IBM Cloud Docs
4.16 CIS Kubernetes Benchmark

4.16 CIS Kubernetes Benchmark

Das Center for Internet Security ( CIS ) veröffentlicht den CIS Kubernetes Benchmark als Rahmen für spezifische Schritte, um Kubernetes sicherer und mit Standards zu konfigurieren, die den verschiedenen Industrievorschriften entsprechen. Dieses Dokument enthält die Ergebnisse des Benchmarks der Version 1.5 CIS Kubernetes für Cluster, die Red Hat OpenShift on IBM Cloud Version 4.16 ausführen. Weitere Informationen oder Hilfe zum Verständnis des Benchmarks finden Sie unter Verwendung des Benchmarks.

Sicherheitskonfiguration mit 1 Masterknoten

1.1 Konfigurationsdateien für Masterknoten

Abschnitt 1.1 Master-Knoten-Benchmark-Ergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
1.1.1 Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationsdatei des API-Servers auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.2 Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des API-Servers auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.3 Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationdatei des Controller-Managers auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.4 Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des Controller-Managers auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.5 Stellen Sie sicher, dass die Berechtigungen für die Pod-Spezifikationsdatei des Schedulers auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.6 Stellen Sie sicher, dass das Eigentumsrecht für die Pod-Spezifikationsdatei des Schedulers auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.7 Stellen Sie sicher, dass die Berechtigungen für die etcd-Podspezifikationsdatei auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.8 Stellen Sie sicher, dass das Eigentumsrecht für die etcd-Podspezifikationsdatei auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.9 Stellen Sie sicher, dass die Dateiberechtigungen für Container Network Interface auf '644' oder restriktiver festgelegt sind Nicht bewertet 1 Bestanden IBM
1.1.10 Stellen Sie sicher, dass das Eigentumsrecht für die Container Network Interface-Datei auf 'root:root' festgelegt ist Nicht bewertet 1 Bestanden IBM
1.1.11 Stellen Sie sicher, dass die Berechtigungen für das etcd-Datenverzeichnis auf '700' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.12 Stellen Sie sicher, dass das Eigentumsrecht für das etcd-Datenverzeichnis auf 'etcd:etcd' festgelegt ist Bewertet 1 Bestanden IBM
1.1.13 Stellen Sie sicher, dass die Dateiberechtigungen für 'admin.conf' auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.14 Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'admin.conf' auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.15 Stellen Sie sicher, dass die Dateiberechtigungen für 'scheduler.conf' auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.16 Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'scheduler.conf' auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.17 Stellen Sie sicher, dass die Dateiberechtigungen für 'controller-manager.conf' auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.18 Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'controller-manager.conf' auf 'root:root' festgelegt ist Bewertet 1 Bestanden IBM
1.1.19 Stellen Sie sicher, dass das Kubernetes-PKI-Verzeichnis und das Dateieigentumsrecht auf 'root:root' festgelegt sind Bewertet 1 Bestanden IBM
1.1.20 Stellen Sie sicher, dass die Berechtigungen für die Kubernetes-PKI-Zertifikatsdatei auf '644' oder restriktiver festgelegt sind Bewertet 1 Bestanden IBM
1.1.21 Stellen Sie sicher, dass die Berechtigungen für die Kubernetes-PKI-Schlüsseldatei auf '600' festgelegt sind Bewertet 1 Bestanden IBM

