kube-bench
Что такое kube-bench?
kube-benchОткрытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
kube-bench — это open-source сканер на Go от Aqua Security, оценивающий, насколько Kubernetes-кластер соответствует CIS Kubernetes Benchmark. Он проверяет флаги компонентов, права доступа к файлам, настройки аудита и TLS на control plane, etcd, kubelet и worker-нодах, выдавая по каждому контролю статус PASS/FAIL/WARN/INFO. Доступны профили для kubeadm, GKE, EKS, AKS, OpenShift, Tanzu, а тесты версионируются вместе с обновлениями бенчмарка. Обычно kube-bench запускается как привилегированный Kubernetes Job на каждом узле и встраивается в CI/CD или плановые пайплайны. Это распространённый базовый контроль hardening, который часто сочетается с Kubescape, Trivy и admission controllers на policy-as-code.
● Примеры
- 01
Запуск kube-bench --benchmark eks-1.5.0 для аудита EKS после апгрейда.
- 02
CI-пайплайн падает, если изменение Helm-чарта приводит к новым FAIL у kube-bench.
● Частые вопросы
Что такое kube-bench?
Открытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark. Относится к категории Облачная безопасность в кибербезопасности.
Что означает kube-bench?
Открытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
Как защититься от kube-bench?
Защита от kube-bench обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия kube-bench?
Распространённые альтернативные названия: Сканер CIS Kubernetes Benchmark.