Sicurezza di Kubernetes con Sysdig Secure
Integra la sicurezza e valida la compliance con Secure DevOps
Novità! 2022 Report sulla sicurezza e l'uso delle Applicazioni Cloud-Native
Utilizza con sicurezza Kubernetes
Sysdig Secure ti offre la visibilità di cui hai bisogno per proteggere le tue app moderne realizzate con container, Kubernetes e servizi cloud. Proteggi la pipeline di build, rileva e rispondi alle minacce di runtime, applicate la segmentazione di rete nativa di Kubernetes e convalidate continuamente la compliance. Sysdig Secure è un’offerta SaaS realizzata su uno stack open source che include Falco e Sysdig OSS.
Scansione
delle immagini
Automatizza la scansione localmente nei tuoi strumenti di CI/CD mantenendo le immagini all’interno dell’ambiente e blocca le vulnerabilità prima del deployment.
Compliance
continua
Valida la compliance rispetto a standard quali PCI, NIST e SOC2 durante il ciclo di vita dei container e di Kubernetes
Sicurezza
runtime
Rileva le minacce nei container, in Kubernetes e nell’infrastruttura AWS grazie alle regole Falco predefinite basate su chiamate a sistema, log di controllo K8s e AWS CloudTrail.
Sicurezza
della rete
Visualizza tutte le comunicazioni di rete di app e servizi. Applica la microsegmentazione automatizzando le policy native di rete di Kubernetes.
Risposta agli incidenti e dati forensi
Conduci indagini grazie a dati dettagliati di syscall, anche dopo che i container sono stati distrutti.
Previeni l’uso di immagini rischiose grazie agli admission control
Blocca il deployment di immagini non scansionate o vulnerabili all’interno del tuo clustercon Sysdig Admission Controller. Definisci criteri di approvazioni delle immagini in base a condizioni flessibili (i.e., namespace, livello di severity della CVE, disponibilità di una fix, dimensioni dell’immagine, ecc.).
Inoltre, Sysdig Secure proteggedalle vulnerabilità fin dalle fasi iniziali, integrando funzionalità di scansione delle immagini nelle pipeline CI/CD e nei registri.
Controllo degli accessi a privilegi minimi per carichi di lavoro
PodSecurityPolicy (PSP) è un meccanismo nativo di prevenzione e protezione dalle minacce di Kubernetes. Sysdig crea automaticamente PSP a privilegi minimi per la tua applicazione e li convalida prima del loro utilizzo in produzione, senza alcun impatto sulle prestazioni. Con un PSP a privilegi minimi è possibile:
- Impedire che i Pod avviino e controllino l’escalation dei privilegi
- Limitare l’accesso a namespaces, reti e file system dell’host a cui il Pod può accedere
- Limitare utenti/gruppi con cui un Pod puó eseguire
- Limitare i volumi a cui un Pod ha accesso
- Limitare altri parametri quali profili di runtime o file system root di sola lettura
Convalida della configurazione con i benchmark CIS
Valida la configurazione dei cluster sulla base di benchmark CIS per Kubernetes. Risolvi più velocemente le violazioni grazie a procedure guidate. Esegui un assessment on-demand e genera rapporti dettagliati per superare agevolmente audit di terze parti.
Rilevazione di minacce di runtime
Rileva attività anomale utilizzando policy community-driven (per es. MITRE, FIM, cryptomining, ecc.) basate su Falco open source. Crea regole precise utilizzando il ricco contesto degli ambienti del provider cloud e di Kubernetes. Risparmia tempo grazie a regole predefinite e profilazione delle immagini basata su ML invece di creare le policy da zero.
Sicurezza delle API con audit log
Ricevi notifiche sulle utenze che hanno eseguito operazioni tramite API Kubernetes grazie agli API audit log. Potrai ad esempio rilevare:
- Creazione e distruzione di pod, servizi, deployment, daemon set, ecc.
- Creazione/aggiornamento/rimozione di config map o secrets
- Tentativi di modifica a un qualunque endpoint
Microsegmentazione nativa di Kubernetes
Genera automaticamente policy least-privilege di rete usando i metadati dell’applicazione e di Kubernetes. Conferma visivamente la topologia di rete prima di applicarla alla produzione. Usa un’interfaccia semplice per modificare le policy senza cambiare manualmente lo YAML.
