国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

K8s安全配置:CIS基準與kube-bench工具

2年前作者:Bypass--分類:Toy博客閱讀(23)違法舉報

這篇具有很好參考價值的文章主要介紹了K8s安全配置:CIS基準與kube-bench工具。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

01、概述

K8s集群往往會因為配置不當導致存在入侵風險,如K8S組件的未授權訪問、容器逃逸和橫向攻擊等。為了保護K8s集群的安全,我們必須仔細檢查安全配置。

CIS Kubernetes基準提供了集群安全配置的最佳實踐,主要聚焦在兩個方面:主節(jié)點安全配置和工作節(jié)點安全配置。主節(jié)點安全配置涵蓋了控制平面節(jié)點配置文件、APIServer、Controller Manager、Scheduler、etcd等關鍵組件,而工作節(jié)點安全配置則專注于Kubelet和相關配置文件。通過遵循CIS Kubernetes基準,確保集群安全,降低入侵風險,保護敏感數(shù)據(jù)和業(yè)務連續(xù)性。

CIS Kubernetes基準包含了一百多個檢查項,手動逐項檢測效率較低,因此我們需要相應的工具來簡化這個過程。kube-bench是一個主要用于檢查Kubernetes集群是否符合CIS Kubernetes基準中列出的安全配置建議的工具。它能夠自動化地進行檢查,幫助我們快速發(fā)現(xiàn)并解決潛在的安全問題,提高集群的安全性和符合性。這樣,我們可以更高效地確保Kubernetes集群的安全可靠。

02、Kube-bench部署使用

(1)安裝部署

Ubuntu下,最簡單的方式就是使用dpkg命令安裝軟件包。

wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.deb
dpkg -i  kube-bench_0.6.17_linux_amd64.deb

(2)安全檢測

檢測master組件:

kube-bench run --targets=master  --benchmark=cis-1.24

K8s安全配置:CIS基準與kube-bench工具,kubernetes,安全,容器,云原生

03、自定義檢測規(guī)則

(1)kube-bench的規(guī)則文件是用YAML文件配置,提供了自定義檢測規(guī)則的能力。例如,我們可以通過編寫CIS自定義規(guī)則文件,用于檢查集群中是否有容器在特權模式下運行。

root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml 
      - id: 3.2.3
        text: "Ensure that the container does not use privileged mode (Manual)"
        audit: "if test -z $(kubectl get pods --all-namespaces -o jsonpath='{.items[*].spec.containers[?(@.securityContext.privileged==true)].name}'|sed 's/calico-node//g'|sed 's/kube-proxy//g');then echo ok;else echo err;fi;"
        tests:
          test_items:
            - flag: "ok"
        remediation: "If you do not need to use a container in privileged mode, turn off privileged mode"
        scored: true

(2)使用特權模式運行pod,添加privileged參數(shù)為true。

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: pod1
  name: pod1
spec:
  containers:
  - image: busybox
    name: pod1
    command: ['/bin/sh','-c','sleep 24h']    
    securityContext:
      privileged: true

(3)使用kube-bench檢測,存在特權容器,檢測狀態(tài)為FAIL。

K8s安全配置:CIS基準與kube-bench工具,kubernetes,安全,容器,云原生

刪除對應的特權容器,再次檢測,檢測狀態(tài)為PASS。

K8s安全配置:CIS基準與kube-bench工具,kubernetes,安全,容器,云原生文章來源地址http://www.zghlxwxcb.cn/news/detail-622458.html

到了這里,關于K8s安全配置:CIS基準與kube-bench工具的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領支付寶紅包贊助服務器費用

相關文章

  • K8S集群安全升級(CIS CNI Calico)

    K8S集群安全升級(CIS CNI Calico)

    1.1.1 CIS基礎 學習目標 這一節(jié),我們從 基準測試、基準手冊、小結 三個方面來學習 基準測試 簡介 CIS CIS基準 Kubernetes CIS 基準測試 基準手冊 簡介 K8s CIS手冊 小結 1.1.2 測試工具 學習目標 這一節(jié),我們從 工具簡介、工具解析、小結 三個方面來學習 工具簡介 簡介 工具部署 工

    2024年02月12日
    瀏覽(24)
  • 【K8S系列】深入解析k8s 網(wǎng)絡插件—kube-router

    【K8S系列】深入解析k8s 網(wǎng)絡插件—kube-router

    做一件事并不難,難的是在于堅持。堅持一下也不難,難的是堅持到底。 文章標記顏色說明: 黃色 :重要標題 紅色 :用來標記結論 綠色 :用來標記論點 藍色 :用來標記論點 在現(xiàn)代容器化應用程序的世界中,容器編排平臺Kubernetes已經(jīng)成為標準。Kubernetes是一個分布式系統(tǒng)

