Kubernetes versión 1.31 CIS Kubernetes Benchmark
El Center for Internet Security ( CIS ) publica el CIS Kubernetes Benchmark como marco de pasos específicos para configurar Kubernetes de forma más segura y con estándares acordes a diversas normativas del sector. Este documento contiene los resultados del benchmark de la versión 1.5 CIS Kubernetes para clusters que ejecutan Kubernetes versión 1.31. Para obtener más información o ayuda para entender el benchmark, consulte Uso del benchmark.
1 Configuración de seguridad de nodo maestro
Revise los resultados de la configuración de seguridad del nodo maestro de CIS Kubernetes Benchmark versión 1.5.
1.1 Archivos de configuración de nodo maestro
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
1.1.1 | Asegúrese de que los permisos del archivo de especificación de pods del servidor de API están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.2 | Asegúrese de que la propiedad del archivo de especificación del pod del servidor de API se establece en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.3 | Asegúrese de que los permisos del archivo de especificación del pod del administrador del controlador están configurados en 644 o en un valor más restrictivo. | Puntuado | 1 | Pasar | IBM |
1.1.4 | Asegúrese de que la propiedad del archivo de especificación del pod del gestor de controladores está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.5 | Asegúrese de que los permisos del archivo de especificación del pod del programador se establecen en 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.6 | Asegúrese de que la propiedad del archivo de especificación del pod del programador está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.7 | Asegúrese de que los permisos del archivo de especificación de pods etcd están configurados en 644 o en un valor más restrictivo. | Puntuado | 1 | Pasar | IBM |
1.1.8 | Asegúrese de que la propiedad del archivo de especificación del pod etcd está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.9 | Asegúrese de que los permisos de archivo de la interfaz de red del contenedor se establecen en 644 o más restrictivo. | Sin puntuar | 1 | Pasar | IBM |
1.1.10 | Asegúrese de que la propiedad del archivo Container Network Interface está establecida en root:root. | Sin puntuar | 1 | Pasar | IBM |
1.1.11 | Asegúrese de que los permisos del directorio de datos etcd están establecidos en 700 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.12 | Asegúrese de que la propiedad del directorio de datos etcd se establece en etcd: etcd. | Puntuado | 1 | Pasar | IBM |
1.1.13 | Asegúrese de que los permisos del archivo admin.conf están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.14 | Asegúrese de que la propiedad del archivo admin.conf está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.15 | Asegúrese de que los permisos del archivo scheduler.conf están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.16 | Asegúrese de que la propiedad del archivo scheduler.conf está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.17 | Asegúrese de que los permisos del archivo controller-manager.conf están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
1.1.18 | Asegúrese de que la propiedad del archivo controller-manager.conf está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.19 | Asegúrese de que el directorio Kubernetes PKI y la propiedad de los archivos se establecen en root:root. | Puntuado | 1 | Pasar | IBM |
1.1.20 | Asegúrese de que los permisos del archivo del certificado PKI de Kubernetes están configurados en 644 o en un valor más restrictivo. | Puntuado | 1 | Pasar | IBM |
1.1.21 | Asegúrese de que los permisos del archivo de claves PKI de Kubernetes están establecidos en 600. | Puntuado | 1 | Pasar | IBM |
1.2 Servidor de API
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
1.2.1 | Asegúrese de que el argumento --anonymous-auth es falso. |
Sin puntuar | 1 | Suspendido | IBM |
1.2.2 | Asegúrese de que el argumento --basic-auth-file no esté establecido. |
Puntuado | 1 | Pasar | IBM |
1.2.3 | Asegúrese de que el parámetro --token-auth-file no esté establecido. |
Puntuado | 1 | Pasar | IBM |
1.2.4 | Asegúrese de que el argumento --kubelet-https está establecido en true. |
Puntuado | 1 | Pasar | IBM |
1.2.5 | Asegúrese de que los argumentos --kubelet-client-certificate y --kubelet-client-key estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
1.2.6 | Asegúrese de que el argumento --kubelet-certificate-authority esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.2.7 | Asegúrese de que el argumento --authorization-mode no está configurado como AlwaysAllow. |
Puntuado | 1 | Pasar | IBM |
