Kubescape
O que é Kubescape?
KubescapePlataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
O Kubescape foi criado pela ARMO e aceite como projeto Sandbox da CNCF em 2022. Executa-se como CLI, GitHub Action, operador Kubernetes ou servico gerido, avaliando clusters em relacao a frameworks como NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, CIS Kubernetes Benchmark e controlos proprios da ARMO. Para alem do posture scanning, as versoes recentes integram scan de vulnerabilidades em imagens, analise RBAC, geracao de NetworkPolicies e correlacao com runtime. Produz pontuacoes, controlos em falha e sugestoes de correcao ao nivel do recurso em JSON, PDF ou HTML. As equipas combinam o Kubescape com kube-bench, Trivy, Falco e admission controllers num stack KSPM em camadas.
● Exemplos
- 01
kubescape scan framework nsa para avaliar um cluster face ao guia NSA-CISA.
- 02
Fazer falhar uma PR no GitHub quando um novo manifesto introduz uma ma configuracao de alto risco.
● Perguntas frequentes
O que é Kubescape?
Plataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Kubescape?
Plataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
Como funciona Kubescape?
O Kubescape foi criado pela ARMO e aceite como projeto Sandbox da CNCF em 2022. Executa-se como CLI, GitHub Action, operador Kubernetes ou servico gerido, avaliando clusters em relacao a frameworks como NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, CIS Kubernetes Benchmark e controlos proprios da ARMO. Para alem do posture scanning, as versoes recentes integram scan de vulnerabilidades em imagens, analise RBAC, geracao de NetworkPolicies e correlacao com runtime. Produz pontuacoes, controlos em falha e sugestoes de correcao ao nivel do recurso em JSON, PDF ou HTML. As equipas combinam o Kubescape com kube-bench, Trivy, Falco e admission controllers num stack KSPM em camadas.
Como se defender contra Kubescape?
As defesas contra Kubescape costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Kubescape?
Nomes alternativos comuns: ARMO Kubescape.
● Termos relacionados
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- cloud-security№ 596
kube-bench
Ferramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- cloud-security№ 1141
Tetragon
Ferramenta de seguranca em runtime para Kubernetes, baseada em eBPF, do projeto Cilium, que observa e aplica politicas de forma sincrona em processos, ficheiros e rede.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
● Veja também
- № 170Cilium
- № 1012Token de ServiceAccount (Kubernetes)