kube-bench
¿Qué es kube-bench?
kube-benchHerramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark.
kube-bench es un escáner open source escrito en Go y mantenido por Aqua Security que evalúa hasta qué punto un clúster Kubernetes cumple con el CIS Kubernetes Benchmark. Inspecciona flags de componentes, permisos de ficheros, configuración de auditoría y TLS en el control plane, etcd, kubelet y nodos worker, y reporta PASS/FAIL/WARN/INFO por control. Existen perfiles específicos para kubeadm, GKE, EKS, AKS, OpenShift y Tanzu, con tests versionados que siguen las actualizaciones del benchmark. Se ejecuta normalmente como Job de Kubernetes privilegiado en cada nodo y se integra en pipelines de CI/CD o en planificaciones periódicas. Es un control base de hardening habitual, complementado con herramientas como Kubescape, Trivy y admission controllers tipo policy-as-code.
● Ejemplos
- 01
Ejecutar kube-bench --benchmark eks-1.5.0 para auditar un clúster EKS tras una actualización.
- 02
Hacer fallar un pipeline CI si un cambio de Helm introduce FAIL en kube-bench.
● Preguntas frecuentes
¿Qué es kube-bench?
Herramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa kube-bench?
Herramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark.
¿Cómo funciona kube-bench?
kube-bench es un escáner open source escrito en Go y mantenido por Aqua Security que evalúa hasta qué punto un clúster Kubernetes cumple con el CIS Kubernetes Benchmark. Inspecciona flags de componentes, permisos de ficheros, configuración de auditoría y TLS en el control plane, etcd, kubelet y nodos worker, y reporta PASS/FAIL/WARN/INFO por control. Existen perfiles específicos para kubeadm, GKE, EKS, AKS, OpenShift y Tanzu, con tests versionados que siguen las actualizaciones del benchmark. Se ejecuta normalmente como Job de Kubernetes privilegiado en cada nodo y se integra en pipelines de CI/CD o en planificaciones periódicas. Es un control base de hardening habitual, complementado con herramientas como Kubescape, Trivy y admission controllers tipo policy-as-code.
¿Cómo defenderse de kube-bench?
Las defensas contra kube-bench combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para kube-bench?
Nombres alternativos comunes: Escáner CIS Kubernetes Benchmark.
● Términos relacionados
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 601
Kubescape
Plataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
- cloud-security№ 170
Cilium
CNI basado en eBPF que proporciona red, observabilidad y seguridad para cargas de Kubernetes a velocidad de kernel.
- cloud-security№ 213
Seguridad de contenedores
Práctica de proteger imágenes de contenedor, registros, orquestadores y el runtime en el que se ejecutan los contenedores.