33+ tool sa seguridad ng Kubernetes

Tandaan. transl.: Kung ikaw ay nagtataka tungkol sa seguridad sa Kubernetes-based na imprastraktura, ang mahusay na pangkalahatang-ideya na ito mula sa Sysdig ay isang magandang panimulang punto para sa mabilisang pagtingin sa mga kasalukuyang solusyon. Kabilang dito ang parehong kumplikadong mga sistema mula sa mga kilalang manlalaro sa merkado at higit pang katamtamang mga utility na lumulutas sa isang partikular na problema. At sa mga komento, gaya ng dati, ikalulugod naming marinig ang tungkol sa iyong karanasan sa paggamit ng mga tool na ito at makakita ng mga link sa iba pang mga proyekto.

Mga produkto ng software ng seguridad ng Kubernetes... napakarami sa kanila, bawat isa ay may sariling layunin, saklaw, at lisensya.

Iyon ang dahilan kung bakit nagpasya kaming gawin ang listahang ito at isama ang parehong mga open source na proyekto at komersyal na platform mula sa iba't ibang vendor. Umaasa kaming makakatulong ito sa iyo na matukoy ang mga pinaka-interesado at ituro ka sa tamang direksyon batay sa iyong partikular na pangangailangan sa seguridad ng Kubernetes.

Kategorya

Upang gawing mas madaling i-navigate ang listahan, ang mga tool ay inayos ayon sa pangunahing function at application. Ang mga sumusunod na seksyon ay nakuha:

• Pag-scan ng imahe ng Kubernetes at static na pagsusuri;
• Seguridad sa runtime;
• Seguridad sa network ng Kubernetes;
• Pamamahagi ng imahe at pamamahala ng mga lihim;
• Pag-audit sa seguridad ng Kubernetes;
• Mga komprehensibong komersyal na produkto.

Bumaba tayo sa negosyo:

Pag-scan ng mga larawan ng Kubernetes

Angkla

• Website: anchore.com
• Lisensya: libre (Apache) at komersyal na alok

Sinusuri ng Anchore ang mga larawan ng container at nagbibigay-daan sa mga pagsusuri sa seguridad batay sa mga patakarang tinukoy ng user.

Bilang karagdagan sa karaniwang pag-scan ng mga imahe ng lalagyan para sa mga kilalang kahinaan mula sa CVE database, ang Anchore ay nagsasagawa ng maraming karagdagang pagsusuri bilang bahagi ng patakaran sa pag-scan nito: sinusuri ang Dockerfile, mga paglabas ng kredensyal, mga pakete ng mga programming language na ginamit (npm, maven, atbp. .), mga lisensya ng software at marami pang iba .

I-clear ang

• Website: coreos.com/clair (ngayon ay nasa ilalim ng pag-aalaga ng Red Hat)
• Lisensya: libre (Apache)

Si Clair ay isa sa mga unang Open Source na proyekto para sa pag-scan ng imahe. Ito ay malawak na kilala bilang ang security scanner sa likod ng Quay image registry (mula rin sa CoreOS - tinatayang pagsasalin). Maaaring kolektahin ni Clair ang impormasyon ng CVE mula sa isang malawak na iba't ibang mga mapagkukunan, kabilang ang mga listahan ng mga kahinaan na partikular sa pamamahagi ng Linux na pinapanatili ng mga pangkat ng seguridad ng Debian, Red Hat, o Ubuntu.

Hindi tulad ng Anchore, pangunahing nakatuon si Clair sa paghahanap ng mga kahinaan at pagtutugma ng data sa mga CVE. Gayunpaman, nag-aalok ang produkto sa mga user ng ilang pagkakataon na palawakin ang mga function gamit ang mga plug-in driver.

dagda

• Website: github.com/eliasgranderubio/dagda
• Lisensya: libre (Apache)

Gumaganap ang Dagda ng static na pagsusuri ng mga imahe ng container para sa mga kilalang kahinaan, Trojans, virus, malware at iba pang banta.

Dalawang kapansin-pansing tampok ang nagpapakilala sa Dagda mula sa iba pang katulad na mga tool:

• Ito ay ganap na sumasama sa ClamAV, na kumikilos hindi lamang bilang isang tool para sa pag-scan ng mga larawan ng lalagyan, kundi pati na rin bilang isang antivirus.
• Nagbibigay din ng proteksyon sa runtime sa pamamagitan ng pagtanggap ng mga real-time na kaganapan mula sa Docker daemon at pagsasama sa Falco (tingnan sa ibaba) upang mangolekta ng mga kaganapang panseguridad habang tumatakbo ang lalagyan.

