개발부터 런타임까지의 포괄적인 Kubernetes 보안: Kubescape
요약
Kubescape는 개발 단계부터 런타임까지 Kubernetes 환경 전반에 걸쳐 포괄적인 보안 커버리지를 제공하는 오픈소스 플랫폼입니다. 이 도구는 구성 오류 스캔, 이미지 취약점 분석(Grype), 자동 패치 및 수리 기능을 포함하여 클러스터의 보안 상태를 다각도로 점검합니다. 또한 eBPF 기반 런타임 모니터링과 Admission Control을 통해 강력한 보호를 제공하며, CLI와 다양한 플랫폼 지원으로 사용 편의성을 높였습니다.
핵심 포인트
- 개발 라이프사이클 전반에 걸쳐 보안 검사를 수행하는 포괄적인 접근 방식을 제공합니다 (Shift Left Security).
- 구성 오류 스캔(CIS, MITRE 등), 이미지 취약점 분석(Grype), 자동 수리/패치 기능을 통합하여 사용자가 쉽게 보안을 강화할 수 있습니다.
- Admission Control과 eBPF 기반 런타임 모니터링을 통해 클러스터의 배포 및 실행 단계에서 강력한 보호를 제공합니다.
- 다양한 플랫폼(Homebrew, Krew 등)을 지원하는 포괄적인 CLI와 오프라인 스캔 기능까지 갖추고 있습니다.
개발부터 런타임까지의 포괄적인 Kubernetes 보안
Kubescape 는 개발 및 배포 라이프사이클 전반에 걸쳐 왼쪽에서 오른쪽으로 포괄적인 보안 커버리지를 제공하는 오픈소스 Kubernetes 보안 플랫폼입니다. 하드닝 (hardening), 포스트어 관리 (posture management), 그리고 런타임 보안 기능을 제공하여 Kubernetes 환경에 대한 견고한 보호를 보장합니다.
Kubescape 는 ARMO 가 개발했으며, Cloud Native Computing Foundation (CNCF) 의 인큐베이팅 프로젝트입니다.
Kubescape 를 계속 개발하고 개선하기 위해 해당 저장소를 ⭐ 스타어주세요!
- 기능
- 데모
- 빠른 시작
- 설치
- CLI 명령어
- 사용 예제
- 아키텍처
- 클러스터 내 오퍼레이터 (In-Cluster Operator)
- 통합
- 커뮤니티
- 변경 로그
- 라이선스
| 기능 | 설명 |
|---|---|
| 🔘 구성 오류 스캔 | |
| NSA-CISA, MITRE ATT&CK®, CIS 벤치마크에 대해 클러스터, YAML 파일, Helm 차트를 스캔 | |
| 🐳 이미지 취약점 스캔 | |
| Grype 를 사용하여 컨테이너 이미지의 CVE 를 감지 | |
| 🩹 이미지 패치 | |
| Copacetic 을 사용하여 취약한 이미지를 자동으로 패치 | |
| 🔧 자동 수리 (Auto-Remediation) | |
| Kubernetes 매니페스트의 구성 오류를 자동으로 수정 | |
| 🛡️ 애드미션 제어 (Admission Control) | |
| 유효성 검사 애드미션 정책 (VAP) 을 사용하여 보안 정책을 강제 | |
| 📊 런타임 보안 | |
| Inspektor Gadget 를 통한 eBPF 기반 런타임 모니터링 | |
| 🤖 AI 통합 | |
| AI 어시스턴트 통합을 위한 MCP 서버 |
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
💡 더 많은 옵션 (Homebrew, Krew, Windows 등) 을 확인하려면 설치 섹션을 참조하세요.
# 현재 클러스터 스캔
kubescape scan
# 특정 YAML 파일 또는 디렉토리 스캔
...
Kubescape 는 다음을 포함한 상세한 보안 포스트어 개요를 제공합니다:
- 제어 평면 보안 상태
- 접근 제어 리스크
- 워크로드 구성 오류
- 네트워크 정책 간극
- 준수 점수 (MITRE, NSA)
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
| 플랫폼 | 명령어 |
|---|---|
| Homebrew | |
brew install kubescape | |
| Krew | |
kubectl krew install kubescape | |
| Arch Linux | |
yay -S kubescape | |
| Ubuntu | |
sudo add-apt-repository ppa:kubescape/kubescape && sudo apt install kubescape | |
| NixOS | |
nix-shell -p kubescape | |
| Chocolatey | |
choco install kubescape | |
| Scoop | |
scoop install kubescape |
iwr -useb https://raw.githubusercontent.com/kubescape/kubescape/master/install.ps1 | iex
Kubescape 는 다음 명령어를 포함한 포괄적인 CLI 를 제공합니다:
| 명령어 | 설명 |
|---|---|
kubescape scan | |
| 보안 문제를 찾기 위해 클러스터, 파일 또는 이미지를 스캔 | |
kubescape scan image | |
| 취약점을 찾기 위해 컨테이너 이미지를 스캔 | |
kubescape fix | |
| 매니페스트 파일의 구성 오류를 자동으로 수정 | |
kubescape patch | |
| 취약점을 해결하기 위해 컨테이너 이미지를 패치 | |
kubescape list | |
| 사용 가능한 프레임워크 및 제어 목록 표시 | |
kubescape download | |
| 오프라인/에어-게apped 사용용 아티팩트 다운로드 | |
kubescape config | |
| 캐시된 구성 관리 | |
kubescape operator | |
| 클러스터 내 Kubescape 오퍼레이터와 상호 작용 | |
kubescape vap | |
| 유효성 검사 애드미션 정책 관리 | |
kubescape mcpserver | |
| AI 어시스턴트 통합을 위한 MCP 서버 시작 | |
kubescape completion | |
| 쉘 컴플리션 스크립트 생성 | |
kubescape version | |
| 버전 정보 표시 |
# 기본 스캔 (모든 프레임워크)
kubescape scan
# 특정 프레임워크로 스캔
...
