🥇33+ เครื่องมือสำหรับการรักษาความปลอดภัย Kubernetes

บันทึก. แปล: หากคุณสงสัยเกี่ยวกับการรักษาความปลอดภัยในโครงสร้างพื้นฐานที่ใช้ Kubernetes ภาพรวมที่ยอดเยี่ยมจาก Sysdig นี้ถือเป็นจุดเริ่มต้นที่ดีในการดูโซลูชันปัจจุบันอย่างรวดเร็ว ประกอบด้วยทั้งระบบที่ซับซ้อนจากผู้เล่นในตลาดที่มีชื่อเสียงและยูทิลิตี้ที่เรียบง่ายอื่น ๆ อีกมากมายที่แก้ปัญหาเฉพาะได้ และเช่นเคยในความคิดเห็น เรายินดีที่จะได้ยินเกี่ยวกับประสบการณ์ของคุณในการใช้เครื่องมือเหล่านี้ และดูลิงก์ไปยังโครงการอื่น ๆ

ผลิตภัณฑ์ซอฟต์แวร์รักษาความปลอดภัย Kubernetes... มีมากมาย โดยแต่ละผลิตภัณฑ์มีเป้าหมาย ขอบเขต และใบอนุญาตเป็นของตัวเอง

นั่นเป็นเหตุผลที่เราตัดสินใจสร้างรายการนี้และรวมทั้งโครงการโอเพ่นซอร์สและแพลตฟอร์มเชิงพาณิชย์จากผู้ขายหลายราย เราหวังว่าสิ่งนี้จะช่วยให้คุณระบุสิ่งที่น่าสนใจที่สุดและชี้ทิศทางที่ถูกต้องตามความต้องการด้านความปลอดภัยของ Kubernetes เฉพาะของคุณ

หมวดหมู่

เพื่อให้รายการง่ายขึ้น เครื่องมือต่างๆ จึงถูกจัดเรียงตามฟังก์ชันหลักและแอปพลิเคชัน ได้รับส่วนต่อไปนี้:

การสแกนภาพ Kubernetes และการวิเคราะห์แบบคงที่
การรักษาความปลอดภัยรันไทม์
การรักษาความปลอดภัยเครือข่าย Kubernetes
การกระจายภาพและการจัดการความลับ
การตรวจสอบความปลอดภัยของ Kubernetes
สินค้าเชิงพาณิชย์ครบวงจร

มาทำธุรกิจกันเถอะ:

กำลังสแกนรูปภาพ Kubernetes

แองเคอเร่

เว็บไซต์: สมอ.ดอทคอม
ใบอนุญาต: ข้อเสนอฟรี (Apache) และเชิงพาณิชย์

Anchore วิเคราะห์อิมเมจคอนเทนเนอร์และอนุญาตการตรวจสอบความปลอดภัยตามนโยบายที่ผู้ใช้กำหนด

นอกเหนือจากการสแกนอิมเมจคอนเทนเนอร์ตามปกติเพื่อหาช่องโหว่ที่ทราบจากฐานข้อมูล CVE แล้ว Anchore ยังดำเนินการตรวจสอบเพิ่มเติมอีกมากมายซึ่งเป็นส่วนหนึ่งของนโยบายการสแกน: ตรวจสอบ Dockerfile, ข้อมูลประจำตัวรั่วไหล, แพ็คเกจของภาษาการเขียนโปรแกรมที่ใช้ (npm, maven ฯลฯ .) ลิขสิทธิ์ซอฟต์แวร์ และอื่นๆ อีกมากมาย

ชัดเจน

เว็บไซต์: coreos.com/clair (ปัจจุบันอยู่ภายใต้การดูแลของเรดแฮท)
ใบอนุญาต: ฟรี (Apache)

Clair เป็นหนึ่งในโครงการโอเพ่นซอร์สโครงการแรกๆ สำหรับการสแกนรูปภาพ เป็นที่รู้จักอย่างกว้างขวางว่าเป็นเครื่องสแกนความปลอดภัยที่อยู่เบื้องหลังการลงทะเบียนอิมเมจ Quay (จาก CoreOS - ประมาณ การแปล). Clair สามารถรวบรวมข้อมูล CVE จากแหล่งที่มาที่หลากหลาย รวมถึงรายการช่องโหว่เฉพาะการแจกจ่าย Linux ที่ดูแลโดยทีมรักษาความปลอดภัย Debian, Red Hat หรือ Ubuntu

Clair ต่างจาก Anchore ตรงที่มุ่งเน้นไปที่การค้นหาช่องโหว่และการจับคู่ข้อมูลกับ CVE เป็นหลัก อย่างไรก็ตาม ผลิตภัณฑ์นี้เปิดโอกาสให้ผู้ใช้ขยายฟังก์ชันโดยใช้ไดรเวอร์ปลั๊กอิน

แดกด้า

เว็บไซต์: github.com/eliasganderubio/dagda
ใบอนุญาต: ฟรี (Apache)

Dagda ทำการวิเคราะห์คอนเทนเนอร์อิมเมจแบบคงที่เพื่อหาช่องโหว่ โทรจัน ไวรัส มัลแวร์ และภัยคุกคามอื่น ๆ ที่ทราบ

คุณสมบัติเด่นสองประการที่ทำให้ Dagda แตกต่างจากเครื่องมืออื่นที่คล้ายคลึงกัน:

มันผสมผสานกันอย่างลงตัวกับ ClamAVซึ่งไม่เพียงทำหน้าที่เป็นเครื่องมือในการสแกนอิมเมจคอนเทนเนอร์เท่านั้น แต่ยังทำหน้าที่เป็นโปรแกรมป้องกันไวรัสอีกด้วย
ยังให้การป้องกันรันไทม์โดยรับเหตุการณ์แบบเรียลไทม์จาก Docker daemon และบูรณาการกับ Falco (ดูด้านล่าง) เพื่อรวบรวมเหตุการณ์ด้านความปลอดภัยในขณะที่คอนเทนเนอร์กำลังทำงาน

