在構(gòu)建和部署云原生應(yīng)用程序的過(guò)程中，開(kāi)發(fā)人員和安全團(tuán)隊(duì)的目標(biāo)經(jīng)常會(huì)相互矛盾。一是加快應(yīng)用交付的力量，而后者有時(shí)被視為創(chuàng)新引擎的障礙。實(shí)際上，安全性和缺乏安全性都有可能減緩創(chuàng)新。

研究表明，如果不解決安全問(wèn)題，會(huì)導(dǎo)致應(yīng)用程序部署延遲。DevSecOps 作為一門(mén)學(xué)科，通過(guò)在開(kāi)發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)之間插入安全性來(lái)拒絕信息安全和開(kāi)發(fā)團(tuán)隊(duì)之間的二分法。DevSecOps 將安全視為各個(gè)團(tuán)隊(duì)之間的共同責(zé)任，并且基于將安全工具和流程嵌入到現(xiàn)有的開(kāi)發(fā)人員和運(yùn)營(yíng)（或 DevOps）工作流中，并盡可能實(shí)現(xiàn)自動(dòng)化。

以下是開(kāi)源 DevSecOps 工具的非全面列表，可幫助您開(kāi)始在 Kubernetes 中構(gòu)建、部署和運(yùn)行更安全的容器化應(yīng)用程序。

1、Anchore

Anchore是一個(gè)開(kāi)源圖像掃描器和漏洞管理工具，可檢測(cè) Docker 圖像中的已知漏洞。Anchore Toolbox是一組獨(dú)立的開(kāi)源工具，包括Syft和Grype。Syft 可以通過(guò)查看您的鏡像和文件系統(tǒng)來(lái)生成軟件材料清單，而 Grype 可以?huà)呙桤R像中的漏洞。當(dāng)與 Anchore Engine 結(jié)合并集成到您的 CI/CD 工具中時(shí)，用戶(hù)可以在其現(xiàn)有工作流程中自動(dòng)執(zhí)行安全策略評(píng)估和實(shí)施。借助Kubernetes 準(zhǔn)入控制器，Anchore 可以在您的構(gòu)建和運(yùn)行階段掃描容器鏡像。

Anchore的用例

• 鏡像漏洞掃描
• 強(qiáng)制執(zhí)行
• 容器鏡像的軟件材料清單

2、Checkov

Checkov是一種開(kāi)源靜態(tài)代碼分析工具，可幫助實(shí)施 AWS、Azure 和 Google Cloud 的安全性和合規(guī)性策略。Checkov 有助于在 Terraform、Cloudformation、Kubernetes 和其他基礎(chǔ)設(shè)施即代碼系統(tǒng)的構(gòu)建期間防止云配置錯(cuò)誤。由于用戶(hù)驅(qū)動(dòng)的錯(cuò)誤配置是主要的安全問(wèn)題，Checkov 可以成為幫助降低工作負(fù)載風(fēng)險(xiǎn)的重要工具。

Checkov 的用例

• 基礎(chǔ)設(shè)施即代碼掃描
• 云配置管理
• Compliance

3、Clair

Clair是一個(gè)用于 Docker 容器的開(kāi)源容器鏡像漏洞掃描器和靜態(tài)分析工具。Clair 用于開(kāi)源項(xiàng)目Quay，一個(gè)獨(dú)立的容器注冊(cè)表。如果您希望避免商業(yè)選項(xiàng)的成本，Clair 是一個(gè)很好的起點(diǎn)，特別是因?yàn)?Clair 是許多商業(yè)容器掃描解決方案的開(kāi)源構(gòu)建塊。

Clair的用例

• 鏡像漏洞掃描

4、Falco

Falco是一個(gè)孵化中的 CNCF 開(kāi)源項(xiàng)目，它通過(guò)消耗內(nèi)核事件并將它們與來(lái)自 Kubernetes 的數(shù)據(jù)相結(jié)合來(lái)在 Linux 系統(tǒng)調(diào)用期間通知用戶(hù)違反策略，從而提供運(yùn)行時(shí)可見(jiàn)性和自省。Falco 是一個(gè)受歡迎的項(xiàng)目，在認(rèn)證 Kubernetes 安全專(zhuān)家考試 (CKS)中用于評(píng)估應(yīng)試者檢查運(yùn)行時(shí)事件的能力。

Falco 的用例

• 運(yùn)行時(shí)容器分析
• 威脅檢測(cè)

