跳至主内容
  • 云解决方案
  • 附录
  • 默认排除项( KSPM

默认排除项( KSPM

下表列出Kubernetes资源中 KSPM 默认不扫描的项目。 详情 列说明了各项排除的具体原因。

资源名称

资源类型

资源命名空间

已排除的检测结果

详情

csi-azuredisk-node

DaemonSet

kube-system

全部

此排除规则适用于Azure Kubernetes Service (AKS)中 kube-system 命名空间的核心DaemonSet,例如CSI驱动、 kube-proxy 以及监控代理如 omsagent 。这些组件对平台的存储、网络和遥测功能至关重要。

csi-azurefile-node

DaemonSet

kube-system

全部

csi-azurefile-node-win

DaemonSet

kube-system

全部

kube-proxy

DaemonSet

kube-system

全部

omsagent

DaemonSet

kube-system

全部

omsagent-win

DaemonSet

kube-system

全部

coredns

Deployment

kube-system

全部

此排除项涵盖AKS中 kube-system 命名空间内的关键系统Deployment和DaemonSet,例如 coredns , metrics-server 以及云平台特定代理。这些组件对DNS解析、指标收集和节点管理等核心集群功能至关重要。

coredns-autoscaler

Deployment

kube-system

全部

konnectivity-agent

Deployment

kube-system

全部

metrics-server

Deployment

kube-system

全部

csi-azuredisk-node-win

守护进程集

kube-system

全部

azure-ip-masq-agent

守护进程集

kube-system

全部

云节点管理器

守护进程集

kube-system

全部

windows云节点管理器

守护进程集

kube-system

全部

omsagent-rs

部署

kube-system

全部

azure-ip-masq-agent-[A-Za-z0-9]+

容器组

kube-system

全部

此排除规则适用于AKS中 kube-system 命名空间内动态命名的系统容器组,涵盖DNS、存储驱动、遥测代理和网络服务等核心组件。这些容器组由平台管理,通常使用自动生成的名称。该排除机制确保安全态势检查不会干扰集群稳定安全运行所需的基础设施关键工作负载。

cloud-node-manager-[A-Za-z0-9]+

容器组

kube-system

全部

coredns-autoscaler--[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

csi-azuredisk-node-[A-Za-z0-9]+

Pod

kube-system

全部

csi-azurefile-node-[A-Za-z0-9]+

Pod

kube-system

全部

konnectivity-agent-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

omsagent-[A-Za-z0-9]+

Pod

kube-system

全部

omsagent-rs-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

coredns-autoscaler-[A-Za-z0-9]+

ReplicaSet

kube-system

全部

此排除项针对 kube-system AKS上自动创建的kube-system命名空间中的资源,用于支持DNS、指标和遥测等基础服务。这些系统管理的组件通常具有动态名称,并与平台核心功能紧密耦合。

coredns-[A-Za-z0-9]+

副本集

kube-system

全部

konnectivity-agent-[A-Za-z0-9]+

副本集

kube-system

全部

metrics-server-[A-Za-z0-9]+

副本集

kube-system

全部

omsagent-rs-[A-Za-z0-9]+

副本集

kube-system

全部

azure-cloud-provider

服务账户

kube-system

全部

此排除项包含各种系统服务账户、ConfigMap、webhook配置和身份主体,这些对AKS的核心功能和控制平面操作至关重要。这些组件要么由平台管理,要么是安全通信、节点供应和集群自动化所必需的。

