Halaman ini diterjemahkan oleh Cloud Translation API.

Tolok Ukur CIS

Autopilot Standard

Halaman ini menjelaskan pendekatan yang dilakukan Google Kubernetes Engine (GKE) untuk meningkatkan kepatuhan terhadap tolok ukur Center for Internet Security (CIS) untuk Kubernetes dan untuk GKE. Halaman ini menyertakan informasi berikut:

Cara kami mengonfigurasi bidang kontrol GKE terkelola agar sesuai dengan Tolok Ukur Kubernetes CIS
Cara mengonfigurasi node dan beban kerja GKE agar sesuai dengan CIS Google Kubernetes Engine (GKE) Benchmark

Tentang Tolok Ukur CIS

CIS merilis tolok ukur berikut yang berisi panduan konfigurasi aman untuk Kubernetes:

CIS Kubernetes Benchmark: Berlaku untuk project Kubernetes open source. Ditujukan untuk memberikan panduan bagi berbagai penerapan Kubernetes yang dihosting dan dikelola sendiri.
Tolok Ukur GKE CIS: Menetapkan panduan untuk konfigurasi aman komponen yang dapat Anda kontrol di cluster GKE. Mencakup rekomendasi khusus untuk GKE di Google Cloud.

Sebaiknya Anda membuat prioritas Tolok Ukur GKE CIS, karena tolok ukur ini khusus untuk GKE di Google Cloud. Tolok Ukur Kubernetes CIS berisi banyak rekomendasi untuk kontrol yang tidak dapat Anda lihat atau ubah di GKE. Pendekatan kami terhadap keamanan cluster mencakup mitigasi yang melampaui cakupan tolok ukur Kubernetes open source dan dapat menyebabkan konflik dengan rekomendasi tersebut.

Tolok ukur lain yang berlaku untuk GKE

Selain CIS GKE Benchmark dan CIS Kubernetes Benchmark, tolok ukur berikut berlaku untuk sistem operasi yang tersedia di GKE. Meskipun tolok ukur OS tertentu tidak secara eksplisit membahas penggunaan Kubernetes, Anda tetap harus merujuk tolok ukur tersebut untuk mendapatkan panduan keamanan tambahan.

Benchmark Container-Optimized OS: sistem operasi default yang diinstal di semua node Linux GKE
Tolok Ukur Ubuntu Linux: tersedia untuk GKE Standard
Tolok Ukur Windows Server: tersedia untuk GKE Standard

Runtime container default, containerd, tidak memiliki tolok ukur.

Model tanggung jawab bersama

Berdasarkan model tanggung jawab bersama GKE, kami mengelola komponen berikut untuk Anda:

Bidang kontrol, termasuk VM bidang kontrol, server API, dan komponen seperti database status cluster (berbasis etcd atau Spanner), kube-controller-manager, dan kube-scheduler.
Sistem operasi node.

Komponen ini ada di project yang dimiliki GKE, sehingga Anda tidak dapat mengubah atau mengevaluasi salah satu komponen ini terhadap kontrol Tolok Ukur CIS yang sesuai. Namun, Anda dapat mengevaluasi dan memperbaiki kontrol CIS Benchmark yang berlaku untuk worker node dan workload Anda. Berdasarkan model tanggung jawab bersama GKE, komponen ini menjadi tanggung jawab Anda.

Pendekatan kami untuk mengamankan GKE untuk Tolok Ukur CIS

GKE adalah implementasi terkelola dari Kubernetes open source. Kami mengelola sepenuhnya bidang kontrol dan bertanggung jawab untuk mengamankan konfigurasi komponen bidang kontrol. Tabel berikut menjelaskan beberapa keputusan kami yang dapat memengaruhi pemberian skor tolok ukur CIS:

Pendekatan keamanan GKE
Autentikasi	Beberapa komponen pemantauan GKE menggunakan autentikasi anonim untuk mendapatkan metrik. Beberapa komponen bidang kontrol di-bootstrap menggunakan token statis, yang kemudian digunakan untuk melakukan autentikasi ke server API. Token ini dibuat setiap kali VM dimulai atau dimulai ulang.
Pengontrol penerimaan	GKE menonaktifkan pengontrol penerimaan berikut: EventRateLimit: Ini adalah fitur alfa di Kubernetes AlwaysPullImages: Pengontrol ini memberikan beberapa perlindungan untuk image registry pribadi di cluster multitenant non-kooperatif, namun juga menjadikan image registry titik tunggal kegagalan untuk membuat Pod baru di cluster. SecurityContextDeny: Pengontrol Penerimaan Keamanan Pod lebih disukai dan tersedia di semua edisi GKE. Jika menggunakan GKE Enterprise, Anda juga dapat mengaktifkan penerapan Standar Keamanan Pod menggunakan Policy Controller. ImagePolicyWebhook: GKE menonaktifkan ImagePolicyWebhook secara default karena memiliki mekanisme sendiri untuk pengelolaan dan keamanan image. Hal ini memungkinkan GKE mempertahankan kontrol yang lebih ketat atas lingkungan dan memastikan bahwa praktik keamanannya diterapkan secara konsisten. Namun, Anda dapat menggunakan Otorisasi Biner atau Pengontrol Kebijakan untuk pengelolaan kebijakan.
Logging audit	GKE merekam log audit menggunakan kebijakan audit GKE. Oleh karena itu, kita tidak perlu menetapkan flag logging audit server Kubernetes API.
Proses Debug	GKE menggunakan pembuatan profil untuk proses debug.
Enkripsi	GKE mengenkripsi konten pelanggan dalam penyimpanan secara default. Anda dapat secara opsional menggunakan kunci yang Anda kelola untuk mengenkripsi data Anda. Untuk detailnya, lihat Mengenkripsi secret di lapisan aplikasi. GKE menggunakan mTLS untuk traffic antara komponen bidang kontrol dan antara bidang kontrol dan node. Untuk mengetahui detailnya, lihat Kepercayaan cluster.
etcd	Di Kubernetes open source, database status cluster menggunakan etcd. Di GKE, database backend yang menyimpan status cluster adalah salah satu teknologi berikut: etcd: cluster menjalankan instance etcd di bidang kontrol. Spanner: GKE menyimpan status cluster dalam database berbasis Spanner yang terpisah dari VM bidang kontrol. Semua cluster GKE melayani etcd API di VM bidang kontrol. Semua interaksi klien dengan Kubernetes API sama seperti di Kubernetes open source. Bergantung pada teknologi database yang menjadi backend untuk etcd API di cluster Anda, Anda mungkin melihat perbedaan dalam skor terkait etcd dalam Tolok Ukur Kubernetes CIS open source.
kubelet	GKE mengaktifkan port hanya baca kubelet yang tidak diautentikasi. Anda dapat menonaktifkan port dengan menyetel `--no-autoprovisioning-enable-insecure-kubelet-readonly-port`. Port hanya baca akan dinonaktifkan secara default dalam rilis mendatang setelah memberi Anda waktu untuk melakukan migrasi. Mode GKE Standard memungkinkan workload Anda mengubah default kernel jika diperlukan. GKE membatasi jumlah peristiwa Kubernetes di kubelet untuk mengurangi risiko serangan penolakan layanan. GKE menggunakan mTLS untuk mengamankan traffic antara kubelet dan server API. GKE merotasi sertifikat server secara default, dan merotasi sertifikat klien saat Node GKE yang Terlindungi diaktifkan. GKE menggunakan set cipher yang diizinkan default golang, yang juga merupakan default untuk Kubernetes.

Mengevaluasi GKE terhadap Tolok Ukur CIS

Anda dapat mengotomatiskan evaluasi cluster terhadap Tolok Ukur menggunakan salah satu metode berikut:

Tolok Ukur GKE CIS:
- Semua edisi GKE:
  - Jalankan kube-bench untuk mengevaluasi node pekerja berdasarkan Benchmark. Untuk detailnya, lihat repositori GitHub kube-bench.
  - Gunakan alat pihak ketiga seperti Twistlock Defender untuk mengevaluasi node terhadap Benchmark.
- Edisi GKE Enterprise: gunakan dasbor Kepatuhan untuk mengevaluasi semua cluster Anda terkait kepatuhan terhadap Tolok Ukur GKE CIS. Untuk mengetahui detailnya, lihat Tentang Dasbor Kepatuhan GKE.
CIS Kubernetes Benchmark: Jalankan kube-bench untuk mengevaluasi node pekerja berdasarkan Tolok Ukur. Anda tidak dapat mengevaluasi bidang kontrol terkelola terhadap rekomendasi tersebut dalam Tolok Ukur.

Langkah berikutnya

Baca ringkasan keamanan GKE.
Ikuti praktik terbaik keamanan dalam panduan hardening GKE.
Pelajari cara memantau masalah keamanan di cluster Anda dengan postur keamanan GKE.
Pelajari cara mengevaluasi masalah kepatuhan di cluster Anda di dasbor kepatuhan GKE untuk GKE Enterprise.