Sourcesense Blog - Accelera l’evoluzione digitale

Tool open source per applicare policy di sicurezza.

Scritto da Sourcesense | Oct 15, 2024 8:35:06 AM

 

Kyverno, Gatekeeper, Falco. Tre strumenti open source riconosciuti dalla Cloud Native Computing Foundation che permettono di mantenere le applicazioni sicure e conformi agli standard. Si tratta di strumenti complementari applicati in ambito Kubernetes che soprattutto se usati insieme creano ambienti di sviluppo sicuri sin dalle fase iniziali.

  • Kyverno consente di definire policy specifiche per la gestione delle risorse Kubernetes. Può modificare automaticamente le richieste per garantire che rispettino le policy stabilite.
  • Gatekeeper permette di applicare policy di sicurezza che controllano come vengono configurate le applicazioni nel cluster Kubernetes. Grazie a un sistema di vincoli, assicura che si autorizzino solo configurazioni conformi alle regole aziendali.
  • Falco monitora in tempo reale le attività delle applicazioni e del sistema operativo, rilevando comportamenti sospetti attraverso regole personalizzabili. Utilizza tecnologie avanzate come eBPF per monitorare le chiamate di sistema.

Kyverno

Kyverno verifica se le richieste di creazione o modifica delle applicazioni rispettano le policy stabilite e in caso contrario le rifiuta. In alcuni casi può anche modificare automaticamente la richiesta per assicurarsi che rispetti le policy. Kyverno può anche generare automaticamente nuove risorse basate su policy predefinite. Ad esempio, se viene creato un nuovo pod senza una rete sicura, Kyverno può configurarlo per utilizzare automaticamente una rete sicura.

Cosa puoi fare con Kyverno

  • Vietare immagini non sicure
    Puoi usare Kyverno per vietare l'uso di immagini Docker non firmate (immagini non verificate) per le tue applicazioni. Se qualcuno tenta di usare un'immagine non sicura, Kyverno bloccherà la creazione dell'applicazione.
  • Aggiungere automaticamente etichette
    Puoi configurare Kyverno per aggiungere automaticamente etichette a tutte le risorse Kubernetes
  • Controllare le configurazioni
    Puoi impostare una policy che richiede che tutte le applicazioni utilizzino una certa quantità di risorse. Se qualcuno tenta di creare un'applicazione con risorse insufficienti, Kyverno rifiuterà la richiesta.

Gatekeeper

Per le applicazioni che vengono eseguite su Kubernetes Gatekeeper controlla le richieste di creazione e aggiornamento delle applicazioni (o "pod") e decide se queste richieste possono essere approvate o devono essere rifiutate.

Si basa su vincoli e modelli di vincolo.

  • Vincoli: si tratta di regole preimpostate. Ad esempio, uno dei vincoli potrebbe stabilire che solo le applicazioni che utilizzano immagini sicure possono essere create nel sistema.
  • Modelli di vincolo che definiscono come applicare i vincoli. Ad esempio, se il vincolo dice "solo immagini sicure", il modello spiega come controllare se l'immagine è effettivamente sicura prima di permettere l'accesso.

Cosa puoi fare con Gatekeeper 

  • Impedire l'uso di immagini non sicure
    Se qualcuno prova a creare un'applicazione utilizzando un'immagine Docker non firmata (un'immagine non verificata), Gatekeeper rifiuterà la richiesta.
  • Richiesta di Certificati TLS
    Un'altra regola potrebbe essere che tutte le comunicazioni tra le applicazioni devono essere criptate. Se un'applicazione tenta di comunicare senza utilizzare un certificato valido (che garantisce la sicurezza della comunicazione), Gatekeeper bloccherà questa comunicazione.
  • Test delle regole senza impatti
    Prima di applicare nuove regole, Gatekeeper consente agli amministratori di testarle in modalità "dry run". Questo significa che possono vedere quali richieste verrebbero rifiutate senza effettivamente bloccarle, permettendo loro di fare aggiustamenti prima di attivare le nuove regole.

Falco

Falco protegge le applicazioni che girano nei container di Kubernetes. In particolare monitora costantemente l'attività delle applicazioni e del sistema operativo sottostante. Osserva le chiamate di sistema, che sono le richieste fatte dal software al sistema operativo per eseguire operazioni (come aprire un file o connettersi a una rete) rivelando eventuali comportamenti anomali o potenzialmente dannosi. Consente di definire regole di sicurezza che specificano quali comportamenti sono considerati normali e quali no. Ad esempio, una regola potrebbe indicare che non è normale per un'applicazione tentare di accedere a file sensibili senza autorizzazione. Genera alert quando non vengono rispettate le regole predefinite.

Cosa puoi fare con Falco

  • Rilevare accessi non autorizzati
    Se un'applicazione tenta di accedere a file riservati, come quelli contenenti dati sensibili, Falco può generare un alert immediato. Questo permette agli amministratori di intervenire rapidamente per prevenire possibili violazioni.
  • Monitoraggio di attività sospette
    Se un processo all'interno di un container cerca di eseguire comandi non autorizzati (come cancellare file importanti), Falco può inviare una notifica agli amministratori per avvisare della situazione.
  • Rilevare comportamenti anomali
    Se un'applicazione inizia a comportarsi in modo strano, ad esempio tentando di comunicare con server esterni non autorizzati, Falco è in grado di rilevare questo comportamento anomalo e segnalarlo.

Kyverno, Gatekeeper e Falco utilizzati insieme di applicare standard di sicurezza, agendo automaticamente ed evitando interventi manuali.

Se vuoi rendere sicure le tue infrastrutture cloud native integrando queste soluzioni open source contattaci.