33+ Kubernetes güvenlik aracı

Not. tercüme: Kubernetes tabanlı altyapının güvenliğini merak ediyorsanız Sysdig'in bu mükemmel genel bakışı, mevcut çözümlere hızlı bir bakış için harika bir başlangıç ​​noktasıdır. Hem tanınmış piyasa oyuncularının karmaşık sistemlerini hem de belirli bir sorunu çözen çok daha mütevazı yardımcı programları içerir. Yorumlarda, her zaman olduğu gibi, bu araçları kullanma deneyiminizi duymaktan ve diğer projelerin bağlantılarını görmekten mutluluk duyacağız.

Kubernetes güvenlik yazılımı ürünleri... o kadar çok var ki, her birinin kendi amaçları, kapsamı ve lisansları var.

Bu yüzden bu listeyi oluşturmaya ve farklı satıcıların hem açık kaynak projelerini hem de ticari platformlarını dahil etmeye karar verdik. Bunların en çok ilginizi çekenleri belirlemenize ve özel Kubernetes güvenlik ihtiyaçlarınıza göre sizi doğru yöne yönlendirmenize yardımcı olacağını umuyoruz.

kategori

Listede gezinmeyi kolaylaştırmak için araçlar ana işlev ve uygulamaya göre düzenlenmiştir. Aşağıdaki bölümler elde edildi:

• Kubernetes görüntü tarama ve statik analiz;
• Çalışma zamanı güvenliği;
• Kubernetes ağ güvenliği;
• Görüntü dağıtımı ve sır yönetimi;
• Kubernetes güvenlik denetimi;
• Kapsamlı ticari ürünler.

Gelelim işimize:

Kubernetes görüntüleri taranıyor

çapa

• Web sitesi: çapa.com
• Lisans: ücretsiz (Apache) ve ticari teklif

Anchore, konteyner görüntülerini analiz eder ve kullanıcı tanımlı politikalara dayalı güvenlik kontrollerine izin verir.

Anchore, CVE veritabanındaki bilinen güvenlik açıkları için konteyner görüntülerinin olağan şekilde taranmasına ek olarak, tarama politikasının bir parçası olarak birçok ek kontrol gerçekleştirir: Dockerfile'ı, kimlik bilgisi sızıntılarını, kullanılan programlama dillerinin paketlerini (npm, maven vb.) kontrol eder. .), yazılım lisansları ve çok daha fazlası.

Berrak

• Web sitesi: coreos.com/clair (şimdi Red Hat'in vesayeti altında)
• Lisans: ücretsiz (Apache)

Clair, görüntü taramaya yönelik ilk Açık Kaynak projelerinden biriydi. Yaygın olarak Quay görüntü kayıt defterinin arkasındaki güvenlik tarayıcısı olarak bilinir. (ayrıca CoreOS'tan - yaklaşık. tercüme). Clair, Debian, Red Hat veya Ubuntu güvenlik ekipleri tarafından sağlanan Linux dağıtımına özgü güvenlik açıklarının listeleri de dahil olmak üzere çok çeşitli kaynaklardan CVE bilgilerini toplayabilir.

Anchore'dan farklı olarak Clair öncelikle güvenlik açıklarını bulmaya ve verileri CVE'lerle eşleştirmeye odaklanıyor. Ancak ürün, kullanıcılara eklenti sürücülerini kullanarak işlevleri genişletme konusunda bazı fırsatlar sunuyor.

Dagda

• Web sitesi: github.com/eliasgranderubio/dagda
• Lisans: ücretsiz (Apache)

Dagda, bilinen güvenlik açıkları, Truva atları, virüsler, kötü amaçlı yazılımlar ve diğer tehditlere karşı konteyner görüntülerinin statik analizini gerçekleştirir.

Dagda'yı diğer benzer araçlardan ayıran iki önemli özellik vardır:

• İle mükemmel bir şekilde bütünleşir ClamAV, yalnızca konteyner görüntülerini taramak için bir araç olarak değil, aynı zamanda bir antivirüs görevi de görür.
• Ayrıca Docker arka plan programından gerçek zamanlı olaylar alarak ve Falco ile entegre olarak çalışma zamanı koruması sağlar (aşağıya bakınız) kapsayıcı çalışırken güvenlik olaylarını toplamak için.

KubeXray

• Web sitesi: github.com/jfrog/kubexray
• Lisans: Ücretsiz (Apache), ancak JFrog Xray'den (ticari ürün) veri gerektirir

KubeXray, Kubernetes API sunucusundaki olayları dinler ve yalnızca mevcut politikayla eşleşen bölmelerin başlatılmasını sağlamak için JFrog Xray'in meta verilerini kullanır.

KubeXray yalnızca dağıtımlardaki yeni veya güncellenmiş kapsayıcıları denetlemekle kalmaz (Kubernetes'teki giriş denetleyicisine benzer şekilde), aynı zamanda çalışan kapsayıcıları yeni güvenlik politikalarına uygunluk açısından dinamik olarak kontrol ederek, savunmasız görüntülere başvuran kaynakları kaldırır.

Snyk

• Web sitesi: snyk.io
• Lisans: ücretsiz (Apache) ve ticari versiyonlar

Snyk, özellikle geliştirme sürecini hedef alan ve geliştiriciler için "temel bir çözüm" olarak tanıtılan alışılmadık bir güvenlik açığı tarayıcısıdır.

Snyk doğrudan kod depolarına bağlanır, proje bildirimini ayrıştırır ve içe aktarılan kodu doğrudan ve dolaylı bağımlılıklarla birlikte analiz eder. Snyk birçok popüler programlama dilini destekler ve gizli lisans risklerini tespit edebilir.

Önemsiz

• Web sitesi: github.com/knqyf263/trivy
• Lisans: ücretsiz (AGPL)

Trivy, konteynerlere yönelik, CI/CD hattına kolayca entegre olabilen basit ama güçlü bir güvenlik açığı tarayıcısıdır. Dikkate değer özelliği kurulum ve çalıştırma kolaylığıdır: uygulama tek bir ikili dosyadan oluşur ve bir veritabanının veya ek kitaplıkların kurulumunu gerektirmez.

Trivy'nin basitliğinin dezavantajı, diğer Kubernetes güvenlik araçlarının bunları kullanabilmesi için sonuçları JSON formatında nasıl ayrıştırıp ileteceğinizi bulmanız gerekmesidir.

Kubernetes'te çalışma zamanı güvenliği

Falco

• Web sitesi: falco.org
• Lisans: ücretsiz (Apache)

Falco, bulut çalışma zamanı ortamlarının güvenliğini sağlamaya yönelik bir dizi araçtır. Proje ailesinin bir parçası CNCF.

Sysdig'in Linux çekirdek düzeyindeki araçlarını ve sistem çağrısı profili oluşturmayı kullanan Falco, sistem davranışını derinlemesine incelemenize olanak tanır. Çalışma zamanı kuralları motoru uygulamalarda, kapsayıcılarda, temel ana bilgisayarda ve Kubernetes orkestratöründe şüpheli etkinlikleri tespit etme yeteneğine sahiptir.

Falco, bu amaçlar için Kubernetes düğümlerine özel aracılar dağıtarak çalışma zamanı ve tehdit tespitinde tam şeffaflık sağlar. Sonuç olarak, kaplara üçüncü taraf kodları ekleyerek veya sepet kapları ekleyerek kapları değiştirmeye gerek yoktur.

Çalışma zamanı için Linux güvenlik çerçeveleri

Linux çekirdeğine yönelik bu yerel çerçeveler, geleneksel anlamda "Kubernetes güvenlik araçları" değildir ancak Kubernetes Pod Güvenlik Politikası'nda (PSP) yer alan çalışma zamanı güvenliği bağlamında önemli bir unsur oldukları için bahsetmeye değerdirler.

AppArmoru Kapta çalışan işlemlere bir güvenlik profili ekler, dosya sistemi ayrıcalıklarını, ağ erişim kurallarını, kitaplıkları bağlamayı vb. tanımlar. Bu, Zorunlu Erişim Kontrolüne (MAC) dayalı bir sistemdir. Yani yasaklanan eylemlerin yapılmasını engeller.

