IBM Cloud Docs
Kubernetes versión 1.31 CIS Kubernetes Benchmark

Kubernetes versión 1.31 CIS Kubernetes Benchmark

El Center for Internet Security ( CIS ) publica el CIS Kubernetes Benchmark como marco de pasos específicos para configurar Kubernetes de forma más segura y con estándares acordes a diversas normativas del sector. Este documento contiene los resultados del benchmark de la versión 1.5 CIS Kubernetes para clusters que ejecutan Kubernetes versión 1.31. Para obtener más información o ayuda para entender el benchmark, consulte Uso del benchmark.

1 Configuración de seguridad de nodo maestro

Revise los resultados de la configuración de seguridad del nodo maestro de CIS Kubernetes Benchmark versión 1.5.

1.1 Archivos de configuración de nodo maestro

Sección 1.1 Resultados del benchmark del nodo maestro
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
1.1.1 Asegúrese de que los permisos del archivo de especificación de pods del servidor de API están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
1.1.2 Asegúrese de que la propiedad del archivo de especificación del pod del servidor de API se establece en root:root. Puntuado 1 Pasar IBM
1.1.3 Asegúrese de que los permisos del archivo de especificación del pod del administrador del controlador están configurados en 644 o en un valor más restrictivo. Puntuado 1 Pasar IBM
1.1.4 Asegúrese de que la propiedad del archivo de especificación del pod del gestor de controladores está establecida en root:root. Puntuado 1 Pasar IBM
1.1.5 Asegúrese de que los permisos del archivo de especificación del pod del programador se establecen en 644 o más restrictivos. Puntuado 1 Pasar IBM
1.1.6 Asegúrese de que la propiedad del archivo de especificación del pod del programador está establecida en root:root. Puntuado 1 Pasar IBM
1.1.7 Asegúrese de que los permisos del archivo de especificación de pods etcd están configurados en 644 o en un valor más restrictivo. Puntuado 1 Pasar IBM
1.1.8 Asegúrese de que la propiedad del archivo de especificación del pod etcd está establecida en root:root. Puntuado 1 Pasar IBM
1.1.9 Asegúrese de que los permisos de archivo de la interfaz de red del contenedor se establecen en 644 o más restrictivo. Sin puntuar 1 Pasar IBM
1.1.10 Asegúrese de que la propiedad del archivo Container Network Interface está establecida en root:root. Sin puntuar 1 Pasar IBM
1.1.11 Asegúrese de que los permisos del directorio de datos etcd están establecidos en 700 o más restrictivos. Puntuado 1 Pasar IBM
1.1.12 Asegúrese de que la propiedad del directorio de datos etcd se establece en etcd: etcd. Puntuado 1 Pasar IBM
1.1.13 Asegúrese de que los permisos del archivo admin.conf están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
1.1.14 Asegúrese de que la propiedad del archivo admin.conf está establecida en root:root. Puntuado 1 Pasar IBM
1.1.15 Asegúrese de que los permisos del archivo scheduler.conf están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
1.1.16 Asegúrese de que la propiedad del archivo scheduler.conf está establecida en root:root. Puntuado 1 Pasar IBM
1.1.17 Asegúrese de que los permisos del archivo controller-manager.conf están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
1.1.18 Asegúrese de que la propiedad del archivo controller-manager.conf está establecida en root:root. Puntuado 1 Pasar IBM
1.1.19 Asegúrese de que el directorio Kubernetes PKI y la propiedad de los archivos se establecen en root:root. Puntuado 1 Pasar IBM
1.1.20 Asegúrese de que los permisos del archivo del certificado PKI de Kubernetes están configurados en 644 o en un valor más restrictivo. Puntuado 1 Pasar IBM
1.1.21 Asegúrese de que los permisos del archivo de claves PKI de Kubernetes están establecidos en 600. Puntuado 1 Pasar IBM

