33+ Kubernetes aabo irinṣẹ

Akiyesi. itumọ.: Ti o ba n iyalẹnu nipa aabo ni awọn amayederun orisun Kubernetes, Akopọ ti o dara julọ lati Sysdig jẹ aaye ibẹrẹ nla fun wiwo iyara ni awọn solusan lọwọlọwọ. O pẹlu awọn ọna ṣiṣe eka mejeeji lati ọdọ awọn oṣere ọja ti a mọ daradara ati pupọ diẹ sii awọn ohun elo iwọntunwọnsi ti o yanju iṣoro kan pato. Ati ninu awọn asọye, bi nigbagbogbo, a yoo ni idunnu lati gbọ nipa iriri rẹ nipa lilo awọn irinṣẹ wọnyi ati wo awọn ọna asopọ si awọn iṣẹ akanṣe miiran.

Awọn ọja sọfitiwia aabo Kubernetes… ọpọlọpọ ninu wọn lo wa, ọkọọkan pẹlu awọn ibi-afẹde tiwọn, iwọn, ati awọn iwe-aṣẹ.

Ti o ni idi ti a pinnu lati ṣẹda atokọ yii ati pẹlu awọn iṣẹ akanṣe orisun ṣiṣi mejeeji ati awọn iru ẹrọ iṣowo lati ọdọ awọn olutaja oriṣiriṣi. A nireti pe yoo ran ọ lọwọ lati ṣe idanimọ awọn ti o nifẹ julọ ati tọka si ọna ti o da lori awọn aini aabo Kubernetes rẹ pato.

Ilana

Lati jẹ ki atokọ rọrun lati lilö kiri, awọn irinṣẹ ti ṣeto nipasẹ iṣẹ akọkọ ati ohun elo. Awọn apakan wọnyi ti gba:

• Ṣiṣayẹwo aworan Kubernetes ati itupalẹ aimi;
• Aabo akoko;
• Aabo nẹtiwọki Kubernetes;
• Pipin aworan ati iṣakoso asiri;
• Ayẹwo aabo Kubernetes;
• Okeerẹ ti owo awọn ọja.

Jẹ ki a sọkalẹ lọ si iṣowo:

Ṣiṣayẹwo awọn aworan Kubernetes

Anchor

• aaye ayelujara: anchore.com
• iwe-aṣẹ: ọfẹ (Afun) ati ipese iṣowo

Anchore ṣe itupalẹ awọn aworan apoti ati gba awọn sọwedowo aabo ti o da lori awọn ilana asọye-olumulo.

Ni afikun si ọlọjẹ igbagbogbo ti awọn aworan eiyan fun awọn ailagbara ti a mọ lati ibi ipamọ data CVE, Anchore ṣe ọpọlọpọ awọn sọwedowo afikun gẹgẹbi apakan ti eto imulo ọlọjẹ rẹ: ṣayẹwo Dockerfile, awọn jijo iwe eri, awọn idii ti awọn ede siseto ti a lo (npm, maven, bbl .), Awọn iwe-aṣẹ sọfitiwia ati pupọ diẹ sii.

Clair

• aaye ayelujara: coreos.com/clair (bayi labẹ itọju ti Red Hat)
• Iwe-aṣẹ: Ọfẹ (Apache)

Clair jẹ ọkan ninu awọn iṣẹ akanṣe Orisun Orisun akọkọ fun wíwo aworan. O jẹ olokiki pupọ bi ọlọjẹ aabo lẹhin iforukọsilẹ aworan Quay (tun lati CoreOS - isunmọ. itumọ). Clair le gba alaye CVE lati oriṣiriṣi awọn orisun, pẹlu awọn atokọ ti awọn ailagbara pinpin Linux ti o tọju nipasẹ Debian, Red Hat, tabi awọn ẹgbẹ aabo Ubuntu.

Ko dabi Anchore, Clair ni akọkọ fojusi lori wiwa awọn ailagbara ati data tuntun si awọn CVE. Sibẹsibẹ, ọja naa nfun awọn olumulo diẹ ninu awọn aye lati faagun awọn iṣẹ nipa lilo awọn awakọ plug-in.

Daga

• aaye ayelujara: github.com/eliasgranderubio/dagda
• Iwe-aṣẹ: Ọfẹ (Apache)

Dagda ṣe itupalẹ aimi ti awọn aworan eiyan fun awọn ailagbara ti a mọ, Trojans, awọn ọlọjẹ, malware ati awọn irokeke miiran.

Awọn ẹya akiyesi meji ṣe iyatọ Dagda lati awọn irinṣẹ miiran ti o jọra:

• O ṣepọ daradara pẹlu ClamAV, Ṣiṣe kii ṣe bi ohun elo nikan fun awọn aworan eiyan ọlọjẹ, ṣugbọn tun bi ọlọjẹ.
• Paapaa pese aabo akoko ṣiṣe nipasẹ gbigba awọn iṣẹlẹ akoko gidi lati Docker daemon ati iṣọpọ pẹlu Falco (wo isalẹ) lati gba awọn iṣẹlẹ aabo nigba ti eiyan nṣiṣẹ.

