Ce document présente le benchmark CIS de Kubernetes, explique comment auditer votre conformité avec le benchmark et explique ce que GKE sur VMware configure lorsque vous ne pouvez pas appliquer vous-même une recommandation.
À propos des benchmarks CIS
Le Center for Internet Security (CIS) publie des benchmarks sur les bonnes pratiques de sécurité. Le benchmark CIS de Kubernetes fournit un ensemble de recommandations pour configurer Kubernetes afin de garantir une sécurité élevée. Le benchmark est lié à une version spécifique de Kubernetes. Le benchmark CIS de Kubernetes est écrit pour la distribution en Open Source de Kubernetes. Il est destiné à être appliqué de manière aussi universelle que possible entre les différentes distributions.
Versions
Les numéros de version peuvent différer selon les benchmarks. Ce document fait référence aux versions suivantes :
| Version Anthos | Version de Kubernetes | Version du benchmark CIS de Kubernetes |
|---|---|---|
| 1.16.0 | 1.27.1 | 1,7 |
Utiliser le benchmark CIS de Kubernetes
Accéder au benchmark
Le benchmark CIS de Kubernetes est disponible sur le site Web du CIS.
Niveaux de recommandation
Le tableau suivant décrit les niveaux de recommandation dans le benchmark CIS de Kubernetes.
| Level | Description |
|---|---|
| Niveau 1 | Les recommandations visent à: |
| Niveau 2 | Étend le profil de niveau 1. Les recommandations présentent une ou plusieurs des caractéristiques suivantes: |
État d'évaluation
Un état d'évaluation est inclus pour chaque recommandation. L'état d'évaluation indique si la recommandation concernée peut être automatisée ou si elle nécessite une mise en œuvre manuelle. Les deux états sont tout aussi importants l'un que l'autre et sont déterminés et acceptés comme défini dans le tableau suivant.
| Notation | Description |
|---|---|
| Automatiques | Représente les recommandations pour lesquelles l'évaluation d'un contrôle technique peut être entièrement automatisée et validée par un état de réussite/échec. Les recommandations comprennent les informations nécessaires à la mise en œuvre de l'automatisation. |
| Manuelle | Représente les recommandations pour lesquelles l'évaluation d'un contrôle technique ne peut pas être entièrement automatisée et nécessite une exécution manuelle de certaines étapes ou de toutes les étapes permettant de valider que l'état configuré est défini comme attendu. L'état attendu peut varier en fonction de l'environnement. |
Évaluation sur GKE sur VMware
Nous utilisons les valeurs suivantes pour spécifier l'état des recommandations Kubernetes dans GKE sur VMware.
| État | Description |
|---|---|
| Réussite | Respecte une recommandation du benchmark. |
| Échec | Ne respecte pas une recommandation du benchmark. |
| Contrôle équivalent | Ne respecte pas les conditions exactes de la recommandation du benchmark, mais d'autres mécanismes existent dans GKE sur VMware pour fournir des contrôles de sécurité équivalents. |
| Dépend de l'environnement | GKE sur VMware ne configure pas les éléments liés à cette recommandation. La configuration de l'utilisateur détermine si son environnement respecte une recommandation du benchmark. |
Architecture de GKE sur VMware
GKE sur VMware utilise un cluster d'administrateur pour gérer un ou plusieurs clusters d'utilisateur, qui exécutent des charges de travail Kubernetes réelles. Pour en savoir plus sur cette architecture, consultez la présentation de GKE sur VMware. La configuration des clusters d'administrateur et d'utilisateur est évaluée par rapport aux benchmarks suivants.
État sur GKE sur VMware
Voici leurs performances par rapport au benchmark CIS de Kubernetes lorsque vous créez un cluster sur GKE sur VMware avec la version spécifiée. Les rapports de benchmark CIS sont automatiquement générés par des scripts. Les scripts sont exécutés sur de nouveaux clusters qui n'exécutent aucune charge de travail utilisateur. Si vous installez vos propres charges de travail et exécutez les scripts, le rapport peut être différent.
