4.12 CIS Kubernetes 벤치마크
이 버전은 더 이상 지원되지 않습니다. 가능한 한 빨리 클러스터를 지원되는 버전으로 업데이트하세요.
인터넷 보안 센터( CIS )는 CIS Kubernetes 벤치마크를 다양한 업계 규정에 부합하는 표준으로 Kubernetes 을 보다 안전하게 구성하기 위한 구체적인 단계의 프레임워크로서 게시합니다. 이 문서에는 Red Hat OpenShift on IBM Cloud 버전 4.12 을 실행하는 클러스터에 대한 버전 1.5 CIS Kubernetes 벤치마크의 결과가 포함되어 있습니다. 벤치마크에 대한 자세한 정보나 이해를 돕고자 하는 경우 벤치마크 사용을 참조하세요.
1 마스터 노드 보안 구성
버전 1.5 CIS Kubernetes 벤치마크의 마스터 노드 보안 구성 결과를 검토하세요.
1.1 마스터 노드 구성 파일
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 1.1.1 | API 서버 팟(Pod) 스펙 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.2 | API 서버 팟(Pod) 스펙 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.3 | 제어기 관리자 팟(Pod) 스펙 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.4 | 제어기 관리자 팟(Pod) 스펙 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.5 | 스케줄러 팟(Pod) 스펙 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.6 | 스케줄러 팟(Pod) 스펙 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.7 | etcd 팟(Pod) 스펙 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.8 | etcd 팟(Pod) 스펙 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.9 | 컨테이너 네트워크 인터페이스 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 | IBM |
| 1.1.10 | 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 | IBM |
| 1.1.11 | etcd 데이터 디렉토리 권한이 700 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.12 | etcd 데이터 디렉토리 소유권이 etcd:etcd로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.13 | admin.conf 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.14 | admin.conf 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.15 | scheduler.conf 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.16 | scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.17 | controller-manager.conf 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.18 | controller-manager.conf 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
| 1.1.19 | Kubernetes PKI 디렉토리 및 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
| 1.1.20 | Kubernetes PKI 인증서 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 1.1.21 | Kubernetes PKI 키 파일 권한이 600으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
1.2 API 서버
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 1.2.1 | --anonymous-auth 인수가 false로 설정되었는지 확인하십시오. |
스코어링되지 않음 | 1 | 실패 | IBM |
| 1.2.2 | --basic-auth-file 인수가 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.3 | --token-auth-file 매개변수가 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.4 | --kubelet-https 인수가 true로 설정되어 있는지 확인합니다. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.5 | --kubelet-client-certificate 및 --kubelet-client-key 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.6 | --kubelet-certificate-authority 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.7 | --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.8 | --authorization-mode 인수에 Node가 포함되어 있는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.9 | --authorization-mode 인수에 RBAC가 포함되어 있는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.10 | 입장 제어 플러그인 EventRateLimit 이 설정되어 있는지 확인합니다 |
스코어링되지 않음 | 1 | 실패 | IBM |
| 1.2.11 | 입장 제어 플러그인 AlwaysAdmit 이 설정되어 있지 않은지 확인합니다 |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.12 | 입장 제어 플러그인 AlwaysPullImages 이 설정되어 있는지 확인합니다 |
스코어링되지 않음 | 1 | 실패 | IBM |
| 1.2.13 | PodSecurityPolicy 을 사용하지 않는 경우 입학 제어 플러그인 SecurityContextDeny 이 설정되어 있는지 확인합니다 |
스코어링되지 않음 | 1 | 통과 | IBM |
| 1.2.14 | 입장 제어 플러그인 ServiceAccount 이 설정되어 있는지 확인합니다 |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.15 | 입장 제어 플러그인 NamespaceLifecycle 이 설정되어 있는지 확인합니다 |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.16 | 입장 제어 플러그인 PodSecurityPolicy 이 설정되어 있는지 확인합니다 |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.17 | 입장 제어 플러그인 NodeRestriction 이 설정되어 있는지 확인합니다 | 스코어링됨 | 1 | 통과 | IBM |
| 1.2.18 | --insecure-bind-address 인수가 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.19 | --insecure-port 인수가 0으로 설정되어 있는지 확인합니다. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.20 | --secure-port 인수가 0으로 설정되어 있지 않은지 확인합니다. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.21 | --profiling 인수가 false로 설정되어 있는지 확인합니다. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.22 | --audit-log-path 인수가 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 실패 | 공유 |
| 1.2.23 | --audit-log-maxage 인수가 30 또는 적절한 값으로 설정되었는지 확인합니다. |
스코어링됨 | 1 | 실패 | 공유 |
| 1.2.24 | --audit-log-maxbackup 인수가 10 또는 적절한 값으로 설정되었는지 확인합니다. |
스코어링됨 | 1 | 실패 | 공유 |
| 1.2.25 | --audit-log-maxsize 인수가 100 또는 적절한 값으로 설정되었는지 확인합니다. |
스코어링됨 | 1 | 실패 | 공유 |
