Questo documento introduce il benchmark Kubernetes CIS, spiega come controllare la tua conformità al benchmark e spiega cosa GKE on-prem configura dove non puoi implementare un suggerimento autonomamente.
Utilizzo dei benchmark CIS
Il Center for Internet Security (CIS) rilascia benchmark per consigli sulla best practice per la sicurezza. Il Benchmark di Kubernetes CIS fornisce una serie di suggerimenti per la configurazione di Kubernetes e supportare una solida strategia di sicurezza. Il benchmark è legato a una specifica versione di Kubernetes. Il benchmark Kubernetes CIS è stato scritto per la distribuzione Kubernetes open source ed è pensato per essere il più universale possibile nelle distribuzioni.
Versioni
Tieni presente che i numeri di versione per i diversi benchmark potrebbero non essere uguali.
Il presente documento fa riferimento alle seguenti versioni:
| Versione Anthos | Versione di Kubernetes | Versione benchmark CIS Kubernetes |
|---|---|---|
| 1,5 | 1,17,9 | 1.6 |
Benchmark CIS Kubernetes
Accedere al benchmark
Il benchmark CIS Kubernetes è disponibile sul sito web di CIS.
Livelli di consiglio
Nel benchmark Kubernetes CIS,
| Livello | Descrizione |
|---|---|
| Livello 1 | I consigli hanno lo scopo di: |
| Livello 2 | Estende il profilo di livello 1. I consigli presentano una o più delle seguenti caratteristiche: |
Stato del test
Per ogni consiglio è incluso uno stato della valutazione. Lo stato della valutazione indica se il determinato consiglio può essere automatizzato o se richiede passaggi manuali per l'implementazione. Entrambi gli stati sono ugualmente importanti e vengono determinati e supportati come definito di seguito:
| Punteggio | Descrizione |
|---|---|
| Automatico | Rappresenta i consigli per cui la valutazione di un controllo tecnico può essere completamente automatizzata e convalidata in stato di superamento/errore. I consigli includeranno le informazioni necessarie per implementare l'automazione. |
| Manuale | Rappresenta i consigli per i quali la valutazione di un controllo tecnico non può essere completamente automatizzata e richiede alcuni o alcuni passaggi manuali per verificare che lo stato configurato sia impostato come previsto. Lo stato previsto può variare a seconda dell'ambiente. |
Valutazione su GKE On-Prem
Utilizziamo i seguenti valori per specificare lo stato dei suggerimenti Kubernetes in GKE On-Prem:
| Stato | Descrizione |
|---|---|
| Superate | Conforme a un consiglio relativo ai benchmark. |
| Non superate | Non è conforme a un consiglio basato su benchmark. |
| Controllo equivalente | Non rispetta i termini esatti del consiglio di benchmark, ma esistono altri meccanismi in GKE On-Prem in grado di fornire controlli di sicurezza equivalenti. |
| Dipende dall'ambiente | GKE On-Prem non configura elementi relativi a questo suggerimento. La configurazione dell'utente determina se il suo ambiente è conforme a un consiglio di benchmark. |
Architettura di GKE On-Prem
GKE On-Prem utilizza un "cluster" di amministrazione per gestire uno o più "cluster" di utenti, che eseguono carichi di lavoro Kubernetes effettivi. Ulteriori informazioni su questa architettura sono disponibili nella panoramica di GKE On-Prem. La configurazione dei cluster di amministrazione e di utente viene valutata rispetto al benchmark riportato di seguito.
Stato su GKE On-Prem
Durante la creazione di un nuovo cluster GKE On-Prem con la versione specificata, ecco le prestazioni del benchmark Kubernetes CIS.
Stato del cluster di amministrazione GKE On-Prem:
| # | Suggerimento | Livello | Stato |
|---|---|---|---|
| 1 | Configurazione della sicurezza dei nodi master | ||
| 1,1 | File di configurazione dei nodi master | ||
| 1,1,1 | Assicurati che le autorizzazioni dei file della specifica dei pod del server API siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del server API sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,3 | Assicurati che le autorizzazioni dei file della specifica dei pod del gestore controller siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del gestore controller sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,5 | Assicurati che le autorizzazioni del file della specifica dei pod dello scheduler siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod dello scheduler sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,7 | Assicurati che le autorizzazioni del file della specifica del pod etcd siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente |
| 1,1,8 | Assicurati che la proprietà del file della specifica del pod etcd sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che le autorizzazioni del file Container Network Interface siano impostate su 644 o più restrittive (Manuale) |
L1 | Superate |
| 1,1 | Assicurati che la proprietà del file di Container Network Interface sia impostata su root:root (Manuale) |
L1 | Superate |
| 1,1 | Assicurati che le autorizzazioni per la directory dei dati etcd siano impostate su un valore pari o superiore a 700 (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà della directory dei dati etcd sia impostata su etcd:etcd (automatica) |
L1 | Controllo equivalente |
| 1,1,13 | Assicurati che le autorizzazioni dell'amministratore.conf. file siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente |
| 1,1,14 | Assicurati che l'amministratore.proprietà del file conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che le autorizzazioni del file .conf scheduler siano impostate su 644 o più restrittive (Automatico) |
L1 | Controllo equivalente |
| 1,1,16 | Assicurati che la proprietà del file dello scheduler.conf sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,17 | Assicurati che le autorizzazioni del file controller-manager.conf siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file controller-manager.conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la directory PKI di Kubernetes e la proprietà del file siano impostate su root:root (Automatico) |
