33+ інструменти для безпеки Kubernetes

Прим. перев.: Якщо ви ставите питання безпеки в інфраструктурі, заснованій на Kubernetes, цей чудовий огляд від компанії Sysdig стане відмінною відправною точкою для знайомства з актуальними на сьогоднішній день рішеннями. У нього включені і комплексні системи від відомих гравців ринку, і значно скромніші утиліти, що закривають ту чи іншу проблему. А в коментарях ми, як завжди, будемо раді дізнатися про ваш досвід використання цих інструментів і побачити посилання на інші проекти.

Програмні продукти для забезпечення безпеки Kubernetes… їх так багато, і у кожного свої цілі, сфера застосування та ліцензії.

Саме тому ми вирішили створити цей список та включили до нього як відкриті проекти, так і комерційні платформи від різних постачальників. Сподіваємося, він допоможе вам вибрати ті з них, що становлять найбільший інтерес і спрямують у вірному напрямку залежно від конкретних потреб у справі безпеки Kubernetes.

Категорії

Щоб спростити навігацію за списком, інструменти розбиті за основними функціями та областями застосування. Вийшли такі розділи:

• Сканування образів Kubernetes та статичний аналіз;
• Безпека runtime;
• Мережева безпека Kubernetes;
• Поширення образів та управління секретами;
• Аудит безпеки Kubernetes;
• Комплексні комерційні товари.

Перейдемо до справи:

Сканування образів Kubernetes

Якір

• Сайт: anchore.com
• Ліцензія: вільна (Apache) та комерційна пропозиція

Пакет Anchore аналізує образи контейнерів і дозволяє проводити перевірки безпеки на основі політик, що задаються користувачем.

Крім звичного сканування образів контейнерів на предмет відомих уразливостей з бази CVE, Anchore проводить безліч додаткових перевірок у рамках політики сканування: перевіряє Dockerfile, витік облікових даних, пакети мов програмування (npm, maven і т.д.), ліцензії ПЗ і багато іншого .

ясно

• Сайт: coreos.com/clair (тепер під опікою Red Hat)
• Ліцензія: вільна (Apache)

Clair був одним із перших Open Source-проектів для сканування образів. Він широко відомий як сканер безпеки, що лежить в основі реєстру образів Quay (теж від CoreOS - прим. перев.). Clair вміє збирати інформацію про CVE з великої кількості джерел, включаючи списки специфічних для Linux-дистрибутивів уразливостей, які ведуть команди безпеки Debian, Red Hat або Ubuntu.

На відміну від Anchore, Clair переважно займається пошуком уразливостей та зіставленням даних із CVE. Втім, продукт пропонує користувачам деякі можливості для розширення функцій за допомогою драйверів, що підключаються.

Дагда

• Сайт: github.com/eliasgranderubio/dagda
• Ліцензія: вільна (Apache)

Dagda проводить статичний аналіз образів контейнерів щодо наявності відомих уразливостей, троянів, вірусів, шкідливих програм та інших загроз.

Від інших схожих інструментів пакет Dagda відрізняє дві чудові особливості:

• Він відмінно інтегрується з ClamAV, Виступаючи не тільки як інструмент для сканування образів контейнерів, але і як антивірус.
• Також забезпечує runtime-захист, в реальному часі отримуючи події від демона Docker'а та інтегруючись із Falco (див. нижче) для збирання подій безпеки під час роботи контейнера.

KubeXray

• Сайт: github.com/jfrog/kubexray
• Ліцензія: вільна (Apache), але вимагає отримання даних від JFrog Xray (комерційного продукту)

KubeXray «слухає» події API-сервера Kubernetes і за допомогою метаданих від JFrog Xray стежить за тим, щоб запускалися лише pod'и, що відповідають поточній політиці.

KubeXray не тільки проводить аудит нових або оновлених контейнерів в deployment'ах (за аналогією з admission controller в Kubernetes), але також динамічно перевіряє працюючі контейнери на відповідність новим безпековим політикам, видаляючи ресурси, що посилаються на вразливі образи.

Сник

• Сайт: snyk.io
• Ліцензія: вільна (Apache) та комерційна версії

Snyk - це незвичайний сканер уразливостей у тому сенсі, що він спеціально націлений на процес розробки і просувається як незамінне рішення для розробників.

Snyk безпосередньо підключається до репозиторій коду, парсит маніфест проекту та аналізує імпортований код разом із прямими і опосередкованими залежностями. Snyk підтримує багато популярних мов програмування і може виявляти приховані ліцензійні ризики.

