kube bench
v0.9.4
Kube-Bench是一种工具,可以检查Kubernetes是否通过运行CIS Kubernetes基准中记录的支票安全地部署。
测试配置使用YAML文件,使此工具易于随着测试规格的发展而更新。
Trivy是一个云的本机安全扫描仪,可以将其作为kubernetes操作员部署在集群中。 Trivy CLI和Trivy操作员都支持CIS Kubernetes基准扫描,以及其他几个功能。
有多种运行kube基础的方法。您可以在吊舱内运行kube-bench,但是它将需要访问主机的PID名称空间,以检查运行过程,并访问存储配置文件和其他文件的主机上的某些目录。
提供的job.yaml文件可以应用于作业。例如:
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 ContainerCreating 0 3s
# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 Completed 0 11s
# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...有关更多信息和运行kube ben的不同方法,请参阅文档
Kube Bench尽可能接近地实现CIS Kubernetes基准测试。如果Kube Bench无法正确实施基准中所述的测试,请在此处提出问题。要报告基准本身中的问题(例如,您认为不合适的测试),请加入CIS社区。
Kubernetes版本和顺式基准版本之间没有一对一的映射。请参阅顺式Kubernetes基准支持,以查看哪些kubernetes释放被基准的不同版本涵盖。
默认情况下,Kube-Bench将根据计算机上运行的Kubernetes版本确定要运行的测试集。
在贡献之前请阅读贡献。我们欢迎PR和发行报告。
展望未来,我们计划将更新到Kube Bench,以增加对CIS基准的新版本的支持。请注意,这些不会像kubernetes发布那样频繁。