cloud-node-manager

服务账户

kube-system

全部

coredns-autoscaler

服务账户

kube-system

全部

csi-azuredisk-node-sa

服务账户

kube-system

全部

csi-azurefile-node-sa

服务账户

kube-system

全部

omsagent

服务账户

kube-system

全部

kube-root-ca.crt

配置映射

default

全部

kube-root-ca.crt

配置映射

kube-node-lease

全部

kube-root-ca.crt

配置映射

kube-public

全部

azure-ip-masq-agent-config-reconciled

配置映射

kube-system

全部

cluster-autoscaler-status

配置映射

kube-system

全部

container-azm-ms-aks-k8scluster

ConfigMap

kube-system

全部

coredns

ConfigMap

kube-system

全部

coredns-autoscaler

ConfigMap

kube-system

全部

coredns-custom

ConfigMap

kube-system

全部

extension-apiserver-authentication

ConfigMap

kube-system

全部

kube-root-ca.crt

ConfigMap

kube-system

全部

omsagent-rs-config

ConfigMap

kube-system

全部

overlay-upgrade-data

ConfigMap

kube-system

全部

aks-webhook-admission-controller

MutatingWebhookConfiguration

不适用

全部

aks-node-mutating-webhook

MutatingWebhookConfiguration

不适用

全部

aks-node-validating-webhook

ValidatingWebhookConfiguration

不适用

全部

system:nodes

不适用

全部

clusterAdmin

用户

不适用

全部

kube-dns

服务

kube-system

全部

此排除适用于 kube-system 命名空间中的核心系统服务,例如 kube-dnsmetrics-server 。这些服务提供集群内DNS解析和资源监控等核心功能。

metrics-server

服务

kube-system

全部

kubescape

ConfigMap

default

全部

该排除规则涵盖 default 命名空间中的关键资源,例如 default 服务账户、 default 命名空间对象以及Kubescape使用的ConfigMap。这些是常用于初始工作负载、测试或系统默认设置的基础元素。排除这些资源可避免对大多数集群普遍存在的基线或实用资源触发不必要的告警。

default

命名空间

不适用

全部

default

服务账户

default

全部

aws-node-[A-Za-z0-9]+

Pod

kube-system

全部

该排除规则适用于Amazon Elastic Kubernetes Service (EKS)集群中广泛的默认及系统托管资源,包括网络所需的Pods、Deployments、DaemonSets、服务账户及身份绑定( aws-node )、存储( ebs-csi )、监控( metrics-server )和集群管理组件。这些由AWS管理的组件构成EKS集群功能的核心框架。排除机制确保安全态势检查不会对可信的、平台集成的服务产生不必要的告警。

kube-proxy-[A-Za-z0-9]+

Pod

kube-system

全部

metrics-server-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

aws-node

DaemonSet

kube-system

全部

eventrouter

Deployment

kube-system

全部

ebs-csi-controller

Deployment

kube-system

全部

ebs-csi-node

守护进程集

kube-system

全部

ebs-csi-node-windows

守护进程集

kube-system

全部

metrics-server

部署

kube-system

全部

coredns-[A-Za-z0-9]+

副本集

kube-system

全部

metrics-server-[A-Za-z0-9]+

副本集

kube-system

全部

kube-dns

服务

kube-system

全部

aws-cloud-provider

服务账户

kube-system

全部

aws-node

服务账户

kube-system

全部

eks-admin

服务账户

kube-system

全部

eks-vpc资源控制器

服务账户

kube-system

全部

指标服务器

服务账户

kube-system

全部

标签控制器

服务账户

kube-system

全部

vpc资源控制器

服务账户

kube-system

全部

事件路由器

服务账户

kube-system

全部

ebs-csi控制器服务账户

服务账户

kube-system

全部

ebs-csi节点服务账户

服务账户

kube-system

全部

eks:fargate-manager

用户

不适用

全部

eks:addon-manager

用户

不适用

全部

eks:certificate-controller

用户

不适用

全部

eks:node-manager

用户

不适用

全部

system:masters

不适用

全部

default

服务账户

kube-node-lease

全部

此项排除适用于 default 命名空间中的 kube-node-lease 命名空间在Google Kubernetes Engine (GKE)上。Kubernetes使用此命名空间管理节点心跳租约。排除此资源有助于避免对支持节点健康追踪和集群稳定性的系统托管身份产生不必要警报。