| 1.2.26 | --request-timeout 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.27 | --service-account-lookup 인수가 true로 설정되어 있는지 확인합니다. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.28 | --service-account-key-file 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.29 | --etcd-certfile 및 --etcd-keyfile 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.30 | --tls-cert-file 및 --tls-private-key-file 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.31 | --client-ca-file 인수가 올바르게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.32 | --etcd-cafile 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.2.33 | --encryption-provider-config 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 실패 | 공유 |
| 1.2.34 | 암호화 제공자가 적절하게 구성되었는지 확인하십시오. | 스코어링됨 | 1 | 실패 | 공유 |
| 1.2.35 | API 서버가 강력한 암호화 방식의 암호만 사용하는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 | IBM |
1.3 제어기 관리자
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 1.3.1 | --terminated-pod-gc-threshold 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.3.2 | --profiling 인수가 false로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.3.3 | --use-service-account-credentials 인수가 true로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.3.4 | --service-account-private-key-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.3.5 | --root-ca-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.3.6 | RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인하십시오. | 스코어링됨 | 2 | 통과 | IBM |
| 1.3.7 | --bind-address 인수가 127.0.0.1로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
1.4 스케줄러
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 1.4.1 | --profiling 인수가 false로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 1.4.2 | --bind-address 인수가 127.0.0.1로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
2 etcd 노드 구성
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 2.1 | --cert-file 및 --key-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.2 | --client-cert-auth 인수가 true로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.3 | --auto-tls 인수가 true로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.4 | --peer-cert-file 및 --peer-key-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.5 | --peer-client-cert-auth 인수가 true로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.6 | --peer-auto-tls 인수가 true로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 2.7 | 고유 인증 기관이 etcd에 사용되는지 확인하십시오. | 스코어링되지 않음 | 2 | 통과 | IBM |
3 제어 플레인 구성
3.1 인증 및 권한 부여
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 3.1.1 | 사용자에 대해 클라이언트 인증서 인증을 사용해서는 안됩니다. | 스코어링되지 않음 | 2 | 통과 | 공유 |
3.2 로깅
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 3.2.1 | 최소 감사 정책이 작성되었는지 확인하십시오. | 스코어링됨 | 1 | 실패 | 공유 |
| 3.2.2 | 감사 정책이 핵심 보안 문제를 다루는지 확인하십시오. | 스코어링되지 않음 | 2 | 실패 | 공유 |
4 작업자 노드 보안 구성
Worker Node 버전 1.5 CIS Kubernetes 벤치마크의 보안 구성 결과를 검토하세요.
4.1 작업자 노드 구성 파일
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 4.1.1 | kubelet 서비스 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.1.2 | Kubelet 서비스 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
| 4.1.3 | 프록시 kubeconfig 파일 권한이 644 이상으로 제한적으로 설정되어 있는지 확인합니다 |
스코어링됨 | 1 | 통과 | IBM |
| 4.1.4 | 프록시 kubeconfig 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
| 4.1.5 | kubelet.conf 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.1.6 | kubelet.conf 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
| 4.1.7 | 인증 기관 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.1.8 | 클라이언트 인증 기관 파일 소유권이 root:root로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.1.9 | kubelet 구성 파일 권한이 644 또는 더 제한적으로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.1.10 | Kubelet 구성 파일 소유권이 다음과 같이 설정되어 있는지 확인합니다 root:root |
스코어링됨 | 1 | 통과 | IBM |
4.2 Kubelet
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 4.2.1 | --anonymous-auth 인수가 false로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.2 | --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.3 | --client-ca-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.4 | --read-only-port 인수가 0으로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.5 | --streaming-connection-idle-timeout 인수가 0으로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.6 | --protect-kernel-defaults 인수가 true로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 실패 | IBM |
| 4.2.7 | --make-iptables-util-chains 인수가 true로 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.8 | --hostname-override 인수가 설정되지 않았는지 확인하십시오. |
스코어링되지 않음 | 1 | 실패 | IBM |
| 4.2.9 | --event-qps 인수가 0 또는 적절한 이벤트 캡처를 보장하는 레벨로 설정되었는지 확인하십시오. |
스코어링되지 않음 | 2 | 통과 | IBM |
| 4.2.10 | --tls-cert-file 및 --tls-private-key-file 인수가 적절하게 설정되었는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.11 | --rotate-certificates 인수가 false로 설정되지 않았는지 확인하십시오. |
스코어링됨 | 1 | 통과 | IBM |
| 4.2.12 | RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인하십시오. | 스코어링됨 | 1 | 통과 | IBM |
| 4.2.13 | Kubelet이 강력한 암호화 방식의 암호만 사용하는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 |
