kube bench

Kube-Bench ist ein Tool, das überprüft, ob Kubernetes sicher bereitgestellt wird, indem die im CIS Kubernetes-Benchmark dokumentierten Schecks ausgeführt werden.

Tests werden mit YAML -Dateien konfiguriert, sodass dieses Tool einfach zu aktualisieren ist, wenn sich die Testspezifikationen entwickeln.

Trivy, der All in einem Cloud Native Security Scanner, kann als Kubernetes -Operator in einem Cluster bereitgestellt werden. Sowohl die Trivy CLI als auch der Trivy -Operator unterstützen die CIS Kubernetes -Benchmark -Scan -Scanning unter anderem.

Es gibt mehrere Möglichkeiten, Kube-Bench auszuführen. Sie können Kube-Bench in einem Pod ausführen, benötigt jedoch Zugriff auf den PID-Namespace des Hosts, um die laufenden Prozesse sowie den Zugriff auf einige Verzeichnisse auf dem Host zu überprüfen, in dem Konfigurationsdateien und andere Dateien gespeichert werden.

Die mitgelieferte job.yaml -Datei kann angewendet werden, um die Tests als Job auszuführen. Zum Beispiel:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Weitere Informationen und verschiedene Möglichkeiten zum Ausführen von Kube-Bench finden Sie unter Dokumentation

1. Kube-Bench implementiert den CIS Kubernetes-Benchmark so genau wie möglich. Bitte leisten Sie hier Probleme, wenn Kube-Bench den Test nicht korrekt implementiert, wie im Benchmark beschrieben. Um Probleme in der Benchmark selbst zu melden (beispielsweise Tests, von denen Sie glauben, dass sie unangemessen sind), nehmen Sie bitte der CIS -Community bei.

2. Es gibt keine Eins-zu-Eins-Kartierung zwischen Kubernetes-Freisetzungen und Release des CIS-Benchmarks. Siehe CIS Kubernetes -Benchmark -Unterstützung, um zu sehen, welche Freisetzungen von Kubernetes durch verschiedene Veröffentlichungen des Benchmarks abgedeckt sind.

Standardmäßig ermittelt Kube-Bench den Testsatz, der auf der Kubernetes-Version ausgeführt wird, die auf dem Computer ausgeführt wird.

• Weitere Informationen finden Sie in der folgenden Dokumentation zum Ausführen von Kube-Bench.

Bitte lesen Sie vor, bevor Sie dazu beitragen. Wir begrüßen PRs und geben Berichte aus.

In Zukunft planen wir, Updates an Kube-Bench zu veröffentlichen, um Unterstützung für neue Releases der CIS-Benchmark hinzuzufügen. Beachten Sie, dass diese nicht so häufig freigegeben werden, wie Kubernetes veröffentlicht.