Dokumen ini memperkenalkan CIS Kubernetes Benchmark, yang menjelaskan cara mengaudit kepatuhan Anda terhadap benchmark. Untuk rekomendasi yang tidak dapat Anda terapkan sendiri, dokumen ini menjelaskan tindakan yang dilakukan GDCV untuk Bare Metal untuk menangani rekomendasi tersebut.
Menggunakan Tolok Ukur CIS
Center for Internet Security (CIS) merilis tolok ukur untuk rekomendasi praktik terbaik keamanan. CIS Kubernetes Benchmark memberikan serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. Tolok ukur ini terikat dengan rilis Kubernetes tertentu. CiS Kubernetes Benchmark ditulis untuk distribusi Kubernetes open source dan dimaksudkan agar berlaku secara universal di seluruh distribusi.
Versi
Tabel berikut berisi versi GKE pada Bare Metal, Kubernetes, dan CIS Kubernetes Benchmark yang digunakan untuk melakukan penilaian yang dijelaskan dalam dokumen ini:
| Versi Anthos | Versi Kubernetes | Versi Tolok Ukur Kubernetes CIS |
|---|---|---|
| 1.16.0 | 1.27.4 | V1.23 (1.0.1) |
Perlu diingat bahwa nomor versi untuk tolok ukur yang berbeda mungkin tidak sama.
Tolok Ukur Kubernetes CIS
Mengakses Tolok Ukur
CIS Kubernetes Benchmark tersedia di situs CIS.
Level Rekomendasi
Di CIS Kubernetes Benchmark,
| Tingkat | Deskripsi |
|---|---|
| Level 1 | Rekomendasi bertujuan untuk: |
| Level 2 | Memperluas profil Level 1. Rekomendasi menunjukkan satu atau beberapa karakteristik berikut: |
Status Penilaian
Status penilaian disertakan untuk setiap rekomendasi. Status penilaian menunjukkan apakah rekomendasi yang diberikan dapat otomatis atau memerlukan langkah manual untuk diterapkan. Kedua status tersebut sama pentingnya serta ditentukan dan didukung sebagaimana didefinisikan di bawah ini:
| Pemberian skor | Deskripsi |
|---|---|
| Otomatis | Mewakili rekomendasi agar penilaian kontrol teknis dapat sepenuhnya diotomatiskan dan divalidasi ke status lulus/gagal. Rekomendasi akan mencakup informasi yang diperlukan untuk menerapkan otomatisasi. |
| Manual | Merepresentasikan rekomendasi dengan penilaian kontrol teknis yang tidak dapat sepenuhnya otomatis dan memerlukan semua atau beberapa langkah manual untuk memvalidasi bahwa status yang dikonfigurasi telah ditetapkan seperti yang diharapkan. Status yang diharapkan dapat bervariasi bergantung pada lingkungannya. |
Evaluasi GKE pada Bare Metal
Kami menggunakan nilai berikut untuk menentukan status Rekomendasi Kubernetes di GKE pada Bare Metal:
| Status | Deskripsi |
|---|---|
| Lulus | Mematuhi Rekomendasi Tolok Ukur. |
| Gagal | Tidak mematuhi Rekomendasi Tolok Ukur. |
| Kontrol Setara | Tidak mematuhi persyaratan yang tepat dalam Rekomendasi Benchmark, tetapi mekanisme lain dalam GKE pada Bare Metal tersedia untuk memberikan kontrol keamanan yang setara. |
| Bergantung pada Lingkungan | GKE pada Bare Metal tidak mengonfigurasi item yang terkait dengan Rekomendasi ini. Konfigurasi pengguna menentukan apakah lingkungannya mematuhi Rekomendasi Benchmark. |
GKE pada Arsitektur Bare Metal
GKE di Bare Metal mendukung beberapa konfigurasi cluster dan jenis cluster. Setiap jenis cluster yang didukung, admin, pengguna, hybrid, dan mandiri, dievaluasi berdasarkan benchmark CIS. Penilaian dan justifikasi berikut berlaku untuk semua jenis cluster yang didukung. Informasi selengkapnya tentang konfigurasi cluster yang didukung oleh GKE pada Bare Metal dapat ditemukan dalam Memilih model deployment.
