33+ Kubernetes xavfsizlik vositalari

Eslatma. tarjima.: Agar siz Kubernetesga asoslangan infratuzilmada xavfsizlik haqida qiziqsangiz, Sysdig-ning ushbu ajoyib sharhi joriy echimlarni tez ko'rib chiqish uchun ajoyib boshlanish nuqtasidir. U bozorning taniqli o'yinchilarining murakkab tizimlarini va muayyan muammoni hal qiladigan juda oddiy kommunal xizmatlarni o'z ichiga oladi. Izohlarda, har doimgidek, biz ushbu vositalardan foydalanish tajribangiz haqida eshitishdan va boshqa loyihalarga havolalarni ko'rishdan xursand bo'lamiz.

Kubernetes xavfsizlik dasturiy ta'minot mahsulotlari... ularning har biri o'z maqsadlari, ko'lami va litsenziyalariga ega bo'lgan juda ko'p.

Shuning uchun biz ushbu ro'yxatni yaratishga qaror qildik va turli sotuvchilarning ochiq manbali loyihalari va tijorat platformalarini o'z ichiga oladi. Umid qilamizki, bu sizga eng qiziq bo'lganlarini aniqlashga yordam beradi va Kubernetes xavfsizlik ehtiyojlaridan kelib chiqqan holda sizni to'g'ri yo'nalishga yo'naltiradi.

kategoriya

Roʻyxatda harakat qilishni osonlashtirish uchun asboblar asosiy funksiya va ilovalar boʻyicha tuzilgan. Quyidagi bo'limlar olindi:

• Kubernetes tasvirni skanerlash va statik tahlil qilish;
• Ish vaqti xavfsizligi;
• Kubernetes tarmoq xavfsizligi;
• Rasmlarni tarqatish va sirlarni boshqarish;
• Kubernetes xavfsizlik auditi;
• Keng qamrovli tijorat mahsulotlari.

Keling, biznesga tushamiz:

Kubernetes rasmlarini skanerlash

Anchor

• Veb-sayt: anchore.com
• Litsenziya: bepul (Apache) va tijorat taklifi

Anchore konteyner tasvirlarini tahlil qiladi va foydalanuvchi tomonidan belgilangan siyosatlar asosida xavfsizlikni tekshirish imkonini beradi.

CVE ma'lumotlar bazasidan ma'lum zaifliklar uchun konteyner tasvirlarini odatiy skanerlashdan tashqari, Anchore o'zining skanerlash siyosatining bir qismi sifatida ko'plab qo'shimcha tekshiruvlarni amalga oshiradi: Dockerfile, hisob ma'lumotlarining sizib chiqishi, foydalaniladigan dasturlash tillari paketlarini (npm, maven va boshqalar) tekshiradi. .), dasturiy ta'minot litsenziyalari va boshqalar.

Clair

• Veb-sayt: coreos.com/clair (hozir Red Hat homiyligida)
• Litsenziya: bepul (Apache)

Clair tasvirni skanerlash uchun birinchi Ochiq manbali loyihalardan biri edi. U keng tarqalgan Quay tasvir reestri orqasidagi xavfsizlik skaneri sifatida tanilgan (shuningdek CoreOS dan - taxminan. tarjima). Clair turli xil manbalardan CVE ma'lumotlarini to'plashi mumkin, jumladan Debian, Red Hat yoki Ubuntu xavfsizlik guruhlari tomonidan yuritiladigan Linux tarqatish uchun maxsus zaifliklar ro'yxati.

Anchore-dan farqli o'laroq, Clair birinchi navbatda zaifliklarni topishga va ma'lumotlarni CVE-larga moslashtirishga qaratilgan. Biroq, mahsulot foydalanuvchilarga plagin drayverlari yordamida funktsiyalarni kengaytirish uchun ba'zi imkoniyatlarni taqdim etadi.

dagda

• Veb-sayt: github.com/eliasgranderubio/dagda
• Litsenziya: bepul (Apache)

Dagda ma'lum zaifliklar, troyanlar, viruslar, zararli dasturlar va boshqa tahdidlar uchun konteyner tasvirlarining statik tahlilini amalga oshiradi.

Dagda-ni boshqa shunga o'xshash vositalardan ikkita muhim xususiyat ajratib turadi:

• bilan mukammal birlashadi ClamAV, nafaqat konteyner tasvirlarini skanerlash vositasi, balki antivirus sifatida ham ishlaydi.
• Shuningdek, Docker daemonidan real vaqtda hodisalarni qabul qilish va Falco bilan integratsiya qilish orqali ish vaqti himoyasini ta'minlaydi. (pastga qarang) konteyner ishlayotgan paytda xavfsizlik hodisalarini to'plash uchun.

