2021 年 Top8 开源 Kubernetes 安全工具
首页>>云原生>>正文

根据我们最近调查[1] 对 IT 决策者的调查,安全是与容器采用相关的最大问题,54%的受访者中的安全问题导致应用程序部署延迟。

首先,Kubernetes 是开发和 DevOps 团队加速和扩展容器化应用程序开发、部署和管理的工具。Red Hat、Amazon、Microsoft 和 Google 等提供商已添加安全功能以增强 Kubernetes 中的基本功能。与此同时,商业安全供应商已经加紧为更高级的用例提供企业级安全解决方案。

与此同时,Kubernetes 社区一直非常积极地发布开源安全工具来填补Kubernetes 中存在的安全漏洞。客户有丰富的开源安全工具可供选择,我们的调查结果表明,没有单一的开源安全工具主导 Kubernetes 安全市场。

下面,您将找到我们的调查受访者确定的前八名最受欢迎的开源 Kubernetes 安全工具。

1Open Policy Agent (OPA)

32%的受访者使用open-policy-agent[2](OPA)保护 Kubernetes 。虽然 OPA 是一种通用策略引擎,但它是用于实施上下文感知安全策略的非常强大的工具。随着从 Kubernetes v.1.21 开始弃用[3]Pod 安全策略(并在 v.1.25 完全删除),许多组织可能会转向 OPA 来填补这一空白。

2KubeLinter

并列第一的是KubeLinter[4] ,是一个静态分析工具,可以扫描 YAML 文件和 Helm 图表。KubeLinter 分析 Kubernetes YAML 文件和 Helm 图表,并根据各种最佳实践对其进行检查,重点是生产就绪性和安全性。

KubeLinter 附带默认检查,旨在为您提供有关 Kubernetes YAML 文件和 Helm 图表的有用信息。这有助于团队尽早并经常检查安全配置错误和 DevOps 最佳实践。其中一些常见示例包括以非 root 用户身份运行容器、强制执行最低权限以及仅将敏感信息存储在机密中。

3Kube-bench

近四分之一的受访者使用Kube-bench,这是一种根据 CIS 基准测试中推荐的 Kubernetes 安全检查来审核 Kubernetes 设置的工具。扫描是使用 YAML 文件配置的,工具本身是用 Go 编写的,Go 是 Kubernetes 开发人员熟悉的语言。

在自我管理控制平面组件时,此工具特别有用。

4Kube-hunter

由 Kube-bench 背后的同一团队构建,Kube-hunter[5] 寻找 Kubernetes 集群中可利用的安全弱点。Kube-hunter 更有用的功能之一是能够利用它发现的漏洞来寻找进一步的漏洞。23% 的受访者使用 Kube-hunter。

5Terrascan

Terracan建立在 OPA 之上,是一种用于基础设施即代码的开源静态代码分析器,22% 的受访者使用它。Terrascan 拥有超过 500 多种跨各种应用程序的安全最佳实践策略,包括 Terraform、Kubernetes (JSON/YAML)、AWS、Azure、GCP、Kubernetes 和 GitHub,Terrascan 可以在配置基础设施之前检测安全漏洞和合规违规并降低风险。

6Falco

作为此列表中唯一为运行时安全性而构建的开源工具, 21% 的受访者使用Falco[6]来保护在 Kubernetes 中运行的容器化应用程序。Falco 还提供安全策略,这些策略使用来自 Kubernetes 和内核事件的上下文数据来检测表示威胁的异常应用程序行为。

7Clair

Clair[7]是一种开源安全工具,用于扫描容器镜像中的已知漏洞。Clair 是一个静态分析工具,因此它无法在运行时检测漏洞。11% 的受访者使用 Clair。

8Checkov

与 Terrascan 类似,Checkov[8]是基础设施即代码的静态代码分析器,9% 的受访者使用该代码。Chekov 的最新版本引入了基于上下文的分析。它使用基于图形的云基础架构扫描来检测错误配置,这些云基础架构配备了 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板等应用程序。

应该指出的是,虽然大多数受访者至少使用了一种用于 Kubernetes 的开源安全工具,但近十分之一的受访者选择不使用任何开源安全工具。

参考资料

[1]