    2024年02月08日
    瀏覽(20)
  • k8s kube-proxy詳解

    k8s kube-proxy詳解

    kube-proxy是kubernetes中網(wǎng)絡核心組件,實現(xiàn)了服務暴露和轉(zhuǎn)發(fā)等網(wǎng)絡功能。kube-proxy支持userspace,ipvs和iptables三種代理模式。userspace性能問題較嚴重,基本不再使用,應用最多的是iptables和ipvs模式。 kube-proxy 以daemonset的方式運行在每個Node計算節(jié)點上,負責Pod網(wǎng)絡代理, 它會定時通

    2024年02月10日
    瀏覽(25)

  • 詳解K8s 鏡像緩存管理kube-fledged

    本文分享自華為云社區(qū)《K8s 鏡像緩存管理 kube-fledged 認知》,作者: 山河已無恙。 我們知道? k8s ?上的容器調(diào)度需要在調(diào)度的節(jié)點行拉取當前容器的鏡像,在一些特殊場景中, 需要 快速啟動和/或擴展 的應用程序。例如,由于數(shù)據(jù)量激增,執(zhí)行實時數(shù)據(jù)處理的應用程序需要

    2024年04月15日
    瀏覽(24)

  • k8s安裝kube-promethues(0.7版本)

    目錄 k8s安裝kube-promethues(0.7版本) 一.檢查本地k8s版本,下載對應安裝包 二.安裝前準備 1.文件分類整理 2.查看K8s集群是否安裝NFS持久化存儲,如果沒有則需要安裝配置 1).安裝NFS服務 2).k8s注冊nfs服務 3.修改Prometheus 持久化 4.修改grafana持久化配置 5.修改 promethus和Grafana的Service 端口

    2024年02月08日
    瀏覽(19)

  • k8s安裝promethues,kube-promethues安裝法

    目錄 k8s安裝kube-promethues(0.7版本) 一.檢查本地k8s版本,下載對應安裝包 二.安裝前準備 1.文件分類整理 2.查看K8s集群是否安裝NFS持久化存儲,如果沒有則需要安裝配置 1).安裝NFS服務 2).k8s注冊nfs服務 3.修改Prometheus 持久化 4.修改grafana持久化配置 5.修改 promethus和Grafana的Service 端口

    2024年02月08日
    瀏覽(25)

  • k8s安裝promethues監(jiān)控,kube-promethues安裝法

    目錄 k8s安裝kube-promethues(0.7版本) 一.檢查本地k8s版本,下載對應安裝包 二.安裝前準備 1.文件分類整理 2.查看K8s集群是否安裝NFS持久化存儲,如果沒有則需要安裝配置 1).安裝NFS服務 2).k8s注冊nfs服務 3.修改Prometheus 持久化 4.修改grafana持久化配置 5.修改 promethus和Grafana的Service 端口

    2024年02月08日
    瀏覽(17)

  • 記錄k8s kube-controller-manager-k8s-master kube-scheduler-k8s-master重啟

    1、報錯如下 I0529 01:47:12.679312 ? ? ? 1 event.go:307] \\\"Event occurred\\\" object=\\\"k8s-node-1\\\" fieldPath=\\\"\\\" kind=\\\"Node\\\" apiVersion=\\\"v1\\\" type=\\\"Normal\\\" reason=\\\"CIDRNotAvailable\\\" message=\\\"Node k8s-node-1 status is now: CIDRNotAvailable\\\" E0529 01:48:44.516760 ? ? ? 1 controller_utils.go:262] Error while processing Node Add/Delete: failed to allocate cid

    2024年02月09日
    瀏覽(29)
  • 夜鶯(Flashcat)V6監(jiān)控(五):夜鶯監(jiān)控k8s組件(下)---使用kube-state-metrics監(jiān)控K8s對象

    夜鶯(Flashcat)V6監(jiān)控(五):夜鶯監(jiān)控k8s組件(下)---使用kube-state-metrics監(jiān)控K8s對象

    目錄 (一)前言 (二)categraf作為Daemonset的方式去運行監(jiān)控k8s組件 ?(1)1.24版本以下的k8s集群部署方法: ①創(chuàng)建autu.yaml綁定權限 ②Daemonset部署categraf采集監(jiān)控kubelet,kube-proxy ③測試數(shù)據(jù)是否采集成功 ?(2)1.24版本以上的k8s集群部署方法: ①創(chuàng)建secret token 綁定sa賬號 ③測試認證 ④Daemo

    2024年02月09日
    瀏覽(33)
  • 通過kube-apiserver訪問K8s集群中的App

    通過kube-apiserver訪問K8s集群中的App

    K8s集群中的App(或者svc),通常使用ClusterIP,NodePort,Loadbalancer這些方式訪問,但是你也可以通過Kube-apiserver(管理面)來訪問App。 在《跟唐老師學習云網(wǎng)絡 - Kubernetes網(wǎng)絡實現(xiàn)》里面,提到K8s集群里面的容器,有幾種訪問方法: LoadBalancer Ingress ClusterIP NodePort 這里就不再分析

    2024年01月19日
    瀏覽(23)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包