1.2 API-Server

Abschnitt 1.2: API-Server - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
1.2.1 Stellen Sie sicher, dass das Argument --anonymous-auth auf 'false' festgelegt ist Nicht bewertet 1 Fehlgeschlagen IBM
1.2.2 Stellen Sie sicher, dass das Argument --basic-auth-file nicht festgelegt ist. Bewertet 1 Bestanden IBM
1.2.3 Stellen Sie sicher, dass der Parameter --token-auth-file nicht festgelegt ist. Bewertet 1 Bestanden IBM
1.2.4 Stellen Sie sicher, dass das Argument --kubelet-https auf true gesetzt ist. Bewertet 1 Bestanden IBM
1.2.5 Stellen Sie sicher, dass die Argumente --kubelet-client-certificate und --kubelet-client-key den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
1.2.6 Stellen Sie sicher, dass das Argument --kubelet-certificate-authority den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.2.7 Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. Bewertet 1 Bestanden IBM
1.2.8 Stellen Sie sicher, dass das Argument --authorization-mode Node enthält. Bewertet 1 Bestanden IBM
1.2.9 Stellen Sie sicher, dass das Argument --authorization-mode RBAC enthält. Bewertet 1 Bestanden IBM
1.2.10 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle EventRateLimit eingestellt ist. Nicht bewertet 1 Fehlgeschlagen IBM
1.2.11 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle AlwaysAdmit nicht eingestellt ist. Bewertet 1 Bestanden IBM
1.2.12 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle AlwaysPullImages eingestellt ist. Nicht bewertet 1 Fehlgeschlagen IBM
1.2.13 Stellen Sie sicher, dass das Plug-in für die Zulassungskontrolle SecurityContextDeny eingestellt ist, wenn PodSecurityPolicy nicht verwendet wird. Nicht bewertet 1 Bestanden IBM
1.2.14 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle ServiceAccount eingestellt ist. Bewertet 1 Bestanden IBM
1.2.15 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle NamespaceLifecycle eingestellt ist. Bewertet 1 Bestanden IBM
1.2.16 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle PodSecurityPolicy eingestellt ist. Bewertet 1 Bestanden IBM
1.2.17 Vergewissern Sie sich, dass das Plug-in für die Zulassungskontrolle NodeRestriction eingestellt ist. Bewertet 1 Bestanden IBM
1.2.18 Stellen Sie sicher, dass das Argument --insecure-bind-address nicht festgelegt ist. Bewertet 1 Bestanden IBM
1.2.19 Stellen Sie sicher, dass das Argument --insecure-port auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
1.2.20 Stellen Sie sicher, dass das Argument --secure-port nicht auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
1.2.21 Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. Bewertet 1 Bestanden IBM
1.2.22 Stellen Sie sicher, dass das Argument --audit-log-path festgelegt ist. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.23 Vergewissern Sie sich, dass das Argument --audit-log-maxage auf 30 oder entsprechend eingestellt ist. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.24 Vergewissern Sie sich, dass das Argument --audit-log-maxbackup auf 10 oder den entsprechenden Wert gesetzt ist. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.25 Vergewissern Sie sich, dass das Argument --audit-log-maxsize auf 100 oder den entsprechenden Wert gesetzt ist. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.26 Stellen Sie sicher, dass das Argument --request-timeout den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.2.27 Stellen Sie sicher, dass das Argument --service-account-lookup auf true gesetzt ist. Bewertet 1 Bestanden IBM
1.2.28 Stellen Sie sicher, dass das Argument --service-account-key-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.2.29 Stellen Sie sicher, dass die Argumente --etcd-certfile und --etcd-keyfile den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
1.2.30 Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
1.2.31 Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.2.32 Stellen Sie sicher, dass das Argument --etcd-cafile den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.2.33 Stellen Sie sicher, dass das Argument --encryption-provider-config den Anforderungen entsprechend definiert ist. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.34 Stellen Sie sicher, dass Verschlüsselungsprovider entsprechend konfiguriert sind. Bewertet 1 Fehlgeschlagen Gemeinsam
1.2.35 Stellen Sie sicher, dass der API-Server nur kryptografisch starke Verschlüsselungen verwendet. Nicht bewertet 1 Bestanden IBM

1.3 Controller-Manager

Abschnitt 1.3: Controller-Manager - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet / Nicht bewertet Ebene Ergebnis Zuständigkeit
1.3.1 Stellen Sie sicher, dass das Argument --terminated-pod-gc-threshold den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.3.2 Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. Bewertet 1 Bestanden IBM
1.3.3 Stellen Sie sicher, dass das Argument --use-service-account-credentials auf true gesetzt ist. Bewertet 1 Bestanden IBM
1.3.4 Stellen Sie sicher, dass das Argument --service-account-private-key-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.3.5 Stellen Sie sicher, dass das Argument --root-ca-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
1.3.6 Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. Bewertet 2 Bestanden IBM
1.3.7 Stellen Sie sicher, dass das Argument --bind-address auf 127.0.0.1 gesetzt ist. Bewertet 1 Bestanden IBM

1.4 Scheduler

Abschnitt 1.4: Scheduler - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
1.4.1 Stellen Sie sicher, dass das Argument --profiling auf false gesetzt ist. Bewertet 1 Bestanden IBM
1.4.2 Stellen Sie sicher, dass das Argument --bind-address auf 127.0.0.1 gesetzt ist. Bewertet 1 Bestanden IBM

2 Etcd-Knotenkonfiguration

Benchmark-Ergebnisse der etcd-Knotenkonfiguration (Abschnitt 2)
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
2.1 Stellen Sie sicher, dass die Argumente --cert-file und --key-file den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
2.2 Stellen Sie sicher, dass das Argument --client-cert-auth auf true gesetzt ist. Bewertet 1 Bestanden IBM
2.3 Stellen Sie sicher, dass das Argument --auto-tls nicht auf true gesetzt ist. Bewertet 1 Bestanden IBM
2.4 Stellen Sie sicher, dass die Argumente --peer-cert-file und --peer-key-file den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
2.5 Stellen Sie sicher, dass das Argument --peer-client-cert-auth auf true gesetzt ist. Bewertet 1 Bestanden IBM
2.6 Stellen Sie sicher, dass das Argument --peer-auto-tls nicht auf true gesetzt ist. Bewertet 1 Bestanden IBM
2.7 Stellen Sie sicher, dass für 'etcd' eine eindeutige Zertifizierungsstelle verwendet wird. Nicht bewertet 2 Bestanden IBM

3 Konfiguration der Steuerebene

3.1 Authentifizierung und Autorisierung

Abschnitt 3.1: Authentifizierung und Autorisierung - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
3.1.1 Die Clientzertifikatsauthentifizierung sollte nicht für Benutzer verwendet werden. Nicht bewertet 2 Bestanden Gemeinsam

3.2 Protokollierung

Abschnitt 3.2: Protokollierung - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
3.2.1 Stellen Sie sicher, dass eine Auditrichtlinie mit Mindestanforderungen erstellt wird. Bewertet 1 Fehlgeschlagen Gemeinsam
3.2.2 Stellen Sie sicher, dass die Prüfrichtlinie wichtige Sicherheitsprobleme abdeckt. Nicht bewertet 2 Fehlgeschlagen Gemeinsam

4 Sicherheitskonfiguration des Arbeiterknotens ( REDHAT_8_64 )

4.1 Konfigurationsdateien für Workerknoten

Abschnitt 4.1 Worker Node Configuration Benchmark-Ergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
4.1.1 Stellen Sie sicher, dass die Berechtigungen für die Kubelet-Dienstdatei auf 644 oder restriktiver gesetzt sind. Bewertet 1 Bestanden IBM
4.1.2 Stellen Sie sicher, dass der Eigentümer der Kubelet-Dienstdatei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.3 Stellen Sie sicher, dass die Berechtigungen für die Datei 'kubeconfig' des Proxys auf kubeconfig oder auf restriktivere Berechtigungen gesetzt sind. Bewertet 1 Bestanden IBM
4.1.4 Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'kubeconfig' des Proxys auf kubeconfig gesetzt ist. Bewertet 1 Bestanden IBM
4.1.5 Stellen Sie sicher, dass die Dateiberechtigungen für kubelet.conf auf 644 oder restriktiver eingestellt sind. Bewertet 1 Bestanden IBM
4.1.6 Stellen Sie sicher, dass der Eigentümer der Datei kubelet.conf auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.7 Stellen Sie sicher, dass die Dateiberechtigungen der Zertifizierungsstellen auf 644 oder restriktiver eingestellt sind. Bewertet 1 Bestanden IBM
4.1.8 Stellen Sie sicher, dass die Eigentümerschaft der Client-Zertifizierungsstellen-Datei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.9 Stellen Sie sicher, dass die Kubelet-Konfigurationsdatei auf 644 oder restriktiver eingestellt ist. Bewertet 1 Bestanden IBM
4.1.10 Stellen Sie sicher, dass die Eigentümerschaft der Kubelet-Konfigurationsdatei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM

4.2 Kubelet

Abschnitt 4.2: Kubelet - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
4.2.1 Stellen Sie sicher, dass das Argument --anonymous-auth auf false gesetzt ist. Bewertet 1 Bestanden IBM
4.2.2 Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. Bewertet 1 Bestanden IBM
4.2.3 Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
4.2.4 Stellen Sie sicher, dass das Argument --read-only-port auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
4.2.5 Stellen Sie sicher, dass das Argument --streaming-connection-idle-timeout nicht auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
4.2.6 Stellen Sie sicher, dass das Argument --protect-kernel-defaults auf true gesetzt ist. Bewertet 1 Fehlgeschlagen IBM
4.2.7 Stellen Sie sicher, dass das Argument --make-iptables-util-chains auf true gesetzt ist. Bewertet 1 Bestanden IBM
4.2.8 Stellen Sie sicher, dass das Argument --hostname-override nicht festgelegt ist. Nicht bewertet 1 Fehlgeschlagen IBM
4.2.9 Vergewissern Sie sich, dass das Argument --event-qps auf 0 oder einen Wert gesetzt ist, der eine angemessene Erfassung von Ereignissen gewährleistet. Nicht bewertet 2 Bestanden IBM
4.2.10 Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
4.2.11 Stellen Sie sicher, dass das Argument --rotate-certificates nicht auf 'false' gesetzt ist. Bewertet 1 Bestanden IBM
4.2.12 Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. Bewertet 1 Bestanden IBM
4.2.13 Stellen Sie sicher, dass Kubelet nur kryptografisch starke Verschlüsselungen verwendet. Nicht bewertet 1 Bestanden IBM

