CKS之k8s安全基准工具:kube-bench,字节跳动网络安全金三银四解析

最新推荐文章于 2024-06-13 17:22:14 发布
最新推荐文章于 2024-06-13 17:22:14 发布
阅读量724 收藏 15
点赞数 29
分类专栏: 2024年程序员学习 文章标签: 安全 web安全 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83947434/article/details/137348064
版权

kube-bench check --list

4. 针对特定的节点角色运行检查(master/node/etcd/policies)

kube-bench run --targets=master,node

5. 将结果输出为JSON格式

kube-bench run --json

6. 并行运行检查以提高速度

kube-bench run --parallel

7. 更新CIS基准到最新版本

kube-bench download latest

8. 查看kube-bench版本

kube-bench version

kube-bench配置

1.文件格式
kube-bench的配置文件采用YAML格式,包含一系列的检查项配置。每个检查项通过唯一的id进行标识。

测试项目配置文件路径:/etc/kube-bench/cfg/cis-1.6/

配置项示例:

  • id: 1.2.21
    text: “Ensure that the --profiling argument is set to false (Automated)”
    audit: “/bin/ps -ef | grep $apiserverpbin | grep -v grep”
    tests:
    test_items:
    • flag: “–profiling”
      compare:
      op: eq
      value: false
      remediation: |
      Edit the API server pod specification file $apiservercconf
      on the master node and set the below parameter.
      –profiling=fals

2.检查项字段
每个检查项都包含以下几个主要字段:

  • id: 唯一标识符

  • text: 对该检查项的文字描述

  • audit: 执行审计的命令,用于检查当前系统状态

  • tests: 具体的测试条件  #tests下的test_items字段定义了具体的测试条件。可以根据实际需求修改该部分的测试逻辑

    • test_items: 实际测试项
    • compare: 测试结果与期望值的比较方式(eq、neq等)

  • remediation: 如果审计失败,给出的修复建议

  • scored: 该项对总分数的影响(true、false、WARN)

  • type: 该项的处理方式(manual、skip、info)   #对于某些无法自动检查的项目,可以设置type=manual,kube-bench就会跳过该项并给出WARN警告。如果想跳过某项检查,可以将对应项的type设为skip,这样kube-bench就不会执行该项检查。

  1. 处理方式
  2. 测试条件
kube-bench运行示例

输出结果分为不同的部分,每部分检查 Kubernetes 的特定安全性方面,比如 API 服务器的配置、控制器管理器、调度器等。每项检查后面标记了“PASS”、“WARN”或“FAIL”,分别表示通过、警告或失败。警告和失败项通常需要人工检查或更正。例如,“FAIL”可能表明配置不符合安全最佳实践,而“WARN”可能意味着某些安全特性没有被启用或需要人工确认配置是否正确。

  • “PASS”:表示检查项符合安全推荐。
  • “WARN”:表示配置可能存在风险,建议进行检查。
  • “FAIL”:表示配置不符合安全推荐,需要采取措施改进。