État du cluster d'administrateur GKE sur VMware
| # | Recommandation | Level | État |
|---|---|---|---|
| 1 | Configuration de la sécurité du plan de contrôle | ||
| 1.1 | Fichiers de configuration de nœud du plan de contrôle | ||
| 1.1.1 | Assurez-vous que les autorisations du fichier de spécification du pod du serveur d'API sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.2 | Assurez-vous que la propriété du fichier de spécification du pod du serveur d'API est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.3 | Assurez-vous que les autorisations du fichier de spécification du pod du gestionnaire de contrôleurs sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.4 | Assurez-vous que la propriété du fichier de spécification du pod du gestionnaire de contrôleurs est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.5 | Assurez-vous que les autorisations du fichier de spécification du pod du programmeur sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.6 | Assurez-vous que la propriété du fichier de spécification du pod du programmeur est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.7 | Assurez-vous que les autorisations du fichier de spécification du pod d'etcd sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.8 | Assurez-vous que la propriété du fichier de spécification du pod d'etcd est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.9 | Assurez-vous que les autorisations du fichier de la Container Network Interface sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.10 | Assurez-vous que la propriété du fichier de la Container Network Interface est définie sur root:root (Manuelle). |
L1 | Réussite |
| 1.1.11 | Assurez-vous que les autorisations du répertoire de données d'etcd sont définies sur 700 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.12 | Assurez-vous que la propriété du répertoire de données d'etcd est définie sur etcd:etcd (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.13 | Assurez-vous que les autorisations du fichier admin.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.14 | Assurez-vous que la propriété du fichier admin.conf est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.15 | Assurez-vous que les autorisations du fichier scheduler.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.16 | Assurez-vous que la propriété du fichier scheduler.conf est définie sur root:root (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.17 | Assurez-vous que les autorisations du fichier controller-manager.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.18 | Assurez-vous que la propriété du fichier controller-manager.conf est définie sur root:root (Automatisé). |
L1 | Contrôle équivalent |
| 1.1.19 | Assurez-vous que la propriété du fichier et du répertoire PKI de Kubernetes est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.20 | Assurez-vous que les autorisations du fichier de certificat PKI de Kubernetes sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 1.1.21 | Assurez-vous que les autorisations du fichier de clé PKI de Kubernetes sont définies sur 600 (Manuelle). |
L1 | Réussite |
| 1.2 | Serveur d'API | ||
| 1.2.1 | Assurez-vous que l'argument --anonymous-auth est défini sur "false" (Manuelle). |
L1 | Réussite |
| 1.2.2 | Assurez-vous que le paramètre --token-auth-file n'est pas défini (Automatisée). |
L1 | Réussite |
| 1.2.3 | Assurez-vous que --DenyServiceExternalIPs est défini (manuel) |
L1 | Avertissement |
| 1.2.4 | Assurez-vous que les arguments --kubelet-client-certificate et --kubelet-client-key sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.5 | Assurez-vous que l'argument --kubelet-certificate-authority est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.6 | Assurez-vous que l'argument --authorization-mode n'est pas défini sur "AlwaysAllow" (Automatisée). |
L1 | Réussite |
| 1.2.7 | Assurez-vous que l'argument --authorization-mode inclut "Node" (Automatisée). |
L1 | Réussite |
| 1.2.8 | Assurez-vous que l'argument --authorization-mode inclut "RBAC" (Automatisée). |
L1 | Réussite |
| 1.2.9 | Assurez-vous que le plug-in de contrôle d'admission "EventRateLimit" est défini (Manuelle). | L1 | Avertissement |
| 1.2.10 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysAdmit" n'est pas défini (Automatisée). | L1 | Réussite |
| 1.2.11 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysPullImages" est défini (Manuelle). | L1 | Dépend de l'environnement |
| 1.2.12 | Assurez-vous que le plug-in de contrôle d'admission "SecurityContextDeny" est défini si "PodSecurityPolicy" n'est pas utilisé (Manuelle). | L1 | Contrôle équivalent |
| 1.2.13 | Assurez-vous que le plug-in de contrôle d'admission "ServiceAccount" est défini (Automatisée). | L1 | Réussite |
| 1.2.14 | Assurez-vous que le plug-in de contrôle d'admission "NamespaceLifecycle" est défini (Automatisée). | L1 | Réussite |
| 1.2.15 | Assurez-vous que le plug-in de contrôle d'admission "NodeRestriction" est défini (Automatisée). | L1 | Réussite |
