33+ Kubernetes سیکیورٹی ٹولز

نوٹ. ترجمہ: اگر آپ Kubernetes پر مبنی بنیادی ڈھانچے میں سیکورٹی کے بارے میں سوچ رہے ہیں، تو Sysdig کی طرف سے یہ بہترین جائزہ موجودہ حل پر فوری نظر ڈالنے کے لیے ایک بہترین نقطہ آغاز ہے۔ اس میں معروف مارکیٹ پلیئرز کے دونوں پیچیدہ سسٹمز اور بہت زیادہ معمولی افادیتیں شامل ہیں جو کسی خاص مسئلے کو حل کرتی ہیں۔ اور تبصروں میں، ہمیشہ کی طرح، ہمیں ان ٹولز کے استعمال کے آپ کے تجربے کے بارے میں سن کر اور دوسرے پروجیکٹس کے لنکس دیکھ کر خوشی ہوگی۔

Kubernetes سیکیورٹی سافٹ ویئر پروڈکٹس... ان میں سے بہت سارے ہیں، ہر ایک اپنے اپنے مقاصد، دائرہ کار اور لائسنس کے ساتھ۔

اسی لیے ہم نے یہ فہرست بنانے کا فیصلہ کیا ہے اور اس میں اوپن سورس پروجیکٹس اور مختلف وینڈرز کے تجارتی پلیٹ فارم دونوں کو شامل کیا ہے۔ ہم امید کرتے ہیں کہ یہ آپ کو ان لوگوں کی شناخت کرنے میں مدد کرے گا جو سب سے زیادہ دلچسپی رکھتے ہیں اور آپ کی مخصوص Kubernetes سیکیورٹی ضروریات کی بنیاد پر آپ کو صحیح سمت کی طرف اشارہ کرتے ہیں۔

زمرہ جات

فہرست کو آسانی سے نیویگیٹ کرنے کے لیے، ٹولز کو مین فنکشن اور ایپلیکیشن کے ذریعے ترتیب دیا گیا ہے۔ درج ذیل حصے حاصل کیے گئے:

• Kubernetes تصویر سکیننگ اور جامد تجزیہ؛
• رن ٹائم سیکیورٹی؛
• Kubernetes نیٹ ورک سیکورٹی؛
• تصویر کی تقسیم اور راز کا انتظام؛
• Kubernetes سیکورٹی آڈٹ؛
• جامع تجارتی مصنوعات۔

اب کام کی طرف آ جائو:

کبرنیٹس کی تصاویر کو اسکین کرنا

اینکر

• : ویب سائٹ: anchore.com
• لائسنس: مفت (اپاچی) اور تجارتی پیشکش

اینکر کنٹینر کی تصاویر کا تجزیہ کرتا ہے اور صارف کی طے شدہ پالیسیوں کی بنیاد پر سیکیورٹی چیک کی اجازت دیتا ہے۔

CVE ڈیٹا بیس سے معلوم کمزوریوں کے لیے کنٹینر امیجز کی معمول کی اسکیننگ کے علاوہ، Anchore اپنی اسکیننگ پالیسی کے حصے کے طور پر بہت سے اضافی چیک کرتا ہے: Dockerfile، کریڈینشل لیکس، پروگرامنگ لینگویجز کے پیکیجز کو استعمال کیا جاتا ہے (npm، maven، وغیرہ) )، سافٹ ویئر لائسنس اور بہت کچھ۔

صاف

• : ویب سائٹ: coreos.com/clair (اب ریڈ ہیٹ کی سرپرستی میں)
• لائسنس: مفت (اپاچی)

کلیئر امیج اسکیننگ کے لیے اوپن سورس کے پہلے پروجیکٹس میں سے ایک تھا۔ یہ بڑے پیمانے پر Quay امیج رجسٹری کے پیچھے سیکیورٹی اسکینر کے طور پر جانا جاتا ہے۔ (CoreOS سے بھی - تقریبا. ترجمہ). کلیر مختلف قسم کے ذرائع سے CVE کی معلومات اکٹھا کر سکتا ہے، بشمول لینکس کی تقسیم سے متعلق مخصوص خطرات کی فہرستیں جو Debian، Red Hat، یا Ubuntu سیکیورٹی ٹیموں کے ذریعے رکھی گئی ہیں۔

اینکر کے برعکس، کلیر بنیادی طور پر کمزوریوں کو تلاش کرنے اور ڈیٹا کو CVEs سے ملانے پر مرکوز ہے۔ تاہم، پروڈکٹ صارفین کو پلگ ان ڈرائیورز کا استعمال کرتے ہوئے افعال کو بڑھانے کے لیے کچھ مواقع فراہم کرتا ہے۔

ڈگڈا

• : ویب سائٹ: github.com/eliasgranderubio/dagda
• لائسنس: مفت (اپاچی)

ڈگڈا معروف کمزوریوں، ٹروجن، وائرس، مالویئر اور دیگر خطرات کے لیے کنٹینر کی تصاویر کا جامد تجزیہ کرتا ہے۔

دو قابل ذکر خصوصیات ڈگڈا کو دوسرے اسی طرح کے ٹولز سے ممتاز کرتی ہیں:

• اس کے ساتھ بالکل ضم ہوجاتا ہے۔ کلاموی، نہ صرف کنٹینر کی تصاویر کو اسکین کرنے کے ایک ٹول کے طور پر کام کرتا ہے، بلکہ ایک اینٹی وائرس کے طور پر بھی۔
• ڈوکر ڈیمون سے ریئل ٹائم ایونٹس حاصل کرکے اور فالکو کے ساتھ ضم کرکے رن ٹائم تحفظ بھی فراہم کرتا ہے۔ (ذیل میں دیکھیں) کنٹینر کے چلنے کے دوران حفاظتی واقعات کو جمع کرنے کے لیے۔