5 Kubernetes 정책
1.5 CIS Kubernetes 벤치마크의 Kubernetes 정책 결과를 검토하세요.
5.1 RBAC 및 서비스 계정
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.1.1 | cluster-admin 역할이 필요한 경우에만 사용되는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.1.2 | 시크릿에 대한 액세스를 최소화하십시오. | 스코어링되지 않음 | 1 | 실패 | 공유 |
| 5.1.3 | Roles 및 ClusterRoles에서 와일드카드 사용을 최소화하십시오. | 스코어링되지 않음 | 1 | 실패 | 공유 |
| 5.1.4 | 팟(Pod) 작성을 위한 액세스를 최소화하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.1.5 | 기본 서비스 계정이 능동적으로 사용되지 않았는지 확인하십시오. | 스코어링됨 | 1 | 실패 | 공유 |
| 5.1.6 | 서비스 계정 토큰이 필요한 경우에만 마운트되는지 확인하십시오. | 스코어링되지 않음 | 1 | 실패 | 공유 |
5.2 팟(Pod) 보안 정책
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.2.1 | 권한 있는 컨테이너의 승인을 최소화하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.2.2 | 호스트 프로세스 ID 네임스페이스를 공유하려는 컨테이너의 승인을 최소화하십시오. | 스코어링됨 | 1 | 통과 | 공유 |
| 5.2.3 | 호스트 IPC 네임스페이스를 공유하려는 컨테이너의 승인을 최소화하십시오. | 스코어링됨 | 1 | 통과 | 공유 |
| 5.2.4 | 호스트 네트워크 네임스페이스를 공유하려는 컨테이너의 승인을 최소화하십시오. | 스코어링됨 | 1 | 통과 | 공유 |
| 5.2.5 | allowPrivilegeEscalation을 사용하는 컨테이너의 승인을 최소화하십시오. | 스코어링됨 | 1 | 통과 | 공유 |
| 5.2.6 | 루트 컨테이너의 승인을 최소화하십시오. | 스코어링되지 않음 | 2 | 통과 | 공유 |
| 5.2.7 | NET_RAW 기능을 사용하는 컨테이너의 승인을 최소화하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.2.8 | 기능이 추가된 컨테이너의 승인을 최소화하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.2.9 | 기능이 지정된 컨테이너의 승인을 최소화하십시오. | 스코어링되지 않음 | 2 | 통과 | 공유 |
5.3 네트워크 정책 및 CNI
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.3.1 | 사용 중인 CNI가 네트워크 정책을 지원하는지 확인하십시오. | 스코어링되지 않음 | 1 | 통과 | IBM |
| 5.3.2 | 모든 네임스페이스에 네트워크 정책이 정의되었는지 확인하십시오. | 스코어링됨 | 2 | 실패 | 공유 |
5.4 시크릿 관리
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.4.1 | 시크릿을 환경 변수로 사용하는 것보다 파일로 사용하는 것을 선호합니다. | 스코어링되지 않음 | 1 | 실패 | 공유 |
| 5.4.2 | 외부 시크릿 스토리지를 고려하십시오. | 스코어링되지 않음 | 2 | 실패 | 공유 |
5.5 확장 가능한 승인 제어
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.5.1 | ImagePolicyWebhook 승인 제어기를 사용하여 이미지 출처를 구성하십시오. | 스코어링되지 않음 | 2 | 실패 | 공유 |
5.6 일반 정책
| 섹션 | 권장사항 | 스코어링됨/스코어링되지 않음 | 레벨 | 결과 | 책임 |
|---|---|---|---|---|---|
| 5.6.1 | 네임스페이스를 사용하여 리소스 간 관리 경계를 작성하십시오. | 스코어링되지 않음 | 1 | 통과 | 공유 |
| 5.6.2 | 파드 정의에서 seccomp 프로필이 docker/기본값으로 설정되어 있는지 확인합니다 |
스코어링되지 않음 | 2 | 실패 | 공유 |
| 5.6.3 | 팟(Pod) 및 컨테이너에 보안 컨텍스트를 적용하십시오. | 스코어링되지 않음 | 2 | 실패 | 공유 |
| 5.6.4 | 기본 네임스페이스는 사용하지 않아야 합니다. | 스코어링됨 | 2 | 통과 | 공유 |
IBM 조치방안 및 설명
| 섹션 | 조치방안/설명 |
|---|---|
| 1.2.1 | Red Hat OpenShift on IBM Cloud는 클러스터 보호를 위해 RBAC를 활용하지만 CIS Kubernetes 벤치마크에 따라 합리적인 것으로 간주되는 익명 검색을 허용합니다. |
| 1.2.10 | Red Hat OpenShift on IBM Cloud는 Kubernetes 알파 기능이므로 EventRateLimit 승인 제어기를 사용으로 설정하지 않습니다. |
| 1.2.12 | Red Hat OpenShift on IBM Cloud는 컨테이너의 imagePullPolicy를 대체하고 성능에 영향을 줄 수 있으므로 AlwaysPullImages 승인 제어기를 사용으로 설정하지 않습니다. |
