• Plattformen und Multitools (Teil 1)

  • Name

    OpenShift 1

    Rancher 1

    Pivotal PKS 1

    ICP 1

    Twistlock 2

    AquaSec 2

    NeuVector 2

    Sysdig/Secure/Falco 2

    Cavirin 2

    StackRox 2

  • Website

    www.openshift.com

    rancher.com

    pivotal.io/platform/pivotal-container-service

    www.ibm.com/cloud/private

    www.twistlock.com/

    www.aquasec.com/

    neuvector.com/

    sysdig.com/

    www.cavirin.com/

    www.stackrox.com/

  • UI

    Web/API

    Web/API

    Web/API

    Web

    Web/API

    Web

    Web, CLI, API

    WebUI, CLI

    WebUI, API

    WebUI, API

  • Basislizenz

    Apache 2.0

    Apache 2.0

    MIT

    Apache 2.0

    closed

    closed

    closed

    Apache 2.0

    closed

    closed

  • Enterprise-Lizenz

    ja

    ja

    ja

    ja

    only

    only

    only

    ja

    ja

    ja

  • Image Assurance

  • Image-Scan (Malware)

    API vorhanden, aber nicht Teil des Lieferumfangs

    nein

    nein

    nein

    ja, mit eigenen Mustern als MD5-Prüfsumme

    ja

    nein

    nein

    nein

    nein

  • Image-Scan (Schwachstellen)

    API vorhanden, aber nicht Teil des Lieferumfangs

    nein

    Kubernetes-Standard, aber keine UI oder Erweiterungen

    ja

    In Repo, in Betrieb, auf Host; Deep Scan vorhanden, per md5, Custom Binaries mit md5 bezeichnen Softwarebibliotheken nur aus Dependency Files.

    Scans in Repositories, in Betrieb, auf dem Host; Deep Scan ist vorhanden Softwarebibliotheken aller üblichen Sprachen, inkl. Creds.

    in Repo, in Betrieb, auf dem Host; kein Deep Scan auf Binaries außerhalb der Packages

    Betriebssystempakete (Debian, Ubuntu, Red Hat, CentOS) und Paketmanager (JavaScript, Python, Ruby, Java)

    Betriebssystempakete

    Betriebssystempakete (CentOS, CoreOS, Red Hat Enterprise Linux [RHEL], Ubuntu)

  • Image-Signaturen

    ja

    k8s-Standard, aber keine UI oder Erweiterungen

    k8s-Standard, aber keine UI oder Erweiterungen

    k8s-Standard, aber keine UI oder Erweiterungen

    nein

    nein

    nein

    nein

    nein

    nein

  • Image-Release-Prozess

    umfangreiche Rollen und Rechte

    nein

    umfangreiche Rollen und Rechte

    umfangreiche Rollen und Rechte

    umfangreiche Rollen und Rechte

    umfangreiche Rollen und Rechte, Admission Controller

    umfangreiche Rollen und Rechte, Admission Controller

    umfangreiche Rollen und Rechte

    Integration mit den üblichen Tools, z. B. Jenkins

    als Teil der CI in allen bekannten Tools; Annotations und Labels für die Scan-Ergebnisse

  • Repository

    ja

    nein

    Harbor

    ja

    kann beliebige anbinden, hat aber kein eigenes

    kann beliebige anbinden, hat aber kein eigenes

    kann beliebige anbinden, hat aber kein eigenes

    kann beliebige anbinden, hat aber kein eigenes

    kann beliebige anbinden, hat aber kein eigenes

    nein

  • Image-Policies

    eigene Policies

    k8s-Standard, aber keine UI oder Erweiterungen

    k8s-Standard, aber keine UI oder Erweiterungen

    ja, Policy Enforcer und WebUI

    umfangreiche Sammlung und eigene Shell-Skripte

    umfangreiche Sammlung zu allen Aspekten, Betriebs- sowie Image-Policies

    nein

    CVE-basierte Policies, Image Whitelists

    Große Anzahl von Policies vorhanden, eigene können erstellt werden (Python).

    CVE-Policies und Malware

  • Netzwerk

  • Routing

    ja

    je nach gewähltem Netzwerk-Plug-in

    ja

    siehe Calico

    nein

    nein

    nein

    nein

    nein

    Erkennung von Verbindungen und Internetzugang

  • Netzwerk-Firewall

    zwischen Netzen

    je nach gewähltem Netzwerk-Plug-in

    mit NSX

    siehe Calico

    ja

    ja

    ja

    nein

    nein

    nein

  • Netzwerk-/Service-Policies

    über Kubernetes Network Policies

    je nach gewähltem Netzwerk-Plug-in

    NSX und Kubernetes Network Policies

    siehe Calico

    Microsegmentation

    Microsegmentation

    Microsegmentation, Layer-7-Inspection

    nein

    nein

    erstellt Vorschläge für Netzwerk-Policies

  • Encrypted Networks

    N/A

    je nach gewähltem Netzwerk-Plug-in

    NSX DNE

    siehe Calico

    nein

    nein

    nein

    nein

    nein

    nein

  • IAM

  • RBAC / AM

    ja

    ja

    ja

    ja

    ja

    ja

    nur auf Namespace-Ebene

    RBAC für die Nutzer des UI

    RBAC für die Nutzer des UI

    ja

  • User-Verzeichnis

    eingebaut, LDAP/AD, OAuth2 und SAML

    eingebaut, LDAP/AD, OAuth2 und SAML

    eingebaut, LDAP/AD, OAuth2 und SAML

    eingebaut, LDAP/AD, OAuth2 und SAML

    SAML, LDAP

    SAML, LDAP

    SAML, LDAP

    eingebaut, LDAP/AD, OAuth2 und SAML

    SAML, LDAP

    OpenID, SAML

  • 2FA für Anwender

    nein

    nein

    nein

    nein

    nein

    nein

    nein

    nein

    nein

    nein

  • Secrets Management

    ja

    ja

    CredHub

    ja

    Anbindung an Hashi und CyberArk

    eigene und Anbindung an Hashi

    nein

    nein

    nein

    nein

  • Secure Multi-Tenancy

    nein, nur Soft Multi-Tenancy, mit Rollen, eingeschränkt durch den gemeinsamen Zugriff auf die Verwaltung

    nein

    ja, eigene Cluster pro Tenant

    nein, nur Soft Multi-Tenancy, mit Rollen, eingeschränkt durch den gemeinsamen Zugriff auf die Verwaltung

    Multi-Tenancy vorhanden, Projekte können als eigene Tenants definiert werden.

    ja, mit Einschränkungen

    nein

    nein

    nein

    nein

  • 1 Kubernetes-Betriebsplattform, 2 kommerzielles Multitool