ТОП 6 опенсорсных инструментов безопасности Kubernetes в 2021 году

В Kubernetes можно быстро и удобно развёртывать, масштабировать и управлять контейнеризированными приложениями. Однако с этим преимуществами возникает проблема безопасности. Насколько защищены ваши контейнеры в Kubernetes напрямую зависит от ваших действий. В большинстве случаев критические проблемы безопасности прямо или косвенно вызваны пользователями и их приложениями.

По умолчанию Kubernetes предоставляет каждому модулю в кластере собственный IP-адрес и, вместе с тем, базовый уровень безопасности на основе IP. Однако некоторые аспекты ваших кластеров по-прежнему требуют других форм защиты и блокировки. Например, сетевая политика, политика доступа к RBAC, пространство имён и другие. 

Как достигнуть нужного уровня защиты? Существует много полезных опенсорсных инструментов, которые помогут обезопасить ПО и отслеживать уязвимости. Подготовили список из 6 лучших инструментов безопасности Kubernetes в 2021 году, по мнению респондентов Red Hat.

ТОП инструментов безопасности Kubernetes

  1. KubeLinter — это инструмент статического анализа, который сканирует файлы YAML и диаграммы Helm. KubeLinter выполняет проверки по умолчанию, чтобы предоставить вам полезную информацию о ваших файлах и диаграммах. Это сделали для того, чтобы команды могли проверять настройки безопасности и передовые методы DevOps. Подробная документация по инсталляции здесь.
  2. Open Policy Agent (OPA) — это универсальный механизм политик с открытым исходным кодом, который обеспечивает унифицированное применение политик с учётом контекста во всём стеке. OPA дипломированный проектом в области Cloud Native Computing Foundation (CNCF). Вот пример интеграции ОРА с Kubernetes.
  3. Kube-bench — инструмент, который мониторит настройки Kubernetes на соответствие проверкам безопасности, рекомендованным в тесте CIS Benchmark для Kubernetes. Тесты конфигурируются с помощью файлов YAML, что упрощает обновление этого инструмента по мере развития спецификаций тестов. Дополнительную информацию и различные способы запуска Kube-bench смотрите в документации.
  4. Kube-hunter создала та же команда, что и Kube-bench. Он ищет уязвимости в кластерах Kubernetes. Одна из наиболее полезных функций Kube-hunter — это возможность использовать обнаруженные слабые места для поиска дальнейших эксплойтов. Обратите внимание, что вы НЕ должны запускать kube-hunter на кластере Kubernetes, которым вы НЕ владеете.
  5. Terrascan — это статический опенсорсный анализатор кода, который создали на основе OPA. Terrascan может обнаруживать уязвимости безопасности и нарушения нормативных требований. Инструмент имеет более 500 политик, которые помогают обеспечить безопасность для различных приложений, включая сканирование: Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize и Dockerfiles. А также, поддержку AWS, Azure, GCP, Kubernetes, Dockerfile и GitHub. 
  6. Falco создан для защиты контейнерных приложений в Kubernetes, которые уже запущены. Инструмент упрощает процесс получения событий ядра и обогащения этих событий информацией из Kubernetes (и остального облачного стека). Если нужно запустить Falco в производственной среде, следуйте официальному руководству.

Итог

Эти инструменты отлично подходят, чтобы обеспечить максимальную безопасность ваших кластеров Kubernetes. Какими из них пользуетесь/планируете начать пользоваться вы? Пишите в комментах.

А если вы хотите узнать комплексную информацию об администрировании Kubernetes — вот отличный курс уровня DevOps.

Добавить комментарий

Спасибо, что поделились