← Katalog
E I A C

kube-bench

Security-as-Code

Audyt klastra Kubernetes wg CIS Benchmark — compliance-as-code.

★ 8000 Apache-2.0 #security#kubernetes#compliance#cis

kube-bench sprawdza, czy klaster Kubernetes jest skonfigurowany zgodnie z najlepszymi praktykami z CIS Kubernetes Benchmark. Uruchamiasz go jako zadanie w klastrze, a wynik to zestaw testów (pass/fail/warn) z konkretnymi zaleceniami. Konfiguracja testów jest deklaratywna (YAML), więc audyt zgodności sam staje się kodem — powtarzalnym i wersjonowanym.

Kiedy używać

  • Audytujesz hardening klastra Kubernetes wg uznanego standardu.
  • Chcesz powtarzalnego raportu zgodności (np. cyklicznie w CI/cronie).
  • Przygotowujesz się do wymagań compliance.

Przykład użycia

# jako Job w klastrze
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml
kubectl logs job/kube-bench
[PASS] 1.2.1 Ensure that the --anonymous-auth argument is set to false
[FAIL] 1.2.6 Ensure that the --kubelet-certificate-authority is set

Warto wiedzieć

  • Uzupełnia skan manifestów (Checkov) o audyt działającego klastra.
  • Wyniki łatwo kierować do raportu lub bramki w pipeline.