33+ Воситаҳои амнияти Kubernetes

Шарҳ. тарҷума.: Агар шумо дар бораи амният дар инфрасохтори Кубернетес дар ҳайрат бошед, ин шарҳи олиҷаноб аз Sysdig як нуқтаи олӣ барои дидани зуд ба ҳалли ҷорӣ мебошад. Он ҳам системаҳои мураккаби бозигарони маъруфи бозор ва ҳам хидматҳои хоксоронаеро дар бар мегирад, ки мушкилоти мушаххасро ҳал мекунанд. Ва дар шарҳҳо, чун ҳамеша, мо аз шунидани таҷрибаи шумо бо истифода аз ин асбобҳо ва дидани истинодҳо ба лоиҳаҳои дигар хурсанд хоҳем шуд.

Маҳсулоти нармафзори амнияти Kubernetes... онҳо хеле зиёданд, ки ҳар кадоме дорои ҳадафҳо, миқёс ва иҷозатномаҳои худ мебошанд.

Аз ин рӯ, мо тасмим гирифтем, ки ин рӯйхатро эҷод кунем ва ҳам лоиҳаҳои кушодаасос ва ҳам платформаҳои тиҷоратии фурӯшандагони гуногунро дар бар гирем. Мо умедворем, ки он ба шумо кӯмак мекунад, ки онҳоеро, ки бештар таваҷҷӯҳ доранд ва дар асоси эҳтиёҷоти мушаххаси амнияти Kubernetes шумо ба самти дуруст нишон диҳед.

Категорияҳо

Барои осон кардани паймоиши рӯйхат, асбобҳо аз рӯи функсия ва барномаҳо ташкил карда мешаванд. Қисмҳои зерин ба даст оварда шуданд:

• Сканкунии тасвирҳои Kubernetes ва таҳлили статикӣ;
• Амнияти вақти корӣ;
• Амнияти шабакаи Kubernetes;
• Тақсимоти тасвирҳо ва идоракунии махфӣ;
• Аудити амнияти Kubernetes;
• Маҳсулоти ҳамаҷонибаи тиҷоратӣ.

Биёед ба тиҷорат равем:

Сканкунии тасвирҳои Kubernetes

Лангар

• сомона: anchore.com
• Литсензия: ройгон (Apache) ва пешниҳоди тиҷоратӣ

Anchore тасвирҳои контейнерро таҳлил мекунад ва имкон медиҳад тафтиши амният дар асоси сиёсатҳои аз ҷониби корбар муайяншуда.

Илова ба сканкунии муқаррарии тасвирҳои контейнерӣ барои осебпазириҳои маълум аз пойгоҳи додаҳои CVE, Anchore бисёр санҷишҳои иловагиро ҳамчун як қисми сиёсати сканкунии худ анҷом медиҳад: файли Dockerfile, ихроҷи маълумот, бастаҳои забонҳои барномасозии истифодашударо (npm, maven ва ғайра) месанҷад. .), литсензияҳои нармафзор ва ғайра.

Clair

• сомона: coreos.com/clair (ҳоло таҳти сарпарастии Red Hat)
• Иҷозатнома: ройгон (Apache)

Clair яке аз аввалин лоиҳаҳои кушодаасос барои сканкунии тасвирҳо буд. Он ҳамчун сканери амниятӣ дар паси феҳристи тасвирҳои Quay маъруф аст (инчунин аз CoreOS - тахминан. тарҷума). Clair метавонад маълумоти CVE-ро аз сарчашмаҳои гуногун, аз ҷумла рӯйхати осебпазириҳои тақсимоти Linux, ки аз ҷониби гурӯҳҳои амниятии Debian, Red Hat ё Ubuntu нигоҳ дошта мешаванд, ҷамъоварӣ кунад.

Баръакси Anchore, Clair пеш аз ҳама ба дарёфти осебпазирӣ ва мувофиқ кардани маълумот ба CVEҳо тамаркуз мекунад. Бо вуҷуди ин, маҳсулот ба корбарон имконият медиҳад, ки функсияҳоро бо истифода аз драйверҳои плагин васеъ кунанд.

Дагда

• сомона: github.com/eliasgranderubio/dagda
• Иҷозатнома: ройгон (Apache)

Dagda таҳлили статикии тасвирҳои контейнерро барои осебпазирии маълум, троянҳо, вирусҳо, нармафзори зараровар ва дигар таҳдидҳо анҷом медиҳад.

Ду хусусияти назаррас Дагдаро аз дигар асбобҳои шабеҳ фарқ мекунанд:

• Он ба таври комил бо ClamAV, на танҳо ҳамчун асбоби сканкунии тасвирҳои контейнер, балки ҳамчун антивирус низ амал мекунад.
• Инчунин муҳофизати вақти корро тавассути қабули рӯйдодҳои вақти воқеӣ аз демони Docker ва ҳамгироӣ бо Falco таъмин мекунад (нигаред ба поён) барои ҷамъоварии рӯйдодҳои амниятӣ ҳангоми кор кардани контейнер.

