En este documento, se presenta la comparativa de CIS para Kubernetes, se explica cómo auditar tu cumplimiento de las comparativas y se explica qué configura GKE en VMware cuando no puedes implementar una recomendación por tu cuenta.
Acerca de las comparativas de CIS
El Center for Internet Security (CIS) lanza comparativas de prácticas recomendadas de seguridad. Las comparativas de CIS para Kubernetes proporcionan un conjunto de recomendaciones destinadas a configurar Kubernetes con el objetivo de mantener una seguridad sólida. La comparativa está vinculada a una versión específica de Kubernetes. La comparativa de CIS para Kubernetes está escrita para la distribución de Kubernetes de código abierto y tiene la intención de ser aplicable en todo el mundo, en todas las distribuciones.
Versiones
Los números de versión de diferentes comparativas pueden no ser los mismos. En este documento, se hace referencia a las siguientes versiones:
| Versión de Anthos | Versión de Kubernetes | Versión de la comparativa de CIS para Kubernetes |
|---|---|---|
| 1.16.0 | 1.27.1 | 1.7 |
Usa la comparativa de CIS para Kubernetes
Accede a la comparativa
La comparativa de CIS para Kubernetes está disponible en el sitio web de CIS.
Niveles de recomendación
En la siguiente tabla, se describen los niveles de recomendación en la comparativa de CIS en Kubernetes.
| Nivel | Descripción |
|---|---|
| Nivel 1 | El objetivo de las recomendaciones es lograr lo siguiente: |
| Nivel 2 | Se amplía el perfil del nivel 1. Las recomendaciones presentan una o más de las siguientes características: |
Estado de evaluación
Se incluye un estado de evaluación para cada recomendación. El estado de evaluación indica si la recomendación dada puede automatizarse o requiere pasos manuales para implementarse. Ambos estados son igual de importantes, y se determinan y admiten según se define en la siguiente tabla.
| Puntuación | Descripción |
|---|---|
| Automatizada | Representa recomendaciones para las que la evaluación de un control técnico se puede automatizar y validar por completo a un estado de aprobación/error. En la sección Recomendaciones, se incluye la información necesaria para implementar la automatización. |
| Manual | Representa recomendaciones para las que la evaluación de un control técnico no se puede automatizar por completo y requiere todos los pasos manuales para validar que el estado esté configurado como se espera. El estado esperado puede variar según el entorno. |
Evaluación en GKE en VMware
Usamos los siguientes valores para especificar el estado de las recomendaciones de Kubernetes en GKE on VMware.
| Estado | Descripción |
|---|---|
| Pass | Cumple con una recomendación de comparativa. |
| Reprobadas | No cumple con una recomendación de comparativa. |
| Control equivalente | No cumple con los términos exactos de la recomendación de comparativa, pero existen otros mecanismos en GKE en VMware para proporcionar controles de seguridad equivalentes. |
| Depende del entorno | GKE en VMware no configura elementos relacionados con esta recomendación. La configuración del usuario determina si su entorno cumple con una recomendación de comparativa. |
Arquitectura de GKE en VMware
GKE en VMware usa un clúster de administrador para administrar uno o más clústeres de usuario, que ejecutan cargas de trabajo reales de Kubernetes. Puedes encontrar más información sobre esta arquitectura en la descripción general de GKE en VMware. La configuración de los clústeres de administrador y de usuario se evalúa en función de las siguientes comparativas.
Estado en GKE en VMware
Cuando creas un clúster nuevo en GKE en VMware con la versión especificada, este es el rendimiento en comparación con la comparativa de CIS para Kubernetes. Las secuencias de comandos generan automáticamente los informes de comparativas de CIS. Las secuencias de comandos se ejecutan en clústeres nuevos que no ejecutan ninguna carga de trabajo del usuario. Si instalas tus propias cargas de trabajo y ejecutas las secuencias de comandos, el informe puede ser diferente.
Estado del clúster de administrador de GKE en VMware
| # | Recomendación | Nivel | Estado |
|---|---|---|---|
| 1 | Configuración de seguridad del plano de control | ||
| 1.1 | Archivos de configuración del nodo de plano de control | ||
| 1.1.1 | Asegúrate de que los permisos del archivo de especificación del pod del servidor de la API estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.2 | Asegúrate de que la propiedad del archivo de especificación del pod del servidor de la API esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.3 | Asegúrate de que los permisos del archivo de especificación del pod del administrador del controlador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.4 | Asegúrate de que la propiedad del archivo de especificación del pod del administrador del controlador esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.5 | Asegúrate de que los permisos del archivo de especificación del pod del programador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.6 | Asegúrate de que la propiedad del archivo de especificación del pod del programador esté configurada en root:root (automático). |
L1 | Pass |
| 1.1.7 | Asegúrate de que los permisos del archivo de especificación del pod de etcd estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.8 | Asegúrate de que la propiedad del archivo de especificación del pod de etcd esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.9 | Asegúrate de que los permisos del archivo de la interfaz de red de los contenedores estén configurados en 600 o más restringidos (manual) |
L1 | Pass |
| 1.1.10 | Asegúrate de que la propiedad del archivo de la interfaz de red del contenedor esté configurada en root:root (manual) |
L1 | Pass |
| 1.1.11 | Asegúrate de que los permisos del directorio de datos de etcd estén configurados en 700 o más restringidos (automático) |
L1 | Pass |
| 1.1.12 | Asegúrate de que la propiedad del directorio de datos de etcd esté configurada en etcd:etcd (automático) |
L1 | Control equivalente |
| 1.1.13 | Asegúrate de que los permisos del archivo admin.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 1.1.14 | Asegúrate de que la propiedad del archivo admin.conf esté configurada en root:root (automatizado). |
L1 | Pass |
| 1.1.15 | Asegúrate de que los permisos del archivo scheduler.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 1.1.16 | Asegúrate de que la propiedad del archivo scheduler.conf esté configurada en root:root (automatizado). |
L1 | Control equivalente |
| 1.1.17 | Asegúrate de que los permisos del archivo control-manager.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobado |
| 1.1.18 | Asegúrate de que la propiedad del archivo control-manager.conf esté configurada en root:root (automatizada). |
L1 | Control equivalente |
| 1.1.19 | Asegúrate de que la propiedad del archivo y del directorio de la PKI de Kubernetes esté configurada como root:root (automático) |
L1 | Pass |
| 1.1.20 | Asegúrate de que los permisos del archivo de certificado de la PKI de Kubernetes estén configurados en 600 o más restringidos (manual) |
L1 | Aprobado |
| 1.1.21 | Asegúrate de que los permisos del archivo de claves de la PKI de Kubernetes estén configurados como 600 (manual) |
L1 | Pass |
| 1.2 | Servidor de la API | ||
| 1.2.1 | Asegúrate de que el argumento --anonymous-auth esté configurado como falso (manual) |
L1 | Pass |
| 1.2.2 | Asegúrate de que el parámetro --token-auth-file no esté configurado (automático) |
L1 | Aprobada |
| 1.2.3 | Asegúrate de que la --DenyServiceExternalIPs esté configurada (manual) |
L1 | Advertencia |
| 1.2.4 | Asegúrate de que los argumentos --kubelet-client-certificate y --kubelet-client-key estén configurados como corresponda (automático) |
L1 | Aprobada |
| 1.2.5 | Asegúrate de que el argumento --kubelet-certificate-authority esté configurado como corresponda (automático) |
L1 | Pass |
| 1.2.6 | Asegúrate de que el argumento --authorization-mode no esté configurado en AlwaysAllow (automático) |
L1 | Aprobado |
| 1.2.7 | Asegúrate de que el argumento --authorization-mode incluya Node (automático) |
L1 | Pass |
| 1.2.8 | Asegúrate de que el argumento --authorization-mode incluya el RBAC (automático) |
L1 | Pass |
| 1.2.9 | Asegúrate de que el complemento de control de admisión EventRateLimit esté establecido (manual) | L1 | Advertencia |
| 1.2.10 | Asegúrate de que el complemento de control de admisión AlwaysAdmit no esté establecido (automático) | L1 | Aprobado |
| 1.2.11 | Asegúrate de que el complemento de control de admisión AlwaysPullImages esté establecido (manual) | L1 | Depende del entorno |
| 1.2.12 | Asegúrate de que el complemento de control de admisión SecurityContextDeny esté establecido si no se usa PodSecurityPolicy (manual) | L1 | Control equivalente |
| 1.2.13 | Asegúrate de que el complemento de control de admisión ServiceAccount esté establecido.(automático) | L1 | Pass |
| 1.2.14 | Asegúrate de que el complemento de control de admisión NamespaceLifecycle esté establecido (automático) | L1 | Pass |
| 1.2.15 | Asegúrate de que el complemento de control de admisión NodeRestriction esté establecido (automático) | L1 | Pass |
