Hơn 33 công cụ bảo mật Kubernetes

Ghi chú. bản dịch.: Nếu bạn đang thắc mắc về tính bảo mật trong cơ sở hạ tầng dựa trên Kubernetes thì phần tổng quan tuyệt vời này của Sysdig là điểm khởi đầu tuyệt vời để xem nhanh các giải pháp hiện tại. Nó bao gồm cả các hệ thống phức tạp từ những người chơi nổi tiếng trên thị trường và các tiện ích khiêm tốn hơn nhiều để giải quyết một vấn đề cụ thể. Và trong phần nhận xét, như mọi khi, chúng tôi sẽ rất vui khi biết về trải nghiệm của bạn khi sử dụng các công cụ này và xem các liên kết đến các dự án khác.

Các sản phẩm phần mềm bảo mật Kubernetes... có rất nhiều sản phẩm, mỗi sản phẩm đều có mục tiêu, phạm vi và giấy phép riêng.

Đó là lý do tại sao chúng tôi quyết định tạo danh sách này và bao gồm cả các dự án nguồn mở và nền tảng thương mại từ các nhà cung cấp khác nhau. Chúng tôi hy vọng nó sẽ giúp bạn xác định những thứ được quan tâm nhất và chỉ cho bạn đi đúng hướng dựa trên nhu cầu bảo mật Kubernetes cụ thể của bạn.

Thể loại

Để giúp điều hướng danh sách dễ dàng hơn, các công cụ được sắp xếp theo chức năng và ứng dụng chính. Các phần sau đây đã thu được:

• Quét hình ảnh Kubernetes và phân tích tĩnh;
• Bảo mật thời gian chạy;
• Bảo mật mạng Kubernetes;
• Phân phối hình ảnh và quản lý bí mật;
• Kiểm tra bảo mật Kubernetes;
• Sản phẩm thương mại toàn diện.

Hãy bắt tay vào công việc:

Quét hình ảnh Kubernetes

Neo

• Trang mạng: neo.com
• Giấy phép: miễn phí (Apache) và ưu đãi thương mại

Anchore phân tích hình ảnh vùng chứa và cho phép kiểm tra bảo mật dựa trên chính sách do người dùng xác định.

Ngoài việc quét hình ảnh vùng chứa thông thường để tìm các lỗ hổng đã biết từ cơ sở dữ liệu CVE, Anchore còn thực hiện nhiều kiểm tra bổ sung như một phần của chính sách quét của nó: kiểm tra Dockerfile, rò rỉ thông tin xác thực, các gói ngôn ngữ lập trình được sử dụng (npm, maven, v.v.) .), giấy phép phần mềm và nhiều hơn nữa .

Trong sáng

• Trang mạng: coreos.com/clair (hiện dưới sự giám hộ của Red Hat)
• Giấy phép: miễn phí (Apache)

Clair là một trong những dự án Nguồn mở đầu tiên về quét hình ảnh. Nó được biết đến rộng rãi như là máy quét bảo mật đằng sau sổ đăng ký hình ảnh Quay (cũng từ CoreOS - khoảng dịch). Clair có thể thu thập thông tin CVE từ nhiều nguồn khác nhau, bao gồm danh sách các lỗ hổng dành riêng cho bản phân phối Linux do nhóm bảo mật Debian, Red Hat hoặc Ubuntu duy trì.

Không giống như Anchore, Clair chủ yếu tập trung vào việc tìm kiếm các lỗ hổng và khớp dữ liệu với CVE. Tuy nhiên, sản phẩm mang đến cho người dùng một số cơ hội để mở rộng chức năng bằng cách sử dụng trình điều khiển plug-in.

Dagda

• Trang mạng: github.com/eliasgranderubio/dagda
• Giấy phép: miễn phí (Apache)

Dagda thực hiện phân tích tĩnh các hình ảnh vùng chứa để tìm các lỗ hổng đã biết, Trojan, vi rút, phần mềm độc hại và các mối đe dọa khác.

Hai tính năng đáng chú ý giúp phân biệt Dagda với các công cụ tương tự khác:

• Nó tích hợp hoàn hảo với ClamAV, hoạt động không chỉ như một công cụ để quét hình ảnh vùng chứa mà còn như một phần mềm chống vi-rút.
• Đồng thời cung cấp khả năng bảo vệ thời gian chạy bằng cách nhận các sự kiện thời gian thực từ trình nền Docker và tích hợp với Falco (xem bên dưới) để thu thập các sự kiện bảo mật trong khi vùng chứa đang chạy.

