kube bench

Kube-Benchは、Cis Kubernetesベンチマークで文書化されたチェックを実行することにより、Kubernetesが安全に展開されるかどうかをチェックするツールです。

テストはYAMLファイルで構成されているため、このツールはテスト仕様が進化するにつれて簡単に更新できます。

Trivyは、All in One Cloud Native Security Scannerで、クラスター内のKubernetesオペレーターとして展開できます。 Trivy CLI、Trivy Operatorは、他のいくつかの機能の中でCis Kubernetesベンチマークスキャンをサポートしています。

Kube-Benchを実行する方法は複数あります。キューブベンチをポッド内で実行できますが、実行中のプロセスを確認するためにホストのPIDネームスペースにアクセスするだけでなく、構成ファイルやその他のファイルが保存されているホストのディレクトリにアクセスする必要があります。

供給されたjob.yamlファイルを適用して、テストをジョブとして実行できます。例えば：

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

詳細とさまざまな方法については、kube-benchを実行する方法については、ドキュメントを参照してください

1. Kube-Benchは、Cis Kubernetesベンチマークを可能な限り密接に実装しています。 Kube-Benchがベンチマークで説明されているようにテストを正しく実装していない場合は、ここで問題を提起してください。ベンチマーク自体の問題を報告するには（たとえば、不適切だと思われるテストなど）、CISコミュニティに参加してください。

2. KubernetesのリリースとCISベンチマークのリリースとの間に1対1のマッピングはありません。 Cis Kubernetesベンチマークサポートを参照して、Benchmarkのさまざまなリリースでkubernetesのどのリリースがカバーされているかを確認してください。

デフォルトでは、Kube-Benchは、マシンで実行されているKubernetesバージョンに基づいて実行されるテストセットを決定します。

• 詳細については、Kube-Benchの実行に関する次のドキュメントを参照してください。

貢献する前に貢献を読んでください。 PRSを歓迎し、レポートを発行します。

今後は、CISベンチマークの新しいリリースのサポートを追加するために、Kube-Benchへの更新をリリースする予定です。これらは、Kubernetesリリースほど頻繁に放出されないことに注意してください。