第一章 CIS 安全基准-kube-beach

最新推荐文章于 2024-07-25 00:42:53 发布
最新推荐文章于 2024-07-25 00:42:53 发布
阅读量494 收藏
点赞数
分类专栏: k8s安全 文章标签: kubernetes 运维 容器 云原生 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26489043/article/details/127683182
版权

• CIS安全基准介绍
• K8s安全基准工具 kube-bench

CIS安全基准

互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供
免费的安全防御解决方案。 官网:https://www.cisecurity.org/
Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/

CIS基准测试工具

下载pdf后,根据里面的基准来检查K8s集群配置,但内容量太大,一般会采用相关工具来完成这项工作。
Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。
主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。
项目地址:https://github.com/aquasecurity/kube-bench

CIS基准测试工具:kube-beach部署

1、下载二进制包
https://github.com/aquasecurity/kube-bench/releases
2、解压使用
tar zxvf kube-bench_0.6.3_linux_amd64.tar.gz
mkdir /etc/kube-bench # 创建默认配置文件路径
mv cfg /etc/kube-bench/cfg

CIS基准测试工具:kube-beach使用

在这里插入图片描述

使用kube-bench run进行测试,该指令有以下常用参数:
常用参数:
• -s, --targets 指定要基础测试的目标,这个目标需要匹配cfg/中的
文件名称,已有目标:master, controlplane, node, etcd, policies
• --version:指定k8s版本,如果未指定会自动检测
• --benchmark:手动指定CIS基准版本,不能与–version一起使用

CIS基准测试工具:kube-beach使用

例如:检查master组件安全配置
kube-bench run --targets=master
执行后会逐个检查安全配置并输出修复方案及汇总信息输出:
在这里插入图片描述