1.2 Servidor de API

Sección 1.2 Resultados de la prueba de referencia del servidor de API
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
1.2.1 Asegúrese de que el argumento --anonymous-auth es falso. Sin puntuar 1 Suspendido IBM
1.2.2 Asegúrese de que el argumento --basic-auth-file no esté establecido. Puntuado 1 Pasar IBM
1.2.3 Asegúrese de que el parámetro --token-auth-file no esté establecido. Puntuado 1 Pasar IBM
1.2.4 Asegúrese de que el argumento --kubelet-https está establecido en true. Puntuado 1 Pasar IBM
1.2.5 Asegúrese de que los argumentos --kubelet-client-certificate y --kubelet-client-key estén establecidos según corresponda. Puntuado 1 Pasar IBM
1.2.6 Asegúrese de que el argumento --kubelet-certificate-authority esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.2.7 Asegúrese de que el argumento --authorization-mode no está configurado como AlwaysAllow. Puntuado 1 Pasar IBM
1.2.8 Asegúrese de que el argumento --authorization-mode incluye Node. Puntuado 1 Pasar IBM
1.2.9 Asegúrese de que el argumento --authorization-mode incluye RBAC. Puntuado 1 Pasar IBM
1.2.10 Asegúrese de que el plug-in de control de admisión EventRateLimit está configurado. Sin puntuar 1 Suspendido IBM
1.2.11 Asegúrese de que el complemento de control de admisión AlwaysAdmit no está configurado. Puntuado 1 Pasar IBM
1.2.12 Asegúrese de que el plug-in de control de admisión AlwaysPullImages está configurado. Sin puntuar 1 Suspendido IBM
1.2.13 Asegúrese de que el complemento de control de admisión SecurityContextDeny está configurado si no se utiliza PodSecurityPolicy. Sin puntuar 1 Aprobado IBM
1.2.14 Asegúrese de que el plug-in de control de admisión ServiceAccount está configurado. Puntuado 1 Pasar IBM
1.2.15 Asegúrese de que el plug-in de control de admisión NamespaceLifecycle está configurado. Puntuado 1 Pasar IBM
1.2.16 Asegúrese de que el plug-in de control de admisión PodSecurityPolicy está configurado. Puntuado 1 Aprobado IBM
1.2.17 Asegúrese de que el plug-in de control de admisión NodeRestriction está configurado. Puntuado 1 Pasar IBM
1.2.18 Asegúrese de que el argumento --insecure-bind-address no esté establecido. Puntuado 1 Pasar IBM
1.2.19 Asegúrese de que el argumento --insecure-port es 0. Puntuado 1 Pasar IBM
1.2.20 Asegúrese de que el argumento --secure-port no sea 0. Puntuado 1 Pasar IBM
1.2.21 Asegúrese de que el argumento --profiling es falso. Puntuado 1 Pasar IBM
1.2.22 Asegúrese de que el argumento --audit-log-path esté establecido. Puntuado 1 Suspendido Compartido
1.2.23 Asegúrese de que el argumento --audit-log-maxage está ajustado a 30 o como corresponda. Puntuado 1 Suspendido Compartido
1.2.24 Asegúrese de que el argumento --audit-log-maxbackup está ajustado a 10 o como corresponda. Puntuado 1 Suspendido Compartido
1.2.25 Asegúrese de que el argumento --audit-log-maxsize está ajustado a 100 o como corresponda. Puntuado 1 Suspendido Compartido
1.2.26 Asegúrese de que el argumento --request-timeout esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.2.27 Asegúrese de que el argumento --service-account-lookup está establecido en true. Puntuado 1 Pasar IBM
1.2.28 Asegúrese de que el argumento --service-account-key-file esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.2.29 Asegúrese de que los argumentos --etcd-certfile y --etcd-keyfile estén establecidos según corresponda. Puntuado 1 Pasar IBM
1.2.30 Asegúrese de que los argumentos --tls-cert-file y --tls-private-key-file estén establecidos según corresponda. Puntuado 1 Pasar IBM
1.2.31 Asegúrese de que el argumento --client-ca-file esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.2.32 Asegúrese de que el argumento --etcd-cafile esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.2.33 Asegúrese de que el argumento --encryption-provider-config esté establecido de la forma adecuada. Puntuado 1 Suspendido Compartido
1.2.34 Asegúrese de que los proveedores de cifrado estén configurados correctamente. Puntuado 1 Suspendido Compartido
1.2.35 Asegúrese de que el servidor de API sólo utilice cifrados criptográficos fuertes. Sin puntuar 1 Pasar IBM

1.3 Gestor de controlador

Sección 1.3 Resultados de la prueba de referencia de Controller Manager
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
1.3.1 Asegúrese de que el argumento --terminated-pod-gc-threshold esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.3.2 Asegúrese de que el argumento --profiling es falso. Puntuado 1 Pasar IBM
1.3.3 Asegúrese de que el argumento --use-service-account-credentials está establecido en true. Puntuado 1 Pasar IBM
1.3.4 Asegúrese de que el argumento --service-account-private-key-file esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.3.5 Asegúrese de que el argumento --root-ca-file esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
1.3.6 Asegúrese de que el argumento RotateKubeletServerCertificate está establecido en true. Puntuado 2 Suspendido IBM
1.3.7 Asegúrese de que el argumento --bind-address está configurado como 127.0.0.1. Puntuado 1 Pasar IBM

