kube-bench-CIS基准的自动化扫描工具学习

仓库地址:GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark

kube-bench,检查 Kubernetes 是否根据 CIS Kubernetes 基准中定义的安全最佳实践部署,下载kube-bench的源码_GitHub_帮酷

CIS官网:

CIS Center for Internet Security

1.下载基准文件

2.kube-bench为CIS基准的自动化扫描工具,需要配套使用

kube-bench-CIS基准的自动化扫描工具学习_第1张图片使用介绍

1.默认配置文件目录: /etc/kube-bench/cfg

2.使用:

kube-bench-CIS基准的自动化扫描工具学习_第2张图片

3.环境基准配置文件目录

  • 默认位置:/etc/kube-bench/cfg/ 
  • config.yaml为kube-bench自身的配置文件
  • 例如:ack-1.0,aks-1.0等为某个发行版的基准文件目录

  • GKE-谷歌的k8s发行版,ACK 阿里云的,EKS 亚马逊的

kube-bench-CIS基准的自动化扫描工具学习_第3张图片

  • 原生的k8s基准文件目录名称为:
    • cis-1.5
    • cis-1.6
    • 数字代表支持数字版本以及其之后的版本

4.基准配置文件

  • 切换到 4. 中的环境基准配置文件目录中后可以查看选中环境的具体对象基准yaml文件

  • 配置文件代码解释

kube-bench-CIS基准的自动化扫描工具学习_第4张图片

使用案例

执行Master节点扫描 

    1. Kube-bench run —targets=master  <对当前~/.kube.confg 集群中的master节点执行master.yaml基准扫描>
    2. 执行基准扫描,并且使用/etc/kube-bench/cfg/<你的集群版本>/master.yaml进行基准扫描

3.根据配置文件的扫描项目会对应CIS基准文档中进行显示。

kube-bench-CIS基准的自动化扫描工具学习_第5张图片

扫描结果解释

1.扫描结果汇总会在最后进行汇报。

kube-bench-CIS基准的自动化扫描工具学习_第6张图片

执行扫描后的对于失败项的修复

kube-bench-CIS基准的自动化扫描工具学习_第7张图片

是否执行修复进行k8s官网查看对于的配置的信息,决定是否进行修复

1.下面为k8s的api-server的配置参数解释

kube-apiserver | kube-apiserver 库伯内斯

你可能感兴趣的:(云原生,自动化,学习,运维)