🥇33+ מכשירים פֿאַר Kubernetes זיכערהייט

נאטיץ. טראַנסל.: אויב איר זענט וואַנדערינג וועגן זיכערהייט אין קובערנעטעס-באזירט ינפראַסטראַקטשער, די ויסגעצייכנט איבערבליק פון Sysdig איז אַ גרויס סטאַרטינג פונט פֿאַר אַ שנעל קוק אין די קראַנט סאַלושאַנז. עס כולל ביידע קאָמפּלעקס סיסטעמען פון באַוווסט מאַרק פּלייַערס און פיל מער באַשיידן יוטילאַטיז וואָס סאָלווע אַ באַזונדער פּראָבלעם. און אין די באַמערקונגען, ווי שטענדיק, מיר וועלן זיין צופרידן צו הערן וועגן דיין דערפאַרונג מיט די מכשירים און זען לינקס צו אנדערע פּראַדזשעקס.

Kubernetes זיכערהייט ווייכווארג פּראָדוקטן ... עס זענען אַזוי פילע פון זיי, יעדער מיט זייער אייגענע גאָולז, פאַרנעם און לייסאַנסיז.

אַז ס וואָס מיר באַשלאָסן צו מאַכן דעם רשימה און אַרייַננעמען ביידע אָפֿן מקור פּראַדזשעקס און געשעפט פּלאַטפאָרמס פון פאַרשידענע ווענדאָרס. מיר האָפן אַז דאָס וועט העלפֿן איר צו ידענטיפיצירן די מערסט אינטערעסאנט און אָנווייַזן איר אין די רעכט ריכטונג באזירט אויף דיין ספּעציפיש Kubernetes זיכערהייט באדערפענישן.

סקאַנינג Kubernetes בילדער

אַנקער

וועבזייַטל: anchore.com
ליסענסע: פריי (אַפּאַטשי) און געשעפט פאָרשלאָג

אַנטשאָרע אַנאַליזירט קאַנטיינער בילדער און אַלאַוז זיכערהייט טשעקס באזירט אויף באַניצער-דיפיינד פּאַלאַסיז.

אין אַדישאַן צו די געוויינטלעך סקאַנינג פון קאַנטיינער בילדער פֿאַר באַוווסט וואַלנעראַביליטיז פון די CVE דאַטאַבייס, אַנטשאָרע פּערפאָרמז פילע נאָך טשעקס ווי אַ טייל פון זיין סקאַנינג פּאָליטיק: טשעק די דאָקקערפילע, קראַדענטשאַל ליקס, פּאַקאַדזשאַז פון די געוויינט פּראָגראַממינג שפּראַכן (npm, maven, עטק. .), ווייכווארג לייסאַנסיז און פיל מער.

קלאָר

וועבזייַטל: coreos.com/clair (איצט אונטער די טוטעלידזש פון Red Hat)
ליסענסע: פריי (אַפּאַטשי)

Clair איז געווען איינער פון די ערשטע עפֿן מקור פּראַדזשעקס פֿאַר בילד סקאַנינג. עס איז וויידלי באַוווסט ווי די זיכערהייט סקאַננער הינטער די Quay בילד רעגיסטרי (אויך פֿון CoreOS - אַפּפּראָקס. איבערזעצונג). Clair קענען קלייַבן CVE אינפֿאָרמאַציע פון אַ ברייט פאַרשיידנקייַט פון קוואלן, אַרייַנגערעכנט רשימות פון לינוקס פאַרשפּרייטונג-ספּעציפיש וואַלנעראַביליטיז וואָס די Debian, Red Hat אָדער Ubuntu זיכערהייט טימז האַלטן.

ניט ענלעך Anchore, Clair פאָוקיסיז בפֿרט אויף דערגייונג וואַלנעראַביליטיז און וואָס ריכטן דאַטן צו CVEs. אָבער, דער פּראָדוקט אָפפערס יוזערז עטלעכע אַפּערטונאַטיז צו יקספּאַנד פאַנגקשאַנז ניצן צאַפּן-אין דריווערס.

דאַגדאַ

וועבזייַטל: github.com/eliasgranderubio/dagda
ליסענסע: פריי (אַפּאַטשי)

Dagda פּערפאָרמז סטאַטיק אַנאַליסיס פון קאַנטיינער בילדער פֿאַר באַוווסט וואַלנעראַביליטיז, טראָדזשאַנס, ווירוסעס, מאַלוואַרע און אנדערע טרעץ.

צוויי נאָוטאַבאַל פֿעיִקייטן ויסטיילן Dagda פון אנדערע ענלעך מכשירים:

עס ינטאַגרייץ בישליימעס מיט קלאַמאַוו, אַקטינג ניט בלויז ווי אַ געצייַג פֿאַר סקאַנינג קאַנטיינער בילדער, אָבער אויך ווי אַן אַנטיווירוס.
אויך גיט רונטימע שוץ דורך ריסיווינג פאַקטיש-צייט געשעענישן פון די דאָקקער דיימאַן און ינטאַגרייטינג מיט Falco (זע אונטן) צו זאַמלען זיכערהייט געשעענישן בשעת דער קאַנטיינער איז פליסנדיק.

KubeXray

וועבזייַטל: github.com/jfrog/kubexray
ליסענסע: פריי (אַפּאַטשי), אָבער ריקווייערז דאַטן פון JFrog Xray (געשעפט פּראָדוקט)

KubeXray ליסאַנז צו געשעענישן פון די Kubernetes API סערווער און ניצט מעטאַדאַטאַ פון JFrog Xray צו ענשור אַז בלויז פּאָדס וואָס גלייַכן די קראַנט פּאָליטיק זענען לאָנטשט.

