🥇33+ Awọn irinṣẹ Aabo Kubernetes

Akiyesi. itumọ.: Ti o ba n iyalẹnu nipa aabo ni awọn amayederun orisun Kubernetes, Akopọ ti o dara julọ lati Sysdig jẹ aaye ibẹrẹ nla fun wiwo iyara ni awọn solusan lọwọlọwọ. O pẹlu awọn ọna ṣiṣe eka mejeeji lati ọdọ awọn oṣere ọja ti a mọ daradara ati pupọ diẹ sii awọn ohun elo iwọntunwọnsi ti o yanju iṣoro kan pato. Ati ninu awọn asọye, bi nigbagbogbo, a yoo ni idunnu lati gbọ nipa iriri rẹ nipa lilo awọn irinṣẹ wọnyi ati wo awọn ọna asopọ si awọn iṣẹ akanṣe miiran.

Awọn ọja sọfitiwia aabo Kubernetes… ọpọlọpọ ninu wọn lo wa, ọkọọkan pẹlu awọn ibi-afẹde tiwọn, iwọn, ati awọn iwe-aṣẹ.

Ti o ni idi ti a pinnu lati ṣẹda atokọ yii ati pẹlu awọn iṣẹ akanṣe orisun ṣiṣi mejeeji ati awọn iru ẹrọ iṣowo lati ọdọ awọn olutaja oriṣiriṣi. A nireti pe yoo ran ọ lọwọ lati ṣe idanimọ awọn ti o nifẹ julọ ati tọka si ọna ti o da lori awọn aini aabo Kubernetes rẹ pato.

Ilana

Lati jẹ ki atokọ rọrun lati lilö kiri, awọn irinṣẹ ti ṣeto nipasẹ iṣẹ akọkọ ati ohun elo. Awọn apakan wọnyi ti gba:

Ṣiṣayẹwo aworan Kubernetes ati itupalẹ aimi;
Aabo akoko;
Aabo nẹtiwọki Kubernetes;
Pipin aworan ati iṣakoso asiri;
Ayẹwo aabo Kubernetes;
Okeerẹ ti owo awọn ọja.

Jẹ ki a sọkalẹ lọ si iṣowo:

Ṣiṣayẹwo awọn aworan Kubernetes

Anchor

aaye ayelujara: anchore.com
iwe-aṣẹ: ọfẹ (Afun) ati ipese iṣowo

Anchore ṣe itupalẹ awọn aworan apoti ati gba awọn sọwedowo aabo ti o da lori awọn ilana asọye-olumulo.

Ni afikun si ọlọjẹ igbagbogbo ti awọn aworan eiyan fun awọn ailagbara ti a mọ lati ibi ipamọ data CVE, Anchore ṣe ọpọlọpọ awọn sọwedowo afikun gẹgẹbi apakan ti eto imulo ọlọjẹ rẹ: ṣayẹwo Dockerfile, awọn jijo iwe eri, awọn idii ti awọn ede siseto ti a lo (npm, maven, bbl .), Awọn iwe-aṣẹ sọfitiwia ati pupọ diẹ sii.

Clair

aaye ayelujara: coreos.com/clair (bayi labẹ itọju ti Red Hat)
Iwe-aṣẹ: Ọfẹ (Apache)

Clair jẹ ọkan ninu awọn iṣẹ akanṣe Orisun Orisun akọkọ fun wíwo aworan. O jẹ olokiki pupọ bi ọlọjẹ aabo lẹhin iforukọsilẹ aworan Quay (tun lati CoreOS - isunmọ. itumọ). Clair умеет собирать информацию о CVE из большого числа источников, включая списки специфических для Linux-дистрибутивов уязвимостей, которые ведут команды по безопасности Debian, Red Hat или Ubuntu.

Ko dabi Anchore, Clair ni akọkọ fojusi lori wiwa awọn ailagbara ati data tuntun si awọn CVE. Sibẹsibẹ, ọja naa nfun awọn olumulo diẹ ninu awọn aye lati faagun awọn iṣẹ nipa lilo awọn awakọ plug-in.

Daga

aaye ayelujara: github.com/eliasgranderubio/dagda
Iwe-aṣẹ: Ọfẹ (Apache)

Dagda ṣe itupalẹ aimi ti awọn aworan eiyan fun awọn ailagbara ti a mọ, Trojans, awọn ọlọjẹ, malware ati awọn irokeke miiran.

Awọn ẹya akiyesi meji ṣe iyatọ Dagda lati awọn irinṣẹ miiran ti o jọra:

O ṣepọ daradara pẹlu ClamAV, Ṣiṣe kii ṣe bi ohun elo nikan fun awọn aworan eiyan ọlọjẹ, ṣugbọn tun bi ọlọjẹ.
Paapaa pese aabo akoko ṣiṣe nipasẹ gbigba awọn iṣẹlẹ akoko gidi lati Docker daemon ati iṣọpọ pẹlu Falco (wo isalẹ) lati gba awọn iṣẹlẹ aabo nigba ti eiyan nṣiṣẹ.

KubeXray

aaye ayelujara: github.com/jfrog/kubexray
Iwe-aṣẹ: Ọfẹ (Apache), ṣugbọn nilo data lati JFrog Xray (ọja ti owo)

KubeXray tẹtisi awọn iṣẹlẹ lati olupin Kubernetes API ati lo metadata lati JFrog Xray lati rii daju pe awọn adarọ-ese nikan ti o baamu eto imulo lọwọlọwọ ni a ṣe ifilọlẹ.

KubeXray kii ṣe atunyẹwo awọn apoti tuntun tabi imudojuiwọn nikan ni awọn imuṣiṣẹ (bii si oludari gbigba ni Kubernetes), ṣugbọn tun ṣe atunwo awọn apoti ṣiṣiṣẹ fun ibamu pẹlu awọn eto imulo aabo tuntun, yiyọ awọn orisun ti o tọka si awọn aworan ipalara.

Snyk

aaye ayelujara: snyk.io
Iwe-aṣẹ: ọfẹ (Afun) ati awọn ẹya iṣowo

Snyk jẹ ọlọjẹ ailagbara dani ni pe o fojusi ilana idagbasoke ni pataki ati pe o ni igbega bi “ojutu pataki” fun awọn idagbasoke.

Snyk sopọ taara si awọn ibi ipamọ koodu, ṣe itupalẹ iṣẹ akanṣe ati ṣe itupalẹ koodu ti o wọle pẹlu awọn igbẹkẹle taara ati taara. Snyk ṣe atilẹyin ọpọlọpọ awọn ede siseto olokiki ati pe o le ṣe idanimọ awọn eewu iwe-aṣẹ ti o farapamọ.

Alailowaya

aaye ayelujara: github.com/knqyf263/trivy
Iwe-aṣẹ: Ọfẹ (AGPL)

Trivy jẹ ọlọjẹ ailagbara ti o rọrun ṣugbọn ti o lagbara fun awọn apoti ti o ni irọrun ṣepọ sinu opo gigun ti epo CI/CD. Ẹya akiyesi rẹ ni irọrun ti fifi sori ẹrọ ati iṣiṣẹ: ohun elo naa ni alakomeji kan ati pe ko nilo fifi sori ẹrọ data tabi awọn ile-ikawe afikun.

Ilọkuro si ayedero Trivy ni pe o ni lati ṣawari bi o ṣe le ṣe itupalẹ ati firanṣẹ awọn abajade ni ọna kika JSON ki awọn irinṣẹ aabo Kubernetes miiran le lo wọn.

Aabo asiko isise ni Kubernetes

Falco

aaye ayelujara: falco.org
Iwe-aṣẹ: Ọfẹ (Apache)

Falco jẹ ṣeto awọn irinṣẹ fun aabo awọn agbegbe asiko asiko awọsanma. Apá ti ebi ise agbese CNCF.

Используя инструментарий Sysdig для работы на уровне ядра Linux и профилирование системных вызовов, Falco позволяет глубоко погрузиться в поведение системы. Его механизм runtime-правил способен обнаруживать подозрительную активность в приложениях, контейнерах, базовом хосте и оркестраторе Kubernetes.

Falco n pese akoyawo pipe ni akoko asiko ati wiwa irokeke nipasẹ gbigbe awọn aṣoju pataki lori awọn apa Kubernetes fun awọn idi wọnyi. Bi abajade, ko si iwulo lati yi awọn apoti pada nipa fifihan koodu ẹni-kẹta sinu wọn tabi ṣafikun awọn apoti ẹgbẹ.

Фреймворки безопасности Linux для runtime

Эти родные для ядра Linux фреймворки не являются «инструментами безопасности Kubernetes» в привычном смысле, однако заслуживают упоминания, поскольку выступают важным элементом в контексте безопасности в runtime, что включается в Kubernetes Pod Security Policy (PSP).

AppArmor so profaili aabo kan si awọn ilana ti n ṣiṣẹ ninu apo eiyan, asọye awọn anfani eto faili, awọn ofin iraye si nẹtiwọọki, awọn ile-ikawe sisopọ, ati bẹbẹ lọ. Eyi jẹ eto ti o da lori Iṣakoso Wiwọle Dandan (MAC). Ni awọn ọrọ miiran, o ṣe idiwọ awọn iṣe leewọ lati ṣiṣe.