คิวบ์เอ็กซ์เรย์

เว็บไซต์: github.com/jfrog/kubexray
ใบอนุญาต: ฟรี (Apache) แต่ต้องใช้ข้อมูลจาก JFrog Xray (ผลิตภัณฑ์เชิงพาณิชย์)

KubeXray ฟังเหตุการณ์จากเซิร์ฟเวอร์ Kubernetes API และใช้ข้อมูลเมตาจาก JFrog Xray เพื่อให้แน่ใจว่าจะมีการเปิดตัวเฉพาะพ็อดที่ตรงกับนโยบายปัจจุบันเท่านั้น

KubeXray ไม่เพียงแต่ตรวจสอบคอนเทนเนอร์ใหม่หรือที่อัปเดตในการใช้งาน (คล้ายกับตัวควบคุมการรับเข้าใน Kubernetes) แต่ยังตรวจสอบคอนเทนเนอร์ที่ทำงานอยู่แบบไดนามิกเพื่อให้สอดคล้องกับนโยบายความปลอดภัยใหม่ โดยลบทรัพยากรที่อ้างอิงอิมเมจที่มีช่องโหว่

สนุ๊ก

เว็บไซต์: snyk.io
ใบอนุญาต: รุ่นฟรี (Apache) และเชิงพาณิชย์

Snyk เป็นเครื่องสแกนช่องโหว่ที่ผิดปกติ โดยมีเป้าหมายไปที่กระบวนการพัฒนาโดยเฉพาะ และได้รับการส่งเสริมให้เป็น "โซลูชันที่จำเป็น" สำหรับนักพัฒนา

Snyk เชื่อมต่อโดยตรงกับที่เก็บโค้ด แยกวิเคราะห์รายการโปรเจ็กต์ และวิเคราะห์โค้ดที่นำเข้าพร้อมกับการขึ้นต่อกันทั้งทางตรงและทางอ้อม Snyk รองรับภาษาการเขียนโปรแกรมยอดนิยมมากมายและสามารถระบุความเสี่ยงด้านใบอนุญาตที่ซ่อนอยู่ได้

เรื่องไม่สำคัญ

เว็บไซต์: github.com/knqyf263/trivy
ใบอนุญาต: ฟรี (AGPL)

Trivy เป็นเครื่องสแกนช่องโหว่ที่เรียบง่ายแต่ทรงพลังสำหรับคอนเทนเนอร์ที่รวมเข้ากับไปป์ไลน์ CI/CD ได้อย่างง่ายดาย คุณสมบัติเด่นคือความง่ายในการติดตั้งและการใช้งาน: แอปพลิเคชันประกอบด้วยไบนารีเดียวและไม่จำเป็นต้องติดตั้งฐานข้อมูลหรือไลบรารีเพิ่มเติม

ข้อเสียของความเรียบง่ายของ Trivy คือคุณต้องทราบวิธีแยกวิเคราะห์และส่งต่อผลลัพธ์ในรูปแบบ JSON เพื่อให้เครื่องมือรักษาความปลอดภัย Kubernetes อื่นๆ สามารถใช้งานได้

การรักษาความปลอดภัยรันไทม์ใน Kubernetes

ฟาลโก้

เว็บไซต์: falco.org
ใบอนุญาต: ฟรี (Apache)

Falco คือชุดเครื่องมือสำหรับการรักษาความปลอดภัยสภาพแวดล้อมรันไทม์บนคลาวด์ ส่วนหนึ่งของกลุ่มโครงการ ซีเอ็นซีเอฟ.

การใช้เครื่องมือระดับเคอร์เนล Linux ของ Sysdig และการทำโปรไฟล์การโทรของระบบ ทำให้ Falco ช่วยให้คุณเจาะลึกพฤติกรรมของระบบได้ กลไกกฎรันไทม์สามารถตรวจจับกิจกรรมที่น่าสงสัยในแอปพลิเคชัน คอนเทนเนอร์ โฮสต์พื้นฐาน และผู้ดำเนินการ Kubernetes

Falco ให้ความโปร่งใสอย่างสมบูรณ์ในการตรวจจับรันไทม์และภัยคุกคามโดยการปรับใช้ตัวแทนพิเศษบนโหนด Kubernetes เพื่อวัตถุประสงค์เหล่านี้ ด้วยเหตุนี้ จึงไม่จำเป็นต้องแก้ไขคอนเทนเนอร์โดยการแนะนำโค้ดของบริษัทอื่นหรือเพิ่มคอนเทนเนอร์ไซด์คาร์

เฟรมเวิร์กความปลอดภัยของ Linux สำหรับรันไทม์

เฟรมเวิร์กดั้งเดิมสำหรับเคอร์เนล Linux ไม่ใช่ “เครื่องมือความปลอดภัยของ Kubernetes” ในแง่ดั้งเดิม แต่คุ้มค่าที่จะกล่าวถึงเนื่องจากเป็นองค์ประกอบสำคัญในบริบทของการรักษาความปลอดภัยรันไทม์ ซึ่งรวมอยู่ในนโยบายความปลอดภัยของ Kubernetes Pod (PSP)

AppArmor แนบโปรไฟล์ความปลอดภัยกับกระบวนการที่ทำงานในคอนเทนเนอร์ การกำหนดสิทธิ์ของระบบไฟล์ กฎการเข้าถึงเครือข่าย การเชื่อมต่อไลบรารี ฯลฯ นี่คือระบบที่ใช้ Mandatory Access Control (MAC) กล่าวอีกนัยหนึ่ง จะป้องกันไม่ให้มีการกระทำที่ต้องห้าม

Linux ที่ปรับปรุงความปลอดภัย (SELinux) เป็นโมดูลความปลอดภัยขั้นสูงในเคอร์เนล Linux ซึ่งคล้ายกับ AppArmor ในบางด้านและมักถูกนำมาเปรียบเทียบกัน SELinux เหนือกว่า AppArmor ในด้านพลัง ความยืดหยุ่น และการปรับแต่ง ข้อเสียของมันคือช่วงการเรียนรู้ที่ยาวนานและความซับซ้อนที่เพิ่มขึ้น

เซคคอม และ seccomp-bpf ช่วยให้คุณสามารถกรองการเรียกของระบบ บล็อกการดำเนินการที่อาจเป็นอันตรายต่อระบบปฏิบัติการพื้นฐาน และไม่จำเป็นสำหรับการทำงานปกติของแอปพลิเคชันผู้ใช้ Seccomp มีความคล้ายคลึงกับ Falco ในบางด้าน แม้ว่าจะไม่ทราบลักษณะเฉพาะของคอนเทนเนอร์ก็ตาม

โอเพ่นซอร์ส Sysdig

เว็บไซต์: www.sysdig.com/opensource
ใบอนุญาต: ฟรี (Apache)

Sysdig เป็นเครื่องมือที่สมบูรณ์สำหรับการวิเคราะห์ วินิจฉัย และแก้ไขจุดบกพร่องของระบบ Linux (ใช้ได้กับ Windows และ macOS เช่นกัน แต่มีฟังก์ชันที่จำกัด) สามารถใช้สำหรับการรวบรวมข้อมูลโดยละเอียด การตรวจสอบ และการวิเคราะห์ทางนิติวิทยาศาสตร์ (นิติเวช) ระบบฐานและคอนเทนเนอร์ใดๆ ที่ทำงานอยู่บนระบบนั้น

Sysdig ยังรองรับรันไทม์ของคอนเทนเนอร์และข้อมูลเมตาของ Kubernetes โดยธรรมชาติ โดยเพิ่มมิติและป้ายกำกับเพิ่มเติมให้กับข้อมูลพฤติกรรมของระบบทั้งหมดที่รวบรวม มีหลายวิธีในการวิเคราะห์คลัสเตอร์ Kubernetes โดยใช้ Sysdig: คุณสามารถดำเนินการบันทึกช่วงเวลาได้ผ่านทาง การจับคิวเบกเทิล หรือเปิดอินเทอร์เฟซแบบโต้ตอบตาม ncurses โดยใช้ปลั๊กอิน คูเบคเติลขุด.

ความปลอดภัยเครือข่าย Kubernetes

อะโปเรโต

เว็บไซต์: www.aporeto.com
ใบอนุญาต: เชิงพาณิชย์

Aporeto นำเสนอ "ความปลอดภัยที่แยกออกจากเครือข่ายและโครงสร้างพื้นฐาน" ซึ่งหมายความว่าบริการ Kubernetes ไม่เพียงแต่ได้รับ ID ภายในเครื่อง (เช่น ServiceAccount ใน Kubernetes) แต่ยังได้รับ ID สากล/ลายนิ้วมือที่สามารถใช้เพื่อสื่อสารอย่างปลอดภัยและร่วมกันกับบริการอื่น ๆ เช่น ในคลัสเตอร์ OpenShift

Aporeto สามารถสร้าง ID เฉพาะได้ไม่เฉพาะสำหรับ Kubernetes/คอนเทนเนอร์เท่านั้น แต่ยังสำหรับโฮสต์ ฟังก์ชันคลาวด์ และผู้ใช้ด้วย ขึ้นอยู่กับตัวระบุเหล่านี้และชุดกฎความปลอดภัยเครือข่ายที่กำหนดโดยผู้ดูแลระบบ การสื่อสารจะได้รับอนุญาตหรือบล็อก

ผ้าดิบ

เว็บไซต์: www.projectcalico.org
ใบอนุญาต: ฟรี (Apache)

โดยทั่วไปแล้ว Calico จะถูกใช้งานในระหว่างการติดตั้งคอนเทนเนอร์ออร์เคสตราเตอร์ ซึ่งช่วยให้คุณสามารถสร้างเครือข่ายเสมือนที่เชื่อมต่อคอนเทนเนอร์เข้าด้วยกันได้ นอกเหนือจากฟังก์ชันการทำงานเครือข่ายขั้นพื้นฐานแล้ว โครงการ Calico ยังทำงานร่วมกับ Kubernetes Network Policies และชุดโปรไฟล์ความปลอดภัยเครือข่ายของตัวเอง รองรับ ACL จุดสิ้นสุด (รายการควบคุมการเข้าถึง) และกฎความปลอดภัยเครือข่ายที่ใช้คำอธิบายประกอบสำหรับการรับส่งข้อมูลขาเข้าและขาออก

ซีเลีย

เว็บไซต์: www.cilium.io
ใบอนุญาต: ฟรี (Apache)

Cilium ทำหน้าที่เป็นไฟร์วอลล์สำหรับคอนเทนเนอร์และมอบฟีเจอร์ความปลอดภัยเครือข่ายที่ปรับให้เหมาะกับปริมาณงาน Kubernetes และไมโครเซอร์วิสโดยเฉพาะ Cilium ใช้เทคโนโลยีเคอร์เนล Linux ใหม่ที่เรียกว่า BPF (Berkeley Packet Filter) เพื่อกรอง ตรวจสอบ เปลี่ยนเส้นทาง และแก้ไขข้อมูล