KubeXray

• сомона: github.com/jfrog/kubexray
• Иҷозатнома: ройгон (Apache), аммо маълумотро аз JFrog Xray (маҳсулоти тиҷоратӣ) талаб мекунад

KubeXray рӯйдодҳоро аз сервери API Kubernetes гӯш мекунад ва метамаълумотҳои JFrog Xray-ро истифода мебарад, то боварӣ ҳосил кунад, ки танҳо подкладҳое, ки ба сиёсати ҷорӣ мувофиқанд, оғоз карда мешаванд.

KubeXray на танҳо контейнерҳои нав ё таҷдидшударо дар ҷобаҷогузорӣ тафтиш мекунад (монанди контролери қабул дар Kubernetes), балки инчунин динамикӣ контейнерҳои иҷрошударо барои мувофиқат ба сиёсатҳои нави амният тафтиш мекунад ва захираҳоеро, ки ба тасвирҳои осебпазир истинод мекунанд, нест мекунад.

Снык

• сомона: snyk.io
• Иҷозатнома: версияҳои ройгон (Apache) ва тиҷоратӣ

Snyk як сканери ғайриоддии осебпазирӣ мебошад, ки он махсусан раванди рушдро ҳадаф қарор медиҳад ва ҳамчун "ҳалли муҳим" барои таҳиягарон пешбарӣ карда мешавад.

Snyk мустақиман ба анбори кодҳо пайваст мешавад, манифести лоиҳаро таҳлил мекунад ва рамзи воридшударо бо вобастагии мустақим ва ғайримустақим таҳлил мекунад. Snyk бисёр забонҳои маъмули барномасозиро дастгирӣ мекунад ва метавонад хатарҳои литсензияи пинҳониро муайян кунад.

Trivy

• сомона: github.com/knqyf263/trivy
• Иҷозатнома: ройгон (AGPL)

Trivy як сканери оддӣ, вале тавонои осебпазирӣ барои контейнерҳост, ки ба осонӣ ба лӯлаи CI/CD ҳамгиро мешавад. Хусусияти намоёни он осонии насб ва кор аст: барнома аз як бинарӣ иборат аст ва насби пойгоҳи додаҳо ё китобхонаҳои иловагиро талаб намекунад.

Камбудии соддагии Trivy дар он аст, ки шумо бояд фаҳмед, ки чӣ гуна натиҷаҳоро дар формати JSON таҳлил ва интиқол диҳед, то дигар абзорҳои амниятии Kubernetes онҳоро истифода баранд.

Амнияти кор дар Кубернетес

Falco

• сомона: falco.org
• Иҷозатнома: ройгон (Apache)

Falco маҷмӯи абзорҳо барои таъмини муҳити абрии вақти корӣ мебошад. Қисми оилаи лоиҳа CNCF.

Бо истифода аз асбобҳои сатҳи ядрои Linux Sysdig ва профили занги система, Falco ба шумо имкон медиҳад, ки ба рафтори система амиқ ғарқ шавед. Муҳаррики қоидаҳои кори он қодир аст, ки фаъолияти шубҳанокро дар барномаҳо, контейнерҳо, мизбони аслӣ ва оркестри Kubernetes муайян кунад.

Falco шаффофияти комилро дар вақти кор ва ошкор кардани таҳдид тавассути ҷойгир кардани агентҳои махсус дар гиреҳҳои Kubernetes барои ин мақсадҳо таъмин мекунад. Дар натиҷа, тағир додани контейнерҳо тавассути ворид кардани рамзи тарафи сеюм ба онҳо ё илова кардани контейнерҳои паҳлӯӣ лозим нест.

Чаҳорчӯбаҳои амнияти Linux барои вақти корӣ

Ин чаҳорчӯбаҳои аслӣ барои ядрои Linux ба маънои анъанавӣ "асбобҳои амнияти Kubernetes" нестанд, аммо онҳо бояд қайд кард, зеро онҳо як унсури муҳим дар заминаи амнияти вақти корӣ мебошанд, ки ба Сиёсати Амнияти Kubernetes Pod (PSP) дохил карда шудаанд.

AppArmor ба равандҳое, ки дар контейнер кор мекунанд, профили бехатариро замима мекунад, имтиёзҳои системаи файлиро муайян мекунад, қоидаҳои дастрасии шабака, пайваст кардани китобхонаҳо ва ғайра. Ин системаест, ки ба назорати ҳатмии дастрасӣ (MAC) асос ёфтааст. Ба ибораи дигар, аз иҷрои амалҳои мамнӯъ ҷилавгирӣ мекунад.