Aabo-Imudara Linux (SELinux) — это модуль расширенной безопасности в ядре Linux, в некоторых аспектах похожий на AppArmor и часто сравниваемый с ним. SELinux превосходит AppArmor по мощности, гибкости и тонкости настроек. Его недостатки — длительное освоение и повышенная сложность.

Seccomp ati seccomp-bpf gba ọ laaye lati ṣe àlẹmọ awọn ipe eto, dina ipaniyan ti awọn ti o lewu fun OS mimọ ati pe ko nilo fun iṣẹ deede ti awọn ohun elo olumulo. Seccomp jẹ iru si Falco ni diẹ ninu awọn ọna, botilẹjẹpe ko mọ awọn pato ti awọn apoti.

Sysdig ìmọ orisun

aaye ayelujara: www.sysdig.com/opensource
Iwe-aṣẹ: Ọfẹ (Apache)

Sysdig — полноценный инструмент для анализа, диагностики и отладки Linux-систем (также работает на Windows и macOS, но с ограниченными функциями). Его можно использовать для сбора детальной информации, проверки и криминальной экспертизы (oniwadi) eto ipilẹ ati awọn apoti eyikeyi ti nṣiṣẹ lori rẹ.

Sysdig tun ṣe atilẹyin abinibi ni abinibi awọn akoko asiko eiyan ati Kubernetes metadata, fifi awọn iwọn afikun ati awọn aami kun si gbogbo alaye ihuwasi eto ti o gba. Awọn ọna pupọ lo wa lati ṣe itupalẹ iṣupọ Kubernetes nipa lilo Sysdig: o le ṣe imudani aaye-akoko nipasẹ kubectl gbigba tabi lọlẹ ohun ncurses-orisun ibanisọrọ ni wiwo lilo ohun itanna kubectl iwo.

Kubernetes Network Aabo

Aporeto

aaye ayelujara: www.aporeto.com
Iwe-aṣẹ: iṣowo

Aporeto nfunni "aabo ti o ya sọtọ lati nẹtiwọki ati awọn amayederun." Eyi tumọ si pe awọn iṣẹ Kubernetes kii ṣe gba ID agbegbe nikan (ie ServiceAccount ni Kubernetes), ṣugbọn tun ID / itẹka gbogbo agbaye ti o le ṣee lo lati baraẹnisọrọ ni aabo ati ni ajọṣepọ pẹlu eyikeyi iṣẹ miiran, fun apẹẹrẹ ninu iṣupọ OpenShift.

Aporeto ni agbara lati ṣe ipilẹṣẹ ID alailẹgbẹ kii ṣe fun Kubernetes / awọn apoti nikan, ṣugbọn fun awọn agbalejo, awọn iṣẹ awọsanma ati awọn olumulo. Da lori awọn idamọ wọnyi ati ṣeto awọn ofin aabo nẹtiwọki ti a ṣeto nipasẹ alabojuto, awọn ibaraẹnisọrọ yoo gba laaye tabi dina.

Calico

aaye ayelujara: www.projectcalico.org
Iwe-aṣẹ: Ọfẹ (Apache)

Calico ni igbagbogbo ransogun lakoko fifi sori ẹrọ orchestrator kan, gbigba ọ laaye lati ṣẹda nẹtiwọọki foju kan ti o so awọn apoti pọ. Ni afikun si iṣẹ ṣiṣe nẹtiwọọki ipilẹ yii, iṣẹ akanṣe Calico ṣiṣẹ pẹlu Awọn eto imulo Nẹtiwọọki Kubernetes ati eto tirẹ ti awọn profaili aabo nẹtiwọki, ṣe atilẹyin ACLs ipari (awọn atokọ iṣakoso wiwọle) ati awọn ofin aabo nẹtiwọki ti o da lori asọye fun Ingress ati Egress ijabọ.

Siliomu

aaye ayelujara: www.cilium.io
Iwe-aṣẹ: Ọfẹ (Apache)

Cilium выступает в качестве брандмауэра для контейнеров и предоставляет функции по обеспечению сетевой безопасности, изначально адаптированные к Kubernetes и рабочим нагрузкам микросервисов. Cilium использует новую технологию ядра Linux под названием BPF (Berkeley Packet Filter) для фильтрации, мониторинга, перенаправления и корректировки данных.

Cilium ni agbara lati mu awọn ilana iraye si nẹtiwọọki ti o da lori awọn ID eiyan nipa lilo awọn aami Docker tabi Kubernetes ati metadata. Cilium tun loye ati ṣe asẹ ọpọlọpọ awọn ilana Ilana Layer 7 gẹgẹbi HTTP tabi gRPC, gbigba ọ laaye lati ṣalaye ṣeto ti awọn ipe REST ti yoo gba laaye laarin awọn imuṣiṣẹ Kubernetes meji, fun apẹẹrẹ.

Istio

aaye ayelujara: isoti.io
Iwe-aṣẹ: Ọfẹ (Apache)

Istio jẹ olokiki pupọ fun imuse ilana mesh iṣẹ nipasẹ gbigbe ọkọ ofurufu iṣakoso ominira ti pẹpẹ ati ipa ọna gbogbo ijabọ iṣẹ iṣakoso nipasẹ awọn aṣoju atunto Envoy ni agbara. Istio lo anfani ti iwo ilọsiwaju yii ti gbogbo awọn iṣẹ microservices ati awọn apoti lati ṣe ọpọlọpọ awọn ilana aabo nẹtiwọọki.

Awọn agbara aabo nẹtiwọọki Istio pẹlu fifi ẹnọ kọ nkan TLS sihin lati ṣe igbesoke awọn ibaraẹnisọrọ laifọwọyi laarin awọn iṣẹ microservices si HTTPS, ati idanimọ RBAC ti ohun-ini ati eto aṣẹ lati gba / kọ ibaraẹnisọrọ laarin awọn ẹru iṣẹ oriṣiriṣi ninu iṣupọ.

Akiyesi. itumọ.Lati kọ ẹkọ diẹ sii nipa awọn agbara idojukọ-aabo ti Istio, ka Arokọ yi.

Tigera

aaye ayelujara: www.tigera.io
Iwe-aṣẹ: iṣowo

Ti a npe ni "Kubernetes Firewall," ojutu yii n tẹnuba ọna igbẹkẹle odo si aabo nẹtiwọki.

Iru si awọn solusan Nẹtiwọọki Kubernetes abinibi miiran, Tigera gbarale metadata lati ṣe idanimọ ọpọlọpọ awọn iṣẹ ati awọn nkan inu iṣupọ ati pese wiwa akoko asiko, ṣiṣe ayẹwo ibamu nigbagbogbo, ati hihan nẹtiwọọki fun awọsanma pupọ tabi awọn amayederun arabara monolithic.

Trireme

aaye ayelujara: www.aporeto.com/opensource
Iwe-aṣẹ: Ọfẹ (Apache)

Trireme-Kubernetes — это простая и понятная реализация спецификации Kubernetes Network Policies. Самой примечательной особенностью является то, что — в отличие от похожих продуктов для сетевой безопасности Kubernetes — оно не требует центральной control plane для координации сетки (mesh). Это делает решение тривиально масштабируемым. В Trireme это достигается путем установки агента на каждый узел, который напрямую подключается к TCP/IP-стеку хоста.

Aworan Soju ati asiri Management

Grafeas

aaye ayelujara: grafeas.io
Iwe-aṣẹ: Ọfẹ (Apache)

Grafeas jẹ API orisun ṣiṣi fun iṣayẹwo pq ipese sọfitiwia ati iṣakoso. Ni ipele ipilẹ, Grafeas jẹ ohun elo fun gbigba awọn metadata ati awọn awari iṣayẹwo. O le ṣee lo lati tọpa ibamu pẹlu awọn iṣe aabo ti o dara julọ laarin agbari kan.

Orisun otitọ ti aarin yii ṣe iranlọwọ fun idahun awọn ibeere bii:

Tani o ṣajọ ati fowo si fun apoti kan pato?
Njẹ o ti kọja gbogbo awọn iwoye aabo ati awọn sọwedowo ti eto imulo aabo nilo? Nigbawo? Kí ni àbájáde rẹ̀?
Tani o gbe lọ si iṣelọpọ? Awọn paramita pato wo ni a lo lakoko imuṣiṣẹ?

Ninu-toto

aaye ayelujara: sinu-toto.github.io
Iwe-aṣẹ: Ọfẹ (Apache)

In-toto jẹ ilana ti a ṣe lati pese iṣotitọ, ijẹrisi ati iṣatunṣe ti gbogbo pq ipese sọfitiwia. Nigbati o ba n gbe In-toto sinu amayederun kan, ero kan ni akọkọ asọye ti o ṣe apejuwe awọn igbesẹ oriṣiriṣi ninu opo gigun ti epo (ibi ipamọ, awọn irinṣẹ CI/CD, awọn irinṣẹ QA, awọn agbowọ ohun-ọṣọ, ati bẹbẹ lọ) ati awọn olumulo (awọn eniyan ti o ni ojuṣe) ti o gba laaye lati pilẹṣẹ wọn.

In-toto ṣe abojuto ipaniyan ti ero naa, rii daju pe iṣẹ-ṣiṣe kọọkan ninu pq ni a ṣe ni deede nipasẹ oṣiṣẹ ti a fun ni aṣẹ nikan ati pe ko si awọn ifọwọyi laigba aṣẹ ti a ṣe pẹlu ọja lakoko gbigbe.

