01、概述
K8s集群往往会因为配置不当导致存在入侵风险,如K8S组件的未授权访问、容器逃逸和横向攻击等。为了保护K8s集群的安全,我们必须仔细检查安全配置。
CIS Kubernetes基准提供了集群安全配置的最佳实践,主要聚焦在两个方面:主节点安全配置和工作节点安全配置。主节点安全配置涵盖了控制平面节点配置文件、APIServer、Controller Manager、Scheduler、etcd等关键组件,而工作节点安全配置则专注于Kubelet和相关配置文件。通过遵循CIS Kubernetes基准,确保集群安全,降低入侵风险,保护敏感数据和业务连续性。
CIS Kubernetes基准包含了一百多个检查项,手动逐项检测效率较低,因此我们需要相应的工具来简化这个过程。kube-bench是一个主要用于检查Kubernetes集群是否符合CIS Kubernetes基准中列出的安全配置建议的工具。它能够自动化地进行检查,帮助我们快速发现并解决潜在的安全问题,提高集群的安全性和符合性。这样,我们可以更高效地确保Kubernetes集群的安全可靠。
02、Kube-bench部署使用
(1)安装部署
Ubuntu下,最简单的方式就是使用dpkg命令安装软件包。
wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.17/kube-bench_0.6.17_linux_amd64.deb
dpkg -i kube-bench_0.6.17_linux_amd64.deb
(2)安全检测
检测master组件:
kube-bench run --targets=master --benchmark=cis-1.24
03、自定义检测规则
(1)kube-bench的规则文件是用YAML文件配置,提供了自定义检测规则的能力。例如,我们可以通过编写CIS自定义规则文件,用于检查集群中是否有容器在特权模式下运行。
root@master01:/etc/kube-bench/cfg/cis-1.24# vi controlplane.yaml - id: 3.2.3text: "Ensure that the container does not use privileged mode (Manual)"audit: "if test -z $(kubectl get pods --all-namespaces -o jsonpath='{.items[*].spec.containers[?(@.securityContext.privileged==true)].name}'|sed 's/calico-node//g'|sed 's/kube-proxy//g');then echo ok;else echo err;fi;"tests:test_items:- flag: "ok"remediation: "If you do not need to use a container in privileged mode, turn off privileged mode"scored: true
(2)使用特权模式运行pod,添加privileged参数为true。
apiVersion: v1
kind: Pod
metadata:creationTimestamp: nulllabels:run: pod1name: pod1
spec:containers:- image: busyboxname: pod1command: ['/bin/sh','-c','sleep 24h'] securityContext:privileged: true
(3)使用kube-bench检测,存在特权容器,检测状态为FAIL。
删除对应的特权容器,再次检测,检测状态为PASS。