5、Kube-bench

Kube-bench是一個(gè)開(kāi)源安全工具，它運(yùn)行檢查以確保 Kubernetes 的部署符合CIS Kubernetes Benchmark。Kube-bench 最適合用于本地環(huán)境中的合規(guī)性，因?yàn)橥泄?Kubernetes 集群保護(hù)控制平面組件以保證正常運(yùn)行時(shí)間、高可用性和 SLA。Kube-bench 也出現(xiàn)在CKS 考試中。

kube-bench 的用例

•  配置管理
• 合規(guī)

6、Kube-hunter

kube-bench 掃描 Kubernetes 的部署方式，而 kube-hunter 查看部署在 Kubernetes 中的集群以檢測(cè)可利用的錯(cuò)誤配置，例如暴露的 Kubernetes Dashboard。有一堆主動(dòng)和被動(dòng)測(cè)試將顯示您的錯(cuò)誤配置所在。您可以從集群外部、集群機(jī)器上或作為集群中的 pod 運(yùn)行 kube-hunter。每個(gè)場(chǎng)景都會(huì)讓您對(duì)集群的安全狀況有不同的看法。

kube-hunter 的用例

• 配置管理
• 風(fēng)險(xiǎn)和影響

7、KubeLinter

KubeLinter是 Kubernetes YAML 文件和 HELM 圖表的靜態(tài)分析工具，可幫助確保它們遵循生產(chǎn)準(zhǔn)備和安全性的最佳實(shí)踐。KubeLinter 附帶了一些默認(rèn)檢查，也可以配置為運(yùn)行自定義檢查。KubeLinter 作為 Go 二進(jìn)制文件開(kāi)發(fā)，與 kubectl 具有相同的包，比其他策略工具更直接，并且專(zhuān)注于開(kāi)發(fā)人員使用和 CI 集成。KubeLinter 利用配置文件允許團(tuán)隊(duì)在其 CI 應(yīng)用程序中擴(kuò)展他們的策略。

KubeLinter 的用例

• 配置管理
• YAML/Helm chart linting

8、開(kāi)放策略代理（Open Policy Agent）

Open Policy Agent (OPA) 是一個(gè)畢業(yè)的 CNCF 開(kāi)源項(xiàng)目，它使用戶(hù)能夠使用 OPA 的通用策略引擎來(lái)標(biāo)準(zhǔn)化他們的策略創(chuàng)建和執(zhí)行。除了 Kubernetes，OPA 還可以在使用 Envoy、Terraform 和 Kafka 等云原生技術(shù)時(shí)強(qiáng)制執(zhí)行策略。OPA 策略甚至可以轉(zhuǎn)換為 SQL 以在您的數(shù)據(jù)庫(kù)中強(qiáng)制執(zhí)行規(guī)則。

• Policy enforcement

9、Terrascan

Terrascan是一個(gè)建立在 OPA 之上的新興開(kāi)源解決方案。Terrascan 擁有超過(guò) 500 多個(gè)安全最佳實(shí)踐策略，適用于各種應(yīng)用程序，包括 Terraform、Kubernetes (JSON/YAML)、AWS、Azure、GCP、Kubernetes 和 GitHub。Terrascan 顯示了 OPA 引擎的價(jià)值，并通過(guò)推薦默認(rèn)值而不是讓用戶(hù)使用Rego來(lái)擴(kuò)展它。

Terrascan 的用例

• 配置管理
• YAML/Helm chart linting

總結(jié)

如果實(shí)施得當(dāng)，DevSecOps 原則將在整個(gè)軟件開(kāi)發(fā)生命周期中持續(xù)集成，將安全責(zé)任進(jìn)一步向左轉(zhuǎn)移，以最大限度地減少后期安全控制的操作開(kāi)銷(xiāo)，并使開(kāi)發(fā)人員和 DevOps 最終用戶(hù)成為安全用戶(hù)，允許他們獨(dú)立地在其工作流程中實(shí)施安全控制。

隨著 Kubernetes 等云原生技術(shù)的出現(xiàn)，作為在云和混合環(huán)境中管理應(yīng)用程序的標(biāo)準(zhǔn)，安全團(tuán)隊(duì)需要充分了解這些技術(shù)以建立適當(dāng)?shù)淖o(hù)欄和控制。DevOps 團(tuán)隊(duì)必須在他們用于在 Kubernetes 環(huán)境中配置基礎(chǔ)設(shè)施和構(gòu)建軟件應(yīng)用程序的工作流和工具鏈中集成強(qiáng)大的安全保護(hù)。當(dāng)與正確的人員和流程相結(jié)合時(shí)，這個(gè)開(kāi)源安全工具列表可以幫助您的組織實(shí)現(xiàn)這些目標(biāo)，并以新的更好的方式實(shí)現(xiàn)安全自動(dòng)化。