KubeXray

• Website: github.com/jfrog/kubexray
• Lisensya: Libre (Apache), ngunit nangangailangan ng data mula sa JFrog Xray (komersyal na produkto)

Nakikinig ang KubeXray sa mga kaganapan mula sa server ng Kubernetes API at gumagamit ng metadata mula sa JFrog Xray upang matiyak na ang mga pod na tumutugma sa kasalukuyang patakaran ang inilulunsad.

Hindi lang ina-audit ng KubeXray ang mga bago o na-update na container sa mga deployment (katulad ng admission controller sa Kubernetes), ngunit dynamic din na sinusuri ang mga tumatakbong container para sa pagsunod sa mga bagong patakaran sa seguridad, na nag-aalis ng mga mapagkukunan na tumutukoy sa mga mahihinang larawan.

Snyk

• Website: snyk.io
• Lisensya: libre (Apache) at komersyal na mga bersyon

Ang Snyk ay isang hindi pangkaraniwang vulnerability scanner dahil partikular nitong tina-target ang proseso ng pag-develop at pino-promote bilang isang "mahahalagang solusyon" para sa mga developer.

Direktang kumokonekta ang Snyk sa mga repositoryo ng code, pina-parse ang manifest ng proyekto at sinusuri ang na-import na code kasama ng mga direkta at hindi direktang dependency. Sinusuportahan ng Snyk ang maraming sikat na programming language at maaaring matukoy ang mga nakatagong panganib sa lisensya.

Trivy

• Website: github.com/knqyf263/trivy
• Lisensya: libre (AGPL)

Ang Trivy ay isang simple ngunit malakas na vulnerability scanner para sa mga container na madaling sumasama sa isang pipeline ng CI/CD. Ang kapansin-pansing tampok nito ay ang kadalian ng pag-install at pagpapatakbo: ang application ay binubuo ng isang binary at hindi nangangailangan ng pag-install ng isang database o karagdagang mga aklatan.

Ang downside sa pagiging simple ni Trivy ay kailangan mong malaman kung paano i-parse at ipasa ang mga resulta sa JSON format para magamit ng ibang mga tool sa seguridad ng Kubernetes.

Seguridad sa runtime sa Kubernetes

Falco

• Website: falco.org
• Lisensya: libre (Apache)

Ang Falco ay isang set ng mga tool para sa pag-secure ng cloud runtime environment. Bahagi ng pamilya ng proyekto Ang CNCF.

Gamit ang Linux kernel-level tooling at system call profiling ng Sysdig, binibigyang-daan ka ng Falco na sumisid nang malalim sa gawi ng system. Ang runtime rules engine nito ay may kakayahang tumukoy ng kahina-hinalang aktibidad sa mga application, container, ang pinagbabatayan na host, at ang Kubernetes orchestrator.

Nagbibigay ang Falco ng kumpletong transparency sa runtime at pagtukoy ng pagbabanta sa pamamagitan ng pag-deploy ng mga espesyal na ahente sa mga Kubernetes node para sa mga layuning ito. Bilang resulta, hindi na kailangang baguhin ang mga container sa pamamagitan ng paglalagay ng third-party code sa mga ito o pagdaragdag ng mga sidecar container.

Linux security frameworks para sa runtime

Ang mga katutubong framework na ito para sa Linux kernel ay hindi "Kubernetes security tool" sa tradisyonal na kahulugan, ngunit ang mga ito ay nagkakahalaga ng pagbanggit dahil ang mga ito ay isang mahalagang elemento sa konteksto ng runtime security, na kasama sa Kubernetes Pod Security Policy (PSP).

AppArmor nag-attach ng profile ng seguridad sa mga prosesong tumatakbo sa container, pagtukoy sa mga pribilehiyo ng file system, mga panuntunan sa pag-access sa network, pagkonekta ng mga library, atbp. Ito ay isang sistemang batay sa Mandatory Access Control (MAC). Sa madaling salita, pinipigilan nito ang mga ipinagbabawal na aksyon na maisagawa.