Дрібний

• Сайт: github.com/knqyf263/trivy
• Ліцензія: вільна (AGPL)

Trivy - простий, але потужний сканер уразливостей для контейнерів, що легко інтегрується в CI/CD-пайплайн. Його прикметна особливість — простота встановлення та роботи: програма складається з єдиного бінарника і не потребує встановлення бази даних або додаткових бібліотек.

Зворотний бік простоти Trivy полягає в тому, що доведеться розбиратися, як парсити та пересилати результати у форматі JSON, щоб ними могли скористатися інші інструменти безпеки Kubernetes.

Безпека runtime у Kubernetes

Falco

• Сайт: falco.org
• Ліцензія: вільна (Apache)

Falco — набір інструментів для безпеки хмарних середовищ виконання. Входить до сімейства проектів CNCF.

Використовуючи інструментарій Sysdig для роботи на рівні ядра Linux та профілювання системних викликів, Falco дозволяє глибоко поринути у поведінку системи. Його механізм runtime-правил здатний виявляти підозрілу активність у додатках, контейнерах, базовому хості та оркестраторі Kubernetes.

Falco забезпечує повну прозорість у роботі runtime'а та виявлення загроз, ставлячи з цією метою спеціальних агентів на вузлах Kubernetes. В результаті відпадає необхідність модифікувати контейнери, впроваджуючи в них сторонній код або навішуючи sidecar-контейнери.

Фреймворки безпеки Linux для runtime

Ці рідні для ядра Linux фреймворки не є «інструментами безпеки Kubernetes» у звичному сенсі, проте заслуговують на згадку, оскільки виступають важливим елементом у контексті безпеки в runtime, що включається в Kubernetes Pod Security Policy (PSP).

AppArmor підключає профіль безпеки до процесів, запущених у контейнері, визначаючи привілеї файлової системи, правила доступу до мережі, підключення бібліотек і т.д. Це система з урахуванням мандатного управління доступом (Mandatory Access Control, MAC). Іншими словами, вона запобігає виконанню заборонених дій.

Security-Enhanced Linux (SELinux) - це модуль розширеної безпеки в ядрі Linux, в деяких аспектах схожий на AppArmor і часто порівнюваний з ним. SELinux перевершує AppArmor за потужністю, гнучкістю та тонкістю налаштувань. Його недоліки - тривале освоєння та підвищена складність.

Seccomp і seccomp-bpf дозволяють фільтрувати системні виклики, блокувати виконання тих з них, що потенційно небезпечні для базової ОС і не потрібні для нормальної роботи додатків користувача. Seccomp у деяких моментах схожий на Falco, хоч і не знає специфіки контейнерів.

Sysdig open source

• Сайт: www.sysdig.com/opensource
• Ліцензія: вільна (Apache)

Sysdig – повноцінний інструмент для аналізу, діагностики та налагодження Linux-систем (також працює на Windows та macOS, але з обмеженими функціями). Його можна використовувати для збору детальної інформації, перевірки та кримінальної експертизи (Forensics) базової системи та будь-яких контейнерів, що працюють на ній.

Також Sysdig спочатку підтримує виконувані середовища для контейнерів та метадані Kubernetes, додаючи додаткові вимірювання та мітки до всієї інформації про поведінку системи, що збирається. Існує кілька способів аналізу кластера Kubernetes за допомогою Sysdig: можна провести захоплення на певний момент часу через kubectl capture або ж запустити інтерактивний інтерфейс на базі ncurses за допомогою плагіна kubectl dig.

Мережева безпека Kubernetes

Aporeto

• Сайт: www.aporeto.com
• Ліцензія: комерційна

Aporeto пропонує «безпеку, відокремлену від мережі та інфраструктури». Це означає, що сервіси Kubernetes не тільки отримують локальний ID (тобто ServiceAccount у Kubernetes), але й універсальний ідентифікатор/відбиток, який можна використовувати для безпечної взаємодії з взаємно перевіряється з будь-яким іншим сервісом, наприклад, у кластері OpenShift.

Aporeto здатний генерувати унікальний ідентифікатор не тільки для Kubernetes/контейнерів, а й для хостів, хмарних функцій та користувачів. Залежно від цих ідентифікаторів та набору правил мережевої безпеки, заданих адміністратором, комунікації буде дозволено або заблоковано.

