kube bench

Kube-Bench adalah alat yang memeriksa apakah Kubernetes digunakan dengan aman dengan menjalankan cek yang didokumentasikan dalam benchmark Cis Kubernetes.

Tes dikonfigurasi dengan file YAML, membuat alat ini mudah diperbarui saat spesifikasi tes berkembang.

Trivy, pemindai keamanan asli All in One Cloud, dapat digunakan sebagai operator Kubernetes di dalam sebuah cluster. Keduanya, CLI Trivy, dan operator trivy mendukung pemindaian patokan Cis Kubernetes di antara beberapa fitur lainnya.

Ada beberapa cara untuk menjalankan Kube-Bench. Anda dapat menjalankan Kube-Bench di dalam pod, tetapi akan membutuhkan akses ke namespace PID host untuk memeriksa proses yang sedang berjalan, serta akses ke beberapa direktori pada host tempat file konfigurasi dan file lainnya disimpan.

File job.yaml yang disediakan dapat diterapkan untuk menjalankan tes sebagai pekerjaan. Misalnya:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Untuk informasi lebih lanjut dan berbagai cara untuk menjalankan Kube-Bench lihat dokumentasi

1. Kube-Bench mengimplementasikan tolok ukur Cis Kubernetes sedekat mungkin. Harap angkat masalah di sini jika Kube-Bench tidak mengimplementasikan tes dengan benar seperti yang dijelaskan dalam tolok ukur. Untuk melaporkan masalah dalam tolok ukur itu sendiri (misalnya, tes yang Anda yakini tidak pantas), silakan bergabung dengan komunitas CIS.

2. Tidak ada pemetaan satu-ke-satu antara rilis Kubernetes dan rilis benchmark CIS. Lihat Dukungan Benchmark Cis Kubernetes untuk melihat rilis Kubernet mana yang ditutupi oleh rilis yang berbeda dari tolok ukur.

Secara default, Kube-Bench akan menentukan set tes yang akan dijalankan berdasarkan versi Kubernet yang berjalan di mesin.

• Lihat dokumentasi berikut tentang menjalankan Kube-Bench untuk lebih jelasnya.

Mohon baca berkontribusi sebelum berkontribusi. Kami menyambut PRS dan mengeluarkan laporan.

Ke depan, kami berencana untuk merilis pembaruan ke Kube-Bench untuk menambah dukungan untuk rilis baru Benchmark CIS. Perhatikan bahwa ini tidak dirilis sesering rilis Kubernetes.