| 1.2.16 | Asegúrate de que el argumento --secure-port no esté configurado como 0. Ten en cuenta que esta recomendación está obsoleta y se borrará según el proceso de consenso (manual). |
L1 | Pass |
| 1.2.17 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Aprobada |
| 1.2.18 | Asegúrate de que el argumento --audit-log-path esté configurado (automático) |
L1 | Aprobada |
| 1.2.19 | Asegúrate de que el argumento --audit-log-maxage esté configurado como 30 o según corresponda (automático) |
L1 | Control equivalente |
| 1.2.20 | Asegúrate de que el argumento --audit-log-maxbackup esté configurado como 10 o según corresponda (automático) |
L1 | Pass |
| 1.2.21 | Asegúrate de que el argumento --audit-log-maxsize esté configurado como 100 o según corresponda (automático) |
L1 | Aprobado |
| 1.2.22 | Asegúrate de que el argumento --request-timeout esté configurado como corresponda (manual) |
L1 | Pass |
| 1.2.23 | Asegúrate de que el argumento --service-account-lookup esté configurado como verdadero (automático) |
L1 | Aprobado |
| 1.2.24 | Asegúrate de que el argumento --service-account-key-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.2.25 | Asegúrate de que los argumentos --etcd-certfile y --etcd-keyfile estén configurados como corresponda (automático) |
L1 | Pass |
| 1.2.26 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (automático) |
L1 | Aprobado |
| 1.2.27 | Asegúrate de que el argumento --client-ca-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.2.28 | Asegúrate de que el argumento --etcd-cafile esté configurado como corresponda (automático) |
L1 | Aprobada |
| 1.2.29 | Asegúrate de que el argumento --encryption-provider-config esté configurado como corresponda (manual) |
L1 | Pass |
| 1.2.30 | Asegúrate de que los proveedores de encriptación estén configurados según corresponda (manual) | L1 | Aprobado |
| 1.2.31 | Asegúrate de que el servidor de API solo use algoritmos de cifrado criptográficos sólidos (manual) | L1 | Pass |
| 1.3 | Administrador del controlador | ||
| 1.3.1 | Asegúrate de que el argumento --terminated-pod-gc-threshold esté configurado como corresponda (manual) |
L1 | Aprobada |
| 1.3.2 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Pass |
| 1.3.3 | Asegúrate de que el argumento --use-service-account-credentials esté configurado como verdadero (automático) |
L1 | Aprobado |
| 1.3.4 | Asegúrate de que el argumento --service-account-private-key-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.3.5 | Asegúrate de que el argumento --root-ca-file esté configurado como corresponda (automático) |
L1 | Pass |
| 1.3.6 | Asegúrate de que el argumento RotateKubeletServerCertificate esté configurado como verdadero (automático) | L2 | Aprobado |
| 1.3.7 | Asegúrate de que el argumento --bind-address esté configurado como 127.0.0.1 (automático) |
L1 | Aprobada |
| 1.4 | Programador | ||
| 1.4.1 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Aprobado |
| 1.4.2 | Asegúrate de que el argumento --bind-address esté configurado como 127.0.0.1 (automático) |
L1 | Pass |
| 2 | Configuración del nodo Etcd | ||
| 2 | Configuración del nodo Etcd | ||
| 2.1 | Asegúrate de que los argumentos --cert-file y --key-file estén configurados como corresponda (automático) |
L1 | Pass |
| 2.2 | Asegúrate de que el argumento --client-cert-auth esté configurado como verdadero (automático) |
L1 | Aprobado |
| 2.3 | Asegúrate de que el argumento --auto-tls no esté configurado como verdadero (automático) |
L1 | Pass |
| 2.4 | Asegúrate de que los argumentos --peer-cert-file y --peer-key-file estén configurados como corresponda (automático) |
L1 | Aprobado |
| 2.5 | Asegúrate de que el argumento --peer-client-cert-auth esté configurado como verdadero (automático) |
L1 | Aprobado |
| 2.6 | Asegúrate de que el argumento --peer-auto-tls no esté configurado como verdadero (automático) |
L1 | Pass |
| 2.7 | Asegúrate de usar una autoridad certificada única para etcd (manual) | L2 | Aprobado |
| 3 | Configuración del plano de control | ||
| 3.1 | Autenticación y autorización | ||
| 3.1.1 | La autenticación del certificado de cliente no se debe usar para los usuarios (manual) | L2 | Aprobado |
| 3.1.2 | No se debe usar la autenticación de tokens de la cuenta de servicio para los usuarios (manual) | L1 | Advertencia |
| 3.1.3 | No se debe usar la autenticación con token de arranque para los usuarios (manual) | L1 | Advertencia |
| 3.2 | Logging | ||
| 3.2.1 | Asegúrate de crear una política de auditoría mínima (manual) | L1 | Aprobada |
| 3.2.2 | Asegúrate de que la política de auditoría abarque los problemas de seguridad clave (manual) | L2 | Control equivalente |
| 4 | Configuración de seguridad del nodo trabajador | ||
| 4.1 | Archivos de configuración del nodo trabajador | ||
| 4.1.1 | Asegúrate de que los permisos del archivo de servicio de kubelet estén configurados en 600 o más restringidos (automático) |
L1 | Reprobado |
| 4.1.2 | Asegúrate de que la propiedad del archivo de servicio de kubelet esté configurada en root:root (automático) |
L1 | Pass |
| 4.1.3 | Si existe un archivo kubeconfig de proxy, asegúrate de que los permisos estén configurados como 600 o más restringidos (manual) |
L1 | Aprobada |
| 4.1.4 | Si existe el archivo kubeconfig del proxy, de que los permisos estén establecidos en root:root o más restrictivos (Manual) |
L1 | Pass |
| 4.1.5 | Asegúrate de que los permisos del archivo kubelet.conf de --kubeconfig estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 4.1.6 | Asegúrate de que la propiedad del archivo kubelet.conf --kubeconfig esté configurada en root:root (automatizado). |
L1 | Aprobado |
| 4.1.7 | Asegúrate de que los permisos del archivo de autoridades certificadas estén configurados en 600 o más restringidos (manual) |
L1 | Aprobada |
| 4.1.8 | Asegúrate de que la propiedad del archivo de autoridades certificadas del cliente esté configurada en root:root (manual) |
L1 | Pass |
| 4.1.9 | Si se usa el archivo de configuración .yaml de kubelet, valida los permisos establecidos en 600 o más restringidos (manual). |
L1 | Advertencia |
| 4.1.10 | Si se usa el archivo de configuración .yaml de kubelet, valida que la propiedad del archivo esté configurada en root:root (manual). |
L1 | Aprobada |
| 4.2 | Kubelet | ||
| 4.2.1 | Asegúrate de que el argumento --anonymous-auth esté configurado como falso (automático) |
L1 | Pass |
| 4.2.2 | Asegúrate de que el argumento --authorization-mode no esté configurado en AlwaysAllow (automático) |
L1 | Pass |
| 4.2.3 | Asegúrate de que el argumento --client-ca-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 4.2.4 | Verifica que el argumento --read-only-port esté configurado en 0 (manual). |
L1 | Pass |
| 4.2.5 | Asegúrate de que el argumento --streaming-connection-idle-timeout no esté establecido en 0 (manual) |
L1 | Aprobada |
| 4.2.6 | Asegúrate de que el argumento --make-iptables-util-chains esté configurado como verdadero (automático) |
L1 | Aprobado |
| 4.2.7 | Asegúrate de que el argumento --hostname-override no esté configurado (manual) |
L1 | Aprobada |
| 4.2.8 | Asegúrate de que el argumento eventRecordQPS esté configurado en un nivel que garantice la captura de eventos adecuada (manual). | L1 | Pass |
| 4.2.9 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (manual) |
L2 | Control equivalente |
| 4.2.10 | Asegúrate de que el argumento --rotate-certificates no esté configurado como falso (automático) |
L1 | Aprobado |
| 4.2.11 | Verifica que el argumento RotateKubeletServerCertificate esté configurado como verdadero (manual) | L1 | Pass |
| 4.2.12 | Asegúrate de que Kubelet solo use algoritmos de cifrado criptográficos sólidos (manual) | L1 | Aprobado |
| 4.2.13 | Asegúrate de que se establezca un límite en los PID de Pods (manual) | L1 | Aprobado |
Descripciones de fallas y controles equivalentes para el clúster de administrador de GKE en VMware
| # | Recomendación | Nivel | Estado | Valor | Justificación |
|---|---|---|---|---|---|
| 1.1.1 | Asegúrate de que los permisos del archivo de especificación del pod del servidor de la API estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del servidor de la API del clúster de usuario se almacena en etcd. |
| 1.1.3 | Asegúrate de que los permisos del archivo de especificación del pod del administrador del controlador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del administrador del controlador del clúster de usuario se almacena en etcd. |
| 1.1.5 | Asegúrate de que los permisos del archivo de especificación del pod del programador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del programador del clúster de usuario se almacena en etcd. |
| 1.1.7 | Asegúrate de que los permisos del archivo de especificación del pod de etcd estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación de etcd del clúster de usuario se almacena en el etcd del clúster de administrador. |
| 1.1.12 | Asegúrate de que la propiedad del directorio de datos de etcd esté configurada en etcd:etcd (automático) |
L1 | Control equivalente | 2001:2001 |
El contenedor etcd se ejecuta como 2001 y el directorio de datos de etcd es propiedad de 2001:2001. |
| 1.1.16 | Asegúrate de que la propiedad del archivo scheduler.conf esté configurada en root:root (automatizado). |
L1 | Control equivalente | 2000:2000 |
El contenedor de kube-scheduler se ejecuta como 2000 y este archivo es propiedad de 2000:2000. |
| 1.1.18 | Asegúrate de que la propiedad del archivo control-manager.conf esté configurada en root:root (automatizada). |
L1 | Control equivalente | 2002:2002 |
El contenedor controlador-administrador se ejecuta como 2002 y este archivo es propiedad de 2002:2002. |
| 1.2.3 | Asegúrate de que --DenyServiceExternalIPs esté configurado (manual) |
L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 1.2.9 | Asegúrate de que el complemento de control de admisión EventRateLimit esté establecido (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 1.2.11 | Asegúrate de que el complemento de control de admisión AlwaysPullImages esté establecido (manual) | L1 | Depende del entorno | Sin establecer | El controlador de admisión AlwaysPullImages proporciona cierta protección para las imágenes de registro privado en clústeres de multiusuarios no cooperativos, a costa de la creación de registros de contenedores en un punto único de fallo para crear pods nuevos en todo el clúster. GKE en VMware no habilita el controlador de admisión AlwaysPullImages, lo que permite que los administradores del clúster implementen una política de admisión para hacer esta compensación por su cuenta. |