L1 | Superate |
| 1,1,20 | Assicurati che le autorizzazioni del file del certificato PKI di Kubernetes siano impostate su 644 o un livello più restrittivo (manuale) |
L1 | Superate |
| 1,1,21 | Assicurati che le autorizzazioni del file della chiave PKI di Kubernetes siano impostate su 600 (Manuale) |
L1 | Superate |
| 1,2 | Server API | ||
| 1,2 | Assicurati che l'argomento --anonymous-auth sia impostato su false (Manuale) |
L1 | Non superate |
| 1,2 | Assicurati che l'argomento --basic-auth-file non sia impostato (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che il parametro --token-auth-file non sia impostato (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --kubelet-https sia impostato su true (automatico) |
L1 | Superate |
| 1,2 | Assicurati che gli argomenti --kubelet-client-certificate e --kubelet-client-key siano impostati correttamente (automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --kubelet-certificate-authority sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,7 | Assicurati che l'argomento --authorization-mode non sia impostato su AlwaysAllow (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --authorization-mode includa Node (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --authorization-mode includa RBAC (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che il plug-in Controllo dell'ammissione EventRateLimit sia impostato (Manuale) | L1 | Non superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysAdmit non sia impostato (automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysPullImages sia impostato (manuale) | L1 | Dipende dall'ambiente |
| 1,2 | Assicurati che il plug-in di controllo di ammissione SecurityContextNega sia impostato se PodSecurityPolicy non viene utilizzato (manuale) | L1 | Controllo equivalente |
| 1,2 | Assicurati che il plugin di controllo del controllo di ammissione sia impostato su (Automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in del controllo di ammissione NamespaceLifecycle sia impostato (Automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione del pod PodPolicyPolicy sia impostato (automatico) | L1 | Controllo equivalente |
| 1,2 | Assicurati che il plug-in di controllo del controllo di ammissione NodeRestriction sia impostato (Automatico) | L1 | Superate |
| 1,2 | Assicurati che l'argomento --insecure-bind-address non sia impostato (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --insecure-port sia impostato su 0 (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --secure-port non sia impostato su 0 (Automatico) |
L1 | Superate |
| 1,2,21 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,2,22 | Assicurati che l'argomento --audit-log-path sia impostato (Automatico) |
L1 | Controllo equivalente |
| 1,2,23 | Assicurati che l'argomento --audit-log-maxage sia impostato su 30 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,24 | Assicurati che l'argomento --audit-log-maxbackup sia impostato su 10 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,25 | Assicurati che l'argomento --audit-log-maxsize sia impostato su 100 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,26 | Assicurati che l'argomento --request-timeout sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,27 | Assicurati che l'argomento --service-account-lookup sia impostato su true (automatico) |
L1 | Superate |
| 1,2,28 | Assicurati che l'argomento --service-account-key-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,29 | Assicurati che gli argomenti --etcd-certfile e --etcd-keyfile siano impostati correttamente (automatico) |
L1 | Superate |
| 1,2,30 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (automatico) |
L1 | Controllo equivalente |
| 1,2,31 | Assicurati che l'argomento --client-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,32 | Assicurati che l'argomento --etcd-cafile sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2 | Assicurati di impostare l'argomento --encryption-provider-config come appropriato (Manuale) |
L1 | Non superate |
| 1,2 | Assicurati che i provider di crittografia siano configurati correttamente (manuale) | L1 | Non superate |
| 1,2,35 | Assicurati che il server API utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Superate |
| 1,3 | Gestore del controller | ||
| 1,3 | Assicurati di impostare l'argomento --terminated-pod-gc-threshold come appropriato (Manuale) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --use-service-account-credentials sia impostato su true (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --service-account-private-key-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --root-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento RuotaKubeletServerCertificate sia impostato su true (Automatico) | L3 | Controllo equivalente |
| 1,3 | Assicurati che l'argomento --bind-address sia impostato su 127.0.0.1 (Automatico) |
L1 | Superate |
| 1,4 | Pianificazione | ||
| 1,4 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,4 | Assicurati che l'argomento --bind-address sia impostato su 127.0.0.1 (Automatico) |
L1 | Superate |
| 2 | Configurazione dei nodi Etcd | ||
| 2 | File di configurazione dei nodi Etcd | ||
| 2.1 | Assicurati che gli argomenti --cert-file e --key-file siano impostati correttamente (automatico) |
L1 | Superate |
| 2.2 | Assicurati che l'argomento --client-cert-auth sia impostato su true (automatico) |
L1 | Superate |
| 2,3 | Assicurati che l'argomento --auto-tls non sia impostato su true (automatico) |
L1 | Superate |
| 2,4 | Assicurati che gli argomenti --peer-cert-file e --peer-key-file siano impostati correttamente (automatico) |
L1 | Superate |