коленкор

• Сайт: www.projectcalico.org
• Ліцензія: вільна (Apache)

Calico зазвичай розгортають під час встановлення оркестратора контейнерів, що дозволяє створити віртуальну мережу, яка зв'язує контейнери. Крім цієї базової мережевої функціональності проект Calico працює з Kubernetes Network Policies та своїм власним набором профілів мережевої безпеки, підтримує ACL (списки контролю доступу) endpoint'ів та засновані на анотаціях правила мережевої безпеки для Ingress- та Egress-трафіку.

Циліум

• Сайт: www.cilium.io
• Ліцензія: вільна (Apache)

Cilium виступає як брандмауер для контейнерів і надає функції із забезпечення мережевої безпеки, спочатку адаптовані до Kubernetes та робочих навантажень мікросервісів. Cilium використовує нову технологію ядра Linux під назвою BPF (Berkeley Packet Filter) для фільтрації, моніторингу, перенаправлення та коригування даних.

Cilium здатний розгортати політики мережного доступу на основі ідентифікаторів контейнерів, використовуючи мітки Docker або Kubernetes та метадані. Cilium також розуміє та фільтрує різні протоколи 7-го рівня, такі як HTTP або gRPC, дозволяючи визначати набір викликів REST, які, наприклад, будуть дозволені між двома deployment'ами Kubernetes.

Істіо

• Сайт: istio.io
• Ліцензія: вільна (Apache)

Istio широко відомий як реалізація парадигми service mesh шляхом розгортання незалежної від платформи control plane і перенаправлення всього керованого сервісного трафіку через проксі Envoy, що динамічно конфігуруються. Istio користується цим передовим уявленням всіх мікросервісів та контейнерів для реалізації різних стратегій мережевої безпеки.

Можливості Istio із забезпечення мережевої безпеки включають прозоре шифрування TLS для автоматичного поліпшення протоколу комунікацій між мікросервісами до HTTPS і власну систему RBAC для ідентифікації та авторизації для дозволу/заборони обміну даними між різними робочими навантаженнями в кластері.

Прим. перев.: Докладніше про можливості Istio, орієнтовані на безпеку, читайте в цієї статті.

тигровий

• Сайт: www.tigera.io
• Ліцензія: комерційна

У цьому рішенні, званому «брандмауером Kubernetes», наголошується на підхід до мережевої безпеки з нульовою довірою.

За аналогією з іншими рідними для Kubernetes мережевими рішеннями, Tigera покладається на метадані при ідентифікації різних сервісів та об'єктів у кластері та забезпечує виявлення проблем у runtime, безперервну перевірку на відповідність та прозорість мережі для багатохмарних або гібридних монолітно-контейнеризованих інфраструктур.

Трієра

• Сайт: www.aporeto.com/opensource
• Ліцензія: вільна (Apache)

Trireme-Kubernetes – це проста та зрозуміла реалізація специфікації Kubernetes Network Policies. Найвизначнішою особливістю є те, що на відміну від схожих продуктів для мережної безпеки Kubernetes, воно не вимагає центральної control plane для координації сітки (mesh). Це робить рішення тривіально масштабованим. У Trireme це досягається шляхом встановлення агента на кожен вузол, який безпосередньо підключається до TCP/IP-стеку хоста.

Поширення образів та управління секретами

Grafeas

• Сайт: grafeas.io
• Ліцензія: вільна (Apache)

Grafeas – це API з відкритим вихідним кодом для аудиту та управління ланцюжком постачання ПЗ. На базовому рівні Grafeas є інструментом для збору метаданих та підсумків аудиту. Його можна використовувати для відстеження відповідності кращим практикам безпеки в організації.

Це централізоване джерело істини допомагає відповісти на запитання:

• Хто зібрав та підписав конкретний контейнер?
• Чи пройшов він усі сканери безпеки та перевірки, передбачені політикою безпеки? Коли? Якими були результати?
• Хто розгорнув його у production? Які параметри використовувалися при розгортанні?

In-toto

• Сайт: in-toto.github.io
• Ліцензія: вільна (Apache)

In-toto – це фреймворк, розроблений для забезпечення цілісності, аутентифікації та аудиту всього ланцюжка постачання програмного забезпечення. При розгортанні In-toto в інфраструктурі спочатку задається план, що описує різні кроки в пайплайні (репозиторій, інструменти CI/CD, інструменти QA, збирачі артефактів тощо) та користувачів (відповідальних осіб), яким дозволено їх ініціювати.

In-toto контролює виконання плану, перевіряючи, що кожне завдання у ланцюжку виконується належним чином виключно авторизованим персоналом і в процесі руху з продуктом не проводилися жодні несанкціоновані маніпуляції.

Portieris

• Сайт: github.com/IBM/portieris
• Ліцензія: вільна (Apache)

Portieris - це admission controller для Kubernetes; застосовується для примусових перевірок на довіру до контенту. Portieris використовує сервер Нотаріус (Ми писали про нього в кінці цієї статті - прим. перев.) як джерело істини для підтвердження довірених та підписаних артефактів (тобто схвалених контейнерних образів).

При створенні або зміні робочого навантаження в Kubernetes Portieris завантажує інформацію про підпис та політику довіри до контенту для запитаних образів контейнерів і при необхідності на льоту вносить зміни до JSON-об'єкту API для запуску підписаних версій цих образів.

склеп

• Сайт: www.vaultproject.io
• Ліцензія: вільна (MPL)

Vault - це безпечне рішення для зберігання закритої інформації: паролів, токенів OAuth, PKI-сертифікатів, облікових записів для доступу, секретів Kubernetes і т.д. Vault підтримує багато просунутих функцій, таких як оренда ефемерних токенів безпеки або організація ротації ключів.

За допомогою Helm-чарта Vault можна розгорнути як новий deployment у кластері Kubernetes з Consul'ом як backend-сховище. Він підтримує рідні ресурси Kubernetes на кшталт токенів ServiceAccount і навіть може бути сховищем секретів Kubernetes за умовчанням.

Прим. перев.: До речі, буквально вчора компанія HashiCorp, що розробляє Vault, анонсувала деякі покращення для використання Vault у Kubernetes і зокрема вони стосуються Helm-Чарту. Подробиці читайте в блозі розробника.

Аудит безпеки Kubernetes

Kube-bench

• Сайт: github.com/aquasecurity/kube-bench
• Ліцензія: вільна (Apache)

Kube-bench — додаток на Go, який перевіряє, чи безпечно розгорнуть Kubernetes, виконуючи тести зі списку CIS Kubernetes Benchmark.

Kube-bench шукає небезпечні параметри конфігурації серед компонентів кластера (etcd, API, controller manager і т.д.), сумнівні права доступу до файлів, незахищені облікові записи чи відкриті порти, квоти ресурсів, налаштування обмеження кількості звернень до API захисту від DoS-атак і т.п.

Kube-hunter

• Сайт: github.com/aquasecurity/kube-hunter
• Ліцензія: вільна (Apache)

Kube-hunter «полює» на потенційні вразливості (на зразок віддаленого виконання коду або розкриття даних) у кластерах Kubernetes. Kube-hunter можна запускати як віддалений сканер - у цьому випадку він оцінить кластер з точки зору стороннього зловмисника - або як підсередині кластера.

Відмінною особливістю Kube-hunter'а є режим «активного полювання», під час якого він не тільки повідомляє про проблеми, а й намагається скористатися вразливими, виявленими в цільовому кластері, які потенційно можуть зашкодити його роботі. Тож користуйтесь з обережністю!

Kubeaudit

• Сайт: github.com/Shopify/kubeaudit
• Ліцензія: вільна (MIT)

Kubeaudit — це консольний інструмент, спочатку розроблений в Shopify для аудиту конфігурації Kubernetes щодо наявності різних проблем у сфері безпеки. Наприклад, він допомагає виявити контейнери, які працюють без обмежень, з правами суперкористувача, які зловживають привілеями або використовують ServiceAccount за умовчанням.

Kubeaudit має й інші цікаві можливості. Наприклад, він вміє аналізувати локальні файли YAML, виявляючи недоліки в конфігурації, здатні призвести до проблем з безпекою, та автоматично виправляти їх.

Kubesec

• Сайт: kubesec.io
• Ліцензія: вільна (Apache)

Kubesec — особливий інструмент у тому сенсі, що безпосередньо сканує файли YAML з описом ресурсів Kubernetes у пошуках слабких параметрів, здатних вплинути на безпеку.

Наприклад, він може виявляти надлишкові привілеї та дозволи, надані pod'у, запуск контейнера з root'ом як користувача за умовчанням, підключення до простору імен мережі хоста або небезпечні монтування на кшталт /proc хоста або сокету Docker'а. Ще одна цікава можливість Kubesec — доступний в онлайн демо-сервіс, в який можна завантажити YAML і відразу провести його аналіз.