默认

服务账户

kube-public

全部

此排除项针对 默认 服务账户在 kube-public GKE命名空间中。该命名空间用于存储可公开访问的集群信息。排除此资源可防止对非敏感操作设计的默认系统托管身份产生不必要警报。

coredns-[A-Za-z0-9]+-[A-Za-z0-9]+

Pod

kube-system

全部

此排除涵盖 kube-system 命名空间内大量GKE系统托管资源,包括Pod、DaemonSet、Deployment、Service和CronJob。这些组件对网络、DNS、日志记录、GPU支持、自动扩展及集群内部通信至关重要。排除它们可确保态势检查不会干扰由平台配置维护的默认GKE操作,从而保障集群性能可靠安全。

kube-proxy-[A-Za-z0-9-]+

Pod

kube-system

全部

etcd-.*

Pod

kube-system

全部

metadata-proxy-v[0-9.]+

DaemonSet

kube-system

全部

节点本地DNS

守护进程集

kube系统

全部

GKE指标代理.*

守护进程集

kube系统

全部

PDCSI节点Windows版

守护进程集

kube系统

全部

anetd

守护进程集

kube系统

全部

netd

守护进程集

kube系统

全部

fluentbit-gke大型

守护进程集

kube系统

全部

fluentbit-gke小型

守护进程集

kube系统

全部

fluentbit-gke最大

守护进程集

kube-system

全部

fluentbit-gke.*

守护进程集

kube-system

全部

nccl-fastsocket-installer

守护进程集

kube-system

全部

filestore-node

守护进程集

kube-system

全部

pdcsi-node

守护进程集

kube-system

全部

ip-masq-agent

守护进程集

kube-system

全部

anetd-win

守护进程集

kube-system

全部

gke-metadata-server

守护进程集

kube-system

全部

gke-metrics-agent-windows

守护进程集

kube-system

全部

kube-proxy

守护进程集

kube-system

全部

nvidia-gpu-device-plugin

守护进程集

kube-system

全部

nvidia-gpu-device-plugin-large

守护进程集

kube-system

全部

nvidia-gpu-device-plugin-medium

守护进程集

kube-system

全部

image-package-extractor

守护进程集

kube-system

全部

image-package-extractor-cleanup

定时任务

kube-system

全部

nvidia-gpu-device-plugin-small

守护进程集

kube-system

全部

metrics-server

服务

kube-system

全部

kube-dns

部署

kube-system

全部

egress-nat-controller

部署

kube-system

全部

event-exporter-gke

部署

kube-system

全部

antrea-controller

部署

kube-system

全部

antrea-controller-horizontal-autoscaler

部署

kube-system

全部

kube-dns-autoscaler

部署

kube-system

全部

metrics-server-v[0-9.]+

部署

kube-system

全部

konnectivity-agent-autoscaler

部署

kube-system

全部

fluentd-elasticsearch

守护进程集

kube-system

全部

konnectivity-agent

部署

kube-system

全部

l7-default-backend

部署

kube-system

全部

ks-sa

服务账户

kubescape

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

此排除规则适用于 ks-sa 服务账户所在的 kubescape 命名空间,该账户被Kubescape用于运行安全态势扫描、收集集群配置数据及报告合规性结果。

默认

服务账户

kubescape

  • 默认服务账户令牌的自动挂载

  • 服务账户令牌的自动挂载

  • 未使用自定义服务账户的命名空间

此例外针对 默认 服务账户位于 kubescape 命名空间中,该账户可能被Kubescape组件在初始化或辅助操作期间使用。允许此服务账户以仅告警模式运行,可确保与命名空间绑定的后台任务或默认行为不会触发安全态势违规。这在不影响可见性的前提下,支持Kubescape系统更顺畅地运行。

节点代理

DaemonSet

kubescape

  • 使用hostPath挂载

  • 使用可写hostPath卷

  • 服务账户令牌的自动挂载

  • 配置的存活探针

  • 配置的就绪探针

  • 容器中使用Docker套接字

  • 不可变的容器文件系统

  • 入口和出口策略强制执行

  • 不安全的能力

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

此例外允许 节点代理 DaemonSet在 kubescape 命名空间能够以不受限制的网络访问和提升的权限运行。作为负责跨节点收集运行时和主机级数据的核心组件,该DaemonSet需要广泛的权限和连接性以执行深度检查并发送结果。

kubescape

Deployment

kubescape

  • 入口和出口策略执行

  • 非root容器

此例外允许关键的Kubescape组件(例如 kubescape , operator , gateway , kubevulnkollector )在不受限制的网络流量下运行。这些组件需要入站和出站连接以执行数据收集、漏洞扫描、同步以及与外部服务通信等任务。该例外确保它们的功能不受网络流量限制的影响。