KubeXray

• Veb-sayt: github.com/jfrog/kubexray
• Litsenziya: Bepul (Apache), lekin JFrog Xray (tijorat mahsuloti) maʼlumotlarini talab qiladi.

KubeXray Kubernetes API serveridagi voqealarni tinglaydi va faqat joriy siyosatga mos keladigan podlar ishga tushirilishini taʼminlash uchun JFrog Xray metamaʼlumotlaridan foydalanadi.

KubeXray nafaqat joylashtirishdagi yangi yoki yangilangan konteynerlarni tekshiradi (Kubernetes-dagi kirish nazoratchisiga o'xshash), balki ishlaydigan konteynerlarni yangi xavfsizlik siyosatlariga muvofiqligini dinamik ravishda tekshiradi, zaif tasvirlarga havola qiluvchi resurslarni o'chiradi.

Snik

• Veb-sayt: snyk.io
• Litsenziya: bepul (Apache) va tijorat versiyalari

Snyk noodatiy zaiflik skaneri bo'lib, u ishlab chiqish jarayoniga maxsus mo'ljallangan va ishlab chiquvchilar uchun "muhim yechim" sifatida ilgari suriladi.

Snyk to'g'ridan-to'g'ri kod omborlariga ulanadi, loyiha manifestini tahlil qiladi va import qilingan kodni bevosita va bilvosita bog'liqliklar bilan birga tahlil qiladi. Snyk ko'plab mashhur dasturlash tillarini qo'llab-quvvatlaydi va yashirin litsenziya xatarlarini aniqlay oladi.

Trivy

• Veb-sayt: github.com/knqyf263/trivy
• Litsenziya: bepul (AGPL)

Trivy - bu CI/CD quvur liniyasiga osongina integratsiyalangan konteynerlar uchun oddiy, ammo kuchli zaiflik skaneri. Uning diqqatga sazovor xususiyati o'rnatish va ishlatishning qulayligi: dastur bitta ikkilikdan iborat va ma'lumotlar bazasi yoki qo'shimcha kutubxonalarni o'rnatishni talab qilmaydi.

Trivy-ning soddaligining salbiy tomoni shundaki, siz boshqa Kubernetes xavfsizlik vositalari ulardan foydalanishi uchun natijalarni JSON formatida qanday tahlil qilish va yo'naltirishni aniqlashingiz kerak.

Kubernetesda ish vaqti xavfsizligi

Falco

• Veb-sayt: falco.org
• Litsenziya: bepul (Apache)

Falco - bulutli ish vaqti muhitini himoya qilish uchun vositalar to'plami. Loyiha oilasining bir qismi CNCF.

Sysdig-ning Linux yadro darajasidagi asboblari va tizim qo'ng'iroqlari profilini ishlatib, Falco sizga tizim xatti-harakatlariga chuqur kirishga imkon beradi. Uning ish vaqti qoidalari mexanizmi ilovalarda, konteynerlarda, asosiy xostda va Kubernetes orkestrida shubhali faoliyatni aniqlashga qodir.

Falco ushbu maqsadlar uchun Kubernetes tugunlarida maxsus agentlarni joylashtirish orqali ish vaqti va tahdidlarni aniqlashda to'liq shaffoflikni ta'minlaydi. Natijada, konteynerlarga uchinchi tomon kodlarini kiritish yoki yonbosh konteynerlarini qo'shish orqali ularni o'zgartirishga hojat qolmaydi.

Ish vaqti uchun Linux xavfsizlik ramkalari

Linux yadrosi uchun ushbu mahalliy ramkalar an'anaviy ma'noda "Kubernetes xavfsizlik vositalari" emas, lekin ular Kubernetes Pod xavfsizlik siyosatiga (PSP) kiritilgan ish vaqti xavfsizligi kontekstida muhim element bo'lganligi sababli ularni eslatib o'tish kerak.

AppArmor konteynerda ishlaydigan jarayonlarga xavfsizlik profilini biriktirib, fayl tizimi imtiyozlarini, tarmoqqa kirish qoidalarini, kutubxonalarni ulash va hokazolarni belgilaydi. Bu majburiy kirishni boshqarish (MAC) ga asoslangan tizim. Boshqacha qilib aytadigan bo'lsak, taqiqlangan harakatlarning bajarilishini oldini oladi.

