01�、概述
K8s集群往往會因為配置不當導致存在入侵風險���,如K8S組件的未授權訪問�����、容器逃逸和橫向攻擊等����。為了保護K8s集群的安全��,我們必須仔細檢查安全配置����。
成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,丹鳳企業(yè)網(wǎng)站建設,丹鳳品牌網(wǎng)站建設,網(wǎng)站定制,丹鳳網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,丹鳳網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)��,幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力��??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端���、多元的互聯(lián)網(wǎng)需求�。同時我們時刻保持專業(yè)、時尚���、前沿����,時刻以成就客戶成長自我���,堅持不斷學習��、思考����、沉淀����、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站��。
CIS Kubernetes基準提供了集群安全配置的最佳實踐�����,主要聚焦在兩個方面:主節(jié)點安全配置和工作節(jié)點安全配置。主節(jié)點安全配置涵蓋了控制平面節(jié)點配置文件��、APIServer��、Controller Manager�����、Scheduler����、etcd等關鍵組件,而工作節(jié)點安全配置則專注于Kubelet和相關配置文件��。通過遵循CIS Kubernetes基準���,確保集群安全�����,降低入侵風險,保護敏感數(shù)據(jù)和業(yè)務連續(xù)性�。
CIS Kubernetes基準包含了一百多個檢查項,手動逐項檢測效率較低����,因此我們需要相應的工具來簡化這個過程�。kube-bench是一個主要用于檢查Kubernetes集群是否符合CIS Kubernetes基準中列出的安全配置建議的工具���。它能夠自動化地進行檢查�,幫助我們快速發(fā)現(xiàn)并解決潛在的安全問題�����,提高集群的安全性和符合性���。這樣�����,我們可以更高效地確保Kubernetes集群的安全可靠��。
02�、Kube-bench部署使用
(1)安裝部署
Ubuntu下���,最簡單的方式就是使用dpkg命令安裝軟件包��。
wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.deb
dpkg -i kube-bench_0.6.17_linux_amd64.deb
(2)安全檢測
檢測master組件:
kube-bench run --targets=master --benchmark=cis-1.24
圖片
03�����、自定義檢測規(guī)則
(1)kube-bench的規(guī)則文件是用YAML文件配置����,提供了自定義檢測規(guī)則的能力。例如�,我們可以通過編寫CIS自定義規(guī)則文件,用于檢查集群中是否有容器在特權模式下運行���。
root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml
- id: 3.2.3
text: "Ensure that the container does not use privileged mode (Manual)"
audit: "if test -z $(kubectl get pods --all-namespaces -o jsnotallow='{.items[*].spec.containers[?(@.securityContext.privileged==true)].name}'|sed 's/calico-node//g'|sed 's/kube-proxy//g');then echo ok;else echo err;fi;"
tests:
test_items:
- flag: "ok"
remediation: "If you do not need to use a container in privileged mode, turn off privileged mode"
scored: true
(2)使用特權模式運行pod���,添加privileged參數(shù)為true。
apiVersion: v1
kind: Pod
metadata:
creationTimestamp: null
labels:
run: pod1
name: pod1
spec:
containers:
- image: busybox
name: pod1
command: ['/bin/sh','-c','sleep 24h']
securityContext:
privileged: true
(3)使用kube-bench檢測�����,存在特權容器��,檢測狀態(tài)為FAIL�����。
圖片
刪除對應的特權容器�,再次檢測,檢測狀態(tài)為PASS�。
圖片
文章名稱:K8s安全配置:CIS基準與kube-bench工具
URL標題:
http://uogjgqi.cn/article/coehsie.html
