Skip to content

Cuestionario de Kubescape

Pon a prueba tu comprensión de la gestión de postura de seguridad con Kubescape con las siguientes preguntas.


Preguntas

1. ¿Cuál es el estado del proyecto Kubescape en la CNCF?

  • A) Proyecto Graduated
  • B) Proyecto Incubating
  • C) Proyecto Sandbox
  • D) No es un proyecto de la CNCF
Mostrar respuesta

Respuesta: C) Proyecto Sandbox

Explicación: Kubescape fue aceptado como proyecto CNCF Sandbox en 2022. Fue desarrollado originalmente por ARMO y donado a la CNCF. Como proyecto Sandbox, es un proyecto en etapa inicial que la CNCF considera con potencial de crecimiento.


2. ¿Qué frameworks de seguridad admite Kubescape para escaneos de cumplimiento?

  • A) Solo NSA-CISA
  • B) Solo CIS Benchmarks
  • C) NSA-CISA, CIS Benchmarks y MITRE ATT&CK
  • D) Solo OWASP y PCI-DSS
Mostrar respuesta

Respuesta: C) NSA-CISA, CIS Benchmarks y MITRE ATT&CK

Explicación: Kubescape admite múltiples frameworks de seguridad:

bash
# Scan with NSA-CISA framework
kubescape scan framework nsa

# Scan with CIS Kubernetes Benchmark
kubescape scan framework cis-v1.23-t1.0.1

# Scan with MITRE ATT&CK
kubescape scan framework mitre
  • NSA-CISA: Kubernetes Hardening Guide de agencias gubernamentales de EE. UU.
  • CIS: Center for Internet Security Kubernetes Benchmarks
  • MITRE ATT&CK: Framework de seguridad basado en amenazas que mapea técnicas de ataque

3. ¿Cuál es la sintaxis correcta de la CLI para escanear un cluster de Kubernetes con Kubescape?

  • A) kubescape check cluster
  • B) kubescape scan
  • C) kubescape audit cluster
  • D) kubescape analyze
Mostrar respuesta

Respuesta: B) kubescape scan

Explicación: Comandos de escaneo de la CLI de Kubescape:

bash
# Scan current cluster
kubescape scan

# Scan specific namespace
kubescape scan --include-namespaces production

# Scan YAML files before deployment
kubescape scan *.yaml

# Scan with specific framework
kubescape scan framework nsa

# Scan specific control
kubescape scan control C-0034

El subcomando scan es la interfaz principal para todas las operaciones de escaneo.


4. ¿Cuál es la diferencia clave entre los modos Kubescape Operator y CLI?

  • A) El modo Operator solo escanea nodes
  • B) El modo CLI proporciona monitoreo continuo; Operator es de una sola ejecución
  • C) Operator proporciona monitoreo continuo con componentes dentro del cluster; CLI realiza escaneos de una sola ejecución
  • D) No hay diferencia
Mostrar respuesta

Respuesta: C) Operator proporciona monitoreo continuo con componentes dentro del cluster; CLI realiza escaneos de una sola ejecución

Explicación: Modos de despliegue de Kubescape:

Modo CLI:

bash
# One-time scan from local machine
kubescape scan
  • Escaneo ad hoc
  • Integración con CI/CD
  • Desarrollo local

Modo Operator:

bash
# Install in-cluster operator
helm repo add kubescape https://kubescape.github.io/helm-charts
helm install kubescape kubescape/kubescape-operator
  • Monitoreo continuo
  • Escaneos programados
  • Escaneo de vulnerabilidades dentro del cluster
  • Integración con la plataforma ARMO para visualización

5. ¿Cómo calcula Kubescape las puntuaciones de riesgo para los controles?

  • A) Solo binario aprobado/fallido
  • B) Basado en la severidad multiplicada por el recuento de recursos afectados
  • C) Asignación aleatoria
  • D) Basado en la prioridad del namespace
Mostrar respuesta

Respuesta: B) Basado en la severidad multiplicada por el recuento de recursos afectados

Explicación: Puntuación de riesgo de Kubescape:

Risk Score = Severity Score x (Failed Resources / Total Resources)

Salida de ejemplo:

┌──────────────────────────────────────────────────┬────────────────┬───────┐
│ Control Name                                      │ Failed Resources│ Score │
├──────────────────────────────────────────────────┼────────────────┼───────┤
│ Privileged container                              │ 3/50           │ 18%   │
│ Resource limits                                   │ 25/50          │ 35%   │
│ Non-root containers                               │ 10/50          │ 42%   │
└──────────────────────────────────────────────────┴────────────────┴───────┘

Las puntuaciones más altas indican mayor riesgo que requiere atención inmediata.


6. ¿Qué flag aplica un umbral de cumplimiento en pipelines de CI/CD?

  • A) --min-score
  • B) --compliance-threshold
  • C) --fail-threshold
  • D) --severity-threshold
Mostrar respuesta

Respuesta: B) --compliance-threshold

Explicación: Uso de Kubescape en pipelines de CI/CD:

bash
# Fail pipeline if compliance drops below 80%
kubescape scan --compliance-threshold 80

# Example GitLab CI
kubescape-scan:
  script:
    - kubescape scan framework nsa --compliance-threshold 75
    - kubescape scan framework cis --compliance-threshold 80

El umbral es un porcentaje (0-100). El escaneo falla (salida distinta de cero) si la puntuación general de cumplimiento cae por debajo del umbral.

bash
# Exit codes
# 0: Passed threshold
# 1: Failed threshold
# 2: Error during scan

7. ¿En qué se diferencia Kubescape de kube-bench?

  • A) kube-bench solo escanea aplicaciones; Kubescape escanea infraestructura
  • B) Kubescape escanea configuraciones de workload; kube-bench se centra en CIS benchmarks a nivel de node
  • C) Son herramientas idénticas
  • D) kube-bench es solo para cloud providers
Mostrar respuesta

Respuesta: B) Kubescape escanea configuraciones de workload; kube-bench se centra en CIS benchmarks a nivel de node

Explicación: Comparación de Kubescape vs kube-bench:

CaracterísticaKubescapekube-bench
EnfoqueSeguridad de workload/configuraciónSeguridad de node/control plane
AlcanceDeployments, Pods, RBACkubelet, API server, etcd
FrameworksNSA, CIS, MITRESolo CIS Benchmarks
Ubicación de ejecuciónFuera del cluster (CLI) o dentro del clusterDebe ejecutarse en cada node
Escaneo de imágenesSí (con Grype)No
Análisis RBACNo

Usa ambos juntos para una seguridad integral:

  • kube-bench: Fortalecimiento de la infraestructura del cluster
  • Kubescape: Seguridad de workloads y configuración

8. ¿Qué característica proporciona Kubescape para el análisis de seguridad de RBAC?

  • A) Generación de políticas RBAC
  • B) Visualización de RBAC que muestra permisos y riesgos
  • C) Remediación automática de RBAC
  • D) Herramientas de migración de RBAC
Mostrar respuesta

Respuesta: B) Visualización de RBAC que muestra permisos y riesgos

Explicación: Capacidades de análisis RBAC de Kubescape:

bash
# Scan RBAC configurations
kubescape scan control C-0035  # Cluster-admin binding
kubescape scan control C-0036  # Wildcard permissions
kubescape scan control C-0039  # Risky service accounts

Características de visualización de RBAC:

  • Mapea ServiceAccounts a Roles/ClusterRoles
  • Identifica bindings excesivamente permisivos
  • Resalta permisos peligrosos (acceso a secrets, pod exec)
  • Muestra rutas de ataque a través de RBAC

Hallazgo de ejemplo:

ServiceAccount 'default' in namespace 'production' has:
- Cluster-admin binding (CRITICAL)
- Secrets list/get permissions (HIGH)
- Pod exec permissions (HIGH)

9. ¿Con qué escáner de vulnerabilidades se integra Kubescape para escaneo de imágenes?

  • A) Trivy
  • B) Clair
  • C) Grype
  • D) Anchore
Mostrar respuesta

Respuesta: C) Grype

Explicación: Kubescape se integra con Grype (de Anchore) para el escaneo de vulnerabilidades de imágenes de contenedor:

bash
# Enable image scanning
kubescape scan --enable-host-scan

# Operator mode includes automatic image scanning
helm install kubescape kubescape/kubescape-operator \
  --set capabilities.vulnerabilityScan=enable

La integración con Grype proporciona:

  • Detección de CVE en imágenes de contenedor
  • Generación de SBOM (Software Bill of Materials)
  • Priorización basada en severidad
  • Integración con hallazgos de seguridad

Los resultados combinan problemas de configuración con datos de vulnerabilidades para una evaluación integral del riesgo.


10. ¿Cómo gestiona Kubescape las excepciones de controles?

  • A) Las excepciones no son compatibles
  • B) Usando archivos YAML de excepciones que especifican controles y recursos a excluir
  • C) Solo mediante flags de línea de comandos
  • D) Modificando el código fuente
Mostrar respuesta

Respuesta: B) Usando archivos YAML de excepciones que especifican controles y recursos a excluir

Explicación: Kubescape admite excepciones mediante archivos de configuración:

yaml
# exceptions.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: kubescape-exceptions
data:
  exceptions: |
    - name: "Allow privileged kube-system pods"
      policyType: postureExceptionPolicy
      actions:
        - alertOnly
      resources:
        - designatorType: Attributes
          attributes:
            namespace: kube-system
      posturePolicies:
        - controlID: C-0057  # Privileged container

Aplicar excepciones:

bash
kubescape scan --exceptions exceptions.yaml

Esto permite:

  • Suprimir falsos positivos conocidos
  • Aceptar el riesgo para recursos específicos
  • Mantener informes de escaneo limpios

Cálculo de puntuación

  • 9-10 correctas: Excelente: tienes una comprensión profunda de Kubescape.
  • 7-8 correctas: Bien: tienes un conocimiento sólido de los conceptos clave.
  • 5-6 correctas: Aceptable: hay áreas que necesitan estudio adicional.
  • 4 o menos: Revisa la documentación de nuevo.

Documentación relacionada