4 Sicherheitskonfiguration des Arbeiterknotens (RHCOS)

4.1 Konfigurationsdateien für Workerknoten

Abschnitt 4.1 Worker Node Configuration Benchmark-Ergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
4.1.1 Stellen Sie sicher, dass die Berechtigungen für die Kubelet-Dienstdatei auf 644 oder restriktiver gesetzt sind. Bewertet 1 Bestanden IBM
4.1.2 Stellen Sie sicher, dass der Eigentümer der Kubelet-Dienstdatei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.3 Stellen Sie sicher, dass die Berechtigungen für die Datei 'kubeconfig' des Proxys auf kubeconfig oder auf restriktivere Berechtigungen gesetzt sind. Bewertet 1 Bestanden IBM
4.1.4 Stellen Sie sicher, dass das Eigentumsrecht für die Datei 'kubeconfig' des Proxys auf kubeconfig gesetzt ist. Bewertet 1 Bestanden IBM
4.1.5 Stellen Sie sicher, dass die Dateiberechtigungen für kubelet.conf auf 644 oder restriktiver eingestellt sind. Bewertet 1 Bestanden IBM
4.1.6 Stellen Sie sicher, dass der Eigentümer der Datei kubelet.conf auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.7 Stellen Sie sicher, dass die Dateiberechtigungen der Zertifizierungsstellen auf 644 oder restriktiver eingestellt sind. Bewertet 1 Bestanden IBM
4.1.8 Stellen Sie sicher, dass die Eigentümerschaft der Client-Zertifizierungsstellen-Datei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM
4.1.9 Stellen Sie sicher, dass die Kubelet-Konfigurationsdatei auf 644 oder restriktiver eingestellt ist. Bewertet 1 Bestanden IBM
4.1.10 Stellen Sie sicher, dass die Eigentümerschaft der Kubelet-Konfigurationsdatei auf root:root gesetzt ist. Bewertet 1 Bestanden IBM

4.2 Kubelet

Abschnitt 4.2: Kubelet - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
4.2.1 Stellen Sie sicher, dass das Argument --anonymous-auth auf false gesetzt ist. Bewertet 1 Bestanden IBM
4.2.2 Stellen Sie sicher, dass das Argument --authorization-mode nicht auf AlwaysAllow gesetzt ist. Bewertet 1 Bestanden IBM
4.2.3 Stellen Sie sicher, dass das Argument --client-ca-file den Anforderungen entsprechend definiert ist. Bewertet 1 Bestanden IBM
4.2.4 Stellen Sie sicher, dass das Argument --read-only-port auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
4.2.5 Stellen Sie sicher, dass das Argument --streaming-connection-idle-timeout nicht auf 0 gesetzt ist. Bewertet 1 Bestanden IBM
4.2.6 Stellen Sie sicher, dass das Argument --protect-kernel-defaults auf true gesetzt ist. Bewertet 1 Bestanden IBM
4.2.7 Stellen Sie sicher, dass das Argument --make-iptables-util-chains auf true gesetzt ist. Bewertet 1 Bestanden IBM
4.2.8 Stellen Sie sicher, dass das Argument --hostname-override nicht festgelegt ist. Nicht bewertet 1 Fehlgeschlagen IBM
4.2.9 Vergewissern Sie sich, dass das Argument --event-qps auf 0 oder einen Wert gesetzt ist, der eine angemessene Erfassung von Ereignissen gewährleistet. Nicht bewertet 2 Bestanden IBM
4.2.10 Stellen Sie sicher, dass die Argumente --tls-cert-file und --tls-private-key-file den Anforderungen entsprechend festgelegt sind. Bewertet 1 Bestanden IBM
4.2.11 Stellen Sie sicher, dass das Argument --rotate-certificates nicht auf 'false' gesetzt ist. Bewertet 1 Bestanden IBM
4.2.12 Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist. Bewertet 1 Bestanden IBM
4.2.13 Stellen Sie sicher, dass Kubelet nur kryptografisch starke Verschlüsselungen verwendet. Nicht bewertet 1 Bestanden IBM