Cilium มีความสามารถในการปรับใช้นโยบายการเข้าถึงเครือข่ายตาม ID คอนเทนเนอร์โดยใช้ป้ายกำกับและข้อมูลเมตาของ Docker หรือ Kubernetes Cilium ยังเข้าใจและกรองโปรโตคอล Layer 7 ต่างๆ เช่น HTTP หรือ gRPC ซึ่งช่วยให้คุณสามารถกำหนดชุดของการเรียก REST ที่จะได้รับอนุญาตระหว่างการปรับใช้ Kubernetes สองครั้ง เป็นต้น

อิสติโอ

เว็บไซต์: istio.io
ใบอนุญาต: ฟรี (Apache)

Istio เป็นที่รู้จักอย่างกว้างขวางในการใช้กระบวนทัศน์บริการแบบ Mesh โดยการปรับใช้ Control Plane ที่ไม่ขึ้นกับแพลตฟอร์ม และกำหนดเส้นทางการรับส่งข้อมูลบริการที่มีการจัดการทั้งหมดผ่านพร็อกซี Envoy ที่กำหนดค่าได้แบบไดนามิก Istio ใช้ประโยชน์จากมุมมองขั้นสูงนี้ของไมโครเซอร์วิสและคอนเทนเนอร์ทั้งหมดเพื่อใช้กลยุทธ์ความปลอดภัยเครือข่ายต่างๆ

ความสามารถด้านความปลอดภัยเครือข่ายของ Istio ประกอบด้วยการเข้ารหัส TLS ที่โปร่งใสเพื่ออัปเกรดการสื่อสารระหว่างไมโครเซอร์วิสเป็น HTTPS โดยอัตโนมัติ และระบบระบุตัวตนและการอนุญาต RBAC ที่เป็นกรรมสิทธิ์ เพื่ออนุญาต/ปฏิเสธการสื่อสารระหว่างปริมาณงานที่แตกต่างกันในคลัสเตอร์

บันทึก. แปล: หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความสามารถที่มุ่งเน้นด้านความปลอดภัยของ Istio โปรดอ่าน บทความนี้.

ไทเกอร์ก้า

เว็บไซต์: www.tigera.io
ใบอนุญาต: เชิงพาณิชย์

โซลูชันนี้เรียกว่า “ไฟร์วอลล์ Kubernetes” โดยเน้นที่แนวทางการรักษาความปลอดภัยเครือข่ายแบบ Zero Trust

เช่นเดียวกับโซลูชันเครือข่าย Kubernetes อื่นๆ Tigera อาศัยข้อมูลเมตาเพื่อระบุบริการและอ็อบเจ็กต์ต่างๆ ในคลัสเตอร์ และมอบการตรวจจับปัญหารันไทม์ การตรวจสอบการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง และการมองเห็นเครือข่ายสำหรับโครงสร้างพื้นฐานที่บรรจุในคอนเทนเนอร์แบบมัลติคลาวด์หรือไฮบริด

ไตรเรเม่

เว็บไซต์: www.aporeto.com/opensource
ใบอนุญาต: ฟรี (Apache)

Trireme-Kubernetes เป็นการนำข้อกำหนดนโยบายเครือข่าย Kubernetes ไปใช้อย่างเรียบง่ายและตรงไปตรงมา คุณสมบัติที่โดดเด่นที่สุดคือ - ไม่เหมือนกับผลิตภัณฑ์รักษาความปลอดภัยเครือข่าย Kubernetes ที่คล้ายกัน - ไม่จำเป็นต้องมีระนาบควบคุมส่วนกลางเพื่อประสานตาข่าย ทำให้โซลูชันสามารถปรับขนาดได้เล็กน้อย ใน Trireme สามารถทำได้โดยการติดตั้งเอเจนต์บนแต่ละโหนดที่เชื่อมต่อโดยตรงกับสแต็ก TCP/IP ของโฮสต์

การขยายพันธุ์ภาพและการจัดการความลับ

กราฟิค

เว็บไซต์: กราฟีส.io
ใบอนุญาต: ฟรี (Apache)

Grafeas เป็น API แบบโอเพ่นซอร์สสำหรับการตรวจสอบและการจัดการห่วงโซ่อุปทานซอฟต์แวร์ ในระดับพื้นฐาน Grafeas เป็นเครื่องมือสำหรับรวบรวมข้อมูลเมตาและผลการตรวจสอบ สามารถใช้เพื่อติดตามการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยภายในองค์กร

แหล่งข้อมูลความจริงแบบรวมศูนย์นี้ช่วยตอบคำถามต่างๆ เช่น:

ใครเป็นผู้รวบรวมและลงนามในคอนเทนเนอร์ใดคอนเทนเนอร์หนึ่งโดยเฉพาะ
ผ่านการสแกนและการตรวจสอบความปลอดภัยทั้งหมดตามที่นโยบายความปลอดภัยกำหนดหรือไม่ เมื่อไร? ผลลัพธ์ที่ได้คืออะไร?
ใครเป็นผู้นำไปใช้ในการผลิต? มีการใช้พารามิเตอร์เฉพาะใดในระหว่างการปรับใช้?

อิน-โตโต้

เว็บไซต์: ใน toto.github.io
ใบอนุญาต: ฟรี (Apache)

In-toto เป็นเฟรมเวิร์กที่ออกแบบมาเพื่อให้ความสมบูรณ์ การรับรองความถูกต้อง และการตรวจสอบห่วงโซ่อุปทานซอฟต์แวร์ทั้งหมด เมื่อปรับใช้ In-toto ในโครงสร้างพื้นฐาน ขั้นแรกจะมีการกำหนดแผนที่จะอธิบายขั้นตอนต่างๆ ในไปป์ไลน์ (พื้นที่เก็บข้อมูล เครื่องมือ CI/CD เครื่องมือ QA ผู้รวบรวมสิ่งประดิษฐ์ ฯลฯ) และผู้ใช้ (ผู้รับผิดชอบ) ที่ได้รับอนุญาตให้ เริ่มต้นพวกเขา

In-toto ติดตามการดำเนินการตามแผน โดยตรวจสอบว่าแต่ละงานในห่วงโซ่ดำเนินการอย่างเหมาะสมโดยบุคลากรที่ได้รับอนุญาตเท่านั้น และไม่มีการดำเนินการใดๆ โดยไม่ได้รับอนุญาตกับผลิตภัณฑ์ระหว่างการเคลื่อนย้าย

ปอร์เทียริส

เว็บไซต์: github.com/IBM/portieris
ใบอนุญาต: ฟรี (Apache)

Portieris เป็นผู้ควบคุมการรับเข้าของ Kubernetes ใช้เพื่อบังคับใช้การตรวจสอบความน่าเชื่อถือของเนื้อหา Portieris ใช้เซิร์ฟเวอร์ ทนายความ (เราเขียนเกี่ยวกับเขาในตอนท้าย ของบทความนี้ - ประมาณ การแปล) เป็นแหล่งที่มาของความจริงในการตรวจสอบสิ่งประดิษฐ์ที่เชื่อถือได้และลงนาม (เช่น อิมเมจคอนเทนเนอร์ที่ได้รับอนุมัติ)

เมื่อมีการสร้างหรือแก้ไขปริมาณงานใน Kubernetes ทาง Portieris จะดาวน์โหลดข้อมูลการลงนามและนโยบายความน่าเชื่อถือของเนื้อหาสำหรับอิมเมจคอนเทนเนอร์ที่ร้องขอ และหากจำเป็น จะทำการเปลี่ยนแปลงออบเจ็กต์ JSON API ได้ทันทีเพื่อเรียกใช้อิมเมจเวอร์ชันที่ลงนามเหล่านั้น

หกคะเมน

เว็บไซต์: www.vaultproject.io
ใบอนุญาต: ฟรี (MPL)

ห้องนิรภัยเป็นโซลูชันที่ปลอดภัยสำหรับการจัดเก็บข้อมูลส่วนตัว: รหัสผ่าน, โทเค็น OAuth, ใบรับรอง PKI, บัญชีการเข้าถึง, ข้อมูลลับของ Kubernetes ฯลฯ ห้องนิรภัยรองรับฟีเจอร์ขั้นสูงมากมาย เช่น การเช่าโทเค็นความปลอดภัยชั่วคราว หรือการจัดระเบียบการหมุนเวียนคีย์

การใช้แผนภูมิ Helm ทำให้ห้องนิรภัยสามารถติดตั้งใช้งานได้เป็นการปรับใช้ใหม่ในคลัสเตอร์ Kubernetes โดยมี Consul เป็นที่เก็บข้อมูลแบ็กเอนด์ รองรับทรัพยากร Kubernetes ดั้งเดิม เช่น โทเค็น ServiceAccount และยังทำหน้าที่เป็นที่จัดเก็บเริ่มต้นสำหรับความลับของ Kubernetes ได้อีกด้วย

บันทึก. แปล: เมื่อวานนี้เอง บริษัท HashiCorp ซึ่งเป็นผู้พัฒนา Vault ได้ประกาศการปรับปรุงบางอย่างสำหรับการใช้ Vault ใน Kubernetes และโดยเฉพาะอย่างยิ่งการปรับปรุงเหล่านี้เกี่ยวข้องกับแผนภูมิ Helm อ่านเพิ่มเติมใน บล็อกของนักพัฒนา.

การตรวจสอบความปลอดภัยของ Kubernetes

Kube-ม้านั่ง

เว็บไซต์: github.com/aquasecurity/kube-bench
ใบอนุญาต: ฟรี (Apache)

Kube-bench เป็นแอปพลิเคชัน Go ที่ตรวจสอบว่า Kubernetes ได้รับการปรับใช้อย่างปลอดภัยหรือไม่โดยการรันการทดสอบจากรายการ เกณฑ์มาตรฐาน CIS Kubernetes.

Kube-bench ค้นหาการตั้งค่าการกำหนดค่าที่ไม่ปลอดภัยในส่วนประกอบของคลัสเตอร์ (etcd, API, ตัวจัดการคอนโทรลเลอร์ ฯลฯ), สิทธิ์การเข้าถึงไฟล์ที่น่าสงสัย, บัญชีที่ไม่ได้รับการป้องกันหรือพอร์ตที่เปิดอยู่, โควต้าทรัพยากร, การตั้งค่าเพื่อจำกัดจำนวนการเรียก API เพื่อป้องกันการโจมตี DoS ฯลฯ

Kube-ฮันเตอร์

เว็บไซต์: github.com/aquasecurity/kube-hunter
ใบอนุญาต: ฟรี (Apache)

Kube-hunter มองหาช่องโหว่ที่อาจเกิดขึ้น (เช่น การเรียกใช้โค้ดจากระยะไกลหรือการเปิดเผยข้อมูล) ในคลัสเตอร์ Kubernetes Kube-hunter สามารถเรียกใช้เป็นเครื่องสแกนระยะไกลได้ ในกรณีนี้จะประเมินคลัสเตอร์จากมุมมองของผู้โจมตีจากบุคคลที่สาม หรือเป็นพ็อดภายในคลัสเตอร์

คุณสมบัติที่โดดเด่นของ Kube-hunter คือโหมด "การล่าสัตว์ที่ใช้งานอยู่" ซึ่งในระหว่างนั้นไม่เพียงรายงานปัญหาเท่านั้น แต่ยังพยายามใช้ประโยชน์จากช่องโหว่ที่พบในคลัสเตอร์เป้าหมายที่อาจเป็นอันตรายต่อการทำงานของมัน ดังนั้นใช้ด้วยความระมัดระวัง!