1.2.8 | Asegúrese de que el argumento --authorization-mode incluye Node. |
Puntuado | 1 | Pasar | IBM |
1.2.9 | Asegúrese de que el argumento --authorization-mode incluye RBAC. |
Puntuado | 1 | Pasar | IBM |
1.2.10 | Asegúrese de que el plug-in de control de admisión EventRateLimit está configurado. | Sin puntuar | 1 | Suspendido | IBM |
1.2.11 | Asegúrese de que el complemento de control de admisión AlwaysAdmit no está configurado. | Puntuado | 1 | Pasar | IBM |
1.2.12 | Asegúrese de que el plug-in de control de admisión AlwaysPullImages está configurado. | Sin puntuar | 1 | Suspendido | IBM |
1.2.13 | Asegúrese de que el complemento de control de admisión SecurityContextDeny está configurado si no se utiliza PodSecurityPolicy. | Sin puntuar | 1 | Aprobado | IBM |
1.2.14 | Asegúrese de que el plug-in de control de admisión ServiceAccount está configurado. | Puntuado | 1 | Pasar | IBM |
1.2.15 | Asegúrese de que el plug-in de control de admisión NamespaceLifecycle está configurado. | Puntuado | 1 | Pasar | IBM |
1.2.16 | Asegúrese de que el plug-in de control de admisión PodSecurityPolicy está configurado. | Puntuado | 1 | Aprobado | IBM |
1.2.17 | Asegúrese de que el plug-in de control de admisión NodeRestriction está configurado. | Puntuado | 1 | Pasar | IBM |
1.2.18 | Asegúrese de que el argumento --insecure-bind-address no esté establecido. |
Puntuado | 1 | Pasar | IBM |
1.2.19 | Asegúrese de que el argumento --insecure-port es 0. |
Puntuado | 1 | Pasar | IBM |
1.2.20 | Asegúrese de que el argumento --secure-port no sea 0. |
Puntuado | 1 | Pasar | IBM |
1.2.21 | Asegúrese de que el argumento --profiling es falso. |
Puntuado | 1 | Pasar | IBM |
1.2.22 | Asegúrese de que el argumento --audit-log-path esté establecido. |
Puntuado | 1 | Suspendido | Compartido |
1.2.23 | Asegúrese de que el argumento --audit-log-maxage está ajustado a 30 o como corresponda. |
Puntuado | 1 | Suspendido | Compartido |
1.2.24 | Asegúrese de que el argumento --audit-log-maxbackup está ajustado a 10 o como corresponda. |
Puntuado | 1 | Suspendido | Compartido |
1.2.25 | Asegúrese de que el argumento --audit-log-maxsize está ajustado a 100 o como corresponda. |
Puntuado | 1 | Suspendido | Compartido |
1.2.26 | Asegúrese de que el argumento --request-timeout esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.2.27 | Asegúrese de que el argumento --service-account-lookup está establecido en true. |
Puntuado | 1 | Pasar | IBM |
1.2.28 | Asegúrese de que el argumento --service-account-key-file esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.2.29 | Asegúrese de que los argumentos --etcd-certfile y --etcd-keyfile estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
1.2.30 | Asegúrese de que los argumentos --tls-cert-file y --tls-private-key-file estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
1.2.31 | Asegúrese de que el argumento --client-ca-file esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.2.32 | Asegúrese de que el argumento --etcd-cafile esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.2.33 | Asegúrese de que el argumento --encryption-provider-config esté establecido de la forma adecuada. |
Puntuado | 1 | Suspendido | Compartido |
1.2.34 | Asegúrese de que los proveedores de cifrado estén configurados correctamente. | Puntuado | 1 | Suspendido | Compartido |
1.2.35 | Asegúrese de que el servidor de API sólo utilice cifrados criptográficos fuertes. | Sin puntuar | 1 | Pasar | IBM |
1.3 Gestor de controlador
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
1.3.1 | Asegúrese de que el argumento --terminated-pod-gc-threshold esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.3.2 | Asegúrese de que el argumento --profiling es falso. |
Puntuado | 1 | Pasar | IBM |
1.3.3 | Asegúrese de que el argumento --use-service-account-credentials está establecido en true. |
Puntuado | 1 | Pasar | IBM |
1.3.4 | Asegúrese de que el argumento --service-account-private-key-file esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.3.5 | Asegúrese de que el argumento --root-ca-file esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
1.3.6 | Asegúrese de que el argumento RotateKubeletServerCertificate está establecido en true. | Puntuado | 2 | Suspendido | IBM |
1.3.7 | Asegúrese de que el argumento --bind-address está configurado como 127.0.0.1. |
Puntuado | 1 | Pasar | IBM |
1.4 Planificador
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
1.4.1 | Asegúrese de que el argumento --profiling es falso. |
Puntuado | 1 | Pasar | IBM |
1.4.2 | Asegúrese de que el argumento --bind-address está configurado como 127.0.0.1. |
Puntuado | 1 | Pasar | IBM |
2 Configuración del nodo Etcd
Revise los resultados de la configuración del nodo Etcd de CIS Kubernetes Benchmark versión 1.5.