Амнияти мукаммалшудаи Linux (SELinux) як модули пешрафтаи амниятӣ дар ядрои Linux мебошад, ки дар баъзе ҷиҳатҳо ба AppArmor монанд аст ва аксар вақт бо он муқоиса карда мешавад. SELinux аз AppArmor дар қудрат, чандирӣ ва мутобиқсозӣ бартарӣ дорад. Камбудиҳои он каҷи омӯзиши тӯлонӣ ва мураккабии зиёд мебошанд.

Seccomp ва seccomp-bpf ба шумо имкон медиҳанд, ки зангҳои системавиро филтр кунед, иҷрои онҳоеро, ки барои ОС-и асосӣ эҳтимолан хатарноканд ва барои кори муқаррарии замимаҳои корбар лозим нестанд, манъ кунед. Seccomp аз баъзе ҷиҳатҳо ба Falco монанд аст, гарчанде ки вай хусусиятҳои контейнерҳоро намедонад.

Манбаи кушодаи Sysdig

• сомона: www.sysdig.com/opensource
• Иҷозатнома: ройгон (Apache)

Sysdig як воситаи мукаммал барои таҳлил, ташхис ва ислоҳи системаҳои Linux мебошад (инчунин дар Windows ва macOS кор мекунад, аммо бо функсияҳои маҳдуд). Он метавонад барои ҷамъоварии маълумоти муфассал, санҷиш ва таҳлили криминалистӣ истифода шавад. (криминалистӣ) системаи базавӣ ва ҳама гуна контейнерҳои дар он кор мекунанд.

Sysdig инчунин ба таври аслӣ вақтҳои кории контейнер ва метамаълумоти Kubernetes -ро дастгирӣ карда, ба ҳама маълумоти рафтори система, ки ҷамъоварӣ мекунад, андозаҳо ва тамғакоғазҳои иловагӣ илова мекунад. Якчанд роҳҳо барои таҳлили кластери Kubernetes бо истифода аз Sysdig мавҷуданд: шумо метавонед сабти лаҳзаро тавассути тавассути гирифтани kubectl ё бо истифода аз плагин интерфейси интерактивии ncurses-ро оғоз кунед kubectl dig.

Амнияти шабакаи Kubernetes

Апорето

• сомона: www.aporeto.com
• Иҷозатнома: тиҷоратӣ

Aporeto "бехатарии аз шабака ва инфрасохтор ҷудошударо" пешниҳод мекунад. Ин маънои онро дорад, ки хидматҳои Kubernetes на танҳо ID-и маҳаллӣ (яъне ServiceAccount дар Kubernetes), балки инчунин ID-и универсалӣ/изи ангуштро мегиранд, ки метавонад барои муоширати бехатар ва мутақобилан бо ҳама гуна хидматҳои дигар, масалан дар кластери OpenShift истифода шавад.

Aporeto қодир аст, ки на танҳо барои Kubernetes/контейнерҳо, балки барои мизбонҳо, функсияҳои абрӣ ва корбарон ID-и беназир тавлид кунад. Вобаста ба ин идентификаторҳо ва маҷмӯи қоидаҳои амнияти шабака, ки аз ҷониби маъмур муқаррар карда шудааст, алоқа иҷозат дода мешавад ё баста мешавад.

Калико

• сомона: www.projectcalico.org
• Иҷозатнома: ройгон (Apache)

Calico маъмулан ҳангоми насби оркестри контейнер ҷойгир карда мешавад, ки ба шумо имкон медиҳад шабакаи маҷозӣ эҷод кунед, ки контейнерҳоро бо ҳам мепайвандад. Илова ба ин функсияи асосии шабака, лоиҳаи Calico бо сиёсати Шабакаи Kubernetes ва маҷмӯи профилҳои амнияти шабакавии худ кор мекунад, ACL-ҳои ниҳоӣ (рӯйхати назорати дастрасӣ) ва қоидаҳои амнияти шабакаро дар асоси эзоҳҳо барои трафики воридшавӣ ва хуруҷ дастгирӣ мекунад.

Силиум

• сомона: www.cilium.io
• Иҷозатнома: ройгон (Apache)

Cilium ҳамчун девори брандмауэр барои контейнерҳо амал мекунад ва хусусиятҳои амнияти шабакаро таъмин мекунад, ки ба таври аслӣ ба сарбории кории Kubernetes ва microservices мутобиқ карда шудаанд. Cilium барои филтр, назорат, масир ва ислоҳи додаҳо технологияи нави ядрои Linux-ро бо номи BPF (Беркли Пакет Филтр) истифода мебарад.

