บันทึก. แปล: หากคุณสงสัยเกี่ยวกับการรักษาความปลอดภัยในโครงสร้างพื้นฐานที่ใช้ Kubernetes ภาพรวมที่ยอดเยี่ยมจาก Sysdig นี้ถือเป็นจุดเริ่มต้นที่ดีในการดูโซลูชันปัจจุบันอย่างรวดเร็ว ประกอบด้วยทั้งระบบที่ซับซ้อนจากผู้เล่นในตลาดที่มีชื่อเสียงและยูทิลิตี้ที่เรียบง่ายอื่น ๆ อีกมากมายที่แก้ปัญหาเฉพาะได้ และเช่นเคยในความคิดเห็น เรายินดีที่จะได้ยินเกี่ยวกับประสบการณ์ของคุณในการใช้เครื่องมือเหล่านี้ และดูลิงก์ไปยังโครงการอื่น ๆ
ผลิตภัณฑ์ซอฟต์แวร์รักษาความปลอดภัย Kubernetes... มีมากมาย โดยแต่ละผลิตภัณฑ์มีเป้าหมาย ขอบเขต และใบอนุญาตเป็นของตัวเอง
นั่นเป็นเหตุผลที่เราตัดสินใจสร้างรายการนี้และรวมทั้งโครงการโอเพ่นซอร์สและแพลตฟอร์มเชิงพาณิชย์จากผู้ขายหลายราย เราหวังว่าสิ่งนี้จะช่วยให้คุณระบุสิ่งที่น่าสนใจที่สุดและชี้ทิศทางที่ถูกต้องตามความต้องการด้านความปลอดภัยของ Kubernetes เฉพาะของคุณ
หมวดหมู่
เพื่อให้รายการง่ายขึ้น เครื่องมือต่างๆ จึงถูกจัดเรียงตามฟังก์ชันหลักและแอปพลิเคชัน ได้รับส่วนต่อไปนี้:
- การสแกนภาพ Kubernetes และการวิเคราะห์แบบคงที่
- การรักษาความปลอดภัยรันไทม์
- การรักษาความปลอดภัยเครือข่าย Kubernetes
- การกระจายภาพและการจัดการความลับ
- การตรวจสอบความปลอดภัยของ Kubernetes
- สินค้าเชิงพาณิชย์ครบวงจร
มาทำธุรกิจกันเถอะ:
กำลังสแกนรูปภาพ Kubernetes
แองเคอเร่
- เว็บไซต์:
สมอ.ดอทคอม - ใบอนุญาต: ข้อเสนอฟรี (Apache) และเชิงพาณิชย์
Anchore วิเคราะห์อิมเมจคอนเทนเนอร์และอนุญาตการตรวจสอบความปลอดภัยตามนโยบายที่ผู้ใช้กำหนด
นอกเหนือจากการสแกนอิมเมจคอนเทนเนอร์ตามปกติเพื่อหาช่องโหว่ที่ทราบจากฐานข้อมูล CVE แล้ว Anchore ยังดำเนินการตรวจสอบเพิ่มเติมอีกมากมายซึ่งเป็นส่วนหนึ่งของนโยบายการสแกน: ตรวจสอบ Dockerfile, ข้อมูลประจำตัวรั่วไหล, แพ็คเกจของภาษาการเขียนโปรแกรมที่ใช้ (npm, maven ฯลฯ .) ลิขสิทธิ์ซอฟต์แวร์ และอื่นๆ อีกมากมาย
ชัดเจน
- เว็บไซต์:
coreos.com/clair (ปัจจุบันอยู่ภายใต้การดูแลของเรดแฮท) - ใบอนุญาต: ฟรี (Apache)
Clair เป็นหนึ่งในโครงการโอเพ่นซอร์สโครงการแรกๆ สำหรับการสแกนรูปภาพ เป็นที่รู้จักอย่างกว้างขวางว่าเป็นเครื่องสแกนความปลอดภัยที่อยู่เบื้องหลังการลงทะเบียนอิมเมจ Quay (จาก CoreOS - ประมาณ การแปล). Clair สามารถรวบรวมข้อมูล CVE จากแหล่งที่มาที่หลากหลาย รวมถึงรายการช่องโหว่เฉพาะการแจกจ่าย Linux ที่ดูแลโดยทีมรักษาความปลอดภัย Debian, Red Hat หรือ Ubuntu
Clair ต่างจาก Anchore ตรงที่มุ่งเน้นไปที่การค้นหาช่องโหว่และการจับคู่ข้อมูลกับ CVE เป็นหลัก อย่างไรก็ตาม ผลิตภัณฑ์นี้เปิดโอกาสให้ผู้ใช้ขยายฟังก์ชันโดยใช้ไดรเวอร์ปลั๊กอิน
แดกด้า
- เว็บไซต์:
github.com/eliasganderubio/dagda - ใบอนุญาต: ฟรี (Apache)
Dagda ทำการวิเคราะห์คอนเทนเนอร์อิมเมจแบบคงที่เพื่อหาช่องโหว่ โทรจัน ไวรัส มัลแวร์ และภัยคุกคามอื่น ๆ ที่ทราบ
คุณสมบัติเด่นสองประการที่ทำให้ Dagda แตกต่างจากเครื่องมืออื่นที่คล้ายคลึงกัน:
- มันผสมผสานกันอย่างลงตัวกับ
ClamAV ซึ่งไม่เพียงทำหน้าที่เป็นเครื่องมือในการสแกนอิมเมจคอนเทนเนอร์เท่านั้น แต่ยังทำหน้าที่เป็นโปรแกรมป้องกันไวรัสอีกด้วย - ยังให้การป้องกันรันไทม์โดยรับเหตุการณ์แบบเรียลไทม์จาก Docker daemon และบูรณาการกับ Falco (ดูด้านล่าง) เพื่อรวบรวมเหตุการณ์ด้านความปลอดภัยในขณะที่คอนเทนเนอร์กำลังทำงาน
คิวบ์เอ็กซ์เรย์
- เว็บไซต์:
github.com/jfrog/kubexray - ใบอนุญาต: ฟรี (Apache) แต่ต้องใช้ข้อมูลจาก JFrog Xray (ผลิตภัณฑ์เชิงพาณิชย์)
KubeXray ฟังเหตุการณ์จากเซิร์ฟเวอร์ Kubernetes API และใช้ข้อมูลเมตาจาก JFrog Xray เพื่อให้แน่ใจว่าจะมีการเปิดตัวเฉพาะพ็อดที่ตรงกับนโยบายปัจจุบันเท่านั้น
KubeXray ไม่เพียงแต่ตรวจสอบคอนเทนเนอร์ใหม่หรือที่อัปเดตในการใช้งาน (คล้ายกับตัวควบคุมการรับเข้าใน Kubernetes) แต่ยังตรวจสอบคอนเทนเนอร์ที่ทำงานอยู่แบบไดนามิกเพื่อให้สอดคล้องกับนโยบายความปลอดภัยใหม่ โดยลบทรัพยากรที่อ้างอิงอิมเมจที่มีช่องโหว่
สนุ๊ก
- เว็บไซต์:
snyk.io - ใบอนุญาต: รุ่นฟรี (Apache) และเชิงพาณิชย์
Snyk เป็นเครื่องสแกนช่องโหว่ที่ผิดปกติ โดยมีเป้าหมายไปที่กระบวนการพัฒนาโดยเฉพาะ และได้รับการส่งเสริมให้เป็น "โซลูชันที่จำเป็น" สำหรับนักพัฒนา
Snyk เชื่อมต่อโดยตรงกับที่เก็บโค้ด แยกวิเคราะห์รายการโปรเจ็กต์ และวิเคราะห์โค้ดที่นำเข้าพร้อมกับการขึ้นต่อกันทั้งทางตรงและทางอ้อม Snyk รองรับภาษาการเขียนโปรแกรมยอดนิยมมากมายและสามารถระบุความเสี่ยงด้านใบอนุญาตที่ซ่อนอยู่ได้
เรื่องไม่สำคัญ
- เว็บไซต์:
github.com/knqyf263/trivy - ใบอนุญาต: ฟรี (AGPL)
Trivy เป็นเครื่องสแกนช่องโหว่ที่เรียบง่ายแต่ทรงพลังสำหรับคอนเทนเนอร์ที่รวมเข้ากับไปป์ไลน์ CI/CD ได้อย่างง่ายดาย คุณสมบัติเด่นคือความง่ายในการติดตั้งและการใช้งาน: แอปพลิเคชันประกอบด้วยไบนารีเดียวและไม่จำเป็นต้องติดตั้งฐานข้อมูลหรือไลบรารีเพิ่มเติม
ข้อเสียของความเรียบง่ายของ Trivy คือคุณต้องทราบวิธีแยกวิเคราะห์และส่งต่อผลลัพธ์ในรูปแบบ JSON เพื่อให้เครื่องมือรักษาความปลอดภัย Kubernetes อื่นๆ สามารถใช้งานได้
การรักษาความปลอดภัยรันไทม์ใน Kubernetes
ฟาลโก้
- เว็บไซต์:
falco.org - ใบอนุญาต: ฟรี (Apache)
Falco คือชุดเครื่องมือสำหรับการรักษาความปลอดภัยสภาพแวดล้อมรันไทม์บนคลาวด์ ส่วนหนึ่งของกลุ่มโครงการ
การใช้เครื่องมือระดับเคอร์เนล Linux ของ Sysdig และการทำโปรไฟล์การโทรของระบบ ทำให้ Falco ช่วยให้คุณเจาะลึกพฤติกรรมของระบบได้ กลไกกฎรันไทม์สามารถตรวจจับกิจกรรมที่น่าสงสัยในแอปพลิเคชัน คอนเทนเนอร์ โฮสต์พื้นฐาน และผู้ดำเนินการ Kubernetes
Falco ให้ความโปร่งใสอย่างสมบูรณ์ในการตรวจจับรันไทม์และภัยคุกคามโดยการปรับใช้ตัวแทนพิเศษบนโหนด Kubernetes เพื่อวัตถุประสงค์เหล่านี้ ด้วยเหตุนี้ จึงไม่จำเป็นต้องแก้ไขคอนเทนเนอร์โดยการแนะนำโค้ดของบริษัทอื่นหรือเพิ่มคอนเทนเนอร์ไซด์คาร์
เฟรมเวิร์กความปลอดภัยของ Linux สำหรับรันไทม์
