kube bench
v0.9.4
Kube-Bench는 CIS Kubernetes 벤치 마크에 문서화 된 수표를 실행하여 Kubernetes가 안전하게 배포되는지 여부를 확인하는 도구입니다.
테스트는 YAML 파일로 구성되어 테스트 사양이 발전함에 따라이 도구를 쉽게 업데이트 할 수 있습니다.
하나의 클라우드 네이티브 보안 스캐너 인 Trivy는 클러스터 내부에 Kubernetes 연산자로 배포 할 수 있습니다. The Trivy CLI 및 Trivy Operator는 CIS Kubernetes 벤치 마크 스캔을 지원합니다.
Kube-Bench를 실행하는 방법에는 여러 가지가 있습니다. 포드 내부에서 Kube-Bench를 실행할 수 있지만, 실행중인 프로세스를 확인하려면 호스트의 PID 네임 스페이스에 액세스하고 구성 파일 및 기타 파일이 저장된 호스트의 일부 디렉토리에 액세스 할 수 있습니다.
제공된 job.yaml 파일은 작업으로 테스트를 실행하기 위해 적용 할 수 있습니다. 예를 들어:
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 ContainerCreating 0 3s
# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 Completed 0 11s
# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...자세한 정보와 다양한 방법 Kube-Bench는 문서를 참조하십시오.
Kube-Bench는 CIS Kubernetes 벤치 마크를 가능한 한 가깝게 구현합니다. Kube-Bench가 벤치 마크에 설명 된대로 테스트를 올바르게 구현하지 않은 경우 여기에서 문제를 제기하십시오. 벤치 마크 자체의 문제를보고하려면 (예 : 부적절하다고 생각되는 테스트) CIS 커뮤니티에 가입하십시오.
Kubernetes 릴리스와 CIS 벤치 마크 릴리스간에 일대일 매핑은 없습니다. CIS KUBERNETES 벤치 마크 지원을 참조하여 어떤 Kubernetes 릴리스가 벤치 마크의 다른 릴리스로 덮여 있는지 확인하십시오.
기본적으로 Kube-Bench는 기기에서 실행되는 Kubernetes 버전을 기반으로 실행되는 테스트 세트를 결정합니다.
기여하기 전에 기여를 친절하게 읽으십시오. 우리는 PRS와 이슈 보고서를 환영합니다.
앞으로 우리는 CIS 벤치 마크의 새로운 릴리스에 대한 지원을 추가하기 위해 Kube-Bench에 업데이트를 출시 할 계획입니다. Kubernetes가 출시되는 것처럼 자주 출시되지 않습니다.