Cilium қодир аст, ки сиёсати дастрасии шабакаро дар асоси ID-ҳои контейнерӣ бо истифода аз тамғакоғазҳо ва метадотаҳои Docker ё Kubernetes татбиқ кунад. Cilium инчунин протоколҳои гуногуни Layer 7-ро, ба монанди HTTP ё gRPC, мефаҳмад ва филтр мекунад, ки ба шумо имкон медиҳад, ки маҷмӯи зангҳои RESTро муайян кунед, ки масалан, байни ду густариши Kubernetes иҷозат дода мешавад.

Истио

• сомона: istio.io
• Иҷозатнома: ройгон (Apache)

Истио барои татбиқи парадигмаи шабакаи хидматрасонӣ тавассути ҷойгиркунии ҳавопаймои мустақили идоракунии платформа ва масири тамоми трафики хидматрасонии идорашаванда тавассути прокси-прокси динамикӣ танзимшавандаи Envoy маъруф аст. Истио аз ин намуди пешрафтаи ҳама хидматрасониҳои хурд ва контейнерҳо барои татбиқи стратегияҳои гуногуни амнияти шабака истифода мебарад.

Имкониятҳои амнияти шабакавии Istio дорои рамзгузории шаффофи TLS барои ба таври худкор навсозӣ кардани иртибот байни микросервисҳо ба HTTPS ва системаи мушаххаси RBAC ва авторизатсия барои иҷозат додан / рад кардани муоширати байни сарбории кории гуногун дар кластер мебошад.

Шарҳ. тарҷума.: Барои гирифтани маълумоти бештар дар бораи қобилиятҳои ба амният нигаронидашудаи Истио, хонед ин мақола.

Паланг

• сомона: www.tigera.io
• Иҷозатнома: тиҷоратӣ

Ин ҳалли "Сиверди Кубернетес" номида мешавад, ки муносибати беэътимодро ба амнияти шабака таъкид мекунад.

Ба монанди дигар ҳалли шабакавии Кубернетес, Tigera ба метадотаҳо барои муайян кардани хидматҳо ва объектҳои гуногун дар кластер такя мекунад ва муайянкунии вақти кор, санҷиши пайвастаи мувофиқат ва дидани шабакаро барои инфрасохтори бисёрабрӣ ё гибридии монолитӣ-контейнерӣ таъмин мекунад.

Триреме

• сомона: www.aporeto.com/opensource
• Иҷозатнома: ройгон (Apache)

Trireme-Kubernetes як амали оддӣ ва соддаи мушаххасоти Сиёсати Шабакаи Кубернетес мебошад. Хусусияти назаррас дар он аст, ки - бар хилофи маҳсулоти шабеҳи амнияти шабакавии Kubernetes - он барои ҳамоҳангсозии тор як ҳавопаймои марказии назоратиро талаб намекунад. Ин ҳалли онро ба таври назаррас миқёспазир месозад. Дар Trireme, ин тавассути насб кардани агент дар ҳар як гиреҳ, ки мустақиман ба стеки TCP/IP ҳост пайваст мешавад, ба даст оварда мешавад.

Таблиғи тасвир ва идоракунии асрор

Grafeas

• сомона: grafeas.io
• Иҷозатнома: ройгон (Apache)

Grafeas як API-и кушода барои аудит ва идоракунии занҷири таъминоти нармафзор мебошад. Дар сатҳи асосӣ, Grafeas воситаи ҷамъоварии метамаълумот ва бозёфтҳои аудит мебошад. Он метавонад барои пайгирии риояи таҷрибаҳои беҳтарини амният дар дохили созмон истифода шавад.

Ин манбаи мутамаркази ҳақиқат ба саволҳои зерин ҷавоб медиҳад:

• Кӣ барои як контейнери мушаххас ҷамъоварӣ ва имзо кардааст?
• Оё он аз тамоми сканҳои амниятӣ ва санҷишҳои пешбининамудаи сиёсати амният гузаштааст? Кай? Натиҷаҳо чӣ гуна буданд?
• Онро кй дар истехсолот чорй кардааст? Ҳангоми ҷойгиркунӣ кадом параметрҳои мушаххас истифода шуданд?

Дар-тото

• сомона: in-toto.github.io
• Иҷозатнома: ройгон (Apache)

In-toto чаҳорчӯбаест, ки барои таъмини якпорчагӣ, аутентификатсия ва аудити тамоми занҷири таъминоти нармафзор пешбинӣ шудааст. Ҳангоми ҷойгиркунии In-toto дар инфрасохтор, аввал нақша муайян карда мешавад, ки қадамҳои гуногуни лӯларо (анбор, абзорҳои CI/CD, асбобҳои QA, коллекторҳои артефакт ва ғ.) ва корбарон (шахсони масъул), ки иҷозат дода шудааст, тавсиф мекунад. ташаббуси онхо.