KubeXray

• aaye ayelujara: github.com/jfrog/kubexray
• Iwe-aṣẹ: Ọfẹ (Apache), ṣugbọn nilo data lati JFrog Xray (ọja ti owo)

KubeXray tẹtisi awọn iṣẹlẹ lati olupin Kubernetes API ati lo metadata lati JFrog Xray lati rii daju pe awọn adarọ-ese nikan ti o baamu eto imulo lọwọlọwọ ni a ṣe ifilọlẹ.

KubeXray kii ṣe atunyẹwo awọn apoti tuntun tabi imudojuiwọn nikan ni awọn imuṣiṣẹ (bii si oludari gbigba ni Kubernetes), ṣugbọn tun ṣe atunwo awọn apoti ṣiṣiṣẹ fun ibamu pẹlu awọn eto imulo aabo tuntun, yiyọ awọn orisun ti o tọka si awọn aworan ipalara.

Snyk

• aaye ayelujara: snyk.io
• Iwe-aṣẹ: ọfẹ (Afun) ati awọn ẹya iṣowo

Snyk jẹ ọlọjẹ ailagbara dani ni pe o fojusi ilana idagbasoke ni pataki ati pe o ni igbega bi “ojutu pataki” fun awọn idagbasoke.

Snyk sopọ taara si awọn ibi ipamọ koodu, ṣe itupalẹ iṣẹ akanṣe ati ṣe itupalẹ koodu ti o wọle pẹlu awọn igbẹkẹle taara ati taara. Snyk ṣe atilẹyin ọpọlọpọ awọn ede siseto olokiki ati pe o le ṣe idanimọ awọn eewu iwe-aṣẹ ti o farapamọ.

Alailowaya

• aaye ayelujara: github.com/knqyf263/trivy
• Iwe-aṣẹ: Ọfẹ (AGPL)

Trivy jẹ ọlọjẹ ailagbara ti o rọrun ṣugbọn ti o lagbara fun awọn apoti ti o ni irọrun ṣepọ sinu opo gigun ti epo CI/CD. Ẹya akiyesi rẹ ni irọrun ti fifi sori ẹrọ ati iṣiṣẹ: ohun elo naa ni alakomeji kan ati pe ko nilo fifi sori ẹrọ data tabi awọn ile-ikawe afikun.

Ilọkuro si ayedero Trivy ni pe o ni lati ṣawari bi o ṣe le ṣe itupalẹ ati firanṣẹ awọn abajade ni ọna kika JSON ki awọn irinṣẹ aabo Kubernetes miiran le lo wọn.

Aabo asiko isise ni Kubernetes

Falco

• aaye ayelujara: falco.org
• Iwe-aṣẹ: Ọfẹ (Apache)

Falco jẹ ṣeto awọn irinṣẹ fun aabo awọn agbegbe asiko asiko awọsanma. Apá ti ebi ise agbese CNCF.

Lilo ohun elo ipele ekuro Linux Sysdig ati profaili ipe eto, Falco gba ọ laaye lati besomi jin sinu ihuwasi eto. Ẹrọ awọn ofin asiko asiko rẹ ni agbara lati ṣawari iṣẹ ṣiṣe ifura ni awọn ohun elo, awọn apoti, agbalejo ti o wa ni abẹlẹ, ati akọrin Kubernetes.

Falco n pese akoyawo pipe ni akoko asiko ati wiwa irokeke nipasẹ gbigbe awọn aṣoju pataki lori awọn apa Kubernetes fun awọn idi wọnyi. Bi abajade, ko si iwulo lati yi awọn apoti pada nipa fifihan koodu ẹni-kẹta sinu wọn tabi ṣafikun awọn apoti ẹgbẹ.

Awọn ilana aabo Linux fun akoko ṣiṣe

Awọn ilana abinibi wọnyi fun ekuro Linux kii ṣe “Awọn irinṣẹ aabo Kubernetes” ni ori aṣa, ṣugbọn wọn tọsi lati mẹnuba nitori wọn jẹ ẹya pataki ni agbegbe ti aabo asiko, eyiti o wa ninu Afihan Aabo Kubernetes Pod (PSP).

AppArmor so profaili aabo kan si awọn ilana ti n ṣiṣẹ ninu apo eiyan, asọye awọn anfani eto faili, awọn ofin iraye si nẹtiwọọki, awọn ile-ikawe sisopọ, ati bẹbẹ lọ. Eyi jẹ eto ti o da lori Iṣakoso Wiwọle Dandan (MAC). Ni awọn ọrọ miiran, o ṣe idiwọ awọn iṣe leewọ lati ṣiṣe.

