kube-bench
Qu'est-ce que kube-bench ?
kube-benchOutil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark.
kube-bench est un scanner open source ecrit en Go et maintenu par Aqua Security qui evalue la conformite d'un cluster Kubernetes au CIS Kubernetes Benchmark. Il inspecte les flags des composants, les permissions de fichiers, la configuration d'audit et TLS sur le control plane, etcd, le kubelet et les noeuds worker, puis remonte PASS/FAIL/WARN/INFO par controle. Des profils existent pour kubeadm, GKE, EKS, AKS, OpenShift et Tanzu, avec des tests versionnes suivant les mises a jour du benchmark. kube-bench se lance generalement comme un Job privilegie sur chaque noeud et s'integre aux pipelines CI/CD ou aux executions planifiees. C'est une verification de durcissement de base, souvent completee par Kubescape, Trivy et des admission controllers policy-as-code.
● Exemples
- 01
Lancer kube-bench --benchmark eks-1.5.0 pour auditer un cluster EKS apres mise a niveau.
- 02
Faire echouer un pipeline CI si un changement Helm introduit des FAIL dans kube-bench.
● Questions fréquentes
Qu'est-ce que kube-bench ?
Outil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie kube-bench ?
Outil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark.
Comment fonctionne kube-bench ?
kube-bench est un scanner open source ecrit en Go et maintenu par Aqua Security qui evalue la conformite d'un cluster Kubernetes au CIS Kubernetes Benchmark. Il inspecte les flags des composants, les permissions de fichiers, la configuration d'audit et TLS sur le control plane, etcd, le kubelet et les noeuds worker, puis remonte PASS/FAIL/WARN/INFO par controle. Des profils existent pour kubeadm, GKE, EKS, AKS, OpenShift et Tanzu, avec des tests versionnes suivant les mises a jour du benchmark. kube-bench se lance generalement comme un Job privilegie sur chaque noeud et s'integre aux pipelines CI/CD ou aux executions planifiees. C'est une verification de durcissement de base, souvent completee par Kubescape, Trivy et des admission controllers policy-as-code.
Comment se défendre contre kube-bench ?
Les défenses contre kube-bench combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de kube-bench ?
Noms alternatifs courants : Scanner CIS Kubernetes Benchmark.
● Termes liés
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 601
Kubescape
Plateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
- cloud-security№ 170
Cilium
Container Network Interface base sur eBPF qui fournit reseau, observabilite et securite aux workloads Kubernetes a la vitesse du noyau.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.