KubeXray ניט בלויז אַדאַץ נייַ אָדער דערהייַנטיקט קאַנטיינערז אין דיפּלוימאַנץ (ענלעך צו די אַרייַנטרעטן קאָנטראָללער אין Kubernetes), אָבער אויך דינאַמיקאַללי טשעקס פליסנדיק קאַנטיינערז פֿאַר העסקעם מיט נייַע זיכערהייט פּאַלאַסיז, רימוווינג רעסורסן וואָס דערמאָנען שפּירעוודיק בילדער.

סניק

וועבזייַטל: snyk.io
ליסענסע: פריי (אַפּאַטשי) און געשעפט ווערסיעס

Snyk איז אַ ומגעוויינטלעך וואַלנעראַביליטי סקאַננער ווייַל עס ספּאַסיפיקלי טאַרגאַץ די אַנטוויקלונג פּראָצעס און איז פּראָמאָטעד ווי אַ "יקערדיק לייזונג" פֿאַר דעוועלאָפּערס.

Snyk קאַנעקץ גלייך צו קאָד ריפּאַזאַטאָריז, פּאַרסעס די פּרויעקט מאַנאַפעסטיישאַן און אַנאַליזעס די ימפּאָרטיד קאָד צוזאמען מיט דירעקט און ומדירעקט דיפּענדאַנסיז. Snyk שטיצט פילע פאָלקס פּראָגראַממינג שפּראַכן און קענען ידענטיפיצירן פאַרבאָרגן דערלויבעניש ריסקס.

טריווי

וועבזייַטל: github.com/knqyf263/trivy
ליסענסע: פריי (AGPL)

טריווי איז אַ פּשוט אָבער שטאַרק וואַלנעראַביליטי סקאַננער פֿאַר קאַנטיינערז וואָס לייכט ינטאַגרייץ אין אַ סי / סי רערנ - ליניע. זיין נאָוטאַבאַל שטריך איז די יז פון ינסטאַלירונג און אָפּעראַציע: די אַפּלאַקיישאַן באשטייט פון אַ איין ביינערי און טוט נישט דאַרפן ינסטאַלירונג פון אַ דאַטאַבייס אָדער נאָך לייברעריז.

די דאַונסייד פון טריווי ס פּאַשטעס איז אַז איר האָבן צו רעכענען אויס ווי צו פּאַרס און פאָרויס די רעזולטאַטן אין JSON פֿאָרמאַט אַזוי אַז אנדערע Kubernetes זיכערהייט מכשירים קענען נוצן זיי.

רונטימע זיכערהייט אין Kubernetes

פאַלקאָ

וועבזייַטל: falco.org
ליסענסע: פריי (אַפּאַטשי)

Falco איז אַ גאַנג פון מכשירים פֿאַר סיקיורינג וואָלקן רונטימע ינווייראַנמאַנץ. טייל פון די פּרויעקט משפּחה קנקף.

מיט Sysdig ס לינוקס קערן-מדרגה מכשירים און סיסטעם רופן פּראָפילינג, Falco אַלאַוז איר צו ונטערטוקנ זיך טיף אין סיסטעם נאַטור. זיין רונטימע כּללים מאָטאָר איז טויגעוודיק פון דיטעקטינג סאַספּישאַס טעטיקייט אין אַפּלאַקיישאַנז, קאַנטיינערז, די אַנדערלייינג באַלעבאָס און די Kubernetes אָרטשעסטראַטאָר.

Falco גיט גאַנץ דורכזעיקייַט אין די רונטימע און סאַקאָנע דיטעקשאַן דורך דיפּלויינג ספּעציעלע אגענטן אויף Kubernetes נאָודז פֿאַר די צוועקן. ווי אַ רעזולטאַט, עס איז ניט דאַרפֿן צו מאָדיפיצירן קאַנטיינערז דורך ינטראָודוסינג דריט-פּאַרטיי קאָד אין זיי אָדער אַדינג סיידקאַר קאַנטיינערז.

לינוקס זיכערהייט פראַמעוואָרקס פֿאַר רונטימע

די געבוירן פראַמעוואָרקס פֿאַר די לינוקס קערן זענען נישט "Kubernetes זיכערהייט מכשירים" אין דעם טראדיציאנעלן זינען, אָבער זיי זענען ווערט דערמאנט ווייַל זיי זענען אַ וויכטיק עלעמענט אין דעם קאָנטעקסט פון רונטימע זיכערהייט, וואָס איז אַרייַנגערעכנט אין די Kubernetes Pod Security Policy (PSP).

אַפּפּאַרמאָר אַטאַטשיז אַ זיכערהייט פּראָפיל צו פּראַסעסאַז פליסנדיק אין דעם קאַנטיינער, דיפיינינג טעקע סיסטעם פּריווילאַדזשאַז, נעץ אַקסעס כּללים, קאַנעקטינג לייברעריז, עטק. דאָס איז אַ סיסטעם באזירט אויף מאַנדאַטאָרי אַקסעס קאָנטראָל (MAC). אין אנדערע ווערטער, עס פּריווענץ פּראָוכיבאַטאַד אַקשאַנז.

זיכערהייט-ענכאַנסט לינוקס (SELinux) איז אַ אַוואַנסירטע זיכערהייט מאָדולע אין די לינוקס קערן, ענלעך אין עטלעכע אַספּעקץ צו AppArmor און אָפט קאַמפּערד מיט אים. SELinux איז העכער צו אַפּאַרמאָר אין מאַכט, בייגיקייט און קוסטאָמיזאַטיאָן. זייַן דיסאַדוואַנטידזשיז זענען לאַנג לערנען ויסבייג און געוואקסן קאַמפּלעקסיטי.

