CIS Kubernetes 벤치마크

이 문서에서는 CIS Kubernetes 벤치마크를 소개하고 벤치마크로 규정 준수를 감사하는 방법과 개발자가 직접 추천을 구현할 수 없을 때 Google Distributed Cloud에서 구성하는 항목을 설명합니다.

CIS 벤치마크 정보

인터넷 보안 센터(CIS)는 보안 권장 수준을 위한 벤치마크를 출시합니다. CIS Kubernetes 벤치마크는 강력한 보안 상황이 지원되도록 Kubernetes 구성 추천 집합을 제공합니다. 벤치마크는 특정 Kubernetes 출시에 연결됩니다. CIS Kubernetes 벤치마크는 오픈소스 Kubernetes 배포용으로 작성되었으며, 가능한 한 배포 간 범용 적용이 가능하도록 고안되었습니다.

벤치마크 액세스

CIS Kubernetes 벤치마크는 CIS 웹사이트에서 제공됩니다.

권장 수준

다음 표에서는 CIS Kubernetes 벤치마크의 권장 수준을 설명합니다.

수준 설명
수준 1

권장 수준은 다음과 같습니다.

  • 실용적이고 신중해야 합니다.
  • 명확한 보안 이점을 제공해야 합니다.
  • 허용 범위를 벗어나는 기술 활용성을 제한하지 않아야 합니다.
  • 수준 2

    수준 1 프로필을 확장합니다.

    권장 수준에 다음 특성 중 하나 이상이 포함되어야 합니다.

  • 보안이 매우 중요한 환경 또는 사용 사례용으로 사용됩니다.
  • 심층 방어 수단으로 사용됩니다.
  • 기술 활용성 또는 성능에 부정적 영향을 줄 수 있습니다.
  • 평가 상태

    평가 상태가 모든 권장사항에 포함됩니다. 평가 상태는 제공된 권장사항을 자동화할 수 있는지 또는 구현하려면 수동 단계가 필요한지를 나타냅니다. 두 상태 모두 동일하게 중요하며 다음 표에 정의된 대로 결정되고 지원됩니다.

    Google Distributed Cloud 1.29

    버전

    이 섹션에서는 다음 버전을 참조합니다.

    Anthos 버전 Kubernetes 버전 CIS Kubernetes 벤치마크 버전
    1.29 1.29.4 v0.7.3

    Google Distributed Cloud 관리자 클러스터 상태

    # 권장 수준 상태
    1 제어 영역 보안 구성
    1.1 제어 영역 노드 구성 파일
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.2 API 서버 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.4 컨트롤러 관리자 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.6 스케줄러 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.8 etcd 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.9 컨테이너 네트워크 인터페이스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.10 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    1.1.11 etcd 데이터 디렉터리 권한이 700 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.13 admin.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.14 admin.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.15 scheduler.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.17 controller-manager.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.19 Kubernetes PKI 디렉터리 및 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.20 Kubernetes PKI 인증서 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.21 Kubernetes PKI 키 파일 권한이 600로 설정되었는지 확인합니다(수동). L1 통과
    1.2 API 서버
    1.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(수동). L1 통과
    1.2.2 --token-auth-file 매개변수가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.3 --DenyServiceExternalIPs 설정 여부를 확인합니다(수동). L1 주의
    1.2.4 --kubelet-client-certificate--kubelet-client-key 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.5 --kubelet-certificate-authority 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.6 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.7 --authorization-mode 인수에 노드가 포함되는지 확인합니다(자동). L1 통과
    1.2.8 --authorization-mode 인수에 RBAC가 포함되는지 확인합니다(자동). L1 통과
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의
    1.2.10 허용 제어 플러그인 AlwaysAdmit가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어
    1.2.13 허용 제어 플러그인 ServiceAccount가 설정되었는지 확인합니다(자동). L1 통과
    1.2.14 허용 제어 플러그인 NamespaceLifecycle이 설정되었는지 확인합니다(자동). L1 통과
    1.2.15 허용 제어 플러그인 NodeRestriction이 설정되었는지 확인합니다(자동). L1 통과
    1.2.16 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.2.17 --audit-log-path 인수가 설정되었는지 확인합니다(자동). L1 통과
    1.2.18 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.19 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.20 --audit-log-maxsize 인수가 100 또는 적합한 값으로 설정되었는지 확인(자동) L1 통과
    1.2.21 --request-timeout 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.22 --service-account-lookup 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.2.23 --service-account-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.24 --etcd-certfile--etcd-keyfile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.25 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.26 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.27 --etcd-cafile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.28 --encryption-provider-config 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.29 암호화 공급자가 적합한 값으로 구성되었는지 확인합니다(수동). L1 통과
    1.2.30 API 서버는 강력한 암호화만 사용합니다(수동). L1 통과
    1.3 컨트롤러 관리자
    1.3.1 --terminated-pod-gc-threshold 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.3.2 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.3.3 --use-service-account-credentials 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.3.4 --service-account-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.5 --root-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.6 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(자동). L2 통과
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    1.4 스케줄러
    1.4.1 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    2 Etcd 노드 구성
    2 Etcd 노드 구성
    2.1 --cert-file--key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.2 --client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.3 --auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.4 --peer-cert-file--peer-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.5 --peer-client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.6 --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.7 고유한 인증 기관이 etcd에 사용되었는지 확인합니다(수동). L2 통과
    3 제어 영역 구성
    3.1 인증 및 승인
    3.1.1 사용자에 대해 클라이언트 인증서 인증을 사용하지 않아야 합니다(수동). L2 통과
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2 Logging
    3.2.1 최소 감사 정책이 생성되었는지 확인합니다(수동). L1 통과
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어