Porteris

aaye ayelujara: github.com/IBM/porteris
Iwe-aṣẹ: Ọfẹ (Apache)

Portieris jẹ oludari gbigba fun Kubernetes; ti a lo lati fi ipa mu awọn sọwedowo igbekele akoonu. Portieris nlo olupin kan Notary (a kowe nipa rẹ ni ipari Arokọ yi - isunmọ. itumọ) gẹgẹbi orisun otitọ lati fọwọsi awọn ohun-ọṣọ ti o gbẹkẹle ati ti a fọwọsi (ie awọn aworan apoti ti a fọwọsi).

Nigbati fifuye iṣẹ ba ṣẹda tabi yipada ni Kubernetes, Portieris ṣe igbasilẹ alaye iforukọsilẹ ati eto imulo igbẹkẹle akoonu fun awọn aworan apoti ti o beere ati, ti o ba jẹ dandan, ṣe awọn ayipada lori-fly si ohun elo JSON API lati ṣiṣe awọn ẹya fowo si ti awọn aworan yẹn.

Ile ifinkan pamo

aaye ayelujara: www.vaultproject.io
Iwe-aṣẹ: Ọfẹ (MPL)

Vault jẹ ojutu to ni aabo fun titoju alaye ikọkọ: awọn ọrọ igbaniwọle, awọn ami ami OAuth, awọn iwe-ẹri PKI, awọn akọọlẹ iwọle, awọn aṣiri Kubernetes, ati bẹbẹ lọ. Vault ṣe atilẹyin ọpọlọpọ awọn ẹya ilọsiwaju, gẹgẹbi yiyalo awọn ami aabo ephemeral tabi siseto yiyi bọtini.

Lilo iwe itẹwe Helm, Vault le ṣe ran lọ bi imuṣiṣẹ tuntun ni iṣupọ Kubernetes pẹlu Consul bi ibi ipamọ ẹhin. O ṣe atilẹyin awọn orisun Kubernetes abinibi bii awọn ami-ipamọ ServiceAccount ati pe o le paapaa ṣiṣẹ bi ile itaja aiyipada fun awọn aṣiri Kubernetes.

Akiyesi. itumọ.: Nipa ọna, o kan lana ni ile-iṣẹ HashiCorp, eyiti o ndagba Vault, kede diẹ ninu awọn ilọsiwaju fun lilo Vault ni Kubernetes, ati ni pataki wọn ni ibatan si chart Helm. Ka siwaju ninu bulọọgi developer.

Kubernetes Aabo Ayẹwo

Kube-ibujoko

aaye ayelujara: github.com/aquasecurity/kube-bench
Iwe-aṣẹ: Ọfẹ (Apache)

Kube-bench jẹ ohun elo Go ti o ṣayẹwo boya Kubernetes ti gbe lọ ni aabo nipasẹ ṣiṣe awọn idanwo lati atokọ kan CIS Kubernetes tunbo ma.

Kube-bench n wa awọn eto atunto ti ko ni aabo laarin awọn paati iṣupọ (ati bẹbẹ lọ, API, oluṣakoso oludari, ati bẹbẹ lọ), awọn ẹtọ iwọle si faili ibeere, awọn iroyin ti ko ni aabo tabi awọn ebute oko oju omi ṣiṣi, awọn ipin orisun, awọn eto fun idinku nọmba awọn ipe API lati daabobo lodi si awọn ikọlu DoS , ati be be lo.

Kube-ode

aaye ayelujara: github.com/aquasecurity/kube-hunter
Iwe-aṣẹ: Ọfẹ (Apache)

Kube-ode ode fun awọn ailagbara ti o pọju (gẹgẹbi ipaniyan koodu latọna jijin tabi sisọ data) ni awọn iṣupọ Kubernetes. Kube-ode le wa ni ṣiṣe bi a latọna scanner - ninu eyi ti nla ti o yoo akojopo awọn iṣupọ lati ojuami ti wo ti a ẹni-kẹta attacker - tabi bi a podu inu awọn iṣupọ.

Ẹya iyasọtọ ti Kube-ode ni ipo “ọdẹ lọwọ” rẹ, lakoko eyiti kii ṣe ijabọ awọn iṣoro nikan, ṣugbọn tun gbiyanju lati lo anfani awọn ailagbara ti a ṣe awari ninu iṣupọ ibi-afẹde ti o le ṣe ipalara iṣẹ rẹ. Nitorina lo pẹlu iṣọra!

Kubeaudit

aaye ayelujara: github.com/Shopify/kubeaudit
Iwe-aṣẹ: Ọfẹ (MIT)

Kubeaudit jẹ ohun elo console ti ipilẹṣẹ ni Shopify lati ṣe ayẹwo iṣeto Kubernetes fun ọpọlọpọ awọn ọran aabo. Fun apẹẹrẹ, o ṣe iranlọwọ idanimọ awọn apoti ti n ṣiṣẹ lainidi, nṣiṣẹ bi gbongbo, ilokulo awọn anfani, tabi lilo Akọọlẹ Iṣẹ aiyipada.

