33個(gè)Kubernetes安全工具

作者：Live400 2019-12-13 10:09:09

安全云安全

Trivy是一個(gè)簡單而全面的容器漏洞掃描器，易于與你的CI/CD集成。一個(gè)顯著的特點(diǎn)是安裝和操作簡單，只使用一個(gè)二進(jìn)制文件，不需要安裝數(shù)據(jù)庫或其他庫。

[[285480]]

Kubernetes鏡像掃描

Anchore

主頁：https://anchore.com/

許可證：免費(fèi)(Apache)和商業(yè)服務(wù)

Anchore引擎分析容器鏡像并應(yīng)用用戶定義的策略來實(shí)現(xiàn)自定義安全檢查。

除了針對(duì)CVE數(shù)據(jù)庫上已知漏洞的常規(guī)容器鏡像掃描之外，還有許多附加條件可以配置為使用Anchore掃描策略的一部分：Dockerfile檢查、憑證泄漏、特定于語言的包(npm、maven等)、軟件許可證等等。

Clair

主頁：https://coreos.com/clair

許可證：免費(fèi)(Apache)

Clair是第一個(gè)開放源代碼圖像掃描項(xiàng)目之一，也因作為Docker鏡像注冊(cè)中心的安全掃描引擎而廣為人知。Clair能夠從大量的漏洞源中提取CVE信息，包括由Debian、RedHat或Ubuntu安全團(tuán)隊(duì)編寫的特定于發(fā)行版的漏洞列表。

與Anchore不同，Clair主要關(guān)注漏洞掃描和CVE匹配部分，盡管它通過可插入驅(qū)動(dòng)程序的實(shí)現(xiàn)為用戶提供了一定的可擴(kuò)展性。

Dagda

主頁：https://github.com/eliasgranderubio/dagda

許可證：免費(fèi)(Apache)

Dagda對(duì)已知的漏洞、木馬、病毒、惡意軟件和容器鏡像中的其他惡意威脅進(jìn)行靜態(tài)分析。

有兩個(gè)顯著的特性使得Dagda不同于類似的Kubernetes安全工具：

它與ClamAV集成在一起，不僅可以作為一個(gè)容器鏡像掃描器，還可以作為殺毒軟件。
Dagda還提供了運(yùn)行時(shí)保護(hù)功能，從Docker守護(hù)進(jìn)程收集實(shí)時(shí)事件，并與CNCF的Falco集成來收集運(yùn)行時(shí)容器安全事件。

KubeXray

主頁：https://github.com/jfrog/kubexray

許可證：免費(fèi)(Apache)，但需要從JFrog Xray(商業(yè)產(chǎn)品)中檢索數(shù)據(jù)

KubeXray偵聽Kubernetes API服務(wù)器事件，并利用來自JFrog Xray(商業(yè)產(chǎn)品)的元數(shù)據(jù)，以確保只有符合當(dāng)前策略的pod才能在Kubernetes上運(yùn)行。

KubeXray不僅審計(jì)新的或升級(jí)的容器部署(類似于Kubernetes許可控制器)，還可以根據(jù)配置的新安全策略動(dòng)態(tài)檢查運(yùn)行時(shí)容器，刪除指向脆弱鏡像的資源。

Snyk

主頁：https://snyk.io/

許可證：免費(fèi)(Apache)和商業(yè)服務(wù)

Snyk是一種特殊的漏洞掃描器，在某種意義上，它特別關(guān)注開發(fā)工作流，并將其自身宣傳為開發(fā)人員優(yōu)先的解決方案。

Snyk將直接連接到你的代碼庫，解析項(xiàng)目聲明并分析導(dǎo)入的代碼，以及它們的直接和間接庫依賴關(guān)系。Snyk支持許多流行的編程語言，也可以發(fā)現(xiàn)隱含的許可風(fēng)險(xiǎn)。

Trivy

主頁：https://github.com/knqyf263/trivy

許可證：免費(fèi)(AGPL)