Linux na Pinahusay ng Seguridad (SELinux) ay isang advanced na module ng seguridad sa kernel ng Linux, na katulad sa ilang aspeto sa AppArmor at madalas kumpara dito. Ang SELinux ay nakahihigit sa AppArmor sa kapangyarihan, kakayahang umangkop at pagpapasadya. Ang mga disadvantage nito ay ang mahabang curve ng pag-aaral at pagtaas ng pagiging kumplikado.

Seccomp at seccomp-bpf ay nagbibigay-daan sa iyo upang i-filter ang mga tawag sa system, i-block ang pagpapatupad ng mga potensyal na mapanganib para sa base OS at hindi kinakailangan para sa normal na operasyon ng mga application ng user. Ang Seccomp ay katulad ng Falco sa ilang mga paraan, bagama't hindi nito alam ang mga detalye ng mga lalagyan.

Sysdig open source

• Website: www.sysdig.com/opensource
• Lisensya: libre (Apache)

Ang Sysdig ay isang kumpletong tool para sa pagsusuri, pag-diagnose at pag-debug ng mga Linux system (gumagana rin sa Windows at macOS, ngunit may mga limitadong function). Maaari itong magamit para sa detalyadong pangangalap ng impormasyon, pagpapatunay at pagsusuri sa forensic. (forensics) ang base system at anumang mga lalagyan na tumatakbo dito.

Sinusuportahan din ng Sysdig ang mga runtime ng container at metadata ng Kubernetes, na nagdaragdag ng mga karagdagang dimensyon at label sa lahat ng impormasyon sa gawi ng system na kinokolekta nito. Mayroong ilang mga paraan upang pag-aralan ang isang Kubernetes cluster gamit ang Sysdig: maaari kang magsagawa ng point-in-time na pagkuha sa pamamagitan ng kubectl capture o maglunsad ng interactive na interface na nakabatay sa ncurses gamit ang isang plugin kubectl dig.

Kubernetes Network Security

Aporeto

• Website: www.aporeto.com
• Lisensya: komersyal

Nag-aalok ang Aporeto ng "seguridad na hiwalay sa network at imprastraktura." Nangangahulugan ito na ang mga serbisyo ng Kubernetes ay hindi lamang tumatanggap ng isang lokal na ID (ibig sabihin, ServiceAccount sa Kubernetes), kundi pati na rin ng isang unibersal na ID/fingerprint na maaaring magamit upang makipag-usap nang secure at kapwa sa anumang iba pang serbisyo, halimbawa sa isang OpenShift cluster.

Ang Aporeto ay may kakayahang bumuo ng isang natatanging ID hindi lamang para sa mga Kubernetes/container, kundi pati na rin para sa mga host, cloud function at user. Depende sa mga identifier na ito at sa hanay ng mga panuntunan sa seguridad ng network na itinakda ng administrator, papayagan o iba-block ang mga komunikasyon.

kalenkor

• Website: www.projectcalico.org
• Lisensya: libre (Apache)

Karaniwang na-deploy ang Calico sa panahon ng pag-install ng container orchestrator, na nagbibigay-daan sa iyong lumikha ng virtual network na nag-uugnay sa mga container. Bilang karagdagan sa pangunahing pagpapagana ng network na ito, gumagana ang proyekto ng Calico sa Mga Patakaran sa Network ng Kubernetes at sa sarili nitong hanay ng mga profile ng seguridad ng network, sumusuporta sa mga endpoint ACL (mga listahan ng kontrol ng access) at mga panuntunan sa seguridad ng network na nakabatay sa anotasyon para sa trapiko ng Ingress at Egress.

Sili

• Website: www.cilium.io
• Lisensya: libre (Apache)

Nagsisilbing firewall ang Cilium para sa mga container at nagbibigay ng mga feature sa seguridad ng network na katutubong iniayon sa mga workload ng Kubernetes at microservices. Gumagamit ang Cilium ng bagong teknolohiya ng kernel ng Linux na tinatawag na BPF (Berkeley Packet Filter) upang i-filter, subaybayan, i-redirect at itama ang data.