Kubeaudit ni awọn ẹya ti o nifẹ si miiran. Fun apẹẹrẹ, o le ṣe itupalẹ awọn faili YAML agbegbe lati ṣe idanimọ awọn abawọn iṣeto ni ti o le ja si awọn iṣoro aabo ati ṣatunṣe wọn laifọwọyi.

Kubesec

aaye ayelujara: kubesec.io
Iwe-aṣẹ: Ọfẹ (Apache)

Kubesec jẹ ohun elo pataki kan ni pe o ṣawari awọn faili YAML taara ti o ṣe apejuwe awọn orisun Kubernetes, n wa awọn alailagbara ti o le ni ipa lori aabo.

Fun apẹẹrẹ, o le ṣe awari awọn anfani ti o pọ ju ati awọn igbanilaaye ti a funni si adarọ-ese kan, ṣiṣiṣẹ apoti kan pẹlu gbongbo bi olumulo aiyipada, sisopọ si aaye orukọ nẹtiwọọki agbalejo, tabi awọn gbeko to lewu bii /proc ogun tabi Docker iho . Ẹya ti o nifẹ si ti Kubesec ni iṣẹ demo ti o wa lori ayelujara, eyiti o le gbejade YAML ati ṣe itupalẹ lẹsẹkẹsẹ.

Ṣii Aṣoju Afihan

aaye ayelujara: www.openpolicyagent.org
Iwe-aṣẹ: Ọfẹ (Apache)

Agbekale ti OPA (Aṣoju Afihan Ṣiṣiri) ni lati decouple awọn eto aabo ati awọn iṣe aabo ti o dara julọ lati ori pẹpẹ akoko asiko kan pato: Docker, Kubernetes, Mesosphere, OpenShift, tabi eyikeyi akojọpọ rẹ.

Fun apẹẹrẹ, o le ran OPA bi ẹhin fun olutọju gbigba Kubernetes, fifi awọn ipinnu aabo si i. Ni ọna yii, aṣoju OPA le fọwọsi, kọ, ati paapaa ṣe atunṣe awọn ibeere lori fifo, ni idaniloju pe awọn ipilẹ aabo ti a ti sọ tẹlẹ ti pade. Awọn ilana aabo OPA ni a kọ sinu ede DSL ohun-ini rẹ, Rego.

Akiyesi. itumọ.: A kowe diẹ sii nipa OPA (ati SPIFFE) ni ohun elo yi.

Awọn irinṣẹ iṣowo okeerẹ fun itupalẹ aabo Kubernetes

A pinnu lati ṣẹda ẹka lọtọ fun awọn iru ẹrọ iṣowo nitori pe wọn bo awọn agbegbe aabo lọpọlọpọ. Imọye gbogbogbo ti awọn agbara wọn le ṣee gba lati tabili:

* Idanwo ilọsiwaju ati itupalẹ iku ifiweranṣẹ pẹlu pipe eto ipe hijacking.

Aabo Omi

aaye ayelujara: www.aquasec.com
Iwe-aṣẹ: iṣowo

Ọpa iṣowo yii jẹ apẹrẹ fun awọn apoti ati awọn iṣẹ ṣiṣe awọsanma. O pese:

Ṣiṣayẹwo aworan ti a ṣepọ pẹlu iforukọsilẹ eiyan tabi opo gigun ti epo CI/CD;
Idaabobo akoko ṣiṣe pẹlu wiwa fun awọn ayipada ninu awọn apoti ati iṣẹ ifura miiran;
Apoti-abinibi ogiriina;
Aabo fun olupin ni awọn iṣẹ awọsanma;
Idanwo ibamu ati iṣatunṣe ni idapo pẹlu gedu iṣẹlẹ.

Akiyesi. itumọ.: O ti wa ni tun ye ki a kiyesi wipe o wa free paati ti ọja ti a npe ni MicroScanner, eyiti o fun ọ laaye lati ṣayẹwo awọn aworan apoti fun awọn ailagbara. A lafiwe ti awọn oniwe-agbara pẹlu san awọn ẹya ti wa ni gbekalẹ ninu tabili yi.

Kapusulu8

aaye ayelujara: capsule8.com
Iwe-aṣẹ: iṣowo

Capsule8 ṣepọ sinu awọn amayederun nipa fifi aṣawari sori agbegbe tabi awọsanma Kubernetes iṣupọ. Oluwari yii n gba agbalejo ati telemetry nẹtiwọki, ni ibamu pẹlu awọn iru ikọlu oriṣiriṣi.

