్ మరియు క్లస్టర్లోని వివిధ పనిభారాల మధ్య కమ్యూనికేషన్ను అనుమతించడానికి/నిరాకరించడానికి యాజమాన్య RBAC గుర్తింపు మరియు అధికార వ్యవస్థ ఉన్నాయి.
గమనిక. అనువాదం.: ఇస్టియో యొక్క భద్రత-కేంద్రీకృత సామర్థ్యాల గురించి మరింత తెలుసుకోవడానికి, చదవండి ఈ వ్యాసం.
"కుబెర్నెట్స్ ఫైర్వాల్" అని పిలవబడే ఈ పరిష్కారం నెట్వర్క్ భద్రతకు జీరో-ట్రస్ట్ విధానాన్ని నొక్కి చెబుతుంది.
ఇతర స్థానిక కుబెర్నెట్స్ నెట్వర్కింగ్ సొల్యూషన్ల మాదిరిగానే, టైగెరా క్లస్టర్లోని వివిధ సేవలు మరియు వస్తువులను గుర్తించడానికి మెటాడేటాపై ఆధారపడుతుంది మరియు మల్టీ-క్లౌడ్ లేదా హైబ్రిడ్ మోనోలిథిక్-కంటైనరైజ్డ్ ఇన్ఫ్రాస్ట్రక్చర్ల కోసం రన్టైమ్ ఇష్యూ డిటెక్షన్, నిరంతర సమ్మతి తనిఖీ మరియు నెట్వర్క్ విజిబిలిటీని అందిస్తుంది.
Trireme-Kubernetes అనేది Kubernetes నెట్వర్క్ పాలసీల స్పెసిఫికేషన్ యొక్క సరళమైన మరియు సూటిగా అమలు. అత్యంత ముఖ్యమైన లక్షణం ఏమిటంటే - ఇలాంటి కుబెర్నెట్స్ నెట్వర్క్ భద్రతా ఉత్పత్తుల వలె కాకుండా - మెష్ను సమన్వయం చేయడానికి దీనికి సెంట్రల్ కంట్రోల్ ప్లేన్ అవసరం లేదు. ఇది పరిష్కారాన్ని స్వల్పంగా కొలవగలిగేలా చేస్తుంది. ట్రైరీమ్లో, హోస్ట్ యొక్క TCP/IP స్టాక్కు నేరుగా కనెక్ట్ చేసే ప్రతి నోడ్లో ఏజెంట్ను ఇన్స్టాల్ చేయడం ద్వారా ఇది సాధించబడుతుంది.
Grafeas అనేది సాఫ్ట్వేర్ సప్లై చైన్ ఆడిటింగ్ మరియు మేనేజ్మెంట్ కోసం ఒక ఓపెన్ సోర్స్ API. ప్రాథమిక స్థాయిలో, గ్రాఫీస్ అనేది మెటాడేటా మరియు ఆడిట్ ఫలితాలను సేకరించడానికి ఒక సాధనం. ఇది సంస్థలోని భద్రతా ఉత్తమ అభ్యాసాలకు అనుగుణంగా ట్రాక్ చేయడానికి ఉపయోగించబడుతుంది.
సత్యం యొక్క ఈ కేంద్రీకృత మూలం వంటి ప్రశ్నలకు సమాధానమివ్వడంలో సహాయపడుతుంది:
నిర్దిష్ట కంటైనర్ కోసం ఎవరు సేకరించి సంతకం చేశారు?
ఇది భద్రతా విధానానికి అవసరమైన అన్ని భద్రతా స్కాన్లు మరియు తనిఖీలను ఆమోదించిందా? ఎప్పుడు? ఫలితాలు ఏమిటి?
దానిని ఉత్పత్తికి ఎవరు ఉపయోగించారు? విస్తరణ సమయంలో ఏ నిర్దిష్ట పారామితులు ఉపయోగించబడ్డాయి?