เฟรมเวิร์กดั้งเดิมสำหรับเคอร์เนล Linux ไม่ใช่ “เครื่องมือความปลอดภัยของ Kubernetes” ในแง่ดั้งเดิม แต่คุ้มค่าที่จะกล่าวถึงเนื่องจากเป็นองค์ประกอบสำคัญในบริบทของการรักษาความปลอดภัยรันไทม์ ซึ่งรวมอยู่ในนโยบายความปลอดภัยของ Kubernetes Pod (PSP)
Linux ที่ปรับปรุงความปลอดภัย (
โอเพ่นซอร์ส Sysdig
- เว็บไซต์:
www.sysdig.com/opensource - ใบอนุญาต: ฟรี (Apache)
Sysdig เป็นเครื่องมือที่สมบูรณ์สำหรับการวิเคราะห์ วินิจฉัย และแก้ไขจุดบกพร่องของระบบ Linux (ใช้ได้กับ Windows และ macOS เช่นกัน แต่มีฟังก์ชันที่จำกัด) สามารถใช้สำหรับการรวบรวมข้อมูลโดยละเอียด การตรวจสอบ และการวิเคราะห์ทางนิติวิทยาศาสตร์ (นิติเวช) ระบบฐานและคอนเทนเนอร์ใดๆ ที่ทำงานอยู่บนระบบนั้น
Sysdig ยังรองรับรันไทม์ของคอนเทนเนอร์และข้อมูลเมตาของ Kubernetes โดยธรรมชาติ โดยเพิ่มมิติและป้ายกำกับเพิ่มเติมให้กับข้อมูลพฤติกรรมของระบบทั้งหมดที่รวบรวม มีหลายวิธีในการวิเคราะห์คลัสเตอร์ Kubernetes โดยใช้ Sysdig: คุณสามารถดำเนินการบันทึกช่วงเวลาได้ผ่านทาง
ความปลอดภัยเครือข่าย Kubernetes
อะโปเรโต
- เว็บไซต์:
www.aporeto.com - ใบอนุญาต: เชิงพาณิชย์
Aporeto นำเสนอ "ความปลอดภัยที่แยกออกจากเครือข่ายและโครงสร้างพื้นฐาน" ซึ่งหมายความว่าบริการ Kubernetes ไม่เพียงแต่ได้รับ ID ภายในเครื่อง (เช่น ServiceAccount ใน Kubernetes) แต่ยังได้รับ ID สากล/ลายนิ้วมือที่สามารถใช้เพื่อสื่อสารอย่างปลอดภัยและร่วมกันกับบริการอื่น ๆ เช่น ในคลัสเตอร์ OpenShift
Aporeto สามารถสร้าง ID เฉพาะได้ไม่เฉพาะสำหรับ Kubernetes/คอนเทนเนอร์เท่านั้น แต่ยังสำหรับโฮสต์ ฟังก์ชันคลาวด์ และผู้ใช้ด้วย ขึ้นอยู่กับตัวระบุเหล่านี้และชุดกฎความปลอดภัยเครือข่ายที่กำหนดโดยผู้ดูแลระบบ การสื่อสารจะได้รับอนุญาตหรือบล็อก
ผ้าดิบ
- เว็บไซต์:
www.projectcalico.org - ใบอนุญาต: ฟรี (Apache)
โดยทั่วไปแล้ว Calico จะถูกใช้งานในระหว่างการติดตั้งคอนเทนเนอร์ออร์เคสตราเตอร์ ซึ่งช่วยให้คุณสามารถสร้างเครือข่ายเสมือนที่เชื่อมต่อคอนเทนเนอร์เข้าด้วยกันได้ นอกเหนือจากฟังก์ชันการทำงานเครือข่ายขั้นพื้นฐานแล้ว โครงการ Calico ยังทำงานร่วมกับ Kubernetes Network Policies และชุดโปรไฟล์ความปลอดภัยเครือข่ายของตัวเอง รองรับ ACL จุดสิ้นสุด (รายการควบคุมการเข้าถึง) และกฎความปลอดภัยเครือข่ายที่ใช้คำอธิบายประกอบสำหรับการรับส่งข้อมูลขาเข้าและขาออก
ซีเลีย
- เว็บไซต์:
www.cilium.io - ใบอนุญาต: ฟรี (Apache)
Cilium ทำหน้าที่เป็นไฟร์วอลล์สำหรับคอนเทนเนอร์และมอบฟีเจอร์ความปลอดภัยเครือข่ายที่ปรับให้เหมาะกับปริมาณงาน Kubernetes และไมโครเซอร์วิสโดยเฉพาะ Cilium ใช้เทคโนโลยีเคอร์เนล Linux ใหม่ที่เรียกว่า BPF (Berkeley Packet Filter) เพื่อกรอง ตรวจสอบ เปลี่ยนเส้นทาง และแก้ไขข้อมูล