Güvenliği Geliştirilmiş Linux (SELinux) Linux çekirdeğinde bulunan, bazı yönlerden AppArmor'a benzeyen ve sıklıkla onunla karşılaştırılan gelişmiş bir güvenlik modülüdür. SELinux güç, esneklik ve kişiselleştirme açısından AppArmor'dan üstündür. Dezavantajları uzun öğrenme eğrisi ve artan karmaşıklıktır.

Secomp ve seccomp-bpf, sistem çağrılarını filtrelemenize, temel işletim sistemi için potansiyel olarak tehlikeli olan ve kullanıcı uygulamalarının normal çalışması için gerekli olmayan çağrıların yürütülmesini engellemenize olanak tanır. Seccomp, konteynerlerin özelliklerini bilmese de bazı yönlerden Falco'ya benziyor.

Sysdig açık kaynak

• Web sitesi: www.sysdig.com/opensource
• Lisans: ücretsiz (Apache)

Sysdig, Linux sistemlerini analiz etmek, teşhis etmek ve hata ayıklamak için eksiksiz bir araçtır (aynı zamanda Windows ve macOS'ta da çalışır, ancak işlevleri sınırlıdır). Ayrıntılı bilgi toplama, doğrulama ve adli analiz için kullanılabilir. (adli) temel sistem ve üzerinde çalışan tüm konteynerler.

Sysdig ayrıca konteyner çalışma zamanlarını ve Kubernetes meta verilerini yerel olarak destekleyerek topladığı tüm sistem davranışı bilgilerine ek boyutlar ve etiketler ekler. Sysdig'i kullanarak bir Kubernetes kümesini analiz etmenin birkaç yolu vardır: kubectl yakalama veya bir eklenti kullanarak ncurses tabanlı etkileşimli bir arayüz başlatın kubectl kazmak.

Kubernetes Ağ Güvenliği

Aporeto

• Web sitesi: www.aporeto.com
• Lisans: ticari

Aporeto "ağdan ve altyapıdan ayrı güvenlik" sunuyor. Bu, Kubernetes hizmetlerinin yalnızca yerel bir kimlik (ör. Kubernetes'teki Hizmet Hesabı) almakla kalmayıp, aynı zamanda örneğin bir OpenShift kümesinde başka herhangi bir hizmetle güvenli ve karşılıklı iletişim kurmak için kullanılabilecek evrensel bir kimlik/parmak izi aldığı anlamına gelir.

Aporeto yalnızca Kubernet'ler/konteynerler için değil aynı zamanda ana bilgisayarlar, bulut işlevleri ve kullanıcılar için de benzersiz bir kimlik oluşturma kapasitesine sahiptir. Bu tanımlayıcılara ve yönetici tarafından belirlenen ağ güvenliği kurallarına bağlı olarak iletişimlere izin verilecek veya iletişimler engellenecektir.

patiska

• Web sitesi: www.projectcalico.org
• Lisans: ücretsiz (Apache)

Calico genellikle bir konteyner orkestratörü kurulumu sırasında dağıtılır ve konteynerleri birbirine bağlayan bir sanal ağ oluşturmanıza olanak tanır. Bu temel ağ işlevselliğine ek olarak Calico projesi, Kubernetes Ağ Politikaları ve kendi ağ güvenlik profilleri seti ile çalışır, Giriş ve Çıkış trafiği için uç nokta ACL'lerini (erişim kontrol listeleri) ve açıklama tabanlı ağ güvenliği kurallarını destekler.

kirpik

• Web sitesi: www.cilium.io
• Lisans: ücretsiz (Apache)

Cilium, konteynerler için bir güvenlik duvarı görevi görür ve Kubernetes ve mikro hizmet iş yüklerine göre yerel olarak uyarlanmış ağ güvenliği özellikleri sağlar. Cilium, verileri filtrelemek, izlemek, yönlendirmek ve düzeltmek için BPF (Berkeley Paket Filtresi) adı verilen yeni bir Linux çekirdek teknolojisini kullanır.

Cilium, Docker veya Kubernetes etiketlerini ve meta verilerini kullanarak kapsayıcı kimliklerine dayalı ağ erişim politikalarını dağıtma yeteneğine sahiptir. Cilium ayrıca HTTP veya gRPC gibi çeşitli Katman 7 protokollerini de anlayıp filtreleyerek, örneğin iki Kubernetes dağıtımı arasında izin verilecek bir dizi REST çağrısı tanımlamanıza olanak tanır.

Istio

• Web sitesi: istio.io
• Lisans: ücretsiz (Apache)

Istio, platformdan bağımsız bir kontrol düzlemi dağıtarak ve yönetilen tüm hizmet trafiğini dinamik olarak yapılandırılabilir Envoy proxy'leri aracılığıyla yönlendirerek hizmet ağı paradigmasını uygulamasıyla tanınmaktadır. Istio, çeşitli ağ güvenliği stratejilerini uygulamak için tüm mikro hizmetlerin ve kapsayıcıların bu gelişmiş görünümünden yararlanır.

Istio'nun ağ güvenliği yetenekleri, mikro hizmetler arasındaki iletişimi otomatik olarak HTTPS'ye yükseltmek için şeffaf TLS şifrelemesini ve kümedeki farklı iş yükleri arasındaki iletişime izin vermek/reddetmek için özel bir RBAC tanımlama ve yetkilendirme sistemini içerir.

Not. tercüme: Istio'nun güvenlik odaklı yetenekleri hakkında daha fazla bilgi edinmek için okuyun Bu makalede.

Kaplan

• Web sitesi: www.tigera.io
• Lisans: ticari

"Kubernetes Güvenlik Duvarı" olarak adlandırılan bu çözüm, ağ güvenliğine sıfır güven yaklaşımını vurguluyor.

Diğer yerel Kubernetes ağ oluşturma çözümlerine benzer şekilde Tigera, kümedeki çeşitli hizmetleri ve nesneleri tanımlamak için meta verilere güvenir ve çoklu bulut veya hibrit monolitik konteynerli altyapılar için çalışma zamanı sorunlarının tespiti, sürekli uyumluluk denetimi ve ağ görünürlüğü sağlar.

kadırga

• Web sitesi: www.aporeto.com/opensource
• Lisans: ücretsiz (Apache)

Trireme-Kubernetes, Kubernetes Ağ Politikaları spesifikasyonunun basit ve anlaşılır bir uygulamasıdır. En dikkate değer özelliği, benzer Kubernetes ağ güvenliği ürünlerinden farklı olarak, ağı koordine etmek için merkezi bir kontrol düzlemine ihtiyaç duymamasıdır. Bu, çözümü önemsiz ölçüde ölçeklenebilir hale getirir. Trireme'de bu, ana bilgisayarın TCP/IP yığınına doğrudan bağlanan her düğüme bir aracı yüklenerek gerçekleştirilir.

Görüntü Yayılımı ve Sır Yönetimi

Grafeas

• Web sitesi: grafeas.io
• Lisans: ücretsiz (Apache)

Grafeas, yazılım tedarik zinciri denetimi ve yönetimi için açık kaynaklı bir API'dir. Temel düzeyde Grafeas, meta verileri ve denetim bulgularını toplamaya yönelik bir araçtır. Bir kuruluş içindeki en iyi güvenlik uygulamalarına uygunluğu izlemek için kullanılabilir.

Bu merkezi hakikat kaynağı aşağıdaki gibi soruların yanıtlanmasına yardımcı olur:

• Belirli bir konteyneri kim topladı ve imzaladı?
• Güvenlik politikasının gerektirdiği tüm güvenlik taramalarını ve kontrollerini geçti mi? Ne zaman? Sonuçlar neydi?
• Bunu üretime kim yerleştirdi? Dağıtım sırasında hangi spesifik parametreler kullanıldı?

tamamen

• Web sitesi: in-toto.github.io
• Lisans: ücretsiz (Apache)

In-toto, tüm yazılım tedarik zincirinin bütünlüğünü, kimlik doğrulamasını ve denetimini sağlamak için tasarlanmış bir çerçevedir. In-toto'yu bir altyapıya dağıtırken, ilk olarak işlem hattındaki çeşitli adımları (depo, CI/CD araçları, QA araçları, yapı toplayıcılar vb.) ve bunları yapmasına izin verilen kullanıcıları (sorumlu kişiler) açıklayan bir plan tanımlanır. onları başlatın.

