4.16 コンプライアンス・オペレーター・ベンチマーク

Red Hat OpenShift on IBM Cloud バージョン 4.16 のコンプライアンス・オペレータ・ベンチマーク結果を確認してください。

1 コントロール・プレーン・コンポーネント

1.1 マスター・ノードの構成ファイル

したがって、1.1セクションのルールは、コンプライアンス・オペレータによる自動チェックの範囲外です。

1.2 API サーバー

セクション 1.2 apiサーバーのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
1.2.1	Ensure 匿名リクエストは authorized.	Manual	1	Pass である
1.2.2	Ensure `--basic-auth-file` 引数が set.	Automated	1	Pass ではないことを示す
1.2.3	Ensure `--token-auth-file` パラメータが set.	Automated	1	Pass ではないことを確認します。
1.2.4	Use kubelet用のhttps connections.	Automated	1	Pass
1.2.5	Ensure kubeletが証明書を使用していることを authenticate.	Automated	1	Not 確認済み
1.2.6	Verify kubelet 証明機関が appropriate.	Automated	1	Pass に設定されていることを確認します
1.2.7	Ensure `--authorization-mode` 引数が AlwaysAllow.	Automated	1	Pass に設定されていないことを確認します。
1.2.8	Verify Node 承認者は enabled.	Automated	1	Pass であること。
1.2.9	Verify RBACが enabled.	Automated	1	Pass であること。
APIPriorityAndFairness、フィーチャーゲートは enabled.	Manual	1	Pass ｜ 1.2.10	Ensure
1.2.11	Ensure、アドミッションコントロール・プラグイン AlwaysAdmit は set.	Automated	1	Pass
1.2.12	Ensure、アドミッションコントロール・プラグイン AlwaysPullImages は set.	Manual	1	Pass
1.2.13	Ensure、アドミッションコントロール・プラグイン SecurityContextDeny は set.	Manual	1	Pass
set.	Automated	1	Pass	1.2.14
set.	Automated	1	Pass	1.2.15
set.	Automated	1	Pass	1.2.16
set.	Automated	1	Pass	1.2.17
1.2.18	Ensure `--insecure-bind-address` 引数が set.	Automated	1	Pass ではないことを示す。
1.2.19	Ensure `--insecure-port` 引数が 0.	Automated	1	Not に設定されていることを確認します
1.2.20	Ensure `--secure-port` 引数が 0.	Automated	1	Pass に設定されていないことを確認します。
1.2.21	Ensure `healthz` エンドポイントが RBAC.	Automated	1	Pass によって保護されていることを確認します
1.2.22	Ensure `--audit-log-path` 引数が set.	Automated	1	Pass であることを示す
1.2.23	Ensure 監査ログがクラスタ外に転送され、保存される。	自動化された	1	未確認
1.2.24	Ensure maximumRetainedFiles 引数が10または適切な値に設定されていることを確認します。	自動化された	1	確認なし。
1.2.25	Ensure maximumFileSizeMegabytes 引数が100または適切な値に設定されていることを確認します。	自動化された	1	確認なし
1.2.26	Ensure `--request-timeout` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.27	Ensure `--service-account-lookup` 引数が true.	Automated	1	Pass に設定されていることを確認します。
1.2.28	Ensure `--service-account-key-file` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.29	Ensure `--etcd-certfile` と `--etcd-keyfile` の引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.30	Ensure `--tls-cert-file` と `--tls-private-key-file` の引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.31	Ensure `--client-ca-file` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.32	Ensure `--etcd-cafile` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.2.33	Ensure`--encryption-provider-config` 引数は適切に設定されます。	手動	1	チェックされていません
1.2.34	Ensure。	手動	1	チェックなし
1.2.35	Ensure APIサーバーは強力な暗号 Ciphers.	Manual	1	Pass

1.3 コントローラー・マネージャー

セクション 1.3 コントローラマネージャーのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
1.3.1	Ensure ガベージコレクションが appropriate.	Manual	1	Not として設定されていることを確認しました
1.3.2	Ensure そのコントローラマネージャー `healthz` エンドポイントは RBAC.	Automated	1	Pass によって保護されています。
1.3.3	Ensure `--use-service-account-credentials` 引数が true.	Automated	1	Pass に設定されていることを確認します。
1.3.4	Ensure `--service-account-private-key-file` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.3.5	Ensure `--root-ca-file` 引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
1.3.6	Ensure RotateKubeletServerCertificate 引数が true.	Automated	2	Pass に設定されていることを確認します。
1.3.7	Ensure `--bind-address` 引数が 127.0.0.1.	Automated	1	Pass に設定されていることを確認します。

1.4 スケジューラー

セクション 1.4 スケジューラのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
1.4.1	Ensure スケジューラの `healthz` エンドポイントが RBAC.	Automated	1	Pass によって保護されていることを確認してください
1.4.2	Verify スケジューラーAPIサービスが認証により保護されていることを確認してください。 authorization.	Automated	1	Pass

2 etcd

第2条 etcd のベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
2.1	Ensure `--cert-file` と `--key-file` の引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
2.2	Ensure `--client-cert-auth` 引数が true.	Automated	1	Pass に設定されていることを確認します。
2.3	Ensure `--auto-tls` 引数が true.	Automated	1	Pass に設定されていないことを確認します。
2.4	Ensure `--peer-cert-file` と `--peer-key-file` の引数が appropriate.	Automated	1	Pass に設定されていることを確認します。
2.5	Ensure `--peer-client-cert-auth` 引数が true.	Automated	1	Pass に設定されていることを確認します。
2.6	Ensure `--peer-auto-tls` 引数が true.	Automated	1	Pass に設定されていないことを確認します。
2.7	Ensure etcd に対して、独自の認証局が使用されていることを確認する [。	Manual	2	Not checked](#co-benchmark-416-remdiations)

