Dokumen ini memperkenalkan CIS Kubernetes Benchmark, menjelaskan cara mengaudit kepatuhan Anda terhadap tolok ukur, dan menjelaskan apa saja yang dikonfigurasi Google Distributed Cloud jika Anda tidak dapat menerapkan rekomendasi sendiri.
Tentang Tolok Ukur CIS
Center for Internet Security (CIS) merilis tolok ukur untuk rekomendasi praktik terbaik keamanan. CIS Kubernetes Benchmark memberikan serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. Tolok ukur ini terikat dengan rilis Kubernetes tertentu. Tolok Ukur Kubernetes CIS ditulis untuk distribusi Kubernetes open source dan dimaksudkan untuk dapat diterapkan secara universal di seluruh distribusi.
Mengakses benchmark
Benchmark Kubernetes CIS tersedia di situs CIS.
Level rekomendasi
Tabel berikut menjelaskan tingkat rekomendasi dalam Tolok Ukur Kubernetes CIS.
| Tingkat | Deskripsi |
|---|---|
| Level 1 | Rekomendasi bertujuan untuk: |
| Level 2 | Memperluas profil Level 1. Rekomendasi menunjukkan satu atau beberapa karakteristik berikut: |
Status penilaian
Status penilaian disertakan untuk setiap rekomendasi. Status penilaian menunjukkan apakah rekomendasi yang diberikan dapat diotomatiskan atau memerlukan langkah manual untuk diterapkan. Kedua status sama pentingnya serta ditentukan dan didukung seperti yang dijelaskan dalam tabel berikut:
Google Distributed Cloud 1.29
Versi
Bagian ini mengacu pada versi berikut:
| Versi Anthos | Versi Kubernetes | Versi Tolok Ukur Kubernetes CIS |
|---|---|---|
| 1,29 | 1.29.4 | v0.7.3 |
Status cluster admin Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | Konfigurasi Keamanan Pesawat Kontrol | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod dll. ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Penampung ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.10 | Pastikan kepemilikan file Container Network Interface ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data dst. ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file admin.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file admin.conf ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file scheduler.conf ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file controller-manager.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan kepemilikan file dan direktori IKP Kubernetes ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci PKI Kubernetes ditetapkan ke 600 (Manual) |
L1 | Lulus |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth disetel ke salah (Manual) |
L1 | Lulus |
| 1.2.2 | Pastikan parameter --token-auth-file belum ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan |
| 1.2.4 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.10 | Memastikan plugin kontrol penerimaan AlwaysAdmit tidak disetel (Otomatis) | L1 | Lulus |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara |
| 1.2.13 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.14 | Memastikan plugin kontrol penerimaan Namespace Namespace ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Pastikan NodeRestriction plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.17 | Pastikan argumen --audit-log-path ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.19 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.20 | Pastikan argumen --audit-log-maxsize ditetapkan ke 100 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.21 | Pastikan argumen --request-timeout disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.22 | Pastikan argumen --service-account-lookup ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.2.23 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --encryption-provider-config disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.29 | Memastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.30 | Memastikan Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotationKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 2 | Konfigurasi Node Etcd | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,7 | Pastikan Certificate Authority unik digunakan untuk dll. (Manual) | L2 | Lulus |
| 3 | Konfigurasi Bidang Kontrol | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan kebijakan audit minimal sudah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
Deskripsi Kegagalan dan Kontrol Setara untuk cluster admin Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status | Nilai | Justifikasi |
|---|---|---|---|---|---|
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod server API cluster pengguna disimpan di etcd. |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod pengelola pengontrol cluster pengguna disimpan di etcd. |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod penjadwal cluster pengguna disimpan di dll. |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi etcd cluster pengguna disimpan di etcd cluster admin. |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara | 2001:2001 |
Penampung etcd berjalan sebagai 2001 dan direktori data etcd dimiliki oleh 2001:2001. |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2000:2000 |
Container kube-scheduler berjalan sebagai 2000 dan file ini dimiliki oleh 2000:2000. |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2002:2002 |
