CIS Kubernetes とコンプライアンス・オペレーターのベンチマークの比較
CIS Kubernetes とコンプライアンス・オペレーター・ベンチマークの違いの概要については、以下の表を参照してください。
主な相違点
セクション | CIS Kubernetes ベンチマーク | コンプライアンス・オペレーターのベンチマーク | 説明 |
---|---|---|---|
1.2.1 | --anonymous-auth オプションが「false 」に設定されていることを確認する。 |
匿名要求が許可されていることを確認してください。 | 同じ目的を達成するための異なるアプローチ。 |
1.2.10 | アドミッション制御プラグインが EventRateLimit に設定されていることを確認します。 |
APIPriorityAndFairness フィーチャー・ゲートが有効になっていることを確認します。 |
同じ目的を達成するための異なるアプローチ。 |
1.2.12 | アドミッション制御プラグインが AlwaysPullImages に設定されていることを確認します。 |
アドミッションコントロールプラグイン「AlwaysPullImages 設定されていないことを確認する |
AlwaysPullImages は Red Hat OpenShiftでエラーを発生させます。 |
1.2.13 | PodSecurityPolicyを使用しない場合は、アドミッション・コントロールのプラグイン「SecurityContextDeny 」が設定されていることを確認してください。 |
アドミッションコントロールプラグイン「SecurityContextDeny 設定されていないことを確認する |
SecurityContextDeny アドミッション・コントローラーは、 SecurityContextConstraint アドミッション・コントローラーと競合するため、有効にできません。 |
1.2.16 | アドミッション制御プラグインが PodSecurityPolicy に設定されていることを確認します。 |
アドミッション制御プラグインが SecurityContextConstraint に設定されていることを確認します。 |
SecurityContextConstraint は Red Hat OpenShift に固有です。 |
1.2.21 | --profiling オプションが「false 」に設定されていることを確認する。 |
healthz エンドポイントが RBAC によって保護されていることを確認します。 |
Red Hat OpenShiftではプロファイル作成がデフォルトで有効になっていますが、プロファイル・データは healthz ポートを介して送信され、ポートは RBAC によって保護される必要があります。 |
1.2.23 | --audit-log-maxage オプションが「30 または適切なものに設定されていることを確認する。 |
監査ログが保存のためにクラスターから転送されていることを確認します。 | Red Hat OpenShift には、クラスターにログを保持する代わりにロギング用のオペレーターがあります。 |
1.2.24 | --audit-log-maxbackup オプションが「10 または適切なものに設定されていることを確認する。 |
maximumRetainedFiles オプションが「10 または適切なものに設定されていることを確認する。 |
異なるパラメーター名。 |
1.2.25 | --audit-log-maxsize オプションが「100 または適切なものに設定されていることを確認する。 |
maximumFileSizeMegabytes オプションが「100 または適切なものに設定されていることを確認する。 |
異なるパラメーター名。 |
1.3.1 | --terminated-pod-gc-threshold オプションが適切に設定されていることを確認する。 |
ガーベッジ・コレクションが適切に構成されていることを確認してください。 | 異なるパラメーター名。 |
1.3.2 | --profiling オプションが「false 」に設定されていることを確認する。 |
コントローラー・マネージャーの healthz エンドポイントが RBAC によって保護されていることを確認します。 |
Red Hat OpenShiftではプロファイル作成がデフォルトで有効になっていますが、プロファイル・データは healthz ポートを介して送信され、ポートは RBAC によって保護される必要があります。 |
1.4.1 | --profiling オプションが「false 」に設定されていることを確認する。 |
スケジューラーの healthz エンドポイントが RBAC によって保護されていることを確認します。 |
Red Hat OpenShiftではプロファイル作成がデフォルトで有効になっていますが、プロファイル・データは healthz ポートを介して送信され、ポートは RBAC によって保護される必要があります。 |
1.4.2 | --bind-address オプションが「127.0.0.1 」に設定されていることを確認する。 |
スケジューラー API サービスが認証および許可によって保護されていることを確認してください。 | Red Hat OpenShift のオペレーターは vanilla kubernetes と異なり、そのセキュリティーの構成が異なります |
4.1.3 | プロキシーの kubeconfig ファイルのアクセス権が 644 またはこれより制限が厳しい値に設定されていることを確認します。 |
プロキシー kubeconfig ファイルが存在する場合、許可が 644 以上の制限に設定されていることを確認してください。 |
Red Hat OpenShiftでは、ファイルは sdn コントローラーによってセキュアな方法で自動的に作成されます。 |
4.1.4 | プロキシーの kubeconfig ファイルの所有権が root:root に設定されていることを確認します。 |
プロキシー kubeconfig ファイルが存在する場合、所有権が root:root に設定されていることを確認します。 |
Red Hat OpenShiftでは、ファイルは sdn コントローラーによってセキュアな方法で自動的に作成されます。 |
軽微な相違点
セクション | CIS Kubernetes ベンチマーク | コンプライアンス・オペレーターのベンチマーク | 説明 |
---|---|---|---|
1.1.19 | Kubernetes PKI ディレクトリーおよびファイルの所有権が root:root に設定されていることを確認します。 |
を確認します。Red Hat OpenShiftPKI ディレクトリおよびファイルの所有者が「root:root 」に設定されていることを確認します。 |
Kubernetes > Red Hat OpenShift |
1.1.20 | Kubernetes PKI 証明書ファイルのアクセス権が 644 またはこれより制限が厳しい値に設定されていることを確認します。 |
Red Hat OpenShiftであることを確認します。PKI 証明書ファイルのパーミッションが 644 以上に設定されていること | Kubernetes > Red Hat OpenShift |
1.1.21 | Kubernetes PKI 鍵ファイルのアクセス権が 600 に設定されていることを確認します。 | Red Hat OpenShiftに設定されていることを確認します。PKI 鍵ファイルのパーミッションが 600 に設定されていることを確認します | Kubernetes > Red Hat OpenShift |
1.2.4 | --kubelet-https オプションが「true 」に設定されていることを確認する。 |
Kubelet 接続には https を使用します。 | Red Hat OpenShiftにオプションが指定されていません。 |
1.2.5 | --kubelet-client-certificate 」と「--kubelet-client-key オプションが適切に設定されていることを確認する。 |
Kubelet が認証に証明書を使用することを確認します。 | Red Hat OpenShiftにオプションが指定されていません。 |
1.2.6 | --kubelet-certificate-authority オプションが適切に設定されていることを確認する。 |
Kubelet 認証局が適切に設定されていることを確認します。 | Red Hat OpenShiftにオプションが指定されていません。 |
1.2.8 | --authorization-mode オプションにNodeが含まれていることを確認する。 |
Node ・オーソライザーが有効になっていることを確認します。 | Red Hat OpenShiftにオプションが指定されていません。 |
1.2.9 | --authorization-mode オプションにRBACが含まれていることを確認する。 |
RBACが有効になっていることを確認する | Red Hat OpenShiftにオプションが指定されていません。 |
4.1.5 | kubelet.confファイルのパーミッションが644以上に設定されていることを確認します。 | --kubeconfig kubelet.conf ファイルのパーミッションが'644 以上に設定されていることを確認する。 |
同じアプローチに対して異なる言い回し。 |
4.1.6 | kubelet.conf ファイルの所有権が root:root に設定されていることを確認します。 |
--kubeconfig kubelet.conf ファイルの所有権が'root:root に設定されていることを確認する。 |
同じアプローチに対して異なる言い回し。 |
4.1.9 | kubelet構成ファイルのパーミッションが644以上に設定されていることを確認します。 | kubeletの「--config 構成ファイルのパーミッションが「644 以上に設定されていることを確認します。 |
同じアプローチに対して異なる言い回し。 |