Lainos ti a ni ilọsiwaju si aabo (SELinux) jẹ module aabo to ti ni ilọsiwaju ninu ekuro Linux, iru ni diẹ ninu awọn aaye si AppArmor ati nigbagbogbo ni akawe si. SELinux ga ju AppArmor ni agbara, irọrun ati isọdi. Awọn aila-nfani rẹ jẹ ọna ikẹkọ gigun ati idiju pọ si.

Seccomp ati seccomp-bpf gba ọ laaye lati ṣe àlẹmọ awọn ipe eto, dina ipaniyan ti awọn ti o lewu fun OS mimọ ati pe ko nilo fun iṣẹ deede ti awọn ohun elo olumulo. Seccomp jẹ iru si Falco ni diẹ ninu awọn ọna, botilẹjẹpe ko mọ awọn pato ti awọn apoti.

Sysdig ìmọ orisun

• aaye ayelujara: www.sysdig.com/opensource
• Iwe-aṣẹ: Ọfẹ (Apache)

Sysdig jẹ ohun elo pipe fun itupalẹ, ṣe iwadii ati ṣiṣatunṣe awọn eto Linux (tun ṣiṣẹ lori Windows ati macOS, ṣugbọn pẹlu awọn iṣẹ to lopin). O le ṣee lo fun apejọ alaye alaye, ijẹrisi ati itupalẹ oniwadi. (oniwadi) eto ipilẹ ati awọn apoti eyikeyi ti nṣiṣẹ lori rẹ.

Sysdig tun ṣe atilẹyin abinibi ni abinibi awọn akoko asiko eiyan ati Kubernetes metadata, fifi awọn iwọn afikun ati awọn aami kun si gbogbo alaye ihuwasi eto ti o gba. Awọn ọna pupọ lo wa lati ṣe itupalẹ iṣupọ Kubernetes nipa lilo Sysdig: o le ṣe imudani aaye-akoko nipasẹ kubectl gbigba tabi lọlẹ ohun ncurses-orisun ibanisọrọ ni wiwo lilo ohun itanna kubectl iwo.

Kubernetes Network Aabo

Aporeto

• aaye ayelujara: www.aporeto.com
• Iwe-aṣẹ: iṣowo

Aporeto nfunni "aabo ti o ya sọtọ lati nẹtiwọki ati awọn amayederun." Eyi tumọ si pe awọn iṣẹ Kubernetes kii ṣe gba ID agbegbe nikan (ie ServiceAccount ni Kubernetes), ṣugbọn tun ID / itẹka gbogbo agbaye ti o le ṣee lo lati baraẹnisọrọ ni aabo ati ni ajọṣepọ pẹlu eyikeyi iṣẹ miiran, fun apẹẹrẹ ninu iṣupọ OpenShift.

Aporeto ni agbara lati ṣe ipilẹṣẹ ID alailẹgbẹ kii ṣe fun Kubernetes / awọn apoti nikan, ṣugbọn fun awọn agbalejo, awọn iṣẹ awọsanma ati awọn olumulo. Da lori awọn idamọ wọnyi ati ṣeto awọn ofin aabo nẹtiwọki ti a ṣeto nipasẹ alabojuto, awọn ibaraẹnisọrọ yoo gba laaye tabi dina.

Calico

• aaye ayelujara: www.projectcalico.org
• Iwe-aṣẹ: Ọfẹ (Apache)

Calico ni igbagbogbo ransogun lakoko fifi sori ẹrọ orchestrator kan, gbigba ọ laaye lati ṣẹda nẹtiwọọki foju kan ti o so awọn apoti pọ. Ni afikun si iṣẹ ṣiṣe nẹtiwọọki ipilẹ yii, iṣẹ akanṣe Calico ṣiṣẹ pẹlu Awọn eto imulo Nẹtiwọọki Kubernetes ati eto tirẹ ti awọn profaili aabo nẹtiwọki, ṣe atilẹyin ACLs ipari (awọn atokọ iṣakoso wiwọle) ati awọn ofin aabo nẹtiwọki ti o da lori asọye fun Ingress ati Egress ijabọ.

Siliomu

• aaye ayelujara: www.cilium.io
• Iwe-aṣẹ: Ọfẹ (Apache)

Cilium n ṣiṣẹ bi ogiriina fun awọn apoti ati pese awọn ẹya aabo nẹtiwọọki ti a ṣe deede si Kubernetes ati awọn ẹru iṣẹ microservices. Cilium nlo imọ-ẹrọ ekuro Linux tuntun ti a pe ni BPF (Filter Packet Berkeley) lati ṣe àlẹmọ, ṣe atẹle, tun-dari ati ṣatunṣe data.

Cilium ni agbara lati mu awọn ilana iraye si nẹtiwọọki ti o da lori awọn ID eiyan nipa lilo awọn aami Docker tabi Kubernetes ati metadata. Cilium tun loye ati ṣe asẹ ọpọlọpọ awọn ilana Ilana Layer 7 gẹgẹbi HTTP tabi gRPC, gbigba ọ laaye lati ṣalaye ṣeto ti awọn ipe REST ti yoo gba laaye laarin awọn imuṣiṣẹ Kubernetes meji, fun apẹẹrẹ.

