根据我们最近对IT决策者的调查[1],安全是与容器采用相关的最大担忧,54%的受访者担心延迟应用程序部署的安全问题。首先,Kubernetes是开发和DevOps团队加速和扩展容器化应用程序开发、部署和管理的工具。RedHat、Amazon、Microsoft和Google等提供商已添加安全功能以增强Kubernetes中的基本功能。与此同时,商业安全供应商已经加紧为更高级的用例提供企业级安全解决方案。同时,Kubernetes社区一直非常积极地发布开源安全工具,以填补Kubernetes中存在的安全漏洞。客户有大量的开源安全工具可供选择,我们的调查结果表明,没有任何一种开源安全工具能主导Kubernetes安全市场。下面,您将找到由我们的调查受访者确定的前八个最流行的开源Kubernetes安全工具。1.OpenPolicyAgent(OPA)32%的受访者使用open-policy-agent[2](OPA)来保护Kubernetes。虽然OPA是一个通用的策略引擎,但它是一个非常强大的工具,用于执行上下文感知的安全策略。随着从Kubernetesv.1.21开始弃用[3]Pod安全策略(并在v.1.25中被完全删除),许多组织可能会转向OPA来填补这一空白。2.KubeLinter并列第一的是KubeLinter[4],它是一个静态分析工具,可以扫描YAML文件和Helm图表。KubeLinter分析KubernetesYAML文件和Helm图表,并根据各种最佳实践检查它们,重点是生产准备和安全性。KubeLinter附带默认检查,旨在为您提供有关KubernetesYAML文件和Helm图表的有用信息。这有助于团队及早并经常检查安全配置错误和DevOps最佳实践。这方面的一些常见示例包括以非root用户身份运行容器、强制执行最小权限以及仅将敏感信息存储在机密中。3.Kube-bench近四分之一的受访者使用Kube-bench,这是一种根据CIS基准中推荐的Kubernetes安全检查来审核Kubernetes设置的工具。扫描是使用YAML文件配置的,工具本身是用Kubernetes开发人员熟悉的Go语言编写的。该工具在自我管理控制平面组件时特别有用。4.Kube-hunter由Kube-bench背后的同一个团队构建,Kube-hunter[5]寻找Kubernetes集群中可利用的安全漏洞。Kube-hunter更有用的功能之一是能够利用它发现的漏洞来发现更多漏洞。23%的受访者使用Kube-hunter。5.TerrascanTerracan建立在OPA之上,是一种用于基础架构即代码的开源静态代码分析器,有22%的受访者使用。Terrascan拥有500多个跨各种应用程序的安全最佳实践策略,包括Terraform、Kubernetes(JSON/YAML)、AWS、Azure、GCP、Kubernetes和GitHub,可在配置基础设施之前检测安全漏洞和合规性策略。合规并降低风险。6.Falco是此列表中唯一为运行时安全而构建的开源工具,21%的受访者使用Falco[6]来保护在Kubernetes中运行的容器化应用程序。Falco还提供安全策略,使用来自Kubernetes和内核事件的上下文数据来检测表明存在威胁的异常应用程序行为。7.ClairClair[7]是一种开源安全工具,可扫描容器映像以查找已知漏洞。Clair是一个静态分析工具,因此它无法在运行时检测漏洞。11%的受访者使用Clair。8.Checkov类似于Terrascan,Checkov[8]是一种用于基础架构即代码的静态代码分析器,有9%的受访者使用。最新版本的Chekov引入了基于上下文的分析。它使用基于图形的云基础设施扫描来检测错误配置,这些基础设施配备了Terraform、Terraformplan、Cloudformation、Kubernetes、Dockerfile、Serverless或ARM模板等应用程序。需要注意的是,虽然大多数受访者至少使用一种开源安全工具用于Kubernetes,但近十分之一的受访者选择不使用任何开源安全工具。
