kube bench

Kube-Bench-это инструмент, который проверяет, надежно развернут Kubernetes, запустив чеки, документированные в тесте CIS Kubernetes.

Тесты настроены с файлами YAML, что делает этот инструмент простым в обновлении по мере развития спецификаций теста.

Trivy, All in One Cloud Native Scanner Security, может быть развернут в качестве оператора Kubernetes внутри кластера. И Trivy CLI, и оператор Trivy поддерживают контрольное сканирование CIS Kubernetes среди нескольких других функций.

Есть несколько способов запуска Kube-Bench. Вы можете запустить Kube-Bench внутри стручки, но ему потребуется доступ к пространству имен PID хоста, чтобы проверить процессы работы, а также доступ к некоторым каталогам на хосте, где хранятся файлы конфигурации и другие файлы.

Поставляемый файл job.yaml может быть применен для запуска тестов в качестве задания. Например:

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

Для получения дополнительной информации и различных способов запуска Kube-Bench см. Документация

1. Kube-Bench реализует CIS Kubernetes Clardmark как можно более близко. Пожалуйста, поднимите здесь проблемы, если Kube-Bench не правильно реализует тест, как описано в эталонном этапе. Чтобы сообщить о проблемах в самом этаже (например, тесты, которые, по вашему мнению, являются неуместными), пожалуйста, присоединяйтесь к сообществу СНГ.

2. Между выпусками Kubernetes и выпусками CIS-эталона не существует отображения индивидуального одного. См. Cis Kubernetes.

По умолчанию Kube-Bench определит набор тестов для запуска на основе версии Kubernetes, работающей на машине.

• Смотрите следующую документацию по запуску Kube-Bench для получения более подробной информации.

Пожалуйста, прочитайте вклад, прежде чем внести свой вклад. Мы приветствуем PRS и выпускаем отчеты.

В дальнейшем мы планируем выпустить обновления в Kube-Bench, чтобы добавить поддержку новых выпусков теста CIS. Обратите внимание, что они не выделяются так часто, как выпуска Kubernetes.