Cilium มีความสามารถในการปรับใช้นโยบายการเข้าถึงเครือข่ายตาม ID คอนเทนเนอร์โดยใช้ป้ายกำกับและข้อมูลเมตาของ Docker หรือ Kubernetes Cilium ยังเข้าใจและกรองโปรโตคอล Layer 7 ต่างๆ เช่น HTTP หรือ gRPC ซึ่งช่วยให้คุณสามารถกำหนดชุดของการเรียก REST ที่จะได้รับอนุญาตระหว่างการปรับใช้ Kubernetes สองครั้ง เป็นต้น
อิสติโอ
- เว็บไซต์:
istio.io - ใบอนุญาต: ฟรี (Apache)
Istio เป็นที่รู้จักอย่างกว้างขวางในการใช้กระบวนทัศน์บริการแบบ Mesh โดยการปรับใช้ Control Plane ที่ไม่ขึ้นกับแพลตฟอร์ม และกำหนดเส้นทางการรับส่งข้อมูลบริการที่มีการจัดการทั้งหมดผ่านพร็อกซี Envoy ที่กำหนดค่าได้แบบไดนามิก Istio ใช้ประโยชน์จากมุมมองขั้นสูงนี้ของไมโครเซอร์วิสและคอนเทนเนอร์ทั้งหมดเพื่อใช้กลยุทธ์ความปลอดภัยเครือข่ายต่างๆ
ความสามารถด้านความปลอดภัยเครือข่ายของ Istio ประกอบด้วยการเข้ารหัส TLS ที่โปร่งใสเพื่ออัปเกรดการสื่อสารระหว่างไมโครเซอร์วิสเป็น HTTPS โดยอัตโนมัติ และระบบระบุตัวตนและการอนุญาต RBAC ที่เป็นกรรมสิทธิ์ เพื่ออนุญาต/ปฏิเสธการสื่อสารระหว่างปริมาณงานที่แตกต่างกันในคลัสเตอร์
บันทึก. แปล: หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความสามารถที่มุ่งเน้นด้านความปลอดภัยของ Istio โปรดอ่าน
ไทเกอร์ก้า
- เว็บไซต์:
www.tigera.io - ใบอนุญาต: เชิงพาณิชย์
โซลูชันนี้เรียกว่า “ไฟร์วอลล์ Kubernetes” โดยเน้นที่แนวทางการรักษาความปลอดภัยเครือข่ายแบบ Zero Trust
เช่นเดียวกับโซลูชันเครือข่าย Kubernetes อื่นๆ Tigera อาศัยข้อมูลเมตาเพื่อระบุบริการและอ็อบเจ็กต์ต่างๆ ในคลัสเตอร์ และมอบการตรวจจับปัญหารันไทม์ การตรวจสอบการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง และการมองเห็นเครือข่ายสำหรับโครงสร้างพื้นฐานที่บรรจุในคอนเทนเนอร์แบบมัลติคลาวด์หรือไฮบริด
ไตรเรเม่
- เว็บไซต์:
www.aporeto.com/opensource - ใบอนุญาต: ฟรี (Apache)
Trireme-Kubernetes เป็นการนำข้อกำหนดนโยบายเครือข่าย Kubernetes ไปใช้อย่างเรียบง่ายและตรงไปตรงมา คุณสมบัติที่โดดเด่นที่สุดคือ - ไม่เหมือนกับผลิตภัณฑ์รักษาความปลอดภัยเครือข่าย Kubernetes ที่คล้ายกัน - ไม่จำเป็นต้องมีระนาบควบคุมส่วนกลางเพื่อประสานตาข่าย ทำให้โซลูชันสามารถปรับขนาดได้เล็กน้อย ใน Trireme สามารถทำได้โดยการติดตั้งเอเจนต์บนแต่ละโหนดที่เชื่อมต่อโดยตรงกับสแต็ก TCP/IP ของโฮสต์
การขยายพันธุ์ภาพและการจัดการความลับ
กราฟิค
- เว็บไซต์:
กราฟีส.io - ใบอนุญาต: ฟรี (Apache)
Grafeas เป็น API แบบโอเพ่นซอร์สสำหรับการตรวจสอบและการจัดการห่วงโซ่อุปทานซอฟต์แวร์ ในระดับพื้นฐาน Grafeas เป็นเครื่องมือสำหรับรวบรวมข้อมูลเมตาและผลการตรวจสอบ สามารถใช้เพื่อติดตามการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยภายในองค์กร
แหล่งข้อมูลความจริงแบบรวมศูนย์นี้ช่วยตอบคำถามต่างๆ เช่น:
- ใครเป็นผู้รวบรวมและลงนามในคอนเทนเนอร์ใดคอนเทนเนอร์หนึ่งโดยเฉพาะ
- ผ่านการสแกนและการตรวจสอบความปลอดภัยทั้งหมดตามที่นโยบายความปลอดภัยกำหนดหรือไม่ เมื่อไร? ผลลัพธ์ที่ได้คืออะไร?
- ใครเป็นผู้นำไปใช้ในการผลิต? มีการใช้พารามิเตอร์เฉพาะใดในระหว่างการปรับใช้?
