kube-bench
Что такое kube-bench?
kube-benchОткрытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
kube-bench — это open-source сканер на Go от Aqua Security, оценивающий, насколько Kubernetes-кластер соответствует CIS Kubernetes Benchmark. Он проверяет флаги компонентов, права доступа к файлам, настройки аудита и TLS на control plane, etcd, kubelet и worker-нодах, выдавая по каждому контролю статус PASS/FAIL/WARN/INFO. Доступны профили для kubeadm, GKE, EKS, AKS, OpenShift, Tanzu, а тесты версионируются вместе с обновлениями бенчмарка. Обычно kube-bench запускается как привилегированный Kubernetes Job на каждом узле и встраивается в CI/CD или плановые пайплайны. Это распространённый базовый контроль hardening, который часто сочетается с Kubescape, Trivy и admission controllers на policy-as-code.
● Примеры
- 01
Запуск kube-bench --benchmark eks-1.5.0 для аудита EKS после апгрейда.
- 02
CI-пайплайн падает, если изменение Helm-чарта приводит к новым FAIL у kube-bench.
● Частые вопросы
Что такое kube-bench?
Открытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark. Относится к категории Облачная безопасность в кибербезопасности.
Что означает kube-bench?
Открытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
Как работает kube-bench?
kube-bench — это open-source сканер на Go от Aqua Security, оценивающий, насколько Kubernetes-кластер соответствует CIS Kubernetes Benchmark. Он проверяет флаги компонентов, права доступа к файлам, настройки аудита и TLS на control plane, etcd, kubelet и worker-нодах, выдавая по каждому контролю статус PASS/FAIL/WARN/INFO. Доступны профили для kubeadm, GKE, EKS, AKS, OpenShift, Tanzu, а тесты версионируются вместе с обновлениями бенчмарка. Обычно kube-bench запускается как привилегированный Kubernetes Job на каждом узле и встраивается в CI/CD или плановые пайплайны. Это распространённый базовый контроль hardening, который часто сочетается с Kubescape, Trivy и admission controllers на policy-as-code.
Как защититься от kube-bench?
Защита от kube-bench обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия kube-bench?
Распространённые альтернативные названия: Сканер CIS Kubernetes Benchmark.
● Связанные термины
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
- cloud-security№ 601
Kubescape
Открытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
- cloud-security№ 170
Cilium
CNI на базе eBPF, обеспечивающий сеть, наблюдаемость и безопасность Kubernetes-нагрузок на скорости ядра.
- cloud-security№ 213
Безопасность контейнеров
Практика защиты образов контейнеров, реестров, оркестраторов и среды выполнения, в которой контейнеры исполняются.