KubeXray

• Trang mạng: github.com/jfrog/kubexray
• Giấy phép: Miễn phí (Apache), nhưng yêu cầu dữ liệu từ JFrog Xray (sản phẩm thương mại)

KubeXray lắng nghe các sự kiện từ máy chủ API Kubernetes và sử dụng siêu dữ liệu từ JFrog Xray để đảm bảo rằng chỉ các nhóm phù hợp với chính sách hiện tại mới được khởi chạy.

KubeXray không chỉ kiểm tra các vùng chứa mới hoặc cập nhật trong quá trình triển khai (tương tự như bộ điều khiển tiếp nhận trong Kubernetes) mà còn tự động kiểm tra các vùng chứa đang chạy xem có tuân thủ các chính sách bảo mật mới hay không, loại bỏ các tài nguyên tham chiếu đến các hình ảnh dễ bị tấn công.

Snyk

• Trang mạng: snyk.io
• Giấy phép: miễn phí (Apache) và phiên bản thương mại

Snyk là một trình quét lỗ hổng khác thường ở chỗ nó nhắm mục tiêu cụ thể vào quá trình phát triển và được quảng cáo là "giải pháp thiết yếu" cho các nhà phát triển.

Snyk kết nối trực tiếp với kho lưu trữ mã, phân tích bản kê khai dự án và phân tích mã đã nhập cùng với các phần phụ thuộc trực tiếp và gián tiếp. Snyk hỗ trợ nhiều ngôn ngữ lập trình phổ biến và có thể xác định các rủi ro giấy phép tiềm ẩn.

tầm thường

• Trang mạng: github.com/knqyf263/trivy
• Giấy phép: miễn phí (AGPL)

Trivy là một trình quét lỗ hổng đơn giản nhưng mạnh mẽ dành cho các vùng chứa dễ dàng tích hợp vào đường dẫn CI/CD. Tính năng đáng chú ý của nó là dễ cài đặt và vận hành: ứng dụng bao gồm một tệp nhị phân duy nhất và không yêu cầu cài đặt cơ sở dữ liệu hoặc thư viện bổ sung.

Nhược điểm của tính đơn giản của Trivy là bạn phải tìm ra cách phân tích và chuyển tiếp kết quả ở định dạng JSON để các công cụ bảo mật Kubernetes khác có thể sử dụng chúng.

Bảo mật thời gian chạy trong Kubernetes

Falco

• Trang mạng: falco.org
• Giấy phép: miễn phí (Apache)

Falco là một bộ công cụ để bảo mật môi trường thời gian chạy đám mây. Một phần của gia đình dự án CNCF.

Bằng cách sử dụng hồ sơ cuộc gọi hệ thống và công cụ cấp nhân Linux của Sysdig, Falco cho phép bạn đi sâu vào hành vi của hệ thống. Công cụ quy tắc thời gian chạy của nó có khả năng phát hiện hoạt động đáng ngờ trong các ứng dụng, bộ chứa, máy chủ cơ bản và bộ điều phối Kubernetes.

Falco cung cấp sự minh bạch hoàn toàn trong thời gian chạy và phát hiện mối đe dọa bằng cách triển khai các tác nhân đặc biệt trên các nút Kubernetes cho các mục đích này. Do đó, không cần phải sửa đổi các thùng chứa bằng cách đưa mã của bên thứ ba vào chúng hoặc thêm các thùng chứa sidecar.

Khung bảo mật Linux cho thời gian chạy

Các framework gốc dành cho nhân Linux này không phải là “công cụ bảo mật Kubernetes” theo nghĩa truyền thống, nhưng chúng đáng được đề cập vì chúng là một thành phần quan trọng trong bối cảnh bảo mật thời gian chạy, được bao gồm trong Chính sách bảo mật Kubernetes Pod (PSP).

AppArmor đính kèm hồ sơ bảo mật vào các quy trình đang chạy trong vùng chứa, xác định các đặc quyền của hệ thống tệp, quy tắc truy cập mạng, thư viện kết nối, v.v. Đây là một hệ thống dựa trên Kiểm soát truy cập bắt buộc (MAC). Nói cách khác, nó ngăn cản việc thực hiện các hành động bị cấm.