ఇన్-టోటో అనేది మొత్తం సాఫ్ట్వేర్ సరఫరా గొలుసు యొక్క సమగ్రత, ప్రమాణీకరణ మరియు ఆడిటింగ్ను అందించడానికి రూపొందించబడిన ఫ్రేమ్వర్క్. ఇన్ఫ్రాస్ట్రక్చర్లో ఇన్-టోటోను అమలు చేస్తున్నప్పుడు, పైప్లైన్లోని వివిధ దశలను (రిపోజిటరీ, CI/CD టూల్స్, QA టూల్స్, ఆర్టిఫ్యాక్ట్ కలెక్టర్లు మొదలైనవి) మరియు అనుమతించబడిన వినియోగదారులను (బాధ్యతగల వ్యక్తులు) వివరించే ప్లాన్ మొదట నిర్వచించబడుతుంది. వాటిని ప్రారంభించండి.
ఇన్-టోటో ప్రణాళిక అమలును పర్యవేక్షిస్తుంది, గొలుసులోని ప్రతి పనిని అధీకృత సిబ్బంది మాత్రమే సరిగ్గా నిర్వహిస్తారని మరియు కదలిక సమయంలో ఉత్పత్తితో అనధికారిక అవకతవకలు జరగలేదని ధృవీకరిస్తుంది.
పోర్టీరిస్ అనేది కుబెర్నెట్లకు అడ్మిషన్ కంట్రోలర్; కంటెంట్ ట్రస్ట్ తనిఖీలను అమలు చేయడానికి ఉపయోగిస్తారు. పోర్టీరిస్ సర్వర్ని ఉపయోగిస్తుంది నోటరీ(మేము అతని గురించి చివరలో వ్రాసాము ఈ వ్యాసం - సుమారు అనువాదం) విశ్వసనీయ మరియు సంతకం చేయబడిన కళాఖండాలను (అంటే ఆమోదించబడిన కంటైనర్ చిత్రాలు) ధృవీకరించడానికి సత్యానికి మూలం.
Kubernetesలో పనిభారం సృష్టించబడినప్పుడు లేదా సవరించబడినప్పుడు, Portieris అభ్యర్థించిన కంటైనర్ చిత్రాల కోసం సంతకం చేసే సమాచారం మరియు కంటెంట్ ట్రస్ట్ విధానాన్ని డౌన్లోడ్ చేస్తుంది మరియు అవసరమైతే, ఆ చిత్రాల సంతకం చేసిన సంస్కరణలను అమలు చేయడానికి JSON API ఆబ్జెక్ట్లో ఫ్లై మార్పులు చేస్తుంది.
వాల్ట్ అనేది ప్రైవేట్ సమాచారాన్ని నిల్వ చేయడానికి సురక్షితమైన పరిష్కారం: పాస్వర్డ్లు, OAuth టోకెన్లు, PKI సర్టిఫికేట్లు, యాక్సెస్ ఖాతాలు, కుబెర్నెట్స్ రహస్యాలు మొదలైనవి. వాల్ట్ ఎఫెమెరల్ సెక్యూరిటీ టోకెన్లను లీజుకు ఇవ్వడం లేదా కీ భ్రమణాన్ని నిర్వహించడం వంటి అనేక అధునాతన ఫీచర్లకు మద్దతు ఇస్తుంది.
హెల్మ్ చార్ట్ని ఉపయోగించి, వాల్ట్ని కాన్సుల్తో బ్యాకెండ్ స్టోరేజ్తో కుబెర్నెట్స్ క్లస్టర్లో కొత్త డిప్లాయ్మెంట్గా అమలు చేయవచ్చు. ఇది ServiceAccount టోకెన్ల వంటి స్థానిక Kubernetes వనరులకు మద్దతు ఇస్తుంది మరియు Kubernetes రహస్యాల కోసం డిఫాల్ట్ స్టోర్గా కూడా పని చేస్తుంది.
గమనిక. అనువాదం.: మార్గం ద్వారా, నిన్ననే HashiCorp, ఇది వాల్ట్ను అభివృద్ధి చేస్తుంది, కుబెర్నెట్స్లో వాల్ట్ను ఉపయోగించడం కోసం కొన్ని మెరుగుదలలను ప్రకటించింది మరియు ముఖ్యంగా అవి హెల్మ్ చార్ట్కు సంబంధించినవి. లో మరింత చదవండి బ్లాగ్ రాస్రాబోట్చికా.
