Kubescape
Was ist Kubescape?
KubescapeOpen-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft.
Kubescape wurde von ARMO entwickelt und 2022 als Sandbox-Projekt in die CNCF aufgenommen. Es laeuft als CLI, GitHub Action, Kubernetes-Operator oder gehosteter Service und bewertet Cluster anhand von Frameworks wie der NSA-CISA-Hardening-Guidance, MITRE ATT&CK for Containers, dem CIS Kubernetes Benchmark sowie ARMOs eigenen Controls. Ueber das Posture-Scanning hinaus integrieren moderne Versionen Image-Vulnerability-Scans, RBAC-Analyse, NetworkPolicy-Generierung und Runtime-Korrelation. Es liefert Scores, fehlgeschlagene Kontrollen und ressourcenspezifische Fix-Vorschlaege in JSON, PDF oder HTML. Teams kombinieren Kubescape typischerweise mit kube-bench, Trivy, Falco und Admission-Controllers in einem mehrstufigen KSPM-Stack.
● Beispiele
- 01
kubescape scan framework nsa, um einen Cluster gegen die NSA-CISA-Guidance zu bewerten.
- 02
Eine GitHub-PR scheitern lassen, wenn ein neues Manifest eine hochriskante Fehlkonfiguration einfuehrt.
● Häufige Fragen
Was ist Kubescape?
Open-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kubescape?
Open-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft.
Wie funktioniert Kubescape?
Kubescape wurde von ARMO entwickelt und 2022 als Sandbox-Projekt in die CNCF aufgenommen. Es laeuft als CLI, GitHub Action, Kubernetes-Operator oder gehosteter Service und bewertet Cluster anhand von Frameworks wie der NSA-CISA-Hardening-Guidance, MITRE ATT&CK for Containers, dem CIS Kubernetes Benchmark sowie ARMOs eigenen Controls. Ueber das Posture-Scanning hinaus integrieren moderne Versionen Image-Vulnerability-Scans, RBAC-Analyse, NetworkPolicy-Generierung und Runtime-Korrelation. Es liefert Scores, fehlgeschlagene Kontrollen und ressourcenspezifische Fix-Vorschlaege in JSON, PDF oder HTML. Teams kombinieren Kubescape typischerweise mit kube-bench, Trivy, Falco und Admission-Controllers in einem mehrstufigen KSPM-Stack.
Wie schützt man sich gegen Kubescape?
Schutzmaßnahmen gegen Kubescape kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kubescape?
Übliche alternative Bezeichnungen: ARMO Kubescape.
● Verwandte Begriffe
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- cloud-security№ 596
kube-bench
Open-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- cloud-security№ 1141
Tetragon
eBPF-basiertes Kubernetes-Runtime-Sicherheitstool aus dem Cilium-Projekt, das Prozesse, Dateien und Netzwerkaktivitaet beobachtet und synchron Richtlinien durchsetzt.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
● Siehe auch
- № 170Cilium
- № 1012ServiceAccount-Token (Kubernetes)