Linux được tăng cường bảo mật (SELinux) là một mô-đun bảo mật nâng cao trong nhân Linux, ở một số khía cạnh tương tự như AppArmor và thường được so sánh với nó. SELinux vượt trội hơn AppArmor về sức mạnh, tính linh hoạt và khả năng tùy biến. Nhược điểm của nó là thời gian học tập dài và độ phức tạp tăng lên.

bí mật và seccomp-bpf cho phép bạn lọc các cuộc gọi hệ thống, chặn việc thực thi những cuộc gọi có khả năng gây nguy hiểm cho hệ điều hành cơ sở và không cần thiết cho hoạt động bình thường của các ứng dụng người dùng. Seccomp tương tự như Falco ở một số điểm, mặc dù nó không biết chi tiết cụ thể về các thùng chứa.

Mã nguồn mở Sysdig

• Trang mạng: www.sysdig.com/opensource
• Giấy phép: miễn phí (Apache)

Sysdig là một công cụ hoàn chỉnh để phân tích, chẩn đoán và gỡ lỗi hệ thống Linux (cũng hoạt động trên Windows và macOS, nhưng với các chức năng hạn chế). Nó có thể được sử dụng để thu thập thông tin chi tiết, xác minh và phân tích pháp y. (pháp y) hệ thống cơ sở và mọi vùng chứa chạy trên nó.

Sysdig cũng hỗ trợ nguyên bản thời gian chạy vùng chứa và siêu dữ liệu Kubernetes, thêm các thứ nguyên và nhãn bổ sung cho tất cả thông tin hành vi hệ thống mà nó thu thập. Có một số cách để phân tích cụm Kubernetes bằng Sysdig: bạn có thể thực hiện chụp theo thời điểm thông qua chụp kubectl hoặc khởi chạy giao diện tương tác dựa trên ncurses bằng cách sử dụng plugin đào kubectl.

Bảo mật mạng Kubernetes

Aporeto

• Trang mạng: www.aporeto.com
• Giấy phép: thương mại

Aporeto cung cấp "bảo mật tách biệt khỏi mạng và cơ sở hạ tầng". Điều này có nghĩa là các dịch vụ Kubernetes không chỉ nhận được ID cục bộ (tức là ServiceAccount trong Kubernetes) mà còn nhận được ID/dấu vân tay chung có thể được sử dụng để liên lạc an toàn và tương hỗ với bất kỳ dịch vụ nào khác, chẳng hạn như trong cụm OpenShift.

Aporeto có khả năng tạo một ID duy nhất không chỉ cho Kubernetes/container mà còn cho máy chủ, chức năng đám mây và người dùng. Tùy thuộc vào các mã định danh này và bộ quy tắc bảo mật mạng do quản trị viên đặt ra, thông tin liên lạc sẽ được cho phép hoặc bị chặn.

một thứ vải trắng

• Trang mạng: www.projectcalico.org
• Giấy phép: miễn phí (Apache)

Calico thường được triển khai trong quá trình cài đặt bộ điều phối vùng chứa, cho phép bạn tạo một mạng ảo kết nối các vùng chứa. Ngoài chức năng mạng cơ bản này, dự án Calico còn hoạt động với Chính sách mạng Kubernetes và bộ hồ sơ bảo mật mạng riêng, hỗ trợ ACL điểm cuối (danh sách kiểm soát truy cập) và các quy tắc bảo mật mạng dựa trên chú thích cho lưu lượng truy cập vào và ra.

lông mao

• Trang mạng: www.cilium.io
• Giấy phép: miễn phí (Apache)

Cilium hoạt động như một tường lửa cho các bộ chứa và cung cấp các tính năng bảo mật mạng được thiết kế riêng cho khối lượng công việc của Kubernetes và microservice. Cilium sử dụng công nghệ nhân Linux mới có tên BPF (Bộ lọc gói Berkeley) để lọc, giám sát, chuyển hướng và sửa dữ liệu.

Cilium có khả năng triển khai các chính sách truy cập mạng dựa trên ID container bằng cách sử dụng nhãn và siêu dữ liệu Docker hoặc Kubernetes. Cilium cũng hiểu và lọc các giao thức Lớp 7 khác nhau như HTTP hoặc gRPC, chẳng hạn như cho phép bạn xác định một tập hợp các lệnh gọi REST sẽ được phép giữa hai lần triển khai Kubernetes.