Kube-bench అనేది జాబితా నుండి పరీక్షలను అమలు చేయడం ద్వారా Kubernetes సురక్షితంగా అమలు చేయబడిందో లేదో తనిఖీ చేసే Go అప్లికేషన్. CIS కుబెర్నెటెస్ బెంచ్మార్క్.
Kube-bench క్లస్టర్ కాంపోనెంట్ల మధ్య అసురక్షిత కాన్ఫిగరేషన్ సెట్టింగ్ల కోసం చూస్తుంది (etcd, API, కంట్రోలర్ మేనేజర్, మొదలైనవి), సందేహాస్పద ఫైల్ యాక్సెస్ హక్కులు, అసురక్షిత ఖాతాలు లేదా ఓపెన్ పోర్ట్లు, రిసోర్స్ కోటాలు, DoS దాడుల నుండి రక్షించడానికి API కాల్ల సంఖ్యను పరిమితం చేసే సెట్టింగ్లు , మొదలైనవి
కుబెర్నెటెస్ క్లస్టర్లలో సంభావ్య దుర్బలత్వాలను (రిమోట్ కోడ్ అమలు లేదా డేటా బహిర్గతం వంటివి) కోసం Kube-హంటర్ వేటాడుతుంది. Kube-హంటర్ను రిమోట్ స్కానర్గా అమలు చేయవచ్చు - ఈ సందర్భంలో ఇది క్లస్టర్ను మూడవ పక్షం దాడి చేసేవారి కోణం నుండి అంచనా వేస్తుంది - లేదా క్లస్టర్ లోపల పాడ్గా ఉంటుంది.
కుబే-హంటర్ యొక్క విలక్షణమైన లక్షణం దాని “యాక్టివ్ హంటింగ్” మోడ్, ఈ సమయంలో ఇది సమస్యలను నివేదించడమే కాకుండా, లక్ష్య క్లస్టర్లో కనుగొనబడిన దుర్బలత్వాల ప్రయోజనాన్ని పొందడానికి ప్రయత్నిస్తుంది, అది దాని ఆపరేషన్కు హాని కలిగించవచ్చు. కాబట్టి జాగ్రత్తగా వాడండి!
Kubeaudit అనేది వివిధ భద్రతా సమస్యల కోసం Kubernetes కాన్ఫిగరేషన్ను ఆడిట్ చేయడానికి Shopifyలో మొదట అభివృద్ధి చేయబడిన కన్సోల్ సాధనం. ఉదాహరణకు, ఇది నియంత్రణ లేకుండా నడుస్తున్న కంటైనర్లను గుర్తించడంలో సహాయపడుతుంది, రూట్గా నడుస్తుంది, అధికారాలను దుర్వినియోగం చేస్తుంది లేదా డిఫాల్ట్ సర్వీస్అకౌంట్ని ఉపయోగిస్తుంది.
Kubeaudit ఇతర ఆసక్తికరమైన లక్షణాలను కలిగి ఉంది. ఉదాహరణకు, ఇది స్థానిక YAML ఫైల్లను విశ్లేషించగలదు, భద్రతా సమస్యలకు దారితీసే కాన్ఫిగరేషన్ లోపాలను గుర్తించగలదు మరియు వాటిని స్వయంచాలకంగా పరిష్కరించగలదు.
Kubesec అనేది ఒక ప్రత్యేక సాధనం, ఇది Kubernetes వనరులను వివరించే YAML ఫైల్లను నేరుగా స్కాన్ చేస్తుంది, భద్రతను ప్రభావితం చేసే బలహీనమైన పారామితుల కోసం వెతుకుతుంది.
ఉదాహరణకు, ఇది పాడ్కు మంజూరైన అధిక అధికారాలు మరియు అనుమతులను గుర్తించగలదు, డిఫాల్ట్ వినియోగదారుగా రూట్తో కంటైనర్ను నడుపుతోంది, హోస్ట్ యొక్క నెట్వర్క్ నేమ్స్పేస్కు కనెక్ట్ చేయడం లేదా వంటి ప్రమాదకరమైన మౌంట్లు /proc హోస్ట్ లేదా డాకర్ సాకెట్. Kubesec యొక్క మరొక ఆసక్తికరమైన ఫీచర్ ఆన్లైన్లో అందుబాటులో ఉన్న డెమో సేవ, దీనిలో మీరు YAMLని అప్లోడ్ చేయవచ్చు మరియు వెంటనే దానిని విశ్లేషించవచ్చు.
