Kubescape
¿Qué es Kubescape?
KubescapePlataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
Kubescape fue creado por ARMO y aceptado como proyecto Sandbox de la CNCF en 2022. Se ejecuta como CLI, GitHub Action, operador Kubernetes o servicio gestionado para evaluar clústeres frente a marcos como la guía de hardening NSA-CISA, MITRE ATT&CK for Containers, el CIS Kubernetes Benchmark y los controles propios de ARMO. Más allá del posture scanning, las versiones modernas integran escaneo de vulnerabilidades en imágenes, análisis RBAC, generación de NetworkPolicies y correlación con runtime. Produce puntuaciones, controles fallidos y sugerencias de remediación a nivel de recurso en JSON, PDF o HTML. Suele combinarse con kube-bench, Trivy, Falco y admission controllers en un stack KSPM en capas.
● Ejemplos
- 01
kubescape scan framework nsa para evaluar un clúster contra la guía NSA-CISA.
- 02
Hacer fallar una PR de GitHub si un nuevo manifiesto introduce una mala configuración de alto riesgo.
● Preguntas frecuentes
¿Qué es Kubescape?
Plataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Kubescape?
Plataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
¿Cómo funciona Kubescape?
Kubescape fue creado por ARMO y aceptado como proyecto Sandbox de la CNCF en 2022. Se ejecuta como CLI, GitHub Action, operador Kubernetes o servicio gestionado para evaluar clústeres frente a marcos como la guía de hardening NSA-CISA, MITRE ATT&CK for Containers, el CIS Kubernetes Benchmark y los controles propios de ARMO. Más allá del posture scanning, las versiones modernas integran escaneo de vulnerabilidades en imágenes, análisis RBAC, generación de NetworkPolicies y correlación con runtime. Produce puntuaciones, controles fallidos y sugerencias de remediación a nivel de recurso en JSON, PDF o HTML. Suele combinarse con kube-bench, Trivy, Falco y admission controllers en un stack KSPM en capas.
¿Cómo defenderse de Kubescape?
Las defensas contra Kubescape combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kubescape?
Nombres alternativos comunes: ARMO Kubescape.
● Términos relacionados
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 596
kube-bench
Herramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- cloud-security№ 1141
Tetragon
Herramienta de seguridad en runtime para Kubernetes, basada en eBPF y procedente del proyecto Cilium, que observa y aplica políticas de forma síncrona sobre procesos, ficheros y red.
- cloud-security№ 213
Seguridad de contenedores
Práctica de proteger imágenes de contenedor, registros, orquestadores y el runtime en el que se ejecutan los contenedores.