À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Version 1.24 CIS Kubernetes benchmark
Cette version n'est plus prise en charge. Mettez à jour votre cluster vers une version prise en charge dès que possible.
Le Center for Internet Security ( CIS ) publie le CIS Kubernetes Benchmark comme un cadre d'étapes spécifiques pour configurer Kubernetes de manière plus sûre et avec des normes correspondant à diverses réglementations industrielles. Ce document contient les résultats de la version 1.5 CIS Kubernetes benchmark pour les clusters qui exécutent Kubernetes version 1.24. Pour plus d'informations ou d'aide à la compréhension du benchmark, voir Utilisation du benchmark.
1 Configuration de sécurité du noeud maître
Passez en revue les résultats de la configuration de la sécurité du noeud maître de la version 1.5 du test de performances CIS Kubernetes.
1.1 Fichiers de configuration du noeud principal
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 1.1.1 | Vérifiez que les droits sur le fichier de spécification de pod de serveur d'API sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.2 | Vérifiez que la propriété du fichier de spécification de pod de serveur d'API est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.3 | Vérifiez que les droits sur le fichier de spécification de pod de gestionnaire de contrôleurs sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.4 | Vérifiez que la propriété du fichier de spécification de pod de gestionnaire de contrôleurs est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.5 | Vérifiez que les droits sur le fichier de spécification de pod de planificateur sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.6 | Vérifiez que la propriété du fichier de spécification de pod de planificateur est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.7 | Vérifiez que les droits sur le fichier de spécification de pod etcd sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.8 | Vérifiez que la propriété du fichier de spécification de pod etcd est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.9 | Vérifiez que les droits sur le fichier d'interface CNI (Container Network Interface) sont définis sur 644 ou sont plus restrictifs. |
Non évalué | 1 | Réussite | IBM |
| 1.1.10 | Vérifiez que la propriété du fichier d'interface CNI (Container Network Interface) est définie sur root:root. |
Non évalué | 1 | Réussite | IBM |
| 1.1.11 | Vérifiez que les droits sur le répertoire de données etcd sont définis sur 700 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.12 | Vérifiez que la propriété du répertoire de données etcd est définie sur etcd:etcd. |
Evalué | 1 | Réussite | IBM |
| 1.1.13 | Vérifiez que les droits sur le fichier admin.conf sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.14 | Vérifiez que la propriété du fichier admin.conf est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.15 | Vérifiez que les droits sur le fichier scheduler.conf sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.16 | Vérifiez que la propriété du fichier scheduler.conf est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.17 | Vérifiez que les droits sur le fichier controller-manager.conf sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.18 | Vérifiez que la propriété du fichier controller-manager.conf est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.19 | Vérifiez que la propriété du fichier et du répertoire PKI Kubernetes est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 1.1.20 | Vérifiez que les droits sur le fichier de certificat PKI Kubernetes sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 1.1.21 | Vérifiez que les droits sur le fichier de clés PKI Kubernetes sont définis sur 600. |
Evalué | 1 | Réussite | IBM |
1.2 Serveur API
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 1.2.1 | Assurez-vous que l'option --anonymous-auth est définie sur false. |
Non évalué | 1 | Échec | IBM |
| 1.2.2 | Assurez-vous que l'option --basic-auth-file n'est pas activée. |
Evalué | 1 | Réussite | IBM |
| 1.2.3 | Vérifiez que le paramètre --token-auth-file n'est pas défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.4 | Assurez-vous que l'option --kubelet-https est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 1.2.5 | Assurez-vous que les options --kubelet-client-certificate et --kubelet-client-key sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.6 | Veillez à ce que l'option --kubelet-certificate-authority soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.7 | Assurez-vous que l'option --authorization-mode n'est pas définie sur AlwaysAllow. |
Evalué | 1 | Réussite | IBM |