| 2,5 | Assicurati che l'argomento --peer-client-cert-auth sia impostato su true (automatico) |
L1 | Superate |
| 2,6 | Assicurati che l'argomento --peer-auto-tls non sia impostato su true (automatico) |
L1 | Superate |
| 2.7 | Assicurati che venga utilizzata un'autorità di certificazione univoca per etcd (manuale) | L3 | Superate |
| 3 | Configurazione piano di controllo | ||
| 3,1 | Autenticazione e autorizzazione | ||
| 3.1.1 | L'autenticazione mediante certificato client non deve essere utilizzata per gli utenti (manuale). | L3 | Superate |
| 3,2 | Logging | ||
| 3.2.1 | Assicurati che venga creato un criterio di controllo minimo (manuale) | L1 | Controllo equivalente |
| 3.2.2 | Assicurati che il criterio di controllo includa le principali preoccupazioni relative alla sicurezza (manuale) | L3 | Controllo equivalente |
| 4 | Configurazione della sicurezza dei nodi worker | ||
| 4,1 | File di configurazione dei nodi worker | ||
| 4.1.1 | Assicurati che le autorizzazioni del file del servizio kubelet siano impostate su 644 o più restrittive (automatiche) |
L1 | Superate |
| 4.1.2 | Assicurati che la proprietà del file del servizio kubelet sia impostata su root:root (Automatica) |
L1 | Superate |
| 4.1.3 | Se il file kubeconfig del proxy esiste, assicurati che le autorizzazioni siano impostate su un valore pari o superiore a 644 (Manuale) |
L1 | Controllo equivalente |
| 4.1.4 | Assicurati che la proprietà del file kubeconfig del proxy sia impostata su root:root (Manuale) |
L1 | Controllo equivalente |
| 4,1 | Assicurati che le autorizzazioni del file --kubeconfig kubelet.conf siano impostate su 644 o più restrittivo (automatico) |
L1 | Controllo equivalente |
| 4.1.6 | Assicurati che la proprietà del file --kubeconfig kubelet.conf sia impostata su root:root (Manuale) |
L1 | Controllo equivalente |
| 4.1.7 | Assicurati che le autorizzazioni dei file delle autorità di certificazione siano impostate su un importo pari o superiore a 644 (Manuale) |
L1 | Superate |
| 4,1 | Assicurati che la proprietà del file delle autorità di certificazione client sia impostata su root:root (Manuale) |
L1 | Superate |
| 4,1 | Assicurati che il file di configurazione di kubelet --config sia impostato su 644 o più restrittivo (automatico) |
L1 | Superate |
| 4.1.10 | Assicurati che la proprietà del file di configurazione --config di kubelet sia impostata su root:root (Automatica) |
L1 | Superate |
| 4,2 | Cavalletta | ||
| 4.2.1 | Assicurati che l'argomento autenticazione anonima sia impostato su falso (automatico) | L1 | Superate |
| 4.2.2 | Assicurati che l'argomento --authorization-mode non sia impostato su AlwaysAllow (Automatico) |
L1 | Superate |
| 4.2.3 | Assicurati che l'argomento --client-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 4.2.4 | Assicurati che l'argomento --read-only-port sia impostato su 0 (Manuale) |
L1 | Non superate |
| 4,2 | Assicurati che l'argomento --streaming-connection-idle-timeout non sia impostato su 0 (Manuale) |
L1 | Superate |
| 4.2.6 | Assicurati che l'argomento --protect-kernel-defaults sia impostato su true (automatico) |
L1 | Non superate |
| 4.2.7 | Assicurati che l'argomento --make-iptables-util-chains sia impostato su true (automatico) |
L1 | Superate |
| 4,2 | Assicurati che l'argomento --hostname-override non sia impostato (Manuale) |
L1 | Superate |
| 4,2 | Assicurati che l'argomento --event-qps sia impostato su 0 o un livello che garantisca l'acquisizione di eventi appropriata (Manuale) |
L3 | Non superate |
| 4.2.10 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (Manuale) |
L1 | Controllo equivalente |
| 4.2.11 | Assicurati che l'argomento --rotate-certificates non sia impostato su false (Manuale) |
L1 | Superate |
| 4.2.12 | Verifica che l'argomento RuotaKubeletServerCertificate sia impostato su true (Manuale) | L1 | Controllo equivalente |
| 4.2.13 | Assicurati che il Kubelet utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Controllo equivalente |
Descrizioni di errori e controlli equivalenti per il cluster di amministrazione GKE on-prem:
| # | Suggerimento | Livello | Stato | Valore | Motivazione |
|---|---|---|---|---|---|
| 1,1,1 | Assicurati che le autorizzazioni dei file della specifica dei pod del server API siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del server API sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,3 | Assicurati che le autorizzazioni dei file della specifica dei pod del gestore controller siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del gestore controller sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,5 | Assicurati che le autorizzazioni del file della specifica dei pod dello scheduler siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod dello scheduler sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,7 | Assicurati che le autorizzazioni del file della specifica del pod etcd siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,8 | Assicurati che la proprietà del file della specifica del pod etcd sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che le autorizzazioni per la directory dei dati etcd siano impostate su un valore pari o superiore a 700 (automatico) |
L1 | Controllo equivalente | 755 |
La directory dei dati etcd ha le autorizzazioni 755 predefinite, ma le relative sottodirectory sono 700. |
| 1,1 | Assicurati che la proprietà della directory dei dati etcd sia impostata su etcd:etcd (automatica) |
L1 | Controllo equivalente | root:root |
Il container etcd viene eseguito come root e la directory dei dati etcd è di proprietà di root:root. |
| 1,1,13 | Assicurati che le autorizzazioni dell'amministratore.conf. file siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,14 | Assicurati che l'amministratore.proprietà del file conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che le autorizzazioni del file .conf scheduler siano impostate su 644 o più restrittive (Automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,16 | Assicurati che la proprietà del file dello scheduler.conf sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,17 | Assicurati che le autorizzazioni del file controller-manager.conf siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file controller-manager.conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,2 | Assicurati che l'argomento --anonymous-auth sia impostato su false (Manuale) |
L1 | Non superate | non impostato | Alcuni componenti di monitoraggio di GKE On-Prem utilizzano l'autenticazione anonima per eseguire i controlli di integrità. |
| 1,2 | Assicurati che il plug-in Controllo dell'ammissione EventRateLimit sia impostato (Manuale) | L1 | Non superate | non impostato | GKE On-Prem non supporta il controller di ammissione Limite di frequenza perché è una funzionalità Kubernetes Alpha. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysPullImages sia impostato (manuale) | L1 | Dipende dall'ambiente | non impostato | Il controller di ammissione AlwaysPullImages offre alcune protezioni per le immagini del registro privato in cluster multi-tenant non cooperativi, con il rischio di rendere i registri container un punto di errore singolo per la creazione di nuovi pod in tutto il cluster. GKE On-Prem non abilita il controller di ammissione AlwaysPullImages, che consente agli amministratori del cluster di implementare i criteri di ammissione per trovare un compromesso. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione SecurityContextNega sia impostato se PodSecurityPolicy non viene utilizzato (manuale) | L1 | Controllo equivalente | non impostato | I criteri relativi alle impostazioni di sicurezza nei pod vengono gestiti mediante Policy Controller e Anthos Config Management. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione del pod PodPolicyPolicy sia impostato (automatico) | L1 | Controllo equivalente | non impostato | I criteri relativi alle impostazioni di sicurezza nei pod vengono gestiti mediante Policy Controller e Anthos Config Management. |
| 1,2,22 | Assicurati che l'argomento --audit-log-path sia impostato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,23 | Assicurati che l'argomento --audit-log-maxage sia impostato su 30 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,24 | Assicurati che l'argomento --audit-log-maxbackup sia impostato su 10 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,25 | Assicurati che l'argomento --audit-log-maxsize sia impostato su 100 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,30 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem gestisce il server TLS kubelet utilizzando il flag --rotate-server-certificates. |
| 1,2 | Assicurati di impostare l'argomento --encryption-provider-config come appropriato (Manuale) |
L1 | Non superate | non impostato | GKE On-Prem non supporta ancora la crittografia dei secret a livello di applicazione. |
| 1,2 | Assicurati che i provider di crittografia siano configurati correttamente (manuale) | L1 | Non superate | non impostato | GKE On-Prem non supporta ancora la crittografia dei secret a livello di applicazione. |
| 1,3 | Assicurati che l'argomento RuotaKubeletServerCertificate sia impostato su true (Automatico) | L3 | Controllo equivalente | non impostato | GKE On-Prem abilita la rotazione del certificato Kubelet impostando --rotate-server-certificates=true su kubelet. |
| 3.2.1 | Assicurati che venga creato un criterio di controllo minimo (manuale) | L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 3.2.2 | Assicurati che il criterio di controllo includa le principali preoccupazioni relative alla sicurezza (manuale) | L3 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 4.1.3 | Se il file kubeconfig del proxy esiste, assicurati che le autorizzazioni siano impostate su un valore pari o superiore a 644 (Manuale) |
L1 | Controllo equivalente | non impostato | kube-proxy viene eseguito come daemonset in GKE On-Prem e le autorizzazioni vengono gestite tramite RBAC. |
| 4.1.4 | Assicurati che la proprietà del file kubeconfig del proxy sia impostata su root:root (Manuale) |
L1 | Controllo equivalente | non impostato | kube-proxy viene eseguito come daemonset in GKE On-Prem e le autorizzazioni vengono gestite tramite RBAC. |
| 4,1 | Assicurati che le autorizzazioni del file --kubeconfig kubelet.conf siano impostate su 644 o più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 4.1.6 | Assicurati che la proprietà del file --kubeconfig kubelet.conf sia impostata su root:root (Manuale) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 4.2.4 | Assicurati che l'argomento --read-only-port sia impostato su 0 (Manuale) |
L1 | Non superate | 10255 |
Alcuni componenti di monitoraggio on-prem di GKE utilizzano la porta di sola lettura kubelet per ottenere metriche. |
| 4.2.6 | Assicurati che l'argomento --protect-kernel-defaults sia impostato su true (automatico) |
L1 | Non superate | false |
GKE On-Prem consente a kubelet di configurare le impostazioni del kernel necessarie. |
| 4,2 | Assicurati che l'argomento --event-qps sia impostato su 0 o un livello che garantisca l'acquisizione di eventi appropriata (Manuale) |
L3 | Non superate | non impostato | Gli eventi sono oggetti Kubernetes archiviati in etcd. Per evitare di sovraccaricare l'app, le creatività vengono conservate solo per un'ora e non rappresentano un meccanismo di controllo della sicurezza appropriato. Consentire eventi illimitati come suggerito in questo controllo espone il cluster a rischi DoS inutili e contraddicono il consiglio di utilizzare il valore EventRateLimit per l'ammissione. Gli eventi rilevanti per la sicurezza che richiedono l'archiviazione permanente devono essere inviati ai log. |
