kube-bench
kube-bench 是什么?
kube-benchAqua Security 推出的开源工具,可自动按照 CIS Kubernetes Benchmark 检查 Kubernetes 集群的配置。
kube-bench 是 Aqua Security 维护的开源 Go 工具,用于评估 Kubernetes 集群对 CIS Kubernetes Benchmark 的符合程度。它检查控制平面、etcd、kubelet 和工作节点上的组件参数、文件权限、审计设置和 TLS 配置,逐项给出 PASS/FAIL/WARN/INFO 结果。提供针对 kubeadm、GKE、EKS、AKS、OpenShift、Tanzu 的不同配置,测试也按版本同步 benchmark 更新。常用做法是以特权 Kubernetes Job 在各节点运行,并接入 CI/CD 或定时任务。它是常见的基础加固检查工具,通常与 Kubescape、Trivy 以及 policy-as-code 准入控制器配合使用。
● 示例
- 01
升级后用 kube-bench --benchmark eks-1.5.0 审计 EKS 集群。
- 02
如果 Helm 改动引入了任何 kube-bench FAIL 项,则让 CI 流水线失败。
● 常见问题
kube-bench 是什么?
Aqua Security 推出的开源工具,可自动按照 CIS Kubernetes Benchmark 检查 Kubernetes 集群的配置。 它属于网络安全的 云安全 分类。
kube-bench 是什么意思?
Aqua Security 推出的开源工具,可自动按照 CIS Kubernetes Benchmark 检查 Kubernetes 集群的配置。
kube-bench 是如何工作的?
kube-bench 是 Aqua Security 维护的开源 Go 工具,用于评估 Kubernetes 集群对 CIS Kubernetes Benchmark 的符合程度。它检查控制平面、etcd、kubelet 和工作节点上的组件参数、文件权限、审计设置和 TLS 配置,逐项给出 PASS/FAIL/WARN/INFO 结果。提供针对 kubeadm、GKE、EKS、AKS、OpenShift、Tanzu 的不同配置,测试也按版本同步 benchmark 更新。常用做法是以特权 Kubernetes Job 在各节点运行,并接入 CI/CD 或定时任务。它是常见的基础加固检查工具,通常与 Kubescape、Trivy 以及 policy-as-code 准入控制器配合使用。
如何防御 kube-bench?
针对 kube-bench 的防御通常结合技术控制与运营实践,详见上方完整定义。
kube-bench 还有哪些其他名称?
常见的别称包括: CIS Kubernetes Benchmark 扫描器。
● 相关术语
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
- cloud-security№ 601
Kubescape
由 ARMO 开发的开源 Kubernetes 安全平台,用于扫描集群、清单和镜像中的错误配置、漏洞与策略偏移。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
- cloud-security№ 170
Cilium
基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
- cloud-security№ 213
容器安全
保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。