OPA (ఓపెన్ పాలసీ ఏజెంట్) యొక్క భావన అనేది నిర్దిష్ట రన్టైమ్ ప్లాట్ఫారమ్ నుండి భద్రతా విధానాలు మరియు భద్రతా ఉత్తమ అభ్యాసాలను విడదీయడం: డాకర్, కుబెర్నెట్స్, మెసోస్పియర్, ఓపెన్షిఫ్ట్ లేదా వాటి కలయిక.
ఉదాహరణకు, మీరు కుబెర్నెట్స్ అడ్మిషన్ కంట్రోలర్ కోసం OPAని బ్యాకెండ్గా అమలు చేయవచ్చు, దానికి భద్రతా నిర్ణయాలను అప్పగించవచ్చు. ఈ విధంగా, OPA ఏజెంట్ పేర్కొన్న భద్రతా పారామితులకు అనుగుణంగా ఉన్నారని నిర్ధారిస్తూ, ఫ్లైలో అభ్యర్థనలను ధృవీకరించవచ్చు, తిరస్కరించవచ్చు మరియు సవరించవచ్చు. OPA యొక్క భద్రతా విధానాలు దాని యాజమాన్య DSL భాష అయిన రెగోలో వ్రాయబడ్డాయి.
గమనిక. అనువాదం.: మేము OPA (మరియు SPIFFE) గురించి మరింత రాశాము ఈ విషయం.
కుబెర్నెట్స్ భద్రతా విశ్లేషణ కోసం సమగ్ర వాణిజ్య సాధనాలు
మేము వాణిజ్య ప్లాట్ఫారమ్ల కోసం ప్రత్యేక వర్గాన్ని సృష్టించాలని నిర్ణయించుకున్నాము ఎందుకంటే అవి సాధారణంగా బహుళ భద్రతా ప్రాంతాలను కవర్ చేస్తాయి. వారి సామర్థ్యాల యొక్క సాధారణ ఆలోచనను పట్టిక నుండి పొందవచ్చు:
ఈ వాణిజ్య సాధనం కంటైనర్లు మరియు క్లౌడ్ వర్క్లోడ్ల కోసం రూపొందించబడింది. ఇది అందిస్తుంది:
ఇమేజ్ స్కానింగ్ కంటైనర్ రిజిస్ట్రీ లేదా CI/CD పైప్లైన్తో ఏకీకృతం చేయబడింది;
కంటైనర్లలో మార్పులు మరియు ఇతర అనుమానాస్పద కార్యకలాపాల కోసం శోధనతో రన్టైమ్ రక్షణ;
కంటైనర్-స్థానిక ఫైర్వాల్;
క్లౌడ్ సేవల్లో సర్వర్లెస్ కోసం భద్రత;
ఈవెంట్ లాగింగ్తో కలిపి సమ్మతి పరీక్ష మరియు ఆడిటింగ్.
గమనిక. అనువాదం.: ఇది కూడా ఉన్నాయి పేర్కొంది విలువ అనే ఉత్పత్తి యొక్క ఉచిత భాగం మైక్రోస్కానర్, ఇది దుర్బలత్వాల కోసం కంటైనర్ చిత్రాలను స్కాన్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. చెల్లింపు సంస్కరణలతో దాని సామర్థ్యాల పోలిక ప్రదర్శించబడింది ఈ పట్టిక.
క్యాప్సూల్8 లోకల్ లేదా క్లౌడ్ కుబెర్నెట్స్ క్లస్టర్లో డిటెక్టర్ను ఇన్స్టాల్ చేయడం ద్వారా ఇన్ఫ్రాస్ట్రక్చర్లో కలిసిపోతుంది. ఈ డిటెక్టర్ హోస్ట్ మరియు నెట్వర్క్ టెలిమెట్రీని సేకరిస్తుంది, ఇది వివిధ రకాల దాడులతో సహసంబంధం కలిగిస్తుంది.
