KubeArmor は、ポッド、コンテナー、およびノード (VM) の動作 (プロセス実行、ファイル アクセス、ネットワーク操作など) をシステム レベルで制限する、クラウドネイティブのランタイム セキュリティ強制システムです。 KubeArmor は、 AppArmor, SELinux, or BPF-LSM などの Linux security modules (LSMs) を活用して、ユーザー指定のポリシーを強制します。 KubeArmor は、eBPF を活用して、コンテナー/ポッド/名前空間 ID を使用して豊富なアラート/テレメトリ イベントを生成します
| 💪 インフラの強化 ⛓️ 証明書バンドルなどのクリティカルパスを保護 🗜️ MITRE、STIG、CIS ベースのルール 🛅 生の DB テーブルへのアクセスを制限 |
💍 最も許容度の低いアクセス 🚥 プロセスのホワイトリスト 🚥 ネットワークのホワイトリスト 🎛️ 機密アセットへのアクセスを制御 |
| 🔭 アプリケーションの動作 🧬 プロセス実行、ファイル システム アクセス 🧭 サービスバインド、イングレス接続、エグレス接続 🔬 機密性の高いシステムコール |
❄️ デプロイメント モデル ☸️ Kubernetes デプロイメント 🐋 コンテナ デプロイメント 🖥️ VM/ベアメタル デプロイメント |
- 👉 入門
- 🎯 ユースケース
- ✔️ KubeArmor サポート マトリックス
- 🏅 KubeArmorの違いは?
- 📜 ポッド/コンテナのセキュリティ ポリシー [Spec] [Examples]
- 📜 ホスト/ノードのセキュリティ ポリシー [Spec] [Examples]
- 🗣️ Zoom Link
- 📄 Minutes: Document
- 📆 Calendar invite: Google Calendar, ICS file
- KubeArmorはTraceeのシステムコールユーティリティ関数を使っています.
KubeArmorはCloud Native Computing FoundationのSandbox Projectです.