In-toto иҷрои нақшаро назорат карда, тафтиш мекунад, ки ҳар як вазифаи занҷир танҳо аз ҷониби кормандони ваколатдор дуруст иҷро карда мешавад ва ҳангоми ҳаракат бо маҳсулот ҳеҷ гуна манипуляцияи беиҷозат сурат нагирифтааст.

Портерис

• сомона: github.com/IBM/portieris
• Иҷозатнома: ройгон (Apache)

Portieris як нозири қабул барои Kubernetes аст; барои иҷрои санҷишҳои эътимоди мундариҷа истифода мешавад. Portieris серверро истифода мебарад Нотариус (дар охир мо дар бораи у навиштем ин мақола - тахминан. тарҷума) ҳамчун манбаи ҳақиқат барои тасдиқи артефактҳои боэътимод ва имзошуда (яъне тасвирҳои тасдиқшудаи контейнер).

Вақте ки сарбории корӣ дар Kubernetes эҷод ё тағир дода мешавад, Portieris иттилооти имзо ва сиёсати эътимоди мундариҷаро барои тасвирҳои контейнерии дархостшуда зеркашӣ мекунад ва дар ҳолати зарурӣ ба объекти JSON API барои иҷро кардани версияҳои имзошудаи ин тасвирҳо тағирот ворид мекунад.

анбор

• сомона: www.vaultproject.io
• Иҷозатнома: ройгон (MPL)

Vault як ҳалли бехатар барои нигоҳ доштани маълумоти хусусӣ аст: паролҳо, аломатҳои OAuth, сертификатҳои PKI, ҳисобҳои дастрасӣ, сирри Kubernetes ва ғайра. Vault бисёр хусусиятҳои пешрафтаро дастгирӣ мекунад, ба монанди лизинг токенҳои бехатарии эфемерӣ ё ташкили гардиши калид.

Бо истифода аз диаграммаи Helm, Vault метавонад ҳамчун ҷойгиркунии нав дар кластери Kubernetes бо Консул ҳамчун нигаҳдории пуштибонӣ ҷойгир карда шавад. Он захираҳои аслии Kubernetes -ро дастгирӣ мекунад, ба монанди токенҳои ServiceAccount ва ҳатто метавонад ҳамчун мағозаи пешфарз барои асрори Kubernetes амал кунад.

Шарҳ. тарҷума.: Дар омади гап, дирӯз ширкати HashiCorp, ки Vault-ро таҳия мекунад, баъзе беҳбудиҳо барои истифодаи Vault дар Kubernetes эълон кард ва махсусан онҳо ба диаграммаи Helm дахл доранд. Муфассалтар дар блоги таҳиякунанда.

Аудити амнияти Kubernetes

Кубе-стан

• сомона: github.com/aquasecurity/kube-bench
• Иҷозатнома: ройгон (Apache)

Kube-bench як барномаи Go мебошад, ки тафтиш мекунад, ки оё Kubernetes тавассути гузаронидани санҷишҳо аз рӯйхат бехатар ҷойгир карда шудааст ё не Нишондиҳандаи ИДМ Kubernetes.

Kube-bench танзимоти конфигуратсияи ноамнро дар байни ҷузъҳои кластер (ва ғайра, API, мудири контроллер ва ғайра), ҳуқуқҳои шубҳаноки дастрасии файл, ҳисобҳои муҳофизатнашуда ё портҳои кушода, квотаҳои захиравӣ, танзимот барои маҳдуд кардани шумораи зангҳои API барои муҳофизат аз ҳамлаҳои DoS ҷустуҷӯ мекунад. , ва гайра.

Шикорчй

• сомона: github.com/aquasecurity/kube-hunter
• Иҷозатнома: ройгон (Apache)

Kube-hunter осебпазирии эҳтимолиро (ба монанди иҷрои коди дурдаст ё ифшои маълумот) дар кластерҳои Kubernetes шикор мекунад. Kube-hunter-ро метавон ҳамчун сканери дурдаст иҷро кард - дар ин ҳолат он кластерро аз нуқтаи назари ҳамлагари тарафи сеюм - ё ҳамчун подкаст дар дохили кластер арзёбӣ мекунад.

Хусусияти фарқкунандаи Kube-hunter реҷаи "шикори фаъол"-и он мебошад, ки дар давоми он на танҳо дар бораи мушкилот хабар медиҳад, балки кӯшиш мекунад, ки аз осебпазириҳои дар кластери мавриди ҳадаф ошкоршуда, ки метавонанд ба фаъолияти он зарар расонанд, истифода баранд. Пас, бо эҳтиёт истифода баред!

Кубодит

• сомона: github.com/Shopify/kubeaudit
• Иҷозатнома: ройгон (MIT)

Kubeaudit як абзори консолест, ки аслан дар Shopify барои аудити конфигуратсияи Kubernetes барои масъалаҳои гуногуни амният таҳия шудааст. Масалан, он ба муайян кардани контейнерҳое, ки бемаҳдуд кор мекунанд, ҳамчун реша кор мекунанд, суиистифода аз имтиёзҳо ё бо истифода аз ServiceAccount пешфарз кӯмак мекунад.