Penampung pengontrol-pengelola berjalan pada tahun 2002 dan file ini dimiliki oleh 2002:2002. |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan | ||
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan | tidak ditetapkan | Pengontrol penerimaan AlwaysPullImages memberikan beberapa perlindungan untuk image registry pribadi di cluster multi-tenant yang tidak kooperatif, dengan mengorbankan registry container sebagai titik kegagalan tunggal untuk membuat Pod baru di seluruh cluster. Google Distributed Cloud tidak mengaktifkan pengontrol penerimaan AlwaysPullImages, sehingga admin cluster dapat menerapkan kebijakan penerimaan untuk melakukan kompromi ini sendiri. |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara | tidak ditetapkan | PodSecurityPolicy akan dihapus dari Kubernetes pada versi 1.25. Sebagai pengganti, Izin Keamanan Pod diaktifkan secara default mulai 1.23. |
| 1.2.18 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 1.2.19 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal | ||
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal | ||
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | ||
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | ||
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
Status cluster pengguna Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | Konfigurasi Keamanan Pesawat Kontrol | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod dll. ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Penampung ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.10 | Pastikan kepemilikan file Container Network Interface ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data dst. ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file admin.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file admin.conf ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file scheduler.conf ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file controller-manager.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan kepemilikan file dan direktori IKP Kubernetes ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci PKI Kubernetes ditetapkan ke 600 (Manual) |
L1 | Lulus |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth disetel ke salah (Manual) |
L1 | Lulus |
| 1.2.2 | Pastikan parameter --token-auth-file belum ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan |
| 1.2.4 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.10 | Memastikan plugin kontrol penerimaan AlwaysAdmit tidak disetel (Otomatis) | L1 | Lulus |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara |
| 1.2.13 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.14 | Memastikan plugin kontrol penerimaan Namespace Namespace ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Pastikan NodeRestriction plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.17 | Pastikan argumen --audit-log-path ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.19 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.20 | Pastikan argumen --audit-log-maxsize ditetapkan ke 100 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.21 | Pastikan argumen --request-timeout disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.22 | Pastikan argumen --service-account-lookup ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.2.23 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --encryption-provider-config disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.29 | Memastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.30 | Memastikan Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotationKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 2 | Konfigurasi Node Etcd | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,7 | Pastikan Certificate Authority unik digunakan untuk dll. (Manual) | L2 | Lulus |
| 3 | Konfigurasi Bidang Kontrol | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan kebijakan audit minimal sudah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
| 4 | Konfigurasi Keamanan Node Pekerja | ||
| 4.1 | File Konfigurasi Worker Node | ||
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.2 | Pastikan kepemilikan file layanan kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.3 | Jika file kubeconfig proxy ada, pastikan izin ditetapkan ke 600 atau yang lebih ketat (Manual) |
L1 | Peringatkan |
| 4.1.4 | Jika file kubeconfig proxy ada, pastikan kepemilikan disetel ke root:root (Manual) |
L1 | Peringatkan |
| 4.1.5 | Pastikan izin file kubelet.conf --kubeconfig ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.6 | Pastikan kepemilikan file kubelet.conf --kubeconfig disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.7 | Pastikan izin file certificate authority ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 4.1.8 | Pastikan kepemilikan file certificate authority klien ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.10 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasi kepemilikan file ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 4.2 | Kubelet | ||
| 4.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.2 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 4.2.3 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Lulus |
| 4.2.5 | Pastikan argumen --streaming-connection-idle-timeout tidak ditetapkan ke 0 (Manual) |
