第一章 CIS 安全基准-kube-beach

• CIS安全基准介绍
• K8s安全基准工具 kube-bench

CIS安全基准

互联网安全中心（CIS，Center for Internet Security），是一个非盈利组织，致力为互联网提供
免费的安全防御解决方案。 官网：https://www.cisecurity.org/
Kubernetes CIS基准：https://www.cisecurity.org/benchmark/kubernetes/

CIS基准测试工具

下载pdf后，根据里面的基准来检查K8s集群配置，但内容量太大，一般会采用相关工具来完成这项工作。
Kube-bench是容器安全厂商Aquq推出的工具，以CIS K8s基准作为基础，来检查K8s是否安全部署。
主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。
项目地址：https://github.com/aquasecurity/kube-bench

CIS基准测试工具：kube-beach部署

1、下载二进制包
https://github.com/aquasecurity/kube-bench/releases
2、解压使用
tar zxvf kube-bench_0.6.3_linux_amd64.tar.gz
mkdir /etc/kube-bench # 创建默认配置文件路径
mv cfg /etc/kube-bench/cfg

CIS基准测试工具：kube-beach使用

使用kube-bench run进行测试，该指令有以下常用参数：
常用参数：
• -s, --targets 指定要基础测试的目标，这个目标需要匹配cfg/中的
文件名称，已有目标：master, controlplane, node, etcd, policies
• --version：指定k8s版本，如果未指定会自动检测
• --benchmark：手动指定CIS基准版本，不能与–version一起使用

CIS基准测试工具：kube-beach使用

例如：检查master组件安全配置
kube-bench run --targets=master
执行后会逐个检查安全配置并输出修复方案及汇总信息输出：

CIS基准测试工具：kube-beach使用