| 1.2.12 | Asegúrate de que el complemento de control de admisión SecurityContextDeny esté establecido si no se usa PodSecurityPolicy (manual) | L1 | Control equivalente | no se estableció | PodSecurityPolicy se quitará de Kubernetes en 1.25. Como reemplazo, la admisión de seguridad del Pod está habilitada de forma predeterminada a partir de la versión 1.23. |
| 1.2.19 | Asegúrate de que el argumento --audit-log-maxage esté configurado como 30 o según corresponda (automático) |
L1 | Control equivalente | no se estableció | GKE en VMware captura los registros de auditoría, pero no usa estas marcas para las auditorías. Consulta la Política de auditoría de GKE on VMware para obtener más detalles. |
| 3.1.2 | No se debe usar la autenticación de tokens de la cuenta de servicio para los usuarios (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 3.1.3 | No se debe usar la autenticación con token de arranque para los usuarios (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 3.2.2 | Asegúrate de que la política de auditoría abarque los problemas de seguridad clave (manual) | L2 | Control equivalente | no se estableció | GKE en VMware captura los registros de auditoría, pero no usa estas marcas para las auditorías. Consulta la Política de auditoría de GKE on VMware para obtener más detalles. |
| 4.1.1 | Asegúrate de que los permisos del archivo de servicio de kubelet estén configurados en 600 o más restringidos (automático) |
L1 | Reprobadas | Sin establecer | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 4.1.9 | Si se usa el archivo de configuración .yaml de kubelet, valida los permisos establecidos en 600 o más restringidos (manual). |
L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 4.2.9 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (manual) |
L2 | Control equivalente | no se estableció | GKE en VMware administra la TLS del servidor de kubelet con la marca --rotate-server-certificates. |
Estado del clúster de usuario de GKE en VMware
| # | Recomendación | Nivel | Estado |
|---|---|---|---|
| 1 | Configuración de seguridad del plano de control | ||
| 1.1 | Archivos de configuración del nodo de plano de control | ||
| 1.1.1 | Asegúrate de que los permisos del archivo de especificación del pod del servidor de la API estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.2 | Asegúrate de que la propiedad del archivo de especificación del pod del servidor de la API esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.3 | Asegúrate de que los permisos del archivo de especificación del pod del administrador del controlador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.4 | Asegúrate de que la propiedad del archivo de especificación del pod del administrador del controlador esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.5 | Asegúrate de que los permisos del archivo de especificación del pod del programador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.6 | Asegúrate de que la propiedad del archivo de especificación del pod del programador esté configurada en root:root (automático). |
L1 | Pass |
| 1.1.7 | Asegúrate de que los permisos del archivo de especificación del pod de etcd estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente |
| 1.1.8 | Asegúrate de que la propiedad del archivo de especificación del pod de etcd esté configurada en root:root (automático) |
L1 | Pass |
| 1.1.9 | Asegúrate de que los permisos del archivo de la interfaz de red de los contenedores estén configurados en 600 o más restringidos (manual) |
L1 | Pass |
| 1.1.10 | Asegúrate de que la propiedad del archivo de la interfaz de red del contenedor esté configurada en root:root (manual) |
L1 | Pass |
| 1.1.11 | Asegúrate de que los permisos del directorio de datos de etcd estén configurados en 700 o más restringidos (automático) |
L1 | Pass |
| 1.1.12 | Asegúrate de que la propiedad del directorio de datos de etcd esté configurada en etcd:etcd (automático) |
L1 | Control equivalente |
| 1.1.13 | Asegúrate de que los permisos del archivo admin.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 1.1.14 | Asegúrate de que la propiedad del archivo admin.conf esté configurada en root:root (automatizado). |
L1 | Pass |
| 1.1.15 | Asegúrate de que los permisos del archivo scheduler.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 1.1.16 | Asegúrate de que la propiedad del archivo scheduler.conf esté configurada en root:root (automatizado). |
L1 | Control equivalente |
| 1.1.17 | Asegúrate de que los permisos del archivo control-manager.conf estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobado |
| 1.1.18 | Asegúrate de que la propiedad del archivo control-manager.conf esté configurada en root:root (automatizada). |
L1 | Control equivalente |
| 1.1.19 | Asegúrate de que la propiedad del archivo y del directorio de la PKI de Kubernetes esté configurada como root:root (automático) |
L1 | Pass |
| 1.1.20 | Asegúrate de que los permisos del archivo de certificado de la PKI de Kubernetes estén configurados en 600 o más restringidos (manual) |
L1 | Aprobado |