| 1.2.8 | Assurez-vous que l'option --authorization-mode inclut Node. |
Evalué | 1 | Réussite | IBM |
| 1.2.9 | Assurez-vous que l'option --authorization-mode inclut RBAC. |
Evalué | 1 | Réussite | IBM |
| 1.2.10 | Vérifiez que le plug-in de contrôle d'admission EventRateLimit est défini. |
Non évalué | 1 | Échec | IBM |
| 1.2.11 | Vérifiez que le plug-in de contrôle d'admission AlwaysAdmit n'est pas défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.12 | Vérifiez que le plug-in de contrôle d'admission AlwaysPullImages est défini. |
Non évalué | 1 | Échec | IBM |
| 1.2.13 | Vérifiez que le plug-in de contrôle d'admission SecurityContextDeny est défini si PodSecurityPolicy n'est pas utilisé. |
Non évalué | 1 | Réussite | IBM |
| 1.2.14 | Vérifiez que le plug-in de contrôle d'admission ServiceAccount est défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.15 | Vérifiez que le plug-in de contrôle d'admission NamespaceLifecycle est défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.16 | Vérifiez que le plug-in de contrôle d'admission PodSecurityPolicy est défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.17 | Vérifiez que le plug-in de contrôle d'admission NodeRestriction est défini. |
Evalué | 1 | Réussite | IBM |
| 1.2.18 | Assurez-vous que l'option --insecure-bind-address n'est pas activée. |
Evalué | 1 | Réussite | IBM |
| 1.2.19 | Assurez-vous que l'option --insecure-port est définie sur 0. |
Evalué | 1 | Réussite | IBM |
| 1.2.20 | Assurez-vous que l'option --secure-port n'est pas définie sur 0. |
Evalué | 1 | Réussite | IBM |
| 1.2.21 | Assurez-vous que l'option --profiling est définie sur false. |
Evalué | 1 | Réussite | IBM |
| 1.2.22 | Assurez-vous que l'option --audit-log-path est activée. |
Evalué | 1 | Échec | Partagée |
| 1.2.23 | Veillez à ce que l'option --audit-log-maxage soit définie sur 30 ou comme il convient. |
Evalué | 1 | Échec | Partagée |
| 1.2.24 | Veillez à ce que l'option --audit-log-maxbackup soit définie sur 10 ou comme il convient. |
Evalué | 1 | Échec | Partagée |
| 1.2.25 | Veillez à ce que l'option --audit-log-maxsize soit définie sur 100 ou comme il convient. |
Evalué | 1 | Échec | Partagée |
| 1.2.26 | Veillez à ce que l'option --request-timeout soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.27 | Assurez-vous que l'option --service-account-lookup est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 1.2.28 | Veillez à ce que l'option --service-account-key-file soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.29 | Assurez-vous que les options --etcd-certfile et --etcd-keyfile sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.30 | Assurez-vous que les options --tls-cert-file et --tls-private-key-file sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.31 | Veillez à ce que l'option --client-ca-file soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.32 | Veillez à ce que l'option --etcd-cafile soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.2.33 | Veillez à ce que l'option --encryption-provider-config soit définie comme il convient. |
Evalué | 1 | Échec | Partagée |
| 1.2.34 | Vérifiez que les fournisseurs de chiffrement sont correctement configurés. | Evalué | 1 | Échec | Partagée |
| 1.2.35 | Veillez à ce que le serveur API n'utilise que des codes cryptographiques forts. | Non évalué | 1 | Réussite | IBM |
1.3 Gestionnaire de contrôleurs
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 1.3.1 | Veillez à ce que l'option --terminated-pod-gc-threshold soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.3.2 | Assurez-vous que l'option --profiling est définie sur false. |
Evalué | 1 | Réussite | IBM |
| 1.3.3 | Assurez-vous que l'option --use-service-account-credentials est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 1.3.4 | Veillez à ce que l'option --service-account-private-key-file soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.3.5 | Veillez à ce que l'option --root-ca-file soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 1.3.6 | Assurez-vous que l'option RotateKubeletServerCertificate est définie sur true. |
Evalué | 2 | Échec | IBM |
| 1.3.7 | Assurez-vous que l'option --bind-address est définie sur 127.0.0.1. |
Evalué | 1 | Réussite | IBM |
1.4 Planificateur
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 1.4.1 | Assurez-vous que l'option --profiling est définie sur false. |
Evalué | 1 | Réussite | IBM |
| 1.4.2 | Assurez-vous que l'option --bind-address est définie sur 127.0.0.1. |
Evalué | 1 | Réussite | IBM |
2 Configuration du noeud Etcd
Passez en revue les résultats de la configuration du noeud Etcd de la version 1.5 du test de performances CIS Kubernetes.