1.4 Planificador

Sección 1.4: Resultados de la prueba de referencia del planificador
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
1.4.1 Asegúrese de que el argumento --profiling es falso. Puntuado 1 Pasar IBM
1.4.2 Asegúrese de que el argumento --bind-address está configurado como 127.0.0.1. Puntuado 1 Pasar IBM

2 Configuración del nodo Etcd

Revise los resultados de la configuración del nodo Etcd de CIS Kubernetes Benchmark versión 1.5.

Sección 2: Resultados de la prueba de referencia de configuración de nodo etcd
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
2.1 Asegúrese de que los argumentos --cert-file y --key-file estén establecidos según corresponda. Puntuado 1 Pasar IBM
2.2 Asegúrese de que el argumento --client-cert-auth está establecido en true. Puntuado 1 Pasar IBM
2.3 Asegúrese de que el argumento --auto-tls no está establecido en true. Puntuado 1 Pasar IBM
2.4 Asegúrese de que los argumentos --peer-cert-file y --peer-key-file estén establecidos según corresponda. Puntuado 1 Pasar IBM
2.5 Asegúrese de que el argumento --peer-client-cert-auth está establecido en true. Puntuado 1 Pasar IBM
2.6 Asegúrese de que el argumento --peer-auto-tls no está establecido en true. Puntuado 1 Pasar IBM
2.7 Asegúrese de que se utilice una entidad emisora de certificados exclusiva para etcd. Sin puntuar 2 Pasar IBM

3 Configuración del plano de control

Revise los resultados de la configuración del panel de control de CIS Kubernetes Benchmark versión 1.5.

3.1 Autenticación y autorización

Sección 3.1: Resultados de la prueba de autenticación y autorización
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
3.1.1 La autenticación de certificado de cliente no debe utilizarse para los usuarios. Sin puntuar 2 Pasar Compartido

3.2 Registro

Sección 3.2 Resultados de la prueba de referencia de registro
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
3.2.1 Asegúrese de que se cree una política de auditoría mínima. Puntuado 1 Suspendido Compartido
3.2.2 Asegúrese de que la política de auditoría cubra los principales problemas de seguridad. Sin puntuar 2 Suspendido Compartido

4 Configuración de seguridad de nodo de trabajador

Revise los resultados de la configuración de seguridad del nodo de trabajador de CIS Kubernetes Benchmark versión 1.5.

4.1 Archivos de configuración de nodo de trabajador

Sección 4.1 Resultados de la prueba de referencia de archivos de configuración de nodo trabajador
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
4.1.1 Asegúrese de que los permisos del archivo de servicio kubelet se establecen en 644 o más restrictivo. Puntuado 1 Pasar IBM
4.1.2 Asegúrese de que la propiedad del archivo de servicio kubelet se establece en root:root. Puntuado 1 Pasar IBM
4.1.3 Asegúrese de que los permisos del archivo kubeconfig de proxy estén establecidos en kubeconfig o en un valor más restrictivo. Puntuado 1 Pasar IBM
4.1.4 Asegúrese de que la propiedad del archivo kubeconfig de proxy esté establecida en kubeconfig. Puntuado 1 Pasar IBM
4.1.5 Asegúrese de que los permisos del archivo kubelet.conf están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
4.1.6 Asegúrese de que la propiedad del archivo kubelet.conf está establecida en root:root. Puntuado 1 Pasar IBM
4.1.7 Asegúrese de que los permisos del archivo de entidades emisoras de certificados están configurados como 644 o más restrictivos. Puntuado 1 Pasar IBM
4.1.8 Asegúrese de que la propiedad del archivo de autoridades de certificación del cliente está establecida en root:root. Puntuado 1 Pasar IBM
4.1.9 Asegúrese de que el archivo de configuración de kubelet tiene permisos establecidos en 644 o más restrictivos. Puntuado 1 Pasar IBM
4.1.10 Asegúrese de que la propiedad del archivo de configuración kubelet se establece en root:root. Puntuado 1 Pasar IBM