อิน-โตโต้
- เว็บไซต์:
ใน toto.github.io - ใบอนุญาต: ฟรี (Apache)
In-toto เป็นเฟรมเวิร์กที่ออกแบบมาเพื่อให้ความสมบูรณ์ การรับรองความถูกต้อง และการตรวจสอบห่วงโซ่อุปทานซอฟต์แวร์ทั้งหมด เมื่อปรับใช้ In-toto ในโครงสร้างพื้นฐาน ขั้นแรกจะมีการกำหนดแผนที่จะอธิบายขั้นตอนต่างๆ ในไปป์ไลน์ (พื้นที่เก็บข้อมูล เครื่องมือ CI/CD เครื่องมือ QA ผู้รวบรวมสิ่งประดิษฐ์ ฯลฯ) และผู้ใช้ (ผู้รับผิดชอบ) ที่ได้รับอนุญาตให้ เริ่มต้นพวกเขา
In-toto ติดตามการดำเนินการตามแผน โดยตรวจสอบว่าแต่ละงานในห่วงโซ่ดำเนินการอย่างเหมาะสมโดยบุคลากรที่ได้รับอนุญาตเท่านั้น และไม่มีการดำเนินการใดๆ โดยไม่ได้รับอนุญาตกับผลิตภัณฑ์ระหว่างการเคลื่อนย้าย
ปอร์เทียริส
- เว็บไซต์:
github.com/IBM/portieris - ใบอนุญาต: ฟรี (Apache)
Portieris เป็นผู้ควบคุมการรับเข้าของ Kubernetes ใช้เพื่อบังคับใช้การตรวจสอบความน่าเชื่อถือของเนื้อหา Portieris ใช้เซิร์ฟเวอร์
เมื่อมีการสร้างหรือแก้ไขปริมาณงานใน Kubernetes ทาง Portieris จะดาวน์โหลดข้อมูลการลงนามและนโยบายความน่าเชื่อถือของเนื้อหาสำหรับอิมเมจคอนเทนเนอร์ที่ร้องขอ และหากจำเป็น จะทำการเปลี่ยนแปลงออบเจ็กต์ JSON API ได้ทันทีเพื่อเรียกใช้อิมเมจเวอร์ชันที่ลงนามเหล่านั้น
หกคะเมน
- เว็บไซต์:
www.vaultproject.io - ใบอนุญาต: ฟรี (MPL)
ห้องนิรภัยเป็นโซลูชันที่ปลอดภัยสำหรับการจัดเก็บข้อมูลส่วนตัว: รหัสผ่าน, โทเค็น OAuth, ใบรับรอง PKI, บัญชีการเข้าถึง, ข้อมูลลับของ Kubernetes ฯลฯ ห้องนิรภัยรองรับฟีเจอร์ขั้นสูงมากมาย เช่น การเช่าโทเค็นความปลอดภัยชั่วคราว หรือการจัดระเบียบการหมุนเวียนคีย์
การใช้แผนภูมิ Helm ทำให้ห้องนิรภัยสามารถติดตั้งใช้งานได้เป็นการปรับใช้ใหม่ในคลัสเตอร์ Kubernetes โดยมี Consul เป็นที่เก็บข้อมูลแบ็กเอนด์ รองรับทรัพยากร Kubernetes ดั้งเดิม เช่น โทเค็น ServiceAccount และยังทำหน้าที่เป็นที่จัดเก็บเริ่มต้นสำหรับความลับของ Kubernetes ได้อีกด้วย
บันทึก. แปล: เมื่อวานนี้เอง บริษัท HashiCorp ซึ่งเป็นผู้พัฒนา Vault ได้ประกาศการปรับปรุงบางอย่างสำหรับการใช้ Vault ใน Kubernetes และโดยเฉพาะอย่างยิ่งการปรับปรุงเหล่านี้เกี่ยวข้องกับแผนภูมิ Helm อ่านเพิ่มเติมใน
การตรวจสอบความปลอดภัยของ Kubernetes
Kube-ม้านั่ง
- เว็บไซต์:
github.com/aquasecurity/kube-bench - ใบอนุญาต: ฟรี (Apache)
Kube-bench เป็นแอปพลิเคชัน Go ที่ตรวจสอบว่า Kubernetes ได้รับการปรับใช้อย่างปลอดภัยหรือไม่โดยการรันการทดสอบจากรายการ
Kube-bench ค้นหาการตั้งค่าการกำหนดค่าที่ไม่ปลอดภัยในส่วนประกอบของคลัสเตอร์ (etcd, API, ตัวจัดการคอนโทรลเลอร์ ฯลฯ), สิทธิ์การเข้าถึงไฟล์ที่น่าสงสัย, บัญชีที่ไม่ได้รับการป้องกันหรือพอร์ตที่เปิดอยู่, โควต้าทรัพยากร, การตั้งค่าเพื่อจำกัดจำนวนการเรียก API เพื่อป้องกันการโจมตี DoS ฯลฯ
Kube-ฮันเตอร์
- เว็บไซต์:
github.com/aquasecurity/kube-hunter - ใบอนุญาต: ฟรี (Apache)
Kube-hunter มองหาช่องโหว่ที่อาจเกิดขึ้น (เช่น การเรียกใช้โค้ดจากระยะไกลหรือการเปิดเผยข้อมูล) ในคลัสเตอร์ Kubernetes Kube-hunter สามารถเรียกใช้เป็นเครื่องสแกนระยะไกลได้ ในกรณีนี้จะประเมินคลัสเตอร์จากมุมมองของผู้โจมตีจากบุคคลที่สาม หรือเป็นพ็อดภายในคลัสเตอร์
คุณสมบัติที่โดดเด่นของ Kube-hunter คือโหมด "การล่าสัตว์ที่ใช้งานอยู่" ซึ่งในระหว่างนั้นไม่เพียงรายงานปัญหาเท่านั้น แต่ยังพยายามใช้ประโยชน์จากช่องโหว่ที่พบในคลัสเตอร์เป้าหมายที่อาจเป็นอันตรายต่อการทำงานของมัน ดังนั้นใช้ด้วยความระมัดระวัง!