In-toto, planın uygulanmasını izleyerek zincirdeki her görevin yalnızca yetkili personel tarafından düzgün bir şekilde gerçekleştirildiğini ve hareket sırasında ürün üzerinde hiçbir yetkisiz manipülasyon yapılmadığını doğrular.

Portieris

• Web sitesi: github.com/IBM/portieris
• Lisans: ücretsiz (Apache)

Portieris, Kubernetes için bir giriş denetleyicisidir; içerik güven kontrollerini zorunlu kılmak için kullanılır. Portieris bir sunucu kullanıyor Noter (sonunda onun hakkında yazdık Bu makalede - yaklaşık. tercüme) Güvenilir ve imzalı yapıları (yani onaylanmış kapsayıcı görüntüleri) doğrulamak için bir doğruluk kaynağı olarak.

Kubernetes'te bir iş yükü oluşturulduğunda veya değiştirildiğinde Portieris, istenen kapsayıcı görüntüleri için imzalama bilgilerini ve içerik güven politikasını indirir ve gerekirse bu görüntülerin imzalı sürümlerini çalıştırmak için JSON API nesnesinde anında değişiklikler yapar.

Tonoz

• Web sitesi: www.vaultproject.io
• Lisans: ücretsiz (MPL)

Vault, özel bilgileri depolamak için güvenli bir çözümdür: şifreler, OAuth belirteçleri, PKI sertifikaları, erişim hesapları, Kubernetes sırları vb. Vault, geçici güvenlik belirteçlerinin kiralanması veya anahtar rotasyonunun organize edilmesi gibi birçok gelişmiş özelliği destekler.

Helm grafiğini kullanarak Vault, Consul'un arka uç depolama alanı olduğu bir Kubernetes kümesinde yeni bir dağıtım olarak dağıtılabilir. ServiceAccount belirteçleri gibi yerel Kubernetes kaynaklarını destekler ve hatta Kubernetes sırları için varsayılan depo görevi görebilir.

Not. tercüme: Bu arada, daha dün, Vault'u geliştiren HashiCorp şirketi, Vault'un Kubernetes'te kullanılmasına ilişkin bazı iyileştirmeler yaptığını ve bunların özellikle Helm grafiğiyle ilgili olduğunu duyurdu. Daha fazlasını okuyun geliştirici blogu.

Kubernetes Güvenlik Denetimi

Kube tezgahı

• Web sitesi: github.com/aquasecurity/kube-bench
• Lisans: ücretsiz (Apache)

Kube-bench, bir listeden testler çalıştırarak Kubernetes'in güvenli bir şekilde dağıtılıp dağıtılmadığını kontrol eden bir Go uygulamasıdır CIS Kubernetes Karşılaştırması.

Kube-bench, DoS saldırılarına karşı koruma sağlamak için küme bileşenleri (etcd, API, denetleyici yöneticisi vb.) arasındaki güvenli olmayan yapılandırma ayarlarını, şüpheli dosya erişim haklarını, korumasız hesapları veya açık bağlantı noktalarını, kaynak kotalarını, API çağrılarının sayısını sınırlamaya yönelik ayarları arar. , vesaire.

Kube avcısı

• Web sitesi: github.com/aquasecurity/kube-hunter
• Lisans: ücretsiz (Apache)

Kube-hunter, Kubernetes kümelerindeki olası güvenlik açıklarını (uzaktan kod yürütme veya veri ifşası gibi) arar. Kube-hunter uzak bir tarayıcı olarak çalıştırılabilir (bu durumda kümeyi üçüncü taraf saldırganın bakış açısından değerlendirecektir) veya kümenin içinde bir bölme olarak çalıştırılabilir.

Kube-hunter'ın ayırt edici bir özelliği, yalnızca sorunları bildirmekle kalmayıp aynı zamanda hedef kümede keşfedilen ve operasyonuna zarar verebilecek güvenlik açıklarından yararlanmaya çalıştığı "aktif avlanma" modudur. Bu yüzden dikkatli kullanın!

Kubeaudit

• Web sitesi: github.com/Shopify/kubeaudit
• Lisans: ücretsiz (MIT)

Kubeedit, çeşitli güvenlik sorunlarına yönelik Kubernetes yapılandırmasını denetlemek amacıyla orijinal olarak Shopify'da geliştirilen bir konsol aracıdır. Örneğin, sınırsız çalışan, root olarak çalışan, ayrıcalıkları kötüye kullanan veya varsayılan ServiceAccount'u kullanan kapsayıcıların belirlenmesine yardımcı olur.