Xavfsizligi yaxshilangan Linux (SELinux) Linux yadrosidagi rivojlangan xavfsizlik moduli boʻlib, baʼzi jihatlari boʻyicha AppArmorga oʻxshaydi va koʻpincha u bilan solishtiriladi. SELinux quvvat, moslashuvchanlik va moslashtirish bo'yicha AppArmor'dan ustundir. Uning kamchiliklari - uzoq o'rganish egri chizig'i va ortib borayotgan murakkablik.

Seccomp va seccomp-bpf sizga tizim qo'ng'iroqlarini filtrlash, asosiy OT uchun potentsial xavfli bo'lgan va foydalanuvchi ilovalarining normal ishlashi uchun kerak bo'lmaganlarning bajarilishini bloklash imkonini beradi. Seccomp konteynerlarning o'ziga xos xususiyatlarini bilmasa ham, qaysidir ma'noda Falcoga o'xshaydi.

Sysdig ochiq manba

• Veb-sayt: www.sysdig.com/opensource
• Litsenziya: bepul (Apache)

Sysdig - bu Linux tizimlarini tahlil qilish, diagnostika qilish va disk raskadrovka qilish uchun to'liq vosita (shuningdek, Windows va macOS da ishlaydi, lekin cheklangan funktsiyalarga ega). U batafsil ma'lumot to'plash, tekshirish va sud-tibbiy tahlil uchun ishlatilishi mumkin. (sud tibbiyoti) asosiy tizim va unda ishlaydigan har qanday konteynerlar.

Sysdig shuningdek, konteynerning ishlash vaqtlari va Kubernetes metama'lumotlarini qo'llab-quvvatlaydi va o'zi to'playdigan barcha tizim xatti-harakatlariga qo'shimcha o'lchamlar va teglar qo'shadi. Sysdig-dan foydalanib Kubernetes klasterini tahlil qilishning bir necha yo'li mavjud: siz bir vaqtning o'zida suratga olishingiz mumkin. kubectl qo'lga olish yoki plagin yordamida ncurses-ga asoslangan interaktiv interfeysni ishga tushiring kubectl qazish.

Kubernetes tarmoq xavfsizligi

Aporeto

• Veb-sayt: www.aporeto.com
• Litsenziya: tijorat

Aporeto "tarmoq va infratuzilmadan ajratilgan xavfsizlikni" taklif qiladi. Bu shuni anglatadiki, Kubernetes xizmatlari nafaqat mahalliy identifikatorni (masalan, Kubernetesdagi ServiceAccount), balki boshqa har qanday xizmat bilan, masalan, OpenShift klasterida xavfsiz va o'zaro bog'lanish uchun ishlatilishi mumkin bo'lgan universal ID/barmoq izini ham oladi.

Aporeto nafaqat Kubernetes/konteynerlar, balki xostlar, bulut funksiyalari va foydalanuvchilar uchun ham noyob identifikatorni yaratishga qodir. Ushbu identifikatorlarga va administrator tomonidan o'rnatilgan tarmoq xavfsizligi qoidalariga qarab, aloqaga ruxsat beriladi yoki bloklanadi.

Calico

• Veb-sayt: www.projectcalico.org
• Litsenziya: bepul (Apache)

Calico odatda konteyner orkestrini o'rnatish vaqtida joylashtiriladi, bu sizga konteynerlarni o'zaro bog'laydigan virtual tarmoq yaratish imkonini beradi. Ushbu asosiy tarmoq funksiyasiga qo'shimcha ravishda, Calico loyihasi Kubernetes Network Policies va o'zining tarmoq xavfsizligi profillari to'plami bilan ishlaydi, oxirgi nuqta ACL'larini (kirishni boshqarish ro'yxatlari) va kirish va chiqish trafigini izohlash asosidagi tarmoq xavfsizligi qoidalarini qo'llab-quvvatlaydi.

Silium

• Veb-sayt: www.cilium.io
• Litsenziya: bepul (Apache)

Cilium konteynerlar uchun xavfsizlik devori vazifasini bajaradi va Kubernetes va mikroservislarning ish yuklariga moslashtirilgan tarmoq xavfsizligi xususiyatlarini taqdim etadi. Cilium ma'lumotlarni filtrlash, kuzatish, qayta yo'naltirish va tuzatish uchun BPF (Berkeley Packet Filter) deb nomlangan yangi Linux yadro texnologiyasidan foydalanadi.

Cilium konteyner identifikatorlari asosida Docker yoki Kubernetes yorliqlari va metama'lumotlardan foydalangan holda tarmoqqa kirish siyosatini o'rnatishga qodir. Cilium, shuningdek, HTTP yoki gRPC kabi turli xil Layer 7 protokollarini tushunadi va filtrlaydi, bu sizga, masalan, ikkita Kubernetes o'rnatish o'rtasida ruxsat etiladigan REST qo'ng'iroqlari to'plamini aniqlash imkonini beradi.