คูโบออดิท
- เว็บไซต์:
github.com/Shopify/kubeaudit - ใบอนุญาต: ฟรี (MIT)
Kubeaudit เป็นเครื่องมือคอนโซลที่พัฒนาขึ้นครั้งแรกที่ Shopify เพื่อตรวจสอบการกำหนดค่า Kubernetes สำหรับปัญหาด้านความปลอดภัยต่างๆ ตัวอย่างเช่น ช่วยระบุคอนเทนเนอร์ที่ทำงานแบบไม่จำกัด ทำงานเป็นรูท ใช้สิทธิ์ในทางที่ผิด หรือใช้ ServiceAccount เริ่มต้น
Kubeaudit มีฟีเจอร์ที่น่าสนใจอื่นๆ ตัวอย่างเช่น สามารถวิเคราะห์ไฟล์ YAML ในเครื่อง ระบุข้อบกพร่องในการกำหนดค่าที่อาจนำไปสู่ปัญหาด้านความปลอดภัย และแก้ไขโดยอัตโนมัติ
คูเบเซค
- เว็บไซต์:
kubesec.io - ใบอนุญาต: ฟรี (Apache)
Kubesec เป็นเครื่องมือพิเศษที่จะสแกนไฟล์ YAML ที่อธิบายทรัพยากรของ Kubernetes โดยตรง โดยมองหาพารามิเตอร์ที่อ่อนแอซึ่งอาจส่งผลต่อความปลอดภัย
ตัวอย่างเช่น สามารถตรวจจับสิทธิ์และการอนุญาตที่มากเกินไปที่มอบให้กับพ็อด การรันคอนเทนเนอร์ที่มีรูทเป็นผู้ใช้เริ่มต้น การเชื่อมต่อกับเนมสเปซเครือข่ายของโฮสต์ หรือการเมานต์ที่เป็นอันตราย เช่น /proc
โฮสต์หรือซ็อกเก็ตนักเทียบท่า คุณสมบัติที่น่าสนใจอีกประการหนึ่งของ Kubesec คือบริการสาธิตที่พร้อมใช้งานออนไลน์ ซึ่งคุณสามารถอัปโหลด YAML และวิเคราะห์ได้ทันที
เปิดตัวแทนนโยบาย
- เว็บไซต์:
www.openpolicyagent.org - ใบอนุญาต: ฟรี (Apache)
แนวคิดของ OPA (Open Policy Agent) คือการแยกนโยบายความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยออกจากแพลตฟอร์มรันไทม์เฉพาะ: Docker, Kubernetes, Mesosphere, OpenShift หรือการรวมกันใดๆ ก็ตาม
ตัวอย่างเช่น คุณสามารถปรับใช้ OPA เป็นแบ็กเอนด์สำหรับตัวควบคุมการรับเข้า Kubernetes โดยมอบหมายการตัดสินใจด้านความปลอดภัยให้กับมัน ด้วยวิธีนี้ ตัวแทน OPA สามารถตรวจสอบ ปฏิเสธ และแม้แต่แก้ไขคำขอได้ทันที เพื่อให้มั่นใจว่าเป็นไปตามพารามิเตอร์ความปลอดภัยที่ระบุ นโยบายความปลอดภัยของ OPA เขียนด้วยภาษา DSL ที่เป็นกรรมสิทธิ์ของบริษัท นั่นคือ Rego
บันทึก. แปล: เราเขียนเพิ่มเติมเกี่ยวกับ OPA (และ SPIFFE) ใน
เครื่องมือเชิงพาณิชย์ที่ครอบคลุมสำหรับการวิเคราะห์ความปลอดภัยของ Kubernetes
เราตัดสินใจสร้างหมวดหมู่แยกต่างหากสำหรับแพลตฟอร์มเชิงพาณิชย์ เนื่องจากโดยทั่วไปแล้วจะครอบคลุมพื้นที่ความปลอดภัยหลายด้าน แนวคิดทั่วไปเกี่ยวกับความสามารถของพวกเขาสามารถรับได้จากตาราง:
* การตรวจขั้นสูงและวิเคราะห์ชันสูตรศพอย่างครบถ้วน
การรักษาความปลอดภัยทางน้ำ
- เว็บไซต์:
www.aquasec.com - ใบอนุญาต: เชิงพาณิชย์
เครื่องมือเชิงพาณิชย์นี้ออกแบบมาสำหรับคอนเทนเนอร์และปริมาณงานบนคลาวด์ มันมี:
- การสแกนรูปภาพที่ผสานรวมกับรีจิสตรีคอนเทนเนอร์หรือไปป์ไลน์ CI/CD
- การป้องกันรันไทม์พร้อมการค้นหาการเปลี่ยนแปลงในคอนเทนเนอร์และกิจกรรมที่น่าสงสัยอื่น ๆ
- ไฟร์วอลล์คอนเทนเนอร์เนทิฟ
- การรักษาความปลอดภัยสำหรับบริการแบบไร้เซิร์ฟเวอร์ในบริการคลาวด์
- การทดสอบและการตรวจสอบการปฏิบัติตามข้อกำหนดรวมกับการบันทึกเหตุการณ์
บันทึก. แปล: นอกจากนี้ยังเป็นที่น่าสังเกตว่ามี ส่วนประกอบอิสระของผลิตภัณฑ์ที่เรียกว่า
แคปซูล8
- เว็บไซต์:
แคปซูล8.คอม - ใบอนุญาต: เชิงพาณิชย์
Capsule8 ผสานรวมเข้ากับโครงสร้างพื้นฐานโดยการติดตั้งตัวตรวจจับบนคลัสเตอร์ Kubernetes ภายในหรือบนคลาวด์ ตัวตรวจจับนี้จะรวบรวมการวัดระยะไกลของโฮสต์และเครือข่าย ซึ่งสัมพันธ์กับการโจมตีประเภทต่างๆ
