kube-bench
O que é kube-bench?
kube-benchFerramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
O kube-bench e um scanner open source escrito em Go e mantido pela Aqua Security que avalia o grau de conformidade de um cluster Kubernetes com o CIS Kubernetes Benchmark. Inspeciona flags de componentes, permissoes de ficheiros, configuracao de auditoria e TLS no control plane, etcd, kubelet e nos worker, e reporta PASS/FAIL/WARN/INFO por controlo. Existem perfis para kubeadm, GKE, EKS, AKS, OpenShift e Tanzu, com testes versionados que acompanham as atualizacoes do benchmark. Tipicamente e executado como um Job privilegiado em cada no e integrado em pipelines CI/CD ou execucoes agendadas. E um controlo basico de hardening, muitas vezes combinado com Kubescape, Trivy e admission controllers policy-as-code.
● Exemplos
- 01
Executar kube-bench --benchmark eks-1.5.0 para auditar um cluster EKS apos atualizacao.
- 02
Fazer falhar um pipeline CI quando uma alteracao Helm introduz FAIL no kube-bench.
● Perguntas frequentes
O que é kube-bench?
Ferramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa kube-bench?
Ferramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
Como funciona kube-bench?
O kube-bench e um scanner open source escrito em Go e mantido pela Aqua Security que avalia o grau de conformidade de um cluster Kubernetes com o CIS Kubernetes Benchmark. Inspeciona flags de componentes, permissoes de ficheiros, configuracao de auditoria e TLS no control plane, etcd, kubelet e nos worker, e reporta PASS/FAIL/WARN/INFO por controlo. Existem perfis para kubeadm, GKE, EKS, AKS, OpenShift e Tanzu, com testes versionados que acompanham as atualizacoes do benchmark. Tipicamente e executado como um Job privilegiado em cada no e integrado em pipelines CI/CD ou execucoes agendadas. E um controlo basico de hardening, muitas vezes combinado com Kubescape, Trivy e admission controllers policy-as-code.
Como se defender contra kube-bench?
As defesas contra kube-bench costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para kube-bench?
Nomes alternativos comuns: Scanner CIS Kubernetes Benchmark.
● Termos relacionados
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- cloud-security№ 601
Kubescape
Plataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
- compliance№ 204
Conformidade
Disciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
- cloud-security№ 170
Cilium
Container Network Interface baseado em eBPF que oferece rede, observabilidade e seguranca a workloads Kubernetes a velocidade de kernel.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.