- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章2021 年 Top 8 开源 Kubernetes 安全工具由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
根据我们最近调查[1] 对 IT 决策者的调查,安全是与容器采用相关的最大问题,54%的受访者中的安全问题导致应用程序部署延迟.
首先,Kubernetes 是开发和 DevOps 团队加速和扩展容器化应用程序开发、部署和管理的工具。Red Hat、Amazon、Microsoft 和 Google 等提供商已添加安全功能以增强 Kubernetes 中的基本功能。与此同时,商业安全供应商已经加紧为更高级的用例提供企业级安全解决方案.
与此同时,Kubernetes 社区一直非常积极地发布开源安全工具来填补Kubernetes 中存在的安全漏洞。客户有丰富的开源安全工具可供选择,我们的调查结果表明,没有单一的开源安全工具主导 Kubernetes 安全市场.
下面,您将找到我们的调查受访者确定的前八名最受欢迎的开源 Kubernetes 安全工具.
32%的受访者使用open-policy-agent[2](OPA)保护 Kubernetes 。虽然 OPA 是一种通用策略引擎,但它是用于实施上下文感知安全策略的非常强大的工具。随着从 Kubernetes v.1.21 开始弃用[3]Pod 安全策略(并在 v.1.25 完全删除),许多组织可能会转向 OPA 来填补这一空白.
并列第一的是KubeLinter[4] ,是一个静态分析工具,可以扫描 YAML 文件和 Helm 图表。KubeLinter 分析 Kubernetes YAML 文件和 Helm 图表,并根据各种最佳实践对其进行检查,重点是生产就绪性和安全性.
KubeLinter 附带默认检查,旨在为您提供有关 Kubernetes YAML 文件和 Helm 图表的有用信息。这有助于团队尽早并经常检查安全配置错误和 DevOps 最佳实践。其中一些常见示例包括以非 root 用户身份运行容器、强制执行最低权限以及仅将敏感信息存储在机密中.
近四分之一的受访者使用Kube-bench,这是一种根据 CIS 基准测试中推荐的 Kubernetes 安全检查来审核 Kubernetes 设置的工具。扫描是使用 YAML 文件配置的,工具本身是用 Go 编写的,Go 是 Kubernetes 开发人员熟悉的语言.
在自我管理控制平面组件时,此工具特别有用.
由 Kube-bench 背后的同一团队构建,Kube-hunter[5] 寻找 Kubernetes 集群中可利用的安全弱点。Kube-hunter 更有用的功能之一是能够利用它发现的漏洞来寻找进一步的漏洞。23% 的受访者使用 Kube-hunter.
Terracan建立在 OPA 之上,是一种用于基础设施即代码的开源静态代码分析器,22% 的受访者使用它。Terrascan 拥有超过 500 多种跨各种应用程序的安全最佳实践策略,包括 Terraform、Kubernetes (JSON/YAML)、AWS、Azure、GCP、Kubernetes 和 GitHub,Terrascan 可以在配置基础设施之前检测安全漏洞和合规违规并降低风险.
作为此列表中唯一为运行时安全性而构建的开源工具, 21% 的受访者使用Falco[6]来保护在 Kubernetes 中运行的容器化应用程序。Falco 还提供安全策略,这些策略使用来自 Kubernetes 和内核事件的上下文数据来检测表示威胁的异常应用程序行为.
Clair[7]是一种开源安全工具,用于扫描容器镜像中的已知漏洞。Clair 是一个静态分析工具,因此它无法在运行时检测漏洞。11% 的受访者使用 Clair.
与 Terrascan 类似,Checkov[8]是基础设施即代码的静态代码分析器,9% 的受访者使用该代码。Chekov 的最新版本引入了基于上下文的分析。它使用基于图形的云基础架构扫描来检测错误配置,这些云基础架构配备了 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板等应用程序.
应该指出的是,虽然大多数受访者至少使用了一种用于 Kubernetes 的开源安全工具,但近十分之一的受访者选择不使用任何开源安全工具.