| 1.1.21 | Asegúrate de que los permisos del archivo de claves de la PKI de Kubernetes estén configurados como 600 (manual) |
L1 | Pass |
| 1.2 | Servidor de la API | ||
| 1.2.1 | Asegúrate de que el argumento --anonymous-auth esté configurado como falso (manual) |
L1 | Pass |
| 1.2.2 | Asegúrate de que el parámetro --token-auth-file no esté configurado (automático) |
L1 | Aprobada |
| 1.2.3 | Asegúrate de que la --DenyServiceExternalIPs esté configurada (manual) |
L1 | Advertencia |
| 1.2.4 | Asegúrate de que los argumentos --kubelet-client-certificate y --kubelet-client-key estén configurados como corresponda (automático) |
L1 | Aprobada |
| 1.2.5 | Asegúrate de que el argumento --kubelet-certificate-authority esté configurado como corresponda (automático) |
L1 | Pass |
| 1.2.6 | Asegúrate de que el argumento --authorization-mode no esté configurado en AlwaysAllow (automático) |
L1 | Aprobado |
| 1.2.7 | Asegúrate de que el argumento --authorization-mode incluya Node (automático) |
L1 | Pass |
| 1.2.8 | Asegúrate de que el argumento --authorization-mode incluya el RBAC (automático) |
L1 | Pass |
| 1.2.9 | Asegúrate de que el complemento de control de admisión EventRateLimit esté establecido (manual) | L1 | Advertencia |
| 1.2.10 | Asegúrate de que el complemento de control de admisión AlwaysAdmit no esté establecido (automático) | L1 | Aprobado |
| 1.2.11 | Asegúrate de que el complemento de control de admisión AlwaysPullImages esté establecido (manual) | L1 | Depende del entorno |
| 1.2.12 | Asegúrate de que el complemento de control de admisión SecurityContextDeny esté establecido si no se usa PodSecurityPolicy (manual) | L1 | Control equivalente |
| 1.2.13 | Asegúrate de que el complemento de control de admisión ServiceAccount esté establecido.(automático) | L1 | Pass |
| 1.2.14 | Asegúrate de que el complemento de control de admisión NamespaceLifecycle esté establecido (automático) | L1 | Pass |
| 1.2.15 | Asegúrate de que el complemento de control de admisión NodeRestriction esté establecido (automático) | L1 | Pass |
| 1.2.16 | Asegúrate de que el argumento --secure-port no esté configurado como 0. Ten en cuenta que esta recomendación está obsoleta y se borrará según el proceso de consenso (manual). |
L1 | Pass |
| 1.2.17 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Aprobada |
| 1.2.18 | Asegúrate de que el argumento --audit-log-path esté configurado (automático) |
L1 | Aprobada |
| 1.2.19 | Asegúrate de que el argumento --audit-log-maxage esté configurado como 30 o según corresponda (automático) |
L1 | Control equivalente |
| 1.2.20 | Asegúrate de que el argumento --audit-log-maxbackup esté configurado como 10 o según corresponda (automático) |
L1 | Pass |
| 1.2.21 | Asegúrate de que el argumento --audit-log-maxsize esté configurado como 100 o según corresponda (automático) |
L1 | Aprobado |
| 1.2.22 | Asegúrate de que el argumento --request-timeout esté configurado como corresponda (manual) |
L1 | Pass |
| 1.2.23 | Asegúrate de que el argumento --service-account-lookup esté configurado como verdadero (automático) |
L1 | Aprobado |
| 1.2.24 | Asegúrate de que el argumento --service-account-key-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.2.25 | Asegúrate de que los argumentos --etcd-certfile y --etcd-keyfile estén configurados como corresponda (automático) |
L1 | Pass |
| 1.2.26 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (automático) |
L1 | Aprobado |
| 1.2.27 | Asegúrate de que el argumento --client-ca-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.2.28 | Asegúrate de que el argumento --etcd-cafile esté configurado como corresponda (automático) |
L1 | Aprobada |
| 1.2.29 | Asegúrate de que el argumento --encryption-provider-config esté configurado como corresponda (manual) |
L1 | Pass |
| 1.2.30 | Asegúrate de que los proveedores de encriptación estén configurados según corresponda (manual) | L1 | Aprobado |
| 1.2.31 | Asegúrate de que el servidor de API solo use algoritmos de cifrado criptográficos sólidos (manual) | L1 | Pass |
| 1.3 | Administrador del controlador | ||
| 1.3.1 | Asegúrate de que el argumento --terminated-pod-gc-threshold esté configurado como corresponda (manual) |
L1 | Aprobada |
| 1.3.2 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Pass |
| 1.3.3 | Asegúrate de que el argumento --use-service-account-credentials esté configurado como verdadero (automático) |
L1 | Aprobado |
| 1.3.4 | Asegúrate de que el argumento --service-account-private-key-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 1.3.5 | Asegúrate de que el argumento --root-ca-file esté configurado como corresponda (automático) |
L1 | Pass |
| 1.3.6 | Asegúrate de que el argumento RotateKubeletServerCertificate esté configurado como verdadero (automático) | L2 | Aprobado |
| 1.3.7 | Asegúrate de que el argumento --bind-address esté configurado como 127.0.0.1 (automático) |
L1 | Aprobada |
| 1.4 | Programador | ||
| 1.4.1 | Asegúrate de que el argumento --profiling esté configurado como falso (automático) |
L1 | Aprobado |
| 1.4.2 | Asegúrate de que el argumento --bind-address esté configurado como 127.0.0.1 (automático) |
L1 | Pass |
| 2 | Configuración del nodo Etcd | ||