Istio

• Trang mạng: istio.io
• Giấy phép: miễn phí (Apache)

Istio được biết đến rộng rãi nhờ triển khai mô hình lưới dịch vụ bằng cách triển khai mặt phẳng điều khiển độc lập với nền tảng và định tuyến tất cả lưu lượng dịch vụ được quản lý thông qua các proxy Envoy có thể định cấu hình động. Istio tận dụng chế độ xem nâng cao này của tất cả các dịch vụ vi mô và vùng chứa để thực hiện các chiến lược bảo mật mạng khác nhau.

Các khả năng bảo mật mạng của Istio bao gồm mã hóa TLS minh bạch để tự động nâng cấp liên lạc giữa các dịch vụ vi mô lên HTTPS cũng như hệ thống ủy quyền và nhận dạng RBAC độc quyền để cho phép/từ chối liên lạc giữa các khối lượng công việc khác nhau trong cụm.

Ghi chú. bản dịch.: Để tìm hiểu thêm về các khả năng tập trung vào bảo mật của Istio, hãy đọc bài viết này.

Tigera

• Trang mạng: www.tiger.io
• Giấy phép: thương mại

Được gọi là “Tường lửa Kubernetes”, giải pháp này nhấn mạnh cách tiếp cận không tin cậy đối với bảo mật mạng.

Tương tự như các giải pháp mạng Kubernetes gốc khác, Tigera dựa vào siêu dữ liệu để xác định các dịch vụ và đối tượng khác nhau trong cụm, đồng thời cung cấp khả năng phát hiện sự cố trong thời gian chạy, kiểm tra tuân thủ liên tục và khả năng hiển thị mạng cho cơ sở hạ tầng đa đám mây hoặc đa khối kết hợp.

bộ ba

• Trang mạng: www.aporeto.com/opensource
• Giấy phép: miễn phí (Apache)

Trireme-Kubernetes là cách triển khai đơn giản và dễ hiểu thông số Chính sách mạng Kubernetes. Tính năng đáng chú ý nhất là - không giống như các sản phẩm bảo mật mạng Kubernetes tương tự - nó không yêu cầu mặt phẳng điều khiển trung tâm để điều phối lưới. Điều này làm cho giải pháp có thể mở rộng một cách đáng kể. Trong Trireme, điều này đạt được bằng cách cài đặt một tác nhân trên mỗi nút kết nối trực tiếp với ngăn xếp TCP/IP của máy chủ.

Tuyên truyền hình ảnh và quản lý bí mật

Grafeas

• Trang mạng: grafeas.io
• Giấy phép: miễn phí (Apache)

Grafeas là một API nguồn mở để quản lý và kiểm tra chuỗi cung ứng phần mềm. Ở cấp độ cơ bản, Grafeas là một công cụ để thu thập siêu dữ liệu và phát hiện kiểm tra. Nó có thể được sử dụng để theo dõi việc tuân thủ các biện pháp bảo mật tốt nhất trong một tổ chức.

Nguồn thông tin tập trung này giúp trả lời các câu hỏi như:

• Ai đã thu thập và ký tên cho một container cụ thể?
• Nó đã vượt qua tất cả các lần quét và kiểm tra bảo mật theo yêu cầu của chính sách bảo mật chưa? Khi? Kết quả là gì?
• Ai đã triển khai nó vào sản xuất? Những thông số cụ thể nào đã được sử dụng trong quá trình triển khai?

Trong TOTO

• Trang mạng: trong-toto.github.io
• Giấy phép: miễn phí (Apache)

In-toto là một khuôn khổ được thiết kế để cung cấp tính toàn vẹn, xác thực và kiểm tra toàn bộ chuỗi cung ứng phần mềm. Khi triển khai In-toto trong cơ sở hạ tầng, trước tiên, một kế hoạch được xác định mô tả các bước khác nhau trong quy trình (kho lưu trữ, công cụ CI/CD, công cụ QA, người thu thập hiện vật, v.v.) và người dùng (những người chịu trách nhiệm) được phép khởi xướng chúng.