operator

Deployment

kubescape

  • 入口和出口策略执行

  • 非root容器

gateway

Deployment

kubescape

  • 入口和出口策略执行

  • 非root容器

kubevuln

Deployment

kubescape

  • 入口和出口策略执行

  • 非root容器

kollector

StatefulSet

kubescape

  • 入口和出口策略执行

  • 非root容器

kubescape

Deployment

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略执行

  • 资源标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

此排除适用于Kubescape关键组件,包括以下部署: kubescape , operator , gateway , synchronizer , kubevuln 以及 otel-collector ,还有 kollector StatefulSet和 node-agent DaemonSet。该排除允许这些组件在不受安全上下文态势控制阻止的情况下运行。这些工作负载可能需要提升权限或非标准配置来执行扫描、遥测、同步和存储等关键任务。

operator

Deployment

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源的标签使用

  • Linux系统加固

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

网关

部署

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略实施

  • 资源标签使用

  • Linux系统加固

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccomp配置文件

  • seccomp配置文件RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

同步器

部署

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccomp配置文件

  • seccomp配置文件RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

kubevuln

Deployment

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源的标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

kollector

StatefulSet

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源标签使用

  • Linux加固

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

存储

部署

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • NetworkPolicy标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源标签使用

  • Linux系统加固

  • 非root容器

  • 特权提升控制

  • 特权提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccomp配置文件

  • seccomp配置文件RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

otel收集器

部署

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入口和出口策略实施

  • 资源标签使用

  • Linux系统加固

  • 非root容器

  • 特权提升控制

  • 特权提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccomp配置文件

  • seccomp配置文件RuntimeDefault

  • SELinux选项配置

  • 附加组配置

  • Sysctl参数配置

节点代理

守护进程集

kubescape

  • 配置的存活探针

  • 配置的就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 主机PID/IPC权限

  • 不可变容器文件系统

  • 入站和出站策略强制执行

  • 资源的标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

  • 环境变量中的密钥

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccomp配置文件

  • seccomp配置文件RuntimeDefault

  • SELinux选项配置

  • 附加组配置

  • Sysctl参数配置

主机扫描器

DaemonSet

kubescape主机扫描器

全部

此例外允许 主机扫描器 DaemonSet在 kubescapekubescape主机扫描器 命名空间中运行而不受安全态势控制阻截。主机扫描器需要提升权限以检查节点级配置和漏洞。排除后可确保Kubescape的深度主机级扫描按预期执行。

主机扫描器

DaemonSet

kubescape

全部

otel收集器

Deployment

kubescape

  • 配置存活探针

  • 配置就绪探针

  • 不可变容器文件系统

  • 入站和出站策略实施

  • Linux强化

此例外适用于 otel收集器 部署,以确保用于收集和导出遥测数据(跟踪、指标和日志)的关键可观测性组件OpenTelemetry(OTel)保持正常运行。这对维护系统行为可见性至关重要。

kubescape

Deployment

kubescape-prometheus

入口和出口策略强制执行

此排除项允许 kubescape 部署在 kubescape-prometheus 命名空间中运行时拥有不受限制的出站网络访问权限。由于该部署处理Prometheus集成,可能需要与外部通信以进行指标抓取或遥测。此排除确保监控功能不受网络限制影响而保持正常运行。

kubescape

部署

kubescape-prometheus

  • NET_RAW能力丢弃配置

  • 不可变容器文件系统

  • Linux强化

  • 非root容器

  • 权限提升控制

  • 权限提升

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

此排除项允许 kubescape 部署在 kubescape-prometheus 命名空间中以较低限制的安全上下文运行。由于该部署支持Prometheus集成,可能需要不完全符合严格强化标准的权限或配置。

kubescape-sa

服务账户

kubescape

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

此例外允许 kubescape-sa 服务账户在 kubescape 命名空间中以提升或宽泛的权限运行。该服务账户被需要访问集群资源以进行扫描和分析的Kubescape组件使用。

ks-sa

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌的自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