L1 | Lulus |
| 4.2.6 | Pastikan argumen --make-iptables-util-chains ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 4.2.7 | Pastikan argumen --hostname-override tidak ditetapkan (Manual) |
L1 | Lulus |
| 4.2.8 | Pastikan argumen eventRecordQPS disetel ke level yang memastikan pengambilan peristiwa yang sesuai (Manual) | L1 | Lulus |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara |
| 4.2.10 | Pastikan argumen --rotate-certificates tidak ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.11 | Memastikan argumen RotationKubeletServerCertificate disetel ke true (Manual) | L1 | Lulus |
| 4.2.12 | Memastikan Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 4.2.13 | Memastikan batas ditetapkan di PID pod (Manual) | L1 | Lulus |
Deskripsi Kegagalan dan Kontrol Setara untuk cluster pengguna Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | Konfigurasi Keamanan Pesawat Kontrol | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod dll. ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Penampung ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.10 | Pastikan kepemilikan file Container Network Interface ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data dst. ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file admin.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file admin.conf ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file scheduler.conf ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file controller-manager.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan kepemilikan file dan direktori IKP Kubernetes ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci PKI Kubernetes ditetapkan ke 600 (Manual) |
L1 | Lulus |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth disetel ke salah (Manual) |
L1 | Lulus |
| 1.2.2 | Pastikan parameter --token-auth-file belum ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan |
| 1.2.4 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.10 | Memastikan plugin kontrol penerimaan AlwaysAdmit tidak disetel (Otomatis) | L1 | Lulus |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara |
| 1.2.13 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.14 | Memastikan plugin kontrol penerimaan Namespace Namespace ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Pastikan NodeRestriction plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.17 | Pastikan argumen --audit-log-path ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.19 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.20 | Pastikan argumen --audit-log-maxsize ditetapkan ke 100 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.21 | Pastikan argumen --request-timeout disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.22 | Pastikan argumen --service-account-lookup ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.2.23 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --encryption-provider-config disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.29 | Memastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.30 | Memastikan Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotationKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Gagal |
| 2 | Konfigurasi Node Etcd | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,7 | Pastikan Certificate Authority unik digunakan untuk dll. (Manual) | L2 | Lulus |
| 3 | Konfigurasi Bidang Kontrol | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan kebijakan audit minimal sudah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
| 4 | Konfigurasi Keamanan Node Pekerja | ||
| 4.1 | File Konfigurasi Worker Node | ||
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.2 | Pastikan kepemilikan file layanan kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.3 | Jika file kubeconfig proxy ada, pastikan izin ditetapkan ke 600 atau yang lebih ketat (Manual) |
L1 | Peringatkan |
| 4.1.4 | Jika file kubeconfig proxy ada, pastikan kepemilikan disetel ke root:root (Manual) |
L1 | Peringatkan |
| 4.1.5 | Pastikan izin file kubelet.conf --kubeconfig ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.6 | Pastikan kepemilikan file kubelet.conf --kubeconfig disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.7 | Pastikan izin file certificate authority ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 4.1.8 | Pastikan kepemilikan file certificate authority klien ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.10 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasi kepemilikan file ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 4.2 | Kubelet | ||
| 4.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.2 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 4.2.3 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Lulus |
| 4.2.5 | Pastikan argumen --streaming-connection-idle-timeout tidak ditetapkan ke 0 (Manual) |
L1 | Lulus |
| 4.2.6 | Pastikan argumen --make-iptables-util-chains ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 4.2.7 | Pastikan argumen --hostname-override tidak ditetapkan (Manual) |
L1 | Lulus |
| 4.2.8 | Pastikan argumen eventRecordQPS disetel ke level yang memastikan pengambilan peristiwa yang sesuai (Manual) | L1 | Lulus |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara |
| 4.2.10 | Pastikan argumen --rotate-certificates tidak ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.11 | Memastikan argumen RotationKubeletServerCertificate disetel ke true (Manual) | L1 | Lulus |
| 4.2.12 | Memastikan Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 4.2.13 | Memastikan batas ditetapkan di PID pod (Manual) | L1 | Lulus |
Google Distributed Cloud 1.28
Segera hadir.Google Distributed Cloud 1.16
Versi
Bagian ini mengacu pada versi berikut:
| Versi Anthos | Versi Kubernetes | Versi Tolok Ukur Kubernetes CIS |
|---|---|---|
| 1.16.0 | 1.27.1 | 1,7 |
Status cluster admin Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | Konfigurasi Keamanan Pesawat Kontrol | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod dll. ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Penampung ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.10 | Pastikan kepemilikan file Container Network Interface ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data dst. ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file admin.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file admin.conf ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file scheduler.conf ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file controller-manager.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan kepemilikan file dan direktori IKP Kubernetes ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci PKI Kubernetes ditetapkan ke 600 (Manual) |
L1 | Lulus |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth disetel ke salah (Manual) |
L1 | Lulus |
| 1.2.2 | Pastikan parameter --token-auth-file belum ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan |
| 1.2.4 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.10 | Memastikan plugin kontrol penerimaan AlwaysAdmit tidak disetel (Otomatis) | L1 | Lulus |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara |
| 1.2.13 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.14 | Memastikan plugin kontrol penerimaan Namespace Namespace ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Pastikan NodeRestriction plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan argumen --secure-port tidak disetel ke 0 - Catatan:Rekomendasi ini sudah tidak berlaku dan akan dihapus sesuai proses konsensus (Manual) |
L1 | Lulus |
| 1.2.17 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --audit-log-path ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.19 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.20 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.21 | Pastikan argumen --audit-log-maxsize ditetapkan ke 100 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.22 | Pastikan argumen --request-timeout disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.23 | Pastikan argumen --service-account-lookup ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.29 | Pastikan argumen --encryption-provider-config disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.30 | Memastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.31 | Memastikan Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotationKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 2 | Konfigurasi Node Etcd | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,7 | Pastikan Certificate Authority unik digunakan untuk dll. (Manual) | L2 | Lulus |
| 3 | Konfigurasi Bidang Kontrol | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan kebijakan audit minimal sudah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
| 4 | Konfigurasi Keamanan Node Pekerja | ||
| 4.1 | File Konfigurasi Worker Node | ||
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.2 | Pastikan kepemilikan file layanan kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.3 | Jika file kubeconfig proxy ada, pastikan izin ditetapkan ke 600 atau yang lebih ketat (Manual) |
L1 | Lulus |
| 4.1.4 | Jika file kubeconfig proxy ada, pastikan kepemilikan disetel ke root:root (Manual) |
L1 | Lulus |
| 4.1.5 | Pastikan izin file kubelet.conf --kubeconfig ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.6 | Pastikan kepemilikan file kubelet.conf --kubeconfig disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.7 | Pastikan izin file certificate authority ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 4.1.8 | Pastikan kepemilikan file certificate authority klien ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Peringatkan |
| 4.1.10 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasi kepemilikan file ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.2 | Kubelet | ||
| 4.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.2 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 4.2.3 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Lulus |
| 4.2.5 | Pastikan argumen --streaming-connection-idle-timeout tidak ditetapkan ke 0 (Manual) |
L1 | Lulus |
| 4.2.6 | Pastikan argumen --make-iptables-util-chains ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 4.2.7 | Pastikan argumen --hostname-override tidak ditetapkan (Manual) |
L1 | Lulus |
| 4.2.8 | Pastikan argumen eventRecordQPS disetel ke level yang memastikan pengambilan peristiwa yang sesuai (Manual) | L1 | Lulus |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara |
| 4.2.10 | Pastikan argumen --rotate-certificates tidak ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.11 | Memastikan argumen RotationKubeletServerCertificate disetel ke true (Manual) | L1 | Lulus |
| 4.2.12 | Memastikan Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 4.2.13 | Memastikan batas ditetapkan di PID pod (Manual) | L1 | Lulus |
Deskripsi Kegagalan dan Kontrol Setara untuk cluster admin Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status | Nilai | Justifikasi |
|---|---|---|---|---|---|
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod server API cluster pengguna disimpan di etcd. |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod pengelola pengontrol cluster pengguna disimpan di etcd. |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod penjadwal cluster pengguna disimpan di dll. |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi etcd cluster pengguna disimpan di etcd cluster admin. |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara | 2001:2001 |
Penampung etcd berjalan sebagai 2001 dan direktori data etcd dimiliki oleh 2001:2001. |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2000:2000 |
Container kube-scheduler berjalan sebagai 2000 dan file ini dimiliki oleh 2000:2000. |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2002:2002 |
Penampung pengontrol-pengelola berjalan pada tahun 2002 dan file ini dimiliki oleh 2002:2002. |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan | tidak ditetapkan | Pengontrol penerimaan AlwaysPullImages memberikan beberapa perlindungan untuk image registry pribadi di cluster multi-tenant yang tidak kooperatif, dengan mengorbankan registry container sebagai titik kegagalan tunggal untuk membuat Pod baru di seluruh cluster. Google Distributed Cloud tidak mengaktifkan pengontrol penerimaan AlwaysPullImages, sehingga admin cluster dapat menerapkan kebijakan penerimaan untuk melakukan kompromi ini sendiri. |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara | tidak ditetapkan | PodSecurityPolicy akan dihapus dari Kubernetes pada versi 1.25. Sebagai pengganti, Izin Keamanan Pod diaktifkan secara default mulai 1.23. |
| 1.2.19 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud mengelola TLS server kubelet menggunakan tanda --rotate-server-certificates. |
Status cluster pengguna Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status |
|---|---|---|---|
| 1 | Konfigurasi Keamanan Pesawat Kontrol | ||
| 1.1 | File Konfigurasi Node Bidang Kontrol | ||
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.2 | Pastikan kepemilikan file spesifikasi pod server API disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.4 | Pastikan kepemilikan file spesifikasi pod pengelola pengontrol disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.6 | Pastikan kepemilikan file spesifikasi pod penjadwal disetel ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara |
| 1.1.8 | Pastikan kepemilikan file spesifikasi pod dll. ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.9 | Pastikan izin file Antarmuka Jaringan Penampung ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.10 | Pastikan kepemilikan file Container Network Interface ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 1.1.11 | Pastikan izin direktori data dst. ditetapkan ke 700 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara |
| 1.1.13 | Pastikan izin file admin.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.14 | Pastikan kepemilikan file admin.conf ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.15 | Pastikan izin file scheduler.conf ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.17 | Pastikan izin file controller-manager.conf ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara |
| 1.1.19 | Pastikan kepemilikan file dan direktori IKP Kubernetes ditetapkan ke root:root (Otomatis) |
L1 | Lulus |
| 1.1.20 | Pastikan izin file sertifikat PKI Kubernetes ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 1.1.21 | Pastikan izin file kunci PKI Kubernetes ditetapkan ke 600 (Manual) |
L1 | Lulus |
| 1.2 | Server API | ||
| 1.2.1 | Pastikan argumen --anonymous-auth disetel ke salah (Manual) |
L1 | Lulus |
| 1.2.2 | Pastikan parameter --token-auth-file belum ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan |
| 1.2.4 | Pastikan argumen --kubelet-client-certificate dan --kubelet-client-key ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.5 | Pastikan argumen --kubelet-certificate-authority ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.6 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 1.2.7 | Pastikan argumen --authorization-mode menyertakan Node (Otomatis) |
L1 | Lulus |
| 1.2.8 | Pastikan argumen --authorization-mode menyertakan RBAC (Otomatis) |
L1 | Lulus |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan |
| 1.2.10 | Memastikan plugin kontrol penerimaan AlwaysAdmit tidak disetel (Otomatis) | L1 | Lulus |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara |
| 1.2.13 | Pastikan ServiceAccount plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.14 | Memastikan plugin kontrol penerimaan Namespace Namespace ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.15 | Pastikan NodeRestriction plugin kontrol penerimaan ditetapkan (Otomatis) | L1 | Lulus |