Secomp און seccomp-bpf לאָזן איר צו פילטער סיסטעם קאַללס, פאַרשפּאַרן די דורכפירונג פון די וואָס זענען פּאַטענטשאַלי געפערלעך פֿאַר די באַזע אַס און זענען נישט דארף פֿאַר נאָרמאַל אָפּעראַציע פון באַניצער אַפּלאַקיישאַנז. Secommp איז ענלעך צו Falco אין עטלעכע וועגן, כאָטש עס קען נישט וויסן די ספּעסיפיקס פון קאַנטיינערז.

Sysdig עפענען מקור

וועבזייַטל: www.sysdig.com/opensource
ליסענסע: פריי (אַפּאַטשי)

Sysdig איז אַ גאַנץ געצייַג פֿאַר אַנאַלייזינג, דיאַגנאָסינג און דיבאַגינג לינוקס סיסטעמען (אַרבעט אויך אויף Windows און macOS, אָבער מיט לימיטעד פאַנגקשאַנז). עס קענען זיין געוויינט פֿאַר דיטיילד אינפֿאָרמאַציע זאַמלונג, וועראַפאַקיישאַן און פאָרענסיק אַנאַליסיס. (פאָרענסיק) די באַזע סיסטעם און קיין קאַנטיינערז פליסנדיק אויף עס.

Sysdig אויך נייטיוו שטיצט קאַנטיינער רונטימע און Kubernetes מעטאַדאַטאַ, אַדינג נאָך דימענשאַנז און לאַבעלס צו אַלע סיסטעם נאַטור אינפֿאָרמאַציע עס קאַלעקץ. עס זענען עטלעכע וועגן צו אַנאַלייז אַ Kubernetes קנויל מיט Sysdig: איר קענען דורכפירן פונט-אין-צייט כאַפּן דורך קובעקטל כאַפּן אָדער קאַטער אַן ncurses-באזירט ינטעראַקטיוו צובינד ניצן אַ פּלוגין קובעקטל גראָבן.

Kubernetes Network Security

אַפּאָרעטאָ

וועבזייַטל: www.aporeto.com
ליסענסע: געשעפט

Aporeto אָפפערס "זיכערהייַט אפגעשיידט פון די נעץ און ינפראַסטראַקטשער." דאָס מיינט אַז Kubernetes באַדינונגס באַקומען נישט בלויז אַ היגע שייַן (ד"ה סערוויס אַקאַונט אין Kubernetes), אָבער אויך אַ וניווערסאַל שייַן / פינגערפּרינט וואָס קענען זיין געוויינט צו יבערגעבן סיקיורלי און מיוטשואַלי מיט קיין אנדערע סערוויס, למשל אין אַן OpenShift קנויל.

Aporeto איז טויגעוודיק צו דזשענערייט אַ יינציק שייַן ניט בלויז פֿאַר Kubernetes / קאַנטיינערז, אָבער אויך פֿאַר מחנות, וואָלקן פאַנגקשאַנז און יוזערז. דעפּענדינג אויף די ידענטיפיערס און די גאַנג פון נעץ זיכערהייט כּללים באַשטימט דורך די אַדמיניסטראַטאָר, קאָמוניקאַציע וועט זיין ערלויבט אָדער אפגעשטעלט.

קאַליקאָ

וועבזייַטל: www.projectcalico.org
ליסענסע: פריי (אַפּאַטשי)

קאַליקאָ איז טיפּיקלי דיפּלויד בעשאַס אַ קאַנטיינער אָרקעסטראַטאָר ייַנמאָנטירונג, אַלאַוינג איר צו שאַפֿן אַ ווירטואַל נעץ וואָס ינטערקאַנעקץ קאַנטיינערז. אין אַדישאַן צו די יקערדיק נעץ פאַנגקשאַנאַליטי, די Calico פּרויעקט אַרבעט מיט Kubernetes נעטוואָרק פּאָליסיעס און זיין אייגענע גאַנג פון נעץ זיכערהייט פּראָופיילז, שטיצט ענדפּוינט אַקלס (אַקסעס קאָנטראָל רשימות) און אַנאָטאַציע-באזירט נעץ זיכערהייט כּללים פֿאַר ינגרעסס און עגרעסס פאַרקער.

סיליום

וועבזייַטל: www.cilium.io
ליסענסע: פריי (אַפּאַטשי)

סיליום אַקץ ווי אַ פיירוואַל פֿאַר קאַנטיינערז און גיט נעץ זיכערהייט פֿעיִקייטן נייטיוולי טיילערד צו קובערנעטעס און מיקראָסערוויסעס ווערקלאָודז. סיליום ניצט אַ נייַע לינוקס קערן טעכנאָלאָגיע גערופֿן BPF (Berkeley Packet Filter) צו פילטער, מאָניטאָר, רידערעקט און ריכטיק דאַטן.

סיליום איז טויגעוודיק פון דיפּלויינג נעץ אַקסעס פּאַלאַסיז באזירט אויף קאַנטיינער IDs ניצן Docker אָדער Kubernetes לאַבעלס און מעטאַדאַטאַ. סיליום אויך פארשטייט און פילטערס פאַרשידן שיכטע 7 פּראָטאָקאָלס אַזאַ ווי HTTP אָדער gRPC, אַלאַוינג איר צו דעפינירן אַ סכום פון REST קאַללס וואָס וועט זיין ערלויבט צווישן צוויי Kubernetes דיפּלוימאַנץ, למשל.

