33+ Kubernetes 安全工具

筆記。 翻譯。：如果您想了解基於 Kubernetes 的基礎設施的安全性，Sysdig 的這篇精彩概述是快速了解當前解決方案的一個很好的起點。 它既包括來自知名市場參與者的複雜系統，也包括解決特定問題的較溫和的公用事業。 在評論中，我們將一如既往地很高興聽到您使用這些工具的體驗，並查看其他項目的連結。

Kubernetes 安全軟體產品......有很多，每個都有自己的目標、範圍和許可證。

這就是為什麼我們決定建立此清單並包括來自不同供應商的開源專案和商業平台。 我們希望它能幫助您確定最感興趣的內容，並根據您的特定 Kubernetes 安全需求為您指明正確的方向。

Категории

為了使清單更易於導航，這些工具按主要功能和應用程式進行組織。 獲得以下部分：

• Kubernetes鏡像掃描與靜態分析；
• 運行時安全；
• Kubernetes 網路安全；
• 影像分發和機密管理；
• Kubernetes安全稽核；
• 綜合商業產品。

我們開始談正事吧：

掃描 Kubernetes 鏡像

錨

• 網址： 錨網
• 許可證：免費 (Apache) 和商業版本

Anchore 分析容器鏡像並允許根據使用者定義的策略進行安全檢查。

除了通常從 CVE 資料庫掃描容器映像以查找已知漏洞之外，Anchore 還執行許多附加檢查作為其掃描策略的一部分：檢查 Dockerfile、憑證洩漏、所使用的程式語言的套件（npm、maven 等） . )、軟體許可證等等。

清除

• 網址： coreos.com/clair （現師從紅帽）
• 許可證：免費（Apache）

Clair 是最早的影像掃描開源專案之一。 它被廣泛稱為 Quay 影像註冊表背後的安全掃描儀 （也來自 CoreOS - 約。 翻譯)。 Clair 可以從各種來源收集 CVE 信息，包括由 Debian、Red Hat 或 Ubuntu 安全團隊維護的特定於 Linux 發行版的漏洞列表。

與 Anchore 不同，Clair 主要專注於尋找漏洞並將資料與 CVE 進行配對。 然而，該產品為用戶提供了一些使用插件驅動程式擴充功能的機會。

達格達

• 網址： github.com/eliasgranderubio/dagda
• 許可證：免費（Apache）

Dagda 對容器映像執行已知漏洞、木馬、病毒、惡意軟體和其他威脅的靜態分析。

Dagda 與其他類似工具有兩個顯著特點：

• 它與 ClamAV的，不僅可以作為掃描容器鏡像的工具，還可以作為防毒工具。
• 還透過從 Docker 守護程序接收即時事件並與 Falco 整合來提供運行時保護 （見下文） 在容器運作時收集安全事件。

庫貝X射線

• 網址： github.com/jfrog/kubexray
• 許可證：免費 (Apache)，但需要 JFrog Xray（商業產品）的數據

KubeXray 偵聽來自 Kubernetes API 伺服器的事件並使用來自 JFrog Xray 的元資料來確保僅啟動與目前政策相符的 Pod。

KubeXray 不僅審核部署中的新容器或更新的容器（類似 Kubernetes 中的存取控制器），還動態檢查正在執行的容器是否符合新的安全性策略，刪除引用易受攻擊的映像的資源。

斯尼克

• 網址： snyk.io
• 許可證：免費 (Apache) 和商業版本

Snyk 是一款不同尋常的漏洞掃描器，因為它專門針對開發過程，並被宣傳為開發人員的「基本解決方案」。

Snyk 直接連接到程式碼儲存庫，解析專案清單並分析匯入的程式碼以及直接和間接相依性。 Snyk支援多種流行的程式語言，並且可以識別隱藏的授權風險。

特里維

• 網址： github.com/knqyf263/trivy
• 許可證：免費（AGPL）

Trivy 是一個簡單但功能強大的容器漏洞掃描器，可以輕鬆整合到 CI/CD 管道中。 其顯著特點是易於安裝和操作：該應用程式由單一二進位檔案組成，不需要安裝資料庫或其他程式庫。

Trivy 簡單性的缺點是您必須弄清楚如何解析和轉送 JSON 格式的結果，以便其他 Kubernetes 安全工具可以使用它們。

Kubernetes 中的執行時間安全

法爾科

• 網址： falco.org
• 許可證：免費（Apache）

Falco 是一組用於保護雲端執行時間環境的工具。 專案家族的一部分 中國計算機學會.

