kube bench

Kube-Bench est un outil qui vérifie si Kubernetes est déployé en toute sécurité en exécutant les chèques documentés dans la référence CIS Kubernetes.

Les tests sont configurés avec des fichiers YAML, ce qui rend cet outil facile à mettre à jour à mesure que les spécifications de test évoluent.

Trivy, le scanner de sécurité natif tout dans un cloud, peut être déployé en tant qu'opérateur de Kubernetes à l'intérieur d'un cluster. La TRIVY CLI et l'opérateur TRIVY prennent en charge le balayage de référence CIS Kubernetes parmi plusieurs autres fonctionnalités.

Il existe plusieurs façons d'exécuter Kube-Bench. Vous pouvez exécuter Kube-Bench dans une pod, mais il aura besoin d'accéder à l'espace de noms PID de l'hôte afin de vérifier les processus en cours d'exécution, ainsi que l'accès à certains répertoires de l'hôte où les fichiers de configuration et d'autres fichiers sont stockés.

Le fichier job.yaml fourni peut être appliqué pour exécuter les tests en tant que travail. Par exemple:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Pour plus d'informations et différentes façons d'exécuter Kube-Bench, voir la documentation

1. Kube-Bench implémente le benchmark CIS Kubernetes aussi étroitement que possible. Veuillez soulever des problèmes ici si Kube-Bench ne met pas correctement en œuvre le test comme décrit dans la référence. Pour signaler les problèmes dans l'indice de référence lui-même (par exemple, des tests que vous croyez inappropriés), veuillez rejoindre la communauté CIS.

2. Il n'y a pas de cartographie individuelle entre les versions de Kubernetes et les versions de la référence CIS. Voir le support de référence CIS Kubernetes pour voir quelles versions de Kubernetes sont couvertes par différentes versions de la référence.

Par défaut, Kube-Bench déterminera l'ensemble de test à exécuter en fonction de la version Kubernetes en cours d'exécution sur la machine.

• Voir la documentation suivante sur l'exécution de Kube-Bench pour plus de détails.

Veuillez lire contribuer avant de contribuer. Nous accueillons les PR et publions des rapports.

À l'avenir, nous prévoyons de publier des mises à jour de Kube-Bench pour ajouter la prise en charge des nouvelles versions de la référence CIS. Notez que ceux-ci ne sont pas libérés aussi souvent que Kubernetes les versent.