Vulnerabilità in Kubernetes
In Kubernetes vengono continuamente rilevate nuove vulnerabilità. Leggete maggiori informazioni sulle più recenti CVEs che danneggiano i cluster e sul modo in cui è possibile mitigare i rischi.
Rilevazione di CVE-2020-14386 con Falco e mitigazione dei trasferimenti da container
Rilevazione della CVE-2020-8557 con Falco
Comprendere e mitigare la CVE-2020-8566: perdita di credenziali di amministrazione del cluster Ceph...
Domande frequenti
D: Cos’è Kubernetes?
R: Kubernetes è una piattaforma open source che consente la gestione automatica di deployment di container, carichi di lavoro, servizi e scalabilityácontainer. Originariamente sviluppata da Google e ora mantenuta dalla CNCF (Cloud Native Computing Foundation), lo scopo di Kubernetes è automatizzare le operazioni, il deployment e la scalabilità dei container di applicazioni all’interno di cluster di host. I servizi cloud commercializzati da molti fornitori offrono la loro versione brandizzata di Kubernetes.
D: Perché usare Kubernetes?
R: I container sono molto efficaci per pacchettiza ed eseguire le tue applicazioni. In un contesto di produzione, è necessario gestire i container di un’applicazione senza downtime Kubernetes è un frameworkche gestisce solidamente i sistemi distribuiti, occupandosi della scalabilitá e del failover delle applicazioni basate su container Kubernetes archivia e gestisce le informazioni sensibili, riavvia i container che si sono arrestati, automatizza i rilasci e i rollback, e gestisce il montaggio automatizzato dei sistemi di archiviazione.
D: Cos’è la sicurezza di Kubernetes?
R: I meccanismi di sicurezza Kubernetes prevedono la protezione dagli attacchi dagli attacchi basati su container Questi attacchi sono spesso sferrati da hacker che sfruttano le vulnerabilità delle immagini di base dei container o delle librerie di terze parti. Puó anche essere legata a errori di configurazione dei cluster, consentendo lo svolgimento di attività malevoli non rilevabili in fase di runtime o causando il non rispetto della compliance delle applicazioni cloud native Di conseguenza, i team devono integrare sicurezza e compliance all’interno del ciclo di vita di Kubernetes. I controlli nativi come PodSecurityPolicies aiutano a prevenire l’escalation dei privilegi e bloccano le minacce di runtime. Grazie a Falco open source protrai rilevare e segnalare le attività sospette in fase di runtime. Uno strumento per la sicurezza di Kubernetes che è parte dell’ecosistema DevOps può aiutarti a gestire i rischi legati alla sicurezza del cloud.
D: Cos’è un cluster Kubernetes?
R: Kubernetes raggruppa diversi nodi in un cluster per eseguire le applicazioni cloud native. Il cluster Kubernetes contiene almeno un nodo master e un nodo worker. Il nodo master mantiene lo stato desiderato del cluster, ad esempio stabilisce quali applicazioni debbano eseguiree quali immagini dei container debbano essere utilizzate, e controlla direttamente il nodo worker. I nodi worker eseguono effettivamente l’applicazione e i carichi di lavoro. Quando si effettua un deploy di un programma su un cluster, il nodo master gestisce in modo intelligente la distribuzione del lavoro ai singoli nodi. Se un qualunque nodo viene aggiunto o rimosso, Kubernetes gestisce automaticamente il cluster per riportarlo allo stato desiderato.
D: Qual è la differenza tra Kubernetes e Docker?
R: Kubernetes e Docker sono tecnologie fondamentalmente diverse che collaborano per la creazione, distribuzione e scalabilità di applicazioni basate su container. Docker impacchetta i software, o i microservizi, in un container per renderli più portabili. Kubernetes è l’orchestratore che ti aiuta a scalare e a gestire più Docker container.
“Il fatto che Sysdig sia immediatamente compatibile con Kubernetes è stata una forte leva per noi. Molte delle questioni di sicurezza di Kubernetes sono nuove e non è molto facile prenderci la mano. Sysdig aiuta a risolvere molte di queste problematiche e non richiede molto per gestire il suo stack, il che ci semplifica la vita e ci consente di concentrarci sul debugging del nostro stack.”
Ryan Staatz, Systems Architect presso LogDNA