Status GKE di Bare Metal
Bagian berikut berisi penilaian untuk cluster baru yang dibuat dengan versi yang ditentukan GKE di Bare Metal. Penilaian ini merupakan indikator tentang performa cluster baru tanpa beban kerja pengguna terhadap CIS Kubernetes Benchmark. Jika Anda men-deploy beban kerja Anda sendiri sebelum mengaudit Tolok Ukur sendiri, hasilnya mungkin berbeda.
Status GKE pada cluster Bare Metal:
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | cis-1,23 | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod etcd disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod etcd disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Container ditetapkan ke 644 atau yang lebih ketat (Manual) |
L1 | Kontrol Setara |
| 1.1.10 | Pastikan kepemilikan file Antarmuka Jaringan Container ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data etcd ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file .conf admin disetel ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file.conf admin disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file konfigurasi. penjadwal disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file konflik.disetel ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file konfigurasi.pengelola-pengontrol disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file konfigurasi.pengelola-pengontrol disetel ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan direktori PKI Kubernetes dan kepemilikan file ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 644 atau yang lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci IKP Kubernetes ditetapkan ke 600 (Manual) |
L1 | Kontrol Setara |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Manual) |
L1 | Peringatkan |
| 1.2.2 | Pastikan parameter --token-auth-file tidak ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs tidak ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.4 | Pastikan argumen --kubelet-https ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.10 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysAdmit tidak ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.12 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.13 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Peringatkan |
| 1.2.14 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Memastikan NamespaceLifecycle plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan plugin kontrol penerimaan NodeRestriction ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.17 | Pastikan argumen --secure-port tidak ditetapkan ke 0 (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.19 | Pastikan argumen --audit-log-path telah ditetapkan (Otomatis) |
L1 | Gagal |
| 1.2.20 | Pastikan argumen --audit-log-maxage disetel ke 30 atau yang sesuai (Otomatis) |
L1 | Gagal |
| 1.2.21 | Pastikan argumen --audit-log-maxbackup disetel ke 10 atau yang sesuai (Otomatis) |
L1 | Gagal |
| 1.2.22 | Pastikan argumen --audit-log-maxsize disetel ke 100 atau yang sesuai (Otomatis) |
L1 | Gagal |
| 1.2.23 | Pastikan argumen --request-timeout ditetapkan sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --service-account-lookup ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.29 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.30 | Pastikan argumen --encryption-provider-config ditetapkan sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.31 | Pastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.32 | Memastikan bahwa Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold ditetapkan sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotateKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 2 | cis-1,23 | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 2,7 | Memastikan bahwa Certificate Authority unik digunakan untuk etcd (Manual) | L2 | Lulus |
| 3 | cis-1,23 | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan bahwa kebijakan audit minimal telah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan bahwa kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
| 4 | cis-1,23 | ||
| 4.1 | File Konfigurasi Worker Node | ||
| 4.1.1 | Pastikan izin file layanan kubelet disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.2 | Pastikan kepemilikan file layanan kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.3 | Jika file kubeconfig proxy ada, pastikan izin disetel ke 644 atau yang lebih ketat (Manual) |