Istio

• aaye ayelujara: isoti.io
• Iwe-aṣẹ: Ọfẹ (Apache)

Istio jẹ olokiki pupọ fun imuse ilana mesh iṣẹ nipasẹ gbigbe ọkọ ofurufu iṣakoso ominira ti pẹpẹ ati ipa ọna gbogbo ijabọ iṣẹ iṣakoso nipasẹ awọn aṣoju atunto Envoy ni agbara. Istio lo anfani ti iwo ilọsiwaju yii ti gbogbo awọn iṣẹ microservices ati awọn apoti lati ṣe ọpọlọpọ awọn ilana aabo nẹtiwọọki.

Awọn agbara aabo nẹtiwọọki Istio pẹlu fifi ẹnọ kọ nkan TLS sihin lati ṣe igbesoke awọn ibaraẹnisọrọ laifọwọyi laarin awọn iṣẹ microservices si HTTPS, ati idanimọ RBAC ti ohun-ini ati eto aṣẹ lati gba / kọ ibaraẹnisọrọ laarin awọn ẹru iṣẹ oriṣiriṣi ninu iṣupọ.

Akiyesi. itumọ.Lati kọ ẹkọ diẹ sii nipa awọn agbara idojukọ-aabo ti Istio, ka Arokọ yi.

Tigera

• aaye ayelujara: www.tigera.io
• Iwe-aṣẹ: iṣowo

Ti a npe ni "Kubernetes Firewall," ojutu yii n tẹnuba ọna igbẹkẹle odo si aabo nẹtiwọki.

Iru si awọn solusan Nẹtiwọọki Kubernetes abinibi miiran, Tigera gbarale metadata lati ṣe idanimọ ọpọlọpọ awọn iṣẹ ati awọn nkan inu iṣupọ ati pese wiwa akoko asiko, ṣiṣe ayẹwo ibamu nigbagbogbo, ati hihan nẹtiwọọki fun awọsanma pupọ tabi awọn amayederun arabara monolithic.

Trireme

• aaye ayelujara: www.aporeto.com/opensource
• Iwe-aṣẹ: Ọfẹ (Apache)

Trireme-Kubernetes jẹ imuse ti o rọrun ati taara ti sipesifikesonu Awọn ilana Nẹtiwọọki Kubernetes. Ẹya ti o ṣe akiyesi julọ ni pe - ko dabi iru awọn ọja aabo nẹtiwọọki Kubernetes - ko nilo ọkọ ofurufu iṣakoso aringbungbun lati ṣe ipoidojuko apapo naa. Eyi jẹ ki ojutu naa jẹ iwọn kekere. Ni Trireme, eyi ni aṣeyọri nipasẹ fifi sori ẹrọ aṣoju kan lori ipade kọọkan ti o sopọ taara si akopọ TCP/IP agbalejo naa.

Aworan Soju ati asiri Management

Grafeas

• aaye ayelujara: grafeas.io
• Iwe-aṣẹ: Ọfẹ (Apache)

Grafeas jẹ API orisun ṣiṣi fun iṣayẹwo pq ipese sọfitiwia ati iṣakoso. Ni ipele ipilẹ, Grafeas jẹ ohun elo fun gbigba awọn metadata ati awọn awari iṣayẹwo. O le ṣee lo lati tọpa ibamu pẹlu awọn iṣe aabo ti o dara julọ laarin agbari kan.

Orisun otitọ ti aarin yii ṣe iranlọwọ fun idahun awọn ibeere bii:

• Tani o ṣajọ ati fowo si fun apoti kan pato?
• Njẹ o ti kọja gbogbo awọn iwoye aabo ati awọn sọwedowo ti eto imulo aabo nilo? Nigbawo? Kí ni àbájáde rẹ̀?
• Tani o gbe lọ si iṣelọpọ? Awọn paramita pato wo ni a lo lakoko imuṣiṣẹ?

Ninu-toto

• aaye ayelujara: sinu-toto.github.io
• Iwe-aṣẹ: Ọfẹ (Apache)

In-toto jẹ ilana ti a ṣe lati pese iṣotitọ, ijẹrisi ati iṣatunṣe ti gbogbo pq ipese sọfitiwia. Nigbati o ba n gbe In-toto sinu amayederun kan, ero kan ni akọkọ asọye ti o ṣe apejuwe awọn igbesẹ oriṣiriṣi ninu opo gigun ti epo (ibi ipamọ, awọn irinṣẹ CI/CD, awọn irinṣẹ QA, awọn agbowọ ohun-ọṣọ, ati bẹbẹ lọ) ati awọn olumulo (awọn eniyan ti o ni ojuṣe) ti o gba laaye lati pilẹṣẹ wọn.

In-toto ṣe abojuto ipaniyan ti ero naa, rii daju pe iṣẹ-ṣiṣe kọọkan ninu pq ni a ṣe ni deede nipasẹ oṣiṣẹ ti a fun ni aṣẹ nikan ati pe ko si awọn ifọwọyi laigba aṣẹ ti a ṣe pẹlu ọja lakoko gbigbe.