4.2 Kubelet

Sección 4.2 Resultados de la prueba de referencia de Kubelet
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
4.2.1 Asegúrese de que el argumento --anonymous-auth es falso. Puntuado 1 Pasar IBM
4.2.2 Asegúrese de que el argumento --authorization-mode no está configurado como AlwaysAllow. Puntuado 1 Pasar IBM
4.2.3 Asegúrese de que el argumento --client-ca-file esté establecido de la forma adecuada. Puntuado 1 Pasar IBM
4.2.4 Asegúrese de que el argumento --read-only-port es 0. Puntuado 1 Pasar IBM
4.2.5 Asegúrese de que el argumento --streaming-connection-idle-timeout no sea 0. Puntuado 1 Pasar IBM
4.2.6 Asegúrese de que el argumento --protect-kernel-defaults está establecido en true. Puntuado 1 Suspendido IBM
4.2.7 Asegúrese de que el argumento --make-iptables-util-chains está establecido en true. Puntuado 1 Pasar IBM
4.2.8 Asegúrese de que el argumento --hostname-override no esté establecido. Sin puntuar 1 Suspendido IBM
4.2.9 Asegúrese de que el argumento --event-qps está ajustado a 0 o a un nivel que garantice una captura de eventos adecuada. Sin puntuar 2 Pasar IBM
4.2.10 Asegúrese de que los argumentos --tls-cert-file y --tls-private-key-file estén establecidos según corresponda. Puntuado 1 Pasar IBM
4.2.11 Asegúrese de que el argumento --rotate-certificates no esté establecido en false. Puntuado 1 Aprobado IBM
4.2.12 Asegúrese de que el argumento RotateKubeletServerCertificate está establecido en true. Puntuado 1 Suspendido IBM
4.2.13 Asegúrese de que el Kubelet sólo utilice cifrados criptográficos fuertes. Sin puntuar 1 Pasar IBM

5 Políticas de Kubernetes

Revise los resultados de las políticas de Kubernetes de CIS Kubernetes Benchmark versión 1.5.

5.1 Cuentas de servicio y RBAC

Sección 5.1 Resultados de la prueba de referencia de RBAC y cuentas de servicio
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.1.1 Asegúrese de que el rol cluster-admin sólo se utiliza cuando es necesario. Sin puntuar 1 Pasar Compartido
5.1.2 Minimice el acceso a los secretos. Sin puntuar 1 Suspendido Compartido
5.1.3 Minimizar el uso de comodines en Roles y ClusterRoles. Sin puntuar 1 Suspendido Compartido
5.1.4 Minimice el acceso para crear pods. Sin puntuar 1 Pasar Compartido
5.1.5 Asegúrese de que las cuentas de servicio predeterminadas no se utilicen activamente. Puntuado 1 Suspendido Compartido
5.1.6 Asegúrese de que las señales de cuenta de servicio sólo se monten cuando sea necesario. Sin puntuar 1 Suspendido Compartido

5.2 Políticas de seguridad de pod

Sección 5.2 Resultados de la prueba de referencia de políticas de seguridad de pod
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.2.1 Minimice la admisión de contenedores privilegiados. Sin puntuar 1 Aprobado Compartido
5.2.2 Minimice la admisión de contenedores que deseen compartir el espacio de nombres del ID de proceso de host. Puntuado 1 Aprobado Compartido
5.2.3 Minimice la admisión de contenedores que deseen compartir el espacio de nombres de IPC de host. Puntuado 1 Aprobado Compartido
5.2.4 Minimice la admisión de contenedores que deseen compartir el espacio de nombres de red de host. Puntuado 1 Aprobado Compartido
5.2.5 Minimice la admisión de contenedores con allowPrivilegeEscalation. Puntuado 1 Aprobado Compartido
5.2.6 Minimice la admisión de contenedores raíz. Sin puntuar 2 Aprobado Compartido
5.2.7 Minimizar la admisión de contenedores con la capacidad NET_RAW. Sin puntuar 1 Aprobado Compartido
5.2.8 Minimice la admisión de contenedores con funciones añadidas. Sin puntuar 1 Aprobado Compartido
5.2.9 Minimice la admisión de contenedores con funciones asignadas. Sin puntuar 2 Aprobado Compartido

5.3 CNI y políticas de red

Sección 5.3 Resultados de la prueba de referencia de políticas de red y CNI
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.3.1 Asegúrese de que el CNI en uso dé soporte a políticas de red. Sin puntuar 1 Pasar IBM
5.3.2 Asegúrese de que todos los espacios de nombres tengan definidas políticas de red. Puntuado 2 Suspendido Compartido