L1 | Lulus |
| 4.1.4 | Jika file kubeconfig proxy ada, pastikan kepemilikan disetel ke root:root (Manual) |
L1 | Lulus |
| 4.1.5 | Pastikan izin file --kubeconfig kubelet.conf disetel ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.6 | Pastikan kepemilikan file --kubeconfig kubelet.conf disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.7 | Pastikan izin file certificate authority ditetapkan ke 644 atau yang lebih ketat (Manual) |
L1 | Lulus |
| 4.1.8 | Pastikan kepemilikan file certificate authority klien disetel ke root:root (Manual) |
L1 | Lulus |
| 4.1.9 | Pastikan file konfigurasi --config kubelet memiliki izin yang ditetapkan ke 644 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.10 | Pastikan kepemilikan file konfigurasi --config kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.2 | Kubelet | ||
| 4.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.2 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 4.2.3 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Gagal |
| 4.2.5 | Pastikan argumen --streaming-connection-idle-timeout tidak ditetapkan ke 0 (Manual) |
L1 | Lulus |
| 4.2.6 | Pastikan argumen --protect-kernel-defaults ditetapkan ke benar (Otomatis) |
L1 | Gagal |
| 4.2.7 | Pastikan argumen --make-iptables-util-chains ditetapkan ke benar (Otomatis) |
L1 | Lulus |
| 4.2.8 | Pastikan argumen --hostname-override tidak ditetapkan (Manual) |
L1 | Lulus |
| 4.2.9 | Pastikan argumen --event-qps disetel ke 0 atau tingkat yang memastikan pengambilan peristiwa yang tepat (Manual) |
L2 | Peringatkan |
| 4.2.10 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L1 | Kontrol Setara |
| 4.2.11 | Pastikan argumen --rotate-certificates tidak ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.12 | Pastikan argumen RotateKubeletServerCertificate ditetapkan ke true (Manual) | L1 | Lulus |
| 4.2.13 | Pastikan bahwa Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Kontrol Setara |
Deskripsi Kegagalan dan Kontrol yang Setara untuk GKE di cluster admin Bare Metal:
| # | Rekomendasi | Tingkat | Status | Nilai | Justifikasi |
|---|---|---|---|---|---|
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Container ditetapkan ke 644 atau yang lebih ketat (Manual) |
L1 | Kontrol Setara | 755 |
Cluster Anthos di jalur Antarmuka Jaringan Container bare metal adalah /opt/cni/bin, dan izinnya ditetapkan ke 755 untuk operasi cluster normal. |
| 1.1.11 | Pastikan izin direktori data etcd ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara | 755 |
Direktori data etcd memiliki izin 755 default, tetapi subdirektorinya adalah 700. |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara | 2003:2003 |
Direktori data etcd, /var/lib/etcd, dimiliki oleh 2003:2003 sebagai hasil dari rootless control-plane untuk keamanan yang lebih baik. |
| 1.1.16 | Pastikan kepemilikan file konflik.disetel ke root:root (Otomatis) |
L1 | Kontrol Setara | 2002:2002 |
Cluster Anthos on bare metal, mulai rilis 1.9.0, mengimplementasikan rootless control-plane untuk keamanan yang lebih baik. |
| 1.1.18 | Pastikan kepemilikan file konfigurasi.pengelola-pengontrol disetel ke root:root (Otomatis) |
L1 | Kontrol Setara | 2001:2001 |
Cluster Anthos on bare metal, mulai rilis 1.9.0, mengimplementasikan rootless control-plane untuk keamanan yang lebih baik. |
| 1.1.19 | Pastikan direktori PKI Kubernetes dan kepemilikan file ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | variable:variable |
Cluster Anthos on bare metal, mulai rilis 1.9.0, mengimplementasikan rootless control-plane untuk keamanan yang lebih baik. |
| 1.1.21 | Pastikan izin file kunci IKP Kubernetes ditetapkan ke 600 (Manual) |
L1 | Kontrol Setara | 600~640 |
Cluster Anthos on bare metal, mulai rilis 1.9.0, mengimplementasikan rootless control-plane untuk keamanan yang lebih baik. |
| 1.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Manual) |
L1 | Peringatkan | tidak ditetapkan | Beberapa cluster Anthos pada operasi bare metal, seperti HA, mengharuskan autentikasi anonim diaktifkan. |
| 1.2.10 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan | ||