| 2 | Configuración del nodo Etcd | ||
| 2.1 | Asegúrate de que los argumentos --cert-file y --key-file estén configurados como corresponda (automático) |
L1 | Pass |
| 2.2 | Asegúrate de que el argumento --client-cert-auth esté configurado como verdadero (automático) |
L1 | Aprobado |
| 2.3 | Asegúrate de que el argumento --auto-tls no esté configurado como verdadero (automático) |
L1 | Pass |
| 2.4 | Asegúrate de que los argumentos --peer-cert-file y --peer-key-file estén configurados como corresponda (automático) |
L1 | Aprobado |
| 2.5 | Asegúrate de que el argumento --peer-client-cert-auth esté configurado como verdadero (automático) |
L1 | Aprobado |
| 2.6 | Asegúrate de que el argumento --peer-auto-tls no esté configurado como verdadero (automático) |
L1 | Pass |
| 2.7 | Asegúrate de usar una autoridad certificada única para etcd (manual) | L2 | Aprobado |
| 3 | Configuración del plano de control | ||
| 3.1 | Autenticación y autorización | ||
| 3.1.1 | La autenticación del certificado de cliente no se debe usar para los usuarios (manual) | L2 | Aprobado |
| 3.1.2 | No se debe usar la autenticación de tokens de la cuenta de servicio para los usuarios (manual) | L1 | Advertencia |
| 3.1.3 | No se debe usar la autenticación con token de arranque para los usuarios (manual) | L1 | Advertencia |
| 3.2 | Logging | ||
| 3.2.1 | Asegúrate de crear una política de auditoría mínima (manual) | L1 | Aprobada |
| 3.2.2 | Asegúrate de que la política de auditoría abarque los problemas de seguridad clave (manual) | L2 | Control equivalente |
| 4 | Configuración de seguridad del nodo trabajador | ||
| 4.1 | Archivos de configuración del nodo trabajador | ||
| 4.1.1 | Asegúrate de que los permisos del archivo de servicio de kubelet estén configurados en 600 o más restringidos (automático) |
L1 | Reprobado |
| 4.1.2 | Asegúrate de que la propiedad del archivo de servicio de kubelet esté configurada en root:root (automático) |
L1 | Pass |
| 4.1.3 | Si existe un archivo kubeconfig de proxy, asegúrate de que los permisos estén configurados como 600 o más restringidos (manual) |
L1 | Aprobada |
| 4.1.4 | Si existe el archivo kubeconfig del proxy, de que los permisos estén establecidos en root:root o más restrictivos (Manual) |
L1 | Pass |
| 4.1.5 | Asegúrate de que los permisos del archivo kubelet.conf de --kubeconfig estén configurados en 600 o más restringidos (automatizado). |
L1 | Aprobada |
| 4.1.6 | Asegúrate de que la propiedad del archivo kubelet.conf --kubeconfig esté configurada en root:root (automatizado). |
L1 | Aprobado |
| 4.1.7 | Asegúrate de que los permisos del archivo de autoridades certificadas estén configurados en 600 o más restringidos (manual) |
L1 | Aprobada |
| 4.1.8 | Asegúrate de que la propiedad del archivo de autoridades certificadas del cliente esté configurada en root:root (manual) |
L1 | Pass |
| 4.1.9 | Si se usa el archivo de configuración .yaml de kubelet, valida los permisos establecidos en 600 o más restringidos (manual). |
L1 | Advertencia |
| 4.1.10 | Si se usa el archivo de configuración .yaml de kubelet, valida que la propiedad del archivo esté configurada en root:root (manual). |
L1 | Aprobada |
| 4.2 | Kubelet | ||
| 4.2.1 | Asegúrate de que el argumento --anonymous-auth esté configurado como falso (automático) |
L1 | Pass |
| 4.2.2 | Asegúrate de que el argumento --authorization-mode no esté configurado en AlwaysAllow (automático) |
L1 | Pass |
| 4.2.3 | Asegúrate de que el argumento --client-ca-file esté configurado como corresponda (automático) |
L1 | Aprobado |
| 4.2.4 | Verifica que el argumento --read-only-port esté configurado en 0 (manual). |
L1 | Pass |
| 4.2.5 | Asegúrate de que el argumento --streaming-connection-idle-timeout no esté establecido en 0 (manual) |
L1 | Aprobada |
| 4.2.6 | Asegúrate de que el argumento --make-iptables-util-chains esté configurado como verdadero (automático) |
L1 | Aprobado |
| 4.2.7 | Asegúrate de que el argumento --hostname-override no esté configurado (manual) |
L1 | Aprobada |
| 4.2.8 | Asegúrate de que el argumento eventRecordQPS esté configurado en un nivel que garantice la captura de eventos adecuada (manual). | L1 | Pass |
| 4.2.9 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (manual) |
L2 | Control equivalente |
| 4.2.10 | Asegúrate de que el argumento --rotate-certificates no esté configurado como falso (automático) |
L1 | Aprobado |
| 4.2.11 | Verifica que el argumento RotateKubeletServerCertificate esté configurado como verdadero (manual) | L1 | Pass |
| 4.2.12 | Asegúrate de que Kubelet solo use algoritmos de cifrado criptográficos sólidos (manual) | L1 | Aprobado |
| 4.2.13 | Asegúrate de que se establezca un límite en los PID de Pods (manual) | L1 | Aprobado |
Descripciones de fallas y controles equivalentes para el clúster de usuario de GKE en VMware
| # | Recomendación | Nivel | Estado | Valor | Justificación |
|---|---|---|---|---|---|
| 1.1.1 | Asegúrate de que los permisos del archivo de especificación del pod del servidor de la API estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del servidor de la API del clúster de usuario se almacena en etcd. |