5 Kubernetes-Richtlinien

5.1 RBAC und Servicekonten

Abschnitt 5.1: RBAC- und Servicekonten - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.1.1 Stellen Sie sicher, dass die Rolle des Cluster-Administrators nur bei Bedarf verwendet wird. Nicht bewertet 1 Bestanden Gemeinsam
5.1.2 Minimieren Sie den Zugriff auf geheime Schlüssel. Nicht bewertet 1 Fehlgeschlagen Gemeinsam
5.1.3 Minimieren Sie die Verwendung von Platzhaltern in Rollen und ClusterRoles. Nicht bewertet 1 Fehlgeschlagen Gemeinsam
5.1.4 Minimieren Sie den Zugriff auf die Erstellung von Pods. Nicht bewertet 1 Bestanden Gemeinsam
5.1.5 Stellen Sie sicher, dass Standardservicekonten nicht aktiv verwendet werden. Bewertet 1 Fehlgeschlagen Gemeinsam
5.1.6 Stellen Sie sicher, dass Servicekontotokens nur bei Bedarf angehängt werden. Nicht bewertet 1 Fehlgeschlagen Gemeinsam

5.2 Pod-Sicherheitsrichtlinien

Abschnitt 5.2: Pod-Sicherheitsrichtlinien - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.2.1 Beschränken Sie den Zugang von berechtigten Containern auf ein Minimum. Nicht bewertet 1 Bestanden Gemeinsam
5.2.2 Beschränken Sie den Zugang von Containern, die die den Namensbereich für die Prozess-ID des Hosts gemeinsam nutzen möchten, auf ein Minimum. Bewertet 1 Bestanden Gemeinsam
5.2.3 Beschränken Sie den Zugang von Containern, die die den Namensbereich für IPC des Hosts gemeinsam nutzen möchten, auf ein Minimum. Bewertet 1 Bestanden Gemeinsam
5.2.4 Beschränken Sie den Zugang von Containern, die die den Namensbereich für das Netz des Hosts gemeinsam nutzen möchten, auf ein Minimum. Bewertet 1 Bestanden Gemeinsam
5.2.5 Minimieren Sie die Aufnahme von Containern mit allowPrivilegeEscalation. Bewertet 1 Bestanden Gemeinsam
5.2.6 Beschränken Sie den Zugang von Stammcontainern auf ein Minimum. Nicht bewertet 2 Bestanden Gemeinsam
5.2.7 Minimieren Sie die Zulassung von Containern mit der NET_RAW-Funktion. Nicht bewertet 1 Bestanden Gemeinsam
5.2.8 Beschränken Sie den Zugang von Containern mit zusätzlichen Funktionen auf ein Minimum. Nicht bewertet 1 Bestanden Gemeinsam
5.2.9 Beschränken Sie den Zugang von Containern mit zugewiesenen Funktionen auf ein Minimum. Nicht bewertet 2 Bestanden Gemeinsam

5.3 Netzrichtlinien und CNI

Abschnitt 5.3: Netzrichtlinien und CNI - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.3.1 Stellen Sie sicher, dass die verwendete CNI Netzrichtlinien unterstützt. Nicht bewertet 1 Bestanden IBM
5.3.2 Stellen Sie sicher, dass für alle Namensbereiche Netzrichtlinien definiert sind. Bewertet 2 Fehlgeschlagen Gemeinsam

5.4 Verwaltung geheimer Schlüssel

Abschnitt 5.4: Verwaltung von geheimen Schlüsseln (Secrets) - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.4.1 Verwenden Sie bevorzugt geheime Schlüssel als Dateien anstatt als Umgebungsvariablen. Nicht bewertet 1 Fehlgeschlagen Gemeinsam
5.4.2 Ziehen Sie in Betracht, geheime Schlüssel extern zu speichern. Nicht bewertet 2 Fehlgeschlagen Gemeinsam

5.5 Erweiterbare Zugangssteuerung

Abschnitt 5.5: Erweiterbare Zugangssteuerung - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.5.1 Konfigurieren Sie Image Provenance mit ImagePolicyWebhook admission controller. Nicht bewertet 2 Fehlgeschlagen Gemeinsam

