玄幻小说改编的电视剧,旷世神医

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

33個Kubernetes安全工具

Kubernetes鏡像掃描

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),古田企業(yè)網(wǎng)站建設(shè),古田品牌網(wǎng)站建設(shè),網(wǎng)站定制,古田網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,古田網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

Anchore

主頁：https://anchore.com/

許可證：免費(Apache)和商業(yè)服務(wù)

Anchore引擎分析容器鏡像并應用用戶定義的策略來實現(xiàn)自定義安全檢查。

除了針對CVE數(shù)據(jù)庫上已知漏洞的常規(guī)容器鏡像掃描之外，還有許多附加條件可以配置為使用Anchore掃描策略的一部分：Dockerfile檢查、憑證泄漏、特定于語言的包(npm、maven等)、軟件許可證等等。

Clair

主頁：https://coreos.com/clair

許可證：免費(Apache)

Clair是第一個開放源代碼圖像掃描項目之一，也因作為Docker鏡像注冊中心的安全掃描引擎而廣為人知。Clair能夠從大量的漏洞源中提取CVE信息，包括由Debian、RedHat或Ubuntu安全團隊編寫的特定于發(fā)行版的漏洞列表。

與Anchore不同，Clair主要關(guān)注漏洞掃描和CVE匹配部分，盡管它通過可插入驅(qū)動程序的實現(xiàn)為用戶提供了一定的可擴展性。

Dagda

主頁：https://github.com/eliasgranderubio/dagda

許可證：免費(Apache)

Dagda對已知的漏洞、木馬、病毒、惡意軟件和容器鏡像中的其他惡意威脅進行靜態(tài)分析。

有兩個顯著的特性使得Dagda不同于類似的Kubernetes安全工具：

它與ClamAV集成在一起，不僅可以作為一個容器鏡像掃描器，還可以作為殺毒軟件。
Dagda還提供了運行時保護功能，從Docker守護進程收集實時事件，并與CNCF的Falco集成來收集運行時容器安全事件。

KubeXray

主頁：https://github.com/jfrog/kubexray

許可證：免費(Apache)，但需要從JFrog Xray(商業(yè)產(chǎn)品)中檢索數(shù)據(jù)

KubeXray偵聽Kubernetes API服務(wù)器事件，并利用來自JFrog Xray(商業(yè)產(chǎn)品)的元數(shù)據(jù)，以確保只有符合當前策略的pod才能在Kubernetes上運行。

KubeXray不僅審計新的或升級的容器部署(類似于Kubernetes許可控制器)，還可以根據(jù)配置的新安全策略動態(tài)檢查運行時容器，刪除指向脆弱鏡像的資源。

Snyk

主頁：https://snyk.io/

許可證：免費(Apache)和商業(yè)服務(wù)

Snyk是一種特殊的漏洞掃描器，在某種意義上，它特別關(guān)注開發(fā)工作流，并將其自身宣傳為開發(fā)人員優(yōu)先的解決方案。

Snyk將直接連接到你的代碼庫，解析項目聲明并分析導入的代碼，以及它們的直接和間接庫依賴關(guān)系。Snyk支持許多流行的編程語言，也可以發(fā)現(xiàn)隱含的許可風險。

Trivy

主頁：https://github.com/knqyf263/trivy

許可證：免費(AGPL)

Trivy是一個簡單而全面的容器漏洞掃描器，易于與你的CI/CD集成。一個顯著的特點是安裝和操作簡單，只使用一個二進制文件，不需要安裝數(shù)據(jù)庫或其他庫。

Trivy簡單性的缺點是，你需要弄清楚如何解析和轉(zhuǎn)發(fā)JSON輸出，以便其他Kubernetes安全工具可以利用它。

Kubernetes運行時安全

Falco

主頁：https://falco.org/

許可證：免費(Apache)

Falco是一個云原生運行時安全工具集，是CNCF家族的驕傲成員。

利用Sysdig的Linux內(nèi)核檢測和系統(tǒng)調(diào)用分析，F(xiàn)alco深入了解了系統(tǒng)行為。它的運行時規(guī)則引擎可以檢測應用程序、容器、底層主機和Kubernetes協(xié)調(diào)器中的異?；顒?。