Kubeaudit дигар хусусиятҳои ҷолиб дорад. Масалан, он метавонад файлҳои маҳаллии YAML-ро таҳлил кунад, камбудиҳои конфигуратсияро, ки метавонад ба мушкилоти амниятӣ оварда расонад, муайян кунад ва онҳоро ба таври худкор ислоҳ кунад.

Кубесец

• сомона: kubesec.io
• Иҷозатнома: ройгон (Apache)

Kubesec воситаи махсусест, ки он мустақиман файлҳои YAML-ро, ки захираҳои Kubernetes-ро тавсиф мекунанд, скан мекунад ва параметрҳои заифро меҷӯяд, ки метавонанд ба амният таъсир расонанд.

Масалан, он метавонад имтиёзҳо ва иҷозатҳои аз ҳад зиёдро, ки ба подкаст дода шудаанд, идора кардани контейнер бо реша ҳамчун корбари пешфарз, пайвастшавӣ ба фазои номи шабакаи ҳост ё васлҳои хатарнок ба монанди /proc мизбон ё васлаки Docker. Хусусияти дигари ҷолиби Kubesec ин хидмати намоишии онлайн аст, ки шумо метавонед YAML-ро бор кунед ва фавран онро таҳлил кунед.

Агенти сиёсати кушод

• сомона: www.openpolicyagent.org
• Иҷозатнома: ройгон (Apache)

Консепсияи OPA (Agent Policy Open) ҷудо кардани сиёсатҳои амниятӣ ва таҷрибаҳои беҳтарини амниятро аз платформаи мушаххаси вақти корӣ иборат аст: Docker, Kubernetes, Mesosphere, OpenShift ё ҳама гуна омезиши онҳо.

Масалан, шумо метавонед OPA-ро ҳамчун пуштибонии контролери қабули Kubernetes ҷойгир кунед ва қарорҳои амниятро ба он вогузор кунед. Бо ин роҳ, агенти OPA метавонад дархостҳоро дар зудӣ тасдиқ, рад ва ҳатто тағир диҳад ва кафолат диҳад, ки параметрҳои бехатарии муайяншуда риоя карда мешаванд. Сиёсати амнияти OPA бо забони хусусии DSL Rego навишта шудааст.

Шарҳ. тарҷума.: Мо дар бораи OPA (ва SPIFFE) бештар навиштем ин чиз.

Воситаҳои ҳамаҷонибаи тиҷоратӣ барои таҳлили амнияти Kubernetes

Мо тасмим гирифтем, ки барои платформаҳои тиҷоратӣ як категорияи алоҳида эҷод кунем, зеро онҳо одатан минтақаҳои сершумори амниятро дар бар мегиранд. Тасаввуроти умумии қобилиятҳои онҳоро аз ҷадвал гирифтан мумкин аст:

* Муоинаи пешрафта ва таҳлили баъди марг бо пурра рабудани занги система.

Амнияти Aqua

• сомона: www.aquasec.com
• Иҷозатнома: тиҷоратӣ

Ин асбоби тиҷоратӣ барои контейнерҳо ва сарбории абрӣ пешбинӣ шудааст. Он таъмин менамояд:

• Сканкунии тасвир бо феҳристи контейнер ё лӯлаи CI/CD ҳамгиро шудааст;
• Муҳофизати вақти корӣ бо ҷустуҷӯи тағирот дар контейнерҳо ва дигар фаъолияти шубҳанок;
• Сипари аслии контейнер;
• Амният барои бе сервер дар хидматҳои абрӣ;
• Санҷиши мутобиқат ва аудит дар якҷоягӣ бо сабти рӯйдодҳо.

Шарҳ. тарҷума.: Хаминро хам кайд кардан бамаврид аст, ки мавчуданд ҷузъи ройгони маҳсулот номида мешавад MicroScanner, ки ба шумо имкон медиҳад, ки тасвирҳои контейнерро барои осебпазирӣ скан кунед. Муқоисаи қобилиятҳои он бо версияҳои пулакӣ дар ин ҷадвал.

Капсула 8

• сомона: capsule8.com
• Иҷозатнома: тиҷоратӣ

Capsule8 тавассути насб кардани детектор дар кластери маҳаллӣ ё абрии Kubernetes ба инфрасохтор ҳамгиро мешавад. Ин детектор телеметрияи ҳост ва шабакаро ҷамъоварӣ мекунад, ки онро бо намудҳои гуногуни ҳамла алоқаманд мекунад.