คูโบออดิท

เว็บไซต์: github.com/Shopify/kubeaudit
ใบอนุญาต: ฟรี (MIT)

Kubeaudit เป็นเครื่องมือคอนโซลที่พัฒนาขึ้นครั้งแรกที่ Shopify เพื่อตรวจสอบการกำหนดค่า Kubernetes สำหรับปัญหาด้านความปลอดภัยต่างๆ ตัวอย่างเช่น ช่วยระบุคอนเทนเนอร์ที่ทำงานแบบไม่จำกัด ทำงานเป็นรูท ใช้สิทธิ์ในทางที่ผิด หรือใช้ ServiceAccount เริ่มต้น

Kubeaudit มีฟีเจอร์ที่น่าสนใจอื่นๆ ตัวอย่างเช่น สามารถวิเคราะห์ไฟล์ YAML ในเครื่อง ระบุข้อบกพร่องในการกำหนดค่าที่อาจนำไปสู่ปัญหาด้านความปลอดภัย และแก้ไขโดยอัตโนมัติ

คูเบเซค

เว็บไซต์: kubesec.io
ใบอนุญาต: ฟรี (Apache)

Kubesec เป็นเครื่องมือพิเศษที่จะสแกนไฟล์ YAML ที่อธิบายทรัพยากรของ Kubernetes โดยตรง โดยมองหาพารามิเตอร์ที่อ่อนแอซึ่งอาจส่งผลต่อความปลอดภัย

ตัวอย่างเช่น สามารถตรวจจับสิทธิ์และการอนุญาตที่มากเกินไปที่มอบให้กับพ็อด การรันคอนเทนเนอร์ที่มีรูทเป็นผู้ใช้เริ่มต้น การเชื่อมต่อกับเนมสเปซเครือข่ายของโฮสต์ หรือการเมานต์ที่เป็นอันตราย เช่น /proc โฮสต์หรือซ็อกเก็ตนักเทียบท่า คุณสมบัติที่น่าสนใจอีกประการหนึ่งของ Kubesec คือบริการสาธิตที่พร้อมใช้งานออนไลน์ ซึ่งคุณสามารถอัปโหลด YAML และวิเคราะห์ได้ทันที

เปิดตัวแทนนโยบาย

เว็บไซต์: www.openpolicyagent.org
ใบอนุญาต: ฟรี (Apache)

แนวคิดของ OPA (Open Policy Agent) คือการแยกนโยบายความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยออกจากแพลตฟอร์มรันไทม์เฉพาะ: Docker, Kubernetes, Mesosphere, OpenShift หรือการรวมกันใดๆ ก็ตาม

ตัวอย่างเช่น คุณสามารถปรับใช้ OPA เป็นแบ็กเอนด์สำหรับตัวควบคุมการรับเข้า Kubernetes โดยมอบหมายการตัดสินใจด้านความปลอดภัยให้กับมัน ด้วยวิธีนี้ ตัวแทน OPA สามารถตรวจสอบ ปฏิเสธ และแม้แต่แก้ไขคำขอได้ทันที เพื่อให้มั่นใจว่าเป็นไปตามพารามิเตอร์ความปลอดภัยที่ระบุ นโยบายความปลอดภัยของ OPA เขียนด้วยภาษา DSL ที่เป็นกรรมสิทธิ์ของบริษัท นั่นคือ Rego

บันทึก. แปล: เราเขียนเพิ่มเติมเกี่ยวกับ OPA (และ SPIFFE) ใน สิ่งนี้.

เครื่องมือเชิงพาณิชย์ที่ครอบคลุมสำหรับการวิเคราะห์ความปลอดภัยของ Kubernetes

เราตัดสินใจสร้างหมวดหมู่แยกต่างหากสำหรับแพลตฟอร์มเชิงพาณิชย์ เนื่องจากโดยทั่วไปแล้วจะครอบคลุมพื้นที่ความปลอดภัยหลายด้าน แนวคิดทั่วไปเกี่ยวกับความสามารถของพวกเขาสามารถรับได้จากตาราง:

* การตรวจขั้นสูงและวิเคราะห์ชันสูตรศพอย่างครบถ้วน การแย่งชิงการโทรของระบบ.

การรักษาความปลอดภัยทางน้ำ

เว็บไซต์: www.aquasec.com
ใบอนุญาต: เชิงพาณิชย์

เครื่องมือเชิงพาณิชย์นี้ออกแบบมาสำหรับคอนเทนเนอร์และปริมาณงานบนคลาวด์ มันมี:

การสแกนรูปภาพที่ผสานรวมกับรีจิสตรีคอนเทนเนอร์หรือไปป์ไลน์ CI/CD
การป้องกันรันไทม์พร้อมการค้นหาการเปลี่ยนแปลงในคอนเทนเนอร์และกิจกรรมที่น่าสงสัยอื่น ๆ
ไฟร์วอลล์คอนเทนเนอร์เนทิฟ
การรักษาความปลอดภัยสำหรับบริการแบบไร้เซิร์ฟเวอร์ในบริการคลาวด์
การทดสอบและการตรวจสอบการปฏิบัติตามข้อกำหนดรวมกับการบันทึกเหตุการณ์

บันทึก. แปล: นอกจากนี้ยังเป็นที่น่าสังเกตว่ามี ส่วนประกอบอิสระของผลิตภัณฑ์ที่เรียกว่า ไมโครสแกนเนอร์ซึ่งช่วยให้คุณสแกนอิมเมจคอนเทนเนอร์เพื่อหาช่องโหว่ได้ มีการนำเสนอการเปรียบเทียบความสามารถกับเวอร์ชันที่ต้องชำระเงิน ตารางนี้.