| 1.2.16 | Pastikan argumen --secure-port tidak disetel ke 0 - Catatan:Rekomendasi ini sudah tidak berlaku dan akan dihapus sesuai proses konsensus (Manual) |
L1 | Lulus |
| 1.2.17 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.2.18 | Pastikan argumen --audit-log-path ditetapkan (Otomatis) |
L1 | Lulus |
| 1.2.19 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara |
| 1.2.20 | Pastikan argumen --audit-log-maxbackup ditetapkan ke 10 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.21 | Pastikan argumen --audit-log-maxsize ditetapkan ke 100 atau sebagaimana yang sesuai (Otomatis) |
L1 | Lulus |
| 1.2.22 | Pastikan argumen --request-timeout disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.23 | Pastikan argumen --service-account-lookup ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.2.24 | Pastikan argumen --service-account-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.25 | Pastikan argumen --etcd-certfile dan --etcd-keyfile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.26 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.27 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.28 | Pastikan argumen --etcd-cafile ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.2.29 | Pastikan argumen --encryption-provider-config disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.2.30 | Memastikan penyedia enkripsi dikonfigurasi dengan benar (Manual) | L1 | Lulus |
| 1.2.31 | Memastikan Server API hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 1.3 | Controller Manager | ||
| 1.3.1 | Pastikan argumen --terminated-pod-gc-threshold disetel sebagaimana mestinya (Manual) |
L1 | Lulus |
| 1.3.2 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.3.3 | Pastikan argumen --use-service-account-credentials ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 1.3.4 | Pastikan argumen --service-account-private-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.5 | Pastikan argumen --root-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 1.3.6 | Pastikan argumen RotationKubeletServerCertificate disetel ke true (Otomatis) | L2 | Lulus |
| 1.3.7 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 1.4 | Scheduler | ||
| 1.4.1 | Pastikan argumen --profiling ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 1.4.2 | Pastikan argumen --bind-address disetel ke 127.0.0.1 (Otomatis) |
L1 | Lulus |
| 2 | Konfigurasi Node Etcd | ||
| 2 | Konfigurasi Node Etcd | ||
| 2.1 | Pastikan argumen --cert-file dan --key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2.2 | Pastikan argumen --client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.3 | Pastikan argumen --auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,4 | Pastikan argumen --peer-cert-file dan --peer-key-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 2,5 | Pastikan argumen --peer-client-cert-auth ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2.6 | Pastikan argumen --peer-auto-tls tidak ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 2,7 | Pastikan Certificate Authority unik digunakan untuk dll. (Manual) | L2 | Lulus |
| 3 | Konfigurasi Bidang Kontrol | ||
| 3.1 | Autentikasi dan Otorisasi | ||
| 3.1.1 | Autentikasi sertifikat klien tidak boleh digunakan untuk pengguna (Manual) | L2 | Lulus |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan |
| 3.2 | Logging | ||
| 3.2.1 | Memastikan kebijakan audit minimal sudah dibuat (Manual) | L1 | Lulus |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara |
| 4 | Konfigurasi Keamanan Node Pekerja | ||
| 4.1 | File Konfigurasi Worker Node | ||
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal |
| 4.1.2 | Pastikan kepemilikan file layanan kubelet disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.3 | Jika file kubeconfig proxy ada, pastikan izin ditetapkan ke 600 atau yang lebih ketat (Manual) |
L1 | Lulus |
| 4.1.4 | Jika file kubeconfig proxy ada, pastikan kepemilikan disetel ke root:root (Manual) |
L1 | Lulus |
| 4.1.5 | Pastikan izin file kubelet.conf --kubeconfig ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Lulus |
| 4.1.6 | Pastikan kepemilikan file kubelet.conf --kubeconfig disetel ke root:root (Otomatis) |
L1 | Lulus |
| 4.1.7 | Pastikan izin file certificate authority ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Lulus |
| 4.1.8 | Pastikan kepemilikan file certificate authority klien ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Peringatkan |
| 4.1.10 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasi kepemilikan file ditetapkan ke root:root (Manual) |
L1 | Lulus |
| 4.2 | Kubelet | ||
| 4.2.1 | Pastikan argumen --anonymous-auth ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.2 | Pastikan argumen --authorization-mode tidak ditetapkan ke AlwaysAllow (Otomatis) |
L1 | Lulus |
| 4.2.3 | Pastikan argumen --client-ca-file ditetapkan sebagaimana mestinya (Otomatis) |
L1 | Lulus |
| 4.2.4 | Pastikan argumen --read-only-port disetel ke 0 (Manual) |
L1 | Lulus |
| 4.2.5 | Pastikan argumen --streaming-connection-idle-timeout tidak ditetapkan ke 0 (Manual) |
L1 | Lulus |
| 4.2.6 | Pastikan argumen --make-iptables-util-chains ditetapkan ke true (Otomatis) |
L1 | Lulus |
| 4.2.7 | Pastikan argumen --hostname-override tidak ditetapkan (Manual) |
