Kubescape 在 Azure Pipelines 中扫描 AKS 集群的配置指南

问题背景

在使用 Kubescape 对 Azure Kubernetes Service (AKS) 集群进行安全扫描时，用户可能会遇到"failed to get AKS descriptive information"的错误提示。这种情况通常发生在通过 Azure DevOps Pipelines 运行 Kubescape CLI 时，表明工具无法获取必要的 AKS 描述信息。

根本原因分析

Kubescape 需要访问 Azure 云平台的 API 来获取 AKS 集群的详细配置信息。当运行环境缺少必要的认证凭据时，就会出现上述错误。这不同于简单的 kubectl 访问，因为 kubectl 只需要集群的 kubeconfig 文件，而 Kubescape 还需要 Azure 云平台的访问权限。

解决方案

环境变量配置

要让 Kubescape 能够成功获取 AKS 描述信息，需要配置以下环境变量：

1. AZURE_SUBSCRIPTION_ID：Azure 订阅 ID
2. AZURE_RESOURCE_GROUP：包含 AKS 集群的资源组名称

这两个是基本必需的变量。如果运行环境没有安装 Azure CLI 或无法使用交互式登录，则需要额外配置：

3. AZURE_TENANT_ID：Azure AD 租户 ID
4. AZURE_CLIENT_ID：服务主体(应用注册)的客户端 ID
5. AZURE_CLIENT_SECRET：服务主体的客户端密钥

权限要求

使用的服务主体或用户账号需要至少对 AKS 集群有读取权限。建议创建一个专门的 Azure AD 应用注册，并为其分配适当的角色。

实施步骤

1. 获取 Azure 订阅信息：

   • 通过 Azure 门户或 CLI 获取订阅 ID 和资源组名称

2. 设置环境变量：

   export AZURE_SUBSCRIPTION_ID="your-subscription-id"
   export AZURE_RESOURCE_GROUP="your-resource-group"
   

3. 非交互式环境配置： 对于 CI/CD 管道等非交互式环境，需要创建服务主体并配置完整的环境变量集：

   export AZURE_TENANT_ID="your-tenant-id"
   export AZURE_CLIENT_ID="your-client-id"
   export AZURE_CLIENT_SECRET="your-client-secret"
   

4. 运行 Kubescape：

   kubescape scan framework nsa --format pdf --output results.pdf
   

调试技巧

如果遇到问题，可以使用 debug 模式获取更详细的日志：

kubescape scan framework nsa -l debug

debug 日志会显示 Kubescape 尝试获取哪些云数据以及失败的具体原因，帮助快速定位配置问题。

最佳实践建议

1. 在 CI/CD 管道中使用服务主体而非个人账号
2. 为服务主体分配最小必要权限
3. 将敏感信息(如客户端密钥)存储在安全的变量库中
4. 定期轮换客户端密钥
5. 考虑使用 Azure 托管身份(Managed Identity)作为更安全的替代方案

通过正确配置这些环境变量，Kubescape 将能够完整获取 AKS 集群的描述信息，提供更准确的安全评估结果。