kube-bench是一个通过运行CIS Kubernetes benchmark中记录的checker来检查Kubernetes是否安全部署的工具。
测试,找gap,audit,都可以啊
关于CIS k8s benchmark 参见 CIS Kubernetes Benchmarks (cisecurity.org)
就是说,想做k8s加固,想要找个标准来参考,那么可以参考它了。
有了标准之后要有个工具来检查不是,那就可以研究下kube-bench了 。github地址:GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark
今天小小体验了下,整体还不错。
先看下文件夹里有什么
kubectl apply -f job.yaml
job.batch/kube-bench created
kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-n6g97 0/1 Completed 0 6h31m
kubectl logs kube-bench-n6g97
以上就是结果了,
有总体summary 跟policies ,也有每个item的详情。就可以详细看具体哪些pass 哪些fail
notes
默认情况下,kube-bench尝试自动检测正在运行的Kubernetes版本,并将其映射到相应的CIS基准测试版本。例如,Kubernetes版本1.15被映射到CIS基准版本CIS -1.15,这是Kubernetes 1.15有效的基准版本。这个挺好滴