| 4.2.10 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (Manuale) |
L1 | Controllo equivalente | non impostato | GKE On-Prem gestisce il server TLS kubelet utilizzando il flag --rotate-server-certificates. |
| 4.2.12 | Verifica che l'argomento RuotaKubeletServerCertificate sia impostato su true (Manuale) | L1 | Controllo equivalente | non impostato | GKE On-Prem abilita la rotazione del certificato Kubelet impostando --rotate-server-certificates=true su kubelet. |
| 4.2.13 | Assicurati che il Kubelet utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Controllo equivalente | Kubelet utilizza il set predefinito di algoritmi di crittografia |
Stato del cluster utente GKE On-Prem:
| # | Suggerimento | Livello | Stato |
|---|---|---|---|
| 1 | Configurazione della sicurezza dei nodi master | ||
| 1,1 | File di configurazione dei nodi master | ||
| 1,1,1 | Assicurati che le autorizzazioni dei file della specifica dei pod del server API siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del server API sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,3 | Assicurati che le autorizzazioni dei file della specifica dei pod del gestore controller siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del gestore controller sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,5 | Assicurati che le autorizzazioni del file della specifica dei pod dello scheduler siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file della specifica del pod dello scheduler sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,7 | Assicurati che le autorizzazioni del file della specifica del pod etcd siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente |
| 1,1,8 | Assicurati che la proprietà del file della specifica del pod etcd sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che le autorizzazioni del file Container Network Interface siano impostate su 644 o più restrittive (Manuale) |
L1 | Superate |
| 1,1 | Assicurati che la proprietà del file di Container Network Interface sia impostata su root:root (Manuale) |
L1 | Superate |
| 1,1 | Assicurati che le autorizzazioni per la directory dei dati etcd siano impostate su un valore pari o superiore a 700 (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà della directory dei dati etcd sia impostata su etcd:etcd (automatica) |
L1 | Controllo equivalente |
| 1,1,13 | Assicurati che le autorizzazioni dell'amministratore.conf. file siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente |
| 1,1,14 | Assicurati che l'amministratore.proprietà del file conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che le autorizzazioni del file .conf scheduler siano impostate su 644 o più restrittive (Automatico) |
L1 | Controllo equivalente |
| 1,1,16 | Assicurati che la proprietà del file dello scheduler.conf sia impostata su root:root (automatica) |
L1 | Controllo equivalente |
| 1,1,17 | Assicurati che le autorizzazioni del file controller-manager.conf siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la proprietà del file controller-manager.conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente |
| 1,1 | Assicurati che la directory PKI di Kubernetes e la proprietà del file siano impostate su root:root (Automatico) |
L1 | Superate |
| 1,1,20 | Assicurati che le autorizzazioni del file del certificato PKI di Kubernetes siano impostate su 644 o un livello più restrittivo (manuale) |
L1 | Superate |
| 1,1,21 | Assicurati che le autorizzazioni del file della chiave PKI di Kubernetes siano impostate su 600 (Manuale) |
L1 | Superate |
| 1,2 | Server API | ||
| 1,2 | Assicurati che l'argomento --anonymous-auth sia impostato su false (Manuale) |
L1 | Non superate |
| 1,2 | Assicurati che l'argomento --basic-auth-file non sia impostato (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che il parametro --token-auth-file non sia impostato (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --kubelet-https sia impostato su true (automatico) |
L1 | Superate |
| 1,2 | Assicurati che gli argomenti --kubelet-client-certificate e --kubelet-client-key siano impostati correttamente (automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --kubelet-certificate-authority sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,7 | Assicurati che l'argomento --authorization-mode non sia impostato su AlwaysAllow (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --authorization-mode includa Node (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che l'argomento --authorization-mode includa RBAC (Automatico) |
L1 | Superate |
| 1,2 | Assicurati che il plug-in Controllo dell'ammissione EventRateLimit sia impostato (Manuale) | L1 | Non superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysAdmit non sia impostato (automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysPullImages sia impostato (manuale) | L1 | Dipende dall'ambiente |
| 1,2 | Assicurati che il plug-in di controllo di ammissione SecurityContextNega sia impostato se PodSecurityPolicy non viene utilizzato (manuale) | L1 | Controllo equivalente |
| 1,2 | Assicurati che il plugin di controllo del controllo di ammissione sia impostato su (Automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in del controllo di ammissione NamespaceLifecycle sia impostato (Automatico) | L1 | Superate |
| 1,2 | Assicurati che il plug-in di controllo di ammissione del pod PodPolicyPolicy sia impostato (automatico) | L1 | Controllo equivalente |
| 1,2 | Assicurati che il plug-in di controllo del controllo di ammissione NodeRestriction sia impostato (Automatico) | L1 | Superate |
| 1,2 | Assicurati che l'argomento --insecure-bind-address non sia impostato (Automatico) |
L1 | Non superate |
| 1,2 | Assicurati che l'argomento --insecure-port sia impostato su 0 (Automatico) |
L1 | Non superate |
| 1,2 | Assicurati che l'argomento --secure-port non sia impostato su 0 (Automatico) |
