📊 RAPPORT DE SÉCURITÉ KUBESCAPE

Posture de sécurité du cluster

Analyse de sécurité automatisée selon les cadres NSA, MITRE ATT&CK, CIS, SOC2 et bonnes pratiques DevOps.

CLUSTER

admin@edgit-k8s

DATE D'ANALYSE

2026-03-18

KUBESCAPE

v4.0.3

NAMESPACES

RESSOURCES

~946

SCORES DE CONFORMITÉ PAR CADRE

Chaque cadre évalue un ensemble différent de contrôles de sécurité. CIS est le plus complet avec 40 contrôles.

NSA

2/20 contrôles réussis

MITRE

2/19 contrôles réussis

CIS

7/40 contrôles réussis

SOC2

1/7 contrôles réussis

DevOps

3/15 contrôles réussis

Distribution par sévérité

Résultats groupés par niveau de sévérité sur tous les cadres.

Critical

6% du total

High

36% du total

Medium

36% du total

Low

21% du total

RÉSULTATS DE SÉVÉRITÉ HAUTE

12 findings

Missing CPU limits

367 containers

27%

NSADevOps

Missing memory limits

298 containers

36%

NSADevOps

Containers running as root

251 containers

35%

NSACIS

Credentials in config files

27 resources

93%

NSAMITRESOC2

Privileged containers

24 pods

90%

NSAMITRECIS

Writable hostPath mounts

37 pods

85%

MITRE

HostPath mounts

40 pods

84%

MITRE

List K8s secrets (RBAC)

68 roles

72%

MITRESOC2

HostNetwork access

7 pods

97%

NSACIS

#10

Insecure capabilities

11 pods

96%

NSA

#11

Host PID/IPC privileges

5 pods

98%

NSA

#12

Ingress TLS encryption

2 ingresses

33%

SOC2

RÉSULTATS DE SÉVÉRITÉ MOYENNE

12 findings

No Network Policies

53/57 namespaces

11%

NSAMITRECISSOC2

SA token automount

210 SAs / 223 pods

53%

NSACIS

Container SA access

161 pods

22%

MITRE

Allow privilege escalation

115 pods

54%

NSACIS

Missing seccomp profile

146 pods

41%

CIS

Missing Linux hardening

118 pods

53%

NSA

Unencrypted PVs

72 PVs

SOC2

Missing liveness probes

130 pods

48%

DevOps

Secrets as env vars

137 env refs

83%

CIS

#10

Roles with delete caps

40 roles

84%

MITRE

#11

Administrative Roles

5 roles

98%

NSAMITRESOC2

#12

Admission ctrl not validated

25 webhooks

MITRE

RÉSULTATS DE SÉVÉRITÉ BASSE

7 findings

Missing labels

188 resources

24%

DevOps

Immutable container FS

139 pods

44%

CIS

Missing readiness probes

112 pods

55%

DevOps

Missing CPU requests

134 containers

46%

DevOps

Missing memory requests

139 containers

44%

DevOps

Image pull policy latest

6 pods

98%

DevOps

Naked pods (no controller)

3 pods

93%

DevOps

Lacunes de couverture sécurité

Application des politiques réseau et adoption des Pod Security Standards sur tous les namespaces.

Couverture des politiques réseau

argocd (7)

tenant-team-alpha (1)

keycloak (1)

apisix (1)

53 namespaces sans politique

Pod Security Standards

restricted 3

tenant-team-alphatenant-test-orgtenant1

baseline 1

cert-platform

privileged 7

autoscalingeraser-systemfalcogpu-operatorlonghorn-systemobservabilitytikv

Aucune application PSS 46 namespaces

Objectifs de conformité

Scores projetés après chaque phase de remédiation. Les scores actuels sont affichés en barres pleines.

NSA 65% → 90%

65%

Actuel

P1: 75% P2: 82% P4: 90%

MITRE 66% → 88%

66%

Actuel

P1: 73% P2: 80% P4: 88%

CIS 43% → 78%

43%

Actuel

P1: 55% P2: 65% P4: 78%

SOC2 64% → 90%

64%

Actuel

P1: 72% P2: 82% P4: 90%

DevOps 69% → 92%

69%

Actuel

P1: 80% P2: 85% P4: 92%

Feuille de route de remédiation

Approche par phases, des gains rapides au durcissement avancé — priorisée par impact et risque.

Quick Wins

Week 1-2 Low risk

Pod Security Standards enforcementDisable SA token automountKyverno resource limits policyRequired labels policy

Network Segmentation

Week 2-4 Medium risk

Default-deny CiliumNetworkPoliciesPer-namespace allow rulesRBAC secret access auditVault/Postgres/Keycloak isolation

Workload Hardening

Week 3-6 Medium risk

Security contexts (non-root)Secrets → volume mountsRead-only root filesystemLiveness & readiness probes

Advanced Hardening

Week 6-8 Higher risk

Disallow privileged containersPersistent volume encryptionSeccomp profile enforcementAudit log configuration

Ongoing Governance

Continuous Low risk

Kubescape Operator installKyverno policy consolidationWeekly scheduled scansCompliance trend tracking

RISQUES ACCEPTÉS

Composants d'infrastructure nécessitant légitimement des privilèges élevés. Attendus et documentés.

Cilium CNI

kube-system

privileged hostPath root

Longhorn

longhorn-system

privileged hostPath root

NVIDIA GPU Operator

gpu-operator

privileged hostPath root

NFS CSI

kube-system

privileged hostPath root

Node Exporter

observability

hostPath root

Alloy (logs)

observability

hostPath

Alloy (profiles)

observability

privileged root

Eraser

eraser-system

hostPath root

← RETOUR À LA SÉCURITÉ