| 1.2.16 | Assurez-vous que l'argument --secure-port n'est pas défini sur 0. Remarque : cette recommandation est obsolète et sera supprimée conformément au processus de consensus (manuel) |
L1 | Réussite |
| 1.2.17 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.2.18 | Assurez-vous que l'argument --audit-log-path est défini (Automatisée). |
L1 | Réussite |
| 1.2.19 | Assurez-vous que l'argument --audit-log-maxage est défini sur 30 ou de la manière appropriée (Automatisée). |
L1 | Contrôle équivalent |
| 1.2.20 | Assurez-vous que l'argument --audit-log-maxbackup est défini sur 10 ou de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.21 | Assurez-vous que l'argument --audit-log-maxsize est défini sur 100 ou de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.22 | Assurez-vous que l'argument --request-timeout est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.2.23 | Assurez-vous que l'argument --service-account-lookup est défini sur "true" (Automatisée). |
L1 | Réussite |
| 1.2.24 | Assurez-vous que l'argument --service-account-key-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.25 | Assurez-vous que les arguments --etcd-certfile et --etcd-keyfile sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.26 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.27 | Assurez-vous que l'argument --client-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.28 | Assurez-vous que l'argument --etcd-cafile est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.29 | Assurez-vous que l'argument --encryption-provider-config est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.2.30 | Assurez-vous que les fournisseurs de services de chiffrement sont configurés de la manière appropriée (Manuelle). | L1 | Réussite |
| 1.2.31 | Assurez-vous que le serveur d'API utilise uniquement des algorithmes de chiffrement sécurisés (Manuelle). | L1 | Réussite |
| 1.3 | Gestionnaire de contrôleurs | ||
| 1.3.1 | Assurez-vous que l'argument --terminated-pod-gc-threshold est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.3.2 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.3.3 | Assurez-vous que l'argument --use-service-account-credentials est défini sur "true" (Automatisée). |
L1 | Réussite |
| 1.3.4 | Assurez-vous que l'argument --service-account-private-key-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.3.5 | Assurez-vous que l'argument --root-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.3.6 | Assurez-vous que l'argument "RotateKubeletServerCertificate" est défini sur "true" (Automatisée). | L2 | Réussite |
| 1.3.7 | Assurez-vous que l'argument --bind-address est défini sur 127.0.0.1 (Automatisée). |
L1 | Réussite |
| 1.4 | Scheduler | ||
| 1.4.1 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.4.2 | Assurez-vous que l'argument --bind-address est défini sur 127.0.0.1 (Automatisée). |
L1 | Réussite |
| 2 | Configuration du nœud etcd | ||
| 2 | Configuration du nœud etcd | ||
| 2.1 | Assurez-vous que les arguments --cert-file et --key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 2.2 | Assurez-vous que l'argument --client-cert-auth est défini sur "true" (Automatisée). |
L1 | Réussite |
| 2,3 | Assurez-vous que l'argument --auto-tls n'est pas défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.4 | Assurez-vous que les arguments --peer-cert-file et --peer-key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 2.5 | Assurez-vous que l'argument --peer-client-cert-auth est défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.6 | Assurez-vous que l'argument --peer-auto-tls n'est pas défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.7 | Assurez-vous qu'une autorité de certification unique est utilisée pour etcd (Manuelle). | L2 | Réussite |
| 3 | Configuration du plan de contrôle | ||
| 3.1 | Authentification et autorisation | ||
| 3.1.1 | L'authentification par certificat client ne doit pas être utilisée pour les utilisateurs (Manuelle). | L2 | Réussite |
| 3.1.2 | L'authentification par jeton de compte de service ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertissement |
| 3.1.3 | L'authentification par jeton d'amorçage ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertissement |
| 3.2 | Logging | ||
| 3.2.1 | Assurez-vous qu'une stratégie d'audit minimale est créée (Manuelle). | L1 | Réussite |
| 3.2.2 | Assurez-vous que la stratégie d'audit couvre les principaux problèmes de sécurité (Manuelle). | L2 | Contrôle équivalent |
| 4 | Configuration de la sécurité des nœuds de calcul | ||
| 4.1 | Fichiers de configuration du nœud de calcul | ||
| 4.1.1 | Assurez-vous que les autorisations du fichier du service kubelet sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Échec |
| 4.1.2 | Assurez-vous que la propriété du fichier du service kubelet est définie sur root:root (Automatisée). |
L1 | Réussite |
| 4.1.3 | Si le fichier kubeconfig du proxy existe, assurez-vous que les autorisations sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 4.1.4 | Si le fichier kubeconfig du proxy existe, assurez-vous que la définition du propriétaire est définie sur root:root (Manuelle). |
L1 | Réussite |