In-toto giám sát việc thực hiện kế hoạch, xác minh rằng mỗi nhiệm vụ trong dây chuyền chỉ được thực hiện đúng cách bởi người có thẩm quyền và không có thao tác trái phép nào được thực hiện với sản phẩm trong quá trình di chuyển.

cổng vòm

• Trang mạng: github.com/IBM/portieris
• Giấy phép: miễn phí (Apache)

Portieris là bộ điều khiển tiếp nhận cho Kubernetes; được sử dụng để thực thi kiểm tra độ tin cậy nội dung. Portieris sử dụng máy chủ Công chứng (chúng tôi đã viết về anh ấy ở cuối của bài viết này - khoảng dịch) như một nguồn sự thật để xác thực các tạo phẩm đáng tin cậy và có chữ ký (tức là các hình ảnh vùng chứa đã được phê duyệt).

Khi khối lượng công việc được tạo hoặc sửa đổi trong Kubernetes, Portieris sẽ tải xuống thông tin ký và chính sách tin cậy nội dung cho các hình ảnh vùng chứa được yêu cầu và nếu cần, thực hiện các thay đổi nhanh chóng đối với đối tượng API JSON để chạy các phiên bản đã ký của những hình ảnh đó.

Vault

• Trang mạng: www.vaultproject.io
• Giấy phép: miễn phí (MPL)

Vault là một giải pháp an toàn để lưu trữ thông tin cá nhân: mật khẩu, mã thông báo OAuth, chứng chỉ PKI, tài khoản truy cập, bí mật Kubernetes, v.v. Vault hỗ trợ nhiều tính năng nâng cao, chẳng hạn như cho thuê mã thông báo bảo mật tạm thời hoặc tổ chức luân chuyển khóa.

Bằng cách sử dụng biểu đồ Helm, Vault có thể được triển khai dưới dạng triển khai mới trong cụm Kubernetes với Consul làm bộ lưu trữ phụ trợ. Nó hỗ trợ các tài nguyên Kubernetes gốc như mã thông báo ServiceAccount và thậm chí có thể hoạt động như kho lưu trữ mặc định cho các bí mật Kubernetes.

Ghi chú. bản dịch.: Nhân tiện, mới hôm qua, công ty HashiCorp, công ty phát triển Vault, đã công bố một số cải tiến khi sử dụng Vault trong Kubernetes và đặc biệt là chúng liên quan đến biểu đồ Helm. Đọc thêm trong blog của nhà phát triển.

Kiểm tra bảo mật Kubernetes

Ghế Kube

• Trang mạng: github.com/aquasecurity/kube-bench
• Giấy phép: miễn phí (Apache)

Kube-bench là một ứng dụng Go kiểm tra xem Kubernetes có được triển khai an toàn hay không bằng cách chạy thử nghiệm từ danh sách Điểm chuẩn CIS Kubernetes.

Kube-bench tìm kiếm các cài đặt cấu hình không an toàn giữa các thành phần cụm (etcd, API, trình quản lý bộ điều khiển, v.v.), quyền truy cập tệp có vấn đề, tài khoản không được bảo vệ hoặc cổng mở, hạn ngạch tài nguyên, cài đặt để giới hạn số lượng lệnh gọi API để bảo vệ khỏi các cuộc tấn công DoS , vân vân.

thợ săn Kube

• Trang mạng: github.com/aquasecurity/kube-hunter
• Giấy phép: miễn phí (Apache)

Kube-hunter săn lùng các lỗ hổng tiềm ẩn (chẳng hạn như thực thi mã từ xa hoặc tiết lộ dữ liệu) trong cụm Kubernetes. Kube-hunter có thể được chạy như một máy quét từ xa - trong trường hợp đó, nó sẽ đánh giá cụm theo quan điểm của kẻ tấn công bên thứ ba - hoặc dưới dạng một nhóm bên trong cụm.

Một tính năng đặc biệt của Kube-hunter là chế độ “săn lùng tích cực”, trong đó nó không chỉ báo cáo sự cố mà còn cố gắng lợi dụng các lỗ hổng được phát hiện trong cụm mục tiêu có khả năng gây hại cho hoạt động của nó. Vì vậy hãy sử dụng một cách thận trọng!

Kubeaudit

• Trang mạng: github.com/Shopify/kubeaudit
• Giấy phép: miễn phí (MIT)

Kubeaudit là một công cụ bảng điều khiển ban đầu được phát triển tại Shopify để kiểm tra cấu hình Kubernetes về nhiều vấn đề bảo mật khác nhau. Ví dụ: nó giúp xác định các container chạy không bị hạn chế, chạy bằng root, lạm dụng đặc quyền hoặc sử dụng ServiceAccount mặc định.

Kubeaudit có các tính năng thú vị khác. Ví dụ: nó có thể phân tích các tệp YAML cục bộ, xác định các lỗi cấu hình có thể dẫn đến sự cố bảo mật và tự động sửa chúng.

Kubesec

• Trang mạng: kubesec.io
• Giấy phép: miễn phí (Apache)

Kubesec là một công cụ đặc biệt ở chỗ nó quét trực tiếp các file YAML mô tả tài nguyên Kubernetes, tìm kiếm các tham số yếu có thể ảnh hưởng đến bảo mật.

Ví dụ: nó có thể phát hiện các đặc quyền và quyền quá mức được cấp cho một nhóm, chạy một vùng chứa với quyền root là người dùng mặc định, kết nối với không gian tên mạng của máy chủ hoặc các hoạt động gắn kết nguy hiểm như /proc ổ cắm máy chủ hoặc Docker. Một tính năng thú vị khác của Kubesec là dịch vụ demo có sẵn trực tuyến, trong đó bạn có thể tải YAML lên và phân tích nó ngay lập tức.

Đại lý chính sách mở

• Trang mạng: www.openpolicyagent.org
• Giấy phép: miễn phí (Apache)

Khái niệm về OPA (Tác nhân chính sách mở) là tách riêng các chính sách bảo mật và các phương pháp bảo mật tốt nhất khỏi một nền tảng thời gian chạy cụ thể: Docker, Kubernetes, Mesosphere, OpenShift hoặc bất kỳ sự kết hợp nào của chúng.

Ví dụ: bạn có thể triển khai OPA làm phụ trợ cho bộ điều khiển tiếp nhận Kubernetes, ủy quyền các quyết định bảo mật cho nó. Bằng cách này, tác nhân OPA có thể xác thực, từ chối và thậm chí sửa đổi các yêu cầu một cách nhanh chóng, đảm bảo đáp ứng các tham số bảo mật đã chỉ định. Chính sách bảo mật của OPA được viết bằng ngôn ngữ DSL độc quyền của nó, Rego.

Ghi chú. bản dịch.: Chúng tôi đã viết thêm về OPA (và SPIFFE) trong vật liệu này.

Các công cụ thương mại toàn diện để phân tích bảo mật Kubernetes

Chúng tôi quyết định tạo một danh mục riêng cho nền tảng thương mại vì chúng thường bao gồm nhiều lĩnh vực bảo mật. Ý tưởng chung về khả năng của họ có thể được lấy từ bảng:

* Khám nghiệm nâng cao và phân tích khám nghiệm tử thi đầy đủ chiếm quyền điều khiển cuộc gọi hệ thống.

an ninh nước

• Trang mạng: www.aquasec.com
• Giấy phép: thương mại

Công cụ thương mại này được thiết kế cho khối lượng công việc trên vùng chứa và đám mây. Nó cung cấp:

• Quét hình ảnh được tích hợp với sổ đăng ký vùng chứa hoặc đường dẫn CI/CD;
• Bảo vệ thời gian chạy bằng cách tìm kiếm các thay đổi trong vùng chứa và hoạt động đáng ngờ khác;
• Tường lửa gốc vùng chứa;
• Bảo mật cho serverless trong các dịch vụ đám mây;
• Kiểm tra và kiểm tra tuân thủ kết hợp với ghi nhật ký sự kiện.

Ghi chú. bản dịch.: Điều đáng lưu ý là có thành phần tự do của sản phẩm được gọi là Máy quét vi mô, cho phép bạn quét hình ảnh vùng chứa để tìm lỗ hổng. So sánh khả năng của nó với các phiên bản trả phí được trình bày trong cái bàn này.

Viên nang8

• Trang mạng: viên nang8.com
• Giấy phép: thương mại

Capsule8 tích hợp vào cơ sở hạ tầng bằng cách cài đặt trình phát hiện trên cụm Kubernetes cục bộ hoặc đám mây. Trình phát hiện này thu thập thông tin đo từ xa của máy chủ và mạng, tương quan nó với các loại tấn công khác nhau.