Ang Cilium ay may kakayahang mag-deploy ng mga patakaran sa pag-access sa network batay sa mga container ID gamit ang mga label at metadata ng Docker o Kubernetes. Naiintindihan at sinasala din ng Cilium ang iba't ibang Layer 7 na protocol gaya ng HTTP o gRPC, na nagbibigay-daan sa iyong tumukoy ng isang hanay ng mga REST na tawag na papayagan sa pagitan ng dalawang pag-deploy ng Kubernetes, halimbawa.

Istio

• Website: isio.io
• Lisensya: libre (Apache)

Kilala ang Istio sa pagpapatupad ng paradigm ng mesh ng serbisyo sa pamamagitan ng pag-deploy ng isang platform-independent na control plane at pagruruta sa lahat ng pinamamahalaang trapiko ng serbisyo sa pamamagitan ng mga dynamic na nako-configure na Envoy proxies. Sinasamantala ni Istio ang advanced na view na ito ng lahat ng microservice at container para ipatupad ang iba't ibang diskarte sa seguridad ng network.

Kasama sa mga kakayahan sa seguridad ng network ng Istio ang transparent na TLS encryption para awtomatikong i-upgrade ang mga komunikasyon sa pagitan ng mga microservice sa HTTPS, at isang proprietary RBAC identification at authorization system para payagan/tanggihan ang komunikasyon sa pagitan ng iba't ibang workload sa cluster.

Tandaan. transl.: Upang matuto nang higit pa tungkol sa mga kakayahan ng Istio na nakatuon sa seguridad, basahin artikulong ito.

Tigera

• Website: www.tigera.io
• Lisensya: komersyal

Tinatawag na "Kubernetes Firewall," ang solusyon na ito ay nagbibigay-diin sa isang zero-trust na diskarte sa seguridad ng network.

Katulad ng iba pang katutubong Kubernetes networking solution, umaasa ang Tigera sa metadata para matukoy ang iba't ibang serbisyo at object sa cluster at nagbibigay ng runtime issue detection, tuluy-tuloy na pagsuri sa pagsunod, at pagpapakita ng network para sa mga multi-cloud o hybrid na monolithic-containerized na mga imprastraktura.

Trireme

• Website: www.aporeto.com/opensource
• Lisensya: libre (Apache)

Ang Trireme-Kubernetes ay isang simple at direktang pagpapatupad ng detalye ng Mga Patakaran sa Network ng Kubernetes. Ang pinaka-kapansin-pansing tampok ay na - hindi tulad ng mga katulad na produkto ng seguridad ng network ng Kubernetes - hindi ito nangangailangan ng isang sentral na control plane upang i-coordinate ang mesh. Ginagawa nitong hindi gaanong nasusukat ang solusyon. Sa Trireme, ito ay nakakamit sa pamamagitan ng pag-install ng ahente sa bawat node na direktang kumokonekta sa TCP/IP stack ng host.

Pagpapalaganap ng Larawan at Pamamahala ng mga Lihim

Grafeas

• Website: grafeas.io
• Lisensya: libre (Apache)

Ang Grafeas ay isang open source na API para sa pag-audit at pamamahala ng software supply chain. Sa pangunahing antas, ang Grafeas ay isang tool para sa pagkolekta ng metadata at mga natuklasan sa pag-audit. Magagamit ito para subaybayan ang pagsunod sa pinakamahuhusay na kagawian sa seguridad sa loob ng isang organisasyon.

Ang sentralisadong mapagkukunan ng katotohanang ito ay tumutulong sa pagsagot sa mga tanong tulad ng:

• Sino ang nangolekta at pumirma para sa isang partikular na lalagyan?
• Naipasa ba nito ang lahat ng pag-scan at pagsusuri sa seguridad na kinakailangan ng patakaran sa seguridad? Kailan? Ano ang mga resulta?
• Sino ang nag-deploy nito sa produksyon? Anong mga partikular na parameter ang ginamit sa panahon ng pag-deploy?

In-toto

• Website: in-toto.github.io
• Lisensya: libre (Apache)

Ang In-toto ay isang balangkas na idinisenyo upang magbigay ng integridad, pagpapatunay at pag-audit ng buong supply chain ng software. Kapag nagde-deploy ng In-toto sa isang imprastraktura, unang tinukoy ang isang plano na naglalarawan sa iba't ibang hakbang sa pipeline (repository, CI/CD tool, QA tool, artifact collectors, atbp.) at ang mga user (responsableng tao) na pinapayagang simulan mo sila.