Istio

• Veb-sayt: istio.io
• Litsenziya: bepul (Apache)

Istio platformadan mustaqil boshqaruv tekisligini oʻrnatish va dinamik ravishda sozlanadigan Envoy proksi-serverlari orqali barcha boshqariladigan xizmat trafigini yoʻnaltirish orqali xizmat mesh paradigmasini amalga oshirish bilan mashhur. Istio turli xil tarmoq xavfsizligi strategiyalarini amalga oshirish uchun barcha mikroservislar va konteynerlarning ushbu ilg'or ko'rinishidan foydalanadi.

Istio tarmog'ining xavfsizlik imkoniyatlari mikroservislar o'rtasidagi aloqani HTTPS ga avtomatik yangilash uchun shaffof TLS shifrlashni va klasterdagi turli ish yuklari o'rtasida aloqa o'rnatishga ruxsat berish/rad etish uchun xususiy RBAC identifikatsiya va avtorizatsiya tizimini o'z ichiga oladi.

Eslatma. tarjima.: Istio'ning xavfsizlikka yo'naltirilgan imkoniyatlari haqida ko'proq ma'lumot olish uchun o'qing Ushbu maqola.

Tigera

• Veb-sayt: www.tigera.io
• Litsenziya: tijorat

"Kubernetes xavfsizlik devori" deb nomlangan ushbu yechim tarmoq xavfsizligiga nol ishonch yondashuvini ta'kidlaydi.

Boshqa mahalliy Kubernetes tarmoq yechimlari singari, Tigera klasterdagi turli xizmatlar va ob'ektlarni aniqlash uchun metama'lumotlarga tayanadi va ko'p bulutli yoki gibrid monolit-konteynerli infratuzilmalar uchun ish vaqtidagi muammolarni aniqlash, doimiy muvofiqlikni tekshirish va tarmoq ko'rinishini ta'minlaydi.

Trireme

• Veb-sayt: www.aporeto.com/opensource
• Litsenziya: bepul (Apache)

Trireme-Kubernetes - bu Kubernetes Tarmoq siyosati spetsifikatsiyasining sodda va tushunarli amalga oshirilishi. Eng diqqatga sazovor xususiyat shundaki, Kubernetes tarmoq xavfsizligining o'xshash mahsulotlaridan farqli o'laroq, u tarmoqni muvofiqlashtirish uchun markaziy boshqaruv tekisligini talab qilmaydi. Bu yechimni ahamiyatsiz darajada kengaytirilishi mumkin. Trireme'da bunga har bir tugunga xostning TCP/IP stekiga bevosita ulanadigan agentni o'rnatish orqali erishiladi.

Tasvirni tarqatish va sirlarni boshqarish

Grafeas

• Veb-sayt: grafeas.io
• Litsenziya: bepul (Apache)

Grafeas - dasturiy ta'minotni etkazib berish zanjiri auditi va boshqaruvi uchun ochiq manbali API. Asosiy darajada, Grafeas metama'lumotlar va audit natijalarini to'plash uchun vositadir. U tashkilot ichidagi xavfsizlik bo'yicha eng yaxshi amaliyotlarga rioya qilishni kuzatish uchun ishlatilishi mumkin.

Ushbu markazlashtirilgan haqiqat manbai quyidagi savollarga javob berishga yordam beradi:

• Muayyan konteyner uchun kim to'plangan va imzolagan?
• U xavfsizlik siyosati talab qiladigan barcha xavfsizlik tekshiruvlari va tekshiruvlaridan o'tdimi? Qachon? Natijalar qanday edi?
• Uni ishlab chiqarishga kim kiritgan? Joylashtirish paytida qanday aniq parametrlar ishlatilgan?

In-toto

• Veb-sayt: in-toto.github.io
• Litsenziya: bepul (Apache)

In-toto - bu butun dasturiy ta'minotni etkazib berish zanjirining yaxlitligini, autentifikatsiyasini va auditini ta'minlash uchun mo'ljallangan ramka. In-toto-ni infratuzilmada o'rnatishda, avvalo, quvur liniyasidagi turli bosqichlarni (omborxona, CI/CD asboblari, QA vositalari, artefakt yig'uvchilar va boshqalar) va ruxsat berilgan foydalanuvchilarni (mas'ul shaxslar) tavsiflovchi reja aniqlanadi. ularni boshlash.

In-toto rejaning bajarilishini nazorat qiladi, zanjirdagi har bir vazifa faqat vakolatli xodimlar tomonidan to'g'ri bajarilganligini va harakat paytida mahsulot bilan ruxsatsiz manipulyatsiyalar amalga oshirilmaganligini tekshiradi.

Portieris

• Veb-sayt: github.com/IBM/portieris
• Litsenziya: bepul (Apache)

Portieris - Kubernetes uchun qabul nazoratchisi; kontent ishonchini tekshirish uchun ishlatiladi. Portieris serverdan foydalanadi Notarius (oxirida u haqida yozgan edik Ushbu maqolaning - taxminan. tarjima) ishonchli va imzolangan artefaktlarni (masalan, tasdiqlangan konteyner tasvirlarini) tasdiqlash uchun haqiqat manbai sifatida.

Kubernetesda ish yuki yaratilganda yoki oʻzgartirilganda, Portieris soʻralgan konteyner tasvirlari uchun imzolash maʼlumotlari va kontent ishonch siyosatini yuklab oladi va agar kerak boʻlsa, ushbu tasvirlarning imzolangan versiyalarini ishga tushirish uchun JSON API obyektiga oʻz vaqtida oʻzgarishlar kiritadi.

bank seyfi

• Veb-sayt: www.vaultproject.io
• Litsenziya: bepul (MPL)

Vault - bu shaxsiy ma'lumotlarni saqlash uchun xavfsiz yechim: parollar, OAuth tokenlari, PKI sertifikatlari, kirish hisoblari, Kubernetes sirlari va boshqalar. Vault ko'plab ilg'or xususiyatlarni qo'llab-quvvatlaydi, masalan, vaqtinchalik xavfsizlik tokenlarini ijaraga olish yoki kalitlarni aylantirishni tashkil qilish.

Helm diagrammasidan foydalanib, Vault-ni Kubernetes klasterida yangi joylashtirish sifatida, konsul esa backend saqlash sifatida joylashtirish mumkin. U ServiceAccount tokenlari kabi mahalliy Kubernetes resurslarini qoʻllab-quvvatlaydi va hatto Kubernetes sirlari uchun standart doʻkon vazifasini ham bajarishi mumkin.

Eslatma. tarjima.: Aytgancha, kecha Vault-ni ishlab chiquvchi HashiCorp kompaniyasi Kubernetes-da Vault-dan foydalanish bo'yicha ba'zi yaxshilanishlarni e'lon qildi va xususan, ular Helm chartiga tegishli. Batafsil o'qing bloge razrabotchika.

Kubernetes xavfsizlik auditi

Kube-skameyka

• Veb-sayt: github.com/aquasecurity/kube-bench
• Litsenziya: bepul (Apache)

Kube-bench - bu Go ilovasi bo'lib, ro'yxatdagi testlarni o'tkazish orqali Kubernetes xavfsiz tarzda joylashtirilganligini tekshiradi. MDH Kubernetes Benchmark.

Kube-bench klaster komponentlari (va boshqalar, API, kontroller menejeri va boshqalar), shubhali fayllarga kirish huquqlari, himoyalanmagan hisoblar yoki ochiq portlar, manba kvotalari, DoS hujumlaridan himoyalanish uchun API qo‘ng‘iroqlari sonini cheklash sozlamalari o‘rtasida ishonchsiz konfiguratsiya sozlamalarini qidiradi. , va boshqalar.

Kube-ovchi

• Veb-sayt: github.com/aquasecurity/kube-hunter
• Litsenziya: bepul (Apache)

Kube-hunter Kubernetes klasterlarida potentsial zaifliklarni (masalan, masofaviy kodni bajarish yoki ma'lumotlarni oshkor qilish) qidiradi. Kube-hunter masofaviy skaner sifatida ishga tushirilishi mumkin - bu holda u klasterni uchinchi tomon tajovuzkori nuqtai nazaridan yoki klaster ichidagi pod sifatida baholaydi.

Kube-hunter-ning o'ziga xos xususiyati uning "faol ov" rejimi bo'lib, u nafaqat muammolar haqida xabar beradi, balki maqsadli klasterda aniqlangan, uning ishlashiga potentsial zarar etkazishi mumkin bo'lgan zaifliklardan foydalanishga harakat qiladi. Shuning uchun ehtiyotkorlik bilan foydalaning!

Kubeaudit

• Veb-sayt: github.com/Shopify/kubeaudit
• Litsenziya: bepul (MIT)

Kubeaudit - bu turli xil xavfsizlik muammolari uchun Kubernetes konfiguratsiyasini tekshirish uchun dastlab Shopify'da ishlab chiqilgan konsol vositasi. Masalan, u cheklanmagan, ildiz sifatida ishlaydigan, imtiyozlarni suiiste'mol qiladigan yoki standart ServiceAccount-dan foydalanadigan konteynerlarni aniqlashga yordam beradi.

