kube-bench
Security-as-Code
Audyt klastra Kubernetes wg CIS Benchmark — compliance-as-code.
kube-bench sprawdza, czy klaster Kubernetes jest skonfigurowany zgodnie z najlepszymi praktykami z CIS Kubernetes Benchmark. Uruchamiasz go jako zadanie w klastrze, a wynik to zestaw testów (pass/fail/warn) z konkretnymi zaleceniami. Konfiguracja testów jest deklaratywna (YAML), więc audyt zgodności sam staje się kodem — powtarzalnym i wersjonowanym.
Kiedy używać
- Audytujesz hardening klastra Kubernetes wg uznanego standardu.
- Chcesz powtarzalnego raportu zgodności (np. cyklicznie w CI/cronie).
- Przygotowujesz się do wymagań compliance.
Przykład użycia
# jako Job w klastrze
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml
kubectl logs job/kube-bench
[PASS] 1.2.1 Ensure that the --anonymous-auth argument is set to false
[FAIL] 1.2.6 Ensure that the --kubelet-certificate-authority is set
Warto wiedzieć
- Uzupełnia skan manifestów (Checkov) o audyt działającego klastra.
- Wyniki łatwo kierować do raportu lub bramki w pipeline.