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
2.1 | Asegúrese de que los argumentos --cert-file y --key-file estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
2.2 | Asegúrese de que el argumento --client-cert-auth está establecido en true. |
Puntuado | 1 | Pasar | IBM |
2.3 | Asegúrese de que el argumento --auto-tls no está establecido en true. |
Puntuado | 1 | Pasar | IBM |
2.4 | Asegúrese de que los argumentos --peer-cert-file y --peer-key-file estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
2.5 | Asegúrese de que el argumento --peer-client-cert-auth está establecido en true. |
Puntuado | 1 | Pasar | IBM |
2.6 | Asegúrese de que el argumento --peer-auto-tls no está establecido en true. |
Puntuado | 1 | Pasar | IBM |
2.7 | Asegúrese de que se utilice una entidad emisora de certificados exclusiva para etcd. | Sin puntuar | 2 | Pasar | IBM |
3 Configuración del plano de control
Revise los resultados de la configuración del panel de control de CIS Kubernetes Benchmark versión 1.5.
3.1 Autenticación y autorización
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
3.1.1 | La autenticación de certificado de cliente no debe utilizarse para los usuarios. | Sin puntuar | 2 | Pasar | Compartido |
3.2 Registro
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
3.2.1 | Asegúrese de que se cree una política de auditoría mínima. | Puntuado | 1 | Suspendido | Compartido |
3.2.2 | Asegúrese de que la política de auditoría cubra los principales problemas de seguridad. | Sin puntuar | 2 | Suspendido | Compartido |
4 Configuración de seguridad de nodo de trabajador
Revise los resultados de la configuración de seguridad del nodo de trabajador de CIS Kubernetes Benchmark versión 1.5.
4.1 Archivos de configuración de nodo de trabajador
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
4.1.1 | Asegúrese de que los permisos del archivo de servicio kubelet se establecen en 644 o más restrictivo. | Puntuado | 1 | Pasar | IBM |
4.1.2 | Asegúrese de que la propiedad del archivo de servicio kubelet se establece en root:root. | Puntuado | 1 | Pasar | IBM |
4.1.3 | Asegúrese de que los permisos del archivo kubeconfig de proxy estén establecidos en kubeconfig o en un valor más restrictivo. |
Puntuado | 1 | Pasar | IBM |
4.1.4 | Asegúrese de que la propiedad del archivo kubeconfig de proxy esté establecida en kubeconfig . |
Puntuado | 1 | Pasar | IBM |
4.1.5 | Asegúrese de que los permisos del archivo kubelet.conf están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
4.1.6 | Asegúrese de que la propiedad del archivo kubelet.conf está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
4.1.7 | Asegúrese de que los permisos del archivo de entidades emisoras de certificados están configurados como 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
4.1.8 | Asegúrese de que la propiedad del archivo de autoridades de certificación del cliente está establecida en root:root. | Puntuado | 1 | Pasar | IBM |
4.1.9 | Asegúrese de que el archivo de configuración de kubelet tiene permisos establecidos en 644 o más restrictivos. | Puntuado | 1 | Pasar | IBM |
4.1.10 | Asegúrese de que la propiedad del archivo de configuración kubelet se establece en root:root. | Puntuado | 1 | Pasar | IBM |
4.2 Kubelet
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
4.2.1 | Asegúrese de que el argumento --anonymous-auth es falso. |
Puntuado | 1 | Pasar | IBM |
4.2.2 | Asegúrese de que el argumento --authorization-mode no está configurado como AlwaysAllow. |
Puntuado | 1 | Pasar | IBM |
4.2.3 | Asegúrese de que el argumento --client-ca-file esté establecido de la forma adecuada. |
Puntuado | 1 | Pasar | IBM |
4.2.4 | Asegúrese de que el argumento --read-only-port es 0. |
Puntuado | 1 | Pasar | IBM |
4.2.5 | Asegúrese de que el argumento --streaming-connection-idle-timeout no sea 0. |
Puntuado | 1 | Pasar | IBM |
4.2.6 | Asegúrese de que el argumento --protect-kernel-defaults está establecido en true. |
Puntuado | 1 | Suspendido | IBM |
4.2.7 | Asegúrese de que el argumento --make-iptables-util-chains está establecido en true. |
Puntuado | 1 | Pasar | IBM |
4.2.8 | Asegúrese de que el argumento --hostname-override no esté establecido. |
Sin puntuar | 1 | Suspendido | IBM |