L1 | Superate |
| 1,2,21 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,2,22 | Assicurati che l'argomento --audit-log-path sia impostato (Automatico) |
L1 | Controllo equivalente |
| 1,2,23 | Assicurati che l'argomento --audit-log-maxage sia impostato su 30 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,24 | Assicurati che l'argomento --audit-log-maxbackup sia impostato su 10 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,25 | Assicurati che l'argomento --audit-log-maxsize sia impostato su 100 o come appropriato (Automatico) |
L1 | Controllo equivalente |
| 1,2,26 | Assicurati che l'argomento --request-timeout sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,27 | Assicurati che l'argomento --service-account-lookup sia impostato su true (automatico) |
L1 | Superate |
| 1,2,28 | Assicurati che l'argomento --service-account-key-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,29 | Assicurati che gli argomenti --etcd-certfile e --etcd-keyfile siano impostati correttamente (automatico) |
L1 | Superate |
| 1,2,30 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (automatico) |
L1 | Controllo equivalente |
| 1,2,31 | Assicurati che l'argomento --client-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2,32 | Assicurati che l'argomento --etcd-cafile sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,2 | Assicurati di impostare l'argomento --encryption-provider-config come appropriato (Manuale) |
L1 | Non superate |
| 1,2 | Assicurati che i provider di crittografia siano configurati correttamente (manuale) | L1 | Non superate |
| 1,2,35 | Assicurati che il server API utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Superate |
| 1,3 | Gestore del controller | ||
| 1,3 | Assicurati di impostare l'argomento --terminated-pod-gc-threshold come appropriato (Manuale) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --use-service-account-credentials sia impostato su true (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --service-account-private-key-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento --root-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 1,3 | Assicurati che l'argomento RuotaKubeletServerCertificate sia impostato su true (Automatico) | L3 | Controllo equivalente |
| 1,3 | Assicurati che l'argomento --bind-address sia impostato su 127.0.0.1 (Automatico) |
L1 | Superate |
| 1,4 | Pianificazione | ||
| 1,4 | Assicurati che l'argomento --profiling sia impostato su false (Automatico) |
L1 | Superate |
| 1,4 | Assicurati che l'argomento --bind-address sia impostato su 127.0.0.1 (Automatico) |
L1 | Superate |
| 2 | Configurazione dei nodi Etcd | ||
| 2 | File di configurazione dei nodi Etcd | ||
| 2.1 | Assicurati che gli argomenti --cert-file e --key-file siano impostati correttamente (automatico) |
L1 | Superate |
| 2.2 | Assicurati che l'argomento --client-cert-auth sia impostato su true (automatico) |
L1 | Superate |
| 2,3 | Assicurati che l'argomento --auto-tls non sia impostato su true (automatico) |
L1 | Superate |
| 2,4 | Assicurati che gli argomenti --peer-cert-file e --peer-key-file siano impostati correttamente (automatico) |
L1 | Superate |
| 2,5 | Assicurati che l'argomento --peer-client-cert-auth sia impostato su true (automatico) |
L1 | Superate |
| 2,6 | Assicurati che l'argomento --peer-auto-tls non sia impostato su true (automatico) |
L1 | Superate |
| 2.7 | Assicurati che venga utilizzata un'autorità di certificazione univoca per etcd (manuale) | L3 | Superate |
| 3 | Configurazione piano di controllo | ||
| 3,1 | Autenticazione e autorizzazione | ||
| 3.1.1 | L'autenticazione mediante certificato client non deve essere utilizzata per gli utenti (manuale). | L3 | Superate |
| 3,2 | Logging | ||
| 3.2.1 | Assicurati che venga creato un criterio di controllo minimo (manuale) | L1 | Controllo equivalente |
| 3.2.2 | Assicurati che il criterio di controllo includa le principali preoccupazioni relative alla sicurezza (manuale) | L3 | Controllo equivalente |
| 4 | Configurazione della sicurezza dei nodi worker | ||
| 4,1 | File di configurazione dei nodi worker | ||
| 4.1.1 | Assicurati che le autorizzazioni del file del servizio kubelet siano impostate su 644 o più restrittive (automatiche) |
L1 | Superate |
| 4.1.2 | Assicurati che la proprietà del file del servizio kubelet sia impostata su root:root (Automatica) |
L1 | Superate |
| 4.1.3 | Se il file kubeconfig del proxy esiste, assicurati che le autorizzazioni siano impostate su un valore pari o superiore a 644 (Manuale) |
L1 | Controllo equivalente |
| 4.1.4 | Assicurati che la proprietà del file kubeconfig del proxy sia impostata su root:root (Manuale) |
L1 | Controllo equivalente |
| 4,1 | Assicurati che le autorizzazioni del file --kubeconfig kubelet.conf siano impostate su 644 o più restrittivo (automatico) |
L1 | Controllo equivalente |
| 4.1.6 | Assicurati che la proprietà del file --kubeconfig kubelet.conf sia impostata su root:root (Manuale) |
L1 | Controllo equivalente |
| 4.1.7 | Assicurati che le autorizzazioni dei file delle autorità di certificazione siano impostate su un importo pari o superiore a 644 (Manuale) |
L1 | Superate |
| 4,1 | Assicurati che la proprietà del file delle autorità di certificazione client sia impostata su root:root (Manuale) |
L1 | Superate |
| 4,1 | Assicurati che il file di configurazione di kubelet --config sia impostato su 644 o più restrittivo (automatico) |
L1 | Superate |
| 4.1.10 | Assicurati che la proprietà del file di configurazione --config di kubelet sia impostata su root:root (Automatica) |
L1 | Superate |
| 4,2 | Cavalletta | ||
| 4.2.1 | Assicurati che l'argomento autenticazione anonima sia impostato su falso (automatico) | L1 | Superate |
| 4.2.2 | Assicurati che l'argomento --authorization-mode non sia impostato su AlwaysAllow (Automatico) |