Ẹgbẹ Capsule8 rii iṣẹ rẹ bi wiwa ni kutukutu ati idena awọn ikọlu nipa lilo tuntun (0-ọjọ) ailagbara. Capsule8 le ṣe igbasilẹ awọn ofin aabo imudojuiwọn taara si awọn aṣawari ni idahun si awọn irokeke tuntun ti a ṣe awari ati awọn ailagbara sọfitiwia.

Cavirin

aaye ayelujara: www.cavirin.com
Iwe-aṣẹ: iṣowo

Cavirin n ṣiṣẹ bi olugbaṣe ẹgbẹ-ẹgbẹ fun ọpọlọpọ awọn ile-iṣẹ ti o ni ipa ninu awọn iṣedede ailewu. Kii ṣe nikan o le ṣe ọlọjẹ awọn aworan, ṣugbọn o tun le ṣepọ sinu opo gigun ti epo CI/CD, dina awọn aworan ti kii ṣe deede ṣaaju ki wọn wọ awọn ibi ipamọ pipade.

Aabo aabo Cavirin nlo ẹkọ ẹrọ lati ṣe ayẹwo ipo aabo cybersecurity rẹ, fifunni awọn imọran lati mu ilọsiwaju aabo ati ilọsiwaju ibamu pẹlu awọn iṣedede aabo.

Ile-iṣẹ Aabo awọsanma Google

aaye ayelujara: cloud.google.com/security-command-center
Iwe-aṣẹ: iṣowo

Ile-iṣẹ Aabo Aabo awọsanma ṣe iranlọwọ fun awọn ẹgbẹ aabo lati gba data, ṣe idanimọ awọn irokeke, ati imukuro wọn ṣaaju ki wọn ba ile-iṣẹ naa jẹ.

Gẹgẹbi orukọ ṣe daba, Google Cloud SCC jẹ igbimọ iṣakoso iṣọkan ti o le ṣepọ ati ṣakoso ọpọlọpọ awọn ijabọ aabo, awọn ẹrọ iṣiro dukia, ati awọn eto aabo ẹni-kẹta lati ẹyọkan, orisun aarin.

API interoperable ti a funni nipasẹ Google Cloud SCC jẹ ki o rọrun lati ṣepọ awọn iṣẹlẹ aabo ti o nbọ lati awọn orisun oriṣiriṣi, bii Sysdig Secure (aabo apoti fun awọn ohun elo abinibi-awọsanma) tabi Falco (Aabo asiko asiko orisun ṣiṣi).

Ìjìnlẹ̀ Ìjìnlẹ̀ (Qualys)

aaye ayelujara: Layeredinsight.com
Iwe-aṣẹ: iṣowo

Layered Insight (bayi apakan ti Qualys Inc) jẹ itumọ lori ero ti “aabo ifibọ.” Lẹhin ti o ṣayẹwo aworan atilẹba fun awọn ailagbara nipa lilo iṣiro iṣiro ati awọn sọwedowo CVE, Layered Insight rọpo rẹ pẹlu aworan ohun elo ti o pẹlu oluranlowo bi alakomeji.

Aṣoju yii ni awọn idanwo aabo asiko asiko lati ṣe itupalẹ ijabọ nẹtiwọọki eiyan, ṣiṣan I/O ati iṣẹ ṣiṣe ohun elo. Ni afikun, o le ṣe afikun awọn sọwedowo aabo ti a sọ pato nipasẹ alabojuto amayederun tabi awọn ẹgbẹ DevOps.

NeuVector

aaye ayelujara: neuvector.com
Iwe-aṣẹ: iṣowo

NeuVector sọwedowo aabo eiyan ati pese aabo akoko ṣiṣe nipasẹ ṣiṣe itupalẹ iṣẹ nẹtiwọọki ati ihuwasi ohun elo, ṣiṣẹda profaili aabo ẹni kọọkan fun eiyan kọọkan. O tun le dènà awọn irokeke lori ara rẹ, yiya sọtọ iṣẹ ṣiṣe ifura nipa yiyipada awọn ofin ogiriina agbegbe.

Isopọpọ nẹtiwọọki NeuVector, ti a mọ si Mesh Aabo, ni agbara ti itupalẹ soso ti o jinlẹ ati sisẹ Layer 7 fun gbogbo awọn asopọ nẹtiwọọki ni apapo iṣẹ.

StackRox

aaye ayelujara: www.stackrox.com
Iwe-aṣẹ: iṣowo

Syeed aabo eiyan StackRox n tiraka lati bo gbogbo igbesi-aye ti awọn ohun elo Kubernetes ninu iṣupọ kan. Bii awọn iru ẹrọ iṣowo miiran lori atokọ yii, StackRox ṣe ipilẹṣẹ profaili asiko asiko kan ti o da lori ihuwasi eiyan ti a ṣe akiyesi ati gbe itaniji soke laifọwọyi fun eyikeyi awọn iyapa.