此例外允许多个由Kubescape组件使用的服务账户,例如 节点代理 , 存储 , 同步器kubevuln ,以更广泛的访问和配置灵活性运行。这些服务账户支持跨集群的扫描、数据收集、存储和协调任务。该例外确保这些功能不受严格身份或访问限制的阻碍,使Kubescape能够执行全面的安全评估。

存储

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌的自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

kubescape-sa

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

节点代理

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

kubevuln

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

storage-sa

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

同步器

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

节点代理服务账户

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 服务账户令牌自动挂载

  • 非root容器

  • 密钥访问权限(v1)

  • 环境变量中的密钥

konnectivity-agent-cpha

服务账户

kube-system

全部

该排除规则适用于 kube-system 命名空间中大量默认的Kubernetes控制器服务账户。这些服务账户被核心控制器和系统进程用于管理工作负载、资源和集群状态,例如部署控制器、节点管理器、DNS、垃圾回收和卷配置。

metrics-server

服务账户

kube-system

全部

endpointslicemirroring-controller

服务账户

kube-system

全部

replicaset-controller

服务账户

kube-system

全部

endpointslice-controller

服务账户

kube-system

全部

service-account-controller

服务账户

kube-system

全部

namespace-controller

服务账户

kube-system

全部

clusterrole-aggregation-controller

服务账户

kube-system

全部

generic-garbage-collector

服务账户

kube-system

全部

证书控制器

服务账号

kube-system

全部

守护进程集控制器

服务账号

kube-system

全部

云提供商

服务账号

kube-system

全部

临时卷控制器

服务账号

kube-system

全部

根CA证书发布器

服务账号

kube-system

全部

引导签名器

服务账号

kube-system

全部

扩展控制器

服务账号

kube-system

全部

干扰控制器

服务账号

kube-system

全部

任务完成后的TTL控制器

服务账户

kube-system

全部

任务控制器

服务账户

kube-system

全部

PV保护控制器

服务账户

kube-system

全部

持久卷绑定器

服务账户

kube-system

全部

PVC保护控制器

服务账户

kube-system

全部

有状态集控制器

服务账户

kube-system

全部

部署控制器

服务账户

kube-system

全部

节点控制器

服务账户

kube-system

全部

定时任务控制器

服务账户

kube-system

全部

资源配额控制器

服务账户

kube-system

全部

端点控制器

服务账户

kube-system

全部

Pod垃圾收集器

服务账户

kube-system

全部

TTL控制器

服务账户

kube-system

全部

令牌清理器

服务账户

kube-system

全部

kube-dns

服务账户

kube-system

全部

附加分离控制器

服务账户

kube-system

全部

kube-proxy

服务账户

kube-system

全部

连接性代理

服务账户

kube-system

全部

副本控制器

服务账户

kube-system

全部

默认

服务账户

kube-system

全部

服务控制器

服务账户

kube-system

全部

kube-dns自动扩缩器

服务账户

kube-system

全部

netd

服务账号

kube-system

全部

metadata-proxy

服务账号

kube-system

全部

antrea-controller

服务账号

kube-system

全部

cilium

服务账号

kube-system

全部

node-local-dns

服务账号

kube-system

全部

gke-metrics-agent

服务账号

kube-system

全部

egress-nat-controller

服务账号

kube-system

全部

antrea-agent

服务账号

kube-system

全部

事件导出器服务账户

服务账户

kube-system

全部

antrea-cpha

服务账户

kube-system

全部

fluentbit-gke

服务账户

kube-system

全部

pdcsi节点服务账户

服务账户

kube-system

全部

IP伪装代理

服务账户

kube-system

全部

filestorecsi节点服务账户

服务账户

kube-system

全部

gke元数据服务器

服务账户

kube-system

全部

coredns

服务账户

kube-system

全部

horizontal-pod-autoscaler

服务账户

kube-system

全部

storage-provisioner

服务账户

kube-system

全部

system:vpa-recommender

用户

kube-system

全部

此排除适用于 kube-system 命名空间中的内部Kubernetes用户,例如 system:vpa-recommendersystem:anet-operator 。这些用户与负责资源推荐和网络管理的自动化系统组件相关联。

