4.4.17 compliance operator benchmark
Überprüfen Sie die Benchmark-Ergebnisse des Konformitätsoperators für Red Hat OpenShift on IBM Cloud Version 4.17.
1 Komponenten der Steuerungsebene
1.1 Konfigurationsdateien für Masterknoten
Die Konfiguration des Hauptknotens wird nicht in Form von Dateien gespeichert; daher fallen die Regeln in Abschnitt 1.1 nicht in den Anwendungsbereich der automatischen Prüfung durch den für die Einhaltung der Vorschriften zuständigen Bediensteten.
1.2 API-Server
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.2.1 | Ensure, dass anonyme Anfragen an authorized. | Manual | 1 | Pass gerichtet werden können |
| 1.2.2 | Ensure dass das Argument --basic-auth-file nicht set. |
Automated | 1 | Pass ist |
| 1.2.3 | Ensure, dass der --token-auth-file-Parameter nicht set. |
Automated | 1 | Pass ist |
| 1.2.4 | Use https für kubelet connections. | Automated | 1 | Pass |
| 1.2.5 | Ensure dass das Kubelet Zertifikate verwendet authenticate. | Automated | 1 | Not geprüft |
| 1.2.6 | Verify, dass die Kubelet-Zertifizierungsstelle auf appropriate. | Automated | 1 | Pass gesetzt ist |
| 1.2.7 | Ensure, dass das Argument --authorization-mode nicht auf AlwaysAllow. |
Automated | 1 | Pass gesetzt ist |
| 1.2.8 | Verify dass der Node-Autorisierer enabled. | Automated | 1 | Pass ist |
| 1.2.9 | Verify, dass RBAC enabled. | Automated | 1 | Pass ist |
| 1.2.10 | Ensure dass das APIPriorityAndFairness-Feature-Gate enabled. | Manual | 1 | Pass ist |
| 1.2.11 | Ensure dass das Plug-in für die Zulassungskontrolle AlwaysAdmit nicht set. | Automated | 1 | Pass ist |
| 1.2.12 | Ensure dass das Plug-in für die Zulassungskontrolle AlwaysPullImages nicht set. | Manual | 1 | Pass ist |
| 1.2.13 | Ensure dass das Plug-in für die Zulassungskontrolle SecurityContextDeny nicht set. | Manual | 1 | Pass ist |
| 1.2.14 | Ensure dass das Plug-in für die Zulassungskontrolle ServiceAccount set. | Automated | 1 | Pass ist |
| 1.2.15 | Ensure dass das Plug-in für die Zulassungskontrolle NamespaceLifecycle set. | Automated | 1 | Pass ist |
| 1.2.16 | Ensure dass das Plug-in für die Zulassungskontrolle SecurityContextConstraint set. | Automated | 1 | Pass ist |
| 1.2.17 | Ensure dass das Plug-in für die Zulassungskontrolle NodeRestriction set. | Automated | 1 | Pass ist |
| 1.2.18 | Ensure dass das Argument --insecure-bind-address nicht set. |
Automated | 1 | Pass ist |
| 1.2.19 | Ensure, dass das Argument --insecure-port auf 0. |
Automated | 1 | Not gesetzt ist, geprüft |
| 1.2.20 | Ensure, dass das Argument --secure-port nicht auf 0. |
Automated | 1 | Pass gesetzt ist |
| 1.2.21 | Ensure, dass der Endpunkt healthz durch RBAC. |
Automated | 1 | Pass geschützt ist |
| 1.2.22 | Ensure dass das Argument --audit-log-path set. |
Automated | 1 | Pass ist |
| 1.2.23 | Ensure dass die Audit-Protokolle zur Aufbewahrung aus dem Cluster weitergeleitet werden. | Automatisiert | 1 [ | Nicht geprüft](#co-benchmark-417-remdiation) |
| 1.2.24 | Ensure dass das Argument maximumRetainedFiles auf 10 gesetzt ist oder wie angemessen. | Automated [ | 1 | Not checked](#co-benchmark-417-remdiation) |
| 1.2.25 | Ensure dass das Argument maximumFileSizeMegabytes auf 100 gesetzt ist oder wie angemessen. | Automatisiert | 1 [ | Nicht geprüft](#co-benchmark-417-remdiation) |
| 1.2.26 | Ensure dass das Argument --request-timeout auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.2.27 | Ensure dass das Argument --service-account-lookup auf true. |
Automated | 1 | Pass gesetzt ist |
| 1.2.28 | Ensure dass das Argument --service-account-key-file auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.2.29 | Ensure dass die Argumente --etcd-certfile und --etcd-keyfile als appropriate. |
Automated | 1 | Pass festgelegt sind |
| 1.2.30 | Ensure dass die Argumente --tls-cert-file und --tls-private-key-file als appropriate. |
Automated | 1 | Pass festgelegt sind |
| 1.2.31 | Ensure dass das Argument --client-ca-file auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.2.32 | Ensure dass das Argument --etcd-cafile auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.2.33 | Ensure dass das Argument --encryption-provider-config als angemessen festgelegt ist. |
Manuell | 1 [ | Nicht geprüft](#co-benchmark-417-remdiation) |
| 1.2.34 | Ensure, dass Verschlüsselungsanbieter entsprechend konfiguriert sind. | Manuell | 1 | Nicht geprüft |
| 1.2.35 | Ensure dass der API-Server nur starke kryptografische Verfahren verwendet Ciphers. | Manual | 1 | Pass |
1.3 Controller-Manager
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.3.1 | Ensure dass die Müllabfuhr als appropriate. | Manual | 1 | Not konfiguriert ist, geprüft |
| 1.3.2 | Ensure, dass Controller-Manager healthz, Endpunkte durch RBAC. |
Automated | 1 | Pass geschützt sind |
| 1.3.3 | Ensure dass das Argument --use-service-account-credentials auf true. |
Automated | 1 | Pass gesetzt ist |
| 1.3.4 | Ensure dass das Argument --service-account-private-key-file auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.3.5 | Ensure dass das Argument --root-ca-file auf appropriate. |
Automated | 1 | Pass gesetzt ist |
| 1.3.6 | Ensure dass das Argument RotateKubeletServerCertificate auf true. | Automated | 2 | Pass gesetzt ist |
| 1.3.7 | Ensure dass das Argument --bind-address auf 127.0.0.1. |
Automated | 1 | Pass gesetzt ist |
1.4 Scheduler
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.4.1 | Ensure, dass die healthz-Endpunkte für den Planer durch RBAC. |
Automated | 1 | Pass geschützt sind |
| 1.4.2 | Verify, dass der Scheduler-API-Dienst durch Authentifizierung geschützt ist und authorization. | Automated | 1 | Pass |
2 etcd
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 2.1 | Ensure dass die Argumente --cert-file und --key-file als appropriate. |
Automated | 1 | Pass festgelegt sind |
| 2.2 | Ensure dass das Argument --client-cert-auth auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.3 | Ensure, dass das Argument --auto-tls nicht auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.4 | Ensure dass die Argumente --peer-cert-file und --peer-key-file als appropriate. |
Automated | 1 | Pass festgelegt sind |
| 2.5 | Ensure dass das Argument --peer-client-cert-auth auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.6 | Ensure, dass das Argument --peer-auto-tls nicht auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.7 | Ensure dass eine eindeutige Zertifizierungsstelle für etcd verwendet wird. | Handbuch | 2 | Nicht geprüft |
3 Konfiguration der Steuerebene
3.1 Authentifizierung und Autorisierung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| Die Zertifikatsauthentifizierung von " 3.1.1 | Client sollte nicht für " users. | Manual | 2 | Pass verwendet werden |
3.2 Protokollierung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| ' 3.2.1 | Ensure, dass eine minimale Prüfungsrichtlinie ' created. | Automated | 1 | Pass ist |
| ' 3.2.2 | Ensure, dass die Audit-Richtlinie die Schlüsselsicherheit abdeckt ' concerns. | Manual | 2 | Pass |
4 Arbeiterknoten
Befolgen Sie die Anweisungen unter Verwendung des Compliance-Operators, um eine automatische Prüfung der Konfiguration des Arbeitsknotens durchzuführen.