使用Falco，你將獲得完整的運行時可視性和威脅檢測，并為每個Kubernetes節(jié)點部署一個代理，不需要修改注入第三方代碼的容器或堆積邊車容器。

Linux運行時安全框架

這些本地Linux框架本身并不是Kubernetes安全工具，但是在這里值得一提，因為它們是運行時安全上下文的一部分，可以包含在Kubernetes Pod安全策略(PSP)中。

AppArmor將安全配置文件附加到容器中運行的進程，定義文件系統(tǒng)特權(quán)、網(wǎng)絡(luò)訪問規(guī)則、庫鏈接等。它是一個強制訪問控制(或MAC)系統(tǒng)，這意味著它將阻止禁止的操作發(fā)生。

安全增強Linux(SELinux)是一個Linux內(nèi)核安全模塊，在某些方面類似，并且經(jīng)常與AppArmor相比較。SELinux比AppArmor更強大、更細粒度、更靈活，這是以學習曲線陡峭和復雜性增加為代價的。

Seccomp和seccomp -bpf允許過濾系統(tǒng)調(diào)用，阻止執(zhí)行可能對底層主機OS有危險的系統(tǒng)調(diào)用，這些調(diào)用對于用戶域二進制文件的常規(guī)操作是不需要的。它與Falco有一些細微的相似之處，盡管seccomp不知道容器的存在。

Sysdig

主頁：https://sysdig.com/opensource/

許可證：免費(Apache)

Sysdig是一個針對Linux系統(tǒng)(也適用于Windows和Mac OSX，功能有限)的全系統(tǒng)探索、故障排除和調(diào)試工具，可用于獲得托管OS和運行于其上的任何容器的細粒度可視性、檢查和取證。

Sysdig還支持容器運行時和Kubernetes元數(shù)據(jù)，將這些額外的維度和標簽添加到收集的任何系統(tǒng)活動中。有幾種方法可以使用Sysdig探索Kubernetes集群:你可以使用kubectl capture創(chuàng)建一個時間點捕獲，或者使用kubectl dig插件生成一個交互式ncurses接口。

Kubernetes網(wǎng)絡(luò)安全

Aporeto

主頁：https://www.aporeto.com/

許可證：商業(yè)

Aporeto提供“與網(wǎng)絡(luò)和基礎(chǔ)設(shè)施分離的安全性”。這意味著你的Kubernetes服務(wù)不僅會獲得本地標識(即Kubernetes服務(wù)帳戶)，還會獲得通用標識/指紋，可用于以安全且可相互驗證的方式與任何其他服務(wù)進行通信，例如在OpenShift集群中。

Aporeto不僅可以為Kubernes/容器，還可以為主機、云功能和用戶生成唯一的身份指紋。根據(jù)這些身份和運營商配置的一組網(wǎng)絡(luò)安全規(guī)則，將允許或阻止通信。

Calico

主頁：https://www.projectcalico.org/

許可證：免費(Apache)

Calico通常在容器編制器安裝期間部署，以實現(xiàn)連接容器的虛擬網(wǎng)絡(luò)。在這個基本的網(wǎng)絡(luò)功能之上，Calico項目實現(xiàn)了Kubernetes網(wǎng)絡(luò)策略規(guī)范和它自己的一組網(wǎng)絡(luò)安全概要文件，這些概要文件實現(xiàn)了端點acl和基于注釋的網(wǎng)絡(luò)安全規(guī)則，用于入口和出口流量。

Cilium

主頁：https://www.cilium.io/

許可證：免費(Apache)

Cilium提供容器防火墻和網(wǎng)絡(luò)安全功能，本機適應于Kubernetes和微服務(wù)工作負載。Cilium利用一種名為BPF(Berkeley Packet Filter, Berkeley Packet Filter)的Linux內(nèi)核新技術(shù)來執(zhí)行核心數(shù)據(jù)路徑過濾、篡改、監(jiān)視和重定向。

Cilium可以使用Docker或Kubernetes標簽和元數(shù)據(jù)基于容器標識部署網(wǎng)絡(luò)訪問策略。Cilium還可以理解和過濾幾個第7層協(xié)議，比如HTTP或gRPC，允許您定義一組REST調(diào)用，這些調(diào)用將允許在兩個給定Kubernetes部署之間進行。

Istio

主頁：https://istio.io/

許可證：免費(Apache)

