4.4.17合规操作员基准

查看Red Hat OpenShift on IBM Cloud 4.17 版的合规性运算符基准结果。

1 控制平面组件

1.1.1主节点配置文件

主节点配置不是作为一组文件存储的；因此，第1.1节中的规则不在合规操作员自动检查的范围内。

1.1.2应用程序接口服务器

1.2 部分：API服务器的基准。
科室	建议	手动/自动	级别	结果
1.2.1	Ensure 匿名请求是 authorized.	Manual	1	Pass
1.2.2	Ensure `--basic-auth-file` 参数不是 set.	Automated	1	Pass
1.2.3	Ensure `--token-auth-file` 参数不是 set.	Automated	1	Pass
1.2.4	Use https for kubelet connections.	Automated	1	Pass
1.2.5	Ensure，kubelet使用证书来 authenticate.	Automated	1	Not 检查
1.2.6	Verify，kubelet证书颁发机构设置为 appropriate.	Automated	1	Pass
1.2.7	Ensure `--authorization-mode` 参数未设置为 AlwaysAllow.	Automated	1	Pass
1.2.8	Verify Node 授权者是 enabled.	Automated	1	Pass
1.2.9	Verify RBAC是 enabled.	Automated	1	Pass
1.2.10	Ensure APIPriorityAndFairness 功能门是 enabled.	Manual	1	Pass
1.2.11	Ensure，即准入控制插件 AlwaysAdmit 不是 set.	Automated	1	Pass
1.2.12	Ensure，即准入控制插件 AlwaysPullImages 不是 set.	Manual	1	Pass
1.2.13	Ensure，即准入控制插件 SecurityContextDeny 不是 set.	Manual	1	Pass
set.	Automated	1	Pass	1.2.14
set.	Automated	1	Pass	1.2.15
set.	Automated	1	Pass	1.2.16
set.	Automated	1	Pass	1.2.17
1.2.18	Ensure `--insecure-bind-address` 参数不是 set.	Automated	1	Pass
1.2.19	Ensure `--insecure-port` 参数设置为 0.	Automated	1	Not 已检查
1.2.20	Ensure `--secure-port` 参数未设置为 0.	Automated	1	Pass
1.2.21	Ensure `healthz` 终端受 RBAC.	Automated	1	Pass 保护
1.2.22	Ensure `--audit-log-path` 参数为 set.	Automated	1	Pass
1.2.23	Ensure 审计日志从群集转发出去以供保留。	自动	1 [	未检查](#co-benchmark-417-remdiation)
1.2.24	Ensure maximumRetainedFiles 参数设置为10或适当值。	自动	1 [	未选中](#co-benchmark-417-remdiation)
1.2.25	Ensure maximumFileSizeMegabytes 参数设置为100或适当值。	自动	1 [	未选中](#co-benchmark-417-remdiation)
1.2.26	Ensure `--request-timeout` 参数设置为 appropriate.	Automated	1	Pass
1.2.27	Ensure `--service-account-lookup` 参数设置为 true.	Automated	1	Pass
1.2.28	Ensure `--service-account-key-file` 参数设置为 appropriate.	Automated	1	Pass
1.2.29	Ensure `--etcd-certfile` 和 `--etcd-keyfile` 参数设置为 appropriate.	Automated	1	Pass
1.2.30	Ensure `--tls-cert-file` 和 `--tls-private-key-file` 参数设置为 appropriate.	Automated	1	Pass
1.2.31	Ensure `--client-ca-file` 参数设置为 appropriate.	Automated	1	Pass
1.2.32	Ensure `--etcd-cafile` 参数设置为 appropriate.	Automated	1	Pass
1.2.33	Ensure `--encryption-provider-config` 参数设置正确。	手册	1	未检查。
1.2.34	Ensure 加密提供商配置适当。	手册	1 [	未检查](#co-benchmark-417-remdiation)
1.2.35	Ensure 该API服务器仅使用强加密 Ciphers.	Manual	1	Pass

1.1.3控制器管理员

1.3 部门控制经理的基准。
科室	建议	手动/自动	级别	结果
1.3.1	Ensure 垃圾回收配置为 appropriate.	Manual	1	Not 已检查
1.3.2	Ensure 该控制器经理 `healthz` 端点受 RBAC.	Automated	1	Pass 保护
1.3.3	Ensure `--use-service-account-credentials` 参数设置为 true.	Automated	1	Pass
1.3.4	Ensure `--service-account-private-key-file` 参数设置为 appropriate.	Automated	1	Pass
1.3.5	Ensure `--root-ca-file` 参数被设置为 appropriate.	Automated	1	Pass
1.3.6	Ensure RotateKubeletServerCertificate 参数设置为 true.	Automated	2	Pass
1.3.7	Ensure `--bind-address` 参数设置为 127.0.0.1.	Automated	1	Pass

1.1.4调度员

1.4 计划程序基准。
科室	建议	手动/自动	级别	结果
1.4.1	Ensure 调度程序的 `healthz` 端点受 RBAC.	Automated	1	Pass 保护
1.4.2	Verify 调度程序API服务受身份验证保护，authorization.	Automated	1	Pass