    Google Distributed Cloud 관리자 클러스터의 오류 및 동등 제어에 대한 설명

    # 권장 수준 상태 근거
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 API 서버 포드 사양이 etcd에 저장됩니다.
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 컨트롤러 관리자 포드 사양이 etcd에 저장됩니다.
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 스케줄러 포드 사양이 etcd에 저장됩니다.
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 etcd 사양은 관리자 클러스터 etcd에 저장됩니다.
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어 2001:2001 etcd 컨테이너는 2001로 실행되며 etcd 데이터 디렉터리는 2001:2001의 소유입니다.
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2000:2000 kube-scheduler 컨테이너는 2000으로 실행되며 이 파일은 2000:2000이 소유합니다.
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2002:2002 controller-manager 컨테이너는 2002로 실행되고 이 파일은 2002:2002의 소유입니다.
    1.2.3 --DenyServiceExternalIPs가 설정되었는지 확인합니다(수동). L1 주의
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름 설정되지 않음 AlwaysPullImages 허용 컨트롤러는 전체 클러스터에서 새 포드를 만들기 위해 Container Registry를 단일 장애점으로 만드는 대신, 비협업 멀티테넌트 클러스터에서 비공개 레지스트리 이미지에 대한 일부 보호를 제공합니다. Google Distributed Cloud는 AlwaysPullImages 허용 컨트롤러를 사용 설정하지 않으므로 이를 절충하기 위해 허용 정책을 구현하는 것은 클러스터 관리자의 몫입니다.
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어 설정되지 않음 PodSecurityPolicy는 1.25의 Kubernetes에서 삭제됩니다. 대신 포드 보안 허용이 1.23부터 기본적으로 사용 설정됩니다.
    1.2.18 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    1.2.19 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.

    Google Distributed Cloud 사용자 클러스터 상태

    # 권장 수준 상태
    1 제어 영역 보안 구성
    1.1 제어 영역 노드 구성 파일
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.2 API 서버 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.4 컨트롤러 관리자 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.6 스케줄러 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.8 etcd 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.9 컨테이너 네트워크 인터페이스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.10 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    1.1.11 etcd 데이터 디렉터리 권한이 700 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.13 admin.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.14 admin.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.15 scheduler.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.17 controller-manager.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.19 Kubernetes PKI 디렉터리 및 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.20 Kubernetes PKI 인증서 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.21 Kubernetes PKI 키 파일 권한이 600로 설정되었는지 확인합니다(수동). L1 통과
    1.2 API 서버
    1.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(수동). L1 통과
    1.2.2 --token-auth-file 매개변수가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.3 --DenyServiceExternalIPs 설정 여부를 확인합니다(수동). L1 주의
    1.2.4 --kubelet-client-certificate--kubelet-client-key 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.5 --kubelet-certificate-authority 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.6 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.7 --authorization-mode 인수에 노드가 포함되는지 확인합니다(자동). L1 통과
    1.2.8 --authorization-mode 인수에 RBAC가 포함되는지 확인합니다(자동). L1 통과
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의
    1.2.10 허용 제어 플러그인 AlwaysAdmit가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어
    1.2.13 허용 제어 플러그인 ServiceAccount가 설정되었는지 확인합니다(자동). L1 통과
    1.2.14 허용 제어 플러그인 NamespaceLifecycle이 설정되었는지 확인합니다(자동). L1 통과
    1.2.15 허용 제어 플러그인 NodeRestriction이 설정되었는지 확인합니다(자동). L1 통과
    1.2.16 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.2.17 --audit-log-path 인수가 설정되었는지 확인합니다(자동). L1 통과
    1.2.18 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.19 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.20 --audit-log-maxsize 인수가 100 또는 적합한 값으로 설정되었는지 확인(자동) L1 통과
    1.2.21 --request-timeout 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.22 --service-account-lookup 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.2.23 --service-account-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.24 --etcd-certfile--etcd-keyfile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.25 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.26 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.27 --etcd-cafile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.28 --encryption-provider-config 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.29 암호화 공급자가 적합한 값으로 구성되었는지 확인합니다(수동). L1 통과
    1.2.30 API 서버는 강력한 암호화만 사용합니다(수동). L1 통과
    1.3 컨트롤러 관리자
    1.3.1 --terminated-pod-gc-threshold 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.3.2 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.3.3 --use-service-account-credentials 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.3.4 --service-account-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.5 --root-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.6 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(자동). L2 통과
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    1.4 스케줄러
    1.4.1 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    2 Etcd 노드 구성
    2 Etcd 노드 구성
    2.1 --cert-file--key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.2 --client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.3 --auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.4 --peer-cert-file--peer-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.5 --peer-client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.6 --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.7 고유한 인증 기관이 etcd에 사용되었는지 확인합니다(수동). L2 통과
    3 제어 영역 구성
    3.1 인증 및 승인
    3.1.1 사용자에 대해 클라이언트 인증서 인증을 사용하지 않아야 합니다(수동). L2 통과
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2 Logging
    3.2.1 최소 감사 정책이 생성되었는지 확인합니다(수동). L1 통과
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어
    4 워커 노드 보안 구성
    4.1 워커 노드 구성 파일
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패
    4.1.2 kubelet 서비스 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.3 프록시 kubeconfig 파일이 있는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 주의
    4.1.4 프록시 kubeconfig 파일이 있는 경우 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 주의
    4.1.5 --kubeconfig kubelet.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    4.1.6 --kubeconfig kubelet.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.7 인증 기관 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.8 클라이언트 인증 기관 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 더욱 제한적인 권한(자동)으로 설정되었는지 검증합니다. L1 실패
    4.1.10 kubelet config.yaml 구성 파일을 사용하는 경우 파일 소유권이 root:root(자동)로 설정되었는지 검증합니다. L1 통과
    4.2 Kubelet
    4.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    4.2.2 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.3 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    4.2.4 --read-only-port 인수가 0으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.5 --streaming-connection-idle-timeout 인수가 0으로 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.6 --make-iptables-util-chains 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    4.2.7 --hostname-override 인수가 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.8 eventRecordQPS 인수가 적절한 이벤트 캡처를 보장하는 수준으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어
    4.2.10 --rotate-certificates 인수가 false로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.11 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(수동). L1 통과
    4.2.12 Kubelet이 강력한 암호화만 사용하는지 확인합니다(수동). L1 통과
    4.2.13 포드 PID에 한도가 설정되었는지 확인합니다(수동). L1 통과

