בדף הזה מוצג ה-CIS Kubernetes Benchmark, מוצגת הערכה ומוסבר מה עושה Google Distributed Cloud במודל מחובר כדי ליישם את ההמלצות.
השוואה לשוק של CIS
המרכז לאבטחת אינטרנט (CIS) מפרסם מדדים להשוואה של שיטות מומלצות והמלצות בנושא אבטחה. ההשוואה של CIS Kubernetes מספקת קבוצה של המלצות להגדרת Kubernetes כדי לתמוך בתשתית חזקה לאבטחה. ההשוואה לביצועים קשורה לגרסה ספציפית של Kubernetes. ה-CIS Kubernetes Benchmark נכתב עבור הפצת Kubernetes בקוד פתוח, והוא נועד להיות רלוונטי לכל ההפצות ככל האפשר.
גרסאות
בטבלה הבאה מפורטות הגרסאות של Distributed Cloud Connected, Kubernetes ו-CIS Kubernetes Benchmark ששימשו לביצוע ההערכה שמתוארת במסמך הזה:
| גרסה מחוברת של Distributed Cloud | גרסת Kubernetes | גרסת CIS Kubernetes Benchmark |
|---|---|---|
| 1.4.0 – Local Control Plane | 1.25 | 1.70 |
גישה להשוואה לשוק
המדד של CIS Kubernetes זמין באתר CIS.
רמות ההמלצות
ב-CIS Kubernetes Benchmark,
| רמה | תיאור |
|---|---|
| רמה 1 | ההמלצות נועדו: |
| רמה 2 | הרחבה של פרופיל רמה 1. ההמלצות הן לגבי המאפיינים הבאים: |
סטטוס ההערכה
לכל המלצה מצורף סטטוס הערכה. סטטוס ההערכה מציין אם אפשר להפוך את ההמלצה האוטומטית לזמינה או אם נדרשים שלבים ידניים כדי ליישם אותה. שני הסטטוסים חשובים באותה מידה, והם נקבעים ונתמכים כמו שמתואר בהמשך:
| ציון | תיאור |
|---|---|
| אוטומטי | המלצות שניתן לבצע לגביהן הערכה של אמצעי בקרה טכניים באופן אוטומטי לחלוטין, ולאמת אותן למצב של הצלחה או כישלון. ההמלצות יכללו את המידע הדרוש להטמעת אוטומציה. |
| גלילה ידנית | מייצג המלצות שאי אפשר לבצע לגביהן הערכה של אמצעי בקרה טכני באופן אוטומטי מלא, ונדרשים שלבים ידניים כדי לוודא שהמצב שהוגדר הוא כמו שציפיתם. המצב הצפוי יכול להשתנות בהתאם לסביבה. |
סטטוס באשכולות של מישור בקרה מקומי שמחוברים ל-Distributed Cloud
| # | המלצה | רמה | סטטוס |
|---|---|---|---|
| 1 | הגדרת אבטחה של מישור הבקרה | ||
| 1.1 | קובצי הגדרה של צומת Control Plane | ||
| 1.1.1 | מוודאים שההרשאות של קובץ המפרט של ה-API server pod מוגדרות ל-644 או להגדרה מגבילה יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.2 | מוודאים שהבעלות על קובץ המפרט של ה-pod של שרת ה-API מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 1.1.3 | מוודאים שהרשאות הקובץ של מפרט ה-pod של מנהל הבקרה מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.4 | מוודאים שהבעלות על קובץ המפרט של ה-pod של מנהל בקרים מוגדרת כ-root:root (אוטומטי) |
L1 | האימות הצליח |
| 1.1.5 | מוודאים שההרשאות של קובץ המפרט של ה-pod של מתזמן המשימות מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.6 | מוודאים שהבעלות על קובץ המפרט של ה-pod של מתזמן המשימות מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 1.1.7 | מוודאים שההרשאות של קובץ המפרט של ה-pod של etcd מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.8 | מוודאים שהבעלות על קובץ המפרט של ה-pod של etcd מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 1.1.9 | מוודאים שהרשאות הקובץ של ממשק רשת המכולה מוגדרות ל-644 או להרשאות מגבילות יותר (ידני) |
L1 | שליטה מקבילה |
| 1.1.10 | מוודאים שהבעלות על קובץ Container Network Interface מוגדרת ל-root:root (ידני) |
L1 | האימות הצליח |
| 1.1.11 | מוודאים שההרשאות של ספריית הנתונים של etcd מוגדרות ל-700 או להגדרה מגבילה יותר (אוטומטי) |
L1 | שליטה מקבילה |
| 1.1.12 | מוודאים שהבעלות על ספריית הנתונים של etcd מוגדרת ל-etcd:etcd (אוטומטי) |
L1 | שליטה מקבילה |
