IBM Cloud Docs
4.14 コンプライアンス・オペレーター・ベンチマーク

4.14 コンプライアンス・オペレーター・ベンチマーク

このバージョンは非推奨。 クラスタをできるだけ早く サポートされているバージョンに アップデートしてください。

Red Hat OpenShift on IBM Cloud バージョン 4.14のコンプライアンス・オペレーターのベンチマーク結果を確認します。

1 個のコントロール・プレーン・コンポーネント

1.1 マスター・ノードの構成ファイル

マスター・ノード構成はファイルのセットとして保管されません。したがって、セクション 1.1 のルールは、コンプライアンス・オペレーターによる自動検査の範囲外です。

1.2 API サーバー

セクション 1.2: API サーバーのベンチマーク結果
セクション 推奨 手動/自動 レベル 結果
1.2.1 匿名要求が許可されていることを確認してください。 自動 1 合格
1.2.2 --basic-auth-file オプションが設定されていないことを確認する。 自動 1 合格
1.2.3 --token-auth-file パラメーターが設定されていないことを確認します。 自動 1 合格
1.2.4 kubelet 接続には https を使用します。 自動 1 合格
1.2.5 kubelet が認証に証明書を使用していることを確認します。 自動 1 合格
1.2.6 kubelet 認証局が適切に設定されていることを確認します。 自動 1 合格
1.2.7 --authorization-mode オプションが AlwaysAllow に設定されていないことを確認する。 自動 1 合格
1.2.8 Node Authorizer が有効になっていることを確認します。 自動 1 合格
1.2.9 RBACが有効になっていることを確認する。 自動 1 合格
1.2.10 APIPriorityAndFairness フィーチャー・ゲートが有効になっていることを確認します。 手動 1 合格
1.2.11 アドミッション制御プラグインが AlwaysAdmit に設定されていないことを確認します。 自動 1 合格
1.2.12 アドミッション制御プラグインが AlwaysPullImages に設定されていないことを確認します。 自動 1 合格
1.2.13 アドミッション制御プラグインが SecurityContextDeny に設定されていないことを確認します。 自動 1 合格
1.2.14 アドミッション制御プラグインが ServiceAccount に設定されていることを確認します。 自動 1 合格
1.2.15 アドミッション制御プラグインが NamespaceLifecycle に設定されていることを確認します。 自動 1 合格
1.2.16 アドミッション制御プラグインが SecurityContextConstraint に設定されていることを確認します。 自動 1 合格
1.2.17 アドミッション制御プラグインが NodeRestriction に設定されていることを確認します。 自動 1 合格
1.2.18 --insecure-bind-address オプションが設定されていないことを確認する。 自動 1 合格
1.2.19 --insecure-port option0 に設定されていることを確認する。 自動 1 合格
1.2.20 --secure-port option0 に設定されていないことを確認する。 自動 1 欠落
1.2.21 healthz エンドポイントが RBAC によって保護されていることを確認します。 自動 1 欠落
1.2.22 --audit-log-path オプションが設定されていることを確認する。 自動 1 合格
1.2.23 監査ログが保存のためにクラスターから転送されていることを確認します。 自動 1 未確認
1.2.24 maximumRetainedFiles オプションが 10 または適切なものに設定されていることを確認する。 自動 1 合格
1.2.25 maximumFileSizeMegabytes オプションが 100 または適切なものに設定されていることを確認する。 自動 1 合格
1.2.26 --request-timeout オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.27 --service-account-lookup オプションが true に設定されていることを確認する。 自動 1 合格
1.2.28 --service-account-key-file オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.29 --etcd-certfile--etcd-keyfile オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.30 --tls-cert-file--tls-private-key-file オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.31 --client-ca-file オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.32 --etcd-cafile オプションが適切に設定されていることを確認する。 自動 1 合格
1.2.33 --encryption-provider-config オプションが適切に設定されていることを確認する。 手動 1 未確認
1.2.34 暗号化プロバイダーが適切に構成されていることを確認します。 手動 1 未確認
1.2.35 APIサーバーが強力な暗号のみを使用するようにしてください。 手動 1 合格

1.3 コントローラー・マネージャー

セクション 1.3: コントローラー・マネージャーのベンチマーク結果
Section Recommendation Manual/Automated Level Result
1.3.1 Ensure ガーベッジ・コレクションが適切に構成されていることを確認します。 Manual 1 Not
1.3.2 Ensure コントローラー・マネージャーの healthz エンドポイントが RBAC によって保護されていることを確認します。 Automated 1 Missing
1.3.3 Ensure --use-service-account-credentials オプションが true に設定されていることを示します。 Automated 1 Pass
1.3.4 Ensure の場合は、 --service-account-private-key-file オプションが適切に設定されていることを確認してください。 Automated 1 Pass
1.3.5 Ensure --root-ca-file option が適切に設定されていることを確認します。 Automated 1 Missing
1.3.6 Ensure RotateKubeletServerCertificate オプションが true に設定されていることを示します。 Automated 2 Pass
1.3.7 Ensure --bind-address option127.0.0.1 に設定されていること。 Automated 1 Pass

1.4 スケジューラー

セクション 1.4: スケジューラーのベンチマーク結果
Section Recommendation Manual/Automated Level Result
スケジューラーの healthz エンドポイントが RBAC によって保護されている 1.4.1 Ensure 。 Automated 1 Missing
1.4.2 Verify スケジューラー API サービスが認証および許可によって保護されていることを確認します。 Automated 1 Pass

2 etcd

セクション2 etcd ベンチマーク結果
Section Recommendation Manual/Automated Level Result
2.1 Ensure --cert-file および --key-file オプションが適切に設定されていることを確認します。 Automated 1 Pass
2.2 Ensure --client-cert-auth オプションが true に設定されていることを示します。 Automated 1 Pass
--auto-tls オプションが true に設定されていない 2.3 Ensure 。 Automated 1 Pass
2.4 Ensure --peer-cert-file オプションおよび --peer-key-file オプションが適宜設定されていることを確認します。 Automated 1 Pass
2.5 Ensure --peer-client-cert-auth オプションが true に設定されていることを示します。 Automated 1 Pass
2.6 Ensure --peer-auto-tls optiontrue に設定されていないことを確認します。 Automated 1 Pass
2.7 Ensure 固有の認証局が etcdに使用されていることを示します。 手動 2 チェックされていない

3 コントロール・プレーンの構成

3.1 認証および許可

セクション 3.1: 認証と許可のベンチマーク結果
Section Recommendation Manual/Automated Level Result
3.1.1 ユーザーに対してクライアント証明書認証を使用しない。 Manual 2 Pass

3.2 ロギング

セクション 3.3 ベンチマーク結果のロギング
Section Recommendation Manual/Automated Level Result
3.2.1 Ensure 最小限の監査ポリシーが作成されていることを確認します。 Automated 1 Pass
3.2.2 Ensure 監査ポリシーが主要なセキュリティー上の問題に対応していることを確認します。 Manual 2 Pass

4 ワーカー・ノード

コンプライアンス・オペレーターの使用 の手順に従って、ワーカー・ノードの構成の自動検査を実行します。

5 ポリシー

5.1 RBAC およびサービス・アカウント

セクション 5.1: RBAC およびサービス・アカウントのベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.1.1 Ensure してください。 Manual 1 成功
5.1.2 Minimize アクセスを最小化します。 Manual 1 チェックされていない
5.1.3 Minimize 役割および ClusterRoles でのワイルドカードの使用。 Manual 1 チェック・マークなし
5.1.4 Minimize 最小限のアクセス権限。 Manual 1 チェックされていない
5.1.5 Ensure デフォルトのサービス・アカウントがアクティブに used. Automated 1 チェックされていない
5.1.6 Ensure してください。 Manual 1 チェックされていない

5.2 ポッド・セキュリティー・ポリシー

セクション 5.2: ポッド・セキュリティー・ポリシーのベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.2.1 Minimize 特権コンテナーのアドミッションを最小化します。 Manual 1 チェックされていない
5.2.2 Minimize ホスト・プロセス ID 名前空間を共有するコンテナーのアドミッション。 Automated 1 チェックされていない
5.2.3 Minimize ホスト IPC 名前空間を共有するコンテナーのアドミッション。 Automated 1 チェックされていない
5.2.4 Minimize ホスト・ネットワーク名前空間を共有するコンテナーのアドミッションを最小化します。 Automated 1 チェックされていない
5.2.5 Minimize allowPrivilegeEscalation を使用したコンテナーのアドミッション。 Automated 1 チェック・マークなし
5.2.6 Minimize ルート・コンテナーのアドミッションを最小化します。 Manual 2 チェック・マークなし
5.2.7 Minimize NET_RAW 機能を持つコンテナーのアドミッション。 Manual 1 チェックされていない
5.2.8 Minimize します。 手動 1 チェックされていない
5.2.9 Minimize 機能が割り当てられたコンテナーのアドミッション。 Manual 2 チェック・マークなし

5.3 ネットワーク・ポリシーおよび CNI

セクション 5.3: ネットワーク・ポリシーと CNI のベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.3.1 Ensure 確認してください。 Manual 1 成功
5.3.2 Ensure すべての名前空間にネットワーク・ポリシーが定義されていることを確認します。 自動 2 チェック・マークなし

5.4 シークレット管理

セクション 5.4: シークレット管理のベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.4.1 Prefer を優先してください。 Manual 1 チェックされていない
5.4.2 Consider 外部秘密ストレージを検討してください。 Manual 2 チェック・マークなし

5.5 拡張可能アドミッション制御

セクション 5.5: 拡張可能なアドミッション制御のベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.5.1 Configure イメージの起源を構成する。 Manual 2 チェック・マークなし

5.7 一般ポリシー

セクション 5.7 一般ポリシーのベンチマーク結果
Section Recommendation Manual/Automated Level Result
5.7.1 Create 管理境界を作成します。 Manual 1 Not
5.7.2 Ensure (ポッド定義で seccomp プロファイルが docker/default に設定されていること)。 Manual 2 Not チェック・マーク付き
5.7.3 Apply セキュリティー・コンテキストをポッドおよびコンテナーに適用します。 Manual 2 Not
5.7.4 Do デフォルトの名前空間を使用しない。 Automated 2 Not

解決策と説明

補修と説明
セクション 推奨事項/説明
1.2.23 Red Hat OpenShift on IBM Cloud オプションで、 APIサーバーの監査を有効にできる。 Kubernetes
1.2.33 Red Hat OpenShift on IBM Cloud オプションで、 鍵管理サービス(KMS)プロバイダーを有効にすることができる。 Kubernetes
1.2.34 Red Hat OpenShift on IBM Cloud オプションで、 鍵管理サービス(KMS)プロバイダーを有効にすることができる。 Kubernetes
2.7 Red Hat OpenShift on IBM Cloud は、 etcdに固有の認証局を構成します。
5.2.8 Red Hat OpenShift on IBM Cloud はカスタム SCC をインストールします。
5.3.2 Red Hat OpenShift on IBM Cloud には、デフォルトの ネットワークポリシーのセットが定義されており、オプションでネットワークポリシーを追加することができる。 Calico