کیوب ایکسرے

• : ویب سائٹ: github.com/jfrog/kubexray
• لائسنس: مفت (اپاچی)، لیکن JFrog Xray (تجارتی مصنوعات) سے ڈیٹا درکار ہے۔

KubeXray Kubernetes API سرور سے ایونٹس کو سنتا ہے اور JFrog Xray سے میٹا ڈیٹا استعمال کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ صرف موجودہ پالیسی سے مماثل پوڈز لانچ کیے جائیں۔

KubeXray نہ صرف تعیناتیوں میں نئے یا اپ ڈیٹ شدہ کنٹینرز کا آڈٹ کرتا ہے (Kubernetes میں داخلہ کنٹرولر کی طرح)، بلکہ نئی سیکیورٹی پالیسیوں کی تعمیل کے لیے متحرک طور پر چلنے والے کنٹینرز کو بھی چیک کرتا ہے، ایسے وسائل کو ہٹاتا ہے جو کمزور تصاویر کا حوالہ دیتے ہیں۔

سنک

• : ویب سائٹ: snyk.io
• لائسنس: مفت (اپاچی) اور تجارتی ورژن

Snyk ایک غیر معمولی کمزوری اسکینر ہے جس میں یہ خاص طور پر ترقی کے عمل کو نشانہ بناتا ہے اور اسے ڈویلپرز کے لیے "ضروری حل" کے طور پر فروغ دیا جاتا ہے۔

Snyk براہ راست کوڈ ریپوزٹریز سے جوڑتا ہے، پروجیکٹ مینی فیسٹ کو پارس کرتا ہے اور براہ راست اور بالواسطہ انحصار کے ساتھ درآمد شدہ کوڈ کا تجزیہ کرتا ہے۔ Snyk بہت سی مشہور پروگرامنگ زبانوں کی حمایت کرتا ہے اور چھپے ہوئے لائسنس کے خطرات کی نشاندہی کر سکتا ہے۔

ٹریوی

• : ویب سائٹ: github.com/knqyf263/trivy
• لائسنس: مفت (AGPL)

ٹریوی کنٹینرز کے لیے ایک سادہ لیکن طاقتور کمزوری کا سکینر ہے جو آسانی سے CI/CD پائپ لائن میں ضم ہو جاتا ہے۔ اس کی نمایاں خصوصیت اس کی تنصیب اور آپریشن میں آسانی ہے: ایپلی کیشن ایک ہی بائنری پر مشتمل ہے اور اسے ڈیٹا بیس یا اضافی لائبریریوں کی تنصیب کی ضرورت نہیں ہے۔

Trivy کی سادگی کا منفی پہلو یہ ہے کہ آپ کو JSON فارمیٹ میں نتائج کو پارس اور فارورڈ کرنے کا طریقہ معلوم کرنا ہوگا تاکہ دوسرے Kubernetes سیکیورٹی ٹولز انہیں استعمال کرسکیں۔

Kubernetes میں رن ٹائم سیکیورٹی

Falco کی

• : ویب سائٹ: falco.org
• لائسنس: مفت (اپاچی)

Falco کلاؤڈ رن ٹائم ماحول کو محفوظ بنانے کے لیے ٹولز کا ایک سیٹ ہے۔ پروجیکٹ فیملی کا حصہ سی این سی ایف.

Sysdig کی لینکس کرنل لیول ٹولنگ اور سسٹم کال پروفائلنگ کا استعمال کرتے ہوئے، Falco آپ کو سسٹم کے رویے میں گہرائی تک جانے کی اجازت دیتا ہے۔ اس کا رن ٹائم رولز انجن ایپلی کیشنز، کنٹینرز، بنیادی میزبان، اور Kubernetes آرکیسٹریٹر میں مشکوک سرگرمی کا پتہ لگانے کے قابل ہے۔

Falco ان مقاصد کے لیے Kubernetes نوڈس پر خصوصی ایجنٹوں کو تعینات کر کے رن ٹائم اور خطرے کا پتہ لگانے میں مکمل شفافیت فراہم کرتا ہے۔ نتیجے کے طور پر، کنٹینرز میں تھرڈ پارٹی کوڈ متعارف کروا کر یا سائڈ کار کنٹینرز کو شامل کرکے ان میں ترمیم کرنے کی ضرورت نہیں ہے۔

رن ٹائم کے لیے لینکس سیکیورٹی فریم ورک

لینکس کرنل کے لیے یہ مقامی فریم ورک روایتی معنوں میں "Kubernetes سیکیورٹی ٹولز" نہیں ہیں، لیکن یہ قابل ذکر ہیں کیونکہ یہ رن ٹائم سیکیورٹی کے تناظر میں ایک اہم عنصر ہیں، جو Kubernetes Pod سیکیورٹی پالیسی (PSP) میں شامل ہے۔

AppArmor کنٹینر میں چلنے والے پروسیسز، فائل سسٹم کے مراعات کی وضاحت، نیٹ ورک تک رسائی کے قوانین، لائبریریوں کو جوڑنے وغیرہ کے لیے سیکیورٹی پروفائل منسلک کرتا ہے۔ یہ لازمی رسائی کنٹرول (MAC) پر مبنی ایک نظام ہے۔ دوسرے الفاظ میں، یہ ممنوعہ اعمال کو انجام دینے سے روکتا ہے۔

سیکورٹی سے بہتر لینکس (SELINUX) لینکس کرنل میں ایک اعلی درجے کا سیکیورٹی ماڈیول ہے، جو کچھ پہلوؤں میں AppArmor سے ملتا جلتا ہے اور اکثر اس کا موازنہ کیا جاتا ہے۔ SELinux طاقت، لچک اور حسب ضرورت میں AppArmor سے برتر ہے۔ اس کے نقصانات طویل سیکھنے کا منحنی خطوط اور بڑھتی ہوئی پیچیدگی ہیں۔