| 1.2.12 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Peringatkan | tidak ditetapkan | Pengontrol penerimaan AlwaysPullImages memberikan beberapa perlindungan untuk image registry pribadi di cluster multitenant non-kooperatif, tetapi membuat registry container menjadi satu titik kegagalan untuk membuat Pod baru di seluruh cluster. Cluster Anthos on bare metal tidak mengaktifkan pengontrol penerimaan AlwaysPullImages, sehingga admin cluster dapat menerapkan kebijakan penerimaan untuk melakukan penyesuaian secara mandiri. |
| 1.2.13 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos on bare metal tidak mengaktifkan Kebijakan Keamanan Pod. Tiket Keamanan Pod diaktifkan di cluster Kubernetes 1.23 secara default. Lihat https://kubernetes.io/docs/concepts/security/pod-security-admission/ |
| 1.2.19 | Pastikan argumen --audit-log-path telah ditetapkan (Otomatis) |
L1 | Gagal | tidak disetel secara default; setel /var/log/apiserver/audit.log hanya jika Cloud Audit Logging dinonaktifkan |
Cluster Anthos pada cluster bare metal secara default mengirim log audit server Kubernetes API ke Google Cloud. |
| 1.2.20 | Pastikan argumen --audit-log-maxage disetel ke 30 atau yang sesuai (Otomatis) |
L1 | Gagal | tidak disetel secara default; setel 30 hanya jika Cloud Audit Logging dinonaktifkan |
Cluster Anthos pada cluster bare metal secara default mengirim log audit server Kubernetes API ke Google Cloud. |
| 1.2.21 | Pastikan argumen --audit-log-maxbackup disetel ke 10 atau yang sesuai (Otomatis) |
L1 | Gagal | tidak disetel secara default, setel 10 hanya jika Cloud Audit Logging dinonaktifkan |
Cluster Anthos pada cluster bare metal secara default mengirim log audit server Kubernetes API ke Google Cloud. |
| 1.2.22 | Pastikan argumen --audit-log-maxsize disetel ke 100 atau yang sesuai (Otomatis) |
L1 | Gagal | tidak disetel secara default, setel 100 hanya jika Cloud Audit Logging dinonaktifkan |
Cluster Anthos pada cluster bare metal secara default mengirim log audit server Kubernetes API ke Google Cloud. |
| 3.2.2 | Memastikan bahwa kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara | tidak ditetapkan | Cluster Anthos pada bare metal menangkap log audit, tetapi tidak menggunakannya untuk pengauditan, lebih lanjut tentang logging dan pemantauan. |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Gagal | 10255 | Cluster Anthos on bare metal saat ini menetapkan argumen --read-only-port ke 10255 untuk mengumpulkan metrik dari kubelet. |
| 4.2.6 | Pastikan argumen --protect-kernel-defaults ditetapkan ke benar (Otomatis) |
L1 | Gagal | false |
Anthos di mesin cluster Bare Metal tidak melindungi default kernel dari Kubernetes, karena beban kerja pelanggan mungkin perlu memodifikasinya. |
| 4.2.9 | Pastikan argumen --event-qps disetel ke 0 atau tingkat yang memastikan pengambilan peristiwa yang tepat (Manual) |
L2 | Peringatkan | tidak ditetapkan | Peristiwa adalah objek Kubernetes yang disimpan di etcd. Untuk menghindari kewalahan, dll., penyimpanan tersebut hanya disimpan selama satu jam, dan bukan mekanisme audit keamanan yang tepat. Mengizinkan event tak terbatas seperti yang disarankan dalam kontrol ini akan mengekspos cluster terhadap risiko DoS yang tidak perlu dan bertentangan dengan rekomendasi untuk menggunakan penerimaan EventRateLimits. Peristiwa terkait keamanan yang memerlukan penyimpanan permanen harus dikirim ke log. |
| 4.2.10 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L1 | Kontrol Setara | tidak ditetapkan | Cluster Anthos pada bare metal mengelola TLS server kubelet menggunakan flag --rotate-server-certificates. |
| 4.2.13 | Pastikan bahwa Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Kontrol Setara | Dalam cluster Anthos pada node bare metal, kubelet menggunakan cipher suite Go default. Cluster Anthos on bare metal tidak menyediakan opsi konfigurasi bagi pengguna untuk menyesuaikan pemilihan cipher suite. Perlu diperhatikan bahwa klien modern menegosiasikan cipher suite dan tidak akan menggunakan cipher yang lemah jika cipher yang kuat tersedia bersama-sama. |
Cara mengaudit Tolok Ukur
Petunjuk khusus untuk mengaudit setiap Rekomendasi tersedia sebagai bagian dari Tolok Ukur CIS yang relevan. Namun, Anda mungkin ingin mengotomatiskan beberapa pemeriksaan untuk menyederhanakan verifikasi kontrol ini di lingkungan Anda. Alat yang tercantum di bawah dapat membantu ini.
Audit otomatis Tolok Ukur Kubernetes CIS
Anda dapat menggunakan alat open source kube-bench untuk menguji konfigurasi cluster terhadap CIS Kubernetes Benchmark.
Pastikan untuk menentukan versi yang sesuai, misalnya,
kube-bench node --benchmark cis-1.23