kube-bench Docker镜像文档

1. 镜像概述和主要用途

1.1 概述

kube-bench是一款基于CIS Kubernetes Benchmark的安全检查工具，用于验证Kubernetes集群是否按照安全最佳实践部署。该Docker镜像包含kube-bench的Go语言应用程序，可便捷地在主机或Kubernetes集群中运行，执行安全合规性检查。

1.2 主要用途

• 评估Kubernetes集群的安全配置是否符合CIS Kubernetes Benchmark标准
• 识别集群部署中的安全漏洞和不合规项
• 生成详细的安全检查报告，辅助安全审计与合规验证

2. 核心功能和特性

• 遵循CIS基准：严格实现CIS Kubernetes Benchmark中的安全检查项，确保测试结果与行业安全标准一致
• 灵活配置：测试用例通过YAML文件定义，便于随CIS基准更新或自定义检查规则
• 版本自适应：默认根据主机运行的Kubernetes版本自动选择匹配的CIS基准测试集
• 多环境支持：支持在Kubernetes集群内（作为Pod/Job）或直接通过Docker在主机上运行
• 轻量高效：基于Go语言开发，容器化部署，资源占用低，检查速度快

3. 使用场景和适用范围

3.1 适用场景

• Kubernetes集群安全审计：定期对生产/测试集群进行安全合规性检查
• 部署前验证：新集群部署或版本升级后，验证安全配置是否符合要求
• 合规性报告：满足内部安全政策或外部合规标准（如PCI-DSS、HIPAA）对Kubernetes安全的要求
• CI/CD集成：在部署流程中集成，确保代码和配置无安全隐患

3.2 适用范围

• Kubernetes集群（包括控制平面节点、工作节点）
• 支持的Kubernetes版本需参考CIS Kubernetes Benchmark版本映射（详见注意事项）
• 适用于需要符合CIS安全标准的组织或个人

4. 使用方法和配置说明

4.1 快速开始（Kubernetes集群内运行）

4.1.1 通过Job部署

kube-bench可作为Kubernetes Job运行，需挂载主机必要目录以访问配置文件和进程信息。执行以下命令部署官方提供的job.yaml：

# 应用Job配置
kubectl apply -f [***]

# 查看Pod状态
kubectl get pods | grep kube-bench

# 等待Pod状态变为Completed后，查看检查结果
kubectl logs <kube-bench-pod-name>

4.1.2 结果示例

日志输出按CIS基准章节组织，包含检查项状态及说明：

[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
[PASS] 1.1.1 Ensure that the --anonymous-auth flag is set to false (Automated)
[FAIL] 1.1.2 Ensure that the --authorization-mode flag includes Node (Automated)
...

4.2 Docker直接运行（主机环境）

在非Kubernetes环境中，通过Docker直接在主机运行，需挂载主机PID命名空间和相关目录：

docker run --rm \
  --pid=host \
  -v /var/lib/kubelet:/var/lib/kubelet \
  -v /etc/kubernetes:/etc/kubernetes \
  -v /etc/systemd:/etc/systemd \
  -v /lib/systemd:/lib/systemd \
  -v /srv/kubernetes:/srv/kubernetes \
  aquasec/kube-bench

参数说明：

• --pid=host：访问主机PID命名空间，用于检查运行中的进程
• -v：挂载主机目录，确保kube-bench能读取Kubernetes配置文件（如/etc/kubernetes）、系统服务配置（如/etc/systemd）等

4.3 配置参数

4.3.1 环境变量

• K8S_VERSION：手动指定Kubernetes版本（如1.28），覆盖自动检测结果
• BENCHMARK_VERSION：指定CIS基准版本（如cis-1.8），需与Kubernetes版本兼容
• OUTPUT_FORMAT：指定输出格式，支持text（默认）、json、csv

示例：指定Kubernetes 1.28版本和JSON输出格式

docker run --rm \
  --pid=host \
  -v /var/lib/kubelet:/var/lib/kubelet \
  -v /etc/kubernetes:/etc/kubernetes \
  -e K8S_VERSION=1.28 \
  -e OUTPUT_FORMAT=json \
  aquasec/kube-bench

4.3.2 自定义测试配置

通过挂载自定义YAML测试文件，修改或扩展检查项。将自定义配置目录挂载至容器/etc/kube-bench/cfg：

docker run --rm \
  --pid=host \
  -v /var/lib/kubelet:/var/lib/kubelet \
  -v /path/to/custom/cfg:/etc/kube-bench/cfg \  # 挂载自定义配置目录
  aquasec/kube-bench

5. 注意事项

5.1 CIS基准与Kubernetes版本映射

kube-bench测试集依赖CIS Kubernetes Benchmark版本，二者并非与Kubernetes版本同步发布。具体映射关系参考CIS Kubernetes Benchmark支持文档。

5.2 问题反馈

• 若kube-bench未正确实现CIS基准测试项，可在kube-bench GitHub仓库提交issue
• 若对CIS基准本身有疑问，需通过CIS社区反馈

5.3 默认行为

kube-bench默认通过检测主机Kubernetes版本自动选择测试集。如需手动指定，可通过K8S_VERSION或BENCHMARK_VERSION环境变量覆盖。

6. 相关资源

• 官方GitHub仓库
• 完整使用文档
• CIS Kubernetes Benchmark官方文档