Seccomp اور seccomp-bpf آپ کو سسٹم کالز کو فلٹر کرنے، ان لوگوں کے عمل کو روکنے کی اجازت دیتا ہے جو بنیادی OS کے لیے ممکنہ طور پر خطرناک ہیں اور صارف کی ایپلی کیشنز کے نارمل آپریشن کے لیے ضروری نہیں ہیں۔ Seccomp کچھ طریقوں سے Falco کی طرح ہے، حالانکہ یہ کنٹینرز کی تفصیلات نہیں جانتا ہے۔

Sysdig اوپن سورس

• : ویب سائٹ: www.sysdig.com/opensource
• لائسنس: مفت (اپاچی)

Sysdig لینکس سسٹمز کا تجزیہ، تشخیص اور ڈیبگ کرنے کا ایک مکمل ٹول ہے (ونڈوز اور میک او ایس پر بھی کام کرتا ہے، لیکن محدود فنکشنز کے ساتھ)۔ اسے تفصیلی معلومات اکٹھا کرنے، تصدیق اور فرانزک تجزیہ کے لیے استعمال کیا جا سکتا ہے۔ (فارنزکس) بیس سسٹم اور اس پر چلنے والے کنٹینرز۔

Sysdig مقامی طور پر کنٹینر رن ٹائمز اور Kubernetes میٹا ڈیٹا کو بھی سپورٹ کرتا ہے، جس سے سسٹم کے رویے کی تمام معلومات میں اضافی ڈائمینشنز اور لیبلز شامل کیے جاتے ہیں جو یہ جمع کرتا ہے۔ Sysdig کا استعمال کرتے ہوئے Kubernetes کلسٹر کا تجزیہ کرنے کے کئی طریقے ہیں: آپ اس کے ذریعے پوائنٹ ان ٹائم کیپچر کر سکتے ہیں۔ kubectl قبضہ یا پلگ ان کا استعمال کرتے ہوئے ncurses پر مبنی انٹرایکٹو انٹرفیس لانچ کریں۔ kubectl dig.

Kubernetes نیٹ ورک سیکورٹی

Aporeto

• : ویب سائٹ: www.aporeto.com
• لائسنس: تجارتی

Aporeto "نیٹ ورک اور انفراسٹرکچر سے الگ سیکورٹی" پیش کرتا ہے۔ اس کا مطلب یہ ہے کہ Kubernetes سروسز نہ صرف ایک مقامی ID (یعنی Kubernetes میں ServiceAccount) حاصل کرتی ہیں، بلکہ ایک یونیورسل ID/فنگر پرنٹ بھی حاصل کرتی ہے جسے کسی بھی دوسری سروس کے ساتھ محفوظ اور باہمی طور پر بات چیت کرنے کے لیے استعمال کیا جا سکتا ہے، مثال کے طور پر OpenShift کلسٹر میں۔

Aporeto نہ صرف Kubernetes/کنٹینرز کے لیے بلکہ میزبانوں، کلاؤڈ فنکشنز اور صارفین کے لیے بھی ایک منفرد ID تیار کرنے کی صلاحیت رکھتا ہے۔ ان شناخت کنندگان اور ایڈمنسٹریٹر کے ذریعہ سیٹ کردہ نیٹ ورک سیکورٹی کے اصولوں کے سیٹ پر منحصر ہے، مواصلات کی اجازت دی جائے گی یا بلاک کر دی جائے گی۔

کیلیکو۔

• : ویب سائٹ: www.projectcalico.org
• لائسنس: مفت (اپاچی)

کیلیکو کو عام طور پر کنٹینر آرکیسٹریٹر کی تنصیب کے دوران تعینات کیا جاتا ہے، جو آپ کو ایک ایسا ورچوئل نیٹ ورک بنانے کی اجازت دیتا ہے جو کنٹینرز کو آپس میں جوڑتا ہے۔ نیٹ ورک کی اس بنیادی فعالیت کے علاوہ، Calico پروجیکٹ Kubernetes نیٹ ورک کی پالیسیوں اور نیٹ ورک سیکیورٹی پروفائلز کے اپنے سیٹ کے ساتھ کام کرتا ہے، Engress اور Egress ٹریفک کے لیے اینڈ پوائنٹ ACLs (ایکسیس کنٹرول لسٹ) اور تشریح پر مبنی نیٹ ورک سیکیورٹی کے قوانین کو سپورٹ کرتا ہے۔

سیلیم

• : ویب سائٹ: www.cilium.io
• لائسنس: مفت (اپاچی)

Cilium کنٹینرز کے لیے فائر وال کے طور پر کام کرتا ہے اور نیٹ ورک کی حفاظتی خصوصیات فراہم کرتا ہے جو مقامی طور پر Kubernetes اور مائیکرو سروسز کے کام کے بوجھ کے لیے تیار کیے گئے ہیں۔ Cilium ڈیٹا کو فلٹر، مانیٹر، ری ڈائریکٹ اور درست کرنے کے لیے BPF (برکلے پیکٹ فلٹر) نامی نئی لینکس کرنل ٹیکنالوجی کا استعمال کرتا ہے۔

Cilium Docker یا Kubernetes لیبلز اور میٹا ڈیٹا کا استعمال کرتے ہوئے کنٹینر IDs پر مبنی نیٹ ورک تک رسائی کی پالیسیوں کو تعینات کرنے کے قابل ہے۔ Cilium مختلف Layer 7 پروٹوکولز کو بھی سمجھتا اور فلٹر کرتا ہے جیسے HTTP یا gRPC، آپ کو REST کالوں کے ایک سیٹ کی وضاحت کرنے کی اجازت دیتا ہے جس کی اجازت دو Kubernetes کی تعیناتیوں کے درمیان ہو گی، مثال کے طور پر۔