L1 | Superate |
| 4.2.3 | Assicurati che l'argomento --client-ca-file sia impostato come appropriato (automatico) |
L1 | Superate |
| 4.2.4 | Assicurati che l'argomento --read-only-port sia impostato su 0 (Manuale) |
L1 | Non superate |
| 4,2 | Assicurati che l'argomento --streaming-connection-idle-timeout non sia impostato su 0 (Manuale) |
L1 | Superate |
| 4.2.6 | Assicurati che l'argomento --protect-kernel-defaults sia impostato su true (automatico) |
L1 | Non superate |
| 4.2.7 | Assicurati che l'argomento --make-iptables-util-chains sia impostato su true (automatico) |
L1 | Superate |
| 4,2 | Assicurati che l'argomento --hostname-override non sia impostato (Manuale) |
L1 | Superate |
| 4,2 | Assicurati che l'argomento --event-qps sia impostato su 0 o un livello che garantisca l'acquisizione di eventi appropriata (Manuale) |
L3 | Non superate |
| 4.2.10 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (Manuale) |
L1 | Controllo equivalente |
| 4.2.11 | Assicurati che l'argomento --rotate-certificates non sia impostato su false (Manuale) |
L1 | Superate |
| 4.2.12 | Verifica che l'argomento RuotaKubeletServerCertificate sia impostato su true (Manuale) | L1 | Controllo equivalente |
| 4.2.13 | Assicurati che il Kubelet utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Controllo equivalente |
Descrizioni di errori e controlli equivalenti per il cluster utente GKE On-Prem:
| # | Suggerimento | Livello | Stato | Valore | Motivazione |
|---|---|---|---|---|---|
| 1,1,1 | Assicurati che le autorizzazioni dei file della specifica dei pod del server API siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del server API sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,3 | Assicurati che le autorizzazioni dei file della specifica dei pod del gestore controller siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod del gestore controller sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,5 | Assicurati che le autorizzazioni del file della specifica dei pod dello scheduler siano impostate su 644 o su un livello più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file della specifica del pod dello scheduler sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,7 | Assicurati che le autorizzazioni del file della specifica del pod etcd siano impostate su un valore pari o superiore a 644 (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,8 | Assicurati che la proprietà del file della specifica del pod etcd sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che le autorizzazioni per la directory dei dati etcd siano impostate su un valore pari o superiore a 700 (automatico) |
L1 | Controllo equivalente | 755 |
La directory dei dati etcd ha le autorizzazioni 755 predefinite, ma le relative sottodirectory sono 700. |
| 1,1 | Assicurati che la proprietà della directory dei dati etcd sia impostata su etcd:etcd (automatica) |
L1 | Controllo equivalente | root:root |
Il container etcd viene eseguito come root e la directory dei dati etcd è di proprietà di root:root. |
| 1,1,13 | Assicurati che le autorizzazioni dell'amministratore.conf. file siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,14 | Assicurati che l'amministratore.proprietà del file conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che le autorizzazioni del file .conf scheduler siano impostate su 644 o più restrittive (Automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,16 | Assicurati che la proprietà del file dello scheduler.conf sia impostata su root:root (automatica) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1,17 | Assicurati che le autorizzazioni del file controller-manager.conf siano impostate su 644 o più restrittive (automatiche) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,1 | Assicurati che la proprietà del file controller-manager.conf sia impostata su root:root (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 1,2 | Assicurati che l'argomento --anonymous-auth sia impostato su false (Manuale) |
L1 | Non superate | non impostato | Alcuni componenti di monitoraggio di GKE On-Prem utilizzano l'autenticazione anonima per eseguire i controlli di integrità. |
| 1,2 | Assicurati che il plug-in Controllo dell'ammissione EventRateLimit sia impostato (Manuale) | L1 | Non superate | non impostato | GKE On-Prem non supporta il controller di ammissione Limite di frequenza perché è una funzionalità Kubernetes Alpha. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione AlwaysPullImages sia impostato (manuale) | L1 | Dipende dall'ambiente | non impostato | Il controller di ammissione AlwaysPullImages offre alcune protezioni per le immagini del registro privato in cluster multi-tenant non cooperativi, con il rischio di rendere i registri container un punto di errore singolo per la creazione di nuovi pod in tutto il cluster. GKE On-Prem non abilita il controller di ammissione AlwaysPullImages, che consente agli amministratori del cluster di implementare i criteri di ammissione per trovare un compromesso. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione SecurityContextNega sia impostato se PodSecurityPolicy non viene utilizzato (manuale) | L1 | Controllo equivalente | non impostato | I criteri relativi alle impostazioni di sicurezza nei pod vengono gestiti mediante Policy Controller e Anthos Config Management. |
| 1,2 | Assicurati che il plug-in di controllo di ammissione del pod PodPolicyPolicy sia impostato (automatico) | L1 | Controllo equivalente | non impostato | I criteri relativi alle impostazioni di sicurezza nei pod vengono gestiti mediante Policy Controller e Anthos Config Management. |
| 1,2 | Assicurati che l'argomento --insecure-bind-address non sia impostato (Automatico) |
