Kubescape
Что такое Kubescape?
KubescapeОткрытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик.
Kubescape создан ARMO и в 2022 году принят в CNCF в статусе Sandbox. Он работает в виде CLI, GitHub Action, Kubernetes-оператора или хостинг-сервиса и оценивает кластеры по фреймворкам — NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, CIS Kubernetes Benchmark и собственным контролям ARMO. Помимо проверки конфигурационной осанки, современные версии включают сканирование уязвимостей образов, анализ RBAC, генерацию NetworkPolicy и корреляцию с runtime-данными. Результаты выдаются в виде оценок, списка проваленных контролей и предложений по исправлению на уровне ресурсов в JSON, PDF или HTML. Команды обычно сочетают Kubescape с kube-bench, Trivy, Falco и admission controllers, выстраивая многоуровневый KSPM-стек.
● Примеры
- 01
kubescape scan framework nsa — оценка кластера по руководству NSA-CISA по hardening.
- 02
Падение GitHub PR, если новый манифест добавляет высокорисковую misconfiguration.
● Частые вопросы
Что такое Kubescape?
Открытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Kubescape?
Открытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик.
Как работает Kubescape?
Kubescape создан ARMO и в 2022 году принят в CNCF в статусе Sandbox. Он работает в виде CLI, GitHub Action, Kubernetes-оператора или хостинг-сервиса и оценивает кластеры по фреймворкам — NSA-CISA Hardening Guidance, MITRE ATT&CK for Containers, CIS Kubernetes Benchmark и собственным контролям ARMO. Помимо проверки конфигурационной осанки, современные версии включают сканирование уязвимостей образов, анализ RBAC, генерацию NetworkPolicy и корреляцию с runtime-данными. Результаты выдаются в виде оценок, списка проваленных контролей и предложений по исправлению на уровне ресурсов в JSON, PDF или HTML. Команды обычно сочетают Kubescape с kube-bench, Trivy, Falco и admission controllers, выстраивая многоуровневый KSPM-стек.
Как защититься от Kubescape?
Защита от Kubescape обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kubescape?
Распространённые альтернативные названия: ARMO Kubescape.
● Связанные термины
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
- cloud-security№ 596
kube-bench
Открытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- cloud-security№ 1141
Tetragon
Инструмент runtime-безопасности Kubernetes на базе eBPF из проекта Cilium: синхронно наблюдает и применяет политики к процессам, файлам и сети.
- cloud-security№ 213
Безопасность контейнеров
Практика защиты образов контейнеров, реестров, оркестраторов и среды выполнения, в которой контейнеры исполняются.
● См. также
- № 170Cilium
- № 1012Токен ServiceAccount (Kubernetes)