Istio

• : ویب سائٹ: istio.io
• لائسنس: مفت (اپاچی)

Istio وسیع پیمانے پر ایک پلیٹ فارم سے آزاد کنٹرول طیارہ کی تعیناتی اور متحرک طور پر قابل ترتیب ایلچی پراکسیز کے ذریعے تمام منظم سروس ٹریفک کو روٹ کر کے سروس میش پیراڈائم کو نافذ کرنے کے لیے جانا جاتا ہے۔ Istio تمام مائیکرو سروسز اور کنٹینرز کے اس جدید ترین نقطہ نظر سے فائدہ اٹھاتا ہے تاکہ نیٹ ورک کی مختلف حفاظتی حکمت عملیوں کو نافذ کیا جا سکے۔

Istio کی نیٹ ورک سیکیورٹی کی صلاحیتوں میں مائیکرو سروسز کے درمیان مواصلات کو HTTPS میں خود بخود اپ گریڈ کرنے کے لیے شفاف TLS انکرپشن، اور کلسٹر میں مختلف کام کے بوجھ کے درمیان مواصلت کی اجازت دینے/انکار کرنے کے لیے ایک ملکیتی RBAC شناخت اور اجازت کا نظام شامل ہے۔

نوٹ. ترجمہ: Istio کی سیکورٹی پر مرکوز صلاحیتوں کے بارے میں مزید جاننے کے لیے، پڑھیں یہ مضمون.

ٹائیگرا۔

• : ویب سائٹ: www.tigera.io
• لائسنس: تجارتی

"Kubernetes Firewall" کہلاتا ہے، یہ حل نیٹ ورک سیکیورٹی کے لیے صفر اعتماد کے نقطہ نظر پر زور دیتا ہے۔

دیگر مقامی Kubernetes نیٹ ورکنگ سلوشنز کی طرح، Tigera کلسٹر میں مختلف سروسز اور اشیاء کی شناخت کے لیے میٹا ڈیٹا پر انحصار کرتا ہے اور رن ٹائم ایشو کا پتہ لگانے، مسلسل تعمیل کی جانچ، اور ملٹی کلاؤڈ یا ہائبرڈ یک سنگی کنٹینرائزڈ انفراسٹرکچر کے لیے نیٹ ورک کی مرئیت فراہم کرتا ہے۔

ٹریریم

• : ویب سائٹ: www.aporeto.com/opensource
• لائسنس: مفت (اپاچی)

Trireme-Kubernetes Kubernetes نیٹ ورک پالیسیوں کی تفصیلات کا ایک سادہ اور سیدھا عمل ہے۔ سب سے زیادہ قابل ذکر خصوصیت یہ ہے کہ - اسی طرح کے Kubernetes نیٹ ورک سیکیورٹی مصنوعات کے برعکس - اسے میش کو مربوط کرنے کے لیے مرکزی کنٹرول طیارے کی ضرورت نہیں ہوتی ہے۔ یہ حل کو معمولی طور پر توسیع پذیر بنا دیتا ہے۔ Trireme میں، یہ ہر نوڈ پر ایک ایجنٹ کو انسٹال کرکے حاصل کیا جاتا ہے جو براہ راست میزبان کے TCP/IP اسٹیک سے جڑتا ہے۔

تصویری تبلیغ اور راز کا انتظام

گرافیاس

• : ویب سائٹ: grafeas.io
• لائسنس: مفت (اپاچی)

Grafeas سافٹ ویئر سپلائی چین آڈیٹنگ اور مینجمنٹ کے لیے ایک اوپن سورس API ہے۔ بنیادی سطح پر، Grafeas میٹا ڈیٹا اور آڈٹ کے نتائج کو جمع کرنے کا ایک ٹول ہے۔ اس کا استعمال کسی تنظیم کے اندر سیکیورٹی کے بہترین طریقوں کی تعمیل کو ٹریک کرنے کے لیے کیا جا سکتا ہے۔

سچائی کا یہ مرکزی ذریعہ سوالات کے جواب دینے میں مدد کرتا ہے جیسے:

• ایک مخصوص کنٹینر کے لیے کس نے جمع کیا اور دستخط کیے؟
• کیا اس نے سیکیورٹی پالیسی کے لیے درکار تمام سیکیورٹی اسکینز اور چیکس کو پاس کرلیا ہے؟ کب؟ نتائج کیا تھے؟
• کس نے اسے پروڈکشن میں لگایا؟ تعیناتی کے دوران کون سے مخصوص پیرامیٹرز استعمال کیے گئے؟

مکمل طور پر

• : ویب سائٹ: in-toto.github.io
• لائسنس: مفت (اپاچی)

In-toto ایک فریم ورک ہے جو پورے سافٹ ویئر سپلائی چین کی سالمیت، تصدیق اور آڈیٹنگ فراہم کرنے کے لیے بنایا گیا ہے۔ انفراسٹرکچر میں ان ٹوٹو کو تعینات کرتے وقت، سب سے پہلے ایک پلان کی وضاحت کی جاتی ہے جو پائپ لائن کے مختلف مراحل (ریپوزٹری، سی آئی/سی ڈی ٹولز، کیو اے ٹولز، آرٹفیکٹ جمع کرنے والے وغیرہ) اور صارفین (ذمہ دار افراد) کو بیان کرتا ہے جن کی اجازت ہے۔ ان کو شروع کریں.