Kubeaudit boshqa qiziqarli xususiyatlarga ega. Masalan, u mahalliy YAML fayllarini tahlil qilishi, xavfsizlik muammolariga olib kelishi mumkin bo'lgan konfiguratsiya kamchiliklarini aniqlashi va ularni avtomatik ravishda tuzatishi mumkin.

Kubesec

• Veb-sayt: kubesec.io
• Litsenziya: bepul (Apache)

Kubesec maxsus vosita bo‘lib, u Kubernetes resurslarini tavsiflovchi YAML fayllarini to‘g‘ridan-to‘g‘ri skanerlaydi va xavfsizlikka ta’sir qilishi mumkin bo‘lgan zaif parametrlarni qidiradi.

Masalan, u podkastga berilgan haddan tashqari imtiyoz va ruxsatlarni, standart foydalanuvchi sifatida root bilan konteynerni ishga tushirishni, xostning tarmoq nom maydoniga ulanishni yoki shu kabi xavfli ulanishlarni aniqlay oladi. /proc xost yoki Docker soket. Kubesec-ning yana bir qiziqarli xususiyati onlayn mavjud demo xizmati bo'lib, unga YAML-ni yuklashingiz va darhol uni tahlil qilishingiz mumkin.

Ochiq siyosat agenti

• Veb-sayt: www.openpolicyagent.org
• Litsenziya: bepul (Apache)

OPA (Ochiq siyosat agenti) kontseptsiyasi xavfsizlik siyosati va xavfsizlikning eng yaxshi amaliyotlarini muayyan ish vaqti platformasidan ajratishdir: Docker, Kubernetes, Mesosphere, OpenShift yoki ularning har qanday kombinatsiyasi.

Misol uchun, siz OPA ni Kubernetes qabul nazoratchisi uchun orqa qism sifatida o'rnatishingiz va unga xavfsizlik qarorlarini topshirishingiz mumkin. Shunday qilib, OPA agenti belgilangan xavfsizlik parametrlari bajarilishini ta'minlab, so'rovlarni tezda tekshirishi, rad etishi va hatto o'zgartirishi mumkin. OPA xavfsizlik siyosati o'zining xususiy DSL tilida, Regoda yozilgan.

Eslatma. tarjima.: Biz OPA (va SPIFFE) haqida ko'proq yozganmiz bu narsa.

Kubernetes xavfsizligini tahlil qilish uchun keng qamrovli tijorat vositalari

Biz tijorat platformalari uchun alohida toifani yaratishga qaror qildik, chunki ular odatda bir nechta xavfsizlik sohalarini qamrab oladi. Ularning imkoniyatlari haqida umumiy fikrni jadvaldan olish mumkin:

* Kengaytirilgan tekshiruv va o'limdan keyingi tahlil tizim qo'ng'iroqlarini o'g'irlash.

Aqua xavfsizlik

• Veb-sayt: www.aquasec.com
• Litsenziya: tijorat

Ushbu tijorat vositasi konteynerlar va bulutli ish yuklari uchun mo'ljallangan. U quyidagilarni ta'minlaydi:

• Konteyner registri yoki CI/CD quvur liniyasi bilan birlashtirilgan tasvirni skanerlash;
• Konteynerlardagi o'zgarishlarni va boshqa shubhali harakatlarni qidirish bilan ish vaqtini himoya qilish;
• Konteynerga tegishli xavfsizlik devori;
• Bulutli xizmatlarda serversizlar uchun xavfsizlik;
• Muvofiqlik testi va audit hodisalar jurnali bilan birgalikda.

Eslatma. tarjima.: Shuni ham ta'kidlash joizki, bor deb nomlangan mahsulotning bepul komponenti MicroScanner, bu sizga konteyner tasvirlarini zaifliklar uchun skanerlash imkonini beradi. Uning imkoniyatlarini pullik versiyalar bilan taqqoslashda keltirilgan bu jadval.

Kapsül 8

• Veb-sayt: capsule8.com
• Litsenziya: tijorat

Capsule8 detektorni mahalliy yoki bulutli Kubernetes klasteriga o'rnatish orqali infratuzilma bilan birlashadi. Ushbu detektor xost va tarmoq telemetriyasini to'playdi va uni turli xil hujumlar bilan bog'laydi.

