kube bench

Kube Bench es una herramienta que verifica si Kubernetes se implementa de forma segura ejecutando las verificaciones documentadas en el Benchmark de Kubernetes cis.

Las pruebas se configuran con archivos YAML, lo que hace que esta herramienta sea fácil de actualizar a medida que evolucionan las especificaciones de prueba.

Trivy, el escáner de seguridad nativo todo en una nube, se puede implementar como un operador de Kubernetes dentro de un clúster. Tanto, el trivado CLI como el operador trivado admiten el escaneo de referencia de cis Kubernetes entre varias otras características.

Hay múltiples formas de ejecutar Kube Bench. Puede ejecutar Kube-Bench dentro de una cápsula, pero necesitará acceso al espacio de nombres PID del host para verificar los procesos en ejecución, así como el acceso a algunos directorios en el host donde se almacenan archivos de configuración y otros archivos.

El archivo job.yaml suministrado se puede aplicar para ejecutar las pruebas como un trabajo. Por ejemplo:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Para obtener más información y diferentes formas de ejecutar Kube Bench, consulte la documentación

1. Kube Bench implementa el punto de referencia de CIS Kubernetes lo más cerca posible. Plantee problemas aquí si Kube Bench no está implementando correctamente la prueba como se describe en el punto de referencia. Para informar los problemas en el punto de referencia en sí (por ejemplo, las pruebas que cree que son inapropiadas), únase a la comunidad de CIS.

2. No hay un mapeo uno a uno entre las versiones de Kubernetes y las versiones del punto de referencia de CIS. Ver soporte de referencia cis Kubernetes para ver qué lanzamientos de Kubernetes están cubiertas por diferentes versiones del punto de referencia.

Por defecto, Kube-Bench determinará el conjunto de pruebas en ejecución en función de la versión de Kubernetes que se ejecuta en la máquina.

• Consulte la siguiente documentación sobre la ejecución de Kube Bench para más detalles.

Lea amablemente contribuyendo antes de contribuir. Damos la bienvenida a PRS y emitimos informes.

En el futuro, planeamos publicar actualizaciones a Kube-Bench para agregar soporte para nuevos lanzamientos del punto de referencia de CIS. Tenga en cuenta que estos no se liberan con tanta frecuencia como los lanzamientos de Kubernetes.