[K8s][CKS] Kube-bench
CIS benchmarks
인터넷 보안 센터(CIS)는 보안 권장 수준을 위한 벤치마크를 출시한다.
CIS Kubernetes 벤치마크는 강력한 보안 수준 지원을 위한 쿠버네티스 구성 권장 수준 집합이다.
CIS kubernetes 벤치마크는 쿠버네티스 배포용으로 작성되었으며, 배포 간 범용 적용이 가능하도록 고안되었다.
CIS Kubernetes Benchmarks
Download our step-by-step checklist to secure your platform: An objective, consensus-driven security guideline for Kubernetes.
www.cisecurity.org
Kube-bench
위 CIS의 벤치마크 요소를 하나하나 살펴보는 것은 쉽지 않은 일이기때문에,
kube-bench라는 오픈소스를 구성해 많은 사용자들이 쿠버네티스의 설정 취약점을 파악할 수 있도록 했다.
GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the C
Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark - aquasecurity/kube-bench
github.com
kube-bench는 리눅스 환경에서 다음과 같이 사용할 수 있다.
# kube-bench 설치
curl -L \
https://github.com/aquasecurity/kube-bench/releases/download/v0.6.3/kube-bench_0.6.3_linux_amd64.tar.gz \
-o kube-bench_0.6.3_linux_amd64.tar.gz
tar -xvf kube-bench_0.6.3_linux_amd64.tar.gz
# kube-bench 실행
./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml
kube-bench 를 실행하면 다음과 같이 벤치마크 항목에서 취약한 부분을 확인할 수 있다.
실제 CKS 시험 환경에서는 이미 kube-bench가 설치되어있고, 다음 명령어를 실행하면 확인이 가능하다고 한다.
kube-bench run
참고
https://cloud.google.com/kubernetes-engine/docs/concepts/cis-benchmarks?hl=ko
'🐳 Container > K8S' 카테고리의 다른 글
| [K8s][CKS] 컨테이너의 불변성 보장 (0) | 2024.05.24 |
|---|---|
| [K8s][CKS] TLS (Cipher-Suites) (0) | 2024.05.23 |
| [K8s][CKS] 런타임 클래스 (runtime class) (0) | 2024.05.13 |
| [K8s] Storage Class (0) | 2024.04.29 |
| [K8s] PV(Persistent Volume), PVC(Persistent Volume Claim) (0) | 2024.04.26 |
