Security-Tools für Docker und Kubernetes
Diese Tools bieten Monitoring, Auditierung, Laufzeitschutz und richtlinienbasierte Kontrollen für die Entwicklung und den Betrieb von Containern.
Aporeto konzentriert sich auf Laufzeitschutz. Das Unternehmen bietet zum einen ein Security-Produkt für Microservice-Plattformen, um Kubernetes-Workloads abzusichern. Zum anderen offeriert es ein Firewall-System für Cloud-Netze, um Anwendungen zu schützen, die in verteilten Umgebungen ausgeführt werden. Bei Kubernetes-Workloads schützt Aporeto sowohl On-Premise- als auch gemanagte Umgebungen. Jede erstellte Ressource wird einer Serviceidentität zugewiesen, die sicherstellt, dass die Vertrauenskette um die Anwendung nicht unterbrochen wird. Die Aqua-Container-SecurityPlattform soll Compliance und Laufzeit-Security für Linuxund Windows-Container bieten. Der ContainerSecurity-Manager verspricht End-to-End-Schutz. Mit ihm können Administratoren Sicherheitsrichtlinien und Risikoprofile für Anwendungen festlegen. Zudem kann in Programmier- und CI/CD-Tools Image-Scanning integriert werden. Die Plattform lässt Administratoren Anwendungskontexte nutzen, um Netzwerke für Applikationen während des Betriebs zu segmentieren. Die Aqua-Container-Security-Plattform ist on Premise und als Cloud Deployment erhältlich. Atomic Secured Docker ist ein alternativer Linux-Kernel für Ubuntu, CentOS und Red Hat Enterprise Linux, der Härtungsmechnismen verwendet, um Attacken abzuwehren. Viele der Schutzmaßnahmen, zum Beispiel gehärtete Berechtigungen für nutzerseitigen Speicher, stammen aus dem allgemeinen Produktportfolio von Atomicorp für Kernel-Schutz. Einige wurden speziell für Docker entwickelt, darunter fällt etwa der Schutz gegen Container-Breakout. Atomic Secured Docker ist direkt bei Atomicorp erhältlich. Versionen für auf AWS oder Azure gehostetes CentOS sowie Ubuntu finden sich in den App Stores von AWS und Azure.
NeuVector wurde entwickelt, um komplette Kubernetes-Cluster zu schützen. Es arbeitet mit bestehenden Kubernetes-Management-Lösungen wie Red Hat OpenShift und Docker Enterprise Edition zusammen. Es soll Anwendungen in allen Phasen der Bereitstellung absichern, von der Programmierung (über ein Plug-in mit dem EntwicklerTool Jenkins) bis zum produktiven Betrieb. Wie viele andere Lösungen wird NeuVector als Container in einem bestehenden Kubernetes-Cluster bereitgestellt. Wird NeuVector zu einem Cluster hinzugefügt, erfasst die Lösung sämtliche dort gehosteten Container und erstellt Karten, die Verbindungen und Verhaltensweisen genau beschreiben. Die Lösung erkennt und berücksichtigt alle Veränderungen, die durch hoch- oder herunterfahrende Anwendungen entstehen.
Weitere Security-Tools für Container-Umgebungen finden Sie online unter: www.cowo.de/3546931