క్యాప్సూల్8 బృందం దాని పనిని కొత్త వాటిని ఉపయోగించి ముందస్తుగా గుర్తించడం మరియు దాడులను నివారించడంగా చూస్తుంది (0-రోజు) దుర్బలత్వాలు. క్యాప్సూల్8 కొత్తగా కనుగొనబడిన బెదిరింపులు మరియు సాఫ్ట్వేర్ దుర్బలత్వాలకు ప్రతిస్పందనగా డిటెక్టర్లకు నేరుగా అప్డేట్ చేయబడిన భద్రతా నియమాలను డౌన్లోడ్ చేయగలదు.
కావిరిన్ భద్రతా ప్రమాణాలకు సంబంధించిన వివిధ ఏజన్సీలకు కంపెనీ పక్షాన కాంట్రాక్టర్గా వ్యవహరిస్తుంది. ఇది ఇమేజ్లను స్కాన్ చేయడమే కాకుండా, CI/CD పైప్లైన్లో కూడా కలిసిపోతుంది, అవి క్లోజ్డ్ రిపోజిటరీలలోకి ప్రవేశించే ముందు ప్రామాణికం కాని ఇమేజ్లను బ్లాక్ చేస్తుంది.
కావిరిన్ యొక్క సెక్యూరిటీ సూట్ మీ సైబర్ సెక్యూరిటీ భంగిమను అంచనా వేయడానికి మెషీన్ లెర్నింగ్ని ఉపయోగిస్తుంది, భద్రతను మెరుగుపరచడానికి మరియు భద్రతా ప్రమాణాలకు అనుగుణంగా మెరుగుపరచడానికి చిట్కాలను అందిస్తోంది.
క్లౌడ్ సెక్యూరిటీ కమాండ్ సెంటర్ భద్రతా బృందాలకు డేటాను సేకరించడంలో, బెదిరింపులను గుర్తించడంలో మరియు కంపెనీకి హాని కలిగించే ముందు వాటిని తొలగించడంలో సహాయపడుతుంది.
పేరు సూచించినట్లుగా, Google Cloud SCC అనేది ఏకీకృత నియంత్రణ ప్యానెల్, ఇది ఒకే కేంద్రీకృత మూలం నుండి వివిధ రకాల భద్రతా నివేదికలు, ఆస్తి అకౌంటింగ్ ఇంజిన్లు మరియు మూడవ-పక్ష భద్రతా వ్యవస్థలను ఏకీకృతం చేయగలదు మరియు నిర్వహించగలదు.
Google Cloud SCC అందించే ఇంటర్ఆపరబుల్ API, Sysdig Secure (క్లౌడ్-నేటివ్ అప్లికేషన్ల కోసం కంటైనర్ సెక్యూరిటీ) లేదా ఫాల్కో (ఓపెన్ సోర్స్ రన్టైమ్ సెక్యూరిటీ) వంటి వివిధ మూలాల నుండి వచ్చే భద్రతా ఈవెంట్లను ఏకీకృతం చేయడాన్ని సులభతరం చేస్తుంది.
లేయర్డ్ ఇన్సైట్ (ఇప్పుడు క్వాలిస్ ఇంక్లో భాగం) "ఎంబెడెడ్ సెక్యూరిటీ" అనే భావనపై నిర్మించబడింది. గణాంక విశ్లేషణ మరియు CVE తనిఖీలను ఉపయోగించి దుర్బలత్వాల కోసం అసలైన చిత్రాన్ని స్కాన్ చేసిన తర్వాత, లేయర్డ్ ఇన్సైట్ ఏజెంట్ను బైనరీగా చేర్చే సాధన చిత్రంతో భర్తీ చేస్తుంది.
