日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
33個Kubernetes安全工具

Kubernetes鏡像掃描

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),古田企業(yè)網(wǎng)站建設(shè),古田品牌網(wǎng)站建設(shè),網(wǎng)站定制,古田網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,古田網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

Anchore

主頁:https://anchore.com/

許可證:免費(Apache)和商業(yè)服務(wù)

Anchore引擎分析容器鏡像并應(yīng)用用戶定義的策略來實現(xiàn)自定義安全檢查。

除了針對CVE數(shù)據(jù)庫上已知漏洞的常規(guī)容器鏡像掃描之外,還有許多附加條件可以配置為使用Anchore掃描策略的一部分:Dockerfile檢查、憑證泄漏、特定于語言的包(npm、maven等)、軟件許可證等等。

Clair

主頁:https://coreos.com/clair

許可證:免費(Apache)

Clair是第一個開放源代碼圖像掃描項目之一,也因作為Docker鏡像注冊中心的安全掃描引擎而廣為人知。Clair能夠從大量的漏洞源中提取CVE信息,包括由Debian、RedHat或Ubuntu安全團隊編寫的特定于發(fā)行版的漏洞列表。

與Anchore不同,Clair主要關(guān)注漏洞掃描和CVE匹配部分,盡管它通過可插入驅(qū)動程序的實現(xiàn)為用戶提供了一定的可擴展性。

Dagda

主頁:https://github.com/eliasgranderubio/dagda

許可證:免費(Apache)

Dagda對已知的漏洞、木馬、病毒、惡意軟件和容器鏡像中的其他惡意威脅進行靜態(tài)分析。

有兩個顯著的特性使得Dagda不同于類似的Kubernetes安全工具:

  • 它與ClamAV集成在一起,不僅可以作為一個容器鏡像掃描器,還可以作為殺毒軟件。
  • Dagda還提供了運行時保護功能,從Docker守護進程收集實時事件,并與CNCF的Falco集成來收集運行時容器安全事件。

KubeXray

主頁:https://github.com/jfrog/kubexray

許可證:免費(Apache),但需要從JFrog Xray(商業(yè)產(chǎn)品)中檢索數(shù)據(jù)

KubeXray偵聽Kubernetes API服務(wù)器事件,并利用來自JFrog Xray(商業(yè)產(chǎn)品)的元數(shù)據(jù),以確保只有符合當(dāng)前策略的pod才能在Kubernetes上運行。

KubeXray不僅審計新的或升級的容器部署(類似于Kubernetes許可控制器),還可以根據(jù)配置的新安全策略動態(tài)檢查運行時容器,刪除指向脆弱鏡像的資源。

Snyk

主頁:https://snyk.io/

許可證:免費(Apache)和商業(yè)服務(wù)

Snyk是一種特殊的漏洞掃描器,在某種意義上,它特別關(guān)注開發(fā)工作流,并將其自身宣傳為開發(fā)人員優(yōu)先的解決方案。

Snyk將直接連接到你的代碼庫,解析項目聲明并分析導(dǎo)入的代碼,以及它們的直接和間接庫依賴關(guān)系。Snyk支持許多流行的編程語言,也可以發(fā)現(xiàn)隱含的許可風(fēng)險。

Trivy

主頁:https://github.com/knqyf263/trivy

許可證:免費(AGPL)

Trivy是一個簡單而全面的容器漏洞掃描器,易于與你的CI/CD集成。一個顯著的特點是安裝和操作簡單,只使用一個二進制文件,不需要安裝數(shù)據(jù)庫或其他庫。

Trivy簡單性的缺點是,你需要弄清楚如何解析和轉(zhuǎn)發(fā)JSON輸出,以便其他Kubernetes安全工具可以利用它。

Kubernetes運行時安全

Falco

主頁:https://falco.org/

許可證:免費(Apache)

Falco是一個云原生運行時安全工具集,是CNCF家族的驕傲成員。

利用Sysdig的Linux內(nèi)核檢測和系統(tǒng)調(diào)用分析,F(xiàn)alco深入了解了系統(tǒng)行為。它的運行時規(guī)則引擎可以檢測應(yīng)用程序、容器、底層主機和Kubernetes協(xié)調(diào)器中的異?;顒印?/p>

使用Falco,你將獲得完整的運行時可視性和威脅檢測,并為每個Kubernetes節(jié)點部署一個代理,不需要修改注入第三方代碼的容器或堆積邊車容器。

Linux運行時安全框架

這些本地Linux框架本身并不是Kubernetes安全工具,但是在這里值得一提,因為它們是運行時安全上下文的一部分,可以包含在Kubernetes Pod安全策略(PSP)中。

AppArmor將安全配置文件附加到容器中運行的進程,定義文件系統(tǒng)特權(quán)、網(wǎng)絡(luò)訪問規(guī)則、庫鏈接等。它是一個強制訪問控制(或MAC)系統(tǒng),這意味著它將阻止禁止的操作發(fā)生。

安全增強Linux(SELinux)是一個Linux內(nèi)核安全模塊,在某些方面類似,并且經(jīng)常與AppArmor相比較。SELinux比AppArmor更強大、更細粒度、更靈活,這是以學(xué)習(xí)曲線陡峭和復(fù)雜性增加為代價的。

Seccomp和seccomp -bpf允許過濾系統(tǒng)調(diào)用,阻止執(zhí)行可能對底層主機OS有危險的系統(tǒng)調(diào)用,這些調(diào)用對于用戶域二進制文件的常規(guī)操作是不需要的。它與Falco有一些細微的相似之處,盡管seccomp不知道容器的存在。

Sysdig

主頁:https://sysdig.com/opensource/

許可證:免費(Apache)

Sysdig是一個針對Linux系統(tǒng)(也適用于Windows和Mac OSX,功能有限)的全系統(tǒng)探索、故障排除和調(diào)試工具,可用于獲得托管OS和運行于其上的任何容器的細粒度可視性、檢查和取證。

Sysdig還支持容器運行時和Kubernetes元數(shù)據(jù),將這些額外的維度和標(biāo)簽添加到收集的任何系統(tǒng)活動中。有幾種方法可以使用Sysdig探索Kubernetes集群:你可以使用kubectl capture創(chuàng)建一個時間點捕獲,或者使用kubectl dig插件生成一個交互式ncurses接口。

Kubernetes網(wǎng)絡(luò)安全

Aporeto

主頁:https://www.aporeto.com/

許可證:商業(yè)

Aporeto提供“與網(wǎng)絡(luò)和基礎(chǔ)設(shè)施分離的安全性”。這意味著你的Kubernetes服務(wù)不僅會獲得本地標(biāo)識(即Kubernetes服務(wù)帳戶),還會獲得通用標(biāo)識/指紋,可用于以安全且可相互驗證的方式與任何其他服務(wù)進行通信,例如在OpenShift集群中。

Aporeto不僅可以為Kubernes/容器,還可以為主機、云功能和用戶生成唯一的身份指紋。根據(jù)這些身份和運營商配置的一組網(wǎng)絡(luò)安全規(guī)則,將允許或阻止通信。

Calico

主頁:https://www.projectcalico.org/

許可證:免費(Apache)

Calico通常在容器編制器安裝期間部署,以實現(xiàn)連接容器的虛擬網(wǎng)絡(luò)。在這個基本的網(wǎng)絡(luò)功能之上,Calico項目實現(xiàn)了Kubernetes網(wǎng)絡(luò)策略規(guī)范和它自己的一組網(wǎng)絡(luò)安全概要文件,這些概要文件實現(xiàn)了端點acl和基于注釋的網(wǎng)絡(luò)安全規(guī)則,用于入口和出口流量。

Cilium

主頁:https://www.cilium.io/

許可證:免費(Apache)

Cilium提供容器防火墻和網(wǎng)絡(luò)安全功能,本機適應(yīng)于Kubernetes和微服務(wù)工作負載。Cilium利用一種名為BPF(Berkeley Packet Filter, Berkeley Packet Filter)的Linux內(nèi)核新技術(shù)來執(zhí)行核心數(shù)據(jù)路徑過濾、篡改、監(jiān)視和重定向。

Cilium可以使用Docker或Kubernetes標(biāo)簽和元數(shù)據(jù)基于容器標(biāo)識部署網(wǎng)絡(luò)訪問策略。Cilium還可以理解和過濾幾個第7層協(xié)議,比如HTTP或gRPC,允許您定義一組REST調(diào)用,這些調(diào)用將允許在兩個給定Kubernetes部署之間進行。

Istio

主頁:https://istio.io/

許可證:免費(Apache)

Istio以實現(xiàn)服務(wù)網(wǎng)格范式而聞名,它部署一個平臺無關(guān)的控制平面,并通過動態(tài)配置的特使代理路由所有托管的服務(wù)流量。Istio將利用所有微服務(wù)和容器的這種優(yōu)勢視圖來實現(xiàn)幾種網(wǎng)絡(luò)安全策略。

Istio網(wǎng)絡(luò)安全功能包括:透明的TLS加密,自動將微服務(wù)通信升級到HTTPS,以及它自己的RBAC身份和授權(quán)框架,以接受或拒絕不同工作負載之間的通信。

Tigera

主頁:https://www.tigera.io/

許可證:商業(yè)

Tigera Kubernetes防火墻技術(shù)強調(diào)對你的Kubernetes網(wǎng)絡(luò)安全的零信任方法。

與其他Kubernetes本機網(wǎng)絡(luò)解決方案類似,Tigera利用Kubernetes元數(shù)據(jù)來標(biāo)識集群中的不同服務(wù)和實體,提供跨多云或混合的單一容器基礎(chǔ)設(shè)施的運行時檢測、持續(xù)的遵從性檢查和網(wǎng)絡(luò)可見性。

Trireme

主頁:https://www.aporeto.com/opensource/

許可證:免費(Apache)

Trireme-Kubernetes是Kubernetes網(wǎng)絡(luò)策略規(guī)范的簡單、直接的實現(xiàn)。它最顯著的特點之一是,與類似的Kubernetes網(wǎng)絡(luò)安全解決方案不同,它不需要一個中央控制平面來協(xié)調(diào)網(wǎng)格,使得該解決方案的可擴展性非常低。Trireme實現(xiàn)了這一點,即每個節(jié)點安裝一個代理,該代理將直接接入主機的TCP/IP堆棧。

鏡像分發(fā)和密鑰管理

Grafeas

主頁:https://grafeas.io/

許可證:免費(Apache)

Grafeas是一個開源API,用于審計和管理您的軟件供應(yīng)鏈。在基本級別上,Grafeas是一個元數(shù)據(jù)和審計日志收集工具,你可以使用它來跟蹤整個組織的安全最佳實踐的遵從性。

這個集中的事實來源可以幫助你回答與安全性相關(guān)的問題,比如:

誰構(gòu)建并簽署了一個特定的容器?

它是否通過了所有的安全掃描和策略檢查?什么時候?這個工具的輸出是什么?

誰在生產(chǎn)中部署了它?用于部署的具體參數(shù)是什么?

Portieris

主頁:https://github.com/IBM/portieris

許可證:免費(Apache)

Portieris是一個Kubernetes許可控制器,用于強制內(nèi)容信任。它依賴Notary服務(wù)器作為可信和簽名工件(即已批準(zhǔn)的容器鏡像)的真相來源。

無論何時創(chuàng)建或修改Kubernetes工作負載,Portieris都會為請求的容器鏡像提取簽名信息和內(nèi)容信任策略,如果需要,還會動態(tài)修改API JSON對象,以運行這些鏡像的簽名版本。

Vault

主頁:https://www.vaultproject.io/

許可證:免費(MPL)

Vault是針對密碼、oauth令牌、PKI證書、訪問憑證、Kubernetes秘密等機密的高安全性存儲解決方案。它支持許多高級特性,比如臨時安全令牌租約或編排的密鑰滾轉(zhuǎn)。

你可以將vault本身部署為Kubernetes集群中的新部署,使用Helm chart和領(lǐng)事作為其后端存儲。它支持Kubernetes本地資源,比如serviceaccount令牌,甚至可以配置為默認(rèn)的Kubernetes密鑰存儲。

Kubernetes安全審計

Kube-bench

主頁:https://github.com/aquasecurity/kube-bench

許可證:免費(Apache)

kube-bench是一個Go應(yīng)用程序,它通過運行CIS Kubernetes基準(zhǔn)測試中記錄的檢查來檢查Kubernetes是否安全部署。

Kube-bench將在你的Kubernetes集群組件(etcd、API、controller manager等)上查找不安全的配置參數(shù)、敏感的文件權(quán)限、不安全的帳戶或公開端口、資源配額、保護你免受DoS攻擊的API速率限制的配置,等等。

Kube-hunter

主頁:https://github.com/aquasecurity/kube-hunter

許可證:免費(Apache)

Kube-hunter在你的Kubernetes集群中尋找安全弱點(比如遠程代碼執(zhí)行或信息公開)。你可以將kube-hunter作為遠程掃描器運行,它將提供外部攻擊者的視角,或者作為Kubernetes集群中的一個Pod。

kube-hunter提供的一個獨特特性是,它可以使用active hunting運行,這意味著不僅要報告,而且要實際利用目標(biāo)Kubernetes中發(fā)現(xiàn)的漏洞,這些漏洞可能對集群的操作有害。小心處理:)。

Kubeaudit

主頁:https://github.com/Shopify/kubeaudit

許可證:免費(MIT)

Kubeaudit是一個免費的命令行工具,最初是在Shopify上創(chuàng)建的,用于審計Kubernetes的配置,以解決各種不同的安全問題。你可以無限制地運行容器鏡像、以root身份運行、使用特權(quán)功能或缺省serviceaccount等等。

Kubeaudit還有其他幾個值得注意的特性,例如,它可以處理本地YAML文件來檢測配置缺陷,這些缺陷將導(dǎo)致該工具所涵蓋的任何安全問題,并自動為你修復(fù)它們。

Kubesec

主頁:https://kubesec.io/

許可證:免費(Apache)

Kubesec是一個非常特殊的Kubernetes安全工具,因為它將直接掃描聲明Kubernetes資源的YAML文件,以找到薄弱的安全參數(shù)。

例如,它可以檢測授予pod的過多功能和權(quán)限,使用root作為默認(rèn)容器用戶,連接到主機網(wǎng)絡(luò)命名空間,或者像host /proc或docker套接字這樣的危險裝載。Kubesec的另一個不錯的特性是他們的在線演示鏈接,你可以在那里發(fā)布一個YAML并立即開始嘗試。

Open策略代理

主頁:https://www.openpolicyagent.org/

許可證:免費(Apache)

OPA(Open Policy Agent)的愿景是將你的安全策略和安全最佳實踐與特定的運行時平臺解耦:Docker、Kubernetes、Mesosphere、OpenShift或它們的任何組合。

例如,你可以將OPA部署為Kubernetes承認(rèn)控制器的后端,委托安全決策,這樣OPA代理就可以動態(tài)地驗證、拒絕甚至修改請求,以強制執(zhí)行定制的安全約束。OPA安全策略是使用其特定于域的語言Rego編寫的。

端到端的Kubernetes安全商業(yè)產(chǎn)品

我們決定為商業(yè)Kubernetes安全平臺創(chuàng)建一個單獨的類別,因為它們通常覆蓋幾個安全領(lǐng)域。這里有一個表格可以看到一個整體的概況:

AquaSec

主頁:https://www.aquasec.com/

許可證:商業(yè)

AquaSec是一款針對容器和云工作負載的商業(yè)安全工具,包括:

  • 鏡像掃描,與你的容器注冊表或CI/CD集成;
  • 檢測容器修改或可疑活動的運行時保護;
  • 容器本地應(yīng)用防火墻;
  • 云服務(wù)的無服務(wù)器安全性;
  • 合規(guī)性和審計報告,與事件記錄集成。

Capsule8

主頁:https://capsule8.com/

許可證:商業(yè)

Capsule8與在on-prem或cloud Kubernetes集群上部署傳感器的基礎(chǔ)設(shè)施集成。該傳感器將收集主機和網(wǎng)絡(luò)遙測數(shù)據(jù),根據(jù)不同的攻擊模式匹配此活動。

Capsule8團隊負責(zé)在他們設(shè)法通過你的系統(tǒng)之前檢測和中斷0-day的攻擊。他們的安全操作團隊可以向你的傳感器推送有針對性的規(guī)則,作為對最近發(fā)現(xiàn)的軟件漏洞威脅的響應(yīng)。

Cavirin

主頁:https://www.cavirin.com/

許可證:商業(yè)

Cavirin解決方案的重點是為不同的安全標(biāo)準(zhǔn)化機構(gòu)提供一個企業(yè)對應(yīng)方。除了鏡像掃描功能,它還可以與你的CI/CD集成,在不符合要求的鏡像被推送到你的私有存儲庫之前阻止它們。

Cavirin security suite使用機器學(xué)習(xí)來為你的網(wǎng)絡(luò)安全狀態(tài)提供一個類似于信用的評分,提供一些補救技巧來改進你的安全狀態(tài)或安全標(biāo)準(zhǔn)遵從性。

谷歌云安全命令中心

主頁:https://cloud.google.com/security-command-center/

許可證:商業(yè)

云安全指揮中心幫助安全團隊收集數(shù)據(jù),識別威脅,并在它們導(dǎo)致業(yè)務(wù)破壞或損失之前對其采取行動。

正如其名稱所示,谷歌云SCC是一個統(tǒng)一的控制面板,你可以在其中集成不同的安全報告、資產(chǎn)清單和第三方安全引擎,所有這些都來自一個集中的儀表板。

