📊 تقرير أمان KUBESCAPE

الوضع الأمني للعنقود

فحص أمني آلي عبر أطر عمل NSA وMITRE ATT&CK وCIS وSOC2 وأفضل ممارسات DevOps.

العنقود

admin@edgit-k8s

تاريخ الفحص

2026-03-18

KUBESCAPE

v4.0.3

مساحات الأسماء

الموارد

~946

درجات الامتثال حسب الإطار

يقيّم كل إطار مجموعة مختلفة من ضوابط الأمان. CIS هو الأشمل بـ 40 ضابطاً.

NSA

2/20 ضوابط ناجحة

MITRE

2/19 ضوابط ناجحة

CIS

7/40 ضوابط ناجحة

SOC2

1/7 ضوابط ناجحة

DevOps

3/15 ضوابط ناجحة

توزيع الخطورة

النتائج مجمّعة حسب مستوى الخطورة عبر جميع الأطر.

Critical

6% من الإجمالي

High

36% من الإجمالي

Medium

36% من الإجمالي

Low

21% من الإجمالي

نتائج عالية الخطورة

12 findings

Missing CPU limits

367 containers

27%

NSADevOps

Missing memory limits

298 containers

36%

NSADevOps

Containers running as root

251 containers

35%

NSACIS

Credentials in config files

27 resources

93%

NSAMITRESOC2

Privileged containers

24 pods

90%

NSAMITRECIS

Writable hostPath mounts

37 pods

85%

MITRE

HostPath mounts

40 pods

84%

MITRE

List K8s secrets (RBAC)

68 roles

72%

MITRESOC2

HostNetwork access

7 pods

97%

NSACIS

#10

Insecure capabilities

11 pods

96%

NSA

#11

Host PID/IPC privileges

5 pods

98%

NSA

#12

Ingress TLS encryption

2 ingresses

33%

SOC2

نتائج متوسطة الخطورة

12 findings

No Network Policies

53/57 namespaces

11%

NSAMITRECISSOC2

SA token automount

210 SAs / 223 pods

53%

NSACIS

Container SA access

161 pods

22%

MITRE

Allow privilege escalation

115 pods

54%

NSACIS

Missing seccomp profile

146 pods

41%

CIS

Missing Linux hardening

118 pods

53%

NSA

Unencrypted PVs

72 PVs

SOC2

Missing liveness probes

130 pods

48%

DevOps

Secrets as env vars

137 env refs

83%

CIS

#10

Roles with delete caps

40 roles

84%

MITRE

#11

Administrative Roles

5 roles

98%

NSAMITRESOC2

#12

Admission ctrl not validated

25 webhooks

MITRE

نتائج منخفضة الخطورة

7 findings

Missing labels

188 resources

24%

DevOps

Immutable container FS

139 pods

44%

CIS

Missing readiness probes

112 pods

55%

DevOps

Missing CPU requests

134 containers

46%

DevOps

Missing memory requests

139 containers

44%

DevOps

Image pull policy latest

6 pods

98%

DevOps

Naked pods (no controller)

3 pods

93%

DevOps

ثغرات التغطية الأمنية

تطبيق سياسات الشبكة واعتماد معايير أمان الحاويات عبر جميع مساحات الأسماء.

تغطية سياسات الشبكة

argocd (7)

tenant-team-alpha (1)

keycloak (1)

apisix (1)

53 مساحات أسماء بدون سياسات

معايير أمان الحاويات

restricted 3

tenant-team-alphatenant-test-orgtenant1

baseline 1

cert-platform

privileged 7

autoscalingeraser-systemfalcogpu-operatorlonghorn-systemobservabilitytikv

لا تطبيق PSS 46 مساحات أسماء

أهداف الامتثال

الدرجات المتوقعة بعد كل مرحلة معالجة. الدرجات الحالية معروضة كأشرطة مملوءة.

NSA 65% → 90%

65%

الحالي

P1: 75% P2: 82% P4: 90%

MITRE 66% → 88%

66%

الحالي

P1: 73% P2: 80% P4: 88%

CIS 43% → 78%

43%

الحالي

P1: 55% P2: 65% P4: 78%

SOC2 64% → 90%

64%

الحالي

P1: 72% P2: 82% P4: 90%

DevOps 69% → 92%

69%

الحالي

P1: 80% P2: 85% P4: 92%

خارطة طريق المعالجة

نهج مرحلي من المكاسب السريعة إلى التعزيز المتقدم — مرتّب حسب التأثير والمخاطر.

Quick Wins

Week 1-2 Low risk

Pod Security Standards enforcementDisable SA token automountKyverno resource limits policyRequired labels policy

Network Segmentation

Week 2-4 Medium risk

Default-deny CiliumNetworkPoliciesPer-namespace allow rulesRBAC secret access auditVault/Postgres/Keycloak isolation

Workload Hardening

Week 3-6 Medium risk

Security contexts (non-root)Secrets → volume mountsRead-only root filesystemLiveness & readiness probes

Advanced Hardening

Week 6-8 Higher risk

Disallow privileged containersPersistent volume encryptionSeccomp profile enforcementAudit log configuration

Ongoing Governance

Continuous Low risk

Kubescape Operator installKyverno policy consolidationWeekly scheduled scansCompliance trend tracking

المخاطر المقبولة

مكونات البنية التحتية التي تتطلب شرعياً صلاحيات مرتفعة. متوقعة وموثّقة.

Cilium CNI

kube-system

privileged hostPath root

Longhorn

longhorn-system

privileged hostPath root

NVIDIA GPU Operator

gpu-operator

privileged hostPath root

NFS CSI

kube-system

privileged hostPath root

Node Exporter

observability

hostPath root

Alloy (logs)

observability

hostPath

Alloy (profiles)

observability

privileged root

Eraser

eraser-system

hostPath root

← العودة إلى الأمان