kube-bench
Overview
kube-bench, c'est l'outil d'audit développé par Aqua Security qui pense que faire confiance aveuglément à la configuration sécurité de ton cluster Kubernetes, c'est naïf. Il vérifie automatiquement la conformité de tes master nodes, worker nodes, et composants K8s aux benchmarks CIS (Center for Internet Security). Si tu veux valider que ton cluster respecte les bonnes pratiques de sécurité, c'est indispensable.
kube-bench exécute une batterie de tests basés sur les recommandations CIS Kubernetes Benchmark, vérifie les configurations des composants (API server, kubelet, etcd, etc.), les permissions fichiers, et génère un rapport détaillé avec scores et recommandations de remédiation. Support de multiples distributions K8s et versions.
kube-bench se distingue par sa conformité aux standards CIS (référence industrie), sa couverture complète des composants K8s, et sa facilité d'exécution (binaire unique, pas de setup complexe).
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://github.com/aquasecurity/kube-bench |
| Repository | https://github.com/aquasecurity/kube-bench |
| Licence | Apache 2.0 |
| Développeur | Aqua Security |
| Langage | Go |
| Standards | CIS Kubernetes Benchmark |
Cas d'usage typiques
- Audit de conformité sécurité pour clusters Kubernetes en production
- Validation de configurations avant mise en production (CI/CD gates)
- Compliance reporting pour certifications et audits externes
- Assessment de sécurité lors de migrations ou upgrades de clusters
- Monitoring continu de la posture sécurité avec checks automatisés
- Hardening de clusters avec recommandations précises de remédiation
Intégrations et écosystème
- Kubernetes : support natif de toutes distributions (kubeadm, EKS, GKE, AKS, etc.)
- CI/CD : intégration dans pipelines pour gates de sécurité
- Output formats : JSON, JUnit, ASFF pour intégration outils downstream
- Automation : exécution en Job/CronJob Kubernetes pour monitoring continu
- Cloud : adaptations spécifiques pour managed Kubernetes services
- Compliance : mapping vers frameworks SOC2, PCI-DSS, ISO27001
Avantages
- ✅ CIS compliance : implémente fidèlement les benchmarks CIS reconnus industrie
- ✅ Multi-distribution : support de toutes distributions K8s populaires
- ✅ Facile à utiliser : binaire unique, pas de setup ou dépendances
- ✅ Reporting complet : rapports détaillés avec priorités et recommandations
- ✅ Automation friendly : formats machine-readable pour intégration tools
- ✅ Production ready : utilisé massivement pour audits en production
Inconvénients et limitations
- ❌ Point-in-time : audit snapshot, pas de monitoring continu natif
- ❌ Read-only : ne corrige pas automatiquement les problèmes détectés
- ❌ False positives : certains checks peuvent ne pas s'appliquer selon contexte
- ❌ Limited scope : focus sur config K8s, pas sur workloads applications
- ❌ Version lag : nouveaux benchmarks CIS peuvent prendre du temps à être intégrés
Alternatives
- Falco : runtime security monitoring (complémentaire, pas audit statique)
- Polaris : validation best practices Kubernetes (plus moderne UI)
- kubesec : analyse sécurité YAML Kubernetes (scope plus limité)
- Cloud security : AWS Config, Azure Security Center (vendor-specific)
- Commercial tools : Prisma Cloud, Qualys VMDR avec modules K8s
Ressources
- GitHub : https://github.com/aquasecurity/kube-bench
- CIS Benchmarks : https://cisecurity.org/benchmark/kubernetes
- Documentation : README GitHub avec guides d'usage