    Google Distributed Cloud 사용자 클러스터의 오류 및 동등 제어에 대한 설명

    # 권장 수준 상태
    1 제어 영역 보안 구성
    1.1 제어 영역 노드 구성 파일
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.2 API 서버 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.4 컨트롤러 관리자 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.6 스케줄러 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.8 etcd 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.9 컨테이너 네트워크 인터페이스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.10 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    1.1.11 etcd 데이터 디렉터리 권한이 700 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.13 admin.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.14 admin.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.15 scheduler.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.17 controller-manager.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.19 Kubernetes PKI 디렉터리 및 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.20 Kubernetes PKI 인증서 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.21 Kubernetes PKI 키 파일 권한이 600로 설정되었는지 확인합니다(수동). L1 통과
    1.2 API 서버
    1.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(수동). L1 통과
    1.2.2 --token-auth-file 매개변수가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.3 --DenyServiceExternalIPs 설정 여부를 확인합니다(수동). L1 주의
    1.2.4 --kubelet-client-certificate--kubelet-client-key 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.5 --kubelet-certificate-authority 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.6 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.7 --authorization-mode 인수에 노드가 포함되는지 확인합니다(자동). L1 통과
    1.2.8 --authorization-mode 인수에 RBAC가 포함되는지 확인합니다(자동). L1 통과
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의
    1.2.10 허용 제어 플러그인 AlwaysAdmit가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어
    1.2.13 허용 제어 플러그인 ServiceAccount가 설정되었는지 확인합니다(자동). L1 통과
    1.2.14 허용 제어 플러그인 NamespaceLifecycle이 설정되었는지 확인합니다(자동). L1 통과
    1.2.15 허용 제어 플러그인 NodeRestriction이 설정되었는지 확인합니다(자동). L1 통과
    1.2.16 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.2.17 --audit-log-path 인수가 설정되었는지 확인합니다(자동). L1 통과
    1.2.18 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.19 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.20 --audit-log-maxsize 인수가 100 또는 적합한 값으로 설정되었는지 확인(자동) L1 통과
    1.2.21 --request-timeout 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.22 --service-account-lookup 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.2.23 --service-account-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.24 --etcd-certfile--etcd-keyfile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.25 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.26 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.27 --etcd-cafile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.28 --encryption-provider-config 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.29 암호화 공급자가 적합한 값으로 구성되었는지 확인합니다(수동). L1 통과
    1.2.30 API 서버는 강력한 암호화만 사용합니다(수동). L1 통과
    1.3 컨트롤러 관리자
    1.3.1 --terminated-pod-gc-threshold 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.3.2 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.3.3 --use-service-account-credentials 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.3.4 --service-account-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.5 --root-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.6 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(자동). L2 통과
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    1.4 스케줄러
    1.4.1 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 실패
    2 Etcd 노드 구성
    2 Etcd 노드 구성
    2.1 --cert-file--key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.2 --client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.3 --auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.4 --peer-cert-file--peer-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.5 --peer-client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.6 --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.7 고유한 인증 기관이 etcd에 사용되었는지 확인합니다(수동). L2 통과
    3 제어 영역 구성
    3.1 인증 및 승인
    3.1.1 사용자에 대해 클라이언트 인증서 인증을 사용하지 않아야 합니다(수동). L2 통과
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2 Logging
    3.2.1 최소 감사 정책이 생성되었는지 확인합니다(수동). L1 통과
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어
    4 워커 노드 보안 구성
    4.1 워커 노드 구성 파일
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패
    4.1.2 kubelet 서비스 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.3 프록시 kubeconfig 파일이 있는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 주의
    4.1.4 프록시 kubeconfig 파일이 있는 경우 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 주의
    4.1.5 --kubeconfig kubelet.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    4.1.6 --kubeconfig kubelet.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.7 인증 기관 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.8 클라이언트 인증 기관 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 더욱 제한적인 권한(자동)으로 설정되었는지 검증합니다. L1 실패
    4.1.10 kubelet config.yaml 구성 파일을 사용하는 경우 파일 소유권이 root:root(자동)로 설정되었는지 검증합니다. L1 통과
    4.2 Kubelet
    4.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    4.2.2 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.3 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    4.2.4 --read-only-port 인수가 0으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.5 --streaming-connection-idle-timeout 인수가 0으로 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.6 --make-iptables-util-chains 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    4.2.7 --hostname-override 인수가 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.8 eventRecordQPS 인수가 적절한 이벤트 캡처를 보장하는 수준으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어
    4.2.10 --rotate-certificates 인수가 false로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.11 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(수동). L1 통과
    4.2.12 Kubelet이 강력한 암호화만 사용하는지 확인합니다(수동). L1 통과
    4.2.13 포드 PID에 한도가 설정되었는지 확인합니다(수동). L1 통과

    Google Distributed Cloud 1.28

    제공 예정

    Google Distributed Cloud 1.16

    버전

    이 섹션에서는 다음 버전을 참조합니다.

    Anthos 버전 Kubernetes 버전 CIS Kubernetes 벤치마크 버전
    1.16.0 1.27.1 1.7

    Google Distributed Cloud 관리자 클러스터 상태

    # 권장 수준 상태
    1 제어 영역 보안 구성
    1.1 제어 영역 노드 구성 파일
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.2 API 서버 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.4 컨트롤러 관리자 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.6 스케줄러 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.8 etcd 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.9 컨테이너 네트워크 인터페이스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.10 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    1.1.11 etcd 데이터 디렉터리 권한이 700 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.13 admin.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.14 admin.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.15 scheduler.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.17 controller-manager.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.19 Kubernetes PKI 디렉터리 및 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.20 Kubernetes PKI 인증서 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.21 Kubernetes PKI 키 파일 권한이 600로 설정되었는지 확인합니다(수동). L1 통과
    1.2 API 서버
    1.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(수동). L1 통과
    1.2.2 --token-auth-file 매개변수가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.3 --DenyServiceExternalIPs 설정 여부를 확인합니다(수동). L1 주의
    1.2.4 --kubelet-client-certificate--kubelet-client-key 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.5 --kubelet-certificate-authority 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.6 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.7 --authorization-mode 인수에 노드가 포함되는지 확인합니다(자동). L1 통과
    1.2.8 --authorization-mode 인수에 RBAC가 포함되는지 확인합니다(자동). L1 통과
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의
    1.2.10 허용 제어 플러그인 AlwaysAdmit가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어
    1.2.13 허용 제어 플러그인 ServiceAccount가 설정되었는지 확인합니다(자동). L1 통과
    1.2.14 허용 제어 플러그인 NamespaceLifecycle이 설정되었는지 확인합니다(자동). L1 통과
    1.2.15 허용 제어 플러그인 NodeRestriction이 설정되었는지 확인합니다(자동). L1 통과
    1.2.16 --secure-port 인수가 0으로 설정되지 않았는지 확인합니다. - 참고: 이 권장사항은 사용되지 않으며 합의 프로세스에 따라 삭제될 예정입니다(수동). L1 통과
    1.2.17 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.2.18 --audit-log-path 인수가 설정되었는지 확인합니다(자동). L1 통과
    1.2.19 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.20 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인(자동) L1 통과
    1.2.21 --audit-log-maxsize 인수가 100 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.22 --request-timeout 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.23 --service-account-lookup 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.2.24 --service-account-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.25 --etcd-certfile--etcd-keyfile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.26 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.27 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.28 --etcd-cafile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.29 --encryption-provider-config 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.30 암호화 공급자가 적합한 값으로 구성되었는지 확인합니다(수동). L1 통과
    1.2.31 API 서버는 강력한 암호화만 사용합니다(수동). L1 통과
    1.3 컨트롤러 관리자
    1.3.1 --terminated-pod-gc-threshold 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.3.2 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.3.3 --use-service-account-credentials 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.3.4 --service-account-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.5 --root-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.6 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(자동). L2 통과
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 통과
    1.4 스케줄러
    1.4.1 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 통과
    2 Etcd 노드 구성
    2 Etcd 노드 구성
    2.1 --cert-file--key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.2 --client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.3 --auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.4 --peer-cert-file--peer-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.5 --peer-client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.6 --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.7 고유한 인증 기관이 etcd에 사용되었는지 확인합니다(수동). L2 통과
    3 제어 영역 구성
    3.1 인증 및 승인
    3.1.1 사용자에 대해 클라이언트 인증서 인증을 사용하지 않아야 합니다(수동). L2 통과
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2 Logging
    3.2.1 최소 감사 정책이 생성되었는지 확인합니다(수동). L1 통과
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어
    4 워커 노드 보안 구성
    4.1 워커 노드 구성 파일
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패
    4.1.2 kubelet 서비스 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.3 프록시 kubeconfig 파일이 있는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.4 프록시 kubeconfig 파일이 있는 경우 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.5 --kubeconfig kubelet.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    4.1.6 --kubeconfig kubelet.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.7 인증 기관 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.8 클라이언트 인증 기관 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 검사합니다(수동). L1 주의
    4.1.10 kubelet config.yaml 구성 파일을 사용하는 경우 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.2 Kubelet
    4.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    4.2.2 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.3 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    4.2.4 --read-only-port 인수가 0으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.5 --streaming-connection-idle-timeout 인수가 0으로 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.6 --make-iptables-util-chains 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    4.2.7 --hostname-override 인수가 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.8 eventRecordQPS 인수가 적절한 이벤트 캡처를 보장하는 수준으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어
    4.2.10 --rotate-certificates 인수가 false로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.11 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(수동). L1 통과
    4.2.12 Kubelet이 강력한 암호화만 사용하는지 확인합니다(수동). L1 통과
    4.2.13 포드 PID에 한도가 설정되었는지 확인합니다(수동). L1 통과