แคปซูล8

เว็บไซต์: แคปซูล8.คอม
ใบอนุญาต: เชิงพาณิชย์

Capsule8 ผสานรวมเข้ากับโครงสร้างพื้นฐานโดยการติดตั้งตัวตรวจจับบนคลัสเตอร์ Kubernetes ภายในหรือบนคลาวด์ ตัวตรวจจับนี้จะรวบรวมการวัดระยะไกลของโฮสต์และเครือข่าย ซึ่งสัมพันธ์กับการโจมตีประเภทต่างๆ

ทีม Capsule8 มองว่างานของตนคือการตรวจจับและป้องกันการโจมตีโดยใช้สิ่งใหม่ตั้งแต่เนิ่นๆ (0 วัน) ช่องโหว่ Capsule8 สามารถดาวน์โหลดกฎความปลอดภัยที่อัปเดตไปยังตัวตรวจจับได้โดยตรง เพื่อตอบสนองต่อภัยคุกคามและช่องโหว่ของซอฟต์แวร์ที่เพิ่งค้นพบ

คาวิริน

เว็บไซต์: www.cavirin.com
ใบอนุญาต: เชิงพาณิชย์

คาวิรินทำหน้าที่เป็นผู้รับเหมาฝั่งบริษัทให้กับหน่วยงานต่างๆ ที่เกี่ยวข้องกับมาตรฐานความปลอดภัย ไม่เพียงแต่สแกนรูปภาพได้เท่านั้น แต่ยังสามารถรวมเข้ากับไปป์ไลน์ CI/CD ได้อีกด้วย ซึ่งจะบล็อกอิมเมจที่ไม่ได้มาตรฐานก่อนที่จะเข้าสู่พื้นที่เก็บข้อมูลแบบปิด

ชุดความปลอดภัยของ Cavirin ใช้การเรียนรู้ของเครื่องเพื่อประเมินสถานะความปลอดภัยทางไซเบอร์ของคุณ โดยเสนอเคล็ดลับในการปรับปรุงความปลอดภัยและปรับปรุงการปฏิบัติตามมาตรฐานความปลอดภัย

ศูนย์บัญชาการการรักษาความปลอดภัยของ Google Cloud

เว็บไซต์: cloud.google.com/security-command-center
ใบอนุญาต: เชิงพาณิชย์

ศูนย์บัญชาการรักษาความปลอดภัยระบบคลาวด์ช่วยให้ทีมรักษาความปลอดภัยรวบรวมข้อมูล ระบุภัยคุกคาม และกำจัดก่อนที่จะเป็นอันตรายต่อบริษัท

ตามชื่อที่แสดง Google Cloud SCC เป็นแผงควบคุมแบบรวมที่สามารถผสานรวมและจัดการรายงานความปลอดภัย เครื่องมือบัญชีสินทรัพย์ และระบบรักษาความปลอดภัยของบุคคลที่สามที่หลากหลายจากแหล่งรวมศูนย์แหล่งเดียว

API ที่ทำงานร่วมกันได้ที่นำเสนอโดย Google Cloud SCC ทำให้ง่ายต่อการผสานรวมกิจกรรมความปลอดภัยที่มาจากแหล่งต่างๆ เช่น Sysdig Secure (ความปลอดภัยของคอนเทนเนอร์สำหรับแอปพลิเคชันบนระบบคลาวด์) หรือ Falco (ความปลอดภัยรันไทม์ของ Open Source)

Layered Insight (ควอลิส)

เว็บไซต์: layeredinsight.com
ใบอนุญาต: เชิงพาณิชย์

Layered Insight (ปัจจุบันเป็นส่วนหนึ่งของ Qualys Inc) สร้างขึ้นจากแนวคิดเรื่อง "การรักษาความปลอดภัยแบบฝัง" หลังจากสแกนภาพต้นฉบับเพื่อหาช่องโหว่โดยใช้การวิเคราะห์ทางสถิติและการตรวจสอบ CVE แล้ว Layered Insight จะแทนที่ด้วยภาพที่มีเครื่องมือซึ่งมีเอเจนต์เป็นไบนารี

เอเจนต์นี้มีการทดสอบความปลอดภัยรันไทม์เพื่อวิเคราะห์การรับส่งข้อมูลเครือข่ายคอนเทนเนอร์ โฟลว์ I/O และกิจกรรมแอปพลิเคชัน นอกจากนี้ยังสามารถตรวจสอบความปลอดภัยเพิ่มเติมที่กำหนดโดยผู้ดูแลระบบโครงสร้างพื้นฐานหรือทีม DevOps

นิวเวคเตอร์

เว็บไซต์: neuvector.com
ใบอนุญาต: เชิงพาณิชย์

NeuVector ตรวจสอบความปลอดภัยของคอนเทนเนอร์และให้การป้องกันรันไทม์โดยการวิเคราะห์กิจกรรมเครือข่ายและพฤติกรรมของแอปพลิเคชัน สร้างโปรไฟล์ความปลอดภัยเฉพาะสำหรับแต่ละคอนเทนเนอร์ นอกจากนี้ยังสามารถบล็อกภัยคุกคามได้ด้วยตัวเอง แยกกิจกรรมที่น่าสงสัยโดยการเปลี่ยนกฎไฟร์วอลล์ในเครื่อง

การบูรณาการเครือข่ายของ NeuVector หรือที่เรียกว่า Security Mesh มีความสามารถในการวิเคราะห์แพ็กเก็ตเชิงลึกและการกรองเลเยอร์ 7 สำหรับการเชื่อมต่อเครือข่ายทั้งหมดใน service mesh

StackRox

เว็บไซต์: www.stackrox.com
ใบอนุญาต: เชิงพาณิชย์

แพลตฟอร์มการรักษาความปลอดภัยของคอนเทนเนอร์ StackRox มุ่งมั่นที่จะครอบคลุมวงจรการใช้งานทั้งหมดของแอปพลิเคชัน Kubernetes ในคลัสเตอร์ เช่นเดียวกับแพลตฟอร์มเชิงพาณิชย์อื่นๆ ในรายการนี้ StackRox จะสร้างโปรไฟล์รันไทม์ตามพฤติกรรมของคอนเทนเนอร์ที่สังเกตได้ และจะส่งการแจ้งเตือนโดยอัตโนมัติสำหรับการเบี่ยงเบนใดๆ

