Kubescape

Kubescape est un scanner de vulnérabilité OpenSource pour Kubernetes.

Points clés

• Kubescape peut être utilisé sous forme d'un client en ligne de commande pour un scan à la demande.
• Kubescape peut être installé sous forme dans le cluster à l'aide d'un opérateur pour un scan en continu.
• Kubescape peut scanner des charts helm ou dossier Kustomize en amont des déploiements.
• Kubescape dispose d'un mécanisme de gestion des exceptions (non trouvé dans trivy-operator)
• Kubescape couvre un large spectre de contrôles :
  • Contrôle de la configuration du cluster (ex : C-0069 - Disable anonymous access to Kubelet service)
  • Contrôle des déploiements applicatifs (ex : C-0004 - Resources memory limit and request pour vérifier la définition des limites de consommation RAM)
  • ... et bien d'autres (ex : C-0078 - Images from allowed registry pour maîtriser les dépôts d'images utilisés)

Installation

• kubescape.io - Installing Kubescape

Utilisation

Pour scanner un cluster :

# pour une vue synthétique
kubescape scan framework nsa

# pour avoir le détail des erreurs
kubescape scan framework nsa -v

# pour ignorer certains namespaces
kubescape scan framework nsa --exclude-namespaces kube-system,kube-public

# pour scanner uniquement memory.limits
kubescape scan control C-0004 -v

Voir github.com - kubescape/kubescape - docs/getting-started.md pour d'autres exemples (dont scan Kustomize, Helm, dépôt GIT...)

Ressources

• kubescape.io - Accepting risk with exceptions pour gérer les exceptions
• kubescape.io - The Kubescape operator pour installation dans un cluster
• kubescape.io - Integrations - Visual Studio Code pour scan des YAML dans VS code.
• github.com - kubescape/kubescape - getting-started examples