Kubeaudit'in başka ilginç özellikleri de var. Örneğin yerel YAML dosyalarını analiz edebilir, güvenlik sorunlarına yol açabilecek yapılandırma kusurlarını tespit edebilir ve bunları otomatik olarak düzeltebilir.

Kubesec

• Web sitesi: kubesec.io
• Lisans: ücretsiz (Apache)

Kubesec, güvenliği etkileyebilecek zayıf parametreleri arayarak Kubernetes kaynaklarını tanımlayan YAML dosyalarını doğrudan tarayan özel bir araçtır.

Örneğin, bir bölmeye verilen aşırı ayrıcalıkları ve izinleri, varsayılan kullanıcı olarak kök olan bir kapsayıcıyı çalıştırmayı, ana bilgisayarın ağ ad alanına bağlanmayı veya aşağıdaki gibi tehlikeli bağlantıları algılayabilir: /proc ana bilgisayar veya Docker soketi. Kubesec'in bir başka ilginç özelliği de, YAML'yi yükleyip hemen analiz edebileceğiniz çevrimiçi demo hizmetidir.

Açık İlke Aracısı

• Web sitesi: www.openpolicyagent.org
• Lisans: ücretsiz (Apache)

OPA (Açık Politika Aracısı) kavramı, güvenlik politikalarını ve en iyi güvenlik uygulamalarını belirli bir çalışma zamanı platformundan ayırmaktır: Docker, Kubernetes, Mezosfer, OpenShift veya bunların herhangi bir kombinasyonu.

Örneğin, OPA'yı Kubernetes giriş denetleyicisi için bir arka uç olarak dağıtabilir ve güvenlik kararlarını ona devredebilirsiniz. Bu şekilde, OPA aracısı istekleri anında doğrulayabilir, reddedebilir ve hatta değiştirebilir, böylece belirtilen güvenlik parametrelerinin karşılandığından emin olabilirsiniz. OPA'nın güvenlik politikaları, kendi özel DSL dili Rego'da yazılmıştır.

Not. tercüme: OPA (ve SPIFFE) hakkında daha fazlasını şurada yazdık: bu materyal.

Kubernetes güvenlik analizi için kapsamlı ticari araçlar

Genellikle birden fazla güvenlik alanını kapsadıkları için ticari platformlar için ayrı bir kategori oluşturmaya karar verdik. Yetenekleri hakkında genel bir fikir tablodan elde edilebilir:

* Gelişmiş muayene ve otopsi analizi ile eksiksiz sistem çağrısı ele geçirme.

Su Güvenliği

• Web sitesi: www.aquasec.com
• Lisans: ticari

Bu ticari araç, konteynerler ve bulut iş yükleri için tasarlanmıştır. Şunları sağlar:

• Konteyner kayıt defteri veya CI/CD hattıyla entegre edilmiş görüntü tarama;
• Konteynerlerdeki değişiklikleri ve diğer şüpheli etkinlikleri araştıran çalışma zamanı koruması;
• Konteyner yerel güvenlik duvarı;
• Bulut hizmetlerinde sunucusuz güvenlik;
• Uyumluluk testi ve denetimi, olay günlüğü kaydıyla birleştirilir.

Not. tercüme: Şunu da belirtmek gerekir ki adı verilen ürünün serbest bileşeni MikroTarayıcı, kapsayıcı görüntülerini güvenlik açıklarına karşı taramanıza olanak tanır. Yeteneklerinin ücretli sürümlerle karşılaştırılması şu şekilde sunulmaktadır: bu masa.

Kapsül8

• Web sitesi: kapsül8.com
• Lisans: ticari

Capsule8, dedektörü yerel veya bulut Kubernetes kümesine yükleyerek altyapıya entegre olur. Bu dedektör, ana bilgisayar ve ağ telemetrisini toplayarak bunu farklı saldırı türleriyle ilişkilendirir.