| 1.2.13 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책 과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 지원합니다. |
| 1.2.16 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책 과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 지원합니다. |
| 1.2.22 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 1.2.23 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 1.2.24 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 1.2.25 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 1.2.33 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes 키 관리 서비스(KMS) 제공자를 사용으로 설정할 수 있습니다. |
| 1.2.34 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes 키 관리 서비스(KMS) 제공자를 사용으로 설정할 수 있습니다. |
| 3.2.1 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 3.2.2 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes API 서버 감사를 사용으로 설정할 수 있습니다. |
| 4.2.6 | Red Hat OpenShift on IBM Cloud 는 고객이 커널 매개 변수를 조정할 수 있도록 커널 기본값을 보호하지 않습니다. |
| 4.2.8 | Red Hat OpenShift on IBM Cloud는 인프라에서 발행된 이름과 호스트 이름이 일치하도록 합니다. |
| 5.1.2 | Red Hat OpenShift on IBM Cloud는 Kubernetes 시크릿 액세스가 더 제한될 수 있는 일부 시스템 컴포넌트를 배치합니다. |
| 5.1.3 | Red Hat OpenShift on IBM Cloud는 Kubernetes 리소스 액세스가 더 제한될 수 있는 일부 시스템 컴포넌트를 배치합니다. |
| 5.1.5 | Red Hat OpenShift on IBM Cloud는 각 기본 서비스 계정에 대해 automountServiceAccountToken: false를 설정하지 않습니다. |
| 5.1.6 | Red Hat OpenShift on IBM Cloud는 automountServiceAccountToken: false를 설정할 수 있는 일부 시스템 컴포넌트를 배치합니다. |
| 5.2.1 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.2 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.3 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.4 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.5 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.6 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 [Kubernetes 팟(Pod)보안 정책](https://kubernetes.io/docs/concepts/security/pod-security-policy/{: external}) 과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.7 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.8 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.2.9 | Red Hat OpenShift on IBM Cloud 은 더 이상 사용되지 않는 Kubernetes 팟(Pod)보안 정책과 유사한 OpenShift 보안 컨텍스트 제한조건 및 Kubernetes 팟(Pod)보안 허가 를 선택적으로 구성할 수 있습니다. |
| 5.3.2 | Red Hat OpenShift on IBM Cloud에는 기본 Calico 네트워크 정책이 정의되어 있으며 선택적으로 추가 네트워크 정책을 추가할 수 있습니다. |
| 5.4.1 | Red Hat OpenShift on IBM Cloud는 시크릿을 환경 변수로 사용하는 것보다 파일로 사용하는 것을 선호할 수 있는 일부 시스템 컴포넌트를 배치합니다. |
| 5.4.2 | Red Hat OpenShift on IBM Cloud는 선택적으로 Kubernetes 키 관리 서비스(KMS) 제공자를 사용으로 설정할 수 있습니다. |
| 5.5.1 | Red Hat OpenShift on IBM Cloud는 선택적으로 이미지 보안 적용을 사용으로 설정할 수 있습니다. |
| 5.6.2 | Red Hat OpenShift on IBM Cloud 은 seccomp 프로파일로 모든 팟 (Pod) 에 어노테이션을 작성하지 않습니다. |
| 5.6.3 | Red Hat OpenShift on IBM Cloud 를 설정하지 않는 일부 시스템 구성 요소를 배포합니다 포드 또는 컨테이너 securityContext. |