K8s集群往往会因为配置不当导致存在入侵风险,配置如K8S组件的安全未授权访问、容器逃逸和横向攻击等。配置为了保护K8s集群的安全安全,我们必须仔细检查安全配置。配置
CIS Kubernetes基准提供了集群安全配置的安全最佳实践,主要聚焦在两个方面:主节点安全配置和工作节点安全配置。配置主节点安全配置涵盖了控制平面节点配置文件、安全APIServer、配置Controller Manager、安全Scheduler、etcd等关键组件,而工作节点安全配置则专注于Kubelet和相关配置文件。通过遵循CIS Kubernetes基准,确保集群安全,降低入侵风险,保护敏感数据和业务连续性。
CIS Kubernetes基准包含了一百多个检查项,手动逐项检测效率较低,因此我们需要相应的工具来简化这个过程。kube-bench是一个主要用于检查Kubernetes集群是否符合CIS Kubernetes基准中列出的安全配置建议的工具。它能够自动化地进行检查,帮助我们快速发现并解决潜在的安全问题,提高集群的安全性和符合性。这样,我们可以更高效地确保Kubernetes集群的安全可靠。
Ubuntu下,最简单的方式就是使用dpkg命令安装软件包。
wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.debdpkg -i kube-bench_0.6.17_linux_amd64.deb
检测master组件:
kube-bench run --targets=master --benchmark=cis-1.24
图片
(1)kube-bench的规则文件是用YAML文件配置,提供了自定义检测规则的能力。例如,我们可以通过编写CIS自定义规则文件,用于检查集群中是否有容器在特权模式下运行。
root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml - id: 3.2.3 text: "Ensure that the container does not use privileged mode (Manual)" audit: "if test -z $(kubectl get pods --all-namespaces -o jsnotallow='{ .items[*].spec.containers[?(@.securityContext.privileged==true)].name}'|sed 's/calico-node//g'|sed 's/kube-proxy//g');then echo ok;else echo err;fi;" tests: test_items: - flag: "ok" remediation: "If you do not need to use a container in privileged mode, turn off privileged mode" scored: true
(2)使用特权模式运行pod,添加privileged参数为true。
apiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod1 name: pod1spec: containers: - image: busybox name: pod1 command: ['/bin/sh','-c','sleep 24h'] securityContext: privileged: true
(3)使用kube-bench检测,存在特权容器,检测状态为FAIL。
图片
删除对应的特权容器,再次检测,检测状态为PASS。
图片
(责任编辑:综合)
中国经济半年报:19.5万亿“购物车”带旺消费升级 服务消费跑得快
航天科技集团研制大气环境监测卫星大气一号上线 高精度监测能力提升
10月底前完成数据安全检查 推动建立行业网络数据安全保障体系和长效机制
皇朝家居(01198.HK)发布公告:年度归母净利同比下降89.2%