ทีม Capsule8 มองว่างานของตนคือการตรวจจับและป้องกันการโจมตีโดยใช้สิ่งใหม่ตั้งแต่เนิ่นๆ (0 วัน) ช่องโหว่ Capsule8 สามารถดาวน์โหลดกฎความปลอดภัยที่อัปเดตไปยังตัวตรวจจับได้โดยตรง เพื่อตอบสนองต่อภัยคุกคามและช่องโหว่ของซอฟต์แวร์ที่เพิ่งค้นพบ
คาวิริน
- เว็บไซต์:
www.cavirin.com - ใบอนุญาต: เชิงพาณิชย์
คาวิรินทำหน้าที่เป็นผู้รับเหมาฝั่งบริษัทให้กับหน่วยงานต่างๆ ที่เกี่ยวข้องกับมาตรฐานความปลอดภัย ไม่เพียงแต่สแกนรูปภาพได้เท่านั้น แต่ยังสามารถรวมเข้ากับไปป์ไลน์ CI/CD ได้อีกด้วย ซึ่งจะบล็อกอิมเมจที่ไม่ได้มาตรฐานก่อนที่จะเข้าสู่พื้นที่เก็บข้อมูลแบบปิด
ชุดความปลอดภัยของ Cavirin ใช้การเรียนรู้ของเครื่องเพื่อประเมินสถานะความปลอดภัยทางไซเบอร์ของคุณ โดยเสนอเคล็ดลับในการปรับปรุงความปลอดภัยและปรับปรุงการปฏิบัติตามมาตรฐานความปลอดภัย
ศูนย์บัญชาการการรักษาความปลอดภัยของ Google Cloud
- เว็บไซต์:
cloud.google.com/security-command-center - ใบอนุญาต: เชิงพาณิชย์
ศูนย์บัญชาการรักษาความปลอดภัยระบบคลาวด์ช่วยให้ทีมรักษาความปลอดภัยรวบรวมข้อมูล ระบุภัยคุกคาม และกำจัดก่อนที่จะเป็นอันตรายต่อบริษัท
ตามชื่อที่แสดง Google Cloud SCC เป็นแผงควบคุมแบบรวมที่สามารถผสานรวมและจัดการรายงานความปลอดภัย เครื่องมือบัญชีสินทรัพย์ และระบบรักษาความปลอดภัยของบุคคลที่สามที่หลากหลายจากแหล่งรวมศูนย์แหล่งเดียว
API ที่ทำงานร่วมกันได้ที่นำเสนอโดย Google Cloud SCC ทำให้ง่ายต่อการผสานรวมกิจกรรมความปลอดภัยที่มาจากแหล่งต่างๆ เช่น Sysdig Secure (ความปลอดภัยของคอนเทนเนอร์สำหรับแอปพลิเคชันบนระบบคลาวด์) หรือ Falco (ความปลอดภัยรันไทม์ของ Open Source)
Layered Insight (ควอลิส)
- เว็บไซต์:
layeredinsight.com - ใบอนุญาต: เชิงพาณิชย์
Layered Insight (ปัจจุบันเป็นส่วนหนึ่งของ Qualys Inc) สร้างขึ้นจากแนวคิดเรื่อง "การรักษาความปลอดภัยแบบฝัง" หลังจากสแกนภาพต้นฉบับเพื่อหาช่องโหว่โดยใช้การวิเคราะห์ทางสถิติและการตรวจสอบ CVE แล้ว Layered Insight จะแทนที่ด้วยภาพที่มีเครื่องมือซึ่งมีเอเจนต์เป็นไบนารี
เอเจนต์นี้มีการทดสอบความปลอดภัยรันไทม์เพื่อวิเคราะห์การรับส่งข้อมูลเครือข่ายคอนเทนเนอร์ โฟลว์ I/O และกิจกรรมแอปพลิเคชัน นอกจากนี้ยังสามารถตรวจสอบความปลอดภัยเพิ่มเติมที่กำหนดโดยผู้ดูแลระบบโครงสร้างพื้นฐานหรือทีม DevOps
นิวเวคเตอร์
- เว็บไซต์:
neuvector.com - ใบอนุญาต: เชิงพาณิชย์
NeuVector ตรวจสอบความปลอดภัยของคอนเทนเนอร์และให้การป้องกันรันไทม์โดยการวิเคราะห์กิจกรรมเครือข่ายและพฤติกรรมของแอปพลิเคชัน สร้างโปรไฟล์ความปลอดภัยเฉพาะสำหรับแต่ละคอนเทนเนอร์ นอกจากนี้ยังสามารถบล็อกภัยคุกคามได้ด้วยตัวเอง แยกกิจกรรมที่น่าสงสัยโดยการเปลี่ยนกฎไฟร์วอลล์ในเครื่อง
การบูรณาการเครือข่ายของ NeuVector หรือที่เรียกว่า Security Mesh มีความสามารถในการวิเคราะห์แพ็กเก็ตเชิงลึกและการกรองเลเยอร์ 7 สำหรับการเชื่อมต่อเครือข่ายทั้งหมดใน service mesh
StackRox
- เว็บไซต์:
www.stackrox.com - ใบอนุญาต: เชิงพาณิชย์
แพลตฟอร์มการรักษาความปลอดภัยของคอนเทนเนอร์ StackRox มุ่งมั่นที่จะครอบคลุมวงจรการใช้งานทั้งหมดของแอปพลิเคชัน Kubernetes ในคลัสเตอร์ เช่นเดียวกับแพลตฟอร์มเชิงพาณิชย์อื่นๆ ในรายการนี้ StackRox จะสร้างโปรไฟล์รันไทม์ตามพฤติกรรมของคอนเทนเนอร์ที่สังเกตได้ และจะส่งการแจ้งเตือนโดยอัตโนมัติสำหรับการเบี่ยงเบนใดๆ
