Kubernetes配置安全扫描评估KCCSS和kube-scan

Octarine 是Kubernetes安全公司,开发了两个开源康姆:

  • kubernetes Common Configuration Scoring System(KCCSS) Kubernetes常用配置评估系统,一种对Kubernetes错误配置进行安全风险打分的框架
  • kube-scan 扫描Kubernetes配置和设置以标记潜在漏洞的风险

当前Kubernetes提供了超过30项安全设置,但是开发团队往往缺乏安全经验,一旦错误配置就可能引入安全漏洞。KCCSS类似Common Vulnerability Scoring System(CVSS),工业标准的漏洞评估系统,但是聚焦在配置和安全设置。kube-scan则基于KCCSS用于分析超过30项安全设置以及权限级别配置,功能以及Kubernetes策略来建立风险基线。kube-scan可以显示哪些工作负载是更高风险,为什么有潜在的后果,并帮助更新Pod安全策略,Pod定义以及清单文件。kube-scan作为一个pod运行,但是禁止ingress或egress访问。它可以安全运行在任何环境并且可以在风险评估页面访问后删除。

KCCSS

从Octarinesec的 kccss GitHub

kube-scan

kube-scan GitHub