Kubescape
Kubescape 是什么?
Kubescape由 ARMO 开发的开源 Kubernetes 安全平台,用于扫描集群、清单和镜像中的错误配置、漏洞与策略偏移。
Kubescape 由 ARMO 创建,2022 年被接收为 CNCF Sandbox 项目。它可以以 CLI、GitHub Action、Kubernetes Operator 或托管服务的形式运行,对集群进行评估,所依据的框架包括 NSA-CISA Hardening 指南、MITRE ATT&CK for Containers、CIS Kubernetes Benchmark 以及 ARMO 自定义控制项。除了配置态势扫描,现代版本还整合了镜像漏洞扫描、RBAC 分析、NetworkPolicy 生成和运行时数据关联,并以 JSON、PDF 或 HTML 输出分数、失败项及资源级整改建议。团队通常将 Kubescape 与 kube-bench、Trivy、Falco 以及准入控制器组合,构建分层的 KSPM(Kubernetes 安全态势管理)体系。
● 示例
- 01
通过 kubescape scan framework nsa 评估集群是否符合 NSA-CISA 加固指南。
- 02
在 GitHub PR 中,如果新清单引入高危错误配置就让 CI 失败。
● 常见问题
Kubescape 是什么?
由 ARMO 开发的开源 Kubernetes 安全平台,用于扫描集群、清单和镜像中的错误配置、漏洞与策略偏移。 它属于网络安全的 云安全 分类。
Kubescape 是什么意思?
由 ARMO 开发的开源 Kubernetes 安全平台,用于扫描集群、清单和镜像中的错误配置、漏洞与策略偏移。
Kubescape 是如何工作的?
Kubescape 由 ARMO 创建,2022 年被接收为 CNCF Sandbox 项目。它可以以 CLI、GitHub Action、Kubernetes Operator 或托管服务的形式运行,对集群进行评估,所依据的框架包括 NSA-CISA Hardening 指南、MITRE ATT&CK for Containers、CIS Kubernetes Benchmark 以及 ARMO 自定义控制项。除了配置态势扫描,现代版本还整合了镜像漏洞扫描、RBAC 分析、NetworkPolicy 生成和运行时数据关联,并以 JSON、PDF 或 HTML 输出分数、失败项及资源级整改建议。团队通常将 Kubescape 与 kube-bench、Trivy、Falco 以及准入控制器组合,构建分层的 KSPM(Kubernetes 安全态势管理)体系。
如何防御 Kubescape?
针对 Kubescape 的防御通常结合技术控制与运营实践,详见上方完整定义。
Kubescape 还有哪些其他名称?
常见的别称包括: ARMO Kubescape。
● 相关术语
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
- cloud-security№ 596
kube-bench
Aqua Security 推出的开源工具,可自动按照 CIS Kubernetes Benchmark 检查 Kubernetes 集群的配置。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- cloud-security№ 1141
Tetragon
Cilium 项目下基于 eBPF 的 Kubernetes 运行时安全工具,可同步观测并强制约束进程、文件和网络行为。
- cloud-security№ 213
容器安全
保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。
● 参见
- № 170Cilium
- № 1012服务账户令牌(Service Account Token)