Kubescape¶
Kubescape est un scanner de vulnérabilité OpenSource pour Kubernetes.
Points clés¶
- Kubescape peut être utilisé sous forme d'un client en ligne de commande pour un scan à la demande.
- Kubescape peut être installé sous forme dans le cluster à l'aide d'un opérateur pour un scan en continu.
- Kubescape peut scanner des charts helm ou dossier Kustomize en amont des déploiements.
- Kubescape dispose d'un mécanisme de gestion des exceptions (non trouvé dans trivy-operator)
- Kubescape couvre un large spectre de contrôles :
- Contrôle de la configuration du cluster (ex : C-0069 - Disable anonymous access to Kubelet service)
- Contrôle des déploiements applicatifs (ex : C-0004 - Resources memory limit and request pour vérifier la définition des limites de consommation RAM)
- ... et bien d'autres (ex : C-0078 - Images from allowed registry pour maîtriser les dépôts d'images utilisés)
Installation du client¶
- kubescape/install.sh reprend la méthode kubescape - Getting Started :
# téléchargement ~/.kubescape/bin/kubescape
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
# ... en intégrant l'ajout suivant dans ~/.profile
export PATH=$PATH:$HOME/.kubescape/bin
- kubescape.io - Installing Kubescape présente d'autres méthodes possibles dont :
kubectl krew update
kubectl krew install kubescape
Utilisation du client¶
Pour scanner un cluster :
# pour une vue synthétique
kubescape scan framework nsa
# pour avoir le détail des erreurs
kubescape scan framework nsa -v
# pour ignorer certains namespaces
kubescape scan framework nsa --exclude-namespaces kube-system,kube-public
# pour scanner uniquement memory.limits
kubescape scan control C-0004 -v
Voir github.com - kubescape/kubescape - docs/getting-started.md pour d'autres exemples (dont scan Kustomize, Helm, dépôt GIT...)
Ressources¶
- kubescape.io - Accepting risk with exceptions pour gérer les exceptions
- kubescape.io - The Kubescape operator pour installation dans un cluster
- kubescape.io - Integrations - Visual Studio Code pour scan des YAML dans VS code.
- github.com - kubescape/kubescape - getting-started examples