Nhóm Capsule8 coi nhiệm vụ của mình là phát hiện sớm và ngăn chặn các cuộc tấn công bằng cách sử dụng mới (0 ngày) những điểm yếu. Capsule8 có thể tải trực tiếp các quy tắc bảo mật cập nhật xuống các trình phát hiện để ứng phó với các mối đe dọa và lỗ hổng phần mềm mới được phát hiện.

cavirin

• Trang mạng: www.cavirin.com
• Giấy phép: thương mại

Cavirin hoạt động như một nhà thầu bên công ty cho nhiều cơ quan khác nhau liên quan đến tiêu chuẩn an toàn. Nó không chỉ có thể quét hình ảnh mà còn có thể tích hợp vào đường dẫn CI/CD, chặn các hình ảnh không chuẩn trước khi chúng vào kho lưu trữ đóng.

Bộ bảo mật của Cavirin sử dụng công nghệ máy học để đánh giá tình trạng an ninh mạng của bạn, đưa ra các mẹo để cải thiện bảo mật và cải thiện việc tuân thủ các tiêu chuẩn bảo mật.

Trung tâm chỉ huy bảo mật đám mây của Google

• Trang mạng: cloud.google.com/security-command-center
• Giấy phép: thương mại

Trung tâm chỉ huy bảo mật đám mây giúp các nhóm bảo mật thu thập dữ liệu, xác định các mối đe dọa và loại bỏ chúng trước khi chúng gây hại cho công ty.

Đúng như tên gọi, Google Cloud SCC là bảng điều khiển hợp nhất có thể tích hợp và quản lý nhiều báo cáo bảo mật, công cụ kế toán tài sản và hệ thống bảo mật của bên thứ ba từ một nguồn tập trung duy nhất.

API có khả năng tương tác do Google Cloud SCC cung cấp giúp dễ dàng tích hợp các sự kiện bảo mật đến từ nhiều nguồn khác nhau, chẳng hạn như Sysdig Secure (bảo mật vùng chứa cho các ứng dụng gốc trên đám mây) hoặc Falco (bảo mật thời gian chạy nguồn mở).

Thông tin chi tiết theo lớp (Qualys)

• Trang mạng: layeredinsight.com
• Giấy phép: thương mại

Layered Insight (hiện là một phần của Qualys Inc) được xây dựng dựa trên khái niệm “bảo mật nhúng”. Sau khi quét hình ảnh gốc để tìm lỗ hổng bằng cách sử dụng phân tích thống kê và kiểm tra CVE, Layered Insight sẽ thay thế hình ảnh đó bằng một hình ảnh được thiết kế bao gồm tác nhân dưới dạng nhị phân.

Tác nhân này chứa các bài kiểm tra bảo mật thời gian chạy để phân tích lưu lượng mạng vùng chứa, luồng I/O và hoạt động ứng dụng. Ngoài ra, nó có thể thực hiện kiểm tra bảo mật bổ sung do quản trị viên cơ sở hạ tầng hoặc nhóm DevOps chỉ định.

NeuVector

• Trang mạng: neuvector.com
• Giấy phép: thương mại

NeuVector kiểm tra tính bảo mật của vùng chứa và cung cấp khả năng bảo vệ thời gian chạy bằng cách phân tích hoạt động mạng và hành vi ứng dụng, tạo hồ sơ bảo mật riêng cho từng vùng chứa. Nó cũng có thể tự mình chặn các mối đe dọa, cô lập hoạt động đáng ngờ bằng cách thay đổi các quy tắc tường lửa cục bộ.

Tích hợp mạng của NeuVector, được gọi là Security Mesh, có khả năng phân tích gói sâu và lọc lớp 7 cho tất cả các kết nối mạng trong lưới dịch vụ.

ngăn xếpRox

• Trang mạng: www.stackrox.com
• Giấy phép: thương mại

Nền tảng bảo mật vùng chứa StackRox cố gắng bao trùm toàn bộ vòng đời của các ứng dụng Kubernetes trong một cụm. Giống như các nền tảng thương mại khác trong danh sách này, StackRox tạo hồ sơ thời gian chạy dựa trên hành vi của vùng chứa được quan sát và tự động đưa ra cảnh báo nếu có bất kỳ sai lệch nào.

Ngoài ra, StackRox phân tích cấu hình Kubernetes bằng Kubernetes CIS và các sách quy tắc khác để đánh giá sự tuân thủ của vùng chứa.

Hệ thống an toàn

• Trang mạng: sysdig.com/products/secure
• Giấy phép: thương mại

Sysdig Secure bảo vệ các ứng dụng trong toàn bộ vòng đời vùng chứa và Kubernetes. Anh ta quét hình ảnh container, cung cấp bảo vệ thời gian chạy theo dữ liệu máy học, thực hiện kem. chuyên môn để xác định các lỗ hổng, chặn các mối đe dọa, giám sát tuân thủ các tiêu chuẩn đã được thiết lập và kiểm tra hoạt động trong microservice.

Sysdig Secure tích hợp với các công cụ CI/CD như Jenkins và kiểm soát các hình ảnh được tải từ sổ đăng ký Docker, ngăn chặn các hình ảnh nguy hiểm xuất hiện trong quá trình sản xuất. Nó cũng cung cấp bảo mật thời gian chạy toàn diện, bao gồm:

• Lập hồ sơ thời gian chạy dựa trên ML và phát hiện sự bất thường;
• chính sách thời gian chạy dựa trên các sự kiện hệ thống, API kiểm tra K8s, các dự án cộng đồng chung (FIM - giám sát tính toàn vẹn của tệp; mã hóa) và khung MITER ATT & CK;
• ứng phó và giải quyết sự cố.

Bảo mật vùng chứa có thể sử dụng được

• Trang mạng: www.tenable.com/products/tenable-io/container-security
• Giấy phép: thương mại

Trước khi container ra đời, Tenable đã được biết đến rộng rãi trong ngành với tư cách là công ty đứng sau Nessus, một công cụ kiểm tra bảo mật và săn lùng lỗ hổng phổ biến.

Tenable Container Security tận dụng kiến ​​thức chuyên môn về bảo mật máy tính của công ty để tích hợp quy trình CI/CD với cơ sở dữ liệu về lỗ hổng bảo mật, các gói phát hiện phần mềm độc hại chuyên dụng và các đề xuất để giải quyết các mối đe dọa bảo mật.

Twistlock (Mạng Palo Alto)

• Trang mạng: www.twistlock.com
• Giấy phép: thương mại

Twistlock tự quảng cáo mình là một nền tảng tập trung vào các dịch vụ và vùng chứa đám mây. Twistlock hỗ trợ nhiều nhà cung cấp đám mây khác nhau (AWS, Azure, GCP), bộ điều phối container (Kubernetes, Mesospehere, OpenShift, Docker), thời gian chạy không có máy chủ, khung lưới và công cụ CI/CD.

Ngoài các kỹ thuật bảo mật cấp doanh nghiệp thông thường như tích hợp đường dẫn CI/CD hoặc quét hình ảnh, Twistlock còn sử dụng máy học để tạo ra các mẫu hành vi và quy tắc mạng dành riêng cho vùng chứa.

Cách đây một thời gian, Twistlock đã được mua lại bởi Palo Alto Networks, công ty sở hữu các dự án Evident.io và RedLock. Hiện vẫn chưa biết chính xác XNUMX nền tảng này sẽ được tích hợp vào như thế nào PRISMA từ Palo Alto.

Giúp xây dựng danh mục tốt nhất về các công cụ bảo mật Kubernetes!

Chúng tôi cố gắng làm cho danh mục này đầy đủ nhất có thể và để làm được điều này, chúng tôi cần sự giúp đỡ của bạn! Liên hệ chúng tôi (@sysdig) nếu bạn nghĩ đến một công cụ thú vị xứng đáng được đưa vào danh sách này hoặc bạn tìm thấy lỗi/thông tin lỗi thời.

Bạn cũng có thể đăng ký kênh của chúng tôi bản tin hàng tháng với tin tức từ hệ sinh thái dựa trên nền tảng đám mây và những câu chuyện về các dự án thú vị từ thế giới bảo mật Kubernetes.

Tái bút từ người dịch

Đọc thêm trên blog của chúng tôi:

• «Giới thiệu về Chính sách mạng Kubernetes dành cho chuyên gia bảo mật»;
• «Docker và Kubernetes trong môi trường nhạy cảm về bảo mật»;
• «9 Thực tiễn tốt nhất về bảo mật Kubernetes»;
• «11 cách để (không) trở thành nạn nhân của vụ hack Kubernetes»;
• «OPA và SPIFFE là hai dự án mới tại CNCF về bảo mật ứng dụng đám mây'.

Nguồn: www.habr.com