| 4.1.5 | Assurez-vous que les autorisations du fichier kubelet.conf --kubeconfig sont définies sur 600 ou sur une option plus restrictive (Automatisées). |
L1 | Réussite |
| 4.1.6 | Assurez-vous que la propriété du fichier kubelet.conf --kubeconfigest définie sur root:root (Automatisée). |
L1 | Réussite |
| 4.1.7 | Assurez-vous que les autorisations du fichier des autorités de certification sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 4.1.8 | Assurez-vous que la propriété du fichier des autorités de certification du client est définie sur root:root (Manuelle). |
L1 | Réussite |
| 4.1.9 | Si le fichier de configuration kubelet config.yaml est utilisé, validez les autorisations définies sur 600 ou plus restrictives (manuel) |
L1 | Avertissement |
| 4.1.10 | Si le fichier de configuration kubelet config.yaml est utilisé, validez la propriété du fichier est définie sur root:root (manuel) |
L1 | Réussite |
| 4.2 | Kubelet | ||
| 4.2.1 | Assurez-vous que l'argument --anonymous-auth est défini sur "false" (Automatisée). |
L1 | Réussite |
| 4.2.2 | Assurez-vous que l'argument --authorization-mode n'est pas défini sur "AlwaysAllow" (Automatisée). |
L1 | Réussite |
| 4.2.3 | Assurez-vous que l'argument --client-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 4.2.4 | Vérifiez que l'argument --read-only-port est défini sur 0 (manuel) |
L1 | Réussite |
| 4.2.5 | Assurez-vous que l'argument --streaming-connection-idle-timeout n'est pas défini sur 0 (Manuelle). |
L1 | Réussite |
| 4.2.6 | Assurez-vous que l'argument --make-iptables-util-chains est défini sur "true" (Automatisée). |
L1 | Réussite |
| 4.2.7 | Assurez-vous que l'argument --hostname-override n'est pas défini (Manuelle). |
L1 | Réussite |
| 4.2.8 | Assurez-vous que l'argument eventRecordRPS est défini sur un niveau permettant une capture d'événement appropriée (manuel) | L1 | Réussite |
| 4.2.9 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Manuelle). |
L2 | Contrôle équivalent |
| 4.2.10 | Assurez-vous que l'argument --rotate-certificates n'est pas défini sur "false" (Manuelle). |
L1 | Réussite |
| 4.2.11 | Vérifiez que l'argument "RotateKubeletServerCertificate" est défini sur "true" (Manuelle). | L1 | Réussite |
| 4.2.12 | Assurez-vous que le kubelet n'utilise que des algorithmes de chiffrement sécurisés (Manuelle). | L1 | Réussite |
| 4.2.13 | Assurez-vous qu'une limite est définie pour les PID des pods (manuel) | L1 | Réussite |
Descriptions des défaillances et des contrôles équivalents pour le cluster d'administrateur GKE sur VMware
| # | Recommandation | Level | État | Value (Valeur) | Justification |
|---|---|---|---|---|---|
| 1.1.1 | Assurez-vous que les autorisations du fichier de spécification du pod du serveur d'API sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du serveur d'API du cluster d'utilisateur est stockée dans etcd. |
| 1.1.3 | Assurez-vous que les autorisations du fichier de spécification du pod du gestionnaire de contrôleurs sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du gestionnaire de contrôleurs du cluster d'utilisateur est stockée dans etcd. |
| 1.1.5 | Assurez-vous que les autorisations du fichier de spécification du pod du programmeur sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du programmeur du cluster d'utilisateur est stockée dans etcd. |
| 1.1.7 | Assurez-vous que les autorisations du fichier de spécification du pod d'etcd sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification etcd du cluster d'utilisateur est stockée dans le magasin etcd du cluster d'administrateur. |
| 1.1.12 | Assurez-vous que la propriété du répertoire de données d'etcd est définie sur etcd:etcd (Automatisée). |
L1 | Contrôle équivalent | 2001:2001 |
Le conteneur etcd s'exécute en tant que 2001, et le répertoire de données etcd appartient à 2001:2001. |
| 1.1.16 | Assurez-vous que la propriété du fichier scheduler.conf est définie sur root:root (Automatisée). |
L1 | Contrôle équivalent | 2000:2000 |
Le conteneur kube-scheduler s'exécute en tant que 2000 et ce fichier appartient à 2000:2000. |
| 1.1.18 | Assurez-vous que la propriété du fichier controller-manager.conf est définie sur root:root (Automatisé). |
L1 | Contrôle équivalent | 2002:2002 |
Le conteneur controller-manager s'exécute en tant que 2002, et ce fichier appartient à 2002:2002. |
| 1.2.3 | Assurez-vous que --DenyServiceExternalIPs est défini (manuel) |
L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 1.2.9 | Assurez-vous que le plug-in de contrôle d'admission "EventRateLimit" est défini (Manuelle). | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 1.2.11 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysPullImages" est défini (Manuelle). | L1 | Dépend de l'environnement | Non défini | Le contrôleur d'admission AlwaysPullImages fournit une protection pour les images de registre privé dans des clusters mutualisés non coopératifs, et pour ce faire, il fait en sorte que les registres de conteneurs soient un point de défaillance unique pour la création des pods sur l'ensemble du cluster. GKE sur VMware n'active pas le contrôleur d'admission AlwaysPullImages, ce qui revient aux administrateurs de cluster d'implémenter la règle d'admission afin de faire ce compromis. |