ان ٹوٹو پلان پر عمل درآمد کی نگرانی کرتا ہے، اس بات کی تصدیق کرتا ہے کہ سلسلہ میں ہر کام کو صرف مجاز اہلکاروں کے ذریعے ٹھیک طریقے سے انجام دیا گیا ہے اور یہ کہ نقل و حرکت کے دوران پروڈکٹ کے ساتھ کوئی غیر مجاز ہیرا پھیری نہیں کی گئی ہے۔

پورٹیریز

• : ویب سائٹ: github.com/IBM/portieris
• لائسنس: مفت (اپاچی)

Portieris Kubernetes کے لیے داخلہ کنٹرولر ہے۔ مواد کے اعتماد کی جانچ کو نافذ کرنے کے لیے استعمال کیا جاتا ہے۔ Portieris ایک سرور کا استعمال کرتا ہے نوٹری (ہم نے آخر میں اس کے بارے میں لکھا اس مضمون کا - تقریبا. ترجمہ) معتبر اور دستخط شدہ نمونے (یعنی منظور شدہ کنٹینر امیجز) کی توثیق کرنے کے لیے سچائی کے ذریعہ کے طور پر۔

جب Kubernetes میں کام کا بوجھ بنتا ہے یا اس میں ترمیم کی جاتی ہے، تو Portieris درخواست کردہ کنٹینر امیجز کے لیے دستخطی معلومات اور مواد کے اعتماد کی پالیسی کو ڈاؤن لوڈ کرتا ہے اور اگر ضروری ہو تو، JSON API آبجیکٹ میں ان تصاویر کے دستخط شدہ ورژن چلانے کے لیے آن دی فلائی تبدیلیاں کرتا ہے۔

والٹ

• : ویب سائٹ: www.vaultproject.io
• لائسنس: مفت (MPL)

Vault نجی معلومات کو ذخیرہ کرنے کا ایک محفوظ حل ہے: پاس ورڈز، OAuth ٹوکنز، PKI سرٹیفیکیٹس، اکاؤنٹس تک رسائی، Kubernetes راز وغیرہ۔ والٹ بہت ساری جدید خصوصیات کو سپورٹ کرتا ہے، جیسے عارضی سیکیورٹی ٹوکنز کو لیز پر دینا یا کلیدی گردش کو منظم کرنا۔

ہیلم چارٹ کا استعمال کرتے ہوئے، Vault کو ایک نئی تعیناتی کے طور پر ایک Kubernetes کلسٹر میں تعینات کیا جا سکتا ہے جس میں Consul بیک اینڈ اسٹوریج کے طور پر ہے۔ یہ Kubernetes کے مقامی وسائل جیسے ServiceAccount ٹوکنز کو سپورٹ کرتا ہے اور یہاں تک کہ Kubernetes کے رازوں کے لیے ڈیفالٹ اسٹور کے طور پر کام کر سکتا ہے۔

نوٹ. ترجمہ: ویسے، کل ہی کمپنی HashiCorp، جو Vault تیار کرتی ہے، نے Kubernetes میں Vault کے استعمال کے لیے کچھ بہتری کا اعلان کیا، اور خاص طور پر وہ Helm چارٹ سے متعلق ہیں۔ میں مزید پڑھیں بلاگ تیار کریں.

Kubernetes سیکورٹی آڈٹ

کیوب بینچ

• : ویب سائٹ: github.com/aquasecurity/kube-bench
• لائسنس: مفت (اپاچی)

کیوب بینچ ایک گو ایپلی کیشن ہے جو چیک کرتی ہے کہ آیا کسی فہرست سے ٹیسٹ چلا کر کبرنیٹس کو محفوظ طریقے سے تعینات کیا گیا ہے۔ CIS Kubernetes بینچ مارک.

کیوب بینچ کلسٹر اجزاء (etcd، API، کنٹرولر مینیجر، وغیرہ)، قابل اعتراض فائل تک رسائی کے حقوق، غیر محفوظ اکاؤنٹس یا کھلی بندرگاہوں، وسائل کے کوٹے، DoS حملوں سے بچانے کے لیے API کالز کی تعداد کو محدود کرنے کی ترتیبات کے درمیان غیر محفوظ کنفیگریشن سیٹنگز تلاش کرتا ہے۔ وغیرہ

کوبی شکاری ۔

• : ویب سائٹ: github.com/aquasecurity/kube-hunter
• لائسنس: مفت (اپاچی)

Kube-Hunter Kubernetes کلسٹرز میں ممکنہ کمزوریوں (جیسے ریموٹ کوڈ پر عمل درآمد یا ڈیٹا کا انکشاف) کا شکار کرتا ہے۔ کیوب ہنٹر کو ریموٹ سکینر کے طور پر چلایا جا سکتا ہے - ایسی صورت میں یہ کسی تیسرے فریق کے حملہ آور کے نقطہ نظر سے کلسٹر کا جائزہ لے گا - یا کلسٹر کے اندر ایک پوڈ کے طور پر۔

کیوب ہنٹر کی ایک مخصوص خصوصیت اس کا "فعال شکار" موڈ ہے، جس کے دوران یہ نہ صرف مسائل کی اطلاع دیتا ہے، بلکہ ٹارگٹ کلسٹر میں دریافت ہونے والی کمزوریوں سے فائدہ اٹھانے کی کوشش کرتا ہے جو ممکنہ طور پر اس کے آپریشن کو نقصان پہنچا سکتی ہیں۔ تو احتیاط کے ساتھ استعمال کریں!

کیوبیوڈیٹ

• : ویب سائٹ: github.com/Shopify/kubeaudit
• لائسنس: مفت (MIT)

Kubeaudit ایک کنسول ٹول ہے جو اصل میں Shopify پر مختلف سیکیورٹی مسائل کے لیے Kubernetes کنفیگریشن کا آڈٹ کرنے کے لیے تیار کیا گیا ہے۔ مثال کے طور پر، یہ کنٹینرز کی شناخت میں مدد کرتا ہے جو غیر محدود چل رہے ہیں، جڑ کے طور پر چل رہے ہیں، مراعات کا غلط استعمال کرتے ہوئے، یا پہلے سے طے شدہ ServiceAccount کو استعمال کر رہے ہیں۔

Kubeaudit میں دیگر دلچسپ خصوصیات ہیں۔ مثال کے طور پر، یہ مقامی YAML فائلوں کا تجزیہ کر سکتا ہے، کنفیگریشن کی خامیوں کی نشاندہی کر سکتا ہے جو سیکورٹی کے مسائل کا باعث بن سکتے ہیں، اور خود بخود انہیں ٹھیک کر سکتے ہیں۔

کیوبسیک

• : ویب سائٹ: kubesec.io
• لائسنس: مفت (اپاچی)

Kubesec ایک خاص ٹول ہے جس میں یہ براہ راست YAML فائلوں کو اسکین کرتا ہے جو Kubernetes وسائل کو بیان کرتی ہیں، کمزور پیرامیٹرز کی تلاش میں جو سیکورٹی کو متاثر کر سکتی ہیں۔

مثال کے طور پر، یہ پوڈ کو دی گئی ضرورت سے زیادہ مراعات اور اجازتوں کا پتہ لگا سکتا ہے، ایک کنٹینر کو روٹ کے ساتھ پہلے سے طے شدہ صارف کے طور پر چلانا، میزبان کے نیٹ ورک کے نام کی جگہ سے جڑنا، یا خطرناک پہاڑ جیسے /proc میزبان یا ڈوکر ساکٹ۔ Kubesec کی ایک اور دلچسپ خصوصیت آن لائن دستیاب ڈیمو سروس ہے، جس میں آپ YAML اپ لوڈ کر کے فوری طور پر اس کا تجزیہ کر سکتے ہیں۔

پالیسی ایجنٹ کھولیں۔

• : ویب سائٹ: www.openpolicyagent.org
• لائسنس: مفت (اپاچی)

OPA (اوپن پالیسی ایجنٹ) کا تصور ایک مخصوص رن ٹائم پلیٹ فارم سے سیکیورٹی کی پالیسیوں اور سیکیورٹی کے بہترین طریقوں کو ڈیکپل کرنا ہے: Docker، Kubernetes، Mesosphere، OpenShift، یا اس کے کسی بھی مرکب سے۔

مثال کے طور پر، آپ OPA کو Kubernetes ایڈمشن کنٹرولر کے لیے بیک اینڈ کے طور پر تعینات کر سکتے ہیں، اور اس کو سیکیورٹی کے فیصلے سونپ سکتے ہیں۔ اس طرح، OPA ایجنٹ پرواز پر درخواستوں کی توثیق، مسترد، اور یہاں تک کہ ترمیم کر سکتا ہے، اس بات کو یقینی بناتے ہوئے کہ مخصوص حفاظتی پیرامیٹرز پورے کیے گئے ہیں۔ OPA کی سیکیورٹی پالیسیاں اس کی ملکیتی DSL زبان ریگو میں لکھی جاتی ہیں۔

نوٹ. ترجمہ: ہم نے OPA (اور SPIFFE) کے بارے میں مزید لکھا اس مواد.

Kubernetes سیکیورٹی تجزیہ کے لیے جامع تجارتی ٹولز

ہم نے تجارتی پلیٹ فارمز کے لیے ایک الگ زمرہ بنانے کا فیصلہ کیا کیونکہ وہ عام طور پر متعدد حفاظتی علاقوں کا احاطہ کرتے ہیں۔ ان کی صلاحیتوں کا ایک عمومی خیال ٹیبل سے حاصل کیا جا سکتا ہے:

* اعلی درجے کی جانچ اور پوسٹ مارٹم کا مکمل تجزیہ سسٹم کال ہائی جیکنگ.

ایکوا سیکیورٹی

• : ویب سائٹ: www.aquasec.com
• لائسنس: تجارتی

یہ تجارتی ٹول کنٹینرز اور کلاؤڈ ورک بوجھ کے لیے ڈیزائن کیا گیا ہے۔ یہ دیتا یے:

• تصویری اسکیننگ کنٹینر رجسٹری یا CI/CD پائپ لائن کے ساتھ مربوط ہے۔
• کنٹینرز میں تبدیلیوں اور دیگر مشکوک سرگرمیوں کی تلاش کے ساتھ رن ٹائم تحفظ؛
• کنٹینر-آبائی فائر وال؛
• کلاؤڈ سروسز میں سرور کے بغیر سیکیورٹی؛
• تعمیل کی جانچ اور آڈیٹنگ ایونٹ لاگنگ کے ساتھ مل کر۔

نوٹ. ترجمہ: یہ بھی قابل غور ہے کہ وہاں موجود ہیں۔ کہا جاتا ہے مصنوعات کے مفت جزو مائیکرو سکینر، جو آپ کو کمزوریوں کے لیے کنٹینر کی تصاویر کو اسکین کرنے کی اجازت دیتا ہے۔ ادا شدہ ورژن کے ساتھ اس کی صلاحیتوں کا موازنہ پیش کیا گیا ہے۔ یہ میز.

