4.16 CIS Kubernetes Benchmark
Das Center for Internet Security ( CIS ) veröffentlicht den CIS Kubernetes Benchmark als Rahmen für spezifische Schritte, um Kubernetes sicherer und mit Standards zu konfigurieren, die den verschiedenen Industrievorschriften entsprechen. Dieses Dokument enthält die Ergebnisse des Benchmarks der Version 1.5 CIS Kubernetes für Cluster, die Red Hat OpenShift on IBM Cloud Version 4.16 ausführen. Weitere Informationen oder Hilfe zum Verständnis des Benchmarks finden Sie unter Verwendung des Benchmarks.
Sicherheitskonfiguration mit 1 Masterknoten
1.1 Konfigurationsdateien für Masterknoten
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
1.1.1 | Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationsdatei des API-Servers auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.2 | Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des API-Servers auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.3 | Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationdatei des Controller-Managers auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.4 | Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des Controller-Managers auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.5 | Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationsdatei des Schedulers auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.6 | Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des Schedulers auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.7 | Stellen Sie sicher, dass die Berechtigungen für die etcd-Podspezifikationsdatei auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.8 | Stellen Sie sicher, dass das Eigentumsrecht für die etcd-Podspezifikationsdatei auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.9 | Stellen Sie sicher, dass die Dateiberechtigungen für Container Network Interface auf '644' oder restriktiver festgelegt sind | Nicht bewertet | 1 | Bestanden | IBM |
1.1.10 | Stellen Sie sicher, dass das Eigentumsrecht für die Container Network Interface-Datei auf 'root:root' festgelegt ist | Nicht bewertet | 1 | Bestanden | IBM |
1.1.11 | Stellen Sie sicher, dass die Berechtigungen für das etcd-Datenverzeichnis auf '700' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.12 | Stellen Sie sicher, dass das Eigentumsrecht für das etcd-Datenverzeichnis auf 'etcd:etcd' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.13 | Stellen Sie sicher, dass die Dateiberechtigungen für 'admin.conf' auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.14 | Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'admin.conf' auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.15 | Stellen Sie sicher, dass die Dateiberechtigungen für 'scheduler.conf' auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.16 | Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'scheduler.conf' auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.17 | Stellen Sie sicher, dass die Dateiberechtigungen für 'controller-manager.conf' auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.18 | Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'controller-manager.conf' auf 'root:root' festgelegt ist | Bewertet | 1 | Bestanden | IBM |
1.1.19 | Stellen Sie sicher, dass das Kubernetes-PKI-Verzeichnis und das Dateieigentumsrecht auf 'root:root' festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.20 | Stellen Sie sicher, dass die Berechtigungen für die Kubernetes-PKI-Zertifikatsdatei auf '644' oder restriktiver festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.1.21 | Stellen Sie sicher, dass die Berechtigungen für die Kubernetes-PKI-Schlüsseldatei auf '600' festgelegt sind | Bewertet | 1 | Bestanden | IBM |
1.2 API-Server
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
1.2.1 | Stellen Sie sicher, dass das Argument --anonymous-auth auf 'false' festgelegt ist |
Nicht bewertet | 1 | Fehlgeschlagen | IBM |
1.2.2 | Stellen Sie sicher, dass das Argument --basic-auth-file nicht festgelegt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.3 | Stellen Sie sicher, dass der Parameter --token-auth-file nicht festgelegt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.4 | Stellen Sie sicher, dass das Argument --kubelet-https auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.5 | Stellen Sie sicher, dass die Argumente --kubelet-client-certificate und --kubelet-client-key den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
1.2.6 | Stellen Sie sicher, dass das Argument --kubelet-certificate-authority den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.7 | Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.8 | Stellen Sie sicher, dass das Argument --authorization-mode Node enthält. |
Bewertet | 1 | Bestanden | IBM |
1.2.9 | Stellen Sie sicher, dass das Argument --authorization-mode RBAC enthält. |
Bewertet | 1 | Bestanden | IBM |
1.2.10 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle EventRateLimit eingestellt ist. | Nicht bewertet | 1 | Fehlgeschlagen | IBM |