| 1.2.12 | Assurez-vous que le plug-in de contrôle d'admission "SecurityContextDeny" est défini si "PodSecurityPolicy" n'est pas utilisé (Manuelle). | L1 | Contrôle équivalent | non défini | PodSecurityPolicy sera supprimé de Kubernetes dans la version 1.25. À la place, Pod Security Admission est activé par défaut à partir de la version 1.23. |
| 1.2.19 | Assurez-vous que l'argument --audit-log-maxage est défini sur 30 ou de la manière appropriée (Automatisée). |
L1 | Contrôle équivalent | non défini | GKE sur VMware enregistre des journaux d'audit, mais n'utilise pas ces options pour l'audit. Pour en savoir plus, consultez la section Règle d'audit de GKE sur VMware. |
| 3.1.2 | L'authentification par jeton de compte de service ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 3.1.3 | L'authentification par jeton d'amorçage ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 3.2.2 | Assurez-vous que la stratégie d'audit couvre les principaux problèmes de sécurité (Manuelle). | L2 | Contrôle équivalent | non défini | GKE sur VMware enregistre des journaux d'audit, mais n'utilise pas ces options pour l'audit. Pour en savoir plus, consultez la section Règle d'audit de GKE sur VMware. |
| 4.1.1 | Assurez-vous que les autorisations du fichier du service kubelet sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Échec | Non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 4.1.9 | Si le fichier de configuration kubelet config.yaml est utilisé, validez les autorisations définies sur 600 ou plus restrictives (manuel) |
L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 4.2.9 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Manuelle). |
L2 | Contrôle équivalent | non défini | GKE sur VMware gère le protocole TLS du serveur kubelet à l'aide de l'indicateur --rotate-server-certificates. |
État du cluster d'utilisateur GKE sur VMware
| # | Recommandation | Level | État |
|---|---|---|---|
| 1 | Configuration de la sécurité du plan de contrôle | ||
| 1.1 | Fichiers de configuration de nœud du plan de contrôle | ||
| 1.1.1 | Assurez-vous que les autorisations du fichier de spécification du pod du serveur d'API sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.2 | Assurez-vous que la propriété du fichier de spécification du pod du serveur d'API est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.3 | Assurez-vous que les autorisations du fichier de spécification du pod du gestionnaire de contrôleurs sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.4 | Assurez-vous que la propriété du fichier de spécification du pod du gestionnaire de contrôleurs est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.5 | Assurez-vous que les autorisations du fichier de spécification du pod du programmeur sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.6 | Assurez-vous que la propriété du fichier de spécification du pod du programmeur est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.7 | Assurez-vous que les autorisations du fichier de spécification du pod d'etcd sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.8 | Assurez-vous que la propriété du fichier de spécification du pod d'etcd est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.9 | Assurez-vous que les autorisations du fichier de la Container Network Interface sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.10 | Assurez-vous que la propriété du fichier de la Container Network Interface est définie sur root:root (Manuelle). |
L1 | Réussite |
| 1.1.11 | Assurez-vous que les autorisations du répertoire de données d'etcd sont définies sur 700 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.12 | Assurez-vous que la propriété du répertoire de données d'etcd est définie sur etcd:etcd (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.13 | Assurez-vous que les autorisations du fichier admin.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.14 | Assurez-vous que la propriété du fichier admin.conf est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.15 | Assurez-vous que les autorisations du fichier scheduler.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.16 | Assurez-vous que la propriété du fichier scheduler.conf est définie sur root:root (Automatisée). |
L1 | Contrôle équivalent |
| 1.1.17 | Assurez-vous que les autorisations du fichier controller-manager.conf sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Réussite |
| 1.1.18 | Assurez-vous que la propriété du fichier controller-manager.conf est définie sur root:root (Automatisé). |
L1 | Contrôle équivalent |
| 1.1.19 | Assurez-vous que la propriété du fichier et du répertoire PKI de Kubernetes est définie sur root:root (Automatisée). |
L1 | Réussite |
| 1.1.20 | Assurez-vous que les autorisations du fichier de certificat PKI de Kubernetes sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 1.1.21 | Assurez-vous que les autorisations du fichier de clé PKI de Kubernetes sont définies sur 600 (Manuelle). |