4.2.9 | Asegúrese de que el argumento --event-qps está ajustado a 0 o a un nivel que garantice una captura de eventos adecuada. |
Sin puntuar | 2 | Pasar | IBM |
4.2.10 | Asegúrese de que los argumentos --tls-cert-file y --tls-private-key-file estén establecidos según corresponda. |
Puntuado | 1 | Pasar | IBM |
4.2.11 | Asegúrese de que el argumento --rotate-certificates no esté establecido en false. |
Puntuado | 1 | Aprobado | IBM |
4.2.12 | Asegúrese de que el argumento RotateKubeletServerCertificate está establecido en true. | Puntuado | 1 | Suspendido | IBM |
4.2.13 | Asegúrese de que el Kubelet sólo utilice cifrados criptográficos fuertes. | Sin puntuar | 1 | Pasar | IBM |
5 Políticas de Kubernetes
Revise los resultados de las políticas de Kubernetes de CIS Kubernetes Benchmark versión 1.5.
5.1 Cuentas de servicio y RBAC
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.1.1 | Asegúrese de que el rol cluster-admin sólo se utiliza cuando es necesario. | Sin puntuar | 1 | Pasar | Compartido |
5.1.2 | Minimice el acceso a los secretos. | Sin puntuar | 1 | Suspendido | Compartido |
5.1.3 | Minimizar el uso de comodines en Roles y ClusterRoles. | Sin puntuar | 1 | Suspendido | Compartido |
5.1.4 | Minimice el acceso para crear pods. | Sin puntuar | 1 | Pasar | Compartido |
5.1.5 | Asegúrese de que las cuentas de servicio predeterminadas no se utilicen activamente. | Puntuado | 1 | Suspendido | Compartido |
5.1.6 | Asegúrese de que las señales de cuenta de servicio sólo se monten cuando sea necesario. | Sin puntuar | 1 | Suspendido | Compartido |
5.2 Políticas de seguridad de pod
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.2.1 | Minimice la admisión de contenedores privilegiados. | Sin puntuar | 1 | Aprobado | Compartido |
5.2.2 | Minimice la admisión de contenedores que deseen compartir el espacio de nombres del ID de proceso de host. | Puntuado | 1 | Aprobado | Compartido |
5.2.3 | Minimice la admisión de contenedores que deseen compartir el espacio de nombres de IPC de host. | Puntuado | 1 | Aprobado | Compartido |
5.2.4 | Minimice la admisión de contenedores que deseen compartir el espacio de nombres de red de host. | Puntuado | 1 | Aprobado | Compartido |
5.2.5 | Minimice la admisión de contenedores con allowPrivilegeEscalation. | Puntuado | 1 | Aprobado | Compartido |
5.2.6 | Minimice la admisión de contenedores raíz. | Sin puntuar | 2 | Aprobado | Compartido |
5.2.7 | Minimizar la admisión de contenedores con la capacidad NET_RAW. | Sin puntuar | 1 | Aprobado | Compartido |
5.2.8 | Minimice la admisión de contenedores con funciones añadidas. | Sin puntuar | 1 | Aprobado | Compartido |
5.2.9 | Minimice la admisión de contenedores con funciones asignadas. | Sin puntuar | 2 | Aprobado | Compartido |
5.3 CNI y políticas de red
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.3.1 | Asegúrese de que el CNI en uso dé soporte a políticas de red. | Sin puntuar | 1 | Pasar | IBM |
5.3.2 | Asegúrese de que todos los espacios de nombres tengan definidas políticas de red. | Puntuado | 2 | Suspendido | Compartido |
5.4 Gestión de secretos
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.4.1 | Prefiera utilizar secretos como archivos que secretos como variables de entorno. | Sin puntuar | 1 | Pasar | Compartido |
5.4.2 | Considere el almacenamiento externo de secretos. | Sin puntuar | 2 | Suspendido | Compartido |
5.5 Control de admisión extensible
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.5.1 | Configure Image Provenance utilizando el controlador de admisión ImagePolicyWebhook. | Sin puntuar | 2 | Suspendido | Compartido |
5.7 Políticas generales
Sección | Recomendación | ¿Anotado? | Nivel | Resultado | Responsabilidad |
---|---|---|---|---|---|
5.7.1 | Cree límites administrativos entre recursos utilizando espacios de nombres. | Sin puntuar | 1 | Pasar | Compartido |
5.7.2 | Asegúrese de que el perfil seccomp está configurado como docker/default en sus definiciones de pod. |
Sin puntuar | 2 | Suspendido | Compartido |
5.7.3 | Aplique contexto de seguridad a sus pods y contenedores. | Sin puntuar | 2 | Suspendido | Compartido |
5.7.4 | No se debería utilizar el espacio de nombres predeterminado. | Puntuado | 2 | Suspendido | Compartido |
Remedios y explicaciones de IBM
Revise la información de IBM sobre los resultados de CIS Benchmark.