นอกจากนี้ StackRox ยังวิเคราะห์การกำหนดค่า Kubernetes โดยใช้ Kubernetes CIS และหนังสือกฎอื่นๆ เพื่อประเมินการปฏิบัติตามข้อกำหนดของคอนเทนเนอร์

Sysdig ปลอดภัย

เว็บไซต์: sysdig.com/products/secure
ใบอนุญาต: เชิงพาณิชย์

Sysdig Secure ปกป้องแอปพลิเคชันตลอดทั้งคอนเทนเนอร์และวงจรการใช้งาน Kubernetes เขา สแกนภาพ ภาชนะให้ การป้องกันรันไทม์ ตามข้อมูลการเรียนรู้ของเครื่อง ดำเนินการครีม ความเชี่ยวชาญในการระบุช่องโหว่ บล็อกภัยคุกคาม ติดตามตรวจสอบ การปฏิบัติตามมาตรฐานที่กำหนด และตรวจสอบกิจกรรมในไมโครเซอร์วิส

Sysdig Secure ทำงานร่วมกับเครื่องมือ CI/CD เช่น Jenkins และควบคุมอิมเมจที่โหลดจากรีจิสตรี Docker ป้องกันไม่ให้อิมเมจที่เป็นอันตรายปรากฏขึ้นในการผลิต นอกจากนี้ยังมีการรักษาความปลอดภัยรันไทม์ที่ครอบคลุม ซึ่งรวมถึง:

การทำโปรไฟล์รันไทม์ตาม ML และการตรวจจับความผิดปกติ
นโยบายรันไทม์ตามเหตุการณ์ของระบบ, K8s-audit API, โครงการชุมชนร่วม (FIM - การตรวจสอบความสมบูรณ์ของไฟล์; การเข้ารหัสลับ) และเฟรมเวิร์ก MITER ATT&CK;
การตอบสนองและการแก้ไขเหตุการณ์

การรักษาความปลอดภัยคอนเทนเนอร์ที่สามารถเชื่อถือได้

เว็บไซต์: www.tenable.com/products/tenable-io/container-security
ใบอนุญาต: เชิงพาณิชย์

ก่อนการถือกำเนิดของคอนเทนเนอร์ Tenable เป็นที่รู้จักอย่างกว้างขวางในอุตสาหกรรมในฐานะบริษัทที่อยู่เบื้องหลัง Nessus ซึ่งเป็นเครื่องมือค้นหาช่องโหว่และการตรวจสอบความปลอดภัยยอดนิยม

Tenable Container Security ใช้ประโยชน์จากความเชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ของบริษัทเพื่อรวมไปป์ไลน์ CI/CD เข้ากับฐานข้อมูลช่องโหว่ แพ็คเกจการตรวจจับมัลแวร์เฉพาะทาง และคำแนะนำสำหรับการแก้ไขภัยคุกคามด้านความปลอดภัย

Twistlock (เครือข่ายพาโลอัลโต)

เว็บไซต์: www.twistlock.com
ใบอนุญาต: เชิงพาณิชย์

Twistlock ส่งเสริมตัวเองในฐานะแพลตฟอร์มที่เน้นบริการคลาวด์และคอนเทนเนอร์ Twistlock รองรับผู้ให้บริการคลาวด์หลายราย (AWS, Azure, GCP), ผู้ควบคุมคอนเทนเนอร์ (Kubernetes, Mesospehere, OpenShift, Docker), รันไทม์แบบไร้เซิร์ฟเวอร์, เฟรมเวิร์ก Mesh และเครื่องมือ CI/CD

นอกเหนือจากเทคนิคการรักษาความปลอดภัยระดับองค์กรทั่วไป เช่น การรวมไปป์ไลน์ CI/CD หรือการสแกนรูปภาพ Twistlock ยังใช้การเรียนรู้ของเครื่องเพื่อสร้างรูปแบบพฤติกรรมเฉพาะคอนเทนเนอร์และกฎเครือข่าย

เมื่อไม่นานมานี้ Twistlock ถูกซื้อโดย Palo Alto Networks ซึ่งเป็นเจ้าของโครงการ Evident.io และ RedLock ยังไม่ทราบว่าทั้งสามแพลตฟอร์มนี้จะรวมเข้าด้วยกันได้อย่างไร PRISMA จากปาโลอัลโต

ช่วยสร้างแค็ตตาล็อกเครื่องมือรักษาความปลอดภัย Kubernetes ที่ดีที่สุด!

เรามุ่งมั่นที่จะทำให้แค็ตตาล็อกนี้สมบูรณ์ที่สุดเท่าที่จะเป็นไปได้ และด้วยเหตุนี้ เราต้องการความช่วยเหลือจากคุณ! ติดต่อเรา (@sysdig) หากคุณมีเครื่องมือดีๆ อยู่ในใจซึ่งสมควรที่จะรวมไว้ในรายการนี้ หรือคุณพบข้อผิดพลาด/ข้อมูลที่ล้าสมัย

คุณยังสามารถสมัครสมาชิกของเราได้ จดหมายข่าวรายเดือน พร้อมข่าวสารจากระบบนิเวศบนคลาวด์และเรื่องราวเกี่ยวกับโครงการที่น่าสนใจจากโลกแห่งความปลอดภัยของ Kubernetes

ปล.จากผู้แปล

อ่านเพิ่มเติมในบล็อกของเรา:

ที่มา: will.com

เครื่องมือรักษาความปลอดภัย 33+ Kubernetes