4.18 betreiber-Benchmark zur Einhaltung der Vorschriften
Überprüfen Sie die Benchmark-Ergebnisse des Betreibers zur Einhaltung der Vorschriften für Red Hat OpenShift on IBM Cloud Version 4.18.
1 Komponenten der Steuerungsebene
1.1 Konfigurationsdateien für Masterknoten
Die Konfiguration des Master-Knotens wird nicht in Form von Dateien gespeichert; daher fallen die Regeln in Abschnitt 1.1 nicht in den Anwendungsbereich der automatisierten Prüfung durch den Compliance-Operator.
1.2 API-Server
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.2.1 | Ensure dass anonyme Anfragen authorized. | Manual | 1 | Pass sind |
| 1.2.2 | Ensure dass das Argument --basic-auth-file nicht set. |
Automated | 1 | Pass ist |
| 1.2.3 | Ensure dass der Parameter --token-auth-file nicht set. |
Automated | 1 | Pass ist |
| 1.2.4 | Use https für kubelet connections. | Automated | 1 | Pass |
| 1.2.5 | Ensure dass das Kubelet Zertifikate verwendet, um authenticate. | Automated | 1 | Not zu überprüfen |
| 1.2.6 | Verify dass die Kubelet-Zertifizierungsstelle als appropriate. | Automated | 1 | Pass eingestellt ist |
| 1.2.7 | Ensure dass das Argument --authorization-mode nicht auf AlwaysAllow. |
Automated | 1 | Pass gesetzt ist |
| 1.2.8 | Verify dass der Node Autor enabled. | Automated | 1 | Pass ist |
| 1.2.9 | Verify dass RBAC enabled. | Automated | 1 | Pass |
| 1.2.10 | Ensure dass das APIPriorityAndFairness Feature Gate enabled. | Manual | 1 | Pass ist |
| 1.2.11 | Ensure dass das Plug-in für die Zulassungskontrolle AlwaysAdmit nicht set. | Automated | 1 | Pass ist |
| 1.2.12 | Ensure dass das Plug-in für die Zulassungskontrolle AlwaysPullImages nicht set. | Manual | 1 | Pass ist |
| 1.2.13 | Ensure dass das Plug-in für die Zulassungskontrolle SecurityContextDeny nicht set. | Manual | 1 | Pass ist |
| 1.2.14 | Ensure dass das Plug-in für die Zulassungskontrolle ServiceAccount set. | Automated | 1 | Pass ist |
| 1.2.15 | Ensure dass das Plug-in für die Zulassungskontrolle NamespaceLifecycle set. | Automated | 1 | Pass ist |
| 1.2.16 | Ensure dass das Plug-in für die Zulassungskontrolle SecurityContextConstraint set. | Automated | 1 | Pass ist |
| 1.2.17 | Ensure dass das Plug-in für die Zulassungskontrolle NodeRestriction set. | Automated | 1 | Pass ist |
| 1.2.18 | Ensure dass das Argument --insecure-bind-address nicht set. |
Automated | 1 | Pass ist |
| 1.2.19 | Ensure dass das Argument --insecure-port auf 0. |
Automated | 1 | Not gesetzt ist, überprüft |
| 1.2.20 | Ensure dass das Argument --secure-port nicht auf 0. |
Automated | 1 | Pass gesetzt ist |
| 1.2.21 | Ensure dass der Endpunkt healthz durch RBAC. |
Automated | 1 | Pass geschützt ist |
| 1.2.22 | Ensure dass das Argument --audit-log-path set. |
Automated | 1 | Pass ist |
| 1.2.23 | Ensure dass die Audit-Protokolle außerhalb des Clusters zur Aufbewahrung weitergeleitet werden. | Automatisch | 1 | Nicht markiert |
| 1.2.24 | Ensure dass das Argument maximumRetainedFiles auf 10 oder entsprechend gesetzt ist. | Automatisiert | 1 | Nicht geprüft |
| 1.2.25 | Ensure dass das Argument maximumFileSizeMegabytes auf 100 oder entsprechend gesetzt ist. | Automatisiert | 1 | Nicht geprüft |
| 1.2.26 | Ensure dass das Argument --request-timeout als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.2.27 | Ensure dass das Argument --service-account-lookup auf true. |
Automated | 1 | Pass gesetzt wird |
| 1.2.28 | Ensure dass das Argument --service-account-key-file als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.2.29 | Ensure dass die Argumente --etcd-certfile und --etcd-keyfile als appropriate. |
Automated | 1 | Pass gesetzt werden |
| 1.2.30 | Ensure dass die Argumente --tls-cert-file und --tls-private-key-file als appropriate. |
Automated | 1 | Pass gesetzt werden |
| 1.2.31 | Ensure dass das Argument --client-ca-file als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.2.32 | Ensure dass das Argument --etcd-cafile als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.2.33 | Ensure dass das Argument --encryption-provider-config entsprechend gesetzt ist. |
Manuell | 1 | Nicht geprüft |
| 1.2.34 | Ensure dass die Verschlüsselungsprovider angemessen konfiguriert sind. | Manuell | 1 | Nicht geprüft |
| 1.2.35 | Ensure dass der API-Server nur starke kryptografische Verfahren verwendet Ciphers. | Manual | 1 | Pass |
1.3 Controller-Manager
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.3.1 | Ensure dass die Müllabfuhr als appropriate. | Manual | 1 | Not konfiguriert ist, geprüft |
| 1.3.2 | Ensure dass die Endpunkte des Controller-Managers healthz durch RBAC. |
Automated | 1 | Pass geschützt sind |
| 1.3.3 | Ensure dass das Argument --use-service-account-credentials auf true. |
Automated | 1 | Pass gesetzt wird |
| 1.3.4 | Ensure dass das Argument --service-account-private-key-file als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.3.5 | Ensure dass das Argument --root-ca-file als appropriate. |
Automated | 1 | Pass eingestellt ist |
| 1.3.6 | Ensure dass das Argument RotateKubeletServerCertificate auf true. | Automated | 2 | Pass gesetzt wird |
| 1.3.7 | Ensure dass das Argument --bind-address auf 127.0.0.1. |
Automated | 1 | Pass gesetzt wird |
1.4 Scheduler
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 1.4.1 | Ensure dass die healthz Endpunkte für den Scheduler durch RBAC. |
Automated | 1 | Pass geschützt sind |
| 1.4.2 | Verify dass der Scheduler-API-Dienst durch Authentifizierung geschützt ist und authorization. | Automated | 1 | Pass |
2 etcd
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 2.1 | Ensure dass die Argumente --cert-file und --key-file als appropriate. |
Automated | 1 | Pass gesetzt werden |
| 2.2 | Ensure dass das Argument --client-cert-auth auf true. |
Automated | 1 | Pass gesetzt wird |
| 2.3 | Ensure dass das Argument --auto-tls nicht auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.4 | Ensure dass die Argumente --peer-cert-file und --peer-key-file als appropriate. |
Automated | 1 | Pass gesetzt werden |
| 2.5 | Ensure dass das Argument --peer-client-cert-auth auf true. |
Automated | 1 | Pass gesetzt wird |
| 2.6 | Ensure dass das Argument --peer-auto-tls nicht auf true. |
Automated | 1 | Pass gesetzt ist |
| 2.7 | Ensure dass eine eindeutige Zertifizierungsstelle für etcd verwendet wird. | Manuell | 2 | Nicht geprüft |
3 Konfiguration der Steuerebene
3.1 Authentifizierung und Autorisierung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 3.1.1 | Client sollte die Zertifikatsauthentifizierung nicht für users. | Manual | 2 | Pass verwendet werden |
3.2 Protokollierung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 3.2.1 | Ensure, dass eine minimale Prüfungsrichtlinie created. | Automated | 1 | Pass |
| 3.2.2 | Ensure dass die Audit-Richtlinie die wichtigsten Sicherheitsaspekte abdeckt concerns. | Manual | 2 | Pass |
4 Arbeiterknoten
Befolgen Sie die Anweisungen unter Verwendung des Compliance-Operators, um eine automatische Prüfung der Arbeitsknotenkonfiguration durchzuführen.