L1 | Lulus |
| 4.2.8 | Pastikan argumen eventRecordQPS disetel ke level yang memastikan pengambilan peristiwa yang sesuai (Manual) | L1 | Lulus |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara |
| 4.2.10 | Pastikan argumen --rotate-certificates tidak ditetapkan ke salah (Otomatis) |
L1 | Lulus |
| 4.2.11 | Memastikan argumen RotationKubeletServerCertificate disetel ke true (Manual) | L1 | Lulus |
| 4.2.12 | Memastikan Kubelet hanya menggunakan Cipher Kriptografis yang Kuat (Manual) | L1 | Lulus |
| 4.2.13 | Memastikan batas ditetapkan di PID pod (Manual) | L1 | Lulus |
Deskripsi Kegagalan dan Kontrol Setara untuk cluster pengguna Google Distributed Cloud
| # | Rekomendasi | Tingkat | Status | Nilai | Justifikasi |
|---|---|---|---|---|---|
| 1.1.1 | Pastikan izin file spesifikasi pod server API disetel ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod server API cluster pengguna disimpan di etcd. |
| 1.1.3 | Pastikan izin file spesifikasi pod pengelola pengontrol ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod pengelola pengontrol cluster pengguna disimpan di etcd. |
| 1.1.5 | Pastikan izin file spesifikasi pod penjadwal ditetapkan ke 600 atau lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi pod penjadwal cluster pengguna disimpan di dll. |
| 1.1.7 | Pastikan izin file spesifikasi pod dll. ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Kontrol Setara | T/A | Dalam mode kubeception, spesifikasi etcd cluster pengguna disimpan di etcd cluster admin. |
| 1.1.12 | Pastikan kepemilikan direktori data etcd ditetapkan ke etcd:etcd (Otomatis) |
L1 | Kontrol Setara | 2001:2001 |
Penampung etcd berjalan sebagai 2001 dan direktori data etcd dimiliki oleh 2001:2001. |
| 1.1.16 | Pastikan kepemilikan file scheduler.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2000:2000 |
Container kube-scheduler berjalan sebagai 2000 dan file ini dimiliki oleh 2000:2000. |
| 1.1.18 | Pastikan kepemilikan file controller-manager.conf ditetapkan ke root:root (Otomatis) |
L1 | Kontrol Setara | 2002:2002 |
Penampung pengontrol-pengelola berjalan pada tahun 2002 dan file ini dimiliki oleh 2002:2002. |
| 1.2.3 | Pastikan --DenyServiceExternalIPs disetel (Manual) |
L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 1.2.9 | Pastikan plugin kontrol penerimaan EventRateLimit ditetapkan (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 1.2.11 | Pastikan plugin kontrol penerimaan AlwaysPullImages ditetapkan (Manual) | L1 | Bergantung Pada Lingkungan | tidak ditetapkan | Pengontrol penerimaan AlwaysPullImages memberikan beberapa perlindungan untuk image registry pribadi di cluster multi-tenant yang tidak kooperatif, dengan mengorbankan registry container sebagai titik kegagalan tunggal untuk membuat Pod baru di seluruh cluster. Google Distributed Cloud tidak mengaktifkan pengontrol penerimaan AlwaysPullImages, sehingga admin cluster dapat menerapkan kebijakan penerimaan untuk melakukan kompromi ini sendiri. |
| 1.2.12 | Pastikan plugin kontrol penerimaan SecurityContextDeny ditetapkan jika PodSecurityPolicy tidak digunakan (Manual) | L1 | Kontrol Setara | tidak ditetapkan | PodSecurityPolicy akan dihapus dari Kubernetes pada versi 1.25. Sebagai pengganti, Izin Keamanan Pod diaktifkan secara default mulai 1.23. |
| 1.2.19 | Pastikan argumen --audit-log-maxage ditetapkan ke 30 atau sebagaimana yang sesuai (Otomatis) |
L1 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 3.1.2 | Autentikasi token akun layanan tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 3.1.3 | Autentikasi token bootstrap tidak boleh digunakan untuk pengguna (Manual) | L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 3.2.2 | Memastikan kebijakan audit mencakup masalah keamanan utama (Manual) | L2 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud menangkap log audit, tetapi tidak menggunakan flag ini untuk audit. Lihat Kebijakan audit Google Distributed Cloud untuk detail selengkapnya. |
| 4.1.1 | Pastikan izin file layanan kubelet ditetapkan ke 600 atau yang lebih ketat (Otomatis) |
L1 | Gagal | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 4.1.9 | Jika konfigurasi kubelet.file konfigurasi yaml digunakan, validasikan izin yang ditetapkan ke 600 atau lebih ketat (Manual) |
L1 | Peringatkan | tidak ditetapkan | Cluster Anthos di VMware tidak mendukung pengontrol penerimaan Batas Kecepatan Peristiwa karena merupakan fitur Kubernetes Alpha. |
| 4.2.9 | Pastikan argumen --tls-cert-file dan --tls-private-key-file ditetapkan sebagaimana mestinya (Manual) |
L2 | Kontrol Setara | tidak ditetapkan | Google Distributed Cloud mengelola TLS server kubelet menggunakan tanda --rotate-server-certificates. |
Mengaudit tolok ukur
Petunjuk spesifik untuk mengaudit setiap rekomendasi tersedia sebagai bagian dari Tolok Ukur CIS yang relevan. Namun, Anda mungkin ingin mengotomatiskan beberapa pemeriksaan untuk menyederhanakan verifikasi kontrol ini di lingkungan Anda. Alat berikut dapat membantu menangani hal ini.
Audit otomatis Tolok Ukur Kubernetes CIS
Anda dapat menggunakan alat open source kube-bench untuk menguji konfigurasi cluster Anda terhadap CIS Kubernetes Benchmark.
Pastikan untuk menentukan versi yang sesuai. Contoh:
kube-bench node --benchmark cis-1.7