aquasecurity/kube-bench
GitHub: aquasecurity/kube-bench
基于 CIS Kubernetes Benchmark 标准验证 Kubernetes 集群安全配置合规性的自动化审计工具
Stars: 7957 | Forks: 1314
[][release]
[][release]
[][docker]
[][report-card]
[](https://github.com/aquasecurity/kube-bench/actions)
[](https://github.com/aquasecurity/kube-bench/blob/main/LICENSE)
[][cov]
kube-bench 是一个通过运行 [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/) 中记录的检查来验证 Kubernetes 是否安全部署的工具。
测试通过 YAML 文件进行配置,这使得该工具随着测试规范的演进易于更新。
## 作为 Trivy 和 Trivy Operator 一部分的 CIS 扫描
[Trivy](https://github.com/aquasecurity/trivy),这一一体化的云原生安全扫描器,可以作为 [Kubernetes Operator](https://github.com/aquasecurity/trivy-operator) 部署在集群中。
[Trivy CLI](https://github.com/aquasecurity/trivy) 和 [Trivy Operator](https://github.com/aquasecurity/trivy-operator) 均支持 CIS Kubernetes 基准扫描以及其他多项功能。
## 快速开始
运行 kube-bench 有多种方式。
你可以在 Pod 内部运行 kube-bench,但它需要访问主机的 PID 命名空间以检查正在运行的进程,以及访问主机上存储配置文件和其他文件的一些目录。
提供的 `job.yaml` [file](job.yaml) 可以被应用以作为 Job 运行测试。例如:
```
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 ContainerCreating 0 3s
# 等待几秒钟以完成作业
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 Completed 0 11s
# 结果保存在 Pod 的日志中
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...
```
有关更多信息和运行 kube-bench 的不同方式,请参阅 [documentation](docs/running.md)
### 请注意
1. kube-bench 尽可能严格地实现了 [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/)。如果 kube-bench 未正确实现基准中描述的测试,请在此处提出问题。若要报告基准本身的问题(例如,您认为不合适的测试),请加入 [CIS community](https://cisecurity.org)。
2. Kubernetes 的版本与 CIS 基准的版本之间没有一对一的映射关系。请参阅 [CIS Kubernetes Benchmark support](docs/platforms.md#cis-kubernetes-benchmark-support) 以查看不同版本的基准涵盖了哪些 Kubernetes 版本。
默认情况下,kube-bench 将根据机器上运行的 Kubernetes 版本确定要运行的测试集。
- 请参阅以下关于 [Running kube-bench](docs/running.md#running-kube-bench) 的文档以获取更多详细信息。
## 贡献
在贡献之前,请阅读 [Contributing](CONTRIBUTING.md)。
我们欢迎 Pull Request 和问题报告。
## 路线图
未来,我们计划发布 kube-bench 的更新,以增加对 CIS 基准新版本的支持。请注意,这些版本的发布频率不如 Kubernetes 版本高。
kube-bench 是一个通过运行 [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/) 中记录的检查来验证 Kubernetes 是否安全部署的工具。
测试通过 YAML 文件进行配置,这使得该工具随着测试规范的演进易于更新。
## 作为 Trivy 和 Trivy Operator 一部分的 CIS 扫描
[Trivy](https://github.com/aquasecurity/trivy),这一一体化的云原生安全扫描器,可以作为 [Kubernetes Operator](https://github.com/aquasecurity/trivy-operator) 部署在集群中。
[Trivy CLI](https://github.com/aquasecurity/trivy) 和 [Trivy Operator](https://github.com/aquasecurity/trivy-operator) 均支持 CIS Kubernetes 基准扫描以及其他多项功能。
## 快速开始
运行 kube-bench 有多种方式。
你可以在 Pod 内部运行 kube-bench,但它需要访问主机的 PID 命名空间以检查正在运行的进程,以及访问主机上存储配置文件和其他文件的一些目录。
提供的 `job.yaml` [file](job.yaml) 可以被应用以作为 Job 运行测试。例如:
```
$ kubectl apply -f job.yaml
job.batch/kube-bench created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 ContainerCreating 0 3s
# 等待几秒钟以完成作业
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
kube-bench-j76s9 0/1 Completed 0 11s
# 结果保存在 Pod 的日志中
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...
```
有关更多信息和运行 kube-bench 的不同方式,请参阅 [documentation](docs/running.md)
### 请注意
1. kube-bench 尽可能严格地实现了 [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/)。如果 kube-bench 未正确实现基准中描述的测试,请在此处提出问题。若要报告基准本身的问题(例如,您认为不合适的测试),请加入 [CIS community](https://cisecurity.org)。
2. Kubernetes 的版本与 CIS 基准的版本之间没有一对一的映射关系。请参阅 [CIS Kubernetes Benchmark support](docs/platforms.md#cis-kubernetes-benchmark-support) 以查看不同版本的基准涵盖了哪些 Kubernetes 版本。
默认情况下,kube-bench 将根据机器上运行的 Kubernetes 版本确定要运行的测试集。
- 请参阅以下关于 [Running kube-bench](docs/running.md#running-kube-bench) 的文档以获取更多详细信息。
## 贡献
在贡献之前,请阅读 [Contributing](CONTRIBUTING.md)。
我们欢迎 Pull Request 和问题报告。
## 路线图
未来,我们计划发布 kube-bench 的更新,以增加对 CIS 基准新版本的支持。请注意,这些版本的发布频率不如 Kubernetes 版本高。
标签:Aqua Security, ATTACK-Python-Client, CIS Benchmark, DevSecOps, Docker, EVTX分析, EVTX分析, EVTX分析, EVTX分析, Force Graph, Go, K8s, Kubernetes, Nessus结果分析, Ruby工具, Rust语言, 上游代理, 云原生安全, 关系图谱, 合规性审计, 基线检查, 子域名突变, 安全工具, 安全扫描, 安全防御评估, 带宽管理, 日志审计, 时序注入, 漏洞检测, 用户界面自定义, 请求拦截, 配置管理, 集群安全