2etcd

第2部分 etcd 的基准。
科室	建议	手动/自动	级别	结果
2.1	Ensure `--cert-file` 和 `--key-file` 参数设置为 appropriate.	Automated	1	Pass
2.2	Ensure `--client-cert-auth` 参数设置为 true.	Automated	1	Pass
2.3	Ensure `--auto-tls` 参数未设置为 true.	Automated	1	Pass
2.4	Ensure `--peer-cert-file` 和 `--peer-key-file` 参数设置为 appropriate.	Automated	1	Pass
2.5	Ensure `--peer-client-cert-auth` 参数设置为 true.	Automated	1	Pass
2.6	Ensure `--peer-auto-tls` 参数未设置为 true.	Automated	1	Pass
2.7	Ensure etcd 使用了一个唯一的证书颁发机构。	手册	2 [	未检查](#co-benchmark-417-remdiation)

3 控制平面配置

3.1 认证和授权

第3.1节认证和授权基准。
科室	建议	手动/自动	级别	结果
3.1.1	Client证书验证不应用于 "users.	Manual	2	Pass

3.3.2记录

第3.2节记录基准。
科室	建议	手动/自动	级别	结果
3.2.1	Ensure，最低限度的审计政策是 created.	Automated	1	Pass
3.2.2	Ensure审计策略涵盖关键的安全concerns.	Manual	2	Pass

4 个工作节点

按照“使用合规性操作员”中的说明执行自动检查工作节点配置。

5 项政策

5.5.1RBAC 和服务账户

第5.1节经常预算和服务账户基准。
科室	建议	手动/自动	级别	结果
5.1.1	Ensure仅在required.	Manual	1	Pass时使用群集管理员角色
已检查“5.1.2	Minimize对”secrets.	Manual	1	Not的访问权限
角色中使用了“5.1.3	Minimize通配符，并选中了”ClusterRoles.	Manual	1	Not
已检查“5.1.4	Minimize创建”pods.	Manual	1	Not的权限
5.1.5	Ensure表示默认服务帐户未主动 "used.	Automated	1	Not已选中
5.1.6	Ensure，服务帐户令牌只在 necessary.	Manual	1	Not 选中的地方挂载

5.2 Pod 安全政策

第5.2节 pod 安全策略的基准。
科室	建议	手动/自动	级别	结果
5.2.1	Minimize特权containers.	Manual	1	Not的进入
5.2.2	Minimize希望共享主机进程 IDnamespace.	Automated	1	Not的容器的进入
5.2.3	Minimize希望共享主机 IPCnamespace.	Automated	1	Not的容器的进入
5.2.4	Minimize希望共享主机网络namespace.	Automated	1	Not的容器的接入
“5.2.5	Minimize是已选中”allowPrivilegeEscalation.	Automated	1	Not的集装箱的入场人数
“5.2.6	Minimize已接受根”containers.	Manual	2	Not
“5.2.7	Minimize是已选中 NET_RAW”capability.	Manual	1	Not的容器的容纳量
"5.2.8	Minimize未检查接纳具有附加功能的容器
5.2.9	Minimize接纳已assigned.	Manual	2	Not能力的容器

5.5.3网络政策和 CNI

5.3 部门网络政策和CNI的基准。
科室	建议	手动/自动	级别	结果
5.3.1	Ensure使用的 CNI 支持网络Policies.	Manual	1	Pass
5.3.2	Ensure that all Namespaces have Network Policies defined.	Automated	2	未检查

5.5.4秘密管理

第5.4节保密管理基准。
科室	建议	手动/自动	级别	结果
5.4.1	Prefer秘密作为文件使用，而不是将秘密作为variables	Manual	1	Not选中
5.4.2	Consider外部秘密storage	Manual	2	Not选中

5.5.5可扩展的准入控制

第5.5节可扩展准入控制基准。
科室	建议	手动/自动	级别	结果
5.5.1	Configure 使用图像控制器配置的图像证明 parameters.	Manual	2	Not 已检查

5.5.7一般政策

5.7 部分一般政策的基准。
科室	建议	手动/自动	级别	结果
5.7.1	Create 资源之间的行政边界使用 namespaces.	Manual	1	Not 已检查
5.7.2	Ensure 您的 `seccomp` 配置文件在您的pod中设置为docker/default definitions.	Manual	2	Not 已检查
5.7.3	Apply 安全 Pods 的上下文和 Containers.	Manual	2	Not 已检查
5.7.4	The 默认命名空间不应为 used.	Automated	2	Not 检查

补救和解释

查看IBM提供的有关CIS Benchmark结果的信息。

补救措施和解释。
部分	建议/说明
1.2.23	Red Hat OpenShift on IBM Cloud可以选择启用KubernetesAPI 服务器审计。
1.2.24	Red Hat OpenShift on IBM Cloud会将maximumRetainedFiles参数设置为 1。
1.2.25	Red Hat OpenShift on IBM Cloud会将maximumFileSizeMegabytes）参数设置为 10。
1.2.33	Red Hat OpenShift on IBM Cloud可以选择启用Kubernetes密钥管理服务（KMS）提供程序。
1.2.34	Red Hat OpenShift on IBM Cloud可以选择启用Kubernetes密钥管理服务（KMS）提供程序。
2.7	Red Hat OpenShift on IBM Cloud为etcd 配置唯一的证书颁发机构。
5.2.8	Red Hat OpenShift on IBM Cloud安装自定义 SCC。
5.3.2	Red Hat OpenShift on IBM Cloud定义了一套默认的Calico网络策略，并可选择添加其他网络策略。