对于Kubernetes用户而言，安全永远是最受关注的话题。在谷歌/百度搜索“Kubernetes安全”，你会搜到大量的文章、博客等信息。Rancher也十分重视用户的安全问题。原因很简单：你需要使容器和Kubernetes安全与企业中现有的安全配置文件保持一致。

在Kubernetes中有许多特性可以保证你的集群安全——身份验证和身份授权、etcd数据库中的secret和对象中的加密等等。但是除此之外，你还需要了解其他风险，比如权限逐步扩大并获取secret。

互联网安全中心（CIS）发布的全面的Kubernetes Benchmark为建立Kubernetes的安全配置提供了规范指导：

https://www.cisecurity.org/benchmark/kubernetes/

当你在查看Kubernetes及其安全状况时，需要考虑你的实际操作如何与其保持一致。特别要注意：

强化环境并与CIS的Benchmark保持一致
排查可能会被利用的漏洞

下图是有关Kubernetes安全的一个框架，本文重点介绍运行时和平台安全性的内容。

有一些十分优秀的工具可以利用CIS Benchmark检测当前Kubernetes环境中潜在的安全风险，并与你的安全实践保持一致。在本文中，我们将探讨其中的两个。

kube-bench和kube-hunter

kube-bench和kube-hunter是Aqua的开源工具，它们可以在Kubernetes集群中寻找安全问题。它们在Kubernetes基础架构堆栈中分析安全状况的方法有所区别。kube-bench主要用于让你的实践符合CIS的标准，而kube-hunter则关注你要暴露的漏洞。它们两个结合使用，可以为我们确定合规性提供一个很好的视角。

让我们先从kube-bench开始，它会根据CIS的安全性最佳实践检查Kubernetes是否部署。kube-bench可以运行在本地或在你的Kubernetes环境中作为容器。一旦部署完成，kube-bench会根据要执行的测试以及不同的Kubernetes版本，为你提供一些用于master或节点的配置文件。需要注意的是，配置文件会被写入YAML。那意味着你可以对它们进行调整以适应你的测试，或者当CIS或Kubernetes公开更多测试时直接采用它们即可。

以下CIS Benchmark摘要摘录了你可以获取、测试和修正的信息。kube-bench通过运行符合CIS Benchmark的测试来做到这一点。然后你将会获得总结性的信息以及在需要的时候会获得修正建议。例如，如果你在你的API Server上关闭了身份认证，那么给出的建议中会向你解释如何启用身份认证。你执行任意修正操作之后，需要再一次运行这个工具，直到完全符合标准。

CIS 的Kubernetes 安全性Benchmark，p14

运行kube-bench

kube-bench向你展示了如何根据CIS Benchmark或你的容器生命周期来调整你的环境，使其符合企业的最佳实践。

首先登录你的Kubernetes server，在上面直接运行kube-bench，并安装。通过运行Docker命令docker run –rm -v pwd:/host aquasec/kube-bench:latest install，可以在你的环境中部署容器，如下所示：

部署完成后，它将安装kube-bench，并将其运行在Kubernetes server上。这时，你需要决定运行哪个测试，并确定要展示哪些信息在屏幕上。它会默认展示很多信息，所以你可以设置几个标志（flag），让它只展示几项你需要的信息。如下所示：

以下是运行“./kube-bench node”这一命令的输出结果：

运行kube-hunter

kube-hunter会在你的环境内部或外部运行扫描功能，以让你了解在你的Kubernetes平台中的安全性漏洞。kube-hunter可以在集群内部或外部、在任何机器上作为一个容器运行。当你进入集群DNS或IP之后，kube-hunter就会开始查看你当前打开的端口、运行测试并查看是否存在任何漏洞。然后，你将会获得大量相关信息，可以帮助你确定下一步应该如何执行。

kube-hunter的默认状态是“passive”，这意味着它将查找诸如Kubernetes SSL证书中的电子邮件地址之类的内容，并检查开放端口、代理服务和dashboard。在“active”状态中，kube-hunter将会查找其他弱点，并利用发现的弱点来进一步探索漏洞，因此它十分强大。虽然kube-hunter不会查看容器镜像内部（有其他工具可以专门查看此处），但它可以运行可能暴露数据泄露或有危害的电子邮件地址的测试。

这有一个完整的列表，可以帮助你使用kube-hunter进行passive和active测试：

https://kube-hunter.aquasec.com/

你可以用以下几种方式来安装和运行kube-hunter：

本地机器：通过Python脚本安装，它可以让你执行远程扫描
容器：通过基于Docker的容器安装，你可以将该容器运行在你的Kubernetes集群内
Pod：这可以让你看到潜在危害的pod

本文我们将使用容器的方法。开始之前，需要在Aqua（https://kube-hunter.aquasec.com/）上注册，以获得一个token来安装一个Docker容器并运行远程扫描。

然后你将获得一个Docker命令

这有三个扫描选项（如下）。你可以修改显示的信息（基于日志），这取决于你想了解什么内容，例如debug、info（这是默认的）以及标准告警。

接下来，你将获得一个漏洞列表，其中包括严重性、用户环境的详细信息以及你可以与组织共享的URL。

结论

在本文中，我们了解了两个强大的工具，kube-bench和kube-hunter，它们可以让你了解你的Kubernetes安全。就你的整体安全状况而言，这两个工具仅仅只是开始。你还需要解决容器生命周期的其他方面的问题。在CNCF中也有几种工具，你可以利用它们为Kubernetes及其中的服务构建全面安全的格局。

创作场景

两个开源工具，强化你的 K8S 安全！