Mondoo
Kubernetes Security Posture Management (KSPM)

Beheben Sie Kubernetes-Fehlkonfigurationen, statt sie nur zu finden

Mondoo findet die Fehlkonfigurationen, riskante RBAC und Drift, die Ihre Cluster exponieren, priorisiert, was Sie wirklich gefährdet, und liefert den Fix über Ihren GitOps-Workflow.

Eine Illustration eines abgesicherten Kubernetes-Clusters: eine Control Plane, verbunden mit Worker Nodes, auf denen Pods laufen, gehärtet und von Mondoo geschlossen gehalten.Control PlaneWorker Nodes

Mondoo sichert jede Ebene Ihres Clusters: Control Plane, RBAC, Workloads und Netzwerk.

Cluster driften zwischen Scans

Jedes Rollout, jeder neue Namespace und jedes Upgrade kann RBAC lockern, eine Network Policy erweitern oder einen Node vom CIS Kubernetes Benchmark abdriften lassen.

Tools, die nur Manifeste in der CI scannen, übersehen das, weil die Drift im laufenden Cluster entsteht, zwischen den Scans.

Eine Linie der Sicherheitslage über die Zeit gegen eine sichere Basislinie. Bei jedem von drei Deploys driftet die Sicherheitslage unter die Basislinie, und bei jeder Abweichung schließt Mondoo die Lücke und bringt die Sicherheitslage zurück auf die Basislinie.Sichere BasislinieDeploy 1Deploy 2Deploy 3Mondoo behebt esMondoo behebt esMondoo behebt es
Jedes Rollout erzeugt Drift. Mondoo behebt sie vor dem nächsten.

Wie Mondoo den Kreis schließt

Mondoo hört nicht bei der Erkennung auf. KI-Agenten führen den vollständigen Behebungs-Loop gegen Ihre Cluster aus, und Sie genehmigen jede Änderung.

01

Detect

Agentenlose Prüfung über jeden Cluster, Node, Workload und jede Control Plane findet Fehlkonfigurationen, riskante RBAC, schwache Network Policy und Drift vom CIS Kubernetes Benchmark in Echtzeit.

02

Prioritize

Jeder Fund wird nach echter Ausnutzbarkeit und Blast Radius im Cluster bewertet, nicht nach roher Schwere, sodass die Fehlkonfigurationen, die ein Angreifer verketten könnte, nach oben kommen. Priorisierung jenseits von CVSS.

03

Ship

Mondoo liefert die Behebung als korrigierte Manifeste, Policy und Admission-Regeln in einem Pull Request über Ihre GitOps- und Terraform-Workflows. Wenn ein Fix warten muss, schlägt Mondoo eine Gegenmaßnahme vor, etwa das Verschärfen einer Network Policy oder RBAC-Bindung, sodass das Risiko in der Zwischenzeit sinkt.

04

Verify

Jeder Fix wird erneut gegen den laufenden Cluster geprüft, als geschlossen nachgewiesen und als Nachweis zurückgeschrieben, und Mondoo hält ihn über das nächste Rollout hinweg geschlossen, damit keine Drift zurückkehrt.

Sie prüfen und genehmigen jeden Fix; die Agenten übernehmen die schwere Arbeit. Das ist der Unterschied zwischen einem Scanner und einem Service: Wir liefern die Behebung, nicht den Fund.

Vier Ebenen, eine Sicherheitslage

Cluster-Risiko ist nicht eine einzelne Einstellung. Es stapelt sich über vier Ebenen, und Mondoo prüft und behebt über alle hinweg.

Control Plane und Nodes

API-Server, etcd, kubelet und Node-Härtung, gemessen am CIS Kubernetes Benchmark, mit geliefertem Fix, nicht nur der gemeldeten fehlgeschlagenen Prüfung.

RBAC und Identität

Zu weit gefasste Rollen, Wildcard-Bindings und veraltete Service Accounts auf Least Privilege reduziert, bevor sie zum Angriffspfad werden.

Workloads und Pod Security

Privilegierte Pods, fehlende Security Contexts, offengelegte Secrets und schwache Pod Security Standards im Manifest behoben.

Netzwerk und Admission Control

Offene Network Policies und fehlende Admission-Regeln verschärft, sodass nur das läuft und kommuniziert, was Sie beabsichtigen.

Abgebildet auf den CIS Kubernetes Benchmark sowie SOC 2, ISO 27001, PCI DSS und NIS2, und mit Policy as Code gehalten, sodass die Sicherheitslage stabil bleibt, statt zurückzudriften.

Ein Loop über jede Distribution
EKSAKSGKEOpenShiftSelf-managed / Bare Metal

Wo KSPM hineinpasst

Ein klassisches KSPM erkennt Cluster-Fehlkonfigurationen und berichtet über Compliance. Nützlich, aber reine Erkennung. Mondoo deckt KSPM ab und schließt den Kreis, indem es den Fix liefert und verifiziert, und verbindet sich mit den Ebenen daneben:

KSPMSie sind hier
die Cloud rund um den ClusterCSPM
die Images im ClusterContainer- und Image-Sicherheit
CVEs über alles hinwegManaged Vulnerability Service

Kaufen Sie KSPM allein, bekommen Sie ein weiteres Dashboard. Betreiben Sie es in Mondoo, wird die Sicherheitslage Ihres Clusters Teil eines geschlossenen Behebungs-Loops.

Häufige Fragen zu KSPM

Bereit, Ihre Cluster-Risiken zu schließen?

Fordern Sie ein Assessment Ihrer Kubernetes-Sicherheitslage an und sehen Sie, was Mondoo zuerst schließen würde.