Trivy簡單性的缺點(diǎn)是，你需要弄清楚如何解析和轉(zhuǎn)發(fā)JSON輸出，以便其他Kubernetes安全工具可以利用它。

Kubernetes運(yùn)行時(shí)安全

Falco

主頁：https://falco.org/

許可證：免費(fèi)(Apache)

Falco是一個(gè)云原生運(yùn)行時(shí)安全工具集，是CNCF家族的驕傲成員。

利用Sysdig的Linux內(nèi)核檢測和系統(tǒng)調(diào)用分析，F(xiàn)alco深入了解了系統(tǒng)行為。它的運(yùn)行時(shí)規(guī)則引擎可以檢測應(yīng)用程序、容器、底層主機(jī)和Kubernetes協(xié)調(diào)器中的異常活動(dòng)。

使用Falco，你將獲得完整的運(yùn)行時(shí)可視性和威脅檢測，并為每個(gè)Kubernetes節(jié)點(diǎn)部署一個(gè)代理，不需要修改注入第三方代碼的容器或堆積邊車容器。

Linux運(yùn)行時(shí)安全框架

這些本地Linux框架本身并不是Kubernetes安全工具，但是在這里值得一提，因?yàn)樗鼈兪沁\(yùn)行時(shí)安全上下文的一部分，可以包含在Kubernetes Pod安全策略(PSP)中。

AppArmor將安全配置文件附加到容器中運(yùn)行的進(jìn)程，定義文件系統(tǒng)特權(quán)、網(wǎng)絡(luò)訪問規(guī)則、庫鏈接等。它是一個(gè)強(qiáng)制訪問控制(或MAC)系統(tǒng)，這意味著它將阻止禁止的操作發(fā)生。

安全增強(qiáng)Linux(SELinux)是一個(gè)Linux內(nèi)核安全模塊，在某些方面類似，并且經(jīng)常與AppArmor相比較。SELinux比AppArmor更強(qiáng)大、更細(xì)粒度、更靈活，這是以學(xué)習(xí)曲線陡峭和復(fù)雜性增加為代價(jià)的。

Seccomp和seccomp -bpf允許過濾系統(tǒng)調(diào)用，阻止執(zhí)行可能對(duì)底層主機(jī)OS有危險(xiǎn)的系統(tǒng)調(diào)用，這些調(diào)用對(duì)于用戶域二進(jìn)制文件的常規(guī)操作是不需要的。它與Falco有一些細(xì)微的相似之處，盡管seccomp不知道容器的存在。

Sysdig

主頁：https://sysdig.com/opensource/

許可證：免費(fèi)(Apache)

Sysdig是一個(gè)針對(duì)Linux系統(tǒng)(也適用于Windows和Mac OSX，功能有限)的全系統(tǒng)探索、故障排除和調(diào)試工具，可用于獲得托管OS和運(yùn)行于其上的任何容器的細(xì)粒度可視性、檢查和取證。

Sysdig還支持容器運(yùn)行時(shí)和Kubernetes元數(shù)據(jù)，將這些額外的維度和標(biāo)簽添加到收集的任何系統(tǒng)活動(dòng)中。有幾種方法可以使用Sysdig探索Kubernetes集群:你可以使用kubectl capture創(chuàng)建一個(gè)時(shí)間點(diǎn)捕獲，或者使用kubectl dig插件生成一個(gè)交互式ncurses接口。

Kubernetes網(wǎng)絡(luò)安全

Aporeto

主頁：https://www.aporeto.com/

許可證：商業(yè)

Aporeto提供“與網(wǎng)絡(luò)和基礎(chǔ)設(shè)施分離的安全性”。這意味著你的Kubernetes服務(wù)不僅會(huì)獲得本地標(biāo)識(shí)(即Kubernetes服務(wù)帳戶)，還會(huì)獲得通用標(biāo)識(shí)/指紋，可用于以安全且可相互驗(yàn)證的方式與任何其他服務(wù)進(jìn)行通信，例如在OpenShift集群中。

Aporeto不僅可以為Kubernes/容器，還可以為主機(jī)、云功能和用戶生成唯一的身份指紋。根據(jù)這些身份和運(yùn)營商配置的一組網(wǎng)絡(luò)安全規(guī)則，將允許或阻止通信。

Calico

主頁：https://www.projectcalico.org/

許可證：免費(fèi)(Apache)

Calico通常在容器編制器安裝期間部署，以實(shí)現(xiàn)連接容器的虛擬網(wǎng)絡(luò)。在這個(gè)基本的網(wǎng)絡(luò)功能之上，Calico項(xiàng)目實(shí)現(xiàn)了Kubernetes網(wǎng)絡(luò)策略規(guī)范和它自己的一組網(wǎng)絡(luò)安全概要文件，這些概要文件實(shí)現(xiàn)了端點(diǎn)acl和基于注釋的網(wǎng)絡(luò)安全規(guī)則，用于入口和出口流量。

Cilium

主頁：https://www.cilium.io/

許可證：免費(fèi)(Apache)

Cilium提供容器防火墻和網(wǎng)絡(luò)安全功能，本機(jī)適應(yīng)于Kubernetes和微服務(wù)工作負(fù)載。Cilium利用一種名為BPF(Berkeley Packet Filter, Berkeley Packet Filter)的Linux內(nèi)核新技術(shù)來執(zhí)行核心數(shù)據(jù)路徑過濾、篡改、監(jiān)視和重定向。

Cilium可以使用Docker或Kubernetes標(biāo)簽和元數(shù)據(jù)基于容器標(biāo)識(shí)部署網(wǎng)絡(luò)訪問策略。Cilium還可以理解和過濾幾個(gè)第7層協(xié)議，比如HTTP或gRPC，允許您定義一組REST調(diào)用，這些調(diào)用將允許在兩個(gè)給定Kubernetes部署之間進(jìn)行。

Istio

主頁：https://istio.io/

許可證：免費(fèi)(Apache)

Istio以實(shí)現(xiàn)服務(wù)網(wǎng)格范式而聞名，它部署一個(gè)平臺(tái)無關(guān)的控制平面，并通過動(dòng)態(tài)配置的特使代理路由所有托管的服務(wù)流量。Istio將利用所有微服務(wù)和容器的這種優(yōu)勢(shì)視圖來實(shí)現(xiàn)幾種網(wǎng)絡(luò)安全策略。

Istio網(wǎng)絡(luò)安全功能包括:透明的TLS加密，自動(dòng)將微服務(wù)通信升級(jí)到HTTPS，以及它自己的RBAC身份和授權(quán)框架，以接受或拒絕不同工作負(fù)載之間的通信。

Tigera

主頁：https://www.tigera.io/

許可證：商業(yè)

Tigera Kubernetes防火墻技術(shù)強(qiáng)調(diào)對(duì)你的Kubernetes網(wǎng)絡(luò)安全的零信任方法。

與其他Kubernetes本機(jī)網(wǎng)絡(luò)解決方案類似，Tigera利用Kubernetes元數(shù)據(jù)來標(biāo)識(shí)集群中的不同服務(wù)和實(shí)體，提供跨多云或混合的單一容器基礎(chǔ)設(shè)施的運(yùn)行時(shí)檢測、持續(xù)的遵從性檢查和網(wǎng)絡(luò)可見性。

Trireme

主頁：https://www.aporeto.com/opensource/

許可證：免費(fèi)(Apache)

Trireme-Kubernetes是Kubernetes網(wǎng)絡(luò)策略規(guī)范的簡單、直接的實(shí)現(xiàn)。它最顯著的特點(diǎn)之一是，與類似的Kubernetes網(wǎng)絡(luò)安全解決方案不同，它不需要一個(gè)中央控制平面來協(xié)調(diào)網(wǎng)格，使得該解決方案的可擴(kuò)展性非常低。Trireme實(shí)現(xiàn)了這一點(diǎn)，即每個(gè)節(jié)點(diǎn)安裝一個(gè)代理，該代理將直接接入主機(jī)的TCP/IP堆棧。

鏡像分發(fā)和密鑰管理

Grafeas

主頁：https://grafeas.io/

許可證：免費(fèi)(Apache)

Grafeas是一個(gè)開源API，用于審計(jì)和管理您的軟件供應(yīng)鏈。在基本級(jí)別上，Grafeas是一個(gè)元數(shù)據(jù)和審計(jì)日志收集工具，你可以使用它來跟蹤整個(gè)組織的安全最佳實(shí)踐的遵從性。

這個(gè)集中的事實(shí)來源可以幫助你回答與安全性相關(guān)的問題，比如：

誰構(gòu)建并簽署了一個(gè)特定的容器?

它是否通過了所有的安全掃描和策略檢查?什么時(shí)候?這個(gè)工具的輸出是什么?

誰在生產(chǎn)中部署了它?用于部署的具體參數(shù)是什么?

Portieris

主頁：https://github.com/IBM/portieris

許可證：免費(fèi)(Apache)

Portieris是一個(gè)Kubernetes許可控制器，用于強(qiáng)制內(nèi)容信任。它依賴Notary服務(wù)器作為可信和簽名工件(即已批準(zhǔn)的容器鏡像)的真相來源。

無論何時(shí)創(chuàng)建或修改Kubernetes工作負(fù)載，Portieris都會(huì)為請(qǐng)求的容器鏡像提取簽名信息和內(nèi)容信任策略，如果需要，還會(huì)動(dòng)態(tài)修改API JSON對(duì)象，以運(yùn)行這些鏡像的簽名版本。

Vault

主頁：https://www.vaultproject.io/

許可證：免費(fèi)(MPL)

Vault是針對(duì)密碼、oauth令牌、PKI證書、訪問憑證、Kubernetes秘密等機(jī)密的高安全性存儲(chǔ)解決方案。它支持許多高級(jí)特性，比如臨時(shí)安全令牌租約或編排的密鑰滾轉(zhuǎn)。

你可以將vault本身部署為Kubernetes集群中的新部署，使用Helm chart和領(lǐng)事作為其后端存儲(chǔ)。它支持Kubernetes本地資源，比如serviceaccount令牌，甚至可以配置為默認(rèn)的Kubernetes密鑰存儲(chǔ)。

Kubernetes安全審計(jì)

Kube-bench

主頁：https://github.com/aquasecurity/kube-bench

許可證：免費(fèi)(Apache)

kube-bench是一個(gè)Go應(yīng)用程序，它通過運(yùn)行CIS Kubernetes基準(zhǔn)測試中記錄的檢查來檢查Kubernetes是否安全部署。

Kube-bench將在你的Kubernetes集群組件(etcd、API、controller manager等)上查找不安全的配置參數(shù)、敏感的文件權(quán)限、不安全的帳戶或公開端口、資源配額、保護(hù)你免受DoS攻擊的API速率限制的配置，等等。

Kube-hunter

主頁：https://github.com/aquasecurity/kube-hunter

許可證：免費(fèi)(Apache)

Kube-hunter在你的Kubernetes集群中尋找安全弱點(diǎn)(比如遠(yuǎn)程代碼執(zhí)行或信息公開)。你可以將kube-hunter作為遠(yuǎn)程掃描器運(yùn)行，它將提供外部攻擊者的視角，或者作為Kubernetes集群中的一個(gè)Pod。

kube-hunter提供的一個(gè)獨(dú)特特性是，它可以使用active hunting運(yùn)行，這意味著不僅要報(bào)告，而且要實(shí)際利用目標(biāo)Kubernetes中發(fā)現(xiàn)的漏洞，這些漏洞可能對(duì)集群的操作有害。小心處理:)。

Kubeaudit

主頁：https://github.com/Shopify/kubeaudit

許可證：免費(fèi)(MIT)