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 2.1 | Assurez-vous que les options --cert-file et --key-file sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 2.2 | Assurez-vous que l'option --client-cert-auth est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 2.3 | Assurez-vous que l'option --auto-tls n'est pas définie sur true. |
Evalué | 1 | Réussite | IBM |
| 2.4 | Assurez-vous que les options --peer-cert-file et --peer-key-file sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 2.5 | Assurez-vous que l'option --peer-client-cert-auth est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 2.6 | Assurez-vous que l'option --peer-auto-tls n'est pas définie sur true. |
Evalué | 1 | Réussite | IBM |
| 2.7 | Vérifiez qu'une autorité de certification unique est utilisée pour etcd. | Non évalué | 2 | Réussite | IBM |
3 Configuration du plan de contrôle
Passez en revue les résultats de la configuration du plan de contrôle de la version 1.5 du test de performances CIS Kubernetes.
3.1 Authentification et autorisation
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 3.1.1 | L'authentification par certificat client ne doit pas être utilisée pour les utilisateurs. | Non évalué | 2 | Réussite | Partagée |
3.2 Journalisation
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 3.2.1 | Vérifiez qu'une règle d'audit minimale est créée. | Evalué | 1 | Échec | Partagée |
| 3.2.2 | Vérifiez que la règle d'audit couvre les principales préoccupations en matière de sécurité. | Non évalué | 2 | Échec | Partagée |
4 Configuration de la sécurité du noeud worker
Passez en revue les résultats de la configuration du noeud worker de la version 1.5 du test de performances CIS Kubernetes.
4.1 Fichiers de configuration de noeud worker
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 4.1.1 | Vérifiez que les droits sur le fichier de service kubelet sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 4.1.2 | Vérifiez que la propriété du fichier de service kubelet est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 4.1.3 | Vérifiez que les droits sur le fichier kubeconfig du proxy sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 4.1.4 | Vérifiez que la propriété du fichier kubeconfig du proxy est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 4.1.5 | Vérifiez que les droits sur le fichier kubelet.conf sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 4.1.6 | Vérifiez que la propriété du fichier kubelet.conf est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 4.1.7 | Vérifiez que les droits sur le fichier des autorités de certification sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 4.1.8 | Vérifiez que la propriété du fichier des autorités de certification client est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
| 4.1.9 | Vérifiez que les droits sur le fichier de configuration kubelet sont définis sur 644 ou sont plus restrictifs. |
Evalué | 1 | Réussite | IBM |
| 4.1.10 | Vérifiez que la propriété du fichier de configuration kubelet est définie sur root:root. |
Evalué | 1 | Réussite | IBM |
4.2 Kubelet
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 4.2.1 | Assurez-vous que l'option --anonymous-auth est définie sur false. |
Evalué | 1 | Réussite | IBM |
| 4.2.2 | Assurez-vous que l'option --authorization-mode n'est pas définie sur AlwaysAllow. |
Evalué | 1 | Réussite | IBM |
| 4.2.3 | Veillez à ce que l'option --client-ca-file soit définie comme il convient. |
Evalué | 1 | Réussite | IBM |
| 4.2.4 | Assurez-vous que l'option --read-only-port est définie sur 0. |
Evalué | 1 | Réussite | IBM |
| 4.2.5 | Assurez-vous que l'option --streaming-connection-idle-timeout n'est pas définie sur 0. |
Evalué | 1 | Réussite | IBM |
| 4.2.6 | Assurez-vous que l'option --protect-kernel-defaults est définie sur true. |
Evalué | 1 | Échec | IBM |
| 4.2.7 | Assurez-vous que l'option --make-iptables-util-chains est définie sur true. |
Evalué | 1 | Réussite | IBM |
| 4.2.8 | Assurez-vous que l'option --hostname-override n'est pas activée. |
Non évalué | 1 | Échec | IBM |
| 4.2.9 | Assurez-vous que l'option --event-qps est réglée sur 0 ou sur un niveau garantissant une capture appropriée des événements. |
Non évalué | 2 | Réussite | IBM |
| 4.2.10 | Assurez-vous que les options --tls-cert-file et --tls-private-key-file sont définies comme il convient. |
Evalué | 1 | Réussite | IBM |
| 4.2.11 | Assurez-vous que l'option --rotate-certificates n'est pas définie sur false. |
Evalué | 1 | Réussite | IBM |
| 4.2.12 | Assurez-vous que l'option RotateKubeletServerCertificate est définie sur true. |
Evalué | 1 | Échec | IBM |
| 4.2.13 | S'assurer que le kubelet n'utilise que des codes cryptographiques forts. | Non évalué | 1 | Réussite | IBM |
5 Politiques de Kubernetes
Passez en revue les résultats des stratégies Kubernetes de la version 1.5 du test de performances CIS Kubernetes.