Porteris

• aaye ayelujara: github.com/IBM/porteris
• Iwe-aṣẹ: Ọfẹ (Apache)

Portieris jẹ oludari gbigba fun Kubernetes; ti a lo lati fi ipa mu awọn sọwedowo igbekele akoonu. Portieris nlo olupin kan Notary (a kowe nipa rẹ ni ipari Arokọ yi - isunmọ. itumọ) gẹgẹbi orisun otitọ lati fọwọsi awọn ohun-ọṣọ ti o gbẹkẹle ati ti a fọwọsi (ie awọn aworan apoti ti a fọwọsi).

Nigbati fifuye iṣẹ ba ṣẹda tabi yipada ni Kubernetes, Portieris ṣe igbasilẹ alaye iforukọsilẹ ati eto imulo igbẹkẹle akoonu fun awọn aworan apoti ti o beere ati, ti o ba jẹ dandan, ṣe awọn ayipada lori-fly si ohun elo JSON API lati ṣiṣe awọn ẹya fowo si ti awọn aworan yẹn.

Ile ifinkan pamo

• aaye ayelujara: www.vaultproject.io
• Iwe-aṣẹ: Ọfẹ (MPL)

Vault jẹ ojutu to ni aabo fun titoju alaye ikọkọ: awọn ọrọ igbaniwọle, awọn ami ami OAuth, awọn iwe-ẹri PKI, awọn akọọlẹ iwọle, awọn aṣiri Kubernetes, ati bẹbẹ lọ. Vault ṣe atilẹyin ọpọlọpọ awọn ẹya ilọsiwaju, gẹgẹbi yiyalo awọn ami aabo ephemeral tabi siseto yiyi bọtini.

Lilo iwe itẹwe Helm, Vault le ṣe ran lọ bi imuṣiṣẹ tuntun ni iṣupọ Kubernetes pẹlu Consul bi ibi ipamọ ẹhin. O ṣe atilẹyin awọn orisun Kubernetes abinibi bii awọn ami-ipamọ ServiceAccount ati pe o le paapaa ṣiṣẹ bi ile itaja aiyipada fun awọn aṣiri Kubernetes.

Akiyesi. itumọ.: Nipa ọna, o kan lana ni ile-iṣẹ HashiCorp, eyiti o ndagba Vault, kede diẹ ninu awọn ilọsiwaju fun lilo Vault ni Kubernetes, ati ni pataki wọn ni ibatan si chart Helm. Ka siwaju ninu bulọọgi developer.

Kubernetes Aabo Ayẹwo

Kube-ibujoko

• aaye ayelujara: github.com/aquasecurity/kube-bench
• Iwe-aṣẹ: Ọfẹ (Apache)

Kube-bench jẹ ohun elo Go ti o ṣayẹwo boya Kubernetes ti gbe lọ ni aabo nipasẹ ṣiṣe awọn idanwo lati atokọ kan CIS Kubernetes tunbo ma.

Kube-bench n wa awọn eto atunto ti ko ni aabo laarin awọn paati iṣupọ (ati bẹbẹ lọ, API, oluṣakoso oludari, ati bẹbẹ lọ), awọn ẹtọ iwọle si faili ibeere, awọn iroyin ti ko ni aabo tabi awọn ebute oko oju omi ṣiṣi, awọn ipin orisun, awọn eto fun idinku nọmba awọn ipe API lati daabobo lodi si awọn ikọlu DoS , ati be be lo.

Kube-ode

• aaye ayelujara: github.com/aquasecurity/kube-hunter
• Iwe-aṣẹ: Ọfẹ (Apache)

Kube-ode ode fun awọn ailagbara ti o pọju (gẹgẹbi ipaniyan koodu latọna jijin tabi sisọ data) ni awọn iṣupọ Kubernetes. Kube-ode le wa ni ṣiṣe bi a latọna scanner - ninu eyi ti nla ti o yoo akojopo awọn iṣupọ lati ojuami ti wo ti a ẹni-kẹta attacker - tabi bi a podu inu awọn iṣupọ.

Ẹya iyasọtọ ti Kube-ode ni ipo “ọdẹ lọwọ” rẹ, lakoko eyiti kii ṣe ijabọ awọn iṣoro nikan, ṣugbọn tun gbiyanju lati lo anfani awọn ailagbara ti a ṣe awari ninu iṣupọ ibi-afẹde ti o le ṣe ipalara iṣẹ rẹ. Nitorina lo pẹlu iṣọra!

Kubeaudit

• aaye ayelujara: github.com/Shopify/kubeaudit
• Iwe-aṣẹ: Ọfẹ (MIT)

Kubeaudit jẹ ohun elo console ti ipilẹṣẹ ni Shopify lati ṣe ayẹwo iṣeto Kubernetes fun ọpọlọpọ awọn ọran aabo. Fun apẹẹrẹ, o ṣe iranlọwọ idanimọ awọn apoti ti n ṣiṣẹ lainidi, nṣiṣẹ bi gbongbo, ilokulo awọn anfani, tabi lilo Akọọlẹ Iṣẹ aiyipada.