1.2.11 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle AlwaysAdmit nicht eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
1.2.12 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle AlwaysPullImages eingestellt ist. | Nicht bewertet | 1 | Fehlgeschlagen | IBM |
1.2.13 | Stellen Sie sicher, dass das Plug-in für die Zulassungskontrolle SecurityContextDeny eingestellt ist, wenn PodSecurityPolicy nicht verwendet wird. | Nicht bewertet | 1 | Bestanden | IBM |
1.2.14 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle ServiceAccount eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
1.2.15 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle NamespaceLifecycle eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
1.2.16 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle PodSecurityPolicy eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
1.2.17 | Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle NodeRestriction eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
1.2.18 | Stellen Sie sicher, dass das Argument --insecure-bind-address nicht festgelegt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.19 | Stellen Sie sicher, dass das Argument --insecure-port auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.20 | Stellen Sie sicher, dass das Argument --secure-port nicht auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.21 | Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.22 | Stellen Sie sicher, dass das Argument --audit-log-path festgelegt ist. |
Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.23 | Vergewissern Sie sich, dass das Argument --audit-log-maxage auf 30 oder entsprechend eingestellt ist. |
Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.24 | Vergewissern Sie sich, dass das Argument --audit-log-maxbackup auf 10 oder den entsprechenden Wert gesetzt ist. |
Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.25 | Vergewissern Sie sich, dass das Argument --audit-log-maxsize auf 100 oder den entsprechenden Wert gesetzt ist. |
Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.26 | Stellen Sie sicher, dass das Argument --request-timeout den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.27 | Stellen Sie sicher, dass das Argument --service-account-lookup auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.28 | Stellen Sie sicher, dass das Argument --service-account-key-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.29 | Stellen Sie sicher, dass die Argumente --etcd-certfile und --etcd-keyfile den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
1.2.30 | Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
1.2.31 | Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.32 | Stellen Sie sicher, dass das Argument --etcd-cafile den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.2.33 | Stellen Sie sicher, dass das Argument --encryption-provider-config den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.34 | Stellen Sie sicher, dass Verschlüsselungsprovider entsprechend konfiguriert sind. | Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
1.2.35 | Stellen Sie sicher, dass der API-Server nur kryptografisch starke Verschlüsselungen verwendet. | Nicht bewertet | 1 | Bestanden | IBM |
1.3 Controller-Manager
Abschnitt | Empfehlung | Bewertet / Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
1.3.1 | Stellen Sie sicher, dass das Argument --terminated-pod-gc-threshold den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.3.2 | Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.3.3 | Stellen Sie sicher, dass das Argument --use-service-account-credentials auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.3.4 | Stellen Sie sicher, dass das Argument --service-account-private-key-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.3.5 | Stellen Sie sicher, dass das Argument --root-ca-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
1.3.6 | Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. | Bewertet | 2 | Bestanden | IBM |
1.3.7 | Stellen Sie sicher, dass das Argument --bind-address auf 127.0.0.1 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.4 Scheduler
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
1.4.1 | Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
1.4.2 | Stellen Sie sicher, dass das Argument --bind-address auf 127.0.0.1 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
2 Etcd-Knotenkonfiguration
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
2.1 | Stellen Sie sicher, dass die Argumente --cert-file und --key-file den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
2.2 | Stellen Sie sicher, dass das Argument --client-cert-auth auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
2.3 | Stellen Sie sicher, dass das Argument --auto-tls nicht auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
2.4 | Stellen Sie sicher, dass die Argumente --peer-cert-file und --peer-key-file den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
2.5 | Stellen Sie sicher, dass das Argument --peer-client-cert-auth auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
2.6 | Stellen Sie sicher, dass das Argument --peer-auto-tls nicht auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
2.7 | Stellen Sie sicher, dass für 'etcd' eine eindeutige Zertifizierungsstelle verwendet wird. | Nicht bewertet | 2 | Bestanden | IBM |
3 Konfiguration der Steuerebene
3.1 Authentifizierung und Autorisierung
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
3.1.1 | Die Clientzertifikatsauthentifizierung sollte nicht für Benutzer verwendet werden. | Nicht bewertet | 2 | Bestanden | Gemeinsam |
3.2 Protokollierung
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
3.2.1 | Stellen Sie sicher, dass eine Auditrichtlinie mit Mindestanforderungen erstellt wird. | Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
3.2.2 | Stellen Sie sicher, dass die Prüfrichtlinie wichtige Sicherheitsprobleme abdeckt. | Nicht bewertet | 2 | Fehlgeschlagen | Gemeinsam |
4 Sicherheitskonfiguration des Arbeiterknotens ( REDHAT_8_64 )
4.1 Konfigurationsdateien für Workerknoten
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
4.1.1 | Stellen Sie sicher, dass die Berechtigungen für die Kubelet-Dienstdatei auf 644 oder restriktiver gesetzt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.2 | Stellen Sie sicher, dass der Eigentümer der Kubelet-Dienstdatei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.3 | Stellen Sie sicher, dass die Berechtigungen für die Datei 'kubeconfig' des Proxys auf kubeconfig oder auf restriktivere Berechtigungen gesetzt sind. |
Bewertet | 1 | Bestanden | IBM |
4.1.4 | Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'kubeconfig' des Proxys auf kubeconfig gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.1.5 | Stellen Sie sicher, dass die Dateiberechtigungen für kubelet.conf auf 644 oder restriktiver eingestellt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.6 | Stellen Sie sicher, dass der Eigentümer der Datei kubelet.conf auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.7 | Stellen Sie sicher, dass die Dateiberechtigungen der Zertifizierungsstellen auf 644 oder restriktiver eingestellt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.8 | Stellen Sie sicher, dass die Eigentümerschaft der Client-Zertifizierungsstellen-Datei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.9 | Stellen Sie sicher, dass die Kubelet-Konfigurationsdatei auf 644 oder restriktiver eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.10 | Stellen Sie sicher, dass die Eigentümerschaft der Kubelet-Konfigurationsdatei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.2 Kubelet
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
4.2.1 | Stellen Sie sicher, dass das Argument --anonymous-auth auf false gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.2 | Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.3 | Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.4 | Stellen Sie sicher, dass das Argument --read-only-port auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.5 | Stellen Sie sicher, dass das Argument --streaming-connection-idle-timeout nicht auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.6 | Stellen Sie sicher, dass das Argument --protect-kernel-defaults auf true gesetzt ist. |
Bewertet | 1 | Fehlgeschlagen | IBM |
4.2.7 | Stellen Sie sicher, dass das Argument --make-iptables-util-chains auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.8 | Stellen Sie sicher, dass das Argument --hostname-override nicht festgelegt ist. |
Nicht bewertet | 1 | Fehlgeschlagen | IBM |
4.2.9 | Vergewissern Sie sich, dass das Argument --event-qps auf 0 oder einen Wert gesetzt ist, der eine angemessene Erfassung von Ereignissen gewährleistet. |
Nicht bewertet | 2 | Bestanden | IBM |
4.2.10 | Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
4.2.11 | Stellen Sie sicher, dass das Argument --rotate-certificates nicht auf 'false' gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.12 | Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.2.13 | Stellen Sie sicher, dass Kubelet nur kryptografisch starke Verschlüsselungen verwendet. | Nicht bewertet | 1 | Bestanden | IBM |
4 Sicherheitskonfiguration des Arbeiterknotens (RHCOS)
4.1 Konfigurationsdateien für Workerknoten
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
4.1.1 | Stellen Sie sicher, dass die Berechtigungen für die Kubelet-Dienstdatei auf 644 oder restriktiver gesetzt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.2 | Stellen Sie sicher, dass der Eigentümer der Kubelet-Dienstdatei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.3 | Stellen Sie sicher, dass die Berechtigungen für die Datei 'kubeconfig' des Proxys auf kubeconfig oder auf restriktivere Berechtigungen gesetzt sind. |
Bewertet | 1 | Bestanden | IBM |