5 Policen
5.1 RBAC und Servicekonten
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| ' 5.1.1 | Ensure, dass die cluster-admin-Rolle nur dann verwendet wird, wenn ' required. | Manual | 1 | Pass |
| ' 5.1.2 | Minimize Zugriff auf ' secrets. | Manual | 1 | Not geprüft |
| 5.1.3 | Minimize Verwendung von Platzhaltern in Rollen und ClusterRoles. | Manual | 1 | Not geprüft |
| ' 5.1.4 | Minimize Zugriff zum Erstellen von ' pods. | Manual | 1 | Not geprüft |
| ' 5.1.5 | Ensure, dass Standarddienstkonten nicht aktiv sind | ' used. | Automated | 1 |
| 5.1.6 | Ensure, dass Dienstkonten-Token nur bei Bedarf eingebunden werden necessary. | Manual | 1 | Not |
5.2 Pod-Sicherheitsrichtlinien
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.2.1 | Minimize den Zugang zu privilegierten containers. | Manual | 1 | Not geprüft |
| ' 5.2.2 | Minimize die Zulassung von Containern, die sich die Host-Prozess-ID ' namespace. | Automated | 1 | Not teilen wollen, geprüft |
| ' 5.2.3 | Minimize die Zulassung von Containern, die den Host-IPC ' namespace. | Automated | 1 | Not gemeinsam nutzen wollen, geprüft |
| ' 5.2.4 | Minimize die Zulassung von Containern, die das Hostnetz gemeinsam nutzen wollen ' namespace. | Automated | 1 | Not geprüft |
| 5.2.5 | Minimize die Zulassung von Containern mit allowPrivilegeEscalation. | Automated | 1 | Not geprüft |
| 5.2.6 | Minimize der Zulassung von containers. | Manual | 2 | Not geprüft |
| 5.2.7 | Minimize die Zulassung von Containern mit der capability. | Manual | 1 | Not geprüft |
| 5.2.8 | Minimize die Zulassung von Containern mit zusätzlichen Fähigkeiten. | Manuell | 1 | Nicht geprüft |
| " 5.2.9 | Minimize die Zulassung von Containern mit den Fähigkeiten " assigned. | Manual | 2 | Not geprüft |
5.3 Netzrichtlinien und CNI
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| ' 5.3.1 | Ensure, dass die verwendete CNI das Netz ' Policies. | Manual | 1 | Pass unterstützt |
| 5.3.2 | Ensure, dass für alle Namensräume Netzwerkrichtlinien definiert sind Automatisiert 2 Nicht geprüft |
5.4 Verwaltung geheimer Schlüssel
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.4.1 | Prefer Geheimnisse als Dateien gegenüber Geheimnissen als variables | Manual | 1 | Not geprüft |
| 5.4.2 | Consider Externe storage | Manual | 2 | Not geprüft |
5.5 Erweiterbare Zugangssteuerung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| ' 5.5.1 | Configure Image Provenance unter Verwendung der Image-Controller-Konfiguration ' parameters. | Manual | 2 | Not checked |
5.5.7 Allgemeine Politik
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.7.1 | Create Verwaltungsgrenzen zwischen Ressourcen unter Verwendung von namespaces. | Manual | 1 | Not geprüft |
| 5.7.2 | Ensure dass das seccomp-Profil in Ihrem Pod auf docker/default eingestellt ist definitions. |
Manual | 2 | Not geprüft |
| 5.7.3 | Apply Sicherheitskontext für Ihre Pods und Containers. | Manual | 2 | Not geprüft |
| 5.7.4 | The Standard-Namensraum sollte nicht used. | Automated | 2 | Not sein |
Abhilfemaßnahmen und Erklärungen
Lesen Sie die Informationen von IBM zu den CIS-Benchmarkergebnissen.
| Abschnitt | Empfehlung/Erläuterung |
|---|---|
| 1.2.23 | Red Hat OpenShift on IBM Cloud kann optional die Kubernetes API-Server-Überprüfung aktivieren. |
| 1.2.24 | Red Hat OpenShift on IBM Cloud wird das Argument maximumRetainedFiles auf 1 gesetzt. |
| 1.2.25 | {Das Argument " maximumFileSizeMegabytes " wird auf 10 gesetzt (Red Hat OpenShift on IBM Cloud ). |
| 1.2.33 | Red Hat OpenShift on IBM Cloud kann optional einen Kubernetes Key Management Service (KMS) Provider aktivieren. |
| 1.2.34 | Red Hat OpenShift on IBM Cloud kann optional einen Kubernetes Key Management Service (KMS) Provider aktivieren. |
| 2.7 | Red Hat OpenShift on IBM Cloud wird eine eindeutige Zertifizierungsstelle für etcd konfiguriert. |
| 5.2.8 | Red Hat OpenShift on IBM Cloud werden benutzerdefinierte SCCs installiert. |
| 5.3.2 | Red Hat OpenShift on IBM Cloud verfügt über eine Reihe von standardmäßig definierten Calico Netzwerkrichtlinien, und zusätzliche Netzwerkrichtlinien können optional hinzugefügt werden. |