Istio以實現(xiàn)服務(wù)網(wǎng)格范式而聞名，它部署一個平臺無關(guān)的控制平面，并通過動態(tài)配置的特使代理路由所有托管的服務(wù)流量。Istio將利用所有微服務(wù)和容器的這種優(yōu)勢視圖來實現(xiàn)幾種網(wǎng)絡(luò)安全策略。

Istio網(wǎng)絡(luò)安全功能包括:透明的TLS加密，自動將微服務(wù)通信升級到HTTPS，以及它自己的RBAC身份和授權(quán)框架，以接受或拒絕不同工作負載之間的通信。

Tigera

主頁：https://www.tigera.io/

許可證：商業(yè)

Tigera Kubernetes防火墻技術(shù)強調(diào)對你的Kubernetes網(wǎng)絡(luò)安全的零信任方法。

與其他Kubernetes本機網(wǎng)絡(luò)解決方案類似，Tigera利用Kubernetes元數(shù)據(jù)來標識集群中的不同服務(wù)和實體，提供跨多云或混合的單一容器基礎(chǔ)設(shè)施的運行時檢測、持續(xù)的遵從性檢查和網(wǎng)絡(luò)可見性。

Trireme

主頁：https://www.aporeto.com/opensource/

許可證：免費(Apache)

Trireme-Kubernetes是Kubernetes網(wǎng)絡(luò)策略規(guī)范的簡單、直接的實現(xiàn)。它最顯著的特點之一是，與類似的Kubernetes網(wǎng)絡(luò)安全解決方案不同，它不需要一個中央控制平面來協(xié)調(diào)網(wǎng)格，使得該解決方案的可擴展性非常低。Trireme實現(xiàn)了這一點，即每個節(jié)點安裝一個代理，該代理將直接接入主機的TCP/IP堆棧。

鏡像分發(fā)和密鑰管理

Grafeas

主頁：https://grafeas.io/

許可證：免費(Apache)

Grafeas是一個開源API，用于審計和管理您的軟件供應鏈。在基本級別上，Grafeas是一個元數(shù)據(jù)和審計日志收集工具，你可以使用它來跟蹤整個組織的安全最佳實踐的遵從性。

這個集中的事實來源可以幫助你回答與安全性相關(guān)的問題，比如：

誰構(gòu)建并簽署了一個特定的容器?

它是否通過了所有的安全掃描和策略檢查?什么時候?這個工具的輸出是什么?

誰在生產(chǎn)中部署了它?用于部署的具體參數(shù)是什么?

Portieris

主頁：https://github.com/IBM/portieris

許可證：免費(Apache)

Portieris是一個Kubernetes許可控制器，用于強制內(nèi)容信任。它依賴Notary服務(wù)器作為可信和簽名工件(即已批準的容器鏡像)的真相來源。

無論何時創(chuàng)建或修改Kubernetes工作負載，Portieris都會為請求的容器鏡像提取簽名信息和內(nèi)容信任策略，如果需要，還會動態(tài)修改API JSON對象，以運行這些鏡像的簽名版本。

Vault

主頁：https://www.vaultproject.io/

許可證：免費(MPL)

Vault是針對密碼、oauth令牌、PKI證書、訪問憑證、Kubernetes秘密等機密的高安全性存儲解決方案。它支持許多高級特性，比如臨時安全令牌租約或編排的密鑰滾轉(zhuǎn)。

你可以將vault本身部署為Kubernetes集群中的新部署，使用Helm chart和領(lǐng)事作為其后端存儲。它支持Kubernetes本地資源，比如serviceaccount令牌，甚至可以配置為默認的Kubernetes密鑰存儲。

Kubernetes安全審計

Kube-bench

主頁：https://github.com/aquasecurity/kube-bench

許可證：免費(Apache)

kube-bench是一個Go應用程序，它通過運行CIS Kubernetes基準測試中記錄的檢查來檢查Kubernetes是否安全部署。

Kube-bench將在你的Kubernetes集群組件(etcd、API、controller manager等)上查找不安全的配置參數(shù)、敏感的文件權(quán)限、不安全的帳戶或公開端口、資源配額、保護你免受DoS攻擊的API速率限制的配置，等等。

Kube-hunter

主頁：https://github.com/aquasecurity/kube-hunter

許可證：免費(Apache)