Capsule8 jamoasi o'z vazifasini yangidan foydalangan holda hujumlarni erta aniqlash va oldini olish deb biladi (0 kun) zaifliklar. Capsule8 yangi topilgan tahdidlar va dasturiy zaifliklarga javoban yangilangan xavfsizlik qoidalarini bevosita detektorlarga yuklab olishi mumkin.

Kavirin

• Veb-sayt: www.cavirin.com
• Litsenziya: tijorat

Cavirin xavfsizlik standartlari bilan shug'ullanadigan turli agentliklar uchun kompaniya tomonidan pudratchi sifatida ishlaydi. U nafaqat tasvirlarni skanerlashi, balki nostandart tasvirlarni yopiq omborlarga kirishdan oldin bloklab, CI/CD quvur liniyasiga integratsiyalashishi mumkin.

Cavirinning xavfsizlik to'plami kiberxavfsizlik holatini baholash uchun mashinani o'rganishdan foydalanadi, xavfsizlikni yaxshilash va xavfsizlik standartlariga muvofiqlikni yaxshilash bo'yicha maslahatlar beradi.

Google Cloud Security buyruqlar markazi

• Veb-sayt: cloud.google.com/security-command-center
• Litsenziya: tijorat

Bulutli xavfsizlik qo'mondonlik markazi xavfsizlik guruhlariga ma'lumotlarni to'plash, tahdidlarni aniqlash va kompaniyaga zarar yetkazishdan oldin ularni yo'q qilishda yordam beradi.

Nomidan ko'rinib turibdiki, Google Cloud SCC - bu yagona markazlashtirilgan manbadan turli xil xavfsizlik hisobotlari, aktivlarni hisobga olish mexanizmlari va uchinchi tomon xavfsizlik tizimlarini birlashtirishi va boshqarishi mumkin bo'lgan yagona boshqaruv paneli.

Google Cloud SCC tomonidan taqdim etilayotgan birgalikda ishlaydigan API Sysdig Secure (bulutli ilovalar uchun konteyner xavfsizligi) yoki Falco (Ochiq manbali ish vaqti xavfsizligi) kabi turli manbalardan kelgan xavfsizlik hodisalarini birlashtirishni osonlashtiradi.

Layered Insight (Qualys)

• Veb-sayt: layeredinsight.com
• Litsenziya: tijorat

Layered Insight (hozirda Qualys Inc.ning bir qismi) "o'rnatilgan xavfsizlik" kontseptsiyasiga asoslangan. Statistik tahlil va CVE tekshiruvlari yordamida asl tasvirni zaifliklarga skanerdan o'tkazgandan so'ng, Layered Insight uni ikkilik sifatida agentni o'z ichiga olgan asbobli tasvir bilan almashtiradi.

Ushbu agent konteyner tarmog'i trafigini, kiritish/chiqarish oqimlarini va ilovalar faoliyatini tahlil qilish uchun ish vaqti xavfsizlik testlarini o'z ichiga oladi. Bundan tashqari, u infratuzilma ma'muri yoki DevOps guruhlari tomonidan belgilangan qo'shimcha xavfsizlik tekshiruvlarini amalga oshirishi mumkin.

NeuVector

• Veb-sayt: neuvector.com
• Litsenziya: tijorat

NeuVector konteyner xavfsizligini tekshiradi va har bir konteyner uchun individual xavfsizlik profilini yaratib, tarmoq faolligi va ilovalar xatti-harakatlarini tahlil qilish orqali ish vaqti himoyasini ta'minlaydi. Shuningdek, u mahalliy xavfsizlik devori qoidalarini o'zgartirish orqali shubhali faoliyatni ajratib, tahdidlarni mustaqil ravishda bloklashi mumkin.

NeuVector’ning Security Mesh deb nomlanuvchi tarmoq integratsiyasi xizmat tarmog‘idagi barcha tarmoq ulanishlari uchun paketlarni chuqur tahlil qilish va 7-qatlam filtrlash imkoniyatiga ega.

StackRox

• Veb-sayt: www.stackrox.com
• Litsenziya: tijorat

StackRox konteyner xavfsizligi platformasi klasterdagi Kubernetes ilovalarining butun hayot aylanishini qamrab olishga intiladi. Ushbu ro'yxatdagi boshqa tijoriy platformalar singari, StackRox kuzatilgan konteyner harakati asosida ish vaqti profilini yaratadi va har qanday og'ishlar uchun avtomatik ravishda signal beradi.

Bundan tashqari, StackRox konteyner muvofiqligini baholash uchun Kubernetes MDH va boshqa qoidalar kitoblari yordamida Kubernetes konfiguratsiyalarini tahlil qiladi.