    Google Distributed Cloud 관리자 클러스터의 오류 및 동등 제어에 대한 설명

    # 권장 수준 상태 근거
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 API 서버 포드 사양이 etcd에 저장됩니다.
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 컨트롤러 관리자 포드 사양이 etcd에 저장됩니다.
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 스케줄러 포드 사양이 etcd에 저장됩니다.
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 etcd 사양은 관리자 클러스터 etcd에 저장됩니다.
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어 2001:2001 etcd 컨테이너는 2001로 실행되며 etcd 데이터 디렉터리는 2001:2001의 소유입니다.
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2000:2000 kube-scheduler 컨테이너는 2000으로 실행되며 이 파일은 2000:2000이 소유합니다.
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2002:2002 controller-manager 컨테이너는 2002로 실행되고 이 파일은 2002:2002의 소유입니다.
    1.2.3 --DenyServiceExternalIPs가 설정되었는지 확인합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름 설정되지 않음 AlwaysPullImages 허용 컨트롤러는 전체 클러스터에서 새 포드를 만들기 위해 Container Registry를 단일 장애점으로 만드는 대신, 비협업 멀티테넌트 클러스터에서 비공개 레지스트리 이미지에 대한 일부 보호를 제공합니다. Google Distributed Cloud는 AlwaysPullImages 허용 컨트롤러를 사용 설정하지 않으므로 이를 절충하기 위해 허용 정책을 구현하는 것은 클러스터 관리자의 몫입니다.
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어 설정되지 않음 PodSecurityPolicy는 1.25의 Kubernetes에서 삭제됩니다. 대신 포드 보안 허용이 1.23부터 기본적으로 사용 설정됩니다.
    1.2.19 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 검사합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어 설정되지 않음 Google Distributed Cloud는 --rotate-server-certificates 플래그를 사용하여 kubelet 서버 TLS를 관리합니다.

    Google Distributed Cloud 사용자 클러스터 상태

    # 권장 수준 상태
    1 제어 영역 보안 구성
    1.1 제어 영역 노드 구성 파일
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.2 API 서버 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.4 컨트롤러 관리자 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.6 스케줄러 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.8 etcd 포드 사양 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.9 컨테이너 네트워크 인터페이스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.10 컨테이너 네트워크 인터페이스 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    1.1.11 etcd 데이터 디렉터리 권한이 700 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.13 admin.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.14 admin.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.15 scheduler.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.17 controller-manager.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.1.19 Kubernetes PKI 디렉터리 및 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    1.1.20 Kubernetes PKI 인증서 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    1.1.21 Kubernetes PKI 키 파일 권한이 600로 설정되었는지 확인합니다(수동). L1 통과
    1.2 API 서버
    1.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(수동). L1 통과
    1.2.2 --token-auth-file 매개변수가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.3 --DenyServiceExternalIPs 설정 여부를 확인합니다(수동). L1 주의
    1.2.4 --kubelet-client-certificate--kubelet-client-key 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.5 --kubelet-certificate-authority 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.6 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.7 --authorization-mode 인수에 노드가 포함되는지 확인합니다(자동). L1 통과
    1.2.8 --authorization-mode 인수에 RBAC가 포함되는지 확인합니다(자동). L1 통과
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의
    1.2.10 허용 제어 플러그인 AlwaysAdmit가 설정되지 않았는지 확인합니다(자동). L1 통과
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어
    1.2.13 허용 제어 플러그인 ServiceAccount가 설정되었는지 확인합니다(자동). L1 통과
    1.2.14 허용 제어 플러그인 NamespaceLifecycle이 설정되었는지 확인합니다(자동). L1 통과
    1.2.15 허용 제어 플러그인 NodeRestriction이 설정되었는지 확인합니다(자동). L1 통과
    1.2.16 --secure-port 인수가 0으로 설정되지 않았는지 확인합니다. - 참고: 이 권장사항은 사용되지 않으며 합의 프로세스에 따라 삭제될 예정입니다(수동). L1 통과
    1.2.17 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.2.18 --audit-log-path 인수가 설정되었는지 확인합니다(자동). L1 통과
    1.2.19 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어
    1.2.20 --audit-log-maxbackup 인수가 10 또는 적합한 값으로 설정되었는지 확인(자동) L1 통과
    1.2.21 --audit-log-maxsize 인수가 100 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.22 --request-timeout 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.23 --service-account-lookup 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.2.24 --service-account-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.25 --etcd-certfile--etcd-keyfile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.26 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.27 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.28 --etcd-cafile 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.2.29 --encryption-provider-config 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.2.30 암호화 공급자가 적합한 값으로 구성되었는지 확인합니다(수동). L1 통과
    1.2.31 API 서버는 강력한 암호화만 사용합니다(수동). L1 통과
    1.3 컨트롤러 관리자
    1.3.1 --terminated-pod-gc-threshold 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L1 통과
    1.3.2 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.3.3 --use-service-account-credentials 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    1.3.4 --service-account-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.5 --root-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    1.3.6 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(자동). L2 통과
    1.3.7 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 통과
    1.4 스케줄러
    1.4.1 --profiling 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    1.4.2 --bind-address 인수가 127.0.0.1으로 설정되었는지 확인합니다(자동). L1 통과
    2 Etcd 노드 구성
    2 Etcd 노드 구성
    2.1 --cert-file--key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.2 --client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.3 --auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.4 --peer-cert-file--peer-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    2.5 --peer-client-cert-auth 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    2.6 --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다(자동). L1 통과
    2.7 고유한 인증 기관이 etcd에 사용되었는지 확인합니다(수동). L2 통과
    3 제어 영역 구성
    3.1 인증 및 승인
    3.1.1 사용자에 대해 클라이언트 인증서 인증을 사용하지 않아야 합니다(수동). L2 통과
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의
    3.2 Logging
    3.2.1 최소 감사 정책이 생성되었는지 확인합니다(수동). L1 통과
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어
    4 워커 노드 보안 구성
    4.1 워커 노드 구성 파일
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패
    4.1.2 kubelet 서비스 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.3 프록시 kubeconfig 파일이 있는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.4 프록시 kubeconfig 파일이 있는 경우 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.5 --kubeconfig kubelet.conf 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 통과
    4.1.6 --kubeconfig kubelet.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 통과
    4.1.7 인증 기관 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(수동). L1 통과
    4.1.8 클라이언트 인증 기관 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 검사합니다(수동). L1 주의
    4.1.10 kubelet config.yaml 구성 파일을 사용하는 경우 파일 소유권이 root:root로 설정되었는지 확인합니다(수동). L1 통과
    4.2 Kubelet
    4.2.1 --anonymous-auth 인수가 false로 설정되었는지 확인합니다(자동). L1 통과
    4.2.2 --authorization-mode 인수가 AlwaysAllow로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.3 --client-ca-file 인수가 적합한 값으로 설정되었는지 확인합니다(자동). L1 통과
    4.2.4 --read-only-port 인수가 0으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.5 --streaming-connection-idle-timeout 인수가 0으로 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.6 --make-iptables-util-chains 인수가 true로 설정되었는지 확인합니다(자동). L1 통과
    4.2.7 --hostname-override 인수가 설정되지 않았는지 확인합니다(수동). L1 통과
    4.2.8 eventRecordQPS 인수가 적절한 이벤트 캡처를 보장하는 수준으로 설정되었는지 확인합니다(수동). L1 통과
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어
    4.2.10 --rotate-certificates 인수가 false로 설정되지 않았는지 확인합니다(자동). L1 통과
    4.2.11 RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인합니다(수동). L1 통과
    4.2.12 Kubelet이 강력한 암호화만 사용하는지 확인합니다(수동). L1 통과
    4.2.13 포드 PID에 한도가 설정되었는지 확인합니다(수동). L1 통과

    Google Distributed Cloud 사용자 클러스터의 오류 및 동등 제어에 대한 설명

    # 권장 수준 상태 근거
    1.1.1 API 서버 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 API 서버 포드 사양이 etcd에 저장됩니다.
    1.1.3 컨트롤러 관리자 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 컨트롤러 관리자 포드 사양이 etcd에 저장됩니다.
    1.1.5 스케줄러 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 스케줄러 포드 사양이 etcd에 저장됩니다.
    1.1.7 etcd 포드 사양 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 동등 제어 해당 사항 없음 kubeception 모드에서는 사용자 클러스터의 etcd 사양은 관리자 클러스터 etcd에 저장됩니다.
    1.1.12 etcd 데이터 디렉터리 소유권이 etcd:etcd로 설정되었는지 확인합니다(자동). L1 동등 제어 2001:2001 etcd 컨테이너는 2001로 실행되며 etcd 데이터 디렉터리는 2001:2001의 소유입니다.
    1.1.16 scheduler.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2000:2000 kube-scheduler 컨테이너는 2000으로 실행되며 이 파일은 2000:2000이 소유합니다.
    1.1.18 controller-manager.conf 파일 소유권이 root:root로 설정되었는지 확인합니다(자동). L1 동등 제어 2002:2002 controller-manager 컨테이너는 2002로 실행되고 이 파일은 2002:2002의 소유입니다.
    1.2.3 --DenyServiceExternalIPs가 설정되었는지 확인합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    1.2.9 허용 제어 플러그인 EventRateLimit가 설정되었는지 확인합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    1.2.11 허용 제어 플러그인 AlwaysPullImages가 설정되었는지 확인합니다(수동). L1 환경에 따라 다름 설정되지 않음 AlwaysPullImages 허용 컨트롤러는 전체 클러스터에서 새 포드를 만들기 위해 Container Registry를 단일 장애점으로 만드는 대신, 비협업 멀티테넌트 클러스터에서 비공개 레지스트리 이미지에 대한 일부 보호를 제공합니다. Google Distributed Cloud는 AlwaysPullImages 허용 컨트롤러를 사용 설정하지 않으므로 이를 절충하기 위해 허용 정책을 구현하는 것은 클러스터 관리자의 몫입니다.
    1.2.12 PodSecurityPolicy가 사용되지 않은 경우 허용 제어 플러그인 SecurityContextDeny가 설정되었는지 확인합니다(수동). L1 동등 제어 설정되지 않음 PodSecurityPolicy는 1.25의 Kubernetes에서 삭제됩니다. 대신 포드 보안 허용이 1.23부터 기본적으로 사용 설정됩니다.
    1.2.19 --audit-log-maxage 인수가 30 또는 적합한 값으로 설정되었는지 확인합니다(자동). L1 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    3.1.2 사용자에 대해 서비스 계정 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    3.1.3 사용자에 대해 부트스트랩 토큰 인증을 사용하지 않아야 합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    3.2.2 감사 정책에 주요 보안 문제가 포함되는지 확인합니다(수동). L2 동등 제어 설정되지 않음 Google Distributed Cloud는 감사 로그를 캡처하지만 이러한 플래그를 감사에 사용하지 않습니다. 자세한 내용은 Google Distributed Cloud 감사 정책을 참조하세요.
    4.1.1 kubelet 서비스 파일 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 확인합니다(자동). L1 실패 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    4.1.9 kubelet config.yaml 구성 파일을 사용하는 경우 권한이 600 또는 보다 제한적인 권한으로 설정되었는지 검사합니다(수동). L1 주의 설정되지 않음 VMware용 Anthos 클러스터는 Kubernetes 알파 버전 기능이므로 이벤트 비율 제한 허용 컨트롤러를 지원하지 않습니다.
    4.2.9 --tls-cert-file--tls-private-key-file 인수가 적합한 값으로 설정되었는지 확인합니다(수동). L2 동등 제어 설정되지 않음 Google Distributed Cloud는 --rotate-server-certificates 플래그를 사용하여 kubelet 서버 TLS를 관리합니다.

    감사 벤치마크

    각 권장 수준의 감사를 위한 특정 지침은 관련 CIS 벤치마크의 일부로 제공됩니다. 하지만 해당 환경에서 이러한 제어 확인을 간소화하기 위해 이러한 검사 중 일부를 자동화해야 할 수 있습니다. 다음 도구가 도움이 될 수 있습니다.

    CIS Kubernetes 벤치마크 감사 자동화

    오픈소스 도구인 kube-bench를 사용하면 CIS Kubernetes 벤치마크에 대해 클러스터 구성을 테스트할 수 있습니다.

    적합한 버전을 지정해야 합니다. 예를 들면 다음과 같습니다.

    kube-bench node --benchmark cis-1.7