CIS安全基准介绍与K8s安全基准工具

置顶 已于 2023-01-16 16:28:08 修改
阅读量1.2w 收藏 4
点赞数
分类专栏: kubenetes
于 2022-12-22 21:15:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/128413665
版权

kubernetes 容器 云原生 安全

目录

一、CIS安全基准介绍

二、基准测试工具Kube-bench

三、CIS基准测试工具:kube-beach部署及目录说明

四、CIS基准测试工具:kube-beach使用

一、CIS安全基准介绍

       互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供 免费的安全防御解决方案。

官网:https://www.cisecurity.org/

Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes

使用指南,里面提供了如linux等安全加固方案

 

二、基准测试工具Kube-bench

       下载pdf后,根据里面的基准来检查K8s集群配置,但内容量太大,一般会采用相关工具来完成这项工作。

       Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。 主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。

项目地址:https://github.com/aquasecurity/kube-bench

三、CIS基准测试工具:kube-beach部署及目录说明

1、下载二进制包 https://github.com/aquasecurity/kube-bench/releases

2、解压使用

tar zxvf kube-bench_0.6.3_linux_amd64.tar.gz

其他的有的是其他厂商的基础如亚马逊等

根据分类的基准

kube-bench是可执行程序  cfg配置文件

 

(就是安全基准要求,可修改)

• id:编号

• text:提示的文本

• audit:获取检查目标信息

• tests:测试项目

• remediation:修复方案

• scored:如果为true,kube-bench无法正常测试, 则会生成FAIL,如果为false,无法正常测试,则会生WARN。

• type:如果为manual则会生成WARN,如果为skip, 则会生成INFO

mkdir /etc/kube-bench

# 创建默认配置文件路径

 mv cfg /etc/kube-bench/cfg

cp kube-bench /usr/bin

四、CIS基准测试工具:kube-beach使用

使用kube-bench run进行测试,该指令有以下常用参数:

常用参数:

 -s, --targets 指定要基础测试的目标,这个目标需要匹配cfg/中的 文件名称,已有目标:master, controlplane, node, etcd, policies

--version:指定k8s版本,如果未指定会自动检测 (基于kubeconfig连接,家目录下的)

--benchmark:手动指定CIS基准版本,不能与--version一起使用

例如:检查master组件安全配置

【】kube-bench run --targets=master

执行后会逐个检查安全配置并输出修复方案及汇总信息

输出:

[PASS]:测试通过

[FAIL]:测试未通过,重点关注,在测试结果会给出修复建议

[WARN]:警告,可做了解

[INFO]:信息

与手册对应

重点观测FAIL

修复建议。有命令

实列:修复profilling

(为go的性能分析预留的接口,基于pprof性能分析程序,通过此参数启用。默认启用,为安全应该设置为false)

 

 

重启以生效配置

systemctl restart kubelet  

kube-bench run --targets=master

再次运行则无此未通过(1.2.21)

在master检查node也适用于node(各node节点也一样)