יסטיאָ

וועבזייַטל: istio.io
ליסענסע: פריי (אַפּאַטשי)

Istio איז וויידלי באַוווסט פֿאַר ימפּלאַמענינג די סערוויס מעש פּאַראַדיגם דורך דיפּלייינג אַ פּלאַטפאָרמע-פרייַ קאָנטראָל פלאַך און רוטינג אַלע געראטן סערוויס פאַרקער דורך דינאַמיקאַללי קאַנפיגיערד ענוווי פּראַקסיז. Istio ניצט דעם אַוואַנסירטע מיינונג פון אַלע מיקראָ באַדינונגס און קאַנטיינערז צו ינסטרומענט פאַרשידן נעץ זיכערהייט סטראַטעגיעס.

Istio ס נעץ זיכערהייט קייפּאַבילאַטיז אַרייַננעמען טראַנספּעראַנט TLS ענקריפּשאַן צו אויטאָמאַטיש אַפּגרייד קאָמוניקאַציע צווישן מיקראָ באַדינונגס צו הטטפּס, און אַ פּראַפּרייאַטערי RBAC לעגיטימאַציע און דערלויבעניש סיסטעם צו לאָזן / לייקענען קאָמוניקאַציע צווישן פאַרשידענע ווערקלאָודז אין דעם קנויל.

נאטיץ. טראַנסל.: צו לערנען מער וועגן Istio ס זיכערהייט-פאָוקיסט קייפּאַבילאַטיז, לייענען דעם אַרטיקל.

טיגעראַ

וועבזייַטל: www.tigera.io
ליסענסע: געשעפט

גערופֿן די "Kubernetes Firewall," דעם לייזונג עמפאַסייזיז אַ נול צוטרוי צוגאַנג צו נעץ זיכערהייט.

ענלעך צו אנדערע געבוירן Kubernetes נעטוואָרקינג סאַלושאַנז, Tigera רילייז אויף מעטאַדאַטאַ צו ידענטיפיצירן די פאַרשידן באַדינונגס און אַבדזשעקץ אין דעם קנויל און גיט רונטימע אַרויסגעבן דיטעקשאַן, קעסיידערדיק העסקעם קאָנטראָלירונג און נעץ וויזאַביליטי פֿאַר מאַלטי-וואָלקן אָדער כייבריד מאַנאַליטיק קאַנטאַינערייזד ינפראַסטראַקטשער.

טרירעמע

וועבזייַטל: www.aporeto.com/opensource
ליסענסע: פריי (אַפּאַטשי)

Trireme-Kubernetes איז אַ פּשוט און סטרייטפאָרווערד ימפּלאַמענטיישאַן פון די Kubernetes נעטוואָרק פּאָליסיעס באַשרייַבונג. די מערסט נאָוטאַבאַל שטריך איז אַז - ניט ענלעך Kubernetes נעץ זיכערהייט פּראָדוקטן - עס טוט נישט דאַרפן אַ הויפט קאָנטראָל פלאַך צו קאָואָרדאַנאַט די ייגל. דאָס מאכט די לייזונג טריוויאַלי סקאַלאַבלע. אין טרירעמע, דאָס איז אַטשיווד דורך ינסטאָלינג אַן אַגענט אויף יעדער נאָדע וואָס גלייך קאַנעקץ צו דער באַלעבאָס ס TCP / IP אָנלייגן.

בילד פּראַפּאַגיישאַן און סעקרעץ מאַנאַגעמענט

גראַפעאַס

וועבזייַטל: grafeas.io
ליסענסע: פריי (אַפּאַטשי)

Grafeas איז אַן אָפֿן מקור אַפּי פֿאַר ווייכווארג צושטעלן קייט אַדאַטינג און פאַרוואַלטונג. אויף אַ יקערדיק מדרגה, Grafeas איז אַ געצייַג פֿאַר קאַלעקטינג מעטאַדאַטאַ און קאָנטראָלירן פיינדינגז. עס קענען זיין גענוצט צו שפּור העסקעם מיט בעסטער זיכערהייט פּראַקטיסיז אין אַן אָרגאַניזאַציע.

דעם סענטראַלייזד מקור פון אמת העלפּס ענטפֿערן שאלות ווי:

ווער האָט געזאמלט און געחתמעט פֿאַר אַ באַזונדער קאַנטיינער?
האט עס דורכגעגאנגען אַלע זיכערהייט סקאַנז און טשעקס פארלאנגט דורך די זיכערהייט פּאָליטיק? ווען? וואס זענען געווען די רעזולטאטן?
ווער דיפּלויד עס צו פּראָדוקציע? וואָס ספּעציפיש פּאַראַמעטערס זענען געניצט בעשאַס דיפּלוימאַנט?

אין-טאָטאָ

וועבזייַטל: אין-toto.github.io
ליסענסע: פריי (אַפּאַטשי)

אין-טאָטאָ איז אַ פריימווערק דיזיינד צו צושטעלן אָרנטלעכקייַט, אָטענטאַקיישאַן און אַדאַטינג פון די גאנצע ווייכווארג צושטעלן קייט. ווען דיפּלייינג In-toto אין אַן ינפראַסטראַקטשער, אַ פּלאַן איז ערשטער דיפיינד וואָס באשרייבט די פאַרשידן סטעפּס אין די רערנ - ליניע (ריפּאַזאַטאָרי, CI / CD מכשירים, QA מכשירים, אַרטאַפאַקט קאַלעקטערז, אאז"ו ו) און די יוזערז (פאַראַנטוואָרטלעך מענטשן) וואָס זענען ערלויבט צו נוצן. אָנהייבן זיי.