L1 | Réussite |
| 1.2 | Serveur d'API | ||
| 1.2.1 | Assurez-vous que l'argument --anonymous-auth est défini sur "false" (Manuelle). |
L1 | Réussite |
| 1.2.2 | Assurez-vous que le paramètre --token-auth-file n'est pas défini (Automatisée). |
L1 | Réussite |
| 1.2.3 | Assurez-vous que --DenyServiceExternalIPs est défini (manuel) |
L1 | Avertissement |
| 1.2.4 | Assurez-vous que les arguments --kubelet-client-certificate et --kubelet-client-key sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.5 | Assurez-vous que l'argument --kubelet-certificate-authority est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.6 | Assurez-vous que l'argument --authorization-mode n'est pas défini sur "AlwaysAllow" (Automatisée). |
L1 | Réussite |
| 1.2.7 | Assurez-vous que l'argument --authorization-mode inclut "Node" (Automatisée). |
L1 | Réussite |
| 1.2.8 | Assurez-vous que l'argument --authorization-mode inclut "RBAC" (Automatisée). |
L1 | Réussite |
| 1.2.9 | Assurez-vous que le plug-in de contrôle d'admission "EventRateLimit" est défini (Manuelle). | L1 | Avertissement |
| 1.2.10 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysAdmit" n'est pas défini (Automatisée). | L1 | Réussite |
| 1.2.11 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysPullImages" est défini (Manuelle). | L1 | Dépend de l'environnement |
| 1.2.12 | Assurez-vous que le plug-in de contrôle d'admission "SecurityContextDeny" est défini si "PodSecurityPolicy" n'est pas utilisé (Manuelle). | L1 | Contrôle équivalent |
| 1.2.13 | Assurez-vous que le plug-in de contrôle d'admission "ServiceAccount" est défini (Automatisée). | L1 | Réussite |
| 1.2.14 | Assurez-vous que le plug-in de contrôle d'admission "NamespaceLifecycle" est défini (Automatisée). | L1 | Réussite |
| 1.2.15 | Assurez-vous que le plug-in de contrôle d'admission "NodeRestriction" est défini (Automatisée). | L1 | Réussite |
| 1.2.16 | Assurez-vous que l'argument --secure-port n'est pas défini sur 0. Remarque : cette recommandation est obsolète et sera supprimée conformément au processus de consensus (manuel) |
L1 | Réussite |
| 1.2.17 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.2.18 | Assurez-vous que l'argument --audit-log-path est défini (Automatisée). |
L1 | Réussite |
| 1.2.19 | Assurez-vous que l'argument --audit-log-maxage est défini sur 30 ou de la manière appropriée (Automatisée). |
L1 | Contrôle équivalent |
| 1.2.20 | Assurez-vous que l'argument --audit-log-maxbackup est défini sur 10 ou de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.21 | Assurez-vous que l'argument --audit-log-maxsize est défini sur 100 ou de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.22 | Assurez-vous que l'argument --request-timeout est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.2.23 | Assurez-vous que l'argument --service-account-lookup est défini sur "true" (Automatisée). |
L1 | Réussite |
| 1.2.24 | Assurez-vous que l'argument --service-account-key-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.25 | Assurez-vous que les arguments --etcd-certfile et --etcd-keyfile sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.26 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.27 | Assurez-vous que l'argument --client-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.28 | Assurez-vous que l'argument --etcd-cafile est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.2.29 | Assurez-vous que l'argument --encryption-provider-config est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.2.30 | Assurez-vous que les fournisseurs de services de chiffrement sont configurés de la manière appropriée (Manuelle). | L1 | Réussite |
| 1.2.31 | Assurez-vous que le serveur d'API utilise uniquement des algorithmes de chiffrement sécurisés (Manuelle). | L1 | Réussite |
| 1.3 | Gestionnaire de contrôleurs | ||
| 1.3.1 | Assurez-vous que l'argument --terminated-pod-gc-threshold est défini de la manière appropriée (Manuelle). |
L1 | Réussite |
| 1.3.2 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.3.3 | Assurez-vous que l'argument --use-service-account-credentials est défini sur "true" (Automatisée). |
L1 | Réussite |
| 1.3.4 | Assurez-vous que l'argument --service-account-private-key-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.3.5 | Assurez-vous que l'argument --root-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 1.3.6 | Assurez-vous que l'argument "RotateKubeletServerCertificate" est défini sur "true" (Automatisée). | L2 | Réussite |
| 1.3.7 | Assurez-vous que l'argument --bind-address est défini sur 127.0.0.1 (Automatisée). |
L1 | Réussite |
| 1.4 | Scheduler | ||
| 1.4.1 | Assurez-vous que l'argument --profiling est défini sur "false" (Automatisée). |
L1 | Réussite |
| 1.4.2 | Assurez-vous que l'argument --bind-address est défini sur 127.0.0.1 (Automatisée). |
L1 | Réussite |
| 2 | Configuration du nœud etcd | ||
| 2 | Configuration du nœud etcd | ||
| 2.1 | Assurez-vous que les arguments --cert-file et --key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 2.2 | Assurez-vous que l'argument --client-cert-auth est défini sur "true" (Automatisée). |