5.4 Gestión de secretos

Sección 5.4 Resultados de la prueba de referencia de gestión de secretos
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.4.1 Prefiera utilizar secretos como archivos que secretos como variables de entorno. Sin puntuar 1 Pasar Compartido
5.4.2 Considere el almacenamiento externo de secretos. Sin puntuar 2 Suspendido Compartido

5.5 Control de admisión extensible

Sección 5.5 Resultados de la prueba de referencia de control de admisiones ampliable
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.5.1 Configure Image Provenance utilizando el controlador de admisión ImagePolicyWebhook. Sin puntuar 2 Suspendido Compartido

5.7 Políticas generales

Sección 5.7 Resultados de referencia de las políticas generales
Sección Recomendación ¿Anotado? Nivel Resultado Responsabilidad
5.7.1 Cree límites administrativos entre recursos utilizando espacios de nombres. Sin puntuar 1 Pasar Compartido
5.7.2 Asegúrese de que el perfil seccomp está configurado como docker/default en sus definiciones de pod. Sin puntuar 2 Suspendido Compartido
5.7.3 Aplique contexto de seguridad a sus pods y contenedores. Sin puntuar 2 Suspendido Compartido
5.7.4 No se debería utilizar el espacio de nombres predeterminado. Puntuado 2 Suspendido Compartido

Remedios y explicaciones de IBM

Revise la información de IBM sobre los resultados de CIS Benchmark.

Explicación y corrección
Sección Remediación y explicación
1.2.1 IBM Cloud Kubernetes Service utiliza RBAC para la protección del clúster, pero permite el descubrimiento anónimo, lo que se considera razonable según CIS Kubernetes Benchmark.
1.2.10 IBM Cloud Kubernetes Service no habilita el EventRateLimit ya que es una Kubernetes.
1.2.12 IBM Cloud Kubernetes Service no habilita el AlwaysPullImages controlador de admisión ya que anula el imagePullPolicy de un contenedor y puede afectar al rendimiento.
1.2.13 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
1.2.16 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
1.2.22 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
1.2.23 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
1.2.24 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
1.2.25 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
1.2.33 IBM Cloud Kubernetes Service puede habilitar opcionalmente un proveedor de servicio de administración de claves(KMS)Kubernetes.
1.2.34 IBM Cloud Kubernetes Service puede habilitar opcionalmente un proveedor de servicio de administración de claves(KMS)Kubernetes.
1.3.6 IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador.
3.2.1 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
3.2.2 IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes.
4.2.6 'IBM Cloud Kubernetes Service no protege los valores por defecto del núcleo para permitir a los clientes ' ajustar los parámetros del núcleo.
4.2.8 IBM Cloud Kubernetes Service garantiza que el nombre de host coincide con el nombre emitido por la infraestructura.
4.2.11 IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador.
4.2.12 IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador.
5.1.2 IBM Cloud Kubernetes Service despliega algunos componentes del sistema cuyo acceso secreto podría restringirse aún más en Kubernetes.
5.1.3 IBM Cloud Kubernetes Service despliega algunos componentes del sistema cuyo acceso a los recursos de Kubernetes podría restringirse aún más.
5.1.5 IBM Cloud Kubernetes Service no establece automountServiceAccountToken: false para cada cuenta de servicio por defecto.
5.1.6 IBM Cloud Kubernetes Service despliega algunos componentes del sistema que podrían establecer automountServiceAccountToken: false.
5.2.1 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.2 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.3 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.4 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.5 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.6 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.7 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.8 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.2.9 IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas.
5.3.2 IBM Cloud Kubernetes Service tiene definidas un conjunto de políticas de red por defecto Calico y Kubernetes y opcionalmente se pueden añadir políticas de red adicionales.
5.4.2 IBM Cloud Kubernetes Service puede opcionalmente activar el servicio Secrets Manager.
5.5.1 IBM Cloud Kubernetes Service puede, opcionalmente, activar la aplicación de seguridad de la imagen.
5.7.2 IBM Cloud Kubernetes Service no anota todos los pods con perfiles 'seccomp'.
5.7.3 IBM Cloud Kubernetes Service despliega algunos componentes del sistema que no establecen un pod o contenedor securityContext.
5.7.4 IBM Cloud Kubernetes Service despliega algunos recursos de Kubernetes con los nombres predeterminados.