Sinusubaybayan ng In-toto ang pagpapatupad ng plano, na nagpapatunay na ang bawat gawain sa chain ay ginagampanan nang maayos ng mga awtorisadong tauhan lamang at na walang hindi awtorisadong pagmamanipula ang isinagawa sa produkto sa panahon ng paggalaw.

Portieris

• Website: github.com/IBM/portieris
• Lisensya: libre (Apache)

Ang Portieris ay isang admission controller para sa Kubernetes; ginagamit upang ipatupad ang mga pagsusuri sa tiwala sa nilalaman. Portieris ay gumagamit ng isang server Notaryo (isinulat namin ang tungkol sa kanya sa dulo ng artikulong ito - tinatayang pagsasalin) bilang pinagmumulan ng katotohanan para ma-validate ang mga pinagkakatiwalaan at nilagdaang artifact (ibig sabihin, mga inaprubahang larawan ng container).

Kapag ang isang workload ay ginawa o binago sa Kubernetes, dina-download ni Portieris ang impormasyon sa pag-sign at patakaran sa pagtitiwala sa nilalaman para sa hiniling na mga larawan ng container at, kung kinakailangan, gagawa ng on-the-fly na mga pagbabago sa object ng JSON API upang patakbuhin ang mga nilagdaang bersyon ng mga larawang iyon.

Vault

• Website: www.vaultproject.io
• Lisensya: libre (MPL)

Ang Vault ay isang secure na solusyon para sa pag-iimbak ng pribadong impormasyon: mga password, OAuth token, PKI certificate, access account, Kubernetes secret, atbp. Sinusuportahan ng Vault ang maraming advanced na feature, gaya ng pag-upa ng ephemeral security token o pag-aayos ng key rotation.

Gamit ang Helm chart, maaaring i-deploy ang Vault bilang bagong deployment sa isang cluster ng Kubernetes na may Consul bilang backend storage. Sinusuportahan nito ang mga katutubong mapagkukunan ng Kubernetes tulad ng mga token ng ServiceAccount at maaari pa itong kumilos bilang default na tindahan para sa mga lihim ng Kubernetes.

Tandaan. transl.: Siya nga pala, kahapon lang ang kumpanyang HashiCorp, na bumubuo ng Vault, ay nag-anunsyo ng ilang mga pagpapabuti para sa paggamit ng Vault sa Kubernetes, at partikular na nauugnay ang mga ito sa Helm chart. Magbasa nang higit pa sa blog ng developer.

Kubernetes Security Audit

Kube-bench

• Website: github.com/aquasecurity/kube-bench
• Lisensya: libre (Apache)

Ang Kube-bench ay isang Go application na tumitingin kung secure na naka-deploy ang Kubernetes sa pamamagitan ng pagpapatakbo ng mga pagsubok mula sa isang listahan CIS Kubernetes Benchmark.

Hinahanap ng Kube-bench ang mga hindi secure na setting ng configuration sa mga cluster component (etcd, API, controller manager, atbp.), mga kaduda-dudang karapatan sa pag-access ng file, mga hindi protektadong account o bukas na port, mga resource quota, mga setting para sa paglilimita sa bilang ng mga API call para maprotektahan laban sa mga pag-atake ng DoS , atbp.

Kube-hunter

• Website: github.com/aquasecurity/kube-hunter
• Lisensya: libre (Apache)

Ang Kube-hunter ay naghahanap ng mga potensyal na kahinaan (gaya ng remote code execution o data disclosure) sa mga Kubernetes cluster. Maaaring patakbuhin ang Kube-hunter bilang isang remote scanner - kung saan susuriin nito ang cluster mula sa punto ng view ng isang third-party attacker - o bilang pod sa loob ng cluster.

Ang isang natatanging tampok ng Kube-hunter ay ang "aktibong pangangaso" na mode nito, kung saan hindi lamang ito nag-uulat ng mga problema, ngunit sinusubukan ding samantalahin ang mga kahinaan na natuklasan sa target na cluster na maaaring makapinsala sa operasyon nito. Kaya gamitin nang may pag-iingat!

Kubeaudit

• Website: github.com/Shopify/kubeaudit
• Lisensya: libre (MIT)

Ang Kubeaudit ay isang console tool na orihinal na binuo sa Shopify para i-audit ang configuration ng Kubernetes para sa iba't ibang isyu sa seguridad. Halimbawa, nakakatulong ito na matukoy ang mga container na tumatakbo nang hindi pinaghihigpitan, tumatakbo bilang root, nag-aabuso sa mga pribilehiyo, o gumagamit ng default na ServiceAccount.

Ang Kubeaudit ay may iba pang mga kawili-wiling tampok. Halimbawa, maaari nitong suriin ang mga lokal na YAML file, tukuyin ang mga bahid ng configuration na maaaring humantong sa mga problema sa seguridad, at awtomatikong ayusin ang mga ito.

Kubesec

• Website: kubesec.io
• Lisensya: libre (Apache)

Ang Kubesec ay isang espesyal na tool na direktang ini-scan nito ang mga YAML file na naglalarawan sa mga mapagkukunan ng Kubernetes, na naghahanap ng mga mahihinang parameter na maaaring makaapekto sa seguridad.

Halimbawa, maaari nitong makita ang labis na mga pribilehiyo at pahintulot na ibinibigay sa isang pod, nagpapatakbo ng container na may root bilang default na user, kumokonekta sa namespace ng network ng host, o mga mapanganib na pag-mount tulad ng /proc host o Docker socket. Ang isa pang kawili-wiling tampok ng Kubesec ay ang serbisyo ng demo na magagamit online, kung saan maaari mong i-upload ang YAML at agad na suriin ito.

Buksan ang Ahente ng Patakaran

• Website: www.openpolicyagent.org
• Lisensya: libre (Apache)

Ang konsepto ng OPA (Open Policy Agent) ay upang ihiwalay ang mga patakaran sa seguridad at pinakamahuhusay na kagawian sa seguridad mula sa isang partikular na runtime platform: Docker, Kubernetes, Mesosphere, OpenShift, o anumang kumbinasyon nito.

Halimbawa, maaari mong i-deploy ang OPA bilang backend para sa admission controller ng Kubernetes, na nagtalaga ng mga desisyon sa seguridad dito. Sa ganitong paraan, ang ahente ng OPA ay maaaring magpatunay, tanggihan, at kahit na baguhin ang mga kahilingan sa mabilisang, tinitiyak na ang mga tinukoy na parameter ng seguridad ay natutugunan. Ang mga patakaran sa seguridad ng OPA ay nakasulat sa sariling DSL na wika nito, Rego.

Tandaan. transl.: Sumulat kami ng higit pa tungkol sa OPA (at SPIFFE) sa materyal na ito.

Mga komprehensibong komersyal na tool para sa pagsusuri sa seguridad ng Kubernetes

Napagpasyahan naming lumikha ng isang hiwalay na kategorya para sa mga komersyal na platform dahil karaniwang sumasaklaw ang mga ito sa maraming lugar ng seguridad. Ang isang pangkalahatang ideya ng kanilang mga kakayahan ay maaaring makuha mula sa talahanayan:

* Masusing pagsusuri at pagsusuri sa post mortem nang kumpleto pag-hijack ng system call.

Aqua Security

• Website: www.aquasec.com
• Lisensya: komersyal

Idinisenyo ang komersyal na tool na ito para sa mga container at cloud workload. Nagbibigay ito ng:

• Ang pag-scan ng imahe ay isinama sa isang container registry o CI/CD pipeline;
• Proteksyon sa runtime sa paghahanap ng mga pagbabago sa mga container at iba pang kahina-hinalang aktibidad;
• Container-native na firewall;
• Seguridad para sa walang server sa mga serbisyo sa cloud;
• Pagsubok sa pagsunod at pag-audit na sinamahan ng pag-log ng kaganapan.

Tandaan. transl.: Nararapat ding tandaan na mayroon libreng bahagi ng produktong tinatawag MicroScanner, na nagbibigay-daan sa iyong mag-scan ng mga larawan ng lalagyan para sa mga kahinaan. Ang paghahambing ng mga kakayahan nito sa mga bayad na bersyon ay ipinakita sa talahanayan na ito.

Kapsula8

• Website: capsule8.com
• Lisensya: komersyal

Sumasama ang Capsule8 sa imprastraktura sa pamamagitan ng pag-install ng detector sa isang lokal o cloud na cluster ng Kubernetes. Kinokolekta ng detector na ito ang telemetry ng host at network, iniuugnay ito sa iba't ibang uri ng pag-atake.