นอกจากนี้ StackRox ยังวิเคราะห์การกำหนดค่า Kubernetes โดยใช้ Kubernetes CIS และหนังสือกฎอื่นๆ เพื่อประเมินการปฏิบัติตามข้อกำหนดของคอนเทนเนอร์
Sysdig ปลอดภัย
- เว็บไซต์:
sysdig.com/products/secure - ใบอนุญาต: เชิงพาณิชย์
Sysdig Secure ปกป้องแอปพลิเคชันตลอดทั้งคอนเทนเนอร์และวงจรการใช้งาน Kubernetes เขา
Sysdig Secure ทำงานร่วมกับเครื่องมือ CI/CD เช่น Jenkins และควบคุมอิมเมจที่โหลดจากรีจิสตรี Docker ป้องกันไม่ให้อิมเมจที่เป็นอันตรายปรากฏขึ้นในการผลิต นอกจากนี้ยังมีการรักษาความปลอดภัยรันไทม์ที่ครอบคลุม ซึ่งรวมถึง:
- การทำโปรไฟล์รันไทม์ตาม ML และการตรวจจับความผิดปกติ
- นโยบายรันไทม์ตามเหตุการณ์ของระบบ, K8s-audit API, โครงการชุมชนร่วม (FIM - การตรวจสอบความสมบูรณ์ของไฟล์; การเข้ารหัสลับ) และเฟรมเวิร์ก
MITER ATT&CK ; - การตอบสนองและการแก้ไขเหตุการณ์
การรักษาความปลอดภัยคอนเทนเนอร์ที่สามารถเชื่อถือได้
- เว็บไซต์:
www.tenable.com/products/tenable-io/container-security - ใบอนุญาต: เชิงพาณิชย์
ก่อนการถือกำเนิดของคอนเทนเนอร์ Tenable เป็นที่รู้จักอย่างกว้างขวางในอุตสาหกรรมในฐานะบริษัทที่อยู่เบื้องหลัง Nessus ซึ่งเป็นเครื่องมือค้นหาช่องโหว่และการตรวจสอบความปลอดภัยยอดนิยม
Tenable Container Security ใช้ประโยชน์จากความเชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ของบริษัทเพื่อรวมไปป์ไลน์ CI/CD เข้ากับฐานข้อมูลช่องโหว่ แพ็คเกจการตรวจจับมัลแวร์เฉพาะทาง และคำแนะนำสำหรับการแก้ไขภัยคุกคามด้านความปลอดภัย
Twistlock (เครือข่ายพาโลอัลโต)
- เว็บไซต์:
www.twistlock.com - ใบอนุญาต: เชิงพาณิชย์
Twistlock ส่งเสริมตัวเองในฐานะแพลตฟอร์มที่เน้นบริการคลาวด์และคอนเทนเนอร์ Twistlock รองรับผู้ให้บริการคลาวด์หลายราย (AWS, Azure, GCP), ผู้ควบคุมคอนเทนเนอร์ (Kubernetes, Mesospehere, OpenShift, Docker), รันไทม์แบบไร้เซิร์ฟเวอร์, เฟรมเวิร์ก Mesh และเครื่องมือ CI/CD
นอกเหนือจากเทคนิคการรักษาความปลอดภัยระดับองค์กรทั่วไป เช่น การรวมไปป์ไลน์ CI/CD หรือการสแกนรูปภาพ Twistlock ยังใช้การเรียนรู้ของเครื่องเพื่อสร้างรูปแบบพฤติกรรมเฉพาะคอนเทนเนอร์และกฎเครือข่าย
เมื่อไม่นานมานี้ Twistlock ถูกซื้อโดย Palo Alto Networks ซึ่งเป็นเจ้าของโครงการ Evident.io และ RedLock ยังไม่ทราบว่าทั้งสามแพลตฟอร์มนี้จะรวมเข้าด้วยกันได้อย่างไร
ช่วยสร้างแค็ตตาล็อกเครื่องมือรักษาความปลอดภัย Kubernetes ที่ดีที่สุด!
เรามุ่งมั่นที่จะทำให้แค็ตตาล็อกนี้สมบูรณ์ที่สุดเท่าที่จะเป็นไปได้ และด้วยเหตุนี้ เราต้องการความช่วยเหลือจากคุณ! ติดต่อเรา (
คุณยังสามารถสมัครสมาชิกของเราได้
ปล.จากผู้แปล
อ่านเพิ่มเติมในบล็อกของเรา:
- «
ข้อมูลเบื้องต้นเกี่ยวกับนโยบายเครือข่าย Kubernetes สำหรับผู้เชี่ยวชาญด้านความปลอดภัย "; - «
Docker และ Kubernetes ในสภาพแวดล้อมที่คำนึงถึงความปลอดภัย "; - «
9 แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของ Kubernetes "; - «
11 วิธีในการ (ไม่) ตกเป็นเหยื่อของการแฮ็ก Kubernetes "; - «
OPA และ SPIFFE คือสองโปรเจ็กต์ใหม่ของ CNCF สำหรับการรักษาความปลอดภัยแอปพลิเคชันบนคลาวด์ '
ที่มา: will.com