Sysdig Secure

• Veb-sayt: sysdig.com/products/secure
• Litsenziya: tijorat

Sysdig Secure ilovalarni butun konteyner va Kubernetes hayot aylanishi davomida himoya qiladi. U tasvirlarni skanerlaydi konteynerlar, beradi ish vaqtini himoya qilish mashinani o'rganish ma'lumotlariga ko'ra, kremni bajaradi. zaifliklarni aniqlash, tahdidlarni bloklash, monitoring qilish uchun ekspertiza belgilangan standartlarga muvofiqligi va mikroservislardagi faoliyatini tekshirish.

Sysdig Secure Jenkins kabi CI/CD vositalari bilan integratsiyalashgan va Docker registrlaridan yuklangan tasvirlarni boshqarib, xavfli tasvirlarning ishlab chiqarishda paydo bo‘lishining oldini oladi. Shuningdek, u keng qamrovli ish vaqti xavfsizligini ta'minlaydi, jumladan:

• ML asosidagi ish vaqti profilini yaratish va anomaliyalarni aniqlash;
• tizim hodisalari, K8s-audit API, qo'shma hamjamiyat loyihalari (FIM - fayl yaxlitligi monitoringi; kriptojacking) va ramkalar asosida ishlash vaqti siyosatlari MITER AT&CK;
• hodisalarga javob berish va hal qilish.

Ishonchli konteyner xavfsizligi

• Veb-sayt: www.tenable.com/products/tenable-io/container-security
• Litsenziya: tijorat

Konteynerlar paydo bo'lishidan oldin, Tenable bu sohada Nessus orqasidagi kompaniya sifatida mashhur bo'lgan, zaifliklarni aniqlash va xavfsizlikni tekshirishning mashhur vositasi.

Tenable Container Security kompaniyaning kompyuter xavfsizligi bo'yicha tajribasidan CI/CD quvur liniyasini zaiflik ma'lumotlar bazalari, zararli dasturlarni aniqlash paketlari va xavfsizlik tahdidlarini bartaraf etish bo'yicha tavsiyalar bilan birlashtirish uchun foydalanadi.

Twistlock (Palo Alto tarmoqlari)

• Veb-sayt: www.twistlock.com
• Litsenziya: tijorat

Twistlock o'zini bulutli xizmatlar va konteynerlarga yo'naltirilgan platforma sifatida targ'ib qiladi. Twistlock turli xil bulutli provayderlarni (AWS, Azure, GCP), konteyner orkestratorlarini (Kubernetes, Mesospehere, OpenShift, Docker), serversiz ishlash vaqtlarini, mesh ramkalar va CI/CD vositalarini qo'llab-quvvatlaydi.

CI/CD quvurlari integratsiyasi yoki tasvirni skanerlash kabi anʼanaviy korporativ darajadagi xavfsizlik texnikasidan tashqari, Twistlock konteynerga xos xatti-harakatlar namunalari va tarmoq qoidalarini yaratish uchun mashina oʻrganishdan foydalanadi.

Bir muncha vaqt oldin Twistlock-ni Evident.io va RedLock loyihalariga egalik qiluvchi Palo Alto Networks sotib olgan edi. Ushbu uchta platformaning aniq qanday integratsiyalashuvi hozircha ma'lum emas Prisma Palo Altodan.

Kubernetes xavfsizlik vositalarining eng yaxshi katalogini yaratishga yordam bering!

Biz ushbu katalogni iloji boricha to'liqroq qilishga intilamiz va buning uchun biz sizning yordamingizga muhtojmiz! Biz bilan bog'lanish (@sysdig) agar siz ushbu ro'yxatga qo'shishga loyiq bo'lgan ajoyib vositani yodda tutsangiz yoki xato/eskirgan ma'lumotni topsangiz.

Siz ham bizning kanalimizga obuna bo'lishingiz mumkin oylik axborot byulleteni bulutli mahalliy ekotizim yangiliklari va Kubernetes xavfsizligi dunyosidagi qiziqarli loyihalar haqidagi hikoyalar bilan.

Tarjimondan PS

Shuningdek, bizning blogimizda o'qing:

• «Xavfsizlik mutaxassislari uchun Kubernetes tarmoq siyosatiga kirish";
• «Xavfsizlikka sezgir muhitlarda Docker va Kubernetes";
• «9 Kubernetes xavfsizlikning eng yaxshi amaliyoti";
• «Kubernetes xakerining qurboni bo'lmaslikning 11 usuli";
• «OPA va SPIFFE - bulutli ilovalar xavfsizligi uchun CNCF-dagi ikkita yangi loyiha".

Manba: www.habr.com