system:anet-operator

用户

kube-system

全部

kube-node-lease

命名空间

不适用

全部

此项排除适用于 kube-node-lease Minikube环境中的命名空间。Kubernetes使用此命名空间追踪节点心跳并确保节点可用性。

kube-public

命名空间

不适用

全部

此项排除适用于 kube-public Minikube环境中的命名空间。该命名空间用于存储跨用户和组件共享的公开可读集群信息。

kube-proxy-.*

Pod

kube-system

全部

此项排除适用于 kube-system Minikube环境命名空间中的系统托管资源,包括DNS、调度器、控制器管理器、代理、存储供应器及GPU/TPU插件等核心组件。这些资源对Minikube本地集群功能至关重要且自动配置。

coredns

Deployment

kube-system

全部

sealed-secrets-controller

Deployment

kube-system

全部

tpu-device-plugin

DaemonSet

kube-system

全部

runsc-metric-server

DaemonSet

kube-system

全部

nvidia-gpu-.*

DaemonSet

kube-system

全部

kube-system

命名空间

不适用

全部

storage-provisioner

Pod

kube-system

全部

kube-scheduler-.*

Pod

kube-system

全部

kube-controller-manager-.*

Pod

kube-system

全部

kubescape

命名空间

不适用

全部

此项排除适用于 kubescape 该命名空间承载Kubescape自有组件及服务。

otel-collector

Deployment

kubescape

服务账户令牌自动挂载

此排除适用于 otel-collectorkubescape 命名空间中的部署。OpenTelemetry Collector负责收集并导出可观测性数据(如指标、日志和追踪)。

kube-apiserver-.*

Pod

kube-system

  • hostPath挂载的使用

  • 暴露凭据的hostPath挂载使用

  • 服务账户令牌自动挂载

  • 主机网络访问

  • 不可变容器文件系统

  • 入口与出口策略实施

  • Kubernetes通用标签使用

  • 非root容器

  • 资源CPU限制

  • 资源内存限制

  • 特权提升控制

此排除适用于 kube-apiserver 位于 kube-system 命名空间中的Pod。该配置考虑了API服务器管理和协调集群活动所需的特定配置及提升权限。这些设置可能不符合严格策略检查,但对API服务器的预期功能至关重要。

kubevuln-schedule-.*

CronJob

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • Kubernetes通用标签使用

  • 资源标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • CronJobs使用

  • 权限提升

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

此排除适用于 kubescape 命名空间中的多个CronJob,这些任务负责调度漏洞和注册表扫描。这些作业需要特定的配置、权限和运行时行为。

kubescape-registry-scan-.*

CronJob

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 不可变容器文件系统

  • 入站和出站策略强制执行

  • Kubernetes通用标签使用

  • 资源标签使用

  • Linux强化

  • 非root容器

  • 权限提升控制

  • CronJobs使用

  • 权限提升

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

kubevuln调度器

CronJob

kubescape

  • 配置存活探针

  • 配置就绪探针

  • NET_RAW能力丢弃配置

  • 网络策略标签

  • 不可变容器文件系统

  • 入站和出站策略强制执行

  • Kubernetes通用标签使用

  • 资源标签使用情况

  • Linux系统加固

  • 非root容器

  • 权限提升控制

  • CronJobs使用情况

  • 权限提升

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile配置

  • seccompProfile RuntimeDefault设置

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

kubescape调度器

定时任务

kubescape工具

  • 存活探针配置

  • 就绪探针配置

  • NET_RAW能力禁用配置

  • 网络策略标签

  • 不可变容器文件系统

  • 入口和出口策略执行

  • Kubernetes通用标签使用

  • 资源标签使用

  • Linux系统加固

  • 非root容器

  • 权限提升控制

  • 定时任务使用情况

  • 权限提升

  • fsGroup值

  • fsGroup变更策略值

  • procMount默认值

  • seccompProfile

  • seccompProfile RuntimeDefault

  • SELinux选项配置

  • 补充组配置

  • Sysctl参数配置

操作员

服务账户

kubescape

  • 容器服务账户访问控制(v1)

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

此排除范围涵盖 kube-system , gmp-systemgmp-public 命名空间中的各类服务账户与系统组件。这些账户和工作负载支撑着Kubernetes核心操作、路由、指标收集、告警及策略执行。

kubescape

服务账户

kubescape

  • 容器服务账户访问控制(v1)