原文链接:https://mp.weixin.qq.com/s/vOI3Lcfn_Wm30r0rk7iiHQ 。
最后此篇关于2021 年 Top 8 开源 Kubernetes 安全工具的文章就讲到这里了,如果你想了解更多关于2021 年 Top 8 开源 Kubernetes 安全工具的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
core@core-1-94 ~ $ kubectl exec -it busybox -- nslookup kubernetesServer: 10.100.0.10Address 1: 1
我有一个节点错误地注册在集群 B 上,而它实际上为集群 A 服务。 这里“在集群 B 上注册”意味着我可以从 kubectl get node 看到节点来自集群 B。 我想从集群 B 中取消注册这个节
据我所知,Kubernetes 是一个用于部署和管理容器的编排框架。另一方面,Kubernetes Engine 负责集群的伸缩,以及管理容器镜像。 从上面看,它们似乎是同一件事或非常相似。从上面的定
我正在学习 Kubernetes 和 Docker,以启动一个简单的 Python 网络应用程序。我对上述所有技术都不熟悉。 下面是我计划的方法: 安装 Kubernetes。 在本地启动并运行集群。
我了解如何在 kubernetes 中设置就绪探测器,但是是否有任何关于在调用就绪探测器时微服务应实际检查哪些内容的最佳实践?两个具体例子: 一个面向数据库的微服务,如果没有有效的数据库连接,几乎所有
Kubernetes 调度程序是仅根据请求的资源和节点在服务器当前快照中的可用资源将 Pod 放置在节点上,还是同时考虑节点的历史资源利用率? 最佳答案 在官方Kubernetes documenta
我们有多个环境,如 dev、qa、prepod 等。我们有基于环境的命名空间。现在我们将服务命名为 environment 作为后缀。例如。, apiVersion: apps/v1
我有一个关于命名空间的问题,并寻求您的专业知识来消除我的疑虑。 我对命名空间的理解是,它们用于在团队和项目之间引入逻辑边界。 当然,我在某处读到命名空间可用于在同一集群中引入/定义不同的环境。 例如测
我知道角色用于授予用户或服务帐户在特定命名空间中执行操作的权限。 一个典型的角色定义可能是这样的 kind: Role apiVersion: rbac.authorization.k8s.io/v1
我正在学习 Kubernetes,目前正在深入研究高可用性,虽然我知道我可以使用本地(或远程)etcd 以及一组高可用性的控制平面(API 服务器、 Controller 、调度程序)来设置minio
两者之间有什么实际区别?我什么时候应该选择一个? 例如,如果我想让我的项目中的开发人员仅查看 pod 的日志。似乎可以通过 RoleBinding 为服务帐户或上下文分配这些权限。 最佳答案 什么是服
根据基于时间的计划执行容器或 Pod 的推荐方法是什么?例如,每天凌晨 2 点运行 10 分钟的任务。 在传统的 linux 服务器上,crontab 很容易工作,而且显然在容器内部仍然是可能的。然而
有人可以帮助我了解服务网格本身是否是一种入口,或者服务网格和入口之间是否有任何区别? 最佳答案 “入口”负责将流量路由到集群中(来自 Docs:管理对集群中服务的外部访问的 API 对象,通常是 HT
我是 kubernetes 集群的新手。我有一个简单的问题。 我在多个 kubernetes 集群中。 kubernetes 中似乎有多个集群可用。所以 kubernetes 中的“多集群”意味着:
我目前正在使用Deployments管理我的K8S集群中的Pod。 我的某些部署需要2个Pod /副本,一些部署需要3个Pod /副本,而有些部署只需要1个Pod /副本。我遇到的问题是只有一个 po
我看过官方文档:https://kubernetes.io/docs/tasks/setup-konnectivity/setup-konnectivity/但我还是没明白它的意思。 我有几个问题:
这里的任何人都有在 kubernetes 上进行批处理(例如 spring 批处理)的经验?这是个好主意吗?如果我们使用 kubernetes 自动缩放功能,如何防止批处理处理相同的数据?谢谢你。 最
我有一个具有 4 个节点和一个主节点的 Kubernetes 集群。我正在尝试在所有节点中运行 5 个 nginx pod。目前,调度程序有时在一台机器上运行所有 pod,有时在不同的机器上运行。 如
我在运行 Raspbian Stretch 的 Raspberry PI 3 上使用以下命令安装最新版本的 Kubernetes。 $ curl -s https://packages.cloud.g
container port 与 Kubernetes 容器中的 targetports 有何不同? 它们是否可以互换使用,如果可以,为什么? 我遇到了下面的代码片段,其中 containerPort
我是一名优秀的程序员,十分优秀!