Kubeaudit ni awọn ẹya ti o nifẹ si miiran. Fun apẹẹrẹ, o le ṣe itupalẹ awọn faili YAML agbegbe lati ṣe idanimọ awọn abawọn iṣeto ni ti o le ja si awọn iṣoro aabo ati ṣatunṣe wọn laifọwọyi.

Kubesec

• aaye ayelujara: kubesec.io
• Iwe-aṣẹ: Ọfẹ (Apache)

Kubesec jẹ ohun elo pataki kan ni pe o ṣawari awọn faili YAML taara ti o ṣe apejuwe awọn orisun Kubernetes, n wa awọn alailagbara ti o le ni ipa lori aabo.

Fun apẹẹrẹ, o le ṣe awari awọn anfani ti o pọ ju ati awọn igbanilaaye ti a funni si adarọ-ese kan, ṣiṣiṣẹ apoti kan pẹlu gbongbo bi olumulo aiyipada, sisopọ si aaye orukọ nẹtiwọọki agbalejo, tabi awọn gbeko to lewu bii /proc ogun tabi Docker iho . Ẹya ti o nifẹ si ti Kubesec ni iṣẹ demo ti o wa lori ayelujara, eyiti o le gbejade YAML ati ṣe itupalẹ lẹsẹkẹsẹ.

Ṣii Aṣoju Afihan

• aaye ayelujara: www.openpolicyagent.org
• Iwe-aṣẹ: Ọfẹ (Apache)

Agbekale ti OPA (Aṣoju Afihan Ṣiṣiri) ni lati decouple awọn eto aabo ati awọn iṣe aabo ti o dara julọ lati ori pẹpẹ akoko asiko kan pato: Docker, Kubernetes, Mesosphere, OpenShift, tabi eyikeyi akojọpọ rẹ.

Fun apẹẹrẹ, o le ran OPA bi ẹhin fun olutọju gbigba Kubernetes, fifi awọn ipinnu aabo si i. Ni ọna yii, aṣoju OPA le fọwọsi, kọ, ati paapaa ṣe atunṣe awọn ibeere lori fifo, ni idaniloju pe awọn ipilẹ aabo ti a ti sọ tẹlẹ ti pade. Awọn ilana aabo OPA ni a kọ sinu ede DSL ohun-ini rẹ, Rego.

Akiyesi. itumọ.: A kowe diẹ sii nipa OPA (ati SPIFFE) ni ohun elo yi.

Awọn irinṣẹ iṣowo okeerẹ fun itupalẹ aabo Kubernetes

A pinnu lati ṣẹda ẹka lọtọ fun awọn iru ẹrọ iṣowo nitori pe wọn bo awọn agbegbe aabo lọpọlọpọ. Imọye gbogbogbo ti awọn agbara wọn le ṣee gba lati tabili:

* Idanwo ilọsiwaju ati itupalẹ iku ifiweranṣẹ pẹlu pipe eto ipe hijacking.

Aabo Omi

• aaye ayelujara: www.aquasec.com
• Iwe-aṣẹ: iṣowo

Ọpa iṣowo yii jẹ apẹrẹ fun awọn apoti ati awọn iṣẹ ṣiṣe awọsanma. O pese:

• Ṣiṣayẹwo aworan ti a ṣepọ pẹlu iforukọsilẹ eiyan tabi opo gigun ti epo CI/CD;
• Idaabobo akoko ṣiṣe pẹlu wiwa fun awọn ayipada ninu awọn apoti ati iṣẹ ifura miiran;
• Apoti-abinibi ogiriina;
• Aabo fun olupin ni awọn iṣẹ awọsanma;
• Idanwo ibamu ati iṣatunṣe ni idapo pẹlu gedu iṣẹlẹ.

Akiyesi. itumọ.: O ti wa ni tun ye ki a kiyesi wipe o wa free paati ti ọja ti a npe ni MicroScanner, eyiti o fun ọ laaye lati ṣayẹwo awọn aworan apoti fun awọn ailagbara. A lafiwe ti awọn oniwe-agbara pẹlu san awọn ẹya ti wa ni gbekalẹ ninu tabili yi.

Kapusulu8

• aaye ayelujara: capsule8.com
• Iwe-aṣẹ: iṣowo

Capsule8 ṣepọ sinu awọn amayederun nipa fifi aṣawari sori agbegbe tabi awọsanma Kubernetes iṣupọ. Oluwari yii n gba agbalejo ati telemetry nẹtiwọki, ni ibamu pẹlu awọn iru ikọlu oriṣiriṣi.

