kube-bench
Was ist kube-bench?
kube-benchOpen-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft.
kube-bench ist ein in Go geschriebener Open-Source-Scanner von Aqua Security, der bewertet, wie gut ein Kubernetes-Cluster dem CIS Kubernetes Benchmark entspricht. Er prueft Komponenten-Flags, Dateiberechtigungen, Audit- und TLS-Einstellungen auf Control Plane, etcd, kubelet und Worker-Nodes und meldet pro Control PASS/FAIL/WARN/INFO. Profile gibt es u. a. fuer kubeadm, GKE, EKS, AKS, OpenShift und Tanzu; die Tests sind versioniert und folgen den Benchmark-Updates. Ueblicherweise laeuft kube-bench als privilegierter Kubernetes-Job auf jedem Node und ist in CI/CD oder geplante Pipelines integriert. Er ist ein verbreiteter Baseline-Haertungscheck und wird haeufig mit Kubescape, Trivy und Policy-as-Code-Admission-Controllers kombiniert.
● Beispiele
- 01
kube-bench --benchmark eks-1.5.0 nach einem Upgrade gegen einen EKS-Cluster ausfuehren.
- 02
CI-Pipeline schlaegt fehl, wenn ein Helm-Change neue kube-bench-FAIL-Eintraege erzeugt.
● Häufige Fragen
Was ist kube-bench?
Open-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet kube-bench?
Open-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft.
Wie funktioniert kube-bench?
kube-bench ist ein in Go geschriebener Open-Source-Scanner von Aqua Security, der bewertet, wie gut ein Kubernetes-Cluster dem CIS Kubernetes Benchmark entspricht. Er prueft Komponenten-Flags, Dateiberechtigungen, Audit- und TLS-Einstellungen auf Control Plane, etcd, kubelet und Worker-Nodes und meldet pro Control PASS/FAIL/WARN/INFO. Profile gibt es u. a. fuer kubeadm, GKE, EKS, AKS, OpenShift und Tanzu; die Tests sind versioniert und folgen den Benchmark-Updates. Ueblicherweise laeuft kube-bench als privilegierter Kubernetes-Job auf jedem Node und ist in CI/CD oder geplante Pipelines integriert. Er ist ein verbreiteter Baseline-Haertungscheck und wird haeufig mit Kubescape, Trivy und Policy-as-Code-Admission-Controllers kombiniert.
Wie schützt man sich gegen kube-bench?
Schutzmaßnahmen gegen kube-bench kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für kube-bench?
Übliche alternative Bezeichnungen: CIS-Kubernetes-Benchmark-Scanner.
● Verwandte Begriffe
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- cloud-security№ 601
Kubescape
Open-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft.
- compliance№ 204
Compliance
Die Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
- cloud-security№ 170
Cilium
eBPF-basiertes Container Network Interface, das Networking, Observability und Security fuer Kubernetes-Workloads in Kernel-Geschwindigkeit liefert.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.