Capsule8 ekibi görevini, yeni teknolojiler kullanarak saldırıları erken tespit etmek ve önlemek olarak görüyor. (0 günlük) güvenlik açıkları. Capsule8, yeni keşfedilen tehditlere ve yazılım açıklarına yanıt olarak güncellenmiş güvenlik kurallarını doğrudan dedektörlere indirebilir.

Cavirin

• Web sitesi: www.cavirin.com
• Lisans: ticari

Cavirin, güvenlik standartlarıyla ilgilenen çeşitli kurumlar için şirket tarafında yüklenici olarak görev yapmaktadır. Yalnızca görüntüleri taramakla kalmaz, aynı zamanda CI/CD hattına entegre olarak standart olmayan görüntüleri kapalı havuzlara girmeden önce engelleyebilir.

Cavirin'in güvenlik paketi, siber güvenlik duruşunuzu değerlendirmek için makine öğrenimini kullanarak güvenliği iyileştirmeye ve güvenlik standartlarına uyumu geliştirmeye yönelik ipuçları sunar.

Google Cloud Güvenlik Komuta Merkezi

• Web sitesi: cloud.google.com/security-command-center
• Lisans: ticari

Bulut Güvenliği Komuta Merkezi, güvenlik ekiplerinin veri toplamasına, tehditleri belirlemesine ve bunları şirkete zarar vermeden ortadan kaldırmasına yardımcı olur.

Adından da anlaşılacağı gibi Google Cloud SCC, çeşitli güvenlik raporlarını, varlık muhasebesi motorlarını ve üçüncü taraf güvenlik sistemlerini tek bir merkezi kaynaktan entegre edip yönetebilen birleşik bir kontrol panelidir.

Google Cloud SCC tarafından sunulan birlikte çalışabilir API, Sysdig Secure (bulutta yerel uygulamalar için konteyner güvenliği) veya Falco (Açık Kaynak çalışma zamanı güvenliği) gibi çeşitli kaynaklardan gelen güvenlik olaylarının entegre edilmesini kolaylaştırır.

Katmanlı İçgörü (Qualys)

• Web sitesi: katmanlıinsight.com
• Lisans: ticari

Layered Insight (artık Qualys Inc.'in bir parçası) "yerleşik güvenlik" kavramı üzerine inşa edilmiştir. İstatistiksel analiz ve CVE kontrollerini kullanarak orijinal görüntüyü güvenlik açıklarına karşı taradıktan sonra Layered Insight, aracıyı ikili dosya olarak içeren araçlı bir görüntüyle değiştirir.

Bu aracı, konteyner ağ trafiğini, G/Ç akışlarını ve uygulama etkinliğini analiz etmek için çalışma zamanı güvenlik testleri içerir. Ayrıca altyapı yöneticisi veya DevOps ekipleri tarafından belirlenen ek güvenlik kontrollerini de gerçekleştirebilir.

NeuVector

• Web sitesi: neuvector.com
• Lisans: ticari

NeuVector, konteyner güvenliğini kontrol eder ve ağ etkinliğini ve uygulama davranışını analiz ederek, her konteyner için ayrı bir güvenlik profili oluşturarak çalışma zamanı koruması sağlar. Ayrıca yerel güvenlik duvarı kurallarını değiştirerek şüpheli etkinlikleri izole ederek tehditleri kendi başına da engelleyebilir.

NeuVector'un Güvenlik Ağı olarak bilinen ağ entegrasyonu, hizmet ağındaki tüm ağ bağlantıları için derin paket analizi ve katman 7 filtreleme yeteneğine sahiptir.

Yığın Rox

• Web sitesi: www.stackrox.com
• Lisans: ticari

StackRox konteyner güvenliği platformu, bir kümedeki Kubernetes uygulamalarının tüm yaşam döngüsünü kapsamaya çalışır. Bu listedeki diğer ticari platformlar gibi StackRox da gözlemlenen konteyner davranışına dayalı bir çalışma zamanı profili oluşturur ve herhangi bir sapma durumunda otomatik olarak alarm verir.

Ayrıca StackRox, konteyner uyumluluğunu değerlendirmek için Kubernetes CIS'yi ve diğer kural kitaplarını kullanarak Kubernetes yapılandırmalarını analiz eder.