CKS学习笔记-CIS基准及使用
weixin_43394724的博客
10-09 978
概述 CIS安全基准 互联网安全中心(CISCenter for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网: cisecurity.org Kubernetes CIS基准: Resources • Platforms • Kubernetes kube-bench 互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试。CIS 发布了Kubernetes基准,即对这些测试的新开源实现:kube-bench。 它是作为 Go 应用程序
CKS之k8s安全基准工具:kube-bench
DwanCloud
03-20 1552
CKS之kube-bench介绍以及基础使用
CIS 系统基线
12-06
CIS(互联网安全中心) 最新系统基线标准,包含主流操作系统(AIX、redhat、oracle_linux、centos、ubuntu、debian、windows7、windows8、windows10)以及Kubernetes
CIS安全基线
loveqqcc的博客
10-20 4594
0x0 0x1 --Centos7 基线检查190621 0x2 --Centos6 基线检查190627 0x3 --Ubuntu安全基线检查190621 0x3.5 --SSH登录安全策略、账户-密码 0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测) 0x5 --CIS 各种基线附件 0x1 Centos7 基线检查 描述 强制用户不重用最近使用的密码,降低密码猜测攻击风险 加固建议 在/etc/pam.d/password-a
cis-benchmarks-audit:系统安全合规性检查的利器
最新发布
gitblog_00076的博客
03-28 680
cis-benchmarks-audit:系统安全合规性检查的利器 cis-benchmarks-audit Simple command line tool to check for compliance against CIS Benchmarks ...
CIS-Microsoft-Windows-Server-2012安全基线
07-22
CIS-Microsoft-Windows-Server-2012安全基线
第一章 CIS 安全基准-kube-beach
三成的博客
11-04 579
k8s安全
kubernetes CIS 安全基准 Kube-bench 安全工具
sxpnp的博客
01-09 1152
如有问题,以你为准
云原生-K8sKubernetes安全组件CIS基准kube-beach安装及使用
起而行动,方能平定心中的惶恐
10-31 2154
为了保证集群以及容器应用的安全Kubernetes 提供了多种安全机制,限制容器的行为,减少容器和集群的攻击面,保证整个系统的安全性。互联网安全中心(CISCenter for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案官网k8s安全基准Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。开源地址。
2024年网络安全最新CKS之k8s安全基准工具:kube-bench(3),网络安全面试问题和答案
2401_84302628的博客
05-12 981
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024年网安最全CKS之k8s安全基准工具:kube-bench
m0_54903333的博客
05-03 1041
输出结果分为不同的部分,每部分检查 Kubernetes 的特定安全性方面,比如 API 服务器的配置、控制器管理器、调度器等。type: 该项的处理方式(manual、skip、info) #对于某些无法自动检查的项目,可以设置type=manual,kube-bench就会跳过该项并给出WARN警告。1.1.12项“确保 etcd 数据目录权限设置为 700 或更严格 (自动化)”显示为“FAIL”,意味着当前的权限设置不够严格,可能需要进行权限的修改来加强安全性。
CIS docker 安全标准
02-15
CIS 的 docker 安全标准。本文档适用于系统和应用程序管理员,安全专家, 计划开发,部署的审计员,服务台和平台部署人员 评估或保护包含Docker CE 17.06或更高版本技术的解决方案。
CISredhat linux 7 安全基线
11-03
来自CIS的红帽7.0企业安全基准基准线,可供参考.
cis_baseline_csv:将具有所有控件和标题的CIS安全基线PDF文档转换为CSV文件
04-08
cis_baseline_csv 将带有所有控件和标题的CIS安全基线转换为CSV文件。 要求 为其CLI工具pdf2txt.py安装pdfminer 用法 first extract readable text from the first 50 pages $ pdf2txt.py .\CIS_Red_Hat8.pdf -m 50 -t text -o CIS_Red_Hat8.pdf_extract.txt CIS_Red_Hat8.pdf then use $ python3 cis_to_csv.py .\CIS_Red_Hat8.pdf_extract.txt 大量的例子 ######电源外壳 Get-ChildItem ' ..\CIS benchmarks\ ' - Filter * .pdf_extract.txt | ForEach-Object { pyth
安全配置基线
08-11
描述windows各个版本的安全配置基线,如用户、远程控制
安全加固基线大全
02-07
共33份基线文件,包括,主流操作系统安全加固基线,主流网络设备安全加固基线,主流中间件安全加固基线,主流数据库安全加固基线
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描
bolide24的博客
08-19 4071
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描 简介 关于CISCIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。 CIS 基准安全配置系统的配置基线和最佳做法。
K8S集群安全升级(CIS CNI Calico)
m0_46690280的博客
07-06 1763
简介。
k8s CIS安全基准使用
砚墨
07-03 1459
CIS安全介绍 互联网安全中心(CISCenter for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网:https://www.cisecurity.org/ Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/ 使用CIS基准测试工具 在如上图下载pdf说明后。可参考基本标准对集群配置进行检查,内容较多,一般会会采用相关工具kube-bench来完成这项工作。 K
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值