使用 Sysdig 的 Linux 核心級工具和系統呼叫分析，Falco 可讓您深入了解系統行為。 其運行時規則引擎能夠偵測應用程式、容器、底層主機和 Kubernetes 編排器中的可疑活動。

Falco 透過在 Kubernetes 節點上部署特殊代理程式來實現執行時間和威脅偵測的完全透明性。 因此，無需透過引入第三方程式碼或添加 sidecar 容器來修改容器。

Linux 運行時安全框架

這些 Linux 核心的原生框架不是傳統意義上的“Kubernetes 安全工具”，但它們值得一提，因為它們是運行時安全上下文中的重要元素，包含在 Kubernetes Pod 安全性原則（PSP）中。

AppArmor的 將安全性設定檔附加到容器中執行的進程，定義檔案系統權限、網路存取規則、連線庫等。 這是一個基於強制存取控制（MAC）的系統。 換句話說，它可以防止執行禁止的操作。

安全增強型 Linux (SELinux的）是 Linux 核心中的一個高級安全模組，在某些方面與 AppArmor 類似，並且經常與之比較。 SELinux 在功能、靈活性和自訂方面優於 AppArmor。 其缺點是學習曲線長且複雜度增加。

塞康普 seccomp-bpf 可讓您過濾系統調用，阻止對基本作業系統有潛在危險且使用者應用程式正常運行不需要的系統調用的執行。 Seccomp 在某些方面與 Falco 類似，儘管它不知道容器的具體情況。

Sysdig開源

• 網址： www.sysdig.com/opensource
• 許可證：免費（Apache）

Sysdig 是用於分析、診斷和調試 Linux 系統的完整工具（也適用於 Windows 和 macOS，但功能有限）。 它可用於詳細資訊收集、驗證和取證分析。 （法醫） 基本系統以及在其上運行的任何容器。

Sysdig 還原生支援容器執行時間和 Kubernetes 元數據，為其收集的所有系統行為資訊添加額外的維度和標籤。 使用 Sysdig 分析 Kubernetes 叢集有多種方法：您可以透過以下方式執行時間點擷取： kubectl 捕獲 或使用插件啟動基於 ncurses 的交互介面 kubectl 挖掘.

Kubernetes 網路安全

阿波雷托

• 網址： www.aporeto.com
• 許可：商業

Aporeto 提供「與網路和基礎設施分離的安全性」。 這意味著 Kubernetes 服務不僅接收本地 ID（即 Kubernetes 中的 ServiceAccount），而且還接收通用 ID/指紋，可用於與任何其他服務（例如在 OpenShift 叢集中）安全地相互通訊。

Aporeto 不僅能夠為 Kubernetes/容器產生唯一 ID，還能夠為主機、雲端功能和使用者產生唯一 ID。 根據這些標識符和管理員設定的網路安全規則集，將允許或阻止通訊。

印花布

• 網址： www.projectcalico.org
• 許可證：免費（Apache）

Calico 通常在容器編排器安裝期間部署，可讓您建立互連容器的虛擬網路。 除了這個基本的網路功能之外，Calico 專案還與Kubernetes 網路策略及其自己的一組網路安全設定檔配合使用，支援端點ACL（存取控制清單）以及針對入口和出口流量的基於註解的網路安全規則。

檸檬

• 網址： www.cilium.io
• 許可證：免費（Apache）

Cilium 充當容器的防火牆，並提供針對 Kubernetes 和微服務工作負載原生客製化的網路安全功能。 Cilium 使用一種名為 BPF（伯克利資料包過濾器）的新 Linux 核心技術來過濾、監控、重定向和修正資料。

Cilium 能夠使用 Docker 或 Kubernetes 標籤和元資料基於容器 ID 部署網路存取策略。 Cilium 還可以理解和過濾各種第 7 層協議，例如 HTTP 或 gRPC，讓您可以定義一組在兩個 Kubernetes 部署之間允許的 REST 呼叫。

Istio

• 網址： istio.io
• 許可證：免費（Apache）

Istio 因透過部署獨立於平台的控制平面並透過動態可配置的 Envoy 代理程式路由所有託管服務流量來實現服務網格範例而聞名。 Istio 利用所有微服務和容器的高階視圖來實施各種網路安全策略。

Istio 的網路安全功能包括透明的TLS 加密（用於自動將微服務之間的通訊升級為HTTPS），以及專有的RBAC 識別和授權系統（用於允許/拒絕叢集中不同工作負載之間的通訊）。

筆記。 翻譯。：要了解有關 Istio 以安全為中心的功能的更多信息，請閱讀 這篇文章.

