Security & Compliance #
安全性与合规性
云原生应用被设计为快速迭代更新。举个例子,想象一下你手机上的应用不断更新——它们每天都在进化,通常变得更好。为了定期发布代码,必须确保代码和操作环境是安全的,且仅有授权的工程师可以访问。在这一部分中,工具和项目提供了构建和运行现代应用所需的安全功能。
解决的问题 #
安全性和合规性工具帮助加强、监控和执行平台和应用的安全性。从容器到Kubernetes环境,这些工具可以帮助你设置合规性政策、发现现有漏洞、捕捉配置错误,并强化容器和集群的安全性。
提供的帮助 #
为了确保容器安全运行,必须扫描容器中的已知漏洞,并对其进行签名,确保镜像没有被篡改。Kubernetes 默认的访问控制设置非常宽松,不适合在生产环境中使用。因此,Kubernetes集群成为了攻击者瞄准的目标。这个领域的工具和项目有助于加固集群,并在系统行为异常时及时检测。
技术基础 #
- 审计和合规性
- 生产路径:
- 代码扫描
- 漏洞扫描
- 镜像签名
- 策略创建和执行
- 网络层安全
其中一些工具不常直接使用。例如,Trivy、Claire和Notary等工具通常由Registry或其他扫描工具利用。其他工具则是现代应用平台的核心加固组件,诸如Falco或Open Policy Agent(OPA)。
许多成熟的供应商在该领域提供解决方案,还有一些初创公司专门致力于将Kubernetes原生框架推向市场。截至目前,Falco、Notary/TUF和OPA是CNCF项目中的代表。
Keywords #
- Image scanning
- Image signing
- Policy enforcement
- Audit
- Certificate Management
Projects #
- cert-manager (graduated)
- Falco (graduated)
- Open Policy Agent (OPA) (graduated)
- The Update Framework (TUF) (graduated)
- in-toto (incubating)
- Keycloak (incubating)
- Kyverno (incubating)
- Notary Project (incubating)
- Bank-Vaults (sandbox)
- bpfman (sandbox)
- Cartography (sandbox)
- Confidential Containers (sandbox)
- ContainerSSH (sandbox)
- Copa (sandbox)
- Curiefense (archived)
- Dex (sandbox)
- external-secrets (sandbox)
- Hexa (sandbox)
- Keylime (sandbox)
- KubeArmor (sandbox)
- Kubescape (sandbox)
- Kubewarden (sandbox)
- Open Policy Containers (sandbox)
- OpenFGA (sandbox)
- OSCAL-COMPASS (sandbox)
- Paralus (sandbox)
- Parsec (sandbox)
- Ratify (sandbox)
- SlimToolkit (sandbox)
- SOPS (sandbox)