Відкрийте агент політики

• Сайт: www.openpolicyagent.org
• Ліцензія: вільна (Apache)

Концепція OPA (Open Policy Agent) полягає в тому, щоб відокремити політики безпеки та кращі практики в галузі безпеки від конкретної runtime-платформи: Docker, Kubernetes, Mesosphere, OpenShift або будь-якої їх комбінації.

Наприклад, можна розгорнути OPA як бекенд для admission controller'а Kubernetes, делегуючи йому безпекові рішення. Таким чином, агент OPA зможе перевіряти, відхиляти і навіть змінювати запити на льоту, забезпечуючи дотримання заданих параметрів безпеки. Політики безпеки в OPA написані його власною DSL-мовою Rego.

Прим. перев.: Детальніше про OPA (і SPIFFE) ми писали в цьому матеріалі.

Комплексні комерційні інструменти для аналізу безпеки Kubernetes

Ми вирішили завести окрему категорію для комерційних платформ, оскільки вони зазвичай охоплюють відразу кілька областей безпеки. Загальне уявлення про їхні можливості можна отримати з таблиці:

* Просунута експертиза та post mortem-аналіз з повним захопленням системних викликів.

AquaSecurity

• Сайт: www.aquasec.com
• Ліцензія: комерційна

Цей комерційний інструмент призначений для контейнерів та хмарних робочих навантажень. Він забезпечує:

• Сканування образів, інтегроване з реєстром контейнерів або CI/CD-пайплайном;
• Runtime-захист з пошуком змін у контейнерах та іншої підозрілої активності;
• Рідний для контейнерів брандмауер;
• Безпека для serverless у хмарних сервісах;
• Перевірку на відповідність вимогам та аудиту, об'єднані з журналюванням подій.

Прим. перев.: Варто також відзначити, що є і безкоштовна складова продукту під назвою MicroScannerдозволяє сканувати образи контейнерів на вразливості. Порівняння її можливостей із платними версіями представлено в цієї таблиці.

Капсула 8

• Сайт: capsule8.com
• Ліцензія: комерційна

Capsule8 інтегрується в інфраструктуру, встановлюючи детектор у локальний або хмарний кластер Kubernetes. Цей детектор збирає телеметрію хоста та мережі, зіставляючи її з різними типами атак.

Команда Capsule8 бачить своїм завданням раннє виявлення та запобігання атакам, що використовують свіжі. (0-day) вразливості. Capsule8 вміє завантажувати уточнені правила безпеки прямо на детектори у відповідь на нещодавно виявлені загрози та вразливість програмного забезпечення.

Cavirin

• Сайт: www.cavirin.com
• Ліцензія: комерційна

Cavirin виступає контрагентом на боці компанії для різних відомств, які займаються стандартами безпеки. Він не тільки може сканувати образи, але і інтегруватися в CI/CD-пайплайн, блокуючи образи, що не відповідають стандартам, до їх потрапляння в закриті репозиторії.

Пакет безпеки Cavirin використовує машинне навчання для оцінки стану кібербезпеки, пропонує поради щодо підвищення безпеки та підвищення відповідності стандартам безпеки.

Командний центр Google Cloud Security

• Сайт: cloud.google.com/security-command-center
• Ліцензія: комерційна

Cloud Security Command Center допомагає командам з безпеки збирати дані, виявляти загрози та усувати їх до того, як вони завдадуть шкоди компанії.

Як видно з назви, Google Cloud SCC — це уніфікована контрольна панель, в яку можна інтегрувати різні звіти з безпеки, механізми обліку активів та сторонні системи безпеки та керувати ними з єдиного централізованого джерела.

Інтероперабельний API, запропонований Google Cloud SCC, полегшує інтеграцію подій у сфері безпеки, що надходять з різних джерел, таких як Sysdig Secure (контейнерна безпека для cloud-native додатків) або Falco (Open Source-система безпеки runtime).

Layered Insight (Qualys)

• Сайт: layeredinsight.com
• Ліцензія: комерційна

Layered Insight (нині частина Qualys Inc) побудований на концепції «безпеки, що вбудовується». Після сканування оригінального образу на наявність уразливостей з використанням методів статистичного аналізу та здійснення перевірок CVE, Layered Insight замінює його на інструментований образ, що включає в себе агента у вигляді бінарника.

Цей агент містить тести безпеки runtime для аналізу мережевого трафіку контейнера, I/O потоків та діяльності програми. Крім того, він може здійснювати додаткові перевірки безпеки, задані адміністратором інфраструктури чи командами DevOps.