3 コントロール・プレーンの構成

3.1 認証および許可

セクション 3.1認証と認可のベンチマーク
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
3.1.1	Client証明書認証はユーザーに使用すべきではないusers.	Manual	2	Pass

3.2 ロギング

セクション 3.2 ロギングのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
3.2.1	Ensure最小限の監査ポリシーは'created.	Automated	1	Passである
3.2.2	Ensureは監査ポリシーがキーセキュリティ'concerns.	Manual	2	Passをカバーしていることを示す

4 ワーカーノード

Using compliance operator の指示に従って、ワーカーノード設定の自動チェックを実行してください。

5 ポリシー

5.1 RBAC およびサービス・アカウント

セクション 5.1 rbacとサービスアカウントのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
5.1.1	Ensureクラスタ管理ロールがrequired.	Manual	1	Pass場合にのみ使用されるようにする
5.1.2	Minimize」から「secrets.	Manual	1	Not」へのアクセスをチェックした
ロールで'5.1.3	Minimizeワイルドカードを使用し、'ClusterRoles.	Manual	1	Notチェックする
pods.	Manual	1	Not を作成するための 5.1.4	Minimize アクセスをチェックした
5.1.5	Ensure'は、デフォルトのサービスアカウントがアクティブでないことを示す。used.	Automated	1	Not、デフォルトのサービスアカウントがアクティブでないことを示す
5.1.6	Ensureは、'necessary.	Manual	1	Notチェックされた場合にのみサービス・アカウント・トークンをマウントする

5.2 ポッド・セキュリティー・ポリシー

セクション 5.2 ポッドセキュリティポリシーのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
5.2.1	Minimize特権'containers.	Manual	1	Notの入場をチェックした
「5.2.2	Minimize、ホスト・プロセスID「namespace.	Automated	1	Not共有を希望するコンテナの入場許可をチェックした｜
5.2.3	Minimize ホストを共有したいコンテナの入場 IPC namespace.	Automated	1	Not をチェックした
5.2.4	Minimizeは、ホスト・ネットワーク'namespace.	Automated	1	Notを共有することを望むコンテナの許可をチェックした
5.2.5	Minimizeは、'allowPrivilegeEscalation.	Automated	1	Notチェックされたコンテナの入場を意味する
ルート'containers.	Manual	2	Notの入場がチェックされた｜'5.2.6	Minimize
5.2.7	Minimize	NET_RAW capability.	Manual	1
マニュアル	1	'未確認｜機能が追加されたコンテナの入場'5.2.8	Minimize
5.2.9	Minimizeはcapabilities'assigned.	Manual	2	Notがチェックされたコンテナの入場許可

5.3 ネットワーク・ポリシーおよび CNI

セクション 5.3 ネットワークポリシーおよびCNIのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
5.3.1	Ensure 使用中のCNIがNetwork Policies.	Manual	1	Pass をサポートしていること
5.3.2	Ensure that all Namespaces have Network Policies define.	Automated	2	未確認

5.4 シークレット管理

項 5.4秘密管理に関するベンチマーク
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
「5.4.1	Prefer「codevariable.	Manual	1	Notチェックし、「code1」が「secrets」をファイルとして使用していることを確認した
5.4.2	Consider 外部秘密 storage.	Manual	2	Not チェック済み

5.5 拡張可能アドミッション制御

セクション 5.5 拡張可能なアドミッション・コントロールのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
5.5.1	Configure イメージ・コントローラの設定を使用したイメージ・プロベナンス parameter.	Manual	2	Not をチェックした

5.7 一般方針

セクション 5.7 一般的なポリシーのベンチマーク。
セクション	レコメンデーション	マニュアル/オートメーション	レベル	結果
5.7.1	Create namespace.	Manual	1	Not を使用してリソース間の管理境界をチェックしました
5.7.2	Ensure `seccomp` プロファイルがあなたのポッドで docker/default に設定されていることを確認しました。 definition.	Manual	2	Not 確認済み
5.7.3	Apply お客様のポッドへのセキュリティコンテキストと Container.	Manual	2	Not の確認済み
5.7.4	The デフォルトの名前空間は use.	Automated	2	Not チェックすべきではありません

補修と説明

CIS ベンチマークの結果については、IBM からの情報を確認してください。

補習と解説
セクション	推奨／説明
1.2.23	Red Hat OpenShift on IBM Cloud オプションで、 APIサーバーの監査を有効にできる。 Kubernetes
1.2.24	Red Hat OpenShift on IBM CloudはmaximumRetainedFiles引数を1に設定します。
1.2.25	Red Hat OpenShift on IBM CloudはmaximumFileSizeMegabytes引数を10に設定します。
1.2.33	Red Hat OpenShift on IBM Cloud オプションで、鍵管理サービス（KMS）プロバイダーを有効にすることができる。 Kubernetes
1.2.34	Red Hat OpenShift on IBM Cloud オプションで、鍵管理サービス（KMS）プロバイダーを有効にすることができる。 Kubernetes
2.7	Red Hat OpenShift on IBM Cloudは、etcdに対して一意の認証局を設定します。
5.2.8	Red Hat OpenShift on IBM CloudはカスタムSCCをインストールします。
5.3.2	Red Hat OpenShift on IBM Cloud には、デフォルトのネットワークポリシーのセットが定義されており、オプションでネットワークポリシーを追加することができる。 Calico