CIS基准测试工具:kube-beach使用

在这里插入图片描述

三成讲技术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-kube-bench用于检查Kubernetes是否安全部署的Go应用
08-13
**正文** Go-kube-bench 是一个基于Go语言编写的工具,专为评估和确保Kubernetes集群的安全性而设计。...同时,对于Go开发者来说,深入理解Go-kube-bench的实现原理和CIS基准,也能提升他们在安全领域的专业技能。
calico v3.20.3-kube-controller镜像包
12-15
calico v3.20.3-kube-controller镜像包,在安装镜像的时候一直无法下载下来,导致项目无法部署,上传本地镜像到linux服务器,解压包,导入对应的tar包镜像包,通过docker load 导入本地镜像包,镜像包名字通过docker...
【云原生-K8s】Kubernetes安全组件CIS基准kube-beach安装及使用
起而行动,方能平定心中的惶恐
10-31 2048
为了保证集群以及容器应用的安全,Kubernetes 提供了多种安全机制,限制容器的行为,减少容器和集群的攻击面,保证整个系统的安全性。互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案官网k8s安全基准Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。开源地址。
使用Kube-Bench对Kubernetes进行安全检测
codelearning的专栏
06-13 1043
kube-bench是一款强大的工具,它可以帮助我们发现哪些Kubernetes配置没有遵循CIS的最佳实践,从而改正这些问题,增强我们的Kubernetes集群的安全性。虽然kube-bench不能捕获所有可能的安全问题,但它至少可以帮助我们消除最常见的一些安全漏洞。
Kubernetes 组件安全 CIS基准以及kube-beach使用
小楼一夜听春雨,深巷明朝卖杏花
06-23 1970
CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网:https://www.cisecurity.org/ Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/ 对每个组件定义了安全配置,针对每个组件都有具体的规则和建议如何更加规范的配置保证集群的安全CIS基准测试工具 下载.
CIS基准测试工具:kube-beach】
m0_59424504的博客
05-31 152
• -s, --targets指定要基础测试的目标,这个目标需要匹配cfg/<version>中的文件名称,已有目标:master, controlplane, node, etcd, policies。•scored:如果为true,kube-bench无法正常测试,则会生成FAIL,如果为false,无法正常测试,则会生成WARN。• --benchmark:手动指定CIS基准版本,不能与--version一起使用。测试项目配置文件:/etc/kube-bench/cfg/cis-1.6/
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1126
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具
CIS安全基准介绍与K8s安全基准工具
热门推荐
m0_57911290的博客
12-22 1万+
互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供 免费的安全防御解决方案。官网:https://www.cisecurity.org/Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes使用指南,里面提供了如linux等安全加固方案。
云原生|kubernetes|kube-bench安全检测工具的部署和使用
zsk_john的技术分享专用博客
01-04 1035
== Remediations node == 4.2.6 If using a Kubelet config file, edit the file to set protectKernelDefaults: true. If using command line arguments, edit the kubelet service file /lib/systemd/system/kubelet.service on each worker node and set the below paramet
模块一:k8s集群部署与安全配置
weixin_39246554的博客
05-21 582
cks
kube-flannel.yml
06-30
标题 "kube-flannel.yml" 指的是 Kubernetes 集群中的一个配置文件,用于部署 Flannel 网络插件。Flannel 是一个轻量级的网络解决方案,旨在为 Kubernetes 集群提供跨主机的网络通信。通过运行 `kubectl apply -f ...
tensile-kube:Kubernetes提供商
04-14
这是一个基于virtual-kubelet实现的kubernetes提供程序。 在较高群集中创建的Pod将同步到较低群集。 如果pod依赖于configmap或密钥,则还将在集群中创建依赖关系。 多计划者 该调度器是在基础上实现的。 在调度pod...
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
k8s多集群管理工具kubecm
最新发布
misakivv的博客
07-25 578
k8s多集群管理工具kubecm
[k8s源码]9.workqueue
weixin_45396500的博客
07-24 1089
client-go 是一个库,提供了与 Kubernetes API 服务器交互的基础设施。它提供了诸如 Informer、Lister、ClientSet 等工具,用于监听、缓存和操作 Kubernetes 资源。而自定义控制器则利用这些工具来实现特定的业务逻辑和自动化任务。业务逻辑实现:client-go 不包含特定的业务逻辑。自定义控制器允许实现特定于您的应用程序或需求的逻辑。扩展 Kubernetes:通过自定义控制器,可以扩展 Kubernetes 的功能,处理自定义资源或实现特定的自动化任务。
K8S第一节:什么是K8S?
chililopp的博客
07-23 1346
kuberbetes这词是起源于希腊语,是舵手的意思,因为k与s之间一共有8个字母,所以大家习惯称呼为K8s;它的logo是一个舵,而舵是用来操控船的;而船不就是docker吗?​当使用docker或containerd作为容器运行时,如果运行大量的容器服务,此时管理这些容器就会很麻烦,而K8S就是这么一个对容器进行统一管理的开源容器编排平台,支持自动部署、扩展和容器化应用程序;
[k8s源码]8.deltaFIFO
weixin_45396500的博客
07-24 605
DeltaFIFO: 这是一个特殊类型的队列,它结合了FIFO(先进先出)队列的特性和增量(Delta)处理的能力。这种设计提供了处理的灵活性和优化的机会,允许控制器根据实际需求选择最有效的处理策略。Resync机制会将Indexer本地存储中的资源对象同步到DeltaFIFO中,并将这些资源对象设置为Sync的操作类型。Resync函数在Reflector中定时执行,它的执行周期由NewReflector函数传入的resyncPeriod参数设定。获取资源对象(如 Pod)的变化。
K8s 核心组件——API Server
谦虚使人发胖的博客
07-23 1421
Kubernetes API Server(API Server)是 Kubernetes 的核心组件之一,负责暴露 Kubernetes API 给用户和客户端,接收和处理来自客户端的请求,并将其存储到 etcd 中。Kubernetes API Server 主要作用是提供 Kubernetes 各类资源对象(如 Pod、Deployment、Service等)的增、删、改、查及 Watch 等 HTTP REST 接口,是集群内各个功能模块直接数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。
calico-kube-controllers pending
12-24
calico-kube-controllers pending表示calico-kube-controllers正在等待处理中。这可能是因为系统资源不足、网络连接问题或者其他未知的原因导致。要解决这个问题,可以尝试以下几种方法:首先,可以检查系统的资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值