אין-טאָטאָ מאָניטאָרס די דורכפירונג פון דעם פּלאַן, וועראַפייינג אַז יעדער אַרבעט אין דער קייט איז דורכגעקאָכט רעכט בלויז דורך אָטערייזד פּערסאַנעל און אַז קיין אַנאָטערייזד מאַניפּיאַליישאַנז זענען דורכגעקאָכט מיט די פּראָדוקט בעשאַס באַוועגונג.

Portieris

וועבזייַטל: github.com/IBM/portieris
ליסענסע: פריי (אַפּאַטשי)

Portieris איז אַ אַרייַנטרעטן קאָנטראָללער פֿאַר Kubernetes; געניצט צו דורכפירן אינהאַלט צוטרוי טשעקס. Portieris ניצט אַ סערווער נאָוטערי (מיר האָבן געשריבן וועגן אים אין די סוף די ארטיקל - אַפּפּראָקס. איבערזעצונג) ווי אַ מקור פון אמת צו וואַלאַדייט טראַסטיד און געחתמעט אַרטאַפאַקץ (ד"ה באוויליקט קאַנטיינער בילדער).

ווען אַ ווערקלאָוד איז באשאפן אָדער מאַדאַפייד אין Kubernetes, Portieris דאַונלאָודז די סיינינג אינפֿאָרמאַציע און אינהאַלט צוטרוי פּאָליטיק פֿאַר די געבעטן קאַנטיינער בילדער און, אויב נייטיק, מאכט ענדערונגען אין די JSON API כייפעץ צו לויפן געחתמעט ווערסיעס פון די בילדער.

Vault

וועבזייַטל: www.vaultproject.io
ליסענסע: פריי (MPL)

Vault איז אַ זיכער לייזונג פֿאַר סטאָרינג פּריוואַט אינפֿאָרמאַציע: פּאַסווערדז, OAuth טאָקענס, PKI סערטיפיקאַץ, אַקסעס אַקאַונץ, Kubernetes סיקריץ, עטק. וואָלט שטיצט פילע אַוואַנסירטע פֿעיִקייטן, אַזאַ ווי ליסינג יפעמעראַל זיכערהייט טאָקענס אָדער אָרגאַנייזינג שליסל ראָוטיישאַן.

מיט די העלם טשאַרט, Vault קענען זיין דיפּלויד ווי אַ נייַע דיפּלוימאַנט אין אַ Kubernetes קנויל מיט קאָנסול ווי באַקענד סטאָרידזש. עס שטיצט געבוירן Kubernetes רעסורסן ווי ServiceAccount טאָקענס און קענען אפילו שפּילן ווי די פעליקייַט קראָם פֿאַר Kubernetes סיקריץ.

נאטיץ. טראַנסל.: דורך דעם וועג, נאָר נעכטן די פירמע HashiCorp, וואָס דעוועלאָפּס וואָלט, מודיע עטלעכע ימפּרווומאַנץ פֿאַר ניצן וואָלט אין קובערנעטעס און ספּעציעל זיי פאַרבינדן צו די העלם טשאַרט. לייענען מער אין דעוועלאָפּער בלאָג.

Kubernetes Security Audit

קובע-באַנק

וועבזייַטל: github.com/aquasecurity/kube-bench
ליסענסע: פריי (אַפּאַטשי)

Kube-bench איז אַ Go אַפּלאַקיישאַן אַז טשעקס צי Kubernetes איז סיקיורלי דיפּלויד דורך פליסנדיק טעסץ פֿון אַ רשימה סיס קובערנעטעס בענטשמאַרק.

Kube-Bench זוכט פֿאַר ינסאַקיער קאַנפיגיעריישאַן סעטטינגס צווישן קנויל קאַמפּאָונאַנץ (עטק, API, קאָנטראָללער פאַרוואַלטער, אאז"ו ו), פּראָבלעמאַטיש טעקע אַקסעס רעכט, אַנפּראַטעקטיד אַקאַונץ אָדער עפענען פּאָרץ, מיטל קוואָטאַס, סעטטינגס פֿאַר לימיטינג די נומער פון אַפּי קאַללס צו באַשיצן קעגן דאָס אנפאלן אאז"ו ו

קובע-יעגער

וועבזייַטל: github.com/aquasecurity/kube-hunter
ליסענסע: פריי (אַפּאַטשי)

Kube-Hunter כאַנץ פֿאַר פּאָטענציעל וואַלנעראַביליטיז (אַזאַ ווי דורכפירונג פון ווייַט קאָד אָדער אַנטפּלעקונג פון דאַטן) אין Kubernetes קלאַסטערז. Kube-Hunter קענען זיין לויפן ווי אַ ווייַט סקאַנער - אין וואָס פאַל עס וועט אָפּשאַצן דעם קנויל פֿון די פונט פון מיינונג פון אַ דריט-פּאַרטיי אַטאַקער - אָדער ווי אַ פּאָד ין דער קנויל.

א אָפּשיידנדיק שטריך פון Kube-Hunter איז זיין "אַקטיוו גייעג" מאָדע, בעשאַס וואָס עס ניט בלויז ריפּאָרץ פּראָבלעמס, אָבער אויך פרוווט צו נוצן די וואַלנעראַביליטיז דיסקאַווערד אין די ציל קנויל וואָס קען פּאַטענטשאַלי שאַטן זיין אָפּעראַציע. אַזוי נוצן מיט וואָרענען!