下图为Node相关的安全检查

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

ux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**

2401_83947434
关注
  • 29
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-kube-bench用于检查Kubernetes是否安全部署的Go应用
08-13
Kubernetes安全平台是一个Go应用程序,通过运行CIS Kubernetes 1.6 Benchmark v1.0.0中记录的检查来检查Kubernetes是否安全部署。
Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
CKSk8s安全基准工具kube-bench
DwanCloud
03-20 1157
CKSkube-bench介绍以及基础使用
使用Kube-BenchKubernetes进行安全检测
最新发布
codelearning的专栏
06-13 1019
kube-bench是一款强大的工具,它可以帮助我们发现哪些Kubernetes配置没有遵循CIS的最佳实践,从而改正这些问题,增强我们的Kubernetes集群的安全性。虽然kube-bench不能捕获所有可能的安全问题,但它至少可以帮助我们消除最常见的一些安全漏洞。
kubernetes安全检测工具-kube-bench
匹夫之怒
09-13 303
kube-bench是基于go语言开发、一款针对kubernetes进行安全检测的工具,主要是检测kubernetes集群的各个组件的配置,确认配置文件是否符合安全基线标准,输出检测报告,并给出修复建议,从而使kubernetes集群更加健壮安全
十九、K8s集群设置1- kube-bench
tushanpeipei的博客
11-15 1757
kube-benchK8s中的使用
Kubernetes实战(十三)-使用kube-bench检测Kubernetes集群安全
sre救赎之路
12-12 1361
CIS()是一家致力于网络安全的非营利组织。它提供一系列针对各种操作系统和应用程序的基线安全标准,这些标准被广泛认可,是防止网络攻击的有效手段。CIS基准是由美国计算机互联网安全中心(Center for Internet Security,简称CIS)制定的一系列全球公认的最佳实践标准,用于保护系统和数据免受威胁。这些基准包括了各种技术平台和系统的配置指南,例如操作系统、网络设备、移动设备、服务器应用等。CIS基准提供了详细的步骤来保护特定系统,每个步骤都有清晰的说明和建议。
KubernetesK8s CKS 认证实战班(安全专家)第四期,2022年5月底结课)
03-09
压缩包中的“KubernetesK8s CKS 认证实战班(安全专家)【第四期,2022年5月底结课).txt”文件,很可能是该课程的详细资料或者学员手册,包含了课程内容的概述、学习路径、时间表、讲师介绍,甚至是学员的反馈和...
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
Kubernetes/K8S CKS安全专家认证实践视频课程
03-28
分享一套课程——《Kubernetes/K8S CKS安全专家认证实践》2023年新课,基于k8s 1.26版本 帮助学员掌握CKS考试所必备的安全相关技能,同时提供考题原题分析,帮助学员轻松拿下CKS认证考试
microk8s-kube-bench:使用kube-bench分析的MicroK8
02-21
CIS的MicroK8sKubernetes安全基准 目标和可交付成果 MicroK8使用kube-bench分析了CIS基准。 该存储库实现了100%自动化的工作流程(通过 + ),可在Ubuntu(作为Github CI / CD工作者运行)上安装Microk8s。 然后部署并执行Kube-bench,以获得对该Kubernetes集群配置的分析。 关于Github CI / CD的最新执行报告附后。 该工作流程计划通过cron指令每天执行:它可以在检查新的快照(请参见下文)。 欢迎提出所有改进或扩展建议。 拉取请求也一样! MicroK8s Canonical的是单包装,完全一致且轻量级的Kubernetes发行版,可在多种Linux上使用。 它针对开发人员工作站,IoT,Edge和CI / CD。 该纯上游发行版易于管理,具有当日跟踪新发行版(由根项目生成的补丁)的功
kube-bench:根据CIS Kubernetes基准测试中定义的安全最佳实践检查是否已部署Kubernetes
02-04
kube-bench是一个Go应用程序,它通过运行记录的检查来检查Kubernetes是否已安全部署。 测试是使用YAML文件配置的,因此随着测试规范的发展,该工具易于更新。 请注意 kube-bench尽可能紧密地实现。 如果kube-bench未按照基准所述正确执行测试,请在此处提出问题。 要报告基准测试本身的问题(例如,您认为不合适的测试),请加入。 Kubernetes版本与CIS基准测试版本之间没有一对一的映射。 请参阅以了解的不同版本涵盖了哪些Kubernetes版本。 使用kube-bench无法检查托管集群的主节点,例如GKE,EKS和AKS,因为它无法访问此类节点,尽管
kube-bench初体验
小雨的博客
01-11 694
k8s 加固 ,audit工具
Kube-Bench测试总结
qq_42944740的博客
03-23 1012
Kubernetes 协调一个高可用计算机集群,每个计算机作为独立单元互相连接工作。Kubernetes 中的抽象允许将容器化的应用部署到集群,而无需将它们绑定到某个特定的独立计算机。为了使用这种新的部署模型,应用需要以将应用与单个主机分离的方式打包:它们需要被容器化。与过去的那种应用直接以包的方式深度与主机集成的部署模型相比,容器化应用更灵活、更可用。Kubernetes 以更高效的方式跨集群自动分发和调度应用容器。Kubernetes 是一个开源平台,并且可应用于生产环境。
开源工具Kube-bench【详解】
高性价比服务器就选:蓝易云
05-09 246
Kube-bench使用yaml格式的检查配置文件,支持单个节点或整个集群的检查,可输出多种格式的报告,包括json、csv和文本等,方便用户进行结果分析和漏洞修复。Kube-bench是一种针对Kubernetes集群的开源安全检查工具,旨在帮助用户识别集群中存在的安全风险和配置问题,并提供修复建议。其中,--config-dir指定kube-bench的配置目录,--version指定集群的Kubernetes版本。1.下载kube-bench二进制文件。3.安装kube-bench
kube-bench 工具说明
多头注意力探索Now
09-11 296
安全检测工具
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 605
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
K8s-CKS深度解析:从框架到网络、存储
"K8s-cks必备技能攻略,涵盖了K8s框架、CNI网络、CSI存储、资源管理、应用生命周期管理、弹性伸缩、容器调度和用户认证授权体系等方面。" 在 Kubernetes (K8s) 中,理解其基本框架至关重要。K8s 框架由控制节点和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值