Kube-hunter在你的Kubernetes集群中尋找安全弱點(比如遠程代碼執(zhí)行或信息公開)。你可以將kube-hunter作為遠程掃描器運行，它將提供外部攻擊者的視角，或者作為Kubernetes集群中的一個Pod。

kube-hunter提供的一個獨特特性是，它可以使用active hunting運行，這意味著不僅要報告，而且要實際利用目標Kubernetes中發(fā)現(xiàn)的漏洞，這些漏洞可能對集群的操作有害。小心處理:)。

Kubeaudit

主頁：https://github.com/Shopify/kubeaudit

許可證：免費(MIT)

Kubeaudit是一個免費的命令行工具，最初是在Shopify上創(chuàng)建的，用于審計Kubernetes的配置，以解決各種不同的安全問題。你可以無限制地運行容器鏡像、以root身份運行、使用特權(quán)功能或缺省serviceaccount等等。

Kubeaudit還有其他幾個值得注意的特性，例如，它可以處理本地YAML文件來檢測配置缺陷，這些缺陷將導致該工具所涵蓋的任何安全問題，并自動為你修復它們。

Kubesec

主頁：https://kubesec.io/

許可證：免費(Apache)

Kubesec是一個非常特殊的Kubernetes安全工具，因為它將直接掃描聲明Kubernetes資源的YAML文件，以找到薄弱的安全參數(shù)。

例如，它可以檢測授予pod的過多功能和權(quán)限，使用root作為默認容器用戶，連接到主機網(wǎng)絡(luò)命名空間，或者像host /proc或docker套接字這樣的危險裝載。Kubesec的另一個不錯的特性是他們的在線演示鏈接，你可以在那里發(fā)布一個YAML并立即開始嘗試。

Open策略代理

主頁：https://www.openpolicyagent.org/

許可證：免費(Apache)

OPA(Open Policy Agent)的愿景是將你的安全策略和安全最佳實踐與特定的運行時平臺解耦：Docker、Kubernetes、Mesosphere、OpenShift或它們的任何組合。

例如，你可以將OPA部署為Kubernetes承認控制器的后端，委托安全決策，這樣OPA代理就可以動態(tài)地驗證、拒絕甚至修改請求，以強制執(zhí)行定制的安全約束。OPA安全策略是使用其特定于域的語言Rego編寫的。

端到端的Kubernetes安全商業(yè)產(chǎn)品

我們決定為商業(yè)Kubernetes安全平臺創(chuàng)建一個單獨的類別，因為它們通常覆蓋幾個安全領(lǐng)域。這里有一個表格可以看到一個整體的概況：

AquaSec

主頁：https://www.aquasec.com/

許可證：商業(yè)

AquaSec是一款針對容器和云工作負載的商業(yè)安全工具，包括：

鏡像掃描，與你的容器注冊表或CI/CD集成;
檢測容器修改或可疑活動的運行時保護;
容器本地應用防火墻;
云服務(wù)的無服務(wù)器安全性;
合規(guī)性和審計報告，與事件記錄集成。

Capsule8

主頁：https://capsule8.com/

許可證：商業(yè)

Capsule8與在on-prem或cloud Kubernetes集群上部署傳感器的基礎(chǔ)設(shè)施集成。該傳感器將收集主機和網(wǎng)絡(luò)遙測數(shù)據(jù)，根據(jù)不同的攻擊模式匹配此活動。

Capsule8團隊負責在他們設(shè)法通過你的系統(tǒng)之前檢測和中斷0-day的攻擊。他們的安全操作團隊可以向你的傳感器推送有針對性的規(guī)則，作為對最近發(fā)現(xiàn)的軟件漏洞威脅的響應。

Cavirin

主頁：https://www.cavirin.com/

許可證：商業(yè)

Cavirin解決方案的重點是為不同的安全標準化機構(gòu)提供一個企業(yè)對應方。除了鏡像掃描功能，它還可以與你的CI/CD集成，在不符合要求的鏡像被推送到你的私有存儲庫之前阻止它們。

Cavirin security suite使用機器學習來為你的網(wǎng)絡(luò)安全狀態(tài)提供一個類似于信用的評分，提供一些補救技巧來改進你的安全狀態(tài)或安全標準遵從性。

谷歌云安全命令中心

主頁：https://cloud.google.com/security-command-center/

許可證：商業(yè)

云安全指揮中心幫助安全團隊收集數(shù)據(jù)，識別威脅，并在它們導致業(yè)務(wù)破壞或損失之前對其采取行動。

正如其名稱所示，谷歌云SCC是一個統(tǒng)一的控制面板，你可以在其中集成不同的安全報告、資產(chǎn)清單和第三方安全引擎，所有這些都來自一個集中的儀表板。