קובעאַודיט

וועבזייַטל: github.com/Shopify/kubeaudit
ליסענסע: פריי (MIT)

Kubeaudit איז אַ קאַנסאָול געצייַג ערידזשנאַלי דעוועלאָפּעד ביי Shopify צו קאָנטראָלירן Kubernetes קאַנפיגיעריישאַן פֿאַר פאַרשידן זיכערהייט ישוז. פֿאַר בייַשפּיל, עס העלפּס צו ידענטיפיצירן קאַנטיינערז פליסנדיק אַנריסטריקטיד, פליסנדיק ווי וואָרצל, אַביוזינג פּריווילאַדזשאַז אָדער ניצן די פעליקייַט סערוויס אַקאַונט.

Kubeaudit האט אנדערע טשיקאַווע פֿעיִקייטן. פֿאַר בייַשפּיל, עס קענען פונאַנדערקלייַבן היגע YAML טעקעס, ידענטיפיצירן קאַנפיגיעריישאַן פלאָז וואָס קען פירן צו זיכערהייט פּראָבלעמס און אויטאָמאַטיש פאַרריכטן זיי.

קובעסעק

וועבזייַטל: kubesec.io
ליסענסע: פריי (אַפּאַטשי)

Kubesec איז אַ ספּעציעל געצייַג אין וואָס עס סקאַנז גלייך YAML טעקעס וואָס באַשרייַבן Kubernetes רעסורסן, איר זוכט פֿאַר שוואַך פּאַראַמעטערס וואָס קען ווירקן זיכערהייט.

פֿאַר בייַשפּיל, עס קענען דעטעקט יבעריק פּריווילאַדזשאַז און פּערמישאַנז געגעבן צו אַ פּאָד, לויפן אַ קאַנטיינער מיט וואָרצל ווי די פעליקייַט באַניצער, קאַנעקטינג צו דער באַלעבאָס ס נעץ נאָמען פּלאַץ אָדער געפערלעך מאַונץ ווי /proc באַלעבאָס אָדער דאָקקער כאָלעל. אן אנדער טשיקאַווע שטריך פון Kubesec איז די דעמאָ דינסט בנימצא אָנליין, אין וואָס איר קענען צופֿעליקער YAML און גלייך אַנאַלייז עס.

עפֿן פּאָליטיק אַגענט

וועבזייַטל: www.openpolicyagent.org
ליסענסע: פריי (אַפּאַטשי)

דער באַגריף פון אָפּאַ (עפֿן פּאָליטיק אַגענט) איז צו דיקאָופּול זיכערהייט פּאַלאַסיז און זיכערהייט בעסטער פּראַקטיסיז פון אַ ספּעציפיש רונטימע פּלאַטפאָרמע: דאָקקער, קובערנעטעס, מעסאָספערע, אָפּענשיפט, אָדער קיין קאָמבינאַציע דערפון.

פֿאַר בייַשפּיל, איר קענען צעוויקלען OPA ווי אַ באַקענד פֿאַר די Kubernetes אַרייַנטרעטן קאָנטראָללער, דעלאַגייטינג זיכערהייט דיסיזשאַנז צו עס. דער וועג, די OPA אַגענט קענען וואַלאַדייט, אָפּוואַרפן און אפילו מאָדיפיצירן ריקוועס אויף די פליען, און ינשורינג אַז די ספּעסיפיעד זיכערהייט פּאַראַמעטערס זענען באגעגנט. OPA ס זיכערהייט פּאַלאַסיז זענען געשריבן אין זייַן פּראַפּרייאַטערי DSL שפּראַך, Rego.

נאטיץ. טראַנסל.: מיר געשריבן מער וועגן OPA (און SPIFFE) אין דעם מאַטעריאַל.

פולשטענדיק געשעפט מכשירים פֿאַר Kubernetes זיכערהייט אַנאַליסיס

מיר באַשלאָסן צו שאַפֿן אַ באַזונדער קאַטעגאָריע פֿאַר געשעפט פּלאַטפאָרמס ווייַל זיי טיפּיקלי דעקן קייפל זיכערהייט געביטן. א גענעראַל געדאַנק פון זייער קייפּאַבילאַטיז קענען זיין באקומען פון די טיש:

* אַוואַנסירטע דורכקוק און פּאָסט-מאָרטעם אַנאַליסיס מיט גאַנץ סיסטעם רופן כיידזשאַקינג.

אַקוואַ זיכערהייַט

וועבזייַטל: www.aquasec.com
ליסענסע: געשעפט

דעם געשעפט געצייַג איז דיזיינד פֿאַר קאַנטיינערז און וואָלקן ווערקלאָודז. עס גיט:

בילד סקאַנינג ינאַגרייטיד מיט אַ קאַנטיינער רעגיסטרי אָדער סי / סי רערנ - ליניע;
רונטימע שוץ מיט זוכן פֿאַר ענדערונגען אין קאַנטיינערז און אנדערע סאַספּישאַס אַקטיוויטעטן;
קאַנטיינער-געבוירן פיירוואַל;
זיכערהייט פֿאַר סערווערלעסס אין וואָלקן באַדינונגס;
קאָמפּליאַנסע טעסטינג און אַדאַטינג קאַמביינד מיט געשעעניש לאָגינג.

נאטיץ. טראַנסל.: עס איז אויך כדאי צו באמערקן אַז עס זענען פּאָטער קאָמפּאָנענט פון די פּראָדוקט גערופן מיקראָסקאַנער, וואָס אַלאַוז איר צו יבערקוקן קאַנטיינער בילדער פֿאַר וואַלנעראַביליטיז. א פאַרגלייַך פון זייַן קייפּאַבילאַטיז מיט באַצאָלט ווערסיעס איז דערלאנגט אין דעם טיש.

