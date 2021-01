Das Google-Team hat ein für seine Kubernetes Engine (GKE) passendes neues Tool vorgestellt, das in Version 1.1 als quelloffene Software auf GitHub bereitsteht: Das GKE CIS 1.1 Benchmark InSpec Profile erlaubt es Entwicklern, die Sicherheit der Cluster ihrer GKE-Instanzen anhand der Empfehlungen des Center for Internet Security (CIS) zu prüfen und zu bewerten. Die zugrundeliegende Technologie basiert auf dem plattformagnostischen Auditierungs- und Test-Framework InSpec der Firma Chef.

Vereinfacht gesagt prüft InSpec, ob die Attribute eines GKE-Clusters dem im Code beschriebenen gewünschten Zustand entsprechen. Zur genauen Validierung mit InSpec hatte das Open-Source-Team von Google im vergangenen Sommer einen Beitrag verfasst. InSpec-GCP (also die Version für die Google Cloud) vermag Ressourcen mit der Google-Cloud-API abzugleichen.

Das Repository des Benchmark-InSpec-Profils ist in drei Unterprofile mit unterschiedlichen Targets (in dem Fall: t-Parametern) aufgeteilt: So finden Entwickler bei GitHub je ein Profil für die Google Cloud Platform (GCP), für Kubernetes-Layer und für das SSH-Protokoll. Im Root-Verzeichnis findet sich ein Wrapper-Script, das Berichte den dafür vorgesehenen Ordnern zuweist. Folgendes Code-Beispiel führt vor, wie sich die drei Profile inspec-gke-cis-gcp , inspec-gke-cis-k8s und inspec-gke-cis-ssh mit dem Wrapper-Script betreiben lassen: