kubernetes安全检测工具-kube-bench

一、kube-bench基础介绍

kube-bench是基于go语言开发、一款针对kubernetes进行安全检测的工具，主要是检测kubernetes集群的各个组件的配置，确认配置文件是否符合安全基线标准，输出检测报告，并给出修复建议，从而使kubernetes集群更加健壮安全

二、kube-bench安装

安装方式有二进制安装，dockers安装，kubernetes集群安装，openShift安装， ACK 集群安装等，具体参看：https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md

1、 二进制安装

二进制下载地址：

https://github.com/aquasecurity/kube-bench/releases

2、 docker安装

https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl -v ~/.kube:/.kube -e KUBECONFIG=/.kube/config docker.io/aquasec/kube-bench:latest --version 1.20

3、 kubernetes集群内安装

https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md

三、kube-bench使用

kube-bench和kubernetes版本匹配说明

https://github.com/aquasecurity/kube-bench/blob/main/docs/platforms.md#cis-kubernetes-benchmark-support

3.1 二进制部署目录结构

3.2 检测脚本

ID： 编号。和检测过程中编号对应

text： 提示文本

audit： 检测执行命令

tests: 测试项目

remediation: 修复方案

scored: 如果为true，kube-bench无法正常测试，则会生成FAIL，如果为false，无法正常测试，则会生成WARN

type： 如果为manual，则会生成WARN，如果为skip，则会生成INFO