Nakikita ng koponan ng Capsule8 ang gawain nito bilang maagang pagtuklas at pag-iwas sa mga pag-atake gamit ang bago (0-araw) mga kahinaan. Maaaring direktang i-download ng Capsule8 ang na-update na mga panuntunan sa seguridad sa mga detector bilang tugon sa mga bagong natuklasang pagbabanta at mga kahinaan sa software.

Cavirin

• Website: www.cavirin.com
• Lisensya: komersyal

Ang Cavirin ay kumikilos bilang isang kontratista sa panig ng kumpanya para sa iba't ibang ahensyang sangkot sa mga pamantayan sa kaligtasan. Hindi lamang ito makakapag-scan ng mga larawan, ngunit maaari rin itong isama sa pipeline ng CI/CD, na humaharang sa mga hindi karaniwang larawan bago sila pumasok sa mga saradong repositoryo.

Gumagamit ang security suite ng Cavirin ng machine learning para masuri ang iyong postura sa cybersecurity, nag-aalok ng mga tip para mapahusay ang seguridad at mapabuti ang pagsunod sa mga pamantayan ng seguridad.

Google Cloud Security Command Center

• Website: cloud.google.com/security-command-center
• Lisensya: komersyal

Tinutulungan ng Cloud Security Command Center ang mga security team na mangolekta ng data, tukuyin ang mga banta, at alisin ang mga ito bago nila mapinsala ang kumpanya.

Gaya ng ipinahihiwatig ng pangalan, ang Google Cloud SCC ay isang pinag-isang control panel na maaaring magsama at mamahala ng iba't ibang ulat sa seguridad, asset accounting engine, at third-party na sistema ng seguridad mula sa iisang sentralisadong pinagmulan.

Ang interoperable na API na inaalok ng Google Cloud SCC ay nagpapadali sa pagsasama ng mga kaganapang panseguridad na nagmumula sa iba't ibang pinagmulan, gaya ng Sysdig Secure (container security para sa cloud-native na mga application) o Falco (Open Source runtime security).

Layered Insight (Qualys)

• Website: layeredinsight.com
• Lisensya: komersyal

Ang Layered Insight (ngayon ay bahagi ng Qualys Inc) ay binuo sa konsepto ng "naka-embed na seguridad." Pagkatapos i-scan ang orihinal na larawan para sa mga kahinaan gamit ang statistical analysis at CVE checks, pinapalitan ito ng Layered Insight ng isang instrumento na larawan na kinabibilangan ng ahente bilang isang binary.

Naglalaman ang ahente na ito ng mga pagsubok sa seguridad ng runtime upang suriin ang trapiko sa network ng container, mga daloy ng I/O at aktibidad ng application. Bilang karagdagan, maaari itong magsagawa ng mga karagdagang pagsusuri sa seguridad na tinukoy ng administrator ng imprastraktura o mga koponan ng DevOps.

NeuVector

• Website: neuvector.com
• Lisensya: komersyal

Sinusuri ng NeuVector ang seguridad ng container at nagbibigay ng proteksyon sa runtime sa pamamagitan ng pagsusuri sa aktibidad ng network at pag-uugali ng application, na lumilikha ng indibidwal na profile ng seguridad para sa bawat container. Maaari din nitong i-block ang mga banta nang mag-isa, na ihiwalay ang kahina-hinalang aktibidad sa pamamagitan ng pagbabago ng mga lokal na panuntunan sa firewall.

Ang network integration ng NeuVector, na kilala bilang Security Mesh, ay may kakayahang malalim na pagsusuri ng packet at layer 7 na pag-filter para sa lahat ng koneksyon sa network sa mesh ng serbisyo.

StackRox

• Website: www.stackrox.com
• Lisensya: komersyal

Ang StackRox container security platform ay nagsusumikap na sakupin ang buong lifecycle ng mga Kubernetes application sa isang cluster. Tulad ng iba pang mga komersyal na platform sa listahang ito, ang StackRox ay bumubuo ng isang runtime na profile batay sa naobserbahang gawi ng container at awtomatikong nagtataas ng alarma para sa anumang mga paglihis.

Bukod pa rito, sinusuri ng StackRox ang mga configuration ng Kubernetes gamit ang Kubernetes CIS at iba pang mga rulebook upang suriin ang pagsunod sa container.