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

kollector

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

storage-aggregated-apiserver-sa

服务账户

kubescape

  • 容器服务账户的访问控制(v1)

  • 密钥访问权限(v1)

  • 过度删除权限(v1)

storage

服务账户

kubescape

服务账户令牌自动挂载

node-agent

服务账户

kubescape

服务账户令牌自动挂载

kube-controller-manager

服务账户

kube-system

全部

kube-scheduler

服务账户

kube-system

全部

route-controller

服务账户

kube-system

全部

superadmin

服务账户

kube-system

全部

pkgextract-service

服务账户

kube-system

全部

默认

服务账户

gmp-system

全部

收集器

服务账户

gmp-system

全部

操作员

服务账户

gmp-system

全部

收集器

服务账户

gmp-public

全部

告警管理器

有状态集

gmp-system

全部

收集器

守护进程集

gmp-system

全部

规则评估器

部署

gmp系统

全部

gmp操作器

部署

gmp系统

全部

gke指标代理配置

配置映射

kube系统

全部

存储API服务器

部署

kubescape

  • 服务账户令牌自动挂载

  • 配置存活探针

  • 配置就绪探针

  • 网络策略标签

  • 不可变容器文件系统

  • 入口和出口策略强制执行

  • 资源标签使用

  • Linux强化

此排除适用于 存储API服务器 部署在 kubescape 命名空间中。该组件负责管理Kubescape使用的存储相关API,需要针对网络访问、安全上下文和权限的特定配置,这些配置可能无法完全符合严格的强化规则。

ca验证配置

验证性Webhook配置

不适用

全部

此项豁免适用于各类系统级Webhook配置、API服务及命名空间,例如 kube-system , gmp-systemgmp-public 。这些资源由平台(如GKE)统一管理,用于实施网络策略、资源限制、指标收集及准入控制逻辑。其结构和权限由底层系统定义,该豁免可避免对可信平台集成组件产生安全态势违规。

flowcontrol-guardrails.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

validation-webhook.snapshot.storage.gke.io

验证性Webhook配置

不适用

全部

gmp-operator.gmp-system.monitoring.googleapis.com

验证性Webhook配置

不适用

全部

warden-validating.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

nodelimit.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

gkepolicy.config.common-webhooks.networking.gke.io

验证性Webhook配置

不适用

全部

validation-webhook.snapshot.storage.k8s.io

验证性Webhook配置

不适用

全部

v1beta1.metrics.k8s.io

API服务

不适用

全部

pod-ready.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

ca-mutate-cfg

可变Webhook配置

不适用

全部

neg-annotation.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

mutate-scheduler-profile.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

sasecret-redacter.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

workload-defaulter.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

admissionwebhookcontroller.config.common-webhooks.networking.gke.io

可变Webhook配置

不适用

全部

gke-vpa-webhook-config

可变Webhook配置

不适用

全部

filestorecsi-mutation-webhook.storage.k8s.io

可变Webhook配置

不适用

全部

kube-system

命名空间

不适用

全部

gmp-public

命名空间

不适用

全部

gmp-system

命名空间

不适用

全部

system:clustermetrics

用户

N/A

全部

此排除项涵盖系统定义的用户和组,例如 system:kube-scheduler , system:kube-controller-manager 以及 system:masters 组。这些身份是Kubernetes控制平面操作和集群管理的核心组成部分。该排除确保态势检查不会标记或干扰稳定集群管理所需的预定义访问角色和权限。

system:controller:glbc

用户

N/A

全部

system:l7-lb-controller

用户

N/A

全部

system:managed-certificate-controller

用户

N/A

全部

system:gke-common-webhooks

用户

N/A

全部

system:kube-scheduler

用户

N/A

全部

system:gcp-controller-manager

用户

不适用

全部

system:resource-tracker

用户

不适用

全部

system:storageversionmigrator

用户

不适用

全部

system:kube-controller-manager

用户

不适用

全部

system:kubestore-collector

用户

不适用

全部

system:masters

不适用

全部

system:kube-scheduler

用户

不适用

全部

system:kube-controller-manager

用户

N/A

全部

system:masters

N/A

全部

本节内容 :