5 Policen
5.1 RBAC und Servicekonten
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.1.1 | Ensure dass die Rolle cluster-admin nur dort verwendet wird, wo required. | Manual | 1 | Pass |
| 5.1.2 | Minimize Zugriff auf secrets. | Manual | 1 | Not geprüft |
| 5.1.3 | Minimize Verwendung von Platzhaltern in Rollen und ClusterRoles. | Manual | 1 | Not geprüft |
| 5.1.4 | Minimize Zugang zum Erstellen von pods. | Manual | 1 | Not geprüft |
| 5.1.5 | Ensure, dass die Konten der Standarddienste nicht aktiv used. | Automated | 1 | Not überprüft werden |
| 5.1.6 | Ensure, dass Service Account Tokens nur eingehängt werden, wenn necessary. | Manual | 1 | Not aktiviert ist |
5.2 Pod-Sicherheitsrichtlinien
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.2.1 | Minimize die Zulassung von Privilegierten containers. | Manual | 1 | Not geprüft |
| 5.2.2 | Minimize die Zulassung von Containern, die sich die Prozess-ID des Hosts teilen wollen namespace. | Automated | 1 | Not geprüft |
| 5.2.3 | Minimize die Zulassung von Containern, die sich den Host IPC teilen wollen namespace. | Automated | 1 | Not geprüft |
| 5.2.4 | Minimize die Zulassung von Containern, die das Host-Netzwerk gemeinsam nutzen wollen namespace. | Automated | 1 | Not geprüft |
| 5.2.5 | Minimize die Zulassung von Containern mit allowPrivilegeEscalation. | Automated | 1 | Not geprüft |
| 5.2.6 | Minimize die Zulassung von root containers. | Manual | 2 | Not überprüft |
| 5.2.7 | Minimize die Zulassung von Containern, bei denen das NET_RAW capability. | Manual | 1 | Not aktiviert ist |
| 5.2.8 | Minimize die Zulassung von Containern mit zusätzlichen Fähigkeiten. | Manuell | 1 | Nicht geprüft |
| 5.2.9 | Minimize die Zulassung von Containern, deren Fähigkeiten assigned. | Manual | 2 | Not geprüft werden |
5.3 Netzrichtlinien und CNI
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.3.1 | Ensure dass der verwendete CNI das Netzwerk unterstützt Policies. | Manual | 1 | Pass |
| 5.3.2 | Ensure dass alle Namensräume über Netzwerkrichtlinien verfügen. | Automatisiert | 2 | Nicht geprüft |
5.4 Verwaltung geheimer Schlüssel
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.4.1 | Prefer Geheimnisse als Dateien statt Geheimnisse als Umgebung verwenden variables | Manual | 1 | Not geprüft |
| 5.4.2 | Consider externes Geheimnis storage | Manual | 2 | Not geprüft |
5.5 Erweiterbare Zugangssteuerung
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.5.1 | Configure Image Provenance mit Image Controller Konfiguration parameters. | Manual | 2 | Not checked |
5.7 Allgemeine Politik
| Abschnitt | Empfehlung | Manuell/Automatisch | Ebene | Ergebnis |
|---|---|---|---|---|
| 5.7.1 | Create administrative Grenzen zwischen Ressourcen mit namespaces. | Manual | 1 | Not geprüft |
| 5.7.2 | Ensure dass das Profil seccomp in Ihrem Pod auf docker/default gesetzt ist definitions. |
Manual | 2 | Not überprüft |
| 5.7.3 | Apply Sicherheitskontext für Ihre Pods und Containers. | Manual | 2 | Not geprüft |
| 5.7.4 | The Standard-Namensraum sollte nicht used. | Automated | 2 | Not überprüft werden |
Abhilfemaßnahmen und Erklärungen
Lesen Sie die Informationen von IBM zu den CIS-Benchmarkergebnissen.
| Abschnitt | Empfehlung/Erläuterung |
|---|---|
| 1.2.23 | Red Hat OpenShift on IBM Cloud kann optional die Kubernetes API-Server-Überprüfung aktivieren. |
| 1.2.24 | Red Hat OpenShift on IBM Cloud setzt das Argument maximumRetainedFiles auf 1. |
| 1.2.25 | Red Hat OpenShift on IBM Cloud setzt das Argument maximumFileSizeMegabytes auf 10. |
| 1.2.33 | Red Hat OpenShift on IBM Cloud kann optional einen Kubernetes Key Management Service (KMS) Provider aktivieren. |
| 1.2.34 | Red Hat OpenShift on IBM Cloud kann optional einen Kubernetes Key Management Service (KMS) Provider aktivieren. |
| 2.7 | Red Hat OpenShift on IBM Cloud konfiguriert eine eindeutige Zertifizierungsstelle für etcd. |
| 5.2.8 | Red Hat OpenShift on IBM Cloud installiert benutzerdefinierte SCCs. |
| 5.3.2 | Red Hat OpenShift on IBM Cloud verfügt über eine Reihe von standardmäßig definierten Calico Netzwerkrichtlinien, und zusätzliche Netzwerkrichtlinien können optional hinzugefügt werden. |