L1 | Réussite |
| 2,3 | Assurez-vous que l'argument --auto-tls n'est pas défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.4 | Assurez-vous que les arguments --peer-cert-file et --peer-key-file sont définis de la manière appropriée (Automatisée). |
L1 | Réussite |
| 2.5 | Assurez-vous que l'argument --peer-client-cert-auth est défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.6 | Assurez-vous que l'argument --peer-auto-tls n'est pas défini sur "true" (Automatisée). |
L1 | Réussite |
| 2.7 | Assurez-vous qu'une autorité de certification unique est utilisée pour etcd (Manuelle). | L2 | Réussite |
| 3 | Configuration du plan de contrôle | ||
| 3.1 | Authentification et autorisation | ||
| 3.1.1 | L'authentification par certificat client ne doit pas être utilisée pour les utilisateurs (Manuelle). | L2 | Réussite |
| 3.1.2 | L'authentification par jeton de compte de service ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertissement |
| 3.1.3 | L'authentification par jeton d'amorçage ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertissement |
| 3.2 | Logging | ||
| 3.2.1 | Assurez-vous qu'une stratégie d'audit minimale est créée (Manuelle). | L1 | Réussite |
| 3.2.2 | Assurez-vous que la stratégie d'audit couvre les principaux problèmes de sécurité (Manuelle). | L2 | Contrôle équivalent |
| 4 | Configuration de la sécurité des nœuds de calcul | ||
| 4.1 | Fichiers de configuration du nœud de calcul | ||
| 4.1.1 | Assurez-vous que les autorisations du fichier du service kubelet sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Échec |
| 4.1.2 | Assurez-vous que la propriété du fichier du service kubelet est définie sur root:root (Automatisée). |
L1 | Réussite |
| 4.1.3 | Si le fichier kubeconfig du proxy existe, assurez-vous que les autorisations sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 4.1.4 | Si le fichier kubeconfig du proxy existe, assurez-vous que la définition du propriétaire est définie sur root:root (Manuelle). |
L1 | Réussite |
| 4.1.5 | Assurez-vous que les autorisations du fichier kubelet.conf --kubeconfig sont définies sur 600 ou sur une option plus restrictive (Automatisées). |
L1 | Réussite |
| 4.1.6 | Assurez-vous que la propriété du fichier kubelet.conf --kubeconfigest définie sur root:root (Automatisée). |
L1 | Réussite |
| 4.1.7 | Assurez-vous que les autorisations du fichier des autorités de certification sont définies sur 600 ou sur une option plus restrictive (Manuelle). |
L1 | Réussite |
| 4.1.8 | Assurez-vous que la propriété du fichier des autorités de certification du client est définie sur root:root (Manuelle). |
L1 | Réussite |
| 4.1.9 | Si le fichier de configuration kubelet config.yaml est utilisé, validez les autorisations définies sur 600 ou plus restrictives (manuel) |
L1 | Avertissement |
| 4.1.10 | Si le fichier de configuration kubelet config.yaml est utilisé, validez la propriété du fichier est définie sur root:root (manuel) |
L1 | Réussite |
| 4.2 | Kubelet | ||
| 4.2.1 | Assurez-vous que l'argument --anonymous-auth est défini sur "false" (Automatisée). |
L1 | Réussite |
| 4.2.2 | Assurez-vous que l'argument --authorization-mode n'est pas défini sur "AlwaysAllow" (Automatisée). |
L1 | Réussite |
| 4.2.3 | Assurez-vous que l'argument --client-ca-file est défini de la manière appropriée (Automatisée). |
L1 | Réussite |
| 4.2.4 | Vérifiez que l'argument --read-only-port est défini sur 0 (manuel) |
L1 | Réussite |
| 4.2.5 | Assurez-vous que l'argument --streaming-connection-idle-timeout n'est pas défini sur 0 (Manuelle). |
L1 | Réussite |
| 4.2.6 | Assurez-vous que l'argument --make-iptables-util-chains est défini sur "true" (Automatisée). |
L1 | Réussite |
| 4.2.7 | Assurez-vous que l'argument --hostname-override n'est pas défini (Manuelle). |
L1 | Réussite |
| 4.2.8 | Assurez-vous que l'argument eventRecordRPS est défini sur un niveau permettant une capture d'événement appropriée (manuel) | L1 | Réussite |
| 4.2.9 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Manuelle). |
L2 | Contrôle équivalent |
| 4.2.10 | Assurez-vous que l'argument --rotate-certificates n'est pas défini sur "false" (Manuelle). |
L1 | Réussite |
| 4.2.11 | Vérifiez que l'argument "RotateKubeletServerCertificate" est défini sur "true" (Manuelle). | L1 | Réussite |
| 4.2.12 | Assurez-vous que le kubelet n'utilise que des algorithmes de chiffrement sécurisés (Manuelle). | L1 | Réussite |
| 4.2.13 | Assurez-vous qu'une limite est définie pour les PID des pods (manuel) | L1 | Réussite |
Descriptions des défaillances et contrôles équivalents pour le cluster d'utilisateur GKE sur VMware
| # | Recommandation | Level | État | Value (Valeur) | Justification |
|---|---|---|---|---|---|
| 1.1.1 | Assurez-vous que les autorisations du fichier de spécification du pod du serveur d'API sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du serveur d'API du cluster d'utilisateur est stockée dans etcd. |
