Säkerhetskontroll

Kubernetes-säkerhet: hitta felkonfigurationen innan angriparen

De flesta Kubernetes-intrång börjar i en felkonfiguration, inte en zero-day. Vi kontrollerar dina manifest och ditt kluster mot härdnings-best-practice och prioriterar det som faktiskt öppnar en väg in.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — säkerhet i drift ISO 27001 · A.8.9 konfigurationshantering CIS · Controls v8

Vad kontrolleras?

Vi granskar dina Kubernetes-manifest (och valfritt det körande klustret) mot härdnings-best-practice (mappad till CIS Controls): privilegierade containrar, körning som root, saknade resursgränser, för breda RBAC-roller, exponerade Secrets och nätverkspolicyer som saknas. Obs: detta är riktade härdningskontroller, inte en fullständig CIS Kubernetes Benchmark / kube-bench-körning.

Varför spelar det roll?

En privilegierad pod eller en för bred RBAC-roll förvandlar ett litet intrång till full kluster-kompromettering. Konfigurationshantering är en kärnkontroll i ISO 27001 och NIS2 — och Kubernetes-defaults är sällan säkra.

Hur Security Guru testar det

Vanliga fel

  • Containrar som kör som root utan säkerhetskontext
  • RBAC-roller med * på verbs/resurser
  • Inga NetworkPolicies → platt intern trafik
  • Secrets som miljövariabler i klartext i manifesten

Vad du får i rapporten

  • Felkonfigurationer rankade efter hur mycket de öppnar
  • RBAC-roller som ger mer än de behöver
  • Konkreta manifest-ändringar per fynd
  • Mappning mot CIS Controls v8 / ISO A.8.9

Vanliga frågor

Behöver ni kluster-åtkomst?

Manifest-granskning behöver bara era YAML-filer. Live-klustergranskning kräver en läs-behörighet och kan köras self-hosted.

Täcker det managed Kubernetes (EKS/GKE/AKS)?

Ja — kontrollerna gäller manifesten och RBAC oavsett var klustret kör.

Ändrar ni något i klustret?

Nej. Granskningen är läs-endast; vi föreslår ändringar, ni tillämpar dem.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan