Wöchentliche Ausführung
Läuft jeden Montag oder vor jedem geplanten Security-Review.
Routine-Ops-Aufgaben
Jedes Binding mit cluster-admin auf dem Radar
Hyground erfasst RoleBindings und ClusterRoleBindings über alle Cluster hinweg und markiert alles mit Wildcard-Verben oder cluster-admin. Mit Change-Autor und letztem Änderungsdatum. Read-only kubectl. Im eigenen Cluster.
Das Artefakt
Ein Drift-Report mit Subject, Verb und letzter Änderung
RBAC-Drift ist das Sicherheitsrisiko, das niemandem auffällt, bis das Audit kommt. Hyground macht daraus einen deterministischen Workflow: läuft wöchentlich, vergleicht den Live-Zustand mit dem hinterlegten Policy-as-Code und meldet jede Abweichung mit voller Zuordnung.
Gefährliche Bindings zuerst
ClusterRoleBindings mit cluster-admin oder Wildcard-Verben erscheinen zuerst, mit vollständiger Subjektzuordnung.
Änderungsverlauf
Der letzte Commit oder kubectl apply, der jedes Binding berührt hat, samt Autor.
Was der Agent liest
Der Live-Zustand des Clusters plus Ihr Policy-as-Code
Keine neue Policy-Engine, die erst ausgerollt werden muss. Hyground nimmt den Live-RBAC-Zustand und, wenn vorhanden, das Policy-as-Code-Repo. Der Drift ergibt sich aus dem Vergleich.
Kubernetes-RBAC
Jedes RoleBinding und ClusterRoleBinding über alle Cluster hinweg, mit Subjects, Verbs und Resource-Scope.
Policy-as-Code-Repository
Deklarierte RBAC-Manifeste in Git, der Soll-Zustand für die Drift-Erkennung.
Identity-Provider
Die Gruppenzugehörigkeit von ServiceAccounts und echten Usern. Damit lassen sich Bindings bis zu den Identitäten im IdP zurückverfolgen, auch außerhalb des Clusters.
Was Sie zurückbekommen
Der Report, den Ihr CISO wirklich liest
Nach Risiko sortiert, jedem Finding sein Subject und seine letzte Änderung zugeordnet, mit empfohlener Maßnahme.
01
Gefährliche Bindings
Jedes ClusterRoleBinding mit cluster-admin oder Wildcard-Verbs, sortiert nach Blast Radius.
02
Subjektzuordnung
Der User, die Gruppe oder der ServiceAccount pro Binding, mit dem Zeitstempel der letzten Aktivität.
03
Änderungsverlauf
Commit, Autor und Zeitstempel der letzten Änderung an jedem markierten Binding.
04
Empfohlene Korrektur
Binding auf die engere Rolle reduzieren. Oder die Policy-as-Code-Änderung, die den Drift schließt.
Souveräner KI-SRE-Agent in Ihrer Umgebung
Hyground ist kein SaaS. Hyground arbeitet als Bring-your-own-Chart und Bring-your-own-Model, ohne Daten an uns zurückzusenden. So erfüllt Hyground die höchsten Sicherheits- und Compliance-Standards im Bereich KI-SRE. Es beschleunigt die Incident-Behebung per automatischer RCA und Ihre tägliche Arbeit gleichermaßen.
Verwandte Use Cases
Weitere Routine-Ops-Aufgaben
Cluster-Zustand & Morning Briefing
Hyground macht einen vollständigen Cluster-Health-Check: Node-Status, Ressourcenauslastung, Restart-Rate, Zertifikatsablauf, offene Alerts. Das strukturierte Briefing landet im Team-Channel, bevor jemand den Laptop aufklappt.
Den Blast-Radius eines neuen CVE bestimmen
Wenn ein CVE auftaucht, erhalten Sie jeden betroffenen Workload, das zuständige Team und den Upgrade-Pfad, bevor das Security-Team danach fragt.
Routineaufgaben als Code
Erfasse die Ops-Aufgaben, die erfahrenen Engineers jede Woche wiederholen und lass Hyground diese deterministisch ausführen. Mit lückenlosem Audit-Trail.
Ein RBAC-Audit gegen einen Ihrer Cluster laufen lassen
Eine read-only kubeconfig verbinden, Hyground macht den Rest. RBAC-Audit auf einem Cluster, fertig zum Mitnehmen ins Review.