kube-bench-CIS基准的自动化扫描工具学习

仓库地址：GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark

kube-bench,检查 Kubernetes 是否根据 CIS Kubernetes 基准中定义的安全最佳实践部署,下载kube-bench的源码_GitHub_帮酷

CIS官网：

CIS Center for Internet Security

1.下载基准文件

2.kube-bench为CIS基准的自动化扫描工具,需要配套使用

使用介绍

1.默认配置文件目录： /etc/kube-bench/cfg

2.使用：

3.环境基准配置文件目录

• 默认位置：/etc/kube-bench/cfg/ 
• config.yaml为kube-bench自身的配置文件
• 例如：ack-1.0,aks-1.0等为某个发行版的基准文件目录

• GKE-谷歌的k8s发行版，ACK 阿里云的，EKS 亚马逊的

• 原生的k8s基准文件目录名称为：
  • cis-1.5
  • cis-1.6
  • 数字代表支持数字版本以及其之后的版本

4.基准配置文件

• 切换到 4. 中的环境基准配置文件目录中后可以查看选中环境的具体对象基准yaml文件

• 配置文件代码解释

使用案例

执行Master节点扫描 

1. 1. Kube-bench run —targets=master  <对当前~/.kube.confg 集群中的master节点执行master.yaml基准扫描>
   2. 执行基准扫描，并且使用/etc/kube-bench/cfg/<你的集群版本>/master.yaml进行基准扫描

3.根据配置文件的扫描项目会对应CIS基准文档中进行显示。

扫描结果解释

1.扫描结果汇总会在最后进行汇报。

执行扫描后的对于失败项的修复

是否执行修复进行k8s官网查看对于的配置的信息，决定是否进行修复

1.下面为k8s的api-server的配置参数解释

kube-apiserver | kube-apiserver 库伯内斯