Kubeaudit是一個(gè)免費(fèi)的命令行工具，最初是在Shopify上創(chuàng)建的，用于審計(jì)Kubernetes的配置，以解決各種不同的安全問題。你可以無限制地運(yùn)行容器鏡像、以root身份運(yùn)行、使用特權(quán)功能或缺省serviceaccount等等。

Kubeaudit還有其他幾個(gè)值得注意的特性，例如，它可以處理本地YAML文件來檢測配置缺陷，這些缺陷將導(dǎo)致該工具所涵蓋的任何安全問題，并自動(dòng)為你修復(fù)它們。

Kubesec

主頁：https://kubesec.io/

許可證：免費(fèi)(Apache)

Kubesec是一個(gè)非常特殊的Kubernetes安全工具，因?yàn)樗鼘⒅苯訏呙杪暶鱇ubernetes資源的YAML文件，以找到薄弱的安全參數(shù)。

例如，它可以檢測授予pod的過多功能和權(quán)限，使用root作為默認(rèn)容器用戶，連接到主機(jī)網(wǎng)絡(luò)命名空間，或者像host /proc或docker套接字這樣的危險(xiǎn)裝載。Kubesec的另一個(gè)不錯(cuò)的特性是他們的在線演示鏈接，你可以在那里發(fā)布一個(gè)YAML并立即開始嘗試。

Open策略代理

主頁：https://www.openpolicyagent.org/

許可證：免費(fèi)(Apache)

OPA(Open Policy Agent)的愿景是將你的安全策略和安全最佳實(shí)踐與特定的運(yùn)行時(shí)平臺(tái)解耦：Docker、Kubernetes、Mesosphere、OpenShift或它們的任何組合。

例如，你可以將OPA部署為Kubernetes承認(rèn)控制器的后端，委托安全決策，這樣OPA代理就可以動(dòng)態(tài)地驗(yàn)證、拒絕甚至修改請(qǐng)求，以強(qiáng)制執(zhí)行定制的安全約束。OPA安全策略是使用其特定于域的語言Rego編寫的。

端到端的Kubernetes安全商業(yè)產(chǎn)品

我們決定為商業(yè)Kubernetes安全平臺(tái)創(chuàng)建一個(gè)單獨(dú)的類別，因?yàn)樗鼈兺ǔ８采w幾個(gè)安全領(lǐng)域。這里有一個(gè)表格可以看到一個(gè)整體的概況：

AquaSec

主頁：https://www.aquasec.com/

許可證：商業(yè)

AquaSec是一款針對(duì)容器和云工作負(fù)載的商業(yè)安全工具，包括：

鏡像掃描，與你的容器注冊(cè)表或CI/CD集成;
檢測容器修改或可疑活動(dòng)的運(yùn)行時(shí)保護(hù);
容器本地應(yīng)用防火墻;
云服務(wù)的無服務(wù)器安全性;
合規(guī)性和審計(jì)報(bào)告，與事件記錄集成。

Capsule8

主頁：https://capsule8.com/

許可證：商業(yè)

Capsule8與在on-prem或cloud Kubernetes集群上部署傳感器的基礎(chǔ)設(shè)施集成。該傳感器將收集主機(jī)和網(wǎng)絡(luò)遙測數(shù)據(jù)，根據(jù)不同的攻擊模式匹配此活動(dòng)。

Capsule8團(tuán)隊(duì)負(fù)責(zé)在他們?cè)O(shè)法通過你的系統(tǒng)之前檢測和中斷0-day的攻擊。他們的安全操作團(tuán)隊(duì)可以向你的傳感器推送有針對(duì)性的規(guī)則，作為對(duì)最近發(fā)現(xiàn)的軟件漏洞威脅的響應(yīng)。

Cavirin

主頁：https://www.cavirin.com/

許可證：商業(yè)

Cavirin解決方案的重點(diǎn)是為不同的安全標(biāo)準(zhǔn)化機(jī)構(gòu)提供一個(gè)企業(yè)對(duì)應(yīng)方。除了鏡像掃描功能，它還可以與你的CI/CD集成，在不符合要求的鏡像被推送到你的私有存儲(chǔ)庫之前阻止它們。