老虎屬

• 網址： www.tigera.io
• 許可：商業

該解決方案稱為“Kubernetes 防火牆”，強調網路安全的零信任方法。

與其他原生 Kubernetes 網路解決方案類似，Tigera 依靠元資料來識別叢集中的各種服務和對象，並為多雲或混合整體容器化基礎架構提供執行時間問題檢測、持續合規性檢查和網路可見性。

三列槳

• 網址： www.aporeto.com/opensource
• 許可證：免費（Apache）

Trireme-Kubernetes 是 Kubernetes 網路策略規範的簡單直接實作。 最顯著的特點是，與類似的 Kubernetes 網路安全產品不同，它不需要中央控制平面來協調網格。 這使得該解決方案具有一定的可擴展性。 在 Trireme 中，這是透過在直接連接到主機的 TCP/IP 堆疊的每個節點上安裝代理來實現的。

影像傳播和秘密管理

格拉菲亞斯

• 網址： grafeas.io
• 許可證：免費（Apache）

Grafeas 是一個用於軟體供應鏈稽核和管理的開源 API。 從根本上講，Grafeas 是用於收集元資料和稽核結果的工具。 它可用於追蹤組織內安全最佳實踐的合規性。

這種集中的事實來源有助於回答以下問題：

• 誰收集並簽署了特定貨櫃？
• 它是否通過了安全性策略要求的所有安全掃描和檢查？ 什麼時候？ 結果如何？
• 誰將其部署到生產中？ 部署過程中使用了哪些具體參數？

整體

• 網址： in-toto.github.io
• 許可證：免費（Apache）

In-toto 是一個旨在提供整個軟體供應鏈的完整性、身分驗證和稽核的架構。 在基礎架構中部署 In-toto 時，首先定義一個計劃，描述管道中的各個步驟（儲存庫、CI/CD 工具、QA 工具、工件收集器等）以及允許執行以下操作的使用者（負責人）：發起他們。

In-toto 監控計畫的執行情況，驗證鏈中的每項任務僅由授權人員正確執行，並且在運輸過程中沒有對產品進行未經授權的操作。

波蒂里斯

• 網址： github.com/IBM/portieris
• 許可證：免費（Apache）

Portieris 是 Kubernetes 的存取控制器； 用於強制內容信任檢查。 Portieris 使用伺服器 公證 （我們在最後寫了關於他的文章 本文 - 約。 翻譯) 作為驗證可信任和簽署工件（即核准的容器映像）的事實來源。

在 Kubernetes 中建立或修改工作負載時，Portieris 會下載所請求容器映像的簽章資訊和內容信任策略，並在必要時對 JSON API 物件進行即時變更以執行這些映像的簽章版本。

拱頂

• 網址： www.vaultproject.io
• 許可證：免費（MPL）

Vault 是用於儲存私人資訊的安全解決方案：密碼、OAuth 令牌、PKI 憑證、存取帳戶、Kubernetes 機密等。 Vault 支援許多進階功能，例如租賃臨時安全性令牌或組織金鑰輪替。

使用 Helm 圖表，Vault 可以作為新部署部署在 Kubernetes 叢集中，並以 Consul 作為後端儲存。 它支援原生 Kubernetes 資源，例如 ServiceAccount 令牌，甚至可以充當 Kubernetes 機密的預設儲存。

筆記。 翻譯。：順便說一句，就在昨天，開發 Vault 的 HashiCorp 公司宣布了在 Kubernetes 中使用 Vault 的一些改進，特別是與 Helm 圖表相關的改進。 閱讀更多內容 開發者博客.

Kubernetes 安全審計

Kube-長椅

• 網址： github.com/aquasecurity/kube-bench
• 許可證：免費（Apache）

Kube-bench 是一個 Go 應用程序，它透過執行清單中的測試來檢查 Kubernetes 是否安全部署 CIS Kubernetes 基準.