# 로컬 YAML 파일 스캔
kubescape scan /path/to/manifests/
# Helm 차트 스캔
...
네임스페이스 포함/배제
kubescape scan --include-namespaces production,staging
kubescape scan --exclude-namespaces kube-system,kube-public
...
JSON 출력
kubescape scan --format json --output results.json
# JUnit XML (CI/CD용)
...
공개 이미지 스캔
kubescape scan image nginx:1.21
# 상세 출력 사용
...
오프라인 Grype-DB 서버 시작 (docker 사용)
docker run --rm -p8080:8080 quay.io/kubescape/grype-offline-db:v6-latest
# 오프라인 데이터베이스를 사용하여 이미지 스캔:
...
자동으로 매니팩트 파일의 잘못된 구성을 수정하세요:
# 먼저 스캔하고 결과를 JSON에 저장
kubescape scan /path/to/manifests --format json --output results.json
# 이후 수정 적용
...
컨테이너 이미지를 OS 수준의 취약점을 수정하기 위해 패치하세요:
# buildkitd 시작 (필수)
sudo buildkitd &
# 이미지 패치
...
# 사용 가능한 프레임워크 목록 표시
kubescape list frameworks
# 모든 컨트롤 표시
...
에어-게apped 환경용 아티팩트 다운로드:
# 모든 아티팩트 다운로드
kubescape download artifacts --output /path/to/offline/dir
# 특정 프레임워크 다운로드
...
# 현재 설정 표시
kubescape config view
# 계정 ID 설정
...
클러스터 내 Kubescape 운영자 (operator) 와 상호작용하세요:
# 구성 스캔 트리거
kubescape operator scan configurations
# 취약점 스캔 트리거
...
Kubernetes 유효성 검사 승인 정책 관리:
# Kubescape CEL 승인 정책 라이브러리 배포
kubescape vap deploy-library | kubectl apply -f -
# 정책 바인딩 생성
...
AI 어시스턴트 통합을 위한 MCP (Model Context Protocol) 서버 시작:
kubescape mcpserver
MCP 서버는 Kubescape의 취약점 및 구성 스캔 데이터를 AI 어시스턴트에 노출하여 클러스터의 보안 상태를 자연어로 쿼리할 수 있게 합니다.
사용 가능한 MCP 도구:
list_vulnerability_manifests
-
취약점 매니팩트 발견
list_vulnerabilities_in_manifest -
매니팩트 내 CVE 목록 표시
list_vulnerability_matches_for_cve -
특정 CVE 상세 정보 제공
list_configuration_security_scan_manifests -
구성 스캔 결과 목록 표시
get_configuration_security_scan_manifest -
구성 스캔 상세 정보 제공
Kubescape는 두 가지 모드로 실행할 수 있습니다:
CLI 는 클러스터, 파일, 이미지를 필요시 스캔하는 독립형 도구입니다.
핵심 구성 요소:
Open Policy Agent (OPA) - 정책 평가 엔진 Regolibrary - 보안 컨트롤 라이브러리 Grype - 이미지 취약점 스캔 Copacetic - 이미지 패치
연속 모니터링을 위해 Helm 을 사용하여 Kubescape 운영자를 배포하세요.
추가 기능:
- 연속 구성 스캔
- 이미지 취약점 스캔
- eBPF 기반 런타임 분석
- 네트워크 정책 생성
Kubescape 운영자는 클러스터에 지속적인 보안 모니터링을 제공합니다:
# Kubescape Helm 레포지토리 추가
helm repo add kubescape https://kubescape.github.io/helm-charts/
# 운영자 설치
...
운영자 기능:
- 🔄 연속 잘못된 구성 스캔
- 🐳 모든 워크로드용 이미지 취약점 스캔
- 🔍 eBPF 기반 런타임 위협 탐지
- 🌐 네트워크 정책 생성
- 📈 Prometheus 지표 통합
| 플랫폼 | 통합 |
|---|---|
| GitHub Actions | kubescape/github-action |
| GitLab CI | 문서 |
| Jenkins | 문서 |
| IDE | 확장자 |
|---|---|
| VS Code | Kubescape Extension |
| Lens | Kubescape Lens Extension |
Kubescape 는 활발한 커뮤니티를 가진 CNCF 인큐베이션 프로젝트입니다.
💬 Slack - Users Channel- 질문을 하고 도움을 받으세요 - 💬
Slack - Developers Channel- 개발에 기여하세요 - 🐛
GitHub Issues- 버그를 보고하고 기능을 요청하세요 - 📋
Project Board- 우리가 무엇을 작업 중인지 확인하세요 - 🗺️
Roadmap- 미래 계획
기여를 환영합니다! 다음을 참조해 주세요:
Kubescape 변경사항은 releases 페이지에서 추적됩니다.
Copyright 2021-2025, the Kubescape Authors. All rights reserved.
Kubescape 는 Apache 2.0 라이선스 하에 배포됩니다.
Kubescape 는 Cloud Native Computing Foundation (CNCF) 의 incubating 프로젝트이며 ARMO 가 기여했습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 GitHub Trending Go (weekly)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기