Sección | Remediación y explicación |
---|---|
1.2.1 | IBM Cloud Kubernetes Service utiliza RBAC para la protección del clúster, pero permite el descubrimiento anónimo, lo que se considera razonable según CIS Kubernetes Benchmark. |
1.2.10 | IBM Cloud Kubernetes Service no habilita el EventRateLimit ya que es una Kubernetes. |
1.2.12 | IBM Cloud Kubernetes Service no habilita el AlwaysPullImages controlador de admisión ya que anula el imagePullPolicy de un contenedor y puede afectar al rendimiento. |
1.2.13 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
1.2.16 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
1.2.22 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
1.2.23 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
1.2.24 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
1.2.25 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
1.2.33 | IBM Cloud Kubernetes Service puede habilitar opcionalmente un proveedor de servicio de administración de claves(KMS)Kubernetes. |
1.2.34 | IBM Cloud Kubernetes Service puede habilitar opcionalmente un proveedor de servicio de administración de claves(KMS)Kubernetes. |
1.3.6 | IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador. |
3.2.1 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
3.2.2 | IBM Cloud Kubernetes Service puede opcionalmente habilitar Kubernetes. |
4.2.6 | 'IBM Cloud Kubernetes Service no protege los valores por defecto del núcleo para permitir a los clientes ' ajustar los parámetros del núcleo. |
4.2.8 | IBM Cloud Kubernetes Service garantiza que el nombre de host coincide con el nombre emitido por la infraestructura. |
4.2.11 | IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador. |
4.2.12 | IBM Cloud Kubernetes Service rota los certificados en cada recarga o actualización del nodo trabajador. |
5.1.2 | IBM Cloud Kubernetes Service despliega algunos componentes del sistema cuyo acceso secreto podría restringirse aún más en Kubernetes. |
5.1.3 | IBM Cloud Kubernetes Service despliega algunos componentes del sistema cuyo acceso a los recursos de Kubernetes podría restringirse aún más. |
5.1.5 | IBM Cloud Kubernetes Service no establece automountServiceAccountToken: false para cada cuenta de servicio por defecto. |
5.1.6 | IBM Cloud Kubernetes Service despliega algunos componentes del sistema que podrían establecer automountServiceAccountToken: false. |
5.2.1 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.2 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.3 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.4 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.5 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.6 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.7 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.8 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.2.9 | IBM Cloud Kubernetes Service puede configurar opcionalmente admisión de seguridad del pod, que es similar a las Kubernetes no soportadas. |
5.3.2 | IBM Cloud Kubernetes Service tiene definidas un conjunto de políticas de red por defecto Calico y Kubernetes y opcionalmente se pueden añadir políticas de red adicionales. |
5.4.2 | IBM Cloud Kubernetes Service puede opcionalmente activar el servicio Secrets Manager. |
5.5.1 | IBM Cloud Kubernetes Service puede, opcionalmente, activar la aplicación de seguridad de la imagen. |
5.7.2 | IBM Cloud Kubernetes Service no anota todos los pods con perfiles 'seccomp '. |
5.7.3 | IBM Cloud Kubernetes Service despliega algunos componentes del sistema que no establecen un pod o contenedor securityContext . |
5.7.4 | IBM Cloud Kubernetes Service despliega algunos recursos de Kubernetes con los nombres predeterminados. |