| 1.1.3 | Assurez-vous que les autorisations du fichier de spécification du pod du gestionnaire de contrôleurs sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du gestionnaire de contrôleurs du cluster d'utilisateur est stockée dans etcd. |
| 1.1.5 | Assurez-vous que les autorisations du fichier de spécification du pod du programmeur sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification du pod du programmeur du cluster d'utilisateur est stockée dans etcd. |
| 1.1.7 | Assurez-vous que les autorisations du fichier de spécification du pod d'etcd sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Contrôle équivalent | Non disponible | En mode kubeception, la spécification etcd du cluster d'utilisateur est stockée dans le magasin etcd du cluster d'administrateur. |
| 1.1.12 | Assurez-vous que la propriété du répertoire de données d'etcd est définie sur etcd:etcd (Automatisée). |
L1 | Contrôle équivalent | 2001:2001 |
Le conteneur etcd s'exécute en tant que 2001, et le répertoire de données etcd appartient à 2001:2001. |
| 1.1.16 | Assurez-vous que la propriété du fichier scheduler.conf est définie sur root:root (Automatisée). |
L1 | Contrôle équivalent | 2000:2000 |
Le conteneur kube-scheduler s'exécute en tant que 2000 et ce fichier appartient à 2000:2000. |
| 1.1.18 | Assurez-vous que la propriété du fichier controller-manager.conf est définie sur root:root (Automatisé). |
L1 | Contrôle équivalent | 2002:2002 |
Le conteneur controller-manager s'exécute en tant que 2002, et ce fichier appartient à 2002:2002. |
| 1.2.3 | Assurez-vous que --DenyServiceExternalIPs est défini (manuel) |
L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 1.2.9 | Assurez-vous que le plug-in de contrôle d'admission "EventRateLimit" est défini (Manuelle). | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 1.2.11 | Assurez-vous que le plug-in de contrôle d'admission "AlwaysPullImages" est défini (Manuelle). | L1 | Dépend de l'environnement | Non défini | Le contrôleur d'admission AlwaysPullImages fournit une protection pour les images de registre privé dans des clusters mutualisés non coopératifs, et pour ce faire, il fait en sorte que les registres de conteneurs soient un point de défaillance unique pour la création des pods sur l'ensemble du cluster. GKE sur VMware n'active pas le contrôleur d'admission AlwaysPullImages, ce qui revient aux administrateurs de cluster d'implémenter la règle d'admission afin de faire ce compromis. |
| 1.2.12 | Assurez-vous que le plug-in de contrôle d'admission "SecurityContextDeny" est défini si "PodSecurityPolicy" n'est pas utilisé (Manuelle). | L1 | Contrôle équivalent | non défini | PodSecurityPolicy sera supprimé de Kubernetes dans la version 1.25. À la place, Pod Security Admission est activé par défaut à partir de la version 1.23. |
| 1.2.19 | Assurez-vous que l'argument --audit-log-maxage est défini sur 30 ou de la manière appropriée (Automatisée). |
L1 | Contrôle équivalent | non défini | GKE sur VMware enregistre des journaux d'audit, mais n'utilise pas ces options pour l'audit. Pour en savoir plus, consultez la section Règle d'audit de GKE sur VMware. |
| 3.1.2 | L'authentification par jeton de compte de service ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 3.1.3 | L'authentification par jeton d'amorçage ne doit pas être utilisée pour les utilisateurs (manuel) | L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 3.2.2 | Assurez-vous que la stratégie d'audit couvre les principaux problèmes de sécurité (Manuelle). | L2 | Contrôle équivalent | non défini | GKE sur VMware enregistre des journaux d'audit, mais n'utilise pas ces options pour l'audit. Pour en savoir plus, consultez la section Règle d'audit de GKE sur VMware. |
| 4.1.1 | Assurez-vous que les autorisations du fichier du service kubelet sont définies sur 600 ou sur une option plus restrictive (Automatisée). |
L1 | Échec | Non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 4.1.9 | Si le fichier de configuration kubelet config.yaml est utilisé, validez les autorisations définies sur 600 ou plus restrictives (manuel) |
L1 | Avertir | non défini | Anthos clusters on VMware n'est pas compatible avec le contrôleur d'admission Event Rate Limit, car il s'agit d'une fonctionnalité alpha de Kubernetes. |
| 4.2.9 | Assurez-vous que les arguments --tls-cert-file et --tls-private-key-file sont définis de la manière appropriée (Manuelle). |
L2 | Contrôle équivalent | non défini | GKE sur VMware gère le protocole TLS du serveur kubelet à l'aide de l'indicateur --rotate-server-certificates. |
Benchmarks d'audit
Des instructions spécifiques pour l'audit de chaque recommandation sont disponibles dans le benchmark CIS approprié. Toutefois, vous souhaiterez peut-être automatiser certaines de ces vérifications afin de simplifier le contrôle de ces commandes dans votre environnement. L'outil suivant peut vous y aider.
Audit automatisé du benchmark CIS de Kubernetes
Vous pouvez utiliser un outil Open Source kube-bench pour tester la configuration de votre cluster vis-à-vis du benchmark CIS de Kubernetes.
Veillez à spécifier la version appropriée. Exemple :
kube-bench node --benchmark cis-1.7