K8s安全配置：CIS基准与kube-bench工具

01、安全概述

K8s集群往往会因为配置不当导致存在入侵风险 ，配置如K8S组件的工具未授权访问 、容器逃逸和横向攻击等。安全为了保护K8s集群的配置安全，我们必须仔细检查安全配置
。工具

CIS Kubernetes基准提供了集群安全配置的安全最佳实践，主要聚焦在两个方面
 ：主节点安全配置和工作节点安全配置。模板下载配置主节点安全配置涵盖了控制平面节点配置文件、工具APIServer、安全Controller Manager
、配置Scheduler 、工具etcd等关键组件，安全而工作节点安全配置则专注于Kubelet和相关配置文件 。配置通过遵循CIS Kubernetes基准，工具确保集群安全，降低入侵风险 ，保护敏感数据和业务连续性
。服务器租用

CIS Kubernetes基准包含了一百多个检查项 ，手动逐项检测效率较低，因此我们需要相应的工具来简化这个过程。kube-bench是一个主要用于检查Kubernetes集群是否符合CIS Kubernetes基准中列出的安全配置建议的工具。它能够自动化地进行检查，源码库帮助我们快速发现并解决潜在的安全问题，提高集群的安全性和符合性。这样，我们可以更高效地确保Kubernetes集群的安全可靠。

02、Kube-bench部署使用

（1）安装部署

Ubuntu下，最简单的亿华云方式就是使用dpkg命令安装软件包 。

复制wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.deb dpkg -i kube-bench_0.6.17_linux_amd64.deb1.2.

（2）安全检测

检测master组件：

复制kube-bench run --targets=master --benchmark=cis-1.241.

图片

03、自定义检测规则

（1）kube-bench的规则文件是用YAML文件配置，提供了自定义检测规则的能力。例如，我们可以通过编写CIS自定义规则文件
，免费模板用于检查集群中是否有容器在特权模式下运行。

复制root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml - id: 3.2.3 text: "Ensure that the container does not use privileged mode (Manual)" audit: "if test -z $(kubectl get pods --all-namespaces -o jsnotallow={ .items[*].spec.containers[?(@.securityContext.privileged==true)].name}|sed s/calico-node//g|sed s/kube-proxy//g);then echo ok;else echo err;fi;" tests: test_items: - flag: "ok" remediation: "If you do not need to use a container in privileged mode, turn off privileged mode" scored: true1.2.3.4.5.6.7.8.9.

（2）使用特权模式运行pod ，添加privileged参数为true 。

复制apiVersion: v1 kind: Pod metadata: creationTimestamp: null labels: run: pod1 name: pod1 spec: containers: - image: busybox name: pod1 command: [/bin/sh,-c,sleep 24h] securityContext: privileged: true1.2.3.4.5.6.7.8.9.10.11.12.13.14.

（3）使用kube-bench检测
 ，存在特权容器 ，检测状态为FAIL。

图片

删除对应的特权容器 ，再次检测，云计算检测状态为PASS
。

图片