Cavirin security suite使用機(jī)器學(xué)習(xí)來為你的網(wǎng)絡(luò)安全狀態(tài)提供一個(gè)類似于信用的評(píng)分，提供一些補(bǔ)救技巧來改進(jìn)你的安全狀態(tài)或安全標(biāo)準(zhǔn)遵從性。

谷歌云安全命令中心

主頁：https://cloud.google.com/security-command-center/

許可證：商業(yè)

云安全指揮中心幫助安全團(tuán)隊(duì)收集數(shù)據(jù)，識(shí)別威脅，并在它們導(dǎo)致業(yè)務(wù)破壞或損失之前對(duì)其采取行動(dòng)。

正如其名稱所示，谷歌云SCC是一個(gè)統(tǒng)一的控制面板，你可以在其中集成不同的安全報(bào)告、資產(chǎn)清單和第三方安全引擎，所有這些都來自一個(gè)集中的儀表板。

谷歌Cloud SCC提供的可互操作API有助于集成來自不同來源的Kubernetes安全事件，比如:Sysdig Secure(云本地應(yīng)用程序的容器安全)或Falco(開源運(yùn)行時(shí)安全引擎)。

Qualys

主頁：https://layeredinsight.com/

許可證：商業(yè)

分層洞察(現(xiàn)在是qualys的一部分)是圍繞嵌入式安全的概念設(shè)計(jì)的。一旦使用靜態(tài)分析技術(shù)掃描原始圖像以發(fā)現(xiàn)漏洞，并通過CVE檢查，分層洞察就會(huì)用注入二進(jìn)制代理的儀表化圖像替換它。

該二進(jìn)制文件包括docker網(wǎng)絡(luò)流量、輸入/輸出流和應(yīng)用程序活動(dòng)的運(yùn)行時(shí)安全探測，以及基礎(chǔ)設(shè)施運(yùn)營商或開發(fā)團(tuán)隊(duì)提供的任何自定義安全檢查。

Neuvector

主頁：https://neuvector.com/

許可證：商業(yè)

NeuVector通過分析網(wǎng)絡(luò)活動(dòng)和應(yīng)用程序行為來執(zhí)行容器安全基線化和運(yùn)行時(shí)保護(hù)，從而為每個(gè)鏡像創(chuàng)建一個(gè)定制的安全概要文件。它還可以主動(dòng)阻止威脅，通過修改本地網(wǎng)絡(luò)防火墻隔離可疑活動(dòng)。

NeuVector網(wǎng)絡(luò)集成，標(biāo)簽為安全網(wǎng)格，能夠執(zhí)行深入包檢查和過濾你的服務(wù)網(wǎng)格中的所有網(wǎng)絡(luò)連接的第7層。

StackRox

主頁：https://www.stackrox.com/

許可證：商業(yè)

StackRox容器安全平臺(tái)的目標(biāo)是覆蓋集群中Kubernetes應(yīng)用程序的整個(gè)生命周期。與此列表中的其他商業(yè)容器安全平臺(tái)一樣，它根據(jù)觀察到的容器行為生成運(yùn)行時(shí)概要文件，并將在任何異常時(shí)自動(dòng)發(fā)出警報(bào)。

StackRox平臺(tái)還將使用CIS Kubernetes基準(zhǔn)和其他容器遵從性基準(zhǔn)評(píng)估Kubernetes配置。

Sysdig

主頁：https://sysdig.com/products/secure/

許可證：商業(yè)

Sysdig Secure在整個(gè)容器生命周期中保護(hù)你的云本地應(yīng)用程序。它集成了容器鏡像掃描、運(yùn)行時(shí)保護(hù)和取證功能，以識(shí)別漏洞、阻止威脅、強(qiáng)制遵從性和跨微服務(wù)的審計(jì)活動(dòng)。

它的一些相關(guān)的功能包括：