קאַפּסל 8

וועבזייַטל: capsule8.com
ליסענסע: געשעפט

Capsule8 ינטאַגרייץ אין די ינפראַסטראַקטשער דורך ינסטאָלינג די דעטעקטאָר אויף אַ היגע אָדער וואָלקן Kubernetes קנויל. דער דעטעקטאָר קאַלעקץ באַלעבאָס און נעץ טעלעמעטרי, קאָראַלייטינג עס מיט פאַרשידענע טייפּס פון אנפאלן.

די קאַפּסולע8 מאַנשאַפֿט זעט זיין אַרבעט ווי פרי דיטעקשאַן און פאַרהיטונג פון אנפאלן ניצן נייַ (0-טאָג) וואַלנעראַביליטיז. Capsule8 קענען אראפקאפיע דערהייַנטיקט זיכערהייט כּללים גלייך צו דעטעקטאָרס אין ענטפער צו ניי דיסקאַווערד טרעץ און ווייכווארג וואַלנעראַביליטיז.

קאַווירין

וועבזייַטל: www.cavirin.com
ליסענסע: געשעפט

קאַווירין אקטן ווי אַ פירמע-זייַט קאָנטראַקטאָר פֿאַר פאַרשידן יידזשאַנסיז ינוואַלווד אין זיכערקייַט סטאַנדאַרדס. ניט בלויז קענען עס יבערקוקן בילדער, אָבער עס קענען אויך ויסשטימען אין די סי / סי רערנ - ליניע, בלאַקינג ניט-נאָרמאַל בילדער איידער זיי אַרייַן פארמאכט ריפּאַזאַטאָריז.

די זיכערהייט סוויט פון Cavirin ניצט מאַשין לערנען צו אַססעסס דיין סייבערסעקוריטי האַלטנ זיך, און אָפפערס עצות צו פֿאַרבעסערן זיכערהייט און פֿאַרבעסערן העסקעם מיט זיכערהייט סטאַנדאַרדס.

Google Cloud Security Command Center

וועבזייַטל: cloud.google.com/security-command-center
ליסענסע: געשעפט

קלאָוד סעקוריטי קאַמאַנד צענטער העלפּס זיכערהייט טימז צו זאַמלען דאַטן, ידענטיפיצירן טרעץ און עלימינירן זיי איידער זיי שאַטן די פירמע.

ווי דער נאָמען סאַגדזשעס, Google Cloud SCC איז אַ יונאַפייד קאָנטראָל טאַפליע וואָס קענען ויסשטימען און פירן אַ פאַרשיידנקייַט פון זיכערהייט ריפּאָרץ, אַסעט אַקאַונטינג ענדזשאַנז און דריט-פּאַרטיי זיכערהייט סיסטעמען פֿון איין, סענטראַלייזד מקור.

די ינטעראָפּעראַבלע אַפּי געפֿינט דורך Google Cloud SCC מאכט עס גרינג צו ויסשטימען זיכערהייט געשעענישן וואָס קומען פֿון פאַרשידן קוואלן, אַזאַ ווי Sysdig Secure (container זיכערהייט פֿאַר וואָלקן געבוירן אַפּלאַקיישאַנז) אָדער Falco (Open Source רונטימע זיכערהייט).

Layered Insight (Qualys)

וועבזייַטל: layeredinsight.com
ליסענסע: געשעפט

Layered Insight (איצט טייל פון Qualys Inc) איז געבויט אויף דער באַגריף פון "עמבעדיד זיכערהייט." נאָך סקאַנינג דער אָריגינעל בילד פֿאַר וואַלנעראַביליטיז ניצן סטאַטיסטיש אַנאַליסיס און CVE טשעקס, Layered Insight ריפּלייסיז עס מיט אַ ינסטרומענטעד בילד וואָס כולל די אַגענט ווי אַ ביינערי.

דער אַגענט כּולל רונטימע זיכערהייט טעסץ צו אַנאַלייז קאַנטיינער נעץ פאַרקער, י / אָ פלאָוז און אַפּלאַקיישאַן אַקטיוויטעטן. אין אַדישאַן, עס קענען דורכפירן נאָך זיכערהייט טשעקס ספּעסיפיעד דורך די ינפראַסטראַקטשער אַדמיניסטראַטאָר אָדער DevOps טימז.

NeuVector

וועבזייַטל: neuvector.com
ליסענסע: געשעפט

NeuVector קאָנטראָלס קאַנטיינער זיכערהייט און גיט רונטימע שוץ דורך אַנאַלייזינג נעץ טעטיקייט און אַפּלאַקיישאַן נאַטור, קריייטינג אַ יחיד זיכערהייט פּראָפיל פֿאַר יעדער קאַנטיינער. עס קען אויך פאַרשפּאַרן טרעץ אויף זיך, יזאָלירן סאַספּישאַס טעטיקייט דורך טשאַנגינג היגע פיירוואַל כּללים.

די נעץ ינאַגריישאַן פון NeuVector, באַוווסט ווי סעקוריטי מעש, איז טויגעוודיק פון טיף פּאַקאַט אַנאַליסיס און שיכטע 7 פֿילטרירונג פֿאַר אַלע נעץ קאַנעקשאַנז אין די סערוויס מעש.

StackRox

וועבזייַטל: www.stackrox.com
ליסענסע: געשעפט

די סטאַקקראָקס קאַנטיינער זיכערהייט פּלאַטפאָרמע סטרייווז צו דעקן די גאנצע לעבן פון Kubernetes אַפּלאַקיישאַנז אין אַ קנויל. ווי אנדערע געשעפט פּלאַטפאָרמס אויף דער רשימה, StackRox דזשענערייץ אַ רונטימע פּראָפיל באזירט אויף באמערקט קאַנטיינער נאַטור און אויטאָמאַטיש רייזאַז אַ שרעק פֿאַר דיווייישאַנז.