کیپسول 8

• : ویب سائٹ: capsule8.com
• لائسنس: تجارتی

کیپسول 8 مقامی یا کلاؤڈ Kubernetes کلسٹر پر ڈیٹیکٹر انسٹال کرکے انفراسٹرکچر میں ضم ہوجاتا ہے۔ یہ ڈٹیکٹر میزبان اور نیٹ ورک ٹیلی میٹری کو جمع کرتا ہے، اسے مختلف قسم کے حملوں سے جوڑتا ہے۔

کیپسول 8 ٹیم اپنے کام کو نئے استعمال کرتے ہوئے حملوں کی جلد پتہ لگانے اور روک تھام کے طور پر دیکھتی ہے۔ (0 دن) کمزوریاں کیپسول 8 نئے دریافت ہونے والے خطرات اور سافٹ ویئر کی کمزوریوں کے جواب میں تازہ ترین حفاظتی قواعد کو براہ راست ڈیٹیکٹر پر ڈاؤن لوڈ کر سکتا ہے۔

Cavirin

• : ویب سائٹ: www.cavirin.com
• لائسنس: تجارتی

Cavirin حفاظتی معیارات میں شامل مختلف ایجنسیوں کے لیے کمپنی کی طرف سے ٹھیکیدار کے طور پر کام کرتا ہے۔ یہ نہ صرف امیجز کو اسکین کر سکتا ہے، بلکہ یہ CI/CD پائپ لائن میں بھی ضم ہو سکتا ہے، غیر معیاری امیجز کو بند ریپوزٹریوں میں داخل ہونے سے پہلے روکتا ہے۔

Cavirin کا ​​سیکیورٹی سوٹ آپ کی سائبر سیکیورٹی پوزیشن کا اندازہ لگانے کے لیے مشین لرننگ کا استعمال کرتا ہے، سیکیورٹی کو بہتر بنانے اور سیکیورٹی کے معیارات کی تعمیل کو بہتر بنانے کے لیے تجاویز پیش کرتا ہے۔

گوگل کلاؤڈ سیکیورٹی کمانڈ سینٹر

• : ویب سائٹ: cloud.google.com/security-command-center
• لائسنس: تجارتی

کلاؤڈ سیکیورٹی کمانڈ سینٹر سیکیورٹی ٹیموں کو ڈیٹا اکٹھا کرنے، خطرات کی نشاندہی کرنے اور کمپنی کو نقصان پہنچانے سے پہلے انہیں ختم کرنے میں مدد کرتا ہے۔

جیسا کہ نام سے پتہ چلتا ہے، Google Cloud SCC ایک متحد کنٹرول پینل ہے جو ایک واحد، مرکزی ذریعہ سے مختلف قسم کی سیکیورٹی رپورٹس، اثاثہ اکاؤنٹنگ انجن، اور فریق ثالث سیکیورٹی سسٹمز کو مربوط اور منظم کرسکتا ہے۔

Google Cloud SCC کی طرف سے پیش کردہ انٹرآپریبل API مختلف ذرائع سے آنے والے سیکورٹی ایونٹس کو ضم کرنا آسان بناتا ہے، جیسے Sysdig Secure (کلاؤڈ مقامی ایپلیکیشنز کے لیے کنٹینر سیکیورٹی) یا Falco (اوپن سورس رن ٹائم سیکیورٹی)۔

تہہ دار بصیرت (Qualys)

• : ویب سائٹ: layeredinsight.com
• لائسنس: تجارتی

پرتوں والی بصیرت (اب Qualys Inc کا حصہ) "ایمبیڈڈ سیکیورٹی" کے تصور پر بنائی گئی ہے۔ اعداد و شمار کے تجزیے اور CVE چیکس کا استعمال کرتے ہوئے کمزوریوں کے لیے اصل تصویر کو اسکین کرنے کے بعد، پرتوں والی بصیرت اس کو ایک انسٹرومینٹڈ امیج سے بدل دیتی ہے جس میں ایجنٹ بطور بائنری شامل ہوتا ہے۔

یہ ایجنٹ کنٹینر نیٹ ورک ٹریفک، I/O بہاؤ اور ایپلیکیشن کی سرگرمی کا تجزیہ کرنے کے لیے رن ٹائم سیکیورٹی ٹیسٹ پر مشتمل ہے۔ اس کے علاوہ، یہ انفراسٹرکچر ایڈمنسٹریٹر یا DevOps ٹیموں کی طرف سے متعین اضافی سیکیورٹی چیکس بھی انجام دے سکتا ہے۔

نیو ویکٹر

• : ویب سائٹ: neuvector.com
• لائسنس: تجارتی

نیو ویکٹر کنٹینر کی سیکیورٹی کو چیک کرتا ہے اور نیٹ ورک کی سرگرمی اور ایپلیکیشن کے رویے کا تجزیہ کرکے، ہر کنٹینر کے لیے ایک انفرادی سیکیورٹی پروفائل بنا کر رن ٹائم تحفظ فراہم کرتا ہے۔ یہ مقامی فائر وال کے قوانین کو تبدیل کرکے مشتبہ سرگرمی کو الگ تھلگ کرتے ہوئے اپنے طور پر خطرات کو بھی روک سکتا ہے۔

NeuVector کا نیٹ ورک انٹیگریشن، جسے سیکیورٹی میش کے نام سے جانا جاتا ہے، سروس میش میں تمام نیٹ ورک کنکشنز کے لیے گہرے پیکٹ تجزیہ اور پرت 7 فلٹرنگ کے قابل ہے۔

اسٹیکروکس

• : ویب سائٹ: www.stackrox.com
• لائسنس: تجارتی

StackRox کنٹینر سیکیورٹی پلیٹ فارم Kubernetes ایپلی کیشنز کے پورے لائف سائیکل کو کلسٹر میں کور کرنے کی کوشش کرتا ہے۔ اس فہرست میں دیگر تجارتی پلیٹ فارمز کی طرح، StackRox مشاہدہ کنٹینر کے رویے کی بنیاد پر رن ​​ٹائم پروفائل تیار کرتا ہے اور خود بخود کسی بھی انحراف کے لیے خطرے کی گھنٹی بجا دیتا ہے۔

مزید برآں، StackRox کنٹینر کی تعمیل کا جائزہ لینے کے لیے Kubernetes CIS اور دیگر اصولی کتابوں کا استعمال کرتے ہوئے Kubernetes کنفیگریشنز کا تجزیہ کرتا ہے۔