谷歌Cloud SCC提供的可互操作API有助于集成來自不同來源的Kubernetes安全事件,比如:Sysdig Secure(云本地應(yīng)用程序的容器安全)或Falco(開源運行時安全引擎)。

Qualys

主頁:https://layeredinsight.com/

許可證:商業(yè)

分層洞察(現(xiàn)在是qualys的一部分)是圍繞嵌入式安全的概念設(shè)計的。一旦使用靜態(tài)分析技術(shù)掃描原始圖像以發(fā)現(xiàn)漏洞,并通過CVE檢查,分層洞察就會用注入二進制代理的儀表化圖像替換它。

該二進制文件包括docker網(wǎng)絡(luò)流量、輸入/輸出流和應(yīng)用程序活動的運行時安全探測,以及基礎(chǔ)設(shè)施運營商或開發(fā)團隊提供的任何自定義安全檢查。

Neuvector

主頁:https://neuvector.com/

許可證:商業(yè)

NeuVector通過分析網(wǎng)絡(luò)活動和應(yīng)用程序行為來執(zhí)行容器安全基線化和運行時保護,從而為每個鏡像創(chuàng)建一個定制的安全概要文件。它還可以主動阻止威脅,通過修改本地網(wǎng)絡(luò)防火墻隔離可疑活動。

NeuVector網(wǎng)絡(luò)集成,標(biāo)簽為安全網(wǎng)格,能夠執(zhí)行深入包檢查和過濾你的服務(wù)網(wǎng)格中的所有網(wǎng)絡(luò)連接的第7層。

StackRox

主頁:https://www.stackrox.com/

許可證:商業(yè)

StackRox容器安全平臺的目標(biāo)是覆蓋集群中Kubernetes應(yīng)用程序的整個生命周期。與此列表中的其他商業(yè)容器安全平臺一樣,它根據(jù)觀察到的容器行為生成運行時概要文件,并將在任何異常時自動發(fā)出警報。

StackRox平臺還將使用CIS Kubernetes基準(zhǔn)和其他容器遵從性基準(zhǔn)評估Kubernetes配置。

Sysdig

主頁:https://sysdig.com/products/secure/

許可證:商業(yè)

Sysdig Secure在整個容器生命周期中保護你的云本地應(yīng)用程序。它集成了容器鏡像掃描、運行時保護和取證功能,以識別漏洞、阻止威脅、強制遵從性和跨微服務(wù)的審計活動。

它的一些相關(guān)的功能包括:

  • 掃描注冊表中的鏡像或作為CI/CD流水線的一部分,以發(fā)現(xiàn)易受攻擊的庫、包和配置;
  • 運行時檢測通過行為特征保護生產(chǎn)中的容器;
  • 通過微秒級粒度的系統(tǒng)調(diào)用記錄攻擊前和攻擊后的活動;
  • 250多項開箱即用合規(guī)性檢查,確保你的配置安全。

Tenable Container Security

主頁:https://www.tenable.com/products/tenable-io/container-security

許可證:商業(yè)

Tenable在容器出現(xiàn)之前,作為Nessus(一種流行的漏洞掃描和安全聽覺工具)背后的公司,在安全行業(yè)廣為人知。

“可維護的容器安全”利用他們在計算機安全領(lǐng)域的經(jīng)驗,將你的CI/CD流水線與漏洞數(shù)據(jù)庫、專門的惡意軟件檢測引擎和安全威脅補救建議相集成。

Twistlock(Palo Alto Networks)

主頁:https://www.twistlock.com/

許可證:商業(yè)

Twistlock宣稱自己是云第一、容器第一的平臺,提供與云提供商(AWS、Azure、GCP)、容器編排者(Kubernetes、Mesospehere、OpenShift、Docker)、無服務(wù)器運行時、網(wǎng)格框架和CI/CD工具的特定集成。

除了通常的容器安全企業(yè)特性,如CI/CD集成或鏡像掃描,Twistlock使用機器學(xué)習(xí)技術(shù)來生成行為模式和容器感知網(wǎng)絡(luò)規(guī)則。

Twistlock被同樣擁有該公司的帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)收購,io和Redlock安全解決方案。尚不清楚這三個平臺如何集成到帕洛阿爾托的PRISMA的。


網(wǎng)站欄目:33個Kubernetes安全工具
網(wǎng)頁URL:http://www.dlmjj.cn/article/dpghjed.html