కంటైనర్ నెట్వర్క్ ట్రాఫిక్, I/O ఫ్లోలు మరియు అప్లికేషన్ యాక్టివిటీని విశ్లేషించడానికి ఈ ఏజెంట్ రన్టైమ్ భద్రతా పరీక్షలను కలిగి ఉంది. అదనంగా, ఇది ఇన్ఫ్రాస్ట్రక్చర్ అడ్మినిస్ట్రేటర్ లేదా DevOps బృందాలు పేర్కొన్న అదనపు భద్రతా తనిఖీలను నిర్వహించగలదు.
NeuVector కంటైనర్ భద్రతను తనిఖీ చేస్తుంది మరియు నెట్వర్క్ కార్యాచరణ మరియు అప్లికేషన్ ప్రవర్తనను విశ్లేషించడం ద్వారా ప్రతి కంటైనర్కు వ్యక్తిగత భద్రతా ప్రొఫైల్ను సృష్టించడం ద్వారా రన్టైమ్ రక్షణను అందిస్తుంది. ఇది స్థానిక ఫైర్వాల్ నియమాలను మార్చడం ద్వారా అనుమానాస్పద కార్యకలాపాన్ని వేరుచేసి, బెదిరింపులను స్వయంగా నిరోధించగలదు.
NeuVector యొక్క నెట్వర్క్ ఇంటిగ్రేషన్, సెక్యూరిటీ మెష్ అని పిలుస్తారు, సర్వీస్ మెష్లోని అన్ని నెట్వర్క్ కనెక్షన్ల కోసం లోతైన ప్యాకెట్ విశ్లేషణ మరియు లేయర్ 7 ఫిల్టరింగ్ చేయగలదు.
StackRox కంటైనర్ సెక్యూరిటీ ప్లాట్ఫారమ్ ఒక క్లస్టర్లో Kubernetes అప్లికేషన్ల మొత్తం జీవితచక్రాన్ని కవర్ చేయడానికి ప్రయత్నిస్తుంది. ఈ జాబితాలోని ఇతర వాణిజ్య ప్లాట్ఫారమ్ల మాదిరిగానే, StackRox గమనించిన కంటైనర్ ప్రవర్తన ఆధారంగా రన్టైమ్ ప్రొఫైల్ను రూపొందిస్తుంది మరియు ఏదైనా వ్యత్యాసాల కోసం స్వయంచాలకంగా అలారంను పెంచుతుంది.
అదనంగా, StackRox కంటైనర్ సమ్మతిని అంచనా వేయడానికి Kubernetes CIS మరియు ఇతర నియమ పుస్తకాలను ఉపయోగించి Kubernetes కాన్ఫిగరేషన్లను విశ్లేషిస్తుంది.
Sysdig Secure మొత్తం కంటైనర్ మరియు Kubernetes జీవితచక్రం అంతటా అప్లికేషన్లను రక్షిస్తుంది. అతను చిత్రాలను స్కాన్ చేస్తుంది కంటైనర్లు, అందిస్తుంది రన్టైమ్ రక్షణ మెషిన్ లెర్నింగ్ డేటా ప్రకారం, క్రీమ్ నిర్వహిస్తుంది. బలహీనతలను గుర్తించడంలో నైపుణ్యం, బెదిరింపులను అడ్డుకోవడం, మానిటర్లు స్థాపించబడిన ప్రమాణాలకు అనుగుణంగా మరియు మైక్రోసర్వీస్లో కార్యకలాపాలను తనిఖీ చేస్తుంది.
Sysdig Secure జెంకిన్స్ వంటి CI/CD సాధనాలతో అనుసంధానం చేస్తుంది మరియు డాకర్ రిజిస్ట్రీల నుండి లోడ్ చేయబడిన చిత్రాలను నియంత్రిస్తుంది, ఉత్పత్తిలో ప్రమాదకరమైన చిత్రాలు కనిపించకుండా చేస్తుంది. ఇది సమగ్ర రన్టైమ్ భద్రతను కూడా అందిస్తుంది, వీటిలో:
ML-ఆధారిత రన్టైమ్ ప్రొఫైలింగ్ మరియు అసాధారణ గుర్తింపు;
సిస్టమ్ ఈవెంట్లు, K8s-ఆడిట్ API, ఉమ్మడి కమ్యూనిటీ ప్రాజెక్ట్లు (FIM - ఫైల్ సమగ్రత పర్యవేక్షణ; క్రిప్టోజాకింగ్) మరియు ఫ్రేమ్వర్క్ ఆధారంగా రన్టైమ్ విధానాలు MITER ATT&CK;
కంటైనర్ల రాకకు ముందు, టెనబుల్ అనేది ప్రముఖ వల్నరబిలిటీ హంటింగ్ మరియు సెక్యూరిటీ ఆడిటింగ్ సాధనం అయిన నెసస్ వెనుక ఉన్న కంపెనీగా పరిశ్రమలో విస్తృతంగా ప్రసిద్ది చెందింది.