NeuVector

• Сайт: neuvector.com
• Ліцензія: комерційна

NeuVector проводить перевірку безпеки контейнера та здійснює runtime-захист шляхом аналізу мережної активності та поведінки програми, створюючи індивідуальний профіль безпеки для кожного контейнера. Він також може самостійно блокувати загрози, ізолюючи підозрілу активність за рахунок зміни правил локального firewall'а.

Мережева інтеграція NeuVector, відома як Security Mesh, здатна проводити глибокий аналіз пакетів та фільтрацію на 7-му рівні для всіх мережевих з'єднань у service mesh.

StackRox

• Сайт: www.stackrox.com
• Ліцензія: комерційна

Платформа для забезпечення безпеки контейнерів StackRox намагається охопити весь життєвий цикл Kubernetes-додатків у кластері. Як і інші комерційні платформи в цьому списку, StackRox генерує runtime-профіль на основі спостережуваної поведінки контейнера і автоматично б'є на сполох при будь-яких відхиленнях.

Крім того, StackRox аналізує конфігурації Kubernetes, використовуючи CIS Kubernetes та інші склепіння правил для оцінки відповідності контейнерів.

Sysdig Secure

• Сайт: sysdig.com/products/secure
• Ліцензія: комерційна

Sysdig Secure захищає програми протягом усього життєвого циклу контейнера та Kubernetes. Він сканує образи контейнерів, забезпечує runtime-захист за даними машинного навчання, виконує крим. експертизу для виявлення вразливостей, що блокує загрози, стежить за відповідністю встановленим стандартам та проводить аудит активності в мікросервісах.

Sysdig Secure інтегрується з інструментами CI/CD, такими як Jenkins, і контролює образи, що завантажуються з реєстрів Docker, запобігаючи появі небезпечних образів у production. Він також забезпечує всебічну runtime-безпеку, включаючи:

• runtime-профілювання на основі ML та виявлення аномалій;
• runtime-політики, засновані на системних подіях, API K8s-audit, спільних проектах спільноти (FIM — file integrity monitoring; cryptojacking) та фрейморці MITER ATT&CK;
• реагування та усунення інцидентів.

Tenable Container Security

• Сайт: www.tenable.com/products/tenable-io/container-security
• Ліцензія: комерційна

До появи контейнерів Tenable була широко відома в галузі як компанія, що розробила Nessus – популярний інструмент для пошуку вразливостей та аудиту безпеки.

Tenable Container Security використовує досвід компанії в галузі комп'ютерної безпеки для інтеграції CI/CD-пайплайну з базами вразливостей, спеціалізованими пакетами виявлення шкідливих програм та рекомендаціями щодо усунення загроз безпеки.

Twistlock (Palo Alto Networks)

• Сайт: www.twistlock.com
• Ліцензія: комерційна

Twistlock просуває себе як платформу, орієнтовану на хмарні сервіси та контейнери. Twistlock підтримує різних хмарних провайдерів (AWS, Azure, GCP), оркестратори контейнерів (Kubernetes, Mesospehere, OpenShift, Docker), serverless-середовища виконання, mesh-фреймворки та інструменти CI/CD.

Крім звичайних методів безпеки корпоративного рівня, таких як інтеграція в CI/CD-пайплайн або сканування образів, Twistlock використовує машинне навчання для генерації поведінкових патернів і мережевих правил, що враховують особливості контейнерів.

Якийсь час тому Twistlock купила компанія Palo Alto Networks, яка володіє проектами Evident.io та RedLock. Поки не відомо, як саме ці три платформи будуть інтегровані в PRISMA від Palo Alto.

Допоможіть створити кращий каталог інструментів безпеки Kubernetes!

Ми прагнемо зробити цей каталог максимально повним і для цього нам потрібна ваша допомога! Зв'яжіться з нами (@sysdig), якщо на прикметі є крутий інструмент, гідний включення до цього списку, або ви виявили помилку/застарілу інформацію.

Також ви можете передплатити нашу щомісячне розсилання з новинами екосистеми cloud-native та розповідями про цікаві проекти зі світу безпеки Kubernetes.

PS від перекладача

Читайте також у нашому блозі:

• «Введення в мережеві політики Kubernetes для фахівців з безпеки»;
• «Docker та Kubernetes у вимогливих до безпеки оточеннях»;
• «9 найкращих практик із забезпечення безпеки в Kubernetes»;
• «11 способів (не) стати жертвою злому в Kubernetes»;
• «OPA та SPIFFE — два нові проекти в CNCF для безпеки хмарних додатків».

Джерело: habr.com