L1 | Non superate | 127.0.0.1 | Il parametro Metrics-proxy per il cluster utente kube-apiserver comunica attualmente tramite localhost all'interno del pod kube-apiserver tramite HTTP. |
| 1,2 | Assicurati che l'argomento --insecure-port sia impostato su 0 (Automatico) |
L1 | Non superate | 80 | Il parametro Metrics-proxy per il cluster utente kube-apiserver comunica attualmente tramite localhost all'interno del pod kube-apiserver tramite HTTP. |
| 1,2,22 | Assicurati che l'argomento --audit-log-path sia impostato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,23 | Assicurati che l'argomento --audit-log-maxage sia impostato su 30 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,24 | Assicurati che l'argomento --audit-log-maxbackup sia impostato su 10 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,25 | Assicurati che l'argomento --audit-log-maxsize sia impostato su 100 o come appropriato (Automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 1,2,30 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (automatico) |
L1 | Controllo equivalente | non impostato | GKE On-Prem gestisce il server TLS kubelet utilizzando il flag --rotate-server-certificates. |
| 1,2 | Assicurati di impostare l'argomento --encryption-provider-config come appropriato (Manuale) |
L1 | Non superate | non impostato | GKE On-Prem non supporta ancora la crittografia dei secret a livello di applicazione. |
| 1,2 | Assicurati che i provider di crittografia siano configurati correttamente (manuale) | L1 | Non superate | non impostato | GKE On-Prem non supporta ancora la crittografia dei secret a livello di applicazione. |
| 1,3 | Assicurati che l'argomento RuotaKubeletServerCertificate sia impostato su true (Automatico) | L3 | Controllo equivalente | non impostato | GKE On-Prem abilita la rotazione del certificato Kubelet impostando --rotate-server-certificates=true su kubelet. |
| 3.2.1 | Assicurati che venga creato un criterio di controllo minimo (manuale) | L1 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 3.2.2 | Assicurati che il criterio di controllo includa le principali preoccupazioni relative alla sicurezza (manuale) | L3 | Controllo equivalente | non impostato | GKE On-Prem acquisisce i log di controllo, ma non utilizza questi flag per il controllo. Per maggiori dettagli, consulta il criterio di controllo GKE On-Prem. |
| 4.1.3 | Se il file kubeconfig del proxy esiste, assicurati che le autorizzazioni siano impostate su un valore pari o superiore a 644 (Manuale) |
L1 | Controllo equivalente | non impostato | kube-proxy viene eseguito come daemonset in GKE On-Prem e le autorizzazioni vengono gestite tramite RBAC. |
| 4.1.4 | Assicurati che la proprietà del file kubeconfig del proxy sia impostata su root:root (Manuale) |
L1 | Controllo equivalente | non impostato | kube-proxy viene eseguito come daemonset in GKE On-Prem e le autorizzazioni vengono gestite tramite RBAC. |
| 4,1 | Assicurati che le autorizzazioni del file --kubeconfig kubelet.conf siano impostate su 644 o più restrittivo (automatico) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 4.1.6 | Assicurati che la proprietà del file --kubeconfig kubelet.conf sia impostata su root:root (Manuale) |
L1 | Controllo equivalente | Le specifiche dei pod del piano di controllo sono protette da un criterio di autorizzazione RBAC allo stesso modo restrittivo nel cluster di amministrazione e non sono presenti come file su disco. | |
| 4.2.4 | Assicurati che l'argomento --read-only-port sia impostato su 0 (Manuale) |
L1 | Non superate | 10255 |
Alcuni componenti di monitoraggio on-prem di GKE utilizzano la porta di sola lettura kubelet per ottenere metriche. |
| 4.2.6 | Assicurati che l'argomento --protect-kernel-defaults sia impostato su true (automatico) |
L1 | Non superate | false |
GKE On-Prem consente a kubelet di configurare le impostazioni del kernel necessarie. |
| 4,2 | Assicurati che l'argomento --event-qps sia impostato su 0 o un livello che garantisca l'acquisizione di eventi appropriata (Manuale) |
L3 | Non superate | non impostato | Gli eventi sono oggetti Kubernetes archiviati in etcd. Per evitare di sovraccaricare l'app, le creatività vengono conservate solo per un'ora e non rappresentano un meccanismo di controllo della sicurezza appropriato. Consentire eventi illimitati come suggerito in questo controllo espone il cluster a rischi DoS inutili e contraddicono il consiglio di utilizzare il valore EventRateLimit per l'ammissione. Gli eventi rilevanti per la sicurezza che richiedono l'archiviazione permanente devono essere inviati ai log. |
| 4.2.10 | Assicurati che gli argomenti --tls-cert-file e --tls-private-key-file siano impostati correttamente (Manuale) |
L1 | Controllo equivalente | non impostato | GKE On-Prem gestisce il server TLS kubelet utilizzando il flag --rotate-server-certificates. |
| 4.2.12 | Verifica che l'argomento RuotaKubeletServerCertificate sia impostato su true (Manuale) | L1 | Controllo equivalente | non impostato | GKE On-Prem abilita la rotazione del certificato Kubelet impostando --rotate-server-certificates=true su kubelet. |
| 4.2.13 | Assicurati che il Kubelet utilizzi solo algoritmi di crittografia crittografici efficaci (manuali) | L1 | Controllo equivalente | Kubelet utilizza il set predefinito di algoritmi di crittografia |
Come controllare i benchmark
Istruzioni specifiche per il controllo dei singoli Consigli sono disponibili nel Benchmark di CIS pertinente. Tuttavia, puoi automatizzare alcuni di questi controlli per semplificare la verifica di questi controlli nel tuo ambiente. Gli strumenti elencati di seguito possono aiutarti.
Controllo automatico del benchmark CIS Kubernetes
Puoi utilizzare uno strumento open source kube-bench per testare la configurazione del cluster in base al benchmark CIS Kubernetes.
Assicurati di specificare la versione appropriata, ad esempio
kube-bench node --benchmark cis-1.6