Kube-bench 尋找叢集元件（etcd、API、控制器管理員等）之間不安全的設定設定、可疑的檔案存取權限、不受保護的帳戶或開放連接埠、資源配額、限制API 呼叫數量以防止DoS攻擊的設置， ETC。

庫貝獵人

• 網址： github.com/aquasecurity/kube-hunter
• 許可證：免費（Apache）

Kube-hunter 尋找 Kubernetes 叢集中的潛在漏洞（例如遠端程式碼執行或資料外洩）。 Kube-hunter 可以作為遠端掃描器運行 - 在這種情況下，它將從第三方攻擊者的角度評估叢集 - 或作為叢集內的 Pod 運行。

Kube-hunter 的一個顯著特徵是其「主動狩獵」模式，在此模式下，它不僅報告問題，還嘗試利用目標集群中發現的可能損害其運行的漏洞。 所以要謹慎使用！

庫貝審計

• 網址： github.com/Shopify/kubeaudit
• 許可證：免費（麻省理工學院）

Kubeaudit 是最初在 Shopify 開發的控制台工具，用於審核 Kubernetes 設定是否有各種安全性問題。 例如，它有助於識別不受限制運行、以 root 身份運行、濫用特權或使用預設 ServiceAccount 的容器。

Kubeaudit 還有其他有趣的功能。 例如，它可以分析本機 YAML 文件，識別可能導致安全性問題的組態缺陷，並自動修復它們。

庫貝塞克

• 網址： kubesec.io
• 許可證：免費（Apache）

Kubesec 是一個特殊的工具，它直接掃描描述 Kubernetes 資源的 YAML 文件，尋找可能影響安全性的薄弱參數。

例如，它可以偵測授予 pod 的過多特權和權限、以 root 作為預設使用者運行容器、連接到主機的網路命名空間或危險的掛載 /proc 主機或 Docker 套接字。 Kubesec 的另一個有趣的功能是在線提供的演示服務，您可以將 YAML 上傳到其中並立即對其進行分析。

開放策略代理

• 網址： www.openpolicyagent.org
• 許可證：免費（Apache）

OPA（開放策略代理）的概念是將安全性原則和安全最佳實務與特定的執行時間平台解耦：Docker、Kubernetes、Mesosphere、OpenShift 或其任意組合。

例如，您可以將 OPA 部署為 Kubernetes 准入控制器的後端，將安全決策委託給它。 這樣，OPA 代理就可以即時驗證、拒絕甚至修改請求，確保滿足指定的安全參數。 OPA 的安全策略是用其專有的 DSL 語言 Rego 編寫的。

筆記。 翻譯。：我們在中寫了更多關於 OPA（和 SPIFFE）的內容 這種材料.

用於 Kubernetes 安全分析的綜合商業工具

我們決定為商業平台創建一個單獨的類別，因為它們通常涵蓋多個安全領域。 從表中可以大致了解它們的能力：

* 完整的高級檢查和事後分析 系統調用劫持.

水上安全

• 網址： www.aquasec.com
• 許可：商業

此商業工具專為容器和雲端工作負載而設計。 它提供：

• 與容器註冊表或 CI/CD 管道整合的影像掃描；
• 運行時保護，搜尋容器中的更改和其他可疑活動；
• 容器原生防火牆；
• 雲端服務中無伺服器的安全性；
• 合規性測試和審核與事件記錄相結合。

筆記。 翻譯。: 另外值得注意的是 產品的免費組件稱為 微型掃描儀，它允許您掃描容器映像是否存在漏洞。 其功能與付費版本的比較見 這張桌子.

膠囊8

• 網址： 膠囊8.com
• 許可：商業

Capsule8 透過在本地或雲端 Kubernetes 叢集上安裝偵測器來整合到基礎架構中。 此偵測器收集主機和網路遙測數據，並將其與不同類型的攻擊相關聯。

Capsule8 團隊將任務視為使用新的技術及早偵測和預防攻擊 （0 天） 漏洞。 Capsule8可以將更新的安全規則直接下載到偵測器，以回應新發現的威脅和軟體漏洞。

卡維林

• 網址： www.cavirin.com
• 許可：商業

Cavirin 是涉及安全標準的各個機構的公司方承包商。 它不僅可以掃描影像，還可以整合到 CI/CD 管道中，在非標準影像進入封閉儲存庫之前對其進行封鎖。

Cavirin 的安全套件使用機器學習來評估您的網路安全狀況，提供提高安全性和提高對安全標準合規性的提示。

Google 雲端安全指揮中心

• 網址： cloud.google.com/security-command-center
• 許可：商業

雲端安全指揮中心可協助安全團隊收集資料、識別威脅並在威脅對公司造成損害之前將其消除。

顧名思義，Google Cloud SCC 是一個統一的控制面板，可從單一集中源整合和管理各種安全報告、資產會計引擎和第三方安全系統。

Google Cloud SCC 提供的可互通 API 可輕鬆整合來自各種來源的安全事件，例如 Sysdig Secure（雲端原生應用程式的容器安全性）或 Falco（開源執行時間安全性）。