سیسڈیگ سیکیور

• : ویب سائٹ: sysdig.com/products/secure
• لائسنس: تجارتی

Sysdig Secure پورے کنٹینر اور Kubernetes لائف سائیکل میں ایپلی کیشنز کی حفاظت کرتا ہے۔ وہ تصاویر اسکین کرتا ہے۔ کنٹینرز، فراہم کرتا ہے رن ٹائم تحفظ مشین سیکھنے کے اعداد و شمار کے مطابق، کریم کرتا ہے. کمزوریوں کی نشاندہی کرنے، خطرات کو روکنے، مانیٹر کرنے کی مہارت قائم کردہ معیارات کی تعمیل اور مائیکرو سروسز میں سرگرمی کا آڈٹ کرتا ہے۔

Sysdig Secure CI/CD ٹولز جیسے جینکنز کے ساتھ ضم ہوتا ہے اور Docker رجسٹریوں سے بھری ہوئی تصاویر کو کنٹرول کرتا ہے، خطرناک تصاویر کو پروڈکشن میں ظاہر ہونے سے روکتا ہے۔ یہ جامع رن ٹائم سیکیورٹی بھی فراہم کرتا ہے، بشمول:

• ایم ایل پر مبنی رن ٹائم پروفائلنگ اور بے ضابطگی کا پتہ لگانا؛
• سسٹم ایونٹس، K8s-audit API، مشترکہ کمیونٹی پروجیکٹس (FIM - فائل انٹیگریٹی مانیٹرنگ؛ کرپٹو جیکنگ) اور فریم ورک پر مبنی رن ٹائم پالیسیاں میٹر اے ٹی ٹی اینڈ سی کے;
• ردعمل اور واقعات کا حل۔

ٹین ایبل کنٹینر سیکیورٹی

• : ویب سائٹ: www.tenable.com/products/tenable-io/container-security
• لائسنس: تجارتی

کنٹینرز کی آمد سے پہلے، Tenable کو صنعت میں بڑے پیمانے پر Nessus کے پیچھے ایک کمپنی کے طور پر جانا جاتا تھا، جو ایک مقبول خطرے کے شکار اور سیکیورٹی آڈیٹنگ ٹول ہے۔

ٹین ایبل کنٹینر سیکیورٹی کمپنی کی کمپیوٹر سیکیورٹی کی مہارت کا فائدہ اٹھاتی ہے تاکہ ایک CI/CD پائپ لائن کو کمزوری کے ڈیٹا بیسز، خصوصی میلویئر کا پتہ لگانے کے پیکجز، اور حفاظتی خطرات کو حل کرنے کی سفارشات کے ساتھ مربوط کیا جاسکے۔

ٹوئسٹ لاک (پالو آلٹو نیٹ ورکس)

• : ویب سائٹ: www.twistlock.com
• لائسنس: تجارتی

ٹوئسٹ لاک خود کو کلاؤڈ سروسز اور کنٹینرز پر مرکوز ایک پلیٹ فارم کے طور پر فروغ دیتا ہے۔ ٹوئسٹ لاک مختلف کلاؤڈ فراہم کنندگان (AWS، Azure، GCP)، کنٹینر آرکیسٹریٹرز (Kubernetes، Mesospehere، OpenShift، Docker)، سرور لیس رن ٹائمز، میش فریم ورکس اور CI/CD ٹولز کو سپورٹ کرتا ہے۔

روایتی انٹرپرائز گریڈ سیکیورٹی تکنیک جیسے CI/CD پائپ لائن انٹیگریشن یا امیج اسکیننگ کے علاوہ، Twistlock مشین لرننگ کا استعمال کنٹینر کے لیے مخصوص طرز عمل کے نمونوں اور نیٹ ورک کے اصولوں کو تیار کرنے کے لیے کرتا ہے۔

کچھ عرصہ قبل ٹوئسٹ لاک کو پالو آلٹو نیٹ ورکس نے خریدا تھا، جو Evident.io اور RedLock پروجیکٹس کا مالک ہے۔ ابھی تک یہ معلوم نہیں ہوسکا ہے کہ یہ تینوں پلیٹ فارم کس طرح مربوط ہوں گے۔ یونان پالو آلٹو سے۔

Kubernetes سیکیورٹی ٹولز کا بہترین کیٹلاگ بنانے میں مدد کریں!

ہم اس کیٹلاگ کو ہر ممکن حد تک مکمل بنانے کی کوشش کرتے ہیں، اور اس کے لیے ہمیں آپ کی مدد کی ضرورت ہے! ہم سے رابطہ کریں (@sysdig) اگر آپ کے ذہن میں کوئی ٹھنڈا ٹول ہے جو اس فہرست میں شامل کرنے کے لائق ہے، یا آپ کو کوئی غلطی/ فرسودہ معلومات ملتی ہیں۔

آپ ہماری سبسکرائب بھی کر سکتے ہیں۔ ماہانہ نیوز لیٹر کلاؤڈ-مقامی ماحولیاتی نظام کی خبروں اور Kubernetes سیکورٹی کی دنیا کے دلچسپ پروجیکٹس کے بارے میں کہانیوں کے ساتھ۔

مترجم سے PS

ہمارے بلاگ پر بھی پڑھیں:

• «سیکورٹی پروفیشنلز کے لیے Kubernetes نیٹ ورک کی پالیسیوں کا ایک تعارف؛ "
• «سیکیورٹی کا مطالبہ کرنے والے ماحول میں ڈوکر اور کبرنیٹس؛ "
• «Kubernetes سیکیورٹی کے لیے 9 بہترین طریقے؛ "
• «کبرنیٹس ہیک کا شکار بننے کے (نہیں) 11 طریقے؛ "
• «OPA اور SPIFFE کلاؤڈ ایپلیکیشن سیکیورٹی کے لیے CNCF میں دو نئے پروجیکٹس ہیں۔'.

ماخذ: www.habr.com