kube bench

O Kube-Bench é uma ferramenta que verifica se o Kubernetes é implantado com segurança executando os cheques documentados no benchmark CIS Kubernetes.

Os testes são configurados com arquivos YAML, facilitando a atualização dessa ferramenta à medida que as especificações do teste evoluem.

Trivy, o scanner de segurança nativo de uma nuvem, pode ser implantado como um operador de Kubernetes dentro de um cluster. Ambos, a CLI trivial e o operador trivial suportam a digitalização de referência do CIS Kubernetes entre vários outros recursos.

Existem várias maneiras de executar o banco de kube. Você pode executar o bancada de kube dentro de um pod, mas ele precisará de acesso ao espaço para nome PID do host para verificar os processos em execução, bem como o acesso a alguns diretórios no host em que os arquivos de configuração e outros arquivos são armazenados.

O arquivo job.yaml fornecido. YAML pode ser aplicado para executar os testes como um trabalho. Por exemplo:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Para obter mais informações e maneiras diferentes de executar o Kube-Bench, consulte a documentação

1. O Kube-Bench implementa o benchmark cis Kubernetes o mais próximo possível. Por favor, levante os problemas aqui se o Kube-banco não estiver implementando corretamente o teste, conforme descrito no benchmark. Para relatar questões na própria referência (por exemplo, testes que você acredita que são inadequados), junte -se à comunidade CIS.

2. Não há um mapeamento individual entre as liberações de Kubernetes e os lançamentos do benchmark cis. Veja o suporte de referência do CIS Kubernetes para ver quais lançamentos do Kubernetes são cobertos por diferentes lançamentos da referência.

Por padrão, o Kube-banco determinará o conjunto de testes para executar com base na versão Kubernetes em execução na máquina.

• Consulte a documentação a seguir sobre como o KUBE-BEMCH para obter mais detalhes.

Lida lida contribuindo antes de contribuir. Congratulamo -nos com os relatórios de PRs e emitir.

No futuro, planejamos lançar atualizações no Kube-Bench para adicionar suporte para novos lançamentos do benchmark CIS. Observe que estes não são liberados com tanta frequência quanto o Kubernetes libera.