日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
K8s安全配置:CIS基準(zhǔn)與kube-bench工具

01、概述

K8s集群往往會(huì)因?yàn)榕渲貌划?dāng)導(dǎo)致存在入侵風(fēng)險(xiǎn),如K8S組件的未授權(quán)訪問(wèn)、容器逃逸和橫向攻擊等。為了保護(hù)K8s集群的安全,我們必須仔細(xì)檢查安全配置。

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),丹鳳企業(yè)網(wǎng)站建設(shè),丹鳳品牌網(wǎng)站建設(shè),網(wǎng)站定制,丹鳳網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,丹鳳網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶成長(zhǎng)自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

CIS Kubernetes基準(zhǔn)提供了集群安全配置的最佳實(shí)踐,主要聚焦在兩個(gè)方面:主節(jié)點(diǎn)安全配置和工作節(jié)點(diǎn)安全配置。主節(jié)點(diǎn)安全配置涵蓋了控制平面節(jié)點(diǎn)配置文件、APIServer、Controller Manager、Scheduler、etcd等關(guān)鍵組件,而工作節(jié)點(diǎn)安全配置則專注于Kubelet和相關(guān)配置文件。通過(guò)遵循CIS Kubernetes基準(zhǔn),確保集群安全,降低入侵風(fēng)險(xiǎn),保護(hù)敏感數(shù)據(jù)和業(yè)務(wù)連續(xù)性。

CIS Kubernetes基準(zhǔn)包含了一百多個(gè)檢查項(xiàng),手動(dòng)逐項(xiàng)檢測(cè)效率較低,因此我們需要相應(yīng)的工具來(lái)簡(jiǎn)化這個(gè)過(guò)程。kube-bench是一個(gè)主要用于檢查Kubernetes集群是否符合CIS Kubernetes基準(zhǔn)中列出的安全配置建議的工具。它能夠自動(dòng)化地進(jìn)行檢查,幫助我們快速發(fā)現(xiàn)并解決潛在的安全問(wèn)題,提高集群的安全性和符合性。這樣,我們可以更高效地確保Kubernetes集群的安全可靠。

02、Kube-bench部署使用

(1)安裝部署

Ubuntu下,最簡(jiǎn)單的方式就是使用dpkg命令安裝軟件包。

wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.deb
dpkg -i  kube-bench_0.6.17_linux_amd64.deb

(2)安全檢測(cè)

檢測(cè)master組件:

kube-bench run --targets=master  --benchmark=cis-1.24

圖片

03、自定義檢測(cè)規(guī)則

(1)kube-bench的規(guī)則文件是用YAML文件配置,提供了自定義檢測(cè)規(guī)則的能力。例如,我們可以通過(guò)編寫CIS自定義規(guī)則文件,用于檢查集群中是否有容器在特權(quán)模式下運(yùn)行。

root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml 
      - id: 3.2.3
        text: "Ensure that the container does not use privileged mode (Manual)"
        audit: "if test -z $(kubectl get pods --all-namespaces -o jsnotallow='{.items[*].spec.containers[?(@.securityContext.privileged==true)].name}'|sed 's/calico-node//g'|sed 's/kube-proxy//g');then echo ok;else echo err;fi;"
        tests:
          test_items:
            - flag: "ok"
        remediation: "If you do not need to use a container in privileged mode, turn off privileged mode"
        scored: true

(2)使用特權(quán)模式運(yùn)行pod,添加privileged參數(shù)為true。

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: pod1
  name: pod1
spec:
  containers:
  - image: busybox
    name: pod1
    command: ['/bin/sh','-c','sleep 24h']    
    securityContext:
      privileged: true

(3)使用kube-bench檢測(cè),存在特權(quán)容器,檢測(cè)狀態(tài)為FAIL。

圖片

刪除對(duì)應(yīng)的特權(quán)容器,再次檢測(cè),檢測(cè)狀態(tài)為PASS。

圖片


網(wǎng)頁(yè)名稱:K8s安全配置:CIS基準(zhǔn)與kube-bench工具
文章網(wǎng)址:http://www.dlmjj.cn/article/coehsie.html