5.1 RBAC et comptes de service
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.1.1 | Vérifiez que le rôle cluster-admin n'est utilisé qu'en cas de nécessité. |
Non évalué | 1 | Réussite | Partagée |
| 5.1.2 | Réduisez l'accès aux secrets. | Non évalué | 1 | Échec | Partagée |
| 5.1.3 | Minimiser l'utilisation de caractères génériques dans les rôles et ClusterRoles. | Non évalué | 1 | Échec | Partagée |
| 5.1.4 | Réduisez l'accès à la création de pods. | Non évalué | 1 | Réussite | Partagée |
| 5.1.5 | Vérifiez que les comptes de service par défaut ne sont pas activement utilisés. | Evalué | 1 | Échec | Partagée |
| 5.1.6 | Vérifiez que les jetons de compte de service ne sont montés qu'en cas de nécessité. | Non évalué | 1 | Échec | Partagée |
5.2 Politiques sur la sécurité des nacelles
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.2.1 | Réduisez l'admission des conteneurs privilégiés. | Non évalué | 1 | Réussite | Partagée |
| 5.2.2 | Minimiser l'admission des conteneurs souhaitant partager l'espace de noms de l'ID du processus hôte. | Evalué | 1 | Réussite | Partagée |
| 5.2.3 | Minimiser l'admission des conteneurs souhaitant partager l'espace de noms IPC de l'hôte. | Evalué | 1 | Réussite | Partagée |
| 5.2.4 | Minimiser l'admission des conteneurs souhaitant partager l'espace de noms du réseau hôte. | Evalué | 1 | Réussite | Partagée |
| 5.2.5 | Réduisez l'admission des conteneurs avec allowPrivilegeEscalation. |
Evalué | 1 | Réussite | Partagée |
| 5.2.6 | Réduisez l'admission des conteneurs racine. | Non évalué | 2 | Réussite | Partagée |
| 5.2.7 | Minimiser l'admission des conteneurs avec la capacité NET_RAW. | Non évalué | 1 | Réussite | Partagée |
| 5.2.8 | Réduisez l'admission des conteneurs avec fonctionnalités ajoutées. | Non évalué | 1 | Réussite | Partagée |
| 5.2.9 | Réduisez l'admission des conteneurs avec fonctionnalités affectées. | Non évalué | 2 | Réussite | Partagée |
5.3 Politiques du réseau et CNI
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.3.1 | Vérifiez que le CNI utilisé prend en charge des règles réseau. | Non évalué | 1 | Réussite | IBM |
| 5.3.2 | Vérifiez que des règles réseau ont été définies pour tous les espace de noms. | Evalué | 2 | Échec | Partagée |
5.4 Gestion des secrets
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.4.1 | Privilégiez l'utilisation de secrets sous forme de fichiers plutôt que de variables d'environnement. | Non évalué | 1 | Réussite | Partagée |
| 5.4.2 | Envisagez le stockage de secrets externe. | Non évalué | 2 | Échec | Partagée |
5.5 Contrôle d'admission extensible
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.5.1 | Configurez la provenance d'image à l'aide du contrôleur d'admission ImagePolicyWebhook. |
Non évalué | 2 | Échec | Partagée |
5.6 Politiques générales
| Section | Recommandation | Marqué? | Niveau | Résultat | Responsibilité |
|---|---|---|---|---|---|
| 5.6.1 | Créez des limites administratives entre des ressources à l'aide d'espaces de noms. | Non évalué | 1 | Réussite | Partagée |
| 5.6.2 | Assurez-vous que le profil seccomp est défini sur docker/default dans vos définitions de pods. |
Non évalué | 2 | Échec | Partagée |
| 5.6.3 | Appliquez un contexte de sécurité à vos pods et conteneurs. | Non évalué | 2 | Échec | Partagée |
| 5.6.4 | L'espace de noms par défaut ne doit pas être utilisé. | Evalué | 2 | Échec | Partagée |
IBM Résolutions et explications
Passez en revue les informations de IBM sur les résultats du test de performances CIS.