Ẹgbẹ Capsule8 rii iṣẹ rẹ bi wiwa ni kutukutu ati idena awọn ikọlu nipa lilo tuntun (0-ọjọ) ailagbara. Capsule8 le ṣe igbasilẹ awọn ofin aabo imudojuiwọn taara si awọn aṣawari ni idahun si awọn irokeke tuntun ti a ṣe awari ati awọn ailagbara sọfitiwia.

Cavirin

• aaye ayelujara: www.cavirin.com
• Iwe-aṣẹ: iṣowo

Cavirin n ṣiṣẹ bi olugbaṣe ẹgbẹ-ẹgbẹ fun ọpọlọpọ awọn ile-iṣẹ ti o ni ipa ninu awọn iṣedede ailewu. Kii ṣe nikan o le ṣe ọlọjẹ awọn aworan, ṣugbọn o tun le ṣepọ sinu opo gigun ti epo CI/CD, dina awọn aworan ti kii ṣe deede ṣaaju ki wọn wọ awọn ibi ipamọ pipade.

Aabo aabo Cavirin nlo ẹkọ ẹrọ lati ṣe ayẹwo ipo aabo cybersecurity rẹ, fifunni awọn imọran lati mu ilọsiwaju aabo ati ilọsiwaju ibamu pẹlu awọn iṣedede aabo.

Ile-iṣẹ Aabo awọsanma Google

• aaye ayelujara: cloud.google.com/security-command-center
• Iwe-aṣẹ: iṣowo

Ile-iṣẹ Aabo Aabo awọsanma ṣe iranlọwọ fun awọn ẹgbẹ aabo lati gba data, ṣe idanimọ awọn irokeke, ati imukuro wọn ṣaaju ki wọn ba ile-iṣẹ naa jẹ.

Gẹgẹbi orukọ ṣe daba, Google Cloud SCC jẹ igbimọ iṣakoso iṣọkan ti o le ṣepọ ati ṣakoso ọpọlọpọ awọn ijabọ aabo, awọn ẹrọ iṣiro dukia, ati awọn eto aabo ẹni-kẹta lati ẹyọkan, orisun aarin.

API interoperable ti a funni nipasẹ Google Cloud SCC jẹ ki o rọrun lati ṣepọ awọn iṣẹlẹ aabo ti o nbọ lati awọn orisun oriṣiriṣi, bii Sysdig Secure (aabo apoti fun awọn ohun elo abinibi-awọsanma) tabi Falco (Aabo asiko asiko orisun ṣiṣi).

Ìjìnlẹ̀ Ìjìnlẹ̀ (Qualys)

• aaye ayelujara: Layeredinsight.com
• Iwe-aṣẹ: iṣowo

Layered Insight (bayi apakan ti Qualys Inc) jẹ itumọ lori ero ti “aabo ifibọ.” Lẹhin ti o ṣayẹwo aworan atilẹba fun awọn ailagbara nipa lilo iṣiro iṣiro ati awọn sọwedowo CVE, Layered Insight rọpo rẹ pẹlu aworan ohun elo ti o pẹlu oluranlowo bi alakomeji.

Aṣoju yii ni awọn idanwo aabo asiko asiko lati ṣe itupalẹ ijabọ nẹtiwọọki eiyan, ṣiṣan I/O ati iṣẹ ṣiṣe ohun elo. Ni afikun, o le ṣe afikun awọn sọwedowo aabo ti a sọ pato nipasẹ alabojuto amayederun tabi awọn ẹgbẹ DevOps.

NeuVector

• aaye ayelujara: neuvector.com
• Iwe-aṣẹ: iṣowo

NeuVector sọwedowo aabo eiyan ati pese aabo akoko ṣiṣe nipasẹ ṣiṣe itupalẹ iṣẹ nẹtiwọọki ati ihuwasi ohun elo, ṣiṣẹda profaili aabo ẹni kọọkan fun eiyan kọọkan. O tun le dènà awọn irokeke lori ara rẹ, yiya sọtọ iṣẹ ṣiṣe ifura nipa yiyipada awọn ofin ogiriina agbegbe.

Isopọpọ nẹtiwọọki NeuVector, ti a mọ si Mesh Aabo, ni agbara ti itupalẹ soso ti o jinlẹ ati sisẹ Layer 7 fun gbogbo awọn asopọ nẹtiwọọki ni apapo iṣẹ.

StackRox

• aaye ayelujara: www.stackrox.com
• Iwe-aṣẹ: iṣowo

Syeed aabo eiyan StackRox n tiraka lati bo gbogbo igbesi-aye ti awọn ohun elo Kubernetes ninu iṣupọ kan. Bii awọn iru ẹrọ iṣowo miiran lori atokọ yii, StackRox ṣe ipilẹṣẹ profaili asiko asiko kan ti o da lori ihuwasi eiyan ti a ṣe akiyesi ati gbe itaniji soke laifọwọyi fun eyikeyi awọn iyapa.

Ni afikun, StackRox ṣe itupalẹ awọn atunto Kubernetes nipa lilo Kubernetes CIS ati awọn iwe ofin miiran lati ṣe iṣiro ibamu ibamu.