分層洞察（Qualys）

• 網址： 分層洞察網
• 許可：商業

Layered Insight（現屬於 Qualys Inc 的一部分）建立在「嵌入式安全」的概念之上。 使用統計分析和 CVE 檢查掃描原始映像中的漏洞後，Layered Insight 會將其替換為包含二進位代理程式的偵測映像。

此代理程式包含運行時安全測試，用於分析容器網路流量、I/O 流和應用程式活動。 此外，它還可以執行基礎設施管理員或 DevOps 團隊指定的其他安全性檢查。

神經向量

• 網址： neuvector.com
• 許可：商業

NeuVector 透過分析網路活動和應用程式行為、為每個容器建立單獨的安全性設定檔來檢查容器安全性並提供執行時間保護。 它還可以自行阻止威脅，透過更改本機防火牆規則來隔離可疑活動。

NeuVector 的網路整合稱為安全網格，能夠對服務網格中的所有網路連接進行深度資料包分析和第 7 層過濾。

堆棧Rox

• 網址： www.stackrox.com
• 許可：商業

StackRox容器安全平台致力於涵蓋叢集中Kubernetes應用程式的整個生命週期。 與此清單中的其他商業平台一樣，StackRox 根據觀察到的容器行為產生執行時間設定文件，並針對任何偏差自動發出警報。

此外，StackRox 使用 Kubernetes CIS 和其他規則手冊來分析 Kubernetes 配置，以評估容器合規性。

系統安全

• 網址： sysdig.com/products/secure
• 許可：商業

Sysdig Secure 在整個容器和 Kubernetes 生命週期中保護應用程式。 他 掃描影像 容器，提供 運行時保護 根據機器學習數據，執行奶油。 辨識漏洞、阻止威脅、監控的專業知識 遵守既定標準 並審計微服務中的活動。

Sysdig Secure 與 Jenkins 等 CI/CD 工具集成，並控制從 Docker 註冊表載入的映像，防止危險映像出現在生產中。 它還提供全面的運行時安全性，包括：

• 基於機器學習的運行時分析和異常檢測；
• 基於系統事件、K8s-audit API、聯合社群專案（FIM - 檔案完整性監控；加密劫持）和框架的執行時間策略 斜接;
• 事件的響應和解決。

Tenable 容器安全

• 網址： www.tenable.com/products/tenable-io/container-security
• 許可：商業

在容器出現之前，Tenable 作為 Nessus（一種流行的漏洞搜尋和安全審計工具）背後的公司而在業界廣為人知。

Tenable Container Security 利用該公司的電腦安全專業知識將 CI/CD 管道與漏洞資料庫、專門的惡意軟體偵測套件以及解決安全威脅的建議整合在一起。

扭鎖（帕洛阿爾托網路）

• 網址： www.twistlock.com
• 許可：商業

Twistlock 將自己宣傳為專注於雲端服務和容器的平台。 Twistlock 支援各種雲端提供者（AWS、Azure、GCP）、容器編排器（Kubernetes、Mesospehere、OpenShift、Docker）、無伺服器執行時間、網格框架和 CI/CD 工具。

除了 CI/CD 管道整合或影像掃描等傳統企業級安全技術之外，Twistlock 還使用機器學習來產生特定於容器的行為模式和網路規則。

不久前，Twistlock 被 Palo Alto Networks 收購，後者擁有 Evident.io 和 RedLock 專案。 目前尚不清楚這三個平台具體將如何整合到 PRISMA 來自帕洛阿爾托。

幫助建立 Kubernetes 安全工具的最佳目錄！

我們努力使該目錄盡可能完整，為此我們需要您的幫助！ 聯絡我們 （@sysdig）如果您心中有一個很酷的工具值得包含在此列表中，或者您發現錯誤/過時的信息。

您也可以訂閱我們的 每月通訊 來自雲端原生生態系統的新聞以及 Kubernetes 安全領域有趣專案的故事。

譯者PS

另請閱讀我們的博客：

• «面向安全專業人員的 Kubernetes 網絡策略簡介“;
• «安全要求高的環境中的 Docker 和 Kubernetes“;
• «9 個 Kubernetes 安全最佳實踐“;
• «在 Kubernetes 中避免被黑客攻擊的 11 種方法“;
• «OPA 和 SPIFFE 是 CNCF 的兩個新項目，用於雲端應用程式安全“。

來源： www.habr.com