Center for Internet Security 提供了许多准则和基准测试,用于保护代码的最佳实践。正如 Michael Cherny 最近所描述的,CIS 最近发布了 Kubernetes 的基准测试,现在我们很高兴地向您介绍这些测试的新开源实现:kube-bench。
它是作为 Go 应用程序编写的(当然,也作为容器分发),但每个单独的测试都在 YAML 文件中定义,随着基准测试随着 Kubernetes 本身的发展,这将更容易扩展和更新测试套件。它还支持 JSON 格式输出,以便更轻松地与自动化工具集成。
与其他 CIS 基准测试一样,您可以在每个节点上运行它,以确定您的部署在 CIS 社区中满足最佳实践建议的程度。您不仅可以获得有关每个测试是通过还是失败的信息,还可以获得有关如何修复检测到的任何问题的建议。例如,这可能包括更改或删除其中一个 Kubernetes 可执行文件上的不安全配置设置的建议,或者使配置文件的权限更具限制性的建议。
kube-bench 的测试输出示例
按照基准测试文档中定义的测试,主节点和工作线程节点以及联合部署中的节点有不同的测试套件。
kube-bench 工具允许你立即查看你的设置是否符合关键领域的最佳实践,如基准测试文档所示,包括:
- 正确的用户身份验证和授权
- 保护传输中的数据
- 保护静态数据
- 使用最低权限
下载:
https://github.com/aquasecurity/kube-bench
由于这是一个开源项目,我们欢迎您的反馈和改进想法。我们还致力于与 CIS 社区合作,以帮助随着 Kubernetes 的发展使测试本身更加健壮和完整。
原文始发于微信公众号(菜鸟小新):kube-bench:用于运行 Kubernetes CIS 基准测试的开源工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论