Дастаи Capsule8 вазифаи худро ҳамчун ошкор ва пешгирии ҳамлаҳо бо истифода аз нав мебинад (0-рӯз) осебпазирӣ. Capsule8 метавонад қоидаҳои навшудаи амниятро мустақиман ба детекторҳо дар посух ба таҳдидҳои нав кашфшуда ва осебпазирии нармафзор зеркашӣ кунад.

Кавирин

• сомона: www.cavirin.com
• Иҷозатнома: тиҷоратӣ

Кавирин ҳамчун пудратчии ширкат барои агентиҳои мухталифе, ки ба стандартҳои бехатарӣ машғуланд, амал мекунад. Он на танҳо метавонад тасвирҳоро скан кунад, балки инчунин метавонад ба лӯлаи CI/CD ҳамгиро шавад ва тасвирҳои ғайристандартиро пеш аз ворид шудан ба анборҳои пӯшида манъ кунад.

Маҷмӯаи амниятии Cavirin омӯзиши мошинро барои арзёбии ҳолати киберамнияти шумо истифода мебарад ва маслиҳатҳоро барои беҳтар кардани амният ва беҳтар кардани риояи стандартҳои амниятӣ пешниҳод мекунад.

Маркази фармондиҳии амнияти абрии Google

• сомона: cloud.google.com/security-command-center
• Иҷозатнома: тиҷоратӣ

Маркази Фармондеҳии Амнияти абрӣ ба гурӯҳҳои амниятӣ дар ҷамъоварии маълумот, муайян кардани таҳдидҳо ва бартараф кардани онҳо пеш аз расонидани зарар ба ширкат кӯмак мекунад.

Тавре ки аз ном бармеояд, Google Cloud SCC як панели ягонаи идоракунӣ мебошад, ки метавонад гузоришҳои гуногуни амниятӣ, муҳаррикҳои баҳисобгирии дороиҳо ва системаҳои амниятии тарафи сеюмро аз як манбаи мутамарказ муттаҳид ва идора кунад.

API-и мутақобилае, ки аз ҷониби Google Cloud SCC пешниҳод шудааст, ҳамгироии рӯйдодҳои амниятиро, ки аз сарчашмаҳои гуногун меоянд, осон мекунад, ба монанди Sysdig Secure (амнияти контейнер барои барномаҳои абрӣ) ё Falco (Амнияти иҷроиши манбаи кушода).

Фаҳмиши қабати (Qualys)

• сомона: layeredinsight.com
• Иҷозатнома: тиҷоратӣ

Layered Insight (ҳоло қисми Qualys Inc) бар мафҳуми "амнияти дохилшуда" сохта шудааст. Пас аз скан кардани тасвири аслӣ барои осебпазирӣ бо истифода аз таҳлили оморӣ ва санҷишҳои CVE, Layered Insight онро бо тасвири асбобҳо иваз мекунад, ки агентро ҳамчун дуӣ дар бар мегирад.

Ин агент дорои санҷишҳои бехатарии вақти корӣ барои таҳлили трафики шабакаи контейнерӣ, ҷараёнҳои I/O ва фаъолияти барнома мебошад. Илова бар ин, он метавонад санҷишҳои иловагии амниятиро, ки маъмури инфрасохтор ё гурӯҳҳои DevOps муайян кардааст, анҷом диҳад.

NeuVector

• сомона: neuvector.com
• Иҷозатнома: тиҷоратӣ

NeuVector амнияти контейнерро тафтиш мекунад ва муҳофизати вақти корро тавассути таҳлили фаъолияти шабака ва рафтори барномаҳо, эҷод кардани профили амнияти инфиродӣ барои ҳар як контейнер таъмин мекунад. Он инчунин метавонад мустақилона таҳдидҳоро боздорад ва фаъолияти шубҳанокро тавассути тағир додани қоидаҳои брандмауэри маҳаллӣ ҷудо кунад.

Интегратсияи шабакаи NeuVector, ки бо номи Security Mesh маъруф аст, қодир аст таҳлили амиқи бастаҳо ва филтркунии қабати 7 барои ҳама пайвастҳои шабакавӣ дар шабакаи хидматрасонӣ.

StackRox

• сомона: www.stackrox.com
• Иҷозатнома: тиҷоратӣ

Платформаи амнияти контейнерии StackRox мекӯшад, ки тамоми давраи ҳаёти барномаҳои Kubernetes дар кластерро фаро гирад. Мисли дигар платформаҳои тиҷоратӣ дар ин рӯйхат, StackRox профили вақти корро дар асоси рафтори мушоҳидашудаи контейнер тавлид мекунад ва ба таври худкор барои ҳар гуна инҳироф ҳушдор медиҳад.

Илова бар ин, StackRox конфигуратсияҳои Kubernetes-ро бо истифода аз Kubernetes CIS ва дигар китобҳои қоидаҳо барои арзёбии мутобиқати контейнер таҳлил мекунад.