| 1.1.13 | חשוב לוודא שהרשאות הקובץ admin.conf מוגדרות ל-600 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.14 | מוודאים שהבעלות על הקובץ admin.conf מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 1.1.15 | חשוב לוודא שהרשאות הקובץ scheduler.conf מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.16 | מוודאים שהבעלות על הקובץ scheduler.conf מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה |
| 1.1.17 | חשוב לוודא שהרשאות הקובץ controller-manager.conf מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 1.1.18 | מוודאים שהבעלות על הקובץ controller-manager.conf מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה |
| 1.1.19 | מוודאים שהבעלות על הקובץ והספרייה של Kubernetes PKI מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה |
| 1.1.20 | חשוב לוודא שההרשאות של קובץ אישור ה-PKI של Kubernetes מוגדרות ל-644 או להרשאות מוגבלות יותר (ידני) |
L1 | שליטה מקבילה |
| 1.1.21 | מוודאים שההרשאות של קובץ מפתח ה-PKI של Kubernetes מוגדרות ל-600 (ידני) |
L1 | האימות הצליח |
| 1.2 | API Server | ||
| 1.2.1 | מוודאים שהארגומנט --anonymous-auth מוגדר כ-false (ידני) |
L1 | האימות הצליח |
| 1.2.2 | מוודאים שהפרמטר --token-auth-file לא מוגדר (אוטומטי) |
L1 | האימות הצליח |
| 1.2.3 | מוודאים שההגדרה --DenyServiceExternalIPs לא מוגדרת (אוטומטית) |
L1 | האימות נכשל |
| 1.2.4 | מוודאים שהארגומנטים --kubelet-client-certificate ו---kubelet-client-key מוגדרים בצורה המתאימה (אוטומטית) |
L1 | האימות הצליח |
| 1.2.5 | מוודאים שהארגומנט --kubelet-certificate-authority מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.2.6 | מוודאים שהארגומנט --authorization-mode לא מוגדר כ-AlwaysAllow (אוטומטי) |
L1 | האימות הצליח |
| 1.2.7 | מוודאים שהארגומנט --authorization-mode כולל את Node (אוטומטי) |
L1 | האימות הצליח |
| 1.2.8 | מוודאים שהארגומנט --authorization-mode כולל RBAC (אוטומטי) |
L1 | האימות נכשל |
| 1.2.9 | מוודאים שהפלאגין EventRateLimit של בקרת הכניסה מוגדר (ידני) | L1 | האימות הצליח |
| 1.2.10 | מוודאים שפלאגין בקרת הגישה AlwaysAdmit לא מוגדר (אוטומטי) | L1 | האימות הצליח |
| 1.2.11 | מוודאים שהפלאגין לבקרת כניסה AlwaysPullImages מוגדר (ידני) | L1 | האימות נכשל |
| 1.2.12 | מוודאים שהפלאגין SecurityContextDeny של בקרת הכניסה מוגדר אם לא משתמשים ב-PodSecurityPolicy (הגדרה ידנית) | L1 | אזהרה |
| 1.2.13 | מוודאים שחשבון השירות של הפלאגין לבקרת כניסה מוגדר (אוטומטי) | L1 | האימות הצליח |
| 1.2.14 | מוודאים שמרחב השמות של התוסף NamespaceLifecycle לבקרת הכניסה מוגדר (אוטומטי) | L1 | האימות הצליח |
| 1.2.15 | מוודאים שהפלאגין NodeRestriction של בקרת הגישה מוגדר (אוטומטי) | L1 | האימות הצליח |
| 1.2.16 | מוודאים שהארגומנט --secure-port לא מוגדר ל-0 (אוטומטי) |
L1 | האימות הצליח |
| 1.2.17 | מוודאים שהארגומנט --profiling מוגדר כ-false (אוטומטי) |
L1 | האימות הצליח |
| 1.2.18 | מוודאים שהארגומנט --audit-log-path מוגדר (אוטומטי) |
L1 | האימות נכשל |
| 1.2.19 | מוודאים שהארגומנט --audit-log-maxage מוגדר לערך 30 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל |
| 1.2.20 | מוודאים שהארגומנט --audit-log-maxbackup מוגדר לערך 10 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל |
| 1.2.21 | מוודאים שהארגומנט --audit-log-maxsize מוגדר לערך 100 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל |
| 1.2.22 | מוודאים שהארגומנט --request-timeout מוגדר בצורה המתאימה (ידנית) |
L1 | האימות נכשל |
| 1.2.23 | מוודאים שהארגומנט --service-account-lookup מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 1.2.24 | מוודאים שהארגומנט --service-account-key-file מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.2.25 | מוודאים שהארגומנטים --etcd-certfile ו---etcd-keyfile מוגדרים