Ni afikun, StackRox ṣe itupalẹ awọn atunto Kubernetes nipa lilo Kubernetes CIS ati awọn iwe ofin miiran lati ṣe iṣiro ibamu ibamu.

Sysdig ni aabo

aaye ayelujara: sysdig.com/products/secure
Iwe-aṣẹ: iṣowo

Sysdig Secure ṣe aabo awọn ohun elo jakejado gbogbo eiyan ati igbesi aye Kubernetes. Oun ọlọjẹ awọn aworan awọn apoti, pese aabo asiko isise gẹgẹ bi ẹrọ eko data, ṣe ipara. ĭrìrĭ lati da vulnerabilities, ohun amorindun irokeke, diigi ibamu pẹlu mulẹ awọn ajohunše ati audits aṣayan iṣẹ-ṣiṣe ni microservices.

Sysdig Secure ṣepọ pẹlu awọn irinṣẹ CI / CD gẹgẹbi Jenkins ati awọn iṣakoso awọn aworan ti kojọpọ lati awọn iforukọsilẹ Docker, idilọwọ awọn aworan ti o lewu lati han ni iṣelọpọ. O tun pese aabo asiko-akoko, pẹlu:

ML-orisun asiko isise profaili ati ki o anomaly erin;
Awọn ilana asiko ṣiṣe ti o da lori awọn iṣẹlẹ eto, K8s-audit API, awọn iṣẹ akanṣe agbegbe apapọ (FIM - ibojuwo iduroṣinṣin faili; cryptojacking) ati ilana MITER ATT & CK;
idahun ati ipinnu ti awọn iṣẹlẹ.

Tenable Eiyan Aabo

aaye ayelujara: www.tenable.com/products/tenable-io/container-security
Iwe-aṣẹ: iṣowo

Ṣaaju dide ti awọn apoti, Tenable jẹ olokiki pupọ ni ile-iṣẹ bi ile-iṣẹ lẹhin Nessus, isode ailagbara olokiki ati ohun elo iṣatunṣe aabo.

Aabo Apoti Apoti ti o le ṣe mu oye aabo kọnputa ti ile-iṣẹ pọ si lati ṣepọ opo gigun ti epo CI/CD pẹlu awọn apoti isura infomesonu ailagbara, awọn idii wiwa malware pataki, ati awọn iṣeduro fun ipinnu awọn irokeke aabo.

Twistlock (Awọn nẹtiwọki Palo Alto)

aaye ayelujara: www.twistlock.com
Iwe-aṣẹ: iṣowo

Twistlock ṣe igbega funrararẹ bi pẹpẹ ti o dojukọ awọn iṣẹ awọsanma ati awọn apoti. Twistlock ṣe atilẹyin fun ọpọlọpọ awọn olupese awọsanma (AWS, Azure, GCP), awọn akọrin eiyan (Kubernetes, Mesospehere, OpenShift, Docker), awọn akoko asiko ti ko ni olupin, awọn ilana mesh ati awọn irinṣẹ CI/CD.

Ni afikun si awọn ilana aabo ile-iṣẹ deede gẹgẹbi isọpọ opo gigun ti epo CI/CD tabi ọlọjẹ aworan, Twistlock nlo ikẹkọ ẹrọ lati ṣe agbekalẹ awọn ilana ihuwasi pato-eigi ati awọn ofin nẹtiwọọki.

Ni akoko diẹ sẹhin, Twistlock ti ra nipasẹ Palo Alto Networks, eyiti o ni awọn iṣẹ akanṣe Evident.io ati RedLock. O ti wa ni ko sibẹsibẹ mọ bi gangan wọnyi mẹta iru ẹrọ yoo wa ni ese sinu PRISMA lati Palo Alto.

Ṣe iranlọwọ lati kọ katalogi ti o dara julọ ti awọn irinṣẹ aabo Kubernetes!

A n gbiyanju lati jẹ ki katalogi yii pari bi o ti ṣee, ati fun eyi a nilo iranlọwọ rẹ! Pe wa (@sysdig) ti o ba ni ohun elo ti o tutu ni lokan ti o yẹ fun ifisi ninu atokọ yii, tabi o rii aṣiṣe / alaye ti igba atijọ.

O tun le ṣe alabapin si wa oṣooṣu iwe iroyin pẹlu awọn iroyin lati inu awọsanma-ilu abinibi ati awọn itan nipa awọn iṣẹ akanṣe lati agbaye ti aabo Kubernetes.

PS lati onitumọ

Ka tun lori bulọọgi wa:

orisun: www.habr.com

33+ Kubernetes aabo irinṣẹ