CNCF Kubescape는 Kubernetes 보안 스캐너로, 클러스터의 보안 상태를 자동으로 분석하고 평가하는 오픈소스 도구이다.
Kubescape의 주요 기능
1.
Kubernetes 보안 취약점 스캔
•
클러스터에서 실행되는 리소스(Deployment, Pod, RBAC 등)를 분석하여 보안 취약점을 감지.
•
미리 정의된 보안 정책(예: NSA/CISA 보안 가이드라인, MITRE ATT&CK 프레임워크)을 기반으로 보안 평가 수행.
2.
CIS Benchmarks 및 규정 준수 체크
•
CIS Kubernetes Benchmarks와 같은 표준을 기반으로 클러스터 설정을 검사.
•
GDPR, SOC2, PCI-DSS 같은 규정 준수 여부를 평가 가능.
3.
RBAC 권한 분석
•
Kubernetes의 Role, RoleBinding, ClusterRole, ClusterRoleBinding을 분석하여 권한 오남용을 감지.
4.
클라우드 네이티브 보안 강화
•
OPA (Open Policy Agent) & Rego를 활용하여 맞춤형 보안 정책 적용 가능.
•
클러스터의 보안 현황을 시각화하여 대시보드 제공.
5.
CI/CD 파이프라인 통합
•
GitHub Actions, Jenkins, GitLab CI/CD와 연동하여 배포 전 보안 검토 자동화 가능.
kubescape는 점검 시 Daemonset 형태로 Pod 가 동작했다가 점검 종료 후 삭제된다. 때문에, k8s 클러스터의 Pod 개수 제한에 걸린다면 점검이 제대로 동작하지 않을 수 있으니 주의해야한다.
•
Install
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
Shell
복사
•
환경변수를 지정
export PATH=$PATH:/home/ec2-user/.kubescape/bin
Shell
복사
•
kube-system 의 취약점을 'NSA 보안 체크리스트'를 확인하여 점검
kubescape scan framework nsa -e kube-system
Shell
복사
•
보안 framework 를 다운받아 점검하는 것도 가능하다.
# 보안 프레임워크 다운로드
kubescape download artifacts
# 설치된 프레임워크 리스트
kubescape list frameworks --format json | jq '.[]'
# 다운받은 프레임워크로 클러스터 점검
kubescape scan --enable-host-scan --verbose
Shell
복사