Kubescape
Qu'est-ce que Kubescape ?
KubescapePlateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
Kubescape a ete cree par ARMO et accepte comme projet Sandbox de la CNCF en 2022. Il s'execute en CLI, GitHub Action, operateur Kubernetes ou service heberge pour evaluer les clusters par rapport a des cadres comme le NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, le CIS Kubernetes Benchmark et les controles propres a ARMO. Au-dela du posture scanning, les versions recentes integrent le scan de vulnerabilites d'images, l'analyse RBAC, la generation de NetworkPolicies et la correlation avec le runtime. Il produit des scores, des controles en echec et des suggestions de remediation a la ressource pres en JSON, PDF ou HTML. Les equipes combinent Kubescape avec kube-bench, Trivy, Falco et des admission controllers dans un stack KSPM en couches.
● Exemples
- 01
kubescape scan framework nsa pour evaluer un cluster face au guide NSA-CISA.
- 02
Faire echouer une PR GitHub si un nouveau manifest introduit une mauvaise configuration a haut risque.
● Questions fréquentes
Qu'est-ce que Kubescape ?
Plateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Kubescape ?
Plateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
Comment fonctionne Kubescape ?
Kubescape a ete cree par ARMO et accepte comme projet Sandbox de la CNCF en 2022. Il s'execute en CLI, GitHub Action, operateur Kubernetes ou service heberge pour evaluer les clusters par rapport a des cadres comme le NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, le CIS Kubernetes Benchmark et les controles propres a ARMO. Au-dela du posture scanning, les versions recentes integrent le scan de vulnerabilites d'images, l'analyse RBAC, la generation de NetworkPolicies et la correlation avec le runtime. Il produit des scores, des controles en echec et des suggestions de remediation a la ressource pres en JSON, PDF ou HTML. Les equipes combinent Kubescape avec kube-bench, Trivy, Falco et des admission controllers dans un stack KSPM en couches.
Comment se défendre contre Kubescape ?
Les défenses contre Kubescape combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Kubescape ?
Noms alternatifs courants : ARMO Kubescape.
● Termes liés
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 596
kube-bench
Outil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- cloud-security№ 1141
Tetragon
Outil de securite runtime Kubernetes base sur eBPF, issu du projet Cilium, qui observe et applique des politiques de maniere synchrone sur les processus, fichiers et reseau.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.
● Voir aussi
- № 170Cilium
- № 1012Token de ServiceAccount (Kubernetes)