Sysdig Secure

• Website: sysdig.com/products/secure
• Lisensya: komersyal

Pinoprotektahan ng Sysdig Secure ang mga application sa buong container at lifecycle ng Kubernetes. Siya nag-scan ng mga larawan mga lalagyan, nagbibigay proteksyon ng runtime ayon sa data ng machine learning, gumaganap ng cream. kadalubhasaan upang matukoy ang mga kahinaan, hinaharangan ang mga banta, sinusubaybayan pagsunod sa mga itinatag na pamantayan at aktibidad ng pag-audit sa mga microservice.

Sumasama ang Sysdig Secure sa mga tool ng CI/CD gaya ng Jenkins at kinokontrol ang mga larawang na-load mula sa mga rehistro ng Docker, na pumipigil sa mga mapanganib na larawan na lumabas sa produksyon. Nagbibigay din ito ng komprehensibong seguridad sa runtime, kabilang ang:

• ML-based na runtime profiling at pagtuklas ng anomalya;
• mga patakaran sa runtime batay sa mga kaganapan sa system, K8s-audit API, pinagsamang mga proyekto ng komunidad (FIM - pagsubaybay sa integridad ng file; cryptojacking) at framework MITER ATT&CK;
• tugon at paglutas ng mga insidente.

Tenable Container Security

• Website: www.tenable.com/products/tenable-io/container-security
• Lisensya: komersyal

Bago ang pagdating ng mga lalagyan, ang Tenable ay kilala sa industriya bilang kumpanya sa likod ng Nessus, isang sikat na tool sa pag-audit ng kahinaan at seguridad.

Ang Tenable Container Security ay gumagamit ng computer security expertise ng kumpanya upang isama ang isang CI/CD pipeline sa mga database ng kahinaan, mga espesyal na pakete ng pag-detect ng malware, at mga rekomendasyon para sa paglutas ng mga banta sa seguridad.

Twistlock (Palo Alto Networks)

• Website: www.twistlock.com
• Lisensya: komersyal

Itinataguyod ng Twistlock ang sarili nito bilang isang platform na nakatuon sa mga serbisyo at container ng cloud. Sinusuportahan ng Twistlock ang iba't ibang cloud provider (AWS, Azure, GCP), container orchestrators (Kubernetes, Mesospehere, OpenShift, Docker), serverless runtime, mesh frameworks at CI/CD tools.

Bilang karagdagan sa mga kumbensyonal na diskarte sa seguridad sa antas ng enterprise tulad ng pagsasama ng pipeline ng CI/CD o pag-scan ng imahe, gumagamit ang Twistlock ng machine learning upang bumuo ng mga pattern ng pag-uugali na partikular sa container at mga panuntunan sa network.

Noong nakaraan, ang Twistlock ay binili ng Palo Alto Networks, na nagmamay-ari ng mga proyekto ng Evident.io at RedLock. Hindi pa alam kung paano eksaktong isasama ang tatlong platform na ito PRISMA mula sa Palo Alto.

Tumulong sa pagbuo ng pinakamahusay na catalog ng mga tool sa seguridad ng Kubernetes!

Nagsusumikap kaming gawing kumpleto ang catalog na ito hangga't maaari, at para dito kailangan namin ang iyong tulong! Makipag-ugnayan sa amin (@sysdig) kung mayroon kang isang cool na tool sa isip na karapat-dapat na isama sa listahang ito, o nakakita ka ng isang error/hindi napapanahong impormasyon.

Maaari ka ring mag-subscribe sa aming buwanang newsletter na may mga balita mula sa cloud-native na ecosystem at mga kuwento tungkol sa mga kawili-wiling proyekto mula sa mundo ng seguridad ng Kubernetes.

PS mula sa tagasalin

Basahin din sa aming blog:

• «Isang Panimula sa Mga Patakaran sa Network ng Kubernetes para sa Mga Propesyonal sa Seguridad";
• «Docker at Kubernetes sa mga environment na sensitibo sa seguridad";
• «9 Pinakamahuhusay na Kasanayan para sa Kubernetes Security";
• «11 Paraan para (Hindi) Maging Biktima ng Kubernetes Hack";
• «Ang OPA at SPIFFE ay dalawang bagong proyekto sa CNCF para sa seguridad ng cloud application'.

Pinagmulan: www.habr.com