4.1.4 | Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'kubeconfig' des Proxys auf kubeconfig gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.1.5 | Stellen Sie sicher, dass die Dateiberechtigungen für kubelet.conf auf 644 oder restriktiver eingestellt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.6 | Stellen Sie sicher, dass der Eigentümer der Datei kubelet.conf auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.7 | Stellen Sie sicher, dass die Dateiberechtigungen der Zertifizierungsstellen auf 644 oder restriktiver eingestellt sind. | Bewertet | 1 | Bestanden | IBM |
4.1.8 | Stellen Sie sicher, dass die Eigentümerschaft der Client-Zertifizierungsstellen-Datei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.9 | Stellen Sie sicher, dass die Kubelet-Konfigurationsdatei auf 644 oder restriktiver eingestellt ist. | Bewertet | 1 | Bestanden | IBM |
4.1.10 | Stellen Sie sicher, dass die Eigentümerschaft der Kubelet-Konfigurationsdatei auf root:root gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.2 Kubelet
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
4.2.1 | Stellen Sie sicher, dass das Argument --anonymous-auth auf false gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.2 | Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.3 | Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.4 | Stellen Sie sicher, dass das Argument --read-only-port auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.5 | Stellen Sie sicher, dass das Argument --streaming-connection-idle-timeout nicht auf 0 gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.6 | Stellen Sie sicher, dass das Argument --protect-kernel-defaults auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.7 | Stellen Sie sicher, dass das Argument --make-iptables-util-chains auf true gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.8 | Stellen Sie sicher, dass das Argument --hostname-override nicht festgelegt ist. |
Nicht bewertet | 1 | Fehlgeschlagen | IBM |
4.2.9 | Vergewissern Sie sich, dass das Argument --event-qps auf 0 oder einen Wert gesetzt ist, der eine angemessene Erfassung von Ereignissen gewährleistet. |
Nicht bewertet | 2 | Bestanden | IBM |
4.2.10 | Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. |
Bewertet | 1 | Bestanden | IBM |
4.2.11 | Stellen Sie sicher, dass das Argument --rotate-certificates nicht auf 'false' gesetzt ist. |
Bewertet | 1 | Bestanden | IBM |
4.2.12 | Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. | Bewertet | 1 | Bestanden | IBM |
4.2.13 | Stellen Sie sicher, dass Kubelet nur kryptografisch starke Verschlüsselungen verwendet. | Nicht bewertet | 1 | Bestanden | IBM |
5 Kubernetes-Richtlinien
5.1 RBAC und Servicekonten
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.1.1 | Stellen Sie sicher, dass die Rolle des Cluster-Administrators nur bei Bedarf verwendet wird. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.1.2 | Minimieren Sie den Zugriff auf geheime Schlüssel. | Nicht bewertet | 1 | Fehlgeschlagen | Gemeinsam |
5.1.3 | Minimieren Sie die Verwendung von Platzhaltern in Rollen und ClusterRoles. | Nicht bewertet | 1 | Fehlgeschlagen | Gemeinsam |
5.1.4 | Minimieren Sie den Zugriff auf die Erstellung von Pods. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.1.5 | Stellen Sie sicher, dass Standardservicekonten nicht aktiv verwendet werden. | Bewertet | 1 | Fehlgeschlagen | Gemeinsam |
5.1.6 | Stellen Sie sicher, dass Servicekontotokens nur bei Bedarf angehängt werden. | Nicht bewertet | 1 | Fehlgeschlagen | Gemeinsam |
5.2 Pod-Sicherheitsrichtlinien
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.2.1 | Beschränken Sie den Zugang von berechtigten Containern auf ein Minimum. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.2.2 | Beschränken Sie den Zugang von Containern, die die den Namensbereich für die Prozess-ID des Hosts gemeinsam nutzen möchten, auf ein Minimum. | Bewertet | 1 | Bestanden | Gemeinsam |
5.2.3 | Beschränken Sie den Zugang von Containern, die die den Namensbereich für IPC des Hosts gemeinsam nutzen möchten, auf ein Minimum. | Bewertet | 1 | Bestanden | Gemeinsam |
5.2.4 | Beschränken Sie den Zugang von Containern, die die den Namensbereich für das Netz des Hosts gemeinsam nutzen möchten, auf ein Minimum. | Bewertet | 1 | Bestanden | Gemeinsam |
5.2.5 | Minimieren Sie die Aufnahme von Containern mit allowPrivilegeEscalation. | Bewertet | 1 | Bestanden | Gemeinsam |
5.2.6 | Beschränken Sie den Zugang von Stammcontainern auf ein Minimum. | Nicht bewertet | 2 | Bestanden | Gemeinsam |
5.2.7 | Minimieren Sie die Zulassung von Containern mit der NET_RAW-Funktion. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.2.8 | Beschränken Sie den Zugang von Containern mit zusätzlichen Funktionen auf ein Minimum. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.2.9 | Beschränken Sie den Zugang von Containern mit zugewiesenen Funktionen auf ein Minimum. | Nicht bewertet | 2 | Bestanden | Gemeinsam |
5.3 Netzrichtlinien und CNI
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.3.1 | Stellen Sie sicher, dass die verwendete CNI Netzrichtlinien unterstützt. | Nicht bewertet | 1 | Bestanden | IBM |
