kube-bench是Aqua Security开发的开源工具，用于检测Kubernetes集群是否符合CIS安全基准。它通过自动化检查控制平面、节点配置和系统设置，输出各检查项的PASS、FAIL、WARN或INFO状态，并提供修复建议。工具以容器或二进制方式运行，不修改系统配置，仅用于审计，适合生产环境。推荐使用容器方式部署，通过挂载宿主机目录并以特权模式运行，可分别对master或node节点执行扫描。扫描结果包含CIS条款编号，便于对照官方文档，重点关注FAIL项如etcd权限、RBAC启用、Kubelet匿名访问等。建议将kube-bench集成到CI/CD或巡检流程，通过定时任务、JSON输出、Prometheus监控等方式实现持续合规评估，提升集群安全性。

在 Kubernetes 集群运维中，安全基线合规性至关重要。kube-bench 是一个由 Aqua Security 开发的开源工具，专门用于检测 Kubernetes 集群是否符合 CIS（Center for Internet Security）制定的安全基准。它通过运行一系列检查项，帮助你识别配置风险并提升集群安全性。

什么是 kube-bench

kube-bench 是一个自动化扫描工具，依据 CIS Kubernetes Benchmark 文档中的建议，对控制平面组件、节点配置和系统设置进行逐项检查。它会输出哪些项已通过、哪些存在风险，并提供修复建议。

该工具以二进制或容器方式运行，不会修改系统配置，仅用于审计评估，适合在生产环境中使用。

如何部署和运行 kube-bench

kube-bench 可直接在节点上作为容器运行，也可以下载二进制文件本地执行。推荐使用容器方式避免依赖问题。

以下是在单个节点上运行 kube-bench 的基本步骤：

• 拉取官方镜像：docker pull aquasec/kube-bench:latest
• 确认当前节点角色（master 或 node）
• 以特权模式挂载宿主机的二进制目录和配置路径
• 运行容器并指定目标节点类型，例如检查工作节点：

docker run -it --rm \ --pid=host \ -v /etc:/etc:ro \ -v /var:/var:ro \ -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl \ aquasec/kube-bench:latest

如果检查 master 节点，添加 --master 参数：

理解扫描结果与常见问题

执行完成后，kube-bench 会输出详细报告，每条检查包含 PASS、FAIL、WARN 或 INFO 状态。

重点关注 FAIL 项，例如：

• etcd 数据目录未设置权限（应为 700）
• API Server 未启用 RBAC 认证
• Kubelet 匿名访问未关闭
• 日志记录未启用审计功能

每一项都会标明对应的 CIS 条款编号（如 1.2.1），可对照官方文档查阅具体要求。报告末尾还会给出总分统计，便于持续跟踪改进效果。

集成到 CI/CD 或定期巡检流程

为保持集群长期合规，建议将 kube-bench 加入日常巡检脚本或 CI/CD 流水线。

你可以：

• 编写定时任务（cron job）定期运行 kube-bench 并保存结果
• 将输出转为 JSON 格式以便程序解析：--output json
• 结合 Prometheus + Grafana 展示趋势变化
• 在 GitOps 流程中加入安全门禁，扫描不通过则阻止部署

对于多节点集群，可借助 Job 资源在每个节点上并行执行 kube-bench 容器，提高效率。

基本上就这些。合理使用 kube-bench 能显著提升 Kubernetes 安全水平，及时发现潜在配置漏洞。关键是定期运行并跟进修复问题项，让安全检查成为运维常态。