5.5.7 Allgemeine Politik

Abschnitt 5.6: Allgemeine Richtlinien - Benchmarkergebnisse
Abschnitt Empfehlung Bewertet/Nicht bewertet Ebene Ergebnis Zuständigkeit
5.7.1 Erstellen Sie mithilfe von Namensbereichen Verwaltungsgrenzen zwischen Ressourcen. Nicht bewertet 1 Bestanden Gemeinsam
5.7.2 Stellen Sie sicher, dass das Profil seccomp in Ihren Pod-Definitionen auf docker/default eingestellt ist. Nicht bewertet 2 Fehlgeschlagen Gemeinsam
5.7.3 Wenden Sie den Sicherheitskontext auf Ihre Pods und Container an. Nicht bewertet 2 Fehlgeschlagen Gemeinsam
5.7.4 Der Standardnamensbereich darf nicht verwendet werden. Bewertet 2 Bestanden Gemeinsam

IBM Korrekturen und Erläuterungen

Erklärungen und Abhilfemaßnahmen
Abschnitt Korrektur/Erläuterung
1.2.1 Red Hat OpenShift on IBM Cloud verwendet RBAC für den Clusterschutz, ermöglicht jedoch eine anonyme Erkennung, die für CIS Kubernetes Benchmark als angemessen erachtet wird.
1.2.10 Red Hat OpenShift on IBM Cloud aktiviert die EventRateLimit Zulassungssteuerung nicht, da es sich um eine Kubernetes Alpha-Funktion handelt.
1.2.12 Red Hat OpenShift on IBM Cloud aktiviert nicht den AlwaysPullImages Zulassungscontroller, da er die imagePullPolicy eines Containers außer Kraft setzt und die Leistung beeinträchtigen kann.
1.2.13 Red Hat OpenShift on IBM Cloud unterstützt OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
1.2.16 Red Hat OpenShift on IBM Cloud unterstützt OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
1.2.22 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
1.2.23 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
1.2.24 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
1.2.25 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
1.2.33 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-KMS-Provider (Key Management Service) aktivieren.
1.2.34 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-KMS-Provider (Key Management Service) aktivieren.
3.2.1 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
3.2.2 Red Hat OpenShift on IBM Cloud kann optional Kubernetes-API-Serverprüfung aktivieren.
4.2.6 Red Hat OpenShift on IBM Cloud schützt die Kernel-Standardwerte nicht, um den Kunden die Möglichkeit zu geben, die Kernel-Parameter anzupassen.
4.2.8 Red Hat OpenShift on IBM Cloud stellt sicher, dass der Hostname mit dem von der Infrastruktur ausgegebenen Namen übereinstimmt.
5.1.2 Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, deren Zugriff auf geheime Kubernetes-Schlüssel weiter eingeschränkt sein könnte.
5.1.3 Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, deren Kubernetes-Ressourcenzugriff weiter eingeschränkt sein könnte.
5.1.5 Red Hat OpenShift on IBM Cloud legt automountServiceAccountToken: false nicht für jedes Standardservicekonto fest.
5.1.6 Red Hat OpenShift on IBM Cloud implementiert einige Systemkomponenten, die automountServiceAccountToken: false festlegen könnten.
5.2.1 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.2 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.3 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.4 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.5 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.6 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.7 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.8 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.2.9 Red Hat OpenShift on IBM Cloud kann optional OpenShift Sicherheitskontextbeschränkungen und Kubernetes pod security admission, die den veralteten Kubernetes pod security policies ähnlich sind.
5.3.2 Red Hat OpenShift on IBM Cloud verfügt über eine Gruppe von definierten Calico-Standardnetzrichtlinien und zusätzliche Netzrichtlinien können optional hinzugefügt werden.
5.4.1 Red Hat OpenShift on IBM Cloud stellt einige Systemkomponenten bereit, die die Verwendung von geheimen Schlüsseln als Dateien gegenüber geheimen Schlüsseln als Umgebungsvariablen vorziehen könnten.
5.4.2 Red Hat OpenShift on IBM Cloud kann optional den Dienst Secrets Manager aktivieren.
5.5.1 Red Hat OpenShift on IBM Cloud kann optional Durchsetzung der Imagesicherheit aktivieren.
5.7.2 Red Hat OpenShift on IBM Cloud versieht nicht alle Pods mit seccomp-Profilen.
5.7.3 Red Hat OpenShift on IBM Cloud setzt einige Systemkomponenten ein, die keine hülse oder Behälter securityContext setzen.