| 1.1.3 | Asegúrate de que los permisos del archivo de especificación del pod del administrador del controlador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del administrador del controlador del clúster de usuario se almacena en etcd. |
| 1.1.5 | Asegúrate de que los permisos del archivo de especificación del pod del programador estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación del Pod del programador del clúster de usuario se almacena en etcd. |
| 1.1.7 | Asegúrate de que los permisos del archivo de especificación del pod de etcd estén configurados en 600 o más restringidos (automático) |
L1 | Control equivalente | No disponible | En el modo kubeception, la especificación de etcd del clúster de usuario se almacena en el etcd del clúster de administrador. |
| 1.1.12 | Asegúrate de que la propiedad del directorio de datos de etcd esté configurada en etcd:etcd (automático) |
L1 | Control equivalente | 2001:2001 |
El contenedor etcd se ejecuta como 2001 y el directorio de datos de etcd es propiedad de 2001:2001. |
| 1.1.16 | Asegúrate de que la propiedad del archivo scheduler.conf esté configurada en root:root (automatizado). |
L1 | Control equivalente | 2000:2000 |
El contenedor de kube-scheduler se ejecuta como 2000 y este archivo es propiedad de 2000:2000. |
| 1.1.18 | Asegúrate de que la propiedad del archivo control-manager.conf esté configurada en root:root (automatizada). |
L1 | Control equivalente | 2002:2002 |
El contenedor controlador-administrador se ejecuta como 2002 y este archivo es propiedad de 2002:2002. |
| 1.2.3 | Asegúrate de que --DenyServiceExternalIPs esté configurado (manual) |
L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 1.2.9 | Asegúrate de que el complemento de control de admisión EventRateLimit esté establecido (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 1.2.11 | Asegúrate de que el complemento de control de admisión AlwaysPullImages esté establecido (manual) | L1 | Depende del entorno | Sin establecer | El controlador de admisión AlwaysPullImages proporciona cierta protección para las imágenes de registro privado en clústeres de multiusuarios no cooperativos, a costa de la creación de registros de contenedores en un punto único de fallo para crear pods nuevos en todo el clúster. GKE en VMware no habilita el controlador de admisión AlwaysPullImages, lo que permite que los administradores del clúster implementen una política de admisión para hacer esta compensación por su cuenta. |
| 1.2.12 | Asegúrate de que el complemento de control de admisión SecurityContextDeny esté establecido si no se usa PodSecurityPolicy (manual) | L1 | Control equivalente | no se estableció | PodSecurityPolicy se quitará de Kubernetes en 1.25. Como reemplazo, la admisión de seguridad del Pod está habilitada de forma predeterminada a partir de la versión 1.23. |
| 1.2.19 | Asegúrate de que el argumento --audit-log-maxage esté configurado como 30 o según corresponda (automático) |
L1 | Control equivalente | no se estableció | GKE en VMware captura los registros de auditoría, pero no usa estas marcas para las auditorías. Consulta la Política de auditoría de GKE on VMware para obtener más detalles. |
| 3.1.2 | No se debe usar la autenticación de tokens de la cuenta de servicio para los usuarios (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 3.1.3 | No se debe usar la autenticación con token de arranque para los usuarios (manual) | L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 3.2.2 | Asegúrate de que la política de auditoría abarque los problemas de seguridad clave (manual) | L2 | Control equivalente | no se estableció | GKE en VMware captura los registros de auditoría, pero no usa estas marcas para las auditorías. Consulta la Política de auditoría de GKE on VMware para obtener más detalles. |
| 4.1.1 | Asegúrate de que los permisos del archivo de servicio de kubelet estén configurados en 600 o más restringidos (automático) |
L1 | Reprobadas | Sin establecer | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 4.1.9 | Si se usa el archivo de configuración .yaml de kubelet, valida los permisos establecidos en 600 o más restringidos (manual). |
L1 | Advertencia | no se estableció | Clústeres de Anthos alojados en VMware no es compatible con el controlador de admisión de límite de frecuencia de eventos, ya que es una función Alfa de Kubernetes. |
| 4.2.9 | Asegúrate de que los argumentos --tls-cert-file y --tls-private-key-file estén configurados como corresponda (manual) |
L2 | Control equivalente | no se estableció | GKE en VMware administra la TLS del servidor de kubelet con la marca --rotate-server-certificates. |
Comparativas de auditoría
Las instrucciones específicas para auditar cada recomendación están disponibles como parte de la comparativa de CIS relevante. Sin embargo, es posible que desees automatizar algunas de estas verificaciones para simplificar la verificación de estos controles en tu entorno. La siguiente herramienta puede ayudarte.
Auditoría automatizada de la comparativa de CIS en Kubernetes
Puedes usar una herramienta de código abierto kube-bench a fin de probar la configuración de tu clúster con la comparativa de CIS para Kubernetes.
Asegúrate de especificar la versión adecuada. Por ejemplo:
kube-bench node --benchmark cis-1.7