谷歌Cloud SCC提供的可互操作API有助于集成來自不同來源的Kubernetes安全事件，比如:Sysdig Secure(云本地應用程序的容器安全)或Falco(開源運行時安全引擎)。

Qualys

主頁：https://layeredinsight.com/

許可證：商業(yè)

分層洞察(現(xiàn)在是qualys的一部分)是圍繞嵌入式安全的概念設(shè)計的。一旦使用靜態(tài)分析技術(shù)掃描原始圖像以發(fā)現(xiàn)漏洞，并通過CVE檢查，分層洞察就會用注入二進制代理的儀表化圖像替換它。

該二進制文件包括docker網(wǎng)絡(luò)流量、輸入/輸出流和應用程序活動的運行時安全探測，以及基礎(chǔ)設(shè)施運營商或開發(fā)團隊提供的任何自定義安全檢查。

Neuvector

主頁：https://neuvector.com/

許可證：商業(yè)

NeuVector通過分析網(wǎng)絡(luò)活動和應用程序行為來執(zhí)行容器安全基線化和運行時保護，從而為每個鏡像創(chuàng)建一個定制的安全概要文件。它還可以主動阻止威脅，通過修改本地網(wǎng)絡(luò)防火墻隔離可疑活動。

NeuVector網(wǎng)絡(luò)集成，標簽為安全網(wǎng)格，能夠執(zhí)行深入包檢查和過濾你的服務(wù)網(wǎng)格中的所有網(wǎng)絡(luò)連接的第7層。

StackRox

主頁：https://www.stackrox.com/

許可證：商業(yè)

StackRox容器安全平臺的目標是覆蓋集群中Kubernetes應用程序的整個生命周期。與此列表中的其他商業(yè)容器安全平臺一樣，它根據(jù)觀察到的容器行為生成運行時概要文件，并將在任何異常時自動發(fā)出警報。

StackRox平臺還將使用CIS Kubernetes基準和其他容器遵從性基準評估Kubernetes配置。

Sysdig

主頁：https://sysdig.com/products/secure/

許可證：商業(yè)

Sysdig Secure在整個容器生命周期中保護你的云本地應用程序。它集成了容器鏡像掃描、運行時保護和取證功能，以識別漏洞、阻止威脅、強制遵從性和跨微服務(wù)的審計活動。

它的一些相關(guān)的功能包括：

掃描注冊表中的鏡像或作為CI/CD流水線的一部分，以發(fā)現(xiàn)易受攻擊的庫、包和配置;
運行時檢測通過行為特征保護生產(chǎn)中的容器;
通過微秒級粒度的系統(tǒng)調(diào)用記錄攻擊前和攻擊后的活動;
250多項開箱即用合規(guī)性檢查，確保你的配置安全。

Tenable Container Security

主頁：https://www.tenable.com/products/tenable-io/container-security

許可證：商業(yè)

Tenable在容器出現(xiàn)之前，作為Nessus(一種流行的漏洞掃描和安全聽覺工具)背后的公司，在安全行業(yè)廣為人知。

“可維護的容器安全”利用他們在計算機安全領(lǐng)域的經(jīng)驗，將你的CI/CD流水線與漏洞數(shù)據(jù)庫、專門的惡意軟件檢測引擎和安全威脅補救建議相集成。

Twistlock(Palo Alto Networks)

主頁：https://www.twistlock.com/

許可證：商業(yè)

Twistlock宣稱自己是云第一、容器第一的平臺，提供與云提供商(AWS、Azure、GCP)、容器編排者(Kubernetes、Mesospehere、OpenShift、Docker)、無服務(wù)器運行時、網(wǎng)格框架和CI/CD工具的特定集成。

除了通常的容器安全企業(yè)特性，如CI/CD集成或鏡像掃描，Twistlock使用機器學習技術(shù)來生成行為模式和容器感知網(wǎng)絡(luò)規(guī)則。

Twistlock被同樣擁有該公司的帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)收購，io和Redlock安全解決方案。尚不清楚這三個平臺如何集成到帕洛阿爾托的PRISMA的。

本文標題：33個Kubernetes安全工具
文章鏈接：http://fisionsoft.com.cn/article/dpghjed.html

新聞中心

其他資訊