5.3.2 | Stellen Sie sicher, dass für alle Namensbereiche Netzrichtlinien definiert sind. | Bewertet | 2 | Fehlgeschlagen | Gemeinsam |
5.4 Verwaltung geheimer Schlüssel
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.4.1 | Verwenden Sie bevorzugt geheime Schlüssel als Dateien anstatt als Umgebungsvariablen. | Nicht bewertet | 1 | Fehlgeschlagen | Gemeinsam |
5.4.2 | Ziehen Sie in Betracht, geheime Schlüssel extern zu speichern. | Nicht bewertet | 2 | Fehlgeschlagen | Gemeinsam |
5.5 Erweiterbare Zugangssteuerung
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.5.1 | Konfigurieren Sie Image Provenance mit ImagePolicyWebhook admission controller. | Nicht bewertet | 2 | Fehlgeschlagen | Gemeinsam |
5.5.7 Allgemeine Politik
Abschnitt | Empfehlung | Bewertet/Nicht bewertet | Ebene | Ergebnis | Zuständigkeit |
---|---|---|---|---|---|
5.7.1 | Erstellen Sie mithilfe von Namensbereichen Verwaltungsgrenzen zwischen Ressourcen. | Nicht bewertet | 1 | Bestanden | Gemeinsam |
5.7.2 | Stellen Sie sicher, dass das Profil seccomp in Ihren Pod-Definitionen auf docker/default eingestellt ist. |
Nicht bewertet | 2 | Fehlgeschlagen | Gemeinsam |
5.7.3 | Wenden Sie den Sicherheitskontext auf Ihre Pods und Container an. | Nicht bewertet | 2 | Fehlgeschlagen | Gemeinsam |
5.7.4 | Der Standardnamensbereich darf nicht verwendet werden. | Bewertet | 2 | Bestanden | Gemeinsam |
IBM Korrekturen und Erläuterungen
Abschnitt | Korrektur/Erläuterung |
---|---|
1.2.1 | Red Hat OpenShift on IBM Cloud verwendet RBAC für den Clusterschutz, ermöglicht jedoch eine anonyme Erkennung, die für CIS Kubernetes Benchmark als angemessen erachtet wird. |
1.2.10 | Red Hat OpenShift on IBM Cloud aktiviert die EventRateLimit Zulassungssteuerung nicht, da es sich um eine Kubernetes Alpha-Funktion handelt. |
1.2.12 | Red Hat OpenShift on IBM Cloud aktiviert nicht den AlwaysPullImages Zulassungscontroller, da er die imagePullPolicy eines Containers außer Kraft setzt und die Leistung beeinträchtigen kann. |
1.2.13 | Red Hat OpenShift on IBM Cloud unterstützt OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
1.2.16 | Red Hat OpenShift on IBM Cloud unterstützt OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
1.2.22 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
1.2.23 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
1.2.24 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
1.2.25 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
1.2.33 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-KMS-Provider (Key Management Service) aktivieren. |
1.2.34 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-KMS-Provider (Key Management Service) aktivieren. |
3.2.1 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
3.2.2 | Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren. |
4.2.6 | Red Hat OpenShift on IBM Cloud schützt die Kernel-Standardwerte nicht, um den Kunden die Möglichkeit zu geben, die Kernel-Parameter anzupassen. |
4.2.8 | Red Hat OpenShift on IBM Cloud stellt sicher, dass der Hostname mit dem von der Infrastruktur ausgegebenen Namen übereinstimmt. |
5.1.2 | Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, deren Zugriff auf geheime Kubernetes-Schlüssel weiter eingeschränkt sein könnte. |
5.1.3 | Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, deren Kubernetes-Ressourcenzugriff weiter eingeschränkt sein könnte. |
5.1.5 | Red Hat OpenShift on IBM Cloud legt automountServiceAccountToken: false nicht für jedes Standardservicekonto fest. |
5.1.6 | Red Hat OpenShift on IBM Cloud implementiert einige Systemkomponenten, die automountServiceAccountToken: false festlegen könnten. |
5.2.1 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.2 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.3 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.4 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.5 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.6 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.7 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.8 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.2.9 | Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind. |
5.3.2 | Red Hat OpenShift on IBM Cloud verfügt über eine Gruppe von definierten Calico-Standardnetzrichtlinien und zusätzliche Netzrichtlinien können optional hinzugefügt werden. |
5.4.1 | Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, die die Verwendung von geheimen Schlüsseln als Dateien gegenüber geheimen Schlüsseln als Umgebungsvariablen vorziehen könnten. |
5.4.2 | Red Hat OpenShift on IBM Cloud kann optional den Dienst Secrets Manager aktivieren. |
5.5.1 | Red Hat OpenShift on IBM Cloud kann optional Durchsetzung der Imagesicherheit aktivieren. |
5.7.2 | Red Hat OpenShift on IBM Cloud versieht nicht alle Pods mit seccomp -Profilen. |
5.7.3 | Red Hat OpenShift on IBM Cloud setzt einige Systemkomponenten ein, die keine hülse oder Behälter securityContext setzen. |