ТОП 6 опенсорсних інструментів безпеки Kubernetes у 2021 році
У Kubernetes можна швидко та зручно розгортати, масштабувати та керувати контейнеризованими додатками. Однак із цими перевагами виникає проблема безпеки. Наскільки захищені контейнери в Kubernetes безпосередньо залежить від ваших дій. У більшості випадків критичні проблеми безпеки прямо або опосередковано викликані користувачами та їх додатками.
За замовчуванням Kubernetes надає кожному модулю в кластері власну IP-адресу і водночас базовий рівень безпеки на основі IP. Однак деякі аспекти ваших кластерів, як і раніше, вимагають інших форм захисту та блокування. Наприклад, мережна політика, політика доступу до RBAC, простір імен та інші.
Як досягти потрібного рівня захисту? Існує багато корисних опенсорсних інструментів, які допоможуть убезпечити ПЗ та відстежувати вразливості. Підготували список із 6 найкращих інструментів безпеки Kubernetes у 2021 році, на думку респондентів Red Hat.
ТОП інструментів безпеки Kubernetes
- KubeLinter — це інструмент статичного аналізу, який сканує файли YAML та діаграми Helm. KubeLinter виконує стандартні перевірки, щоб надати вам корисну інформацію про ваші файли та діаграми. Це зробили для того, щоб команди могли перевіряти налаштування безпеки та передові методи DevOps. Детальна документація з інсталяції тут.
- Open Policy Agent (OPA) — це універсальний механізм політик з відкритим вихідним кодом, який забезпечує уніфіковане застосування політик з урахуванням контексту у всьому стеку. OPA дипломований проєктом у галузі Cloud Native Computing Foundation (CNCF). Ось приклад інтеграції ОРА з Kubernetes.
- Kube-bench — інструмент, який моніторить налаштування Kubernetes на відповідність перевіркам безпеки, рекомендованим у тесті CIS Benchmark для Kubernetes. Тести конфігуруються за допомогою файлів YAML, що спрощує оновлення цього інструменту з розвитком специфікацій тестів. Додаткову інформацію та різні способи запуску Kube-bench дивіться у документації.
- Kube-hunter створила та сама команда, що й Kube-bench. Він шукає вразливості у кластерах Kubernetes. Одна з найкорисніших функцій Kube-hunter — це можливість використати виявлені слабкі місця для пошуку подальших експлойтів. Зверніть увагу, що ви НЕ повинні запускати kube-hunter на кластері Kubernetes, яким ви НЕ володієте.
- Terrascan — це статичний опенсорсний аналізатор коду, створений на основі OPA. Terrascan може виявляти вразливість безпеки та порушення нормативних вимог. Інструмент має понад 500 політик, які допомагають забезпечити надійність для різних програм, включаючи сканування: Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize та Dockerfiles. А також підтримку AWS, Azure, GCP, Kubernetes, Dockerfile і GitHub.
- Falco створено для захисту контейнерних програм у Kubernetes, які вже запущені. Інструмент спрощує процес отримання подій ядра та збагачення цих подій інформацією з Kubernetes (та іншого хмарного стека). Якщо потрібно запустити Falco у виробничому середовищі, дотримуйтесь офіційного посібника.
Підсумок
Ці інструменти чудово підходять, щоб забезпечити максимальну безпеку ваших кластерів Kubernetes. Якими з них користуєтеся/плануєте почати користуватись ви? Пишіть у коментах.
А якщо ви хочете дізнатися комплексну інформацію про адміністрування Kubernetes — ось відмінний курс рівня DevOps “Адміністрування Kubernetes“.