| Section | rattrapage / Explication |
|---|---|
| 1.2.1 | IBM Cloud Kubernetes Service utilise RBAC pour la protection des clusters, mais permet la découverte anonyme, ce qui est considéré comme raisonnable selon CIS Kubernetes Benchmark. |
| 1.2.10 | IBM Cloud Kubernetes Service n'active pas le contrôleur d'admission EventRateLimit le contrôleur d'admission puisqu'il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 1.2.12 | IBM Cloud Kubernetes Service n'active pas le contrôleur d'admission AlwaysPullImages contrôleur d'admission, car il remplace le contrôleur d'admission d'un conteneur et peut avoir un impact sur les performances imagePullPolicy d'un conteneur et peut avoir un impact sur les performances. |
| 1.2.22 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 1.2.23 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 1.2.24 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 1.2.25 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 1.2.33 | IBM Cloud Kubernetes Service peut optionnellement activer un fournisseur de service de gestion de clés(KMS)Kubernetes. |
| 1.2.34 | IBM Cloud Kubernetes Service peut optionnellement activer un fournisseur de service de gestion de clés(KMS)Kubernetes. |
| 1.3.6 | IBM Cloud Kubernetes Service effectue une rotation des certificats à chaque recharge ou mise à jour d'un nœud de travail. |
| 3.2.1 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 3.2.2 | IBM Cloud Kubernetes Service peut éventuellement activer l'audit du serveur d'API Kubernetes. |
| 4.2.6 | IBM Cloud Kubernetes Service ne protège pas les valeurs par défaut du noyau pour permettre aux clients d' optimiser les paramètres du noyau. |
| 4.2.8 | IBM Cloud Kubernetes Service garantit que le nom d'hôte correspond au nom émis par l'infrastructure. |
| 4.2.11 | IBM Cloud Kubernetes Service effectue une rotation des certificats à chaque recharge ou mise à jour d'un nœud de travail. |
| 4.2.12 | IBM Cloud Kubernetes Service effectue une rotation des certificats à chaque recharge ou mise à jour d'un nœud de travail. |
| 5.1.2 | IBM Cloud Kubernetes Service déploie certains composants du système dont l'accès au secret Kubernetes pourrait être encore plus restreint. |
| 5.1.3 | IBM Cloud Kubernetes Service déploie certains composants du système dont l'accès aux ressources Kubernetes pourrait être encore plus restreint. |
| 5.1.5 | IBM Cloud Kubernetes Service ne définit pas automountServiceAccountToken: false pour chaque compte de service par défaut. |
| 5.1.6 | IBM Cloud Kubernetes Service déploie certains composants du système qui pourraient rendre automountServiceAccountToken: faux. |
| 5.2.1 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.2 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.3 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.4 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.5 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.6 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.7 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.8 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.2.9 | IBM Cloud Kubernetes Service peut optionnellement configurer des politiques de sécurité pour les pods. |
| 5.3.2 | IBM Cloud Kubernetes Service possède un ensemble de règles réseau par défaut Calico et Kubernetes définies et des règles réseau supplémentaires peuvent éventuellement être ajoutées. |
| 5.4.2 | IBM Cloud Kubernetes Service peut optionnellement activer un fournisseur de service de gestion de clés(KMS)Kubernetes. |
| 5.5.1 | IBM Cloud Kubernetes Service peut éventuellement activer l'application de la sécurité des images. |
| 5.6.2 | IBM Cloud Kubernetes Service n'annote pas tous les pods avec des profils seccomp. |
| 5.6.3 | IBM Cloud Kubernetes Service déploie certains composants du système qui ne définissent pas de pod ou de conteneur securityContext. |
| 5.6.4 | IBM Cloud Kubernetes Service déploie certaines ressources Kubernetes vers les noms par défaut. |