Sysdig Secure

• сомона: sysdig.com/products/secure
• Иҷозатнома: тиҷоратӣ

Sysdig Secure барномаҳоро дар тамоми давраи контейнер ва Kubernetes муҳофизат мекунад. У тасвирҳоро скан мекунад контейнерхо, таъмин менамояд ҳифзи вақти корӣ мувофики маълумотхои омузиши машинахо, крем ичро мекунад. таҷриба барои муайян кардани осебпазирӣ, блокҳои таҳдидҳо, назорат риояи стандартҳои муқарраршуда ва аудити фаъолияти микросервисҳо.

Sysdig Secure бо абзорҳои CI/CD ба монанди Ҷенкинс ҳамгиро мешавад ва тасвирҳои аз реестрҳои Docker боршударо назорат мекунад ва аз пайдо шудани тасвирҳои хатарнок дар истеҳсолот пешгирӣ мекунад. Он инчунин амнияти ҳамаҷонибаи вақти корро таъмин мекунад, аз ҷумла:

• Профилсозии вақти корӣ дар асоси ML ва ошкор кардани аномалия;
• сиёсатҳои вақти корӣ дар асоси рӯйдодҳои система, K8s-audit API, лоиҳаҳои муштараки ҷомеа (FIM - мониторинги якпорчагии файл; cryptojacking) ва чаҳорчӯба MITER AT&CK;
• вокуниш ва ҳалли ҳодисаҳо.

Амнияти контейнери қобили қабул

• сомона: www.tenable.com/products/tenable-io/container-security
• Иҷозатнома: тиҷоратӣ

Пеш аз пайдоиши контейнерҳо, Tenable дар соҳа ҳамчун ширкати паси Nessus, як воситаи маъмули шикори осебпазирӣ ва аудити амният ба таври васеъ машҳур буд.

Tenable Container Security таҷрибаи амнияти компютерии ширкатро барои ҳамгироии лӯлаи CI/CD бо пойгоҳи додаҳои осебпазирӣ, бастаҳои махсуси ошкорсозии нармафзори зараровар ва тавсияҳо барои ҳалли таҳдидҳои амниятӣ истифода мебарад.

Twistlock (Шабакаҳои Пало Алто)

• сомона: www.twistlock.com
• Иҷозатнома: тиҷоратӣ

Twistlock худро ҳамчун платформае пешбарӣ мекунад, ки ба хидматҳои абрӣ ва контейнерҳо нигаронида шудааст. Twistlock провайдерҳои гуногуни абрро (AWS, Azure, GCP), оркестрҳои контейнерӣ (Kubernetes, Mesospehere, OpenShift, Docker), вақтҳои бе сервер, чаҳорчӯбаҳои торӣ ва абзорҳои CI/CD-ро дастгирӣ мекунад.

Илова ба усулҳои анъанавии амнияти сатҳи корхона, ба монанди ҳамгироии лӯлаи CI/CD ё сканкунии тасвир, Twistlock омӯзиши мошинро барои тавлиди намунаҳои рафтори мушаххаси контейнер ва қоидаҳои шабака истифода мебарад.

Чанде пеш Twistlock аз ҷониби Palo Alto Networks харида шуд, ки соҳиби лоиҳаҳои Evident.io ва RedLock мебошад. Ҳанӯз маълум нест, ки ин се платформа маҳз чӣ гуна ворид мешаванд PRISMA аз Пало Алто.

Дар сохтани беҳтарин феҳристи абзорҳои амнияти Kubernetes кӯмак кунед!

Мо мекӯшем, ки ин каталогро то ҳадди имкон мукаммал созем ва барои ин ба кумаки шумо ниёз дорем! Бо мо тамос гиред (@sysdig) агар шумо асбоби олиҷанобе дошта бошед, ки сазовори дохил шудан ба ин рӯйхат аст, ё шумо хатогӣ/маълумоти кӯҳнаро пайдо мекунед.

Шумо инчунин метавонед ба мо обуна шавед бюллетени мохона бо ахбор аз экосистемаи абрӣ ва ҳикояҳо дар бораи лоиҳаҳои ҷолиб аз ҷаҳони амнияти Kubernetes.

PS аз тарҷумон

Инчунин дар блоги мо хонед:

• «Муқаддима ба сиёсатҳои шабакаи Kubernetes барои мутахассисони амният»;
• «Docker ва Kubernetes дар муҳити ҳассос ба амният»;
• «9 Таҷрибаи беҳтарин барои амнияти Kubernetes»;
• «11 Роҳҳои (не) шудан қурбонии хаки Kubernetes»;
• «OPA ва SPIFFE ду лоиҳаи нав дар CNCF барои амнияти барномаҳои абрӣ мебошанд".

Манбаъ: will.com