Sysdig ni aabo

• aaye ayelujara: sysdig.com/products/secure
• Iwe-aṣẹ: iṣowo

Sysdig Secure ṣe aabo awọn ohun elo jakejado gbogbo eiyan ati igbesi aye Kubernetes. Oun ọlọjẹ awọn aworan awọn apoti, pese aabo asiko isise gẹgẹ bi ẹrọ eko data, ṣe ipara. ĭrìrĭ lati da vulnerabilities, ohun amorindun irokeke, diigi ibamu pẹlu mulẹ awọn ajohunše ati audits aṣayan iṣẹ-ṣiṣe ni microservices.

Sysdig Secure ṣepọ pẹlu awọn irinṣẹ CI / CD gẹgẹbi Jenkins ati awọn iṣakoso awọn aworan ti kojọpọ lati awọn iforukọsilẹ Docker, idilọwọ awọn aworan ti o lewu lati han ni iṣelọpọ. O tun pese aabo asiko-akoko, pẹlu:

• ML-orisun asiko isise profaili ati ki o anomaly erin;
• Awọn ilana asiko ṣiṣe ti o da lori awọn iṣẹlẹ eto, K8s-audit API, awọn iṣẹ akanṣe agbegbe apapọ (FIM - ibojuwo iduroṣinṣin faili; cryptojacking) ati ilana MITER ATT & CK;
• idahun ati ipinnu ti awọn iṣẹlẹ.

Tenable Eiyan Aabo

• aaye ayelujara: www.tenable.com/products/tenable-io/container-security
• Iwe-aṣẹ: iṣowo

Ṣaaju dide ti awọn apoti, Tenable jẹ olokiki pupọ ni ile-iṣẹ bi ile-iṣẹ lẹhin Nessus, isode ailagbara olokiki ati ohun elo iṣatunṣe aabo.

Aabo Apoti Apoti ti o le ṣe mu oye aabo kọnputa ti ile-iṣẹ pọ si lati ṣepọ opo gigun ti epo CI/CD pẹlu awọn apoti isura infomesonu ailagbara, awọn idii wiwa malware pataki, ati awọn iṣeduro fun ipinnu awọn irokeke aabo.

Twistlock (Awọn nẹtiwọki Palo Alto)

• aaye ayelujara: www.twistlock.com
• Iwe-aṣẹ: iṣowo

Twistlock ṣe igbega funrararẹ bi pẹpẹ ti o dojukọ awọn iṣẹ awọsanma ati awọn apoti. Twistlock ṣe atilẹyin fun ọpọlọpọ awọn olupese awọsanma (AWS, Azure, GCP), awọn akọrin eiyan (Kubernetes, Mesospehere, OpenShift, Docker), awọn akoko asiko ti ko ni olupin, awọn ilana mesh ati awọn irinṣẹ CI/CD.

Ni afikun si awọn ilana aabo ile-iṣẹ deede gẹgẹbi isọpọ opo gigun ti epo CI/CD tabi ọlọjẹ aworan, Twistlock nlo ikẹkọ ẹrọ lati ṣe agbekalẹ awọn ilana ihuwasi pato-eigi ati awọn ofin nẹtiwọọki.

Ni akoko diẹ sẹhin, Twistlock ti ra nipasẹ Palo Alto Networks, eyiti o ni awọn iṣẹ akanṣe Evident.io ati RedLock. O ti wa ni ko sibẹsibẹ mọ bi gangan wọnyi mẹta iru ẹrọ yoo wa ni ese sinu PRISMA lati Palo Alto.

Ṣe iranlọwọ lati kọ katalogi ti o dara julọ ti awọn irinṣẹ aabo Kubernetes!

A n gbiyanju lati jẹ ki katalogi yii pari bi o ti ṣee, ati fun eyi a nilo iranlọwọ rẹ! Pe wa (@sysdig) ti o ba ni ohun elo ti o tutu ni lokan ti o yẹ fun ifisi ninu atokọ yii, tabi o rii aṣiṣe / alaye ti igba atijọ.

O tun le ṣe alabapin si wa oṣooṣu iwe iroyin pẹlu awọn iroyin lati inu awọsanma-ilu abinibi ati awọn itan nipa awọn iṣẹ akanṣe lati agbaye ti aabo Kubernetes.

PS lati onitumọ

Ka tun lori bulọọgi wa:

• «Ifihan si Awọn ilana Nẹtiwọọki Kubernetes fun Awọn akosemose Aabo»;
• «Docker ati Kubernetes ni awọn agbegbe ti o ni imọra aabo»;
• «9 Awọn iṣe ti o dara julọ fun Aabo Kubernetes»;
• «Awọn ọna 11 lati (kii ṣe) Di olufaragba gige Kubernetes kan»;
• «OPA ati SPIFFE jẹ awọn iṣẹ akanṣe tuntun meji ni CNCF fun aabo ohun elo awọsanma».

orisun: www.habr.com