Sistem Güvenliği

• Web sitesi: sysdig.com/products/secure
• Lisans: ticari

Sysdig Secure, uygulamaları tüm konteyner ve Kubernetes yaşam döngüsü boyunca korur. O görüntüleri tarar konteynerler sağlar çalışma zamanı koruması makine öğrenimi verilerine göre krema işlemini gerçekleştirir. Güvenlik açıklarını belirleme, tehditleri engelleme, izleme uzmanlığı belirlenmiş standartlara uygunluk ve mikro hizmetlerdeki faaliyetleri denetler.

Sysdig Secure, Jenkins gibi CI/CD araçlarıyla entegre olur ve Docker kayıtlarından yüklenen görüntüleri kontrol ederek tehlikeli görüntülerin üretimde görünmesini engeller. Ayrıca aşağıdakiler de dahil olmak üzere kapsamlı çalışma zamanı güvenliği sağlar:

• ML tabanlı çalışma zamanı profili oluşturma ve anormallik tespiti;
• sistem olaylarına, K8s denetim API'sine, ortak topluluk projelerine (FIM - dosya bütünlüğü izleme; kripto hırsızlığı) ve çerçeveye dayalı çalışma zamanı politikaları GÖNYE ATT & CK;
• olaylara müdahale ve çözüm.

Sürdürülebilir Konteyner Güvenliği

• Web sitesi: www.tenable.com/products/tenable-io/container-security
• Lisans: ticari

Konteynerlerin ortaya çıkmasından önce Tenable, popüler bir güvenlik açığı avcılığı ve güvenlik denetleme aracı olan Nessus'un arkasındaki şirket olarak sektörde yaygın olarak biliniyordu.

Tenable Container Security, bir CI/CD hattını güvenlik açığı veritabanları, özel kötü amaçlı yazılım tespit paketleri ve güvenlik tehditlerini çözmeye yönelik önerilerle entegre etmek için şirketin bilgisayar güvenliği uzmanlığından yararlanır.

Twistlock (Palo Alto Ağları)

• Web sitesi: www.twistlock.com
• Lisans: ticari

Twistlock kendisini bulut hizmetlerine ve konteynerlere odaklanan bir platform olarak tanıtıyor. Twistlock, çeşitli bulut sağlayıcılarını (AWS, Azure, GCP), konteyner orkestratörlerini (Kubernetes, Mesospehere, OpenShift, Docker), sunucusuz çalışma zamanlarını, ağ çerçevelerini ve CI/CD araçlarını destekler.

CI/CD boru hattı entegrasyonu veya görüntü tarama gibi geleneksel kurumsal düzeyde güvenlik tekniklerine ek olarak Twistlock, konteynere özgü davranış kalıpları ve ağ kuralları oluşturmak için makine öğrenimini kullanır.

Bir süre önce Twistlock, Evident.io ve RedLock projelerinin sahibi olan Palo Alto Networks tarafından satın alındı. Bu üç platformun tam olarak nasıl entegre edileceği henüz bilinmiyor. PRISMA Palo Alto'dan.

En iyi Kubernetes güvenlik araçları kataloğunun oluşturulmasına yardımcı olun!

Bu kataloğu mümkün olduğunca eksiksiz hale getirmeye çalışıyoruz ve bunun için yardımınıza ihtiyacımız var! Bize Ulaşın (@sysdig) aklınızda bu listeye dahil edilmeye değer harika bir araç varsa veya bir hata/güncel olmayan bilgi bulursanız.

Ayrıca abone olabilirsiniz Aylık Bülten bulut tabanlı ekosistemden haberler ve Kubernetes güvenliği dünyasından ilginç projelerle ilgili hikayeler.

çevirmenden PS

Blogumuzda da okuyun:

• «Güvenlik Profesyonelleri için Kubernetes Ağ Politikalarına Giriş";
• «Güvenlik açısından hassas ortamlarda Docker ve Kubernetes";
• «9 Kubernetes Güvenlik En İyi Uygulamaları";
• «Kubernetes Saldırısının Kurbanı Olmanın (Olmamanın) 11 Yolu";
• «OPA ve SPIFFE, CNCF'de bulut uygulama güvenliğine yönelik iki yeni projedir'.

Kaynak: habr.com