Name
OpenShift 1
Rancher 1
Pivotal PKS 1
ICP 1
Twistlock 2
AquaSec 2
NeuVector 2
Sysdig/Secure/Falco 2
Cavirin 2
StackRox 2
Container-Härtung
Container Pinning to Nodes
ja
k8s-Standard
ja
k8s-Standard
nein, nur über K8s
über Labels an Enforcern
nein
nein
nein
nein
Ressource Limits
ja
k8s-Standard
k8s-Standard
k8s-Standard
nein, nur über K8s
CPU / RAM
nein
nein
nein
nein
Behaviour FW (Prozesse, Ports etc.)
nein
nein
nein
nein
Advanced Threat Protection, Prozesse, Netzwerk, Dateisystem und Syscalls
Advanced Threat Protection, Prozesse, Netzwerk, Dateisystem und Syscalls
Prozesse und Dateisystem
Überwachung von Syscalls, Netzwerk, Prozessen und Policy-Verletzungen
nein
Überwachung von Syscalls, Netzwerk, Prozessen und Policy-Verletzungen
Syscall-Firewall
SECCOMP-Profile
k8s-Standard
k8s-Standard
k8s-Standard
selbstlernend, SECCOMP-Profile
selbstlernend, SECCOMP-Profile
nein
nein
nein
nein
Compliance
Log-Management
ja
nein
über vSphere
ELK
Nur die eigenen, diese kann es aber exportieren.
Nur die eigenen, diese kann es aber exportieren.
Nur die eigenen, diese kann es aber exportieren.
umfangreiche Auswertung der Logfiles für Forensik und Debugging
Weiterleiten der Ergebnisse an Splunk
Nur die eigenen, diese kann es aber exportieren.
Alerting on Policy Violation
nein
nein
mit der Tile „PCF Event Alerts“
nein
ja
ja
ja
ja
ja
ja
Compliance-Reports
nein
nein
nein
für die Images
CIS-Benchmarks für k8s, Nodes und Verwundbarkeiten
CIS-Benchmarks für k8s, Nodes und Verwundbarkeiten
CIS-Benchmarks und Verwundbarkeiten
CIS-Benchmarks und Verwundbarkeiten
über alle Umgebungen; vorgefertigte Policy-Packs für sehr viele Umgebungen; Netzwerk, Images, Umgebungen, Betriebssysteme
CVE-Berichte, CIS-Benchmarks (Container und k8s)
automatische Reaktion
nein
nein
nein
nein
nein
nein
ja
stoppen, einfrieren, Verhalten aufzeichnen
Anbindung an z. B. Ansible
stoppen, einfrieren, Verhalten aufzeichnen
Monitoring/Forensics
Monitoring mit Prometheus, keine Funktionen, um forensische Beweismittel zu sammeln
Helm Chart für Prometheus enthalten
Monitoring mit „PCF Healthwatch“
Prometheus/Grafana enthalten
Monitoring der Sicherheitsfunktionen
Monitoring der Sicherheitsfunktionen
Monitoring der Sicherheitsfunktionen
Forensics durch Aufzeichnung aller Aktionen des Containers bis hinunter zum Syscall
nein
Erkennung von Angriffen mit Verhaltens-Policies, Maschine Learning
Besonderheiten
eigene Image-Verwaltung mit mehr Funktionen als Kubernetes
Multi-Cloud-Verwaltung über viele Anbieter hinweg (Private und Public Clouds), einige Anwendungen als Helm Charts vorbereitet
starke VMware-Integration (vRealize, NSX, Logs etc.), eigene Container-Runtime, Teil der „Cloud Foundry“, die auch PaaS und IaaS umfasst; kompatibel zu GCE und AWS für Hybrid-Cloud-Deployments
natives k8s mit einigen eingebauten Werkzeugen wie Calico, ELK und einem eigenen Werkzeug für den Scan der Images
Serverless Monitoring enthalten, WAF enthalten, selbstlernend ab Start, Forensics-Datensammlung, wenn Incidents erkannt werden
Integration von Qualys und Jfrog XRay Policies für Images und Runtime
Integration von Jfrog und BlackDuck für statische Codeanalyse, tcpdump auf Container, selbstlernend ab Start
Teil einer Toolsuite; Monitoring, Securing; on Premises und als SaaS verfügbar, manche Funktionen sind nur bei SaaS möglich. Falco für Überwachung und Forensics sowie Sysdig zur Untersuchung von Containern sind auch als Open Source verfügbar.
ohne Agent via RMI oder SSH und die API der Cloud-Anbieter; on Premises, Policies für Lambda enthalten
on Premises und in der Cloud möglich
1 Kubernetes-Betriebsplattform, 2 kommerzielles Multitool