టెనబుల్ కంటైనర్ సెక్యూరిటీ అనేది CI/CD పైప్లైన్ను వల్నరబిలిటీ డేటాబేస్లు, ప్రత్యేకమైన మాల్వేర్ డిటెక్షన్ ప్యాకేజీలు మరియు సెక్యూరిటీ బెదిరింపులను పరిష్కరించడానికి సిఫార్సులతో ఇంటిగ్రేట్ చేయడానికి కంపెనీ కంప్యూటర్ సెక్యూరిటీ నైపుణ్యాన్ని ప్రభావితం చేస్తుంది.
Twistlock క్లౌడ్ సేవలు మరియు కంటైనర్లపై దృష్టి కేంద్రీకరించిన ప్లాట్ఫారమ్గా ప్రచారం చేస్తుంది. ట్విస్ట్లాక్ వివిధ క్లౌడ్ ప్రొవైడర్లు (AWS, అజూర్, GCP), కంటైనర్ ఆర్కెస్ట్రేటర్లు (కుబెర్నెట్స్, మెసోస్పిహెర్, ఓపెన్షిఫ్ట్, డాకర్), సర్వర్లెస్ రన్టైమ్లు, మెష్ ఫ్రేమ్వర్క్లు మరియు CI/CD సాధనాలకు మద్దతు ఇస్తుంది.
CI/CD పైప్లైన్ ఇంటిగ్రేషన్ లేదా ఇమేజ్ స్కానింగ్ వంటి సంప్రదాయ ఎంటర్ప్రైజ్-గ్రేడ్ సెక్యూరిటీ టెక్నిక్లతో పాటు, ట్విస్ట్లాక్ కంటైనర్-నిర్దిష్ట ప్రవర్తనా నమూనాలు మరియు నెట్వర్క్ నియమాలను రూపొందించడానికి మెషిన్ లెర్నింగ్ను ఉపయోగిస్తుంది.
కొంతకాలం క్రితం, Evident.io మరియు RedLock ప్రాజెక్ట్లను కలిగి ఉన్న పాలో ఆల్టో నెట్వర్క్స్ ద్వారా Twistlock కొనుగోలు చేయబడింది. ఈ మూడు ప్లాట్ఫారమ్లు ఏ విధంగా అనుసంధానించబడతాయో ఇంకా తెలియదు ప్రిస్మా పాలో ఆల్టో నుండి.
కుబెర్నెట్స్ భద్రతా సాధనాల యొక్క ఉత్తమ కేటలాగ్ను రూపొందించడంలో సహాయపడండి!
మేము ఈ కేటలాగ్ను వీలైనంత పూర్తి చేయడానికి ప్రయత్నిస్తున్నాము మరియు దీని కోసం మాకు మీ సహాయం కావాలి! మమ్మల్ని సంప్రదించండి (@సిస్డిగ్) మీరు ఈ జాబితాలో చేర్చడానికి యోగ్యమైన మంచి సాధనాన్ని మనస్సులో కలిగి ఉంటే లేదా మీరు ఎర్రర్/పాత సమాచారాన్ని కనుగొంటే.
మీరు కూడా మా సభ్యత్వాన్ని పొందవచ్చు నెలవారీ వార్తాలేఖ క్లౌడ్-నేటివ్ ఎకోసిస్టమ్ నుండి వార్తలు మరియు కుబెర్నెటెస్ సెక్యూరిటీ ప్రపంచం నుండి ఆసక్తికరమైన ప్రాజెక్ట్ల గురించిన కథనాలతో.