我要评论导语
kube-bench 是一个基于go开发的应用程序,属于 kubernete 的安全检测的工具。它可以帮助研究人员对部署的 kubernete 进行安全检测。
kube-bench 是什么
- 从本质上来说,kube-bench 是一个基于go开发的应用程序,属于 kubernete 的安全检测的工具。它可以帮助研究人员对部署的 kubernete 进行安全检测。
- 可通过运行 cis kubernetes benchmark 中记录的检查来检测,检测 kubernetes 是否根据 cis kubernetes 基准中定义的安全最佳实践进行部署。
- 测试规则需要通过 yaml 文件进行配置,因此我们可以轻松更新该工具的测试规则。
安装 kube-bench
如果您直接从命令行运行 kube-bench,您可能需要成为 root / sudo 才能访问所有配置文件。
默认情况下,kube-bench 会尝试自动检测 kubernetes 的运行版本,并将其映射到相应的 cis benchmark 版本。例如,kubernetes 1.15 版本映射到 cis benchmark 版本 cis-1.15,这是对 kubernetes 1.15 有效的基准版本。
kube-bench 还尝试识别节点上运行的组件,并使用它来确定要运行哪些测试(例如,如果节点正在运行 api 服务器,则只运行主节点测试)。
注意
请注意 ,使用 kube-bench 无法检查托管集群的主节点,例如 gke、eks、aks 和 ack,因为人们无法访问这些节点,尽管仍然可以使用 kube-bench 检查 worker这些环境中的节点配置。
无法检查托管集群的主节点,例如 gke、eks、aks 和 ack,使用 kube-bench 作为一个无法访问这些节点,尽管仍然可以使用 kube-bench 检查这些环境中的工作节点配置。
运行 kube-bench
在容器内运行
您可以避免在主机上安装 kube-bench,方法是使用主机 pid 命名空间在容器内运行它,并挂载配置和其他文件位于主机上的 /etc 和 /var 目录,以便 kube-bench 可以检查它们的存在和权限。
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t docker.io/aquasec/kube-bench:latest --version 1.18注意:测试需要路径中的 kubelet 或 kubectl 二进制文件才能自动检测 kubernetes 版本。您可以通过 -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl 来解决这个问题。您还需要传入 kubeconfig 凭据。例如:
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl -v ~/.kube:/.kube -e kubeconfig=/.kube/config -t docker.io/aquasec/kube-bench:latest您可以使用自己的配置,方法是将它们安装在 /opt/kube-bench/cfg/ 中的默认配置之上
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t -v path/to/my-config.yaml:/opt/kube-bench/cfg/config.yaml -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl -v ~/.kube:/.kube -e kubeconfig=/.kube/config docker.io/aquasec/kube-bench:latest在 kubernetes 集群中运行
您可以在 pod 内运行 kube-bench,但它需要访问主机的 pid 命名空间以检查正在运行的进程,以及访问主机上存储配置文件和其他文件的某些目录。
提供的 job.yaml 文件可用于将测试作为作业运行。例如:
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 containercreating 0 3s
# wait for a few seconds for the job to complete
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 completed 0 11s
# the results are held in the pod's logs
kubectl logs kube-bench-j76s9
[info] 1 master node security configuration
[info] 1.1 api server
...要在主节点上运行测试,需要在该节点上安排 pod。这涉及在 pod 规范中设置 nodeselector 和容忍度。
自 kubernetes 1.11 以来,应用于主节点的默认标签发生了变化,因此如果您使用的是旧版本,则可能需要修改 nodeselector 和 tolerations 才能在主节点上运行作业。
启动 kube-bench
有多种运行 kube-bench 的方法。您可以在 pod 内运行 kube-bench,但它需要访问主机的 pid 命名空间以检查正在运行的进程,以及访问主机上存储配置文件和其他文件的某些目录。
提供的 job.yaml 文件可用于将测试作为作业运行。例如:
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 containercreating 0 3s
# wait for a few seconds for the job to complete
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 completed 0 11s
# the results are held in the pod's logs
kubectl logs kube-bench-j76s9
[info] 1 master node security configuration
[info] 1.1 api server
...获取 kube-bench 结果
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 containercreating 0 3s
# wait for a few seconds for the job to complete
$ kubectl get pods
name ready status restarts age
kube-bench-j76s9 0/1 completed 0 11skube-bench 结果
# the results are held in the pod's logs
kubectl logs kube-bench-j76s9
[info] 1 master node security configuration
[info] 1.1 api server
...检测结果内容示例
注意事项
- kube-bench 尽可能接近地实现 cis kubernetes benchmark 。如果 kube-bench 没有按照 benchmark 中的描述正确执行安全测试,请在这里提出问题。要报告基准本身的问题(例如,您认为不合适的测试),请加入 cis 社区。
- kubernetes 版本和 cis 基准测试版本之间没有一对一的映射。请参阅 cis kubernetes 基准支持,了解不同版本的基准涵盖了哪些 kubernetes 版本。
- kube-bench 无法检查受管集群的主节点,例如 gke、eks 和 aks,因为 kube-bench 不能访问这些节点。不过,kube-bench 在这些环境中仍然可以检查 worker 节点配置。
- 默认情况下,kube-bench 会根据机器上运行的 kubernetes 版本来确定要运行的测试集。
kube-bench 项目信息
github 项目地址:
https://github.com/aquasecurity/kube-bench
关于hummerrisk
hummerrisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和k8s容器云安全检测。
github 地址:https://github.com/hummerrisk/hummerrisk
gitee 地址:https://gitee.com/hummercloud/hummerrisk
发表评论