2021 年 Kubernetes 采用、安全和市场趋势报告: https://www.redhat.com/en/resources/kubernetes-adoption-security-market-trends-2021-overview

[2]

OPA: https://github.com/open-policy-agent/opa

[3]

PSP(Pod-security-policy): https://kubernetes.io/docs/concepts/policy/pod-security-policy/

[4]

KubeLinter: https://github.com/stackrox/kube-linter

[5]

Kube-hunter: https://github.com/aquasecurity/kube-hunter

[6]

falco: https://github.com/falcosecurity/falco

[7]

Clair: https://github.com/quay/clair

[8]

Checkov: https://github.com/bridgecrewio/checkov

本文来自作者:Red Hat® Hybrid Cloud, 原文🔗:https://cloud.redhat.com

云原生生态圈 · 往期推荐





云原生生态圈之玩转容器系列文章


云原生生态圈之运维架构专辑文章


云原生生态圈之DevOps理论与实践系列文章


云原生生态圈之Kubernetes理论与实践系列文章


云原生生态圈之Go语言系列文章   技术源于生活系列视频

“阅读原文”一起来充电吧! 

给TA打赏
共{{data.count}}人
人已打赏

相关文章

eBPF、sidecars 和服务网格的未来

eBPF、sidecars 和服务网格的未来

eBPF 最近很火热,因为可以为云原生世界提供很多东西。由于 Cilium 之类的项目,它一直是 Kubernetes 集群的 CNI 层的流行选择。Linkerd 等服务网格通常与 Cilium 等 CNI 层一起部署,将 Linkerd 强大的 L7 处理与 Cilium 超快的 L3/4 处理相结合。 但是,eBPF 的网络技术到底有多强大?例如,它能否让我们完全替换 Linkerd 的 sidecars 代理,而只在内核中做所有事情? 在本文中,我将尽我所能评估这种可能性——尤其是当它与对用户的影响有关时。

Kalix:构建无服务器的云原生业务关键型应用程序,无需数据库

Kalix:构建无服务器的云原生业务关键型应用程序,无需数据库

Akka 背后的公司Lightbend最近推出了 Kalix,这是一种新的平台即服务产品,用于使用任何没有数据库的编程语言构建云原生、业务关键型应用程序。Kalix 是一个统一的应用层,它将编写软件所需的部分汇集在一起,并抽象出它们的实现细节。Lighbend 旨在为开发人员提供“创新的 NoOps 开发人员体验”。 Lightbend 的创始人兼首席执行官Jonas Bonér解释了 Kalix 的动机: 云生态系统的复杂性正在减缓工程和开发团队的速度。Kubernetes在管理、编排和确保容器的可用性和可扩展性

英特尔进军比特币挖矿设备市场

英特尔进军比特币挖矿设备市场

本文由半导体产业纵横综合   英特尔总部位于加利福尼亚州圣克拉拉   英特尔公司的新比特币挖矿芯片可能会成为多年来主导市场的中国挖矿设备制造商的第一个主要挑战者。   这家总部位于加利福尼亚州圣克拉拉的芯片制造巨头本月早些时候公布了其加密挖矿计划,并于1月份推出了第一代Bonanza Mine芯片。Jack Dorsey 的数字支付公司Block Inc.以及两家矿业公司Griid Infrastructure 和Argo Blockchain将在今年晚些时候收到第一批芯片。 &nbs

浅谈铁电存储器:如何实现下一代内存计算?

浅谈铁电存储器:如何实现下一代内存计算?

本文由半导体产业纵横编译自technews 因应人工智能、物联网、5G、车载等新兴科技所迎来的巨量资讯分析需求,近年来各国政府及国际知名大厂皆积极地投注大量资源,加速开发兼具提升运算速度以及降低耗能的下世代存储器。而新兴存储器技术选项中,当属铁电存储器最被看好,其原理、技术挑战与未来机会为何?(本文出自中国台湾清华大学工程与系统科学系巫勇贤教授,于闳康科技“科技新航道合作专栏”介绍《铁电存储器的原理、挑战与展望》文稿,经科技新报修编为上下两篇,此篇为上篇。)    Memory-Centric
云原生后端开发

Cilium作为孵化项目加入CNCF

2021-10-16 15:55:26

云原生后端开发

2021最佳DevOps监控工具

2021-10-24 15:58:32

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索