kube-bench初体验

kube-bench是一个通过运行CIS Kubernetes benchmark中记录的checker来检查Kubernetes是否安全部署的工具。

测试，找gap，audit，都可以啊

关于CIS k8s benchmark 参见 CIS Kubernetes Benchmarks (cisecurity.org)

就是说，想做k8s加固，想要找个标准来参考，那么可以参考它了。

有了标准之后要有个工具来检查不是，那就可以研究下kube-bench了 。github地址：GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark

今天小小体验了下，整体还不错。

先看下文件夹里有什么

kubectl apply -f job.yaml

job.batch/kube-bench created

kubectl get pods

NAME READY STATUS RESTARTS AGE

kube-bench-n6g97 0/1 Completed 0 6h31m

kubectl logs kube-bench-n6g97

以上就是结果了，

有总体summary 跟policies ，也有每个item的详情。就可以详细看具体哪些pass 哪些fail

notes

默认情况下，kube-bench尝试自动检测正在运行的Kubernetes版本，并将其映射到相应的CIS基准测试版本。例如，Kubernetes版本1.15被映射到CIS基准版本CIS -1.15，这是Kubernetes 1.15有效的基准版本。这个挺好滴