אַדדיטיאָנאַללי, StackRox אַנאַליזעס Kubernetes קאַנפיגיעריישאַנז ניצן די Kubernetes CIS און אנדערע רולבאָאָקס צו אָפּשאַצן די העסקעם פון קאַנטיינערז.

Sysdig Secure

וועבזייַטל: sysdig.com/products/secure
ליסענסע: געשעפט

Sysdig Secure פּראַטעקץ אַפּלאַקיישאַנז איבער די גאנצע קאַנטיינער און Kubernetes לייפסייק. ער סקאַנז בילדער קאַנטיינערז, גיט רונטימע שוץ לויט צו מאַשין לערנען דאַטן, פּערפאָרמז קרעם. עקספּערטיז צו ידענטיפיצירן וואַלנעראַביליטיז, בלאַקס טרעץ, מאָניטאָרס העסקעם מיט געגרינדעט סטאַנדאַרדס און אַדאַץ אַקטיוויטעטן אין מיקראָ באַדינונגס.

Sysdig Secure ינטאַגרייץ מיט סי / קאָמפּאַקטדיסק מכשירים אַזאַ ווי Jenkins און קאָנטראָלס בילדער לאָודיד פֿון דאָקער רעגיסטריז, פּרעווענטינג געפערלעך בילדער אין פּראָדוקציע. עס אויך גיט פולשטענדיק רונטימע זיכערהייט, אַרייַנגערעכנט:

ML-באזירט רונטימע פּראָפילינג און אַנאַמאַלי דיטעקשאַן;
רונטימע פּאַלאַסיז באזירט אויף סיסטעם געשעענישן, K8s-audit API, שלאָס קהל פּראַדזשעקס (FIM - מאָניטאָרינג פון טעקע אָרנטלעכקייַט; קריפּטאָדזשאַקינג) און פריימווערק MITER AT&CK;
ענטפער און האַכלאָטע פון ינסאַדאַנץ.

טענאַבלע קאַנטיינער זיכערהייַט

וועבזייַטל: www.tenable.com/products/tenable-io/container-security
ליסענסע: געשעפט

איידער די אַדווענט פון קאַנטיינערז, Tenable איז וויידלי באַוווסט אין די אינדוסטריע ווי די פירמע הינטער Nessus, אַ פאָלקס וואַלנעראַביליטי גייעג און זיכערהייט אַדאַטינג געצייַג.

Tenable Container Security לעוועראַדזשאַז די פירמע 'ס קאָמפּיוטער זיכערהייט עקספּערטיז צו ויסשטימען אַ CI / CD רערנ - ליניע מיט וואַלנעראַביליטי דאַטאַבייסיז, ספּעשאַלייזד מאַלוואַרע דיטעקשאַן פּאַקאַדזשאַז און רעקאַמאַנדיישאַנז פֿאַר ריזאַלווינג זיכערהייט טרעץ.

Twistlock (Palo Alto Networks)

וועבזייַטל: www.twistlock.com
ליסענסע: געשעפט

Twistlock פּראַמאָוץ זיך ווי אַ פּלאַטפאָרמע פאָוקיסט אויף וואָלקן באַדינונגס און קאַנטיינערז. Twistlock שטיצט פאַרשידן וואָלקן פּראַוויידערז (AWS, Azure, GCP), קאַנטיינער אָרקעסטראַטאָרס (Kubernetes, Mesospehere, OpenShift, Docker), סערווערלעסס רונטימע, מעש פראַמעוואָרקס און סי / סי מכשירים.

אין אַדישאַן צו קאַנווענשאַנאַל ענטערפּרייז-מיינונג זיכערהייט טעקניקס אַזאַ ווי סי / סי רערנ - ליניע ינטאַגריישאַן אָדער בילד סקאַנינג, Twistlock ניצט מאַשין לערנען צו דזשענערייט קאַנטיינער-ספּעציפיש נאַטוראַל פּאַטערנז און נעץ כּללים.

עטלעכע מאָל צוריק, Twistlock איז געקויפט דורך Palo Alto Networks, וואָס אָונז די Evident.io און RedLock פּראַדזשעקס. עס איז נאָך נישט באַוווסט ווי פּונקט די דריי פּלאַטפאָרמס וועט זיין ינאַגרייטיד אין פּריסמאַ פֿון פּאַלאָ אַלטאָ.

הילף בויען דער בעסטער קאַטאַלאָג פון Kubernetes זיכערהייט מכשירים!

מיר שטרעבן צו מאַכן דעם קאַטאַלאָג ווי פולשטענדיק ווי מעגלעך, און פֿאַר דעם מיר דאַרפֿן דיין הילף! רוף אונז (@סיסטיד) אויב איר האָט אַ קיל געצייַג אין זינען וואָס איז ווערט צו ינקלוזשאַן אין דער רשימה, אָדער איר געפֿינען אַ טעות / אַוטדייטיד אינפֿאָרמאַציע.

איר קענט אויך אַבאָנירן צו אונדזער כוידעשלעך נוזלעטער מיט נייַעס פון די וואָלקן-געבוירן יקאָוסיסטאַם און מעשיות וועגן טשיקאַווע פּראַדזשעקס פון די וועלט פון Kubernetes זיכערהייט.

פּס פון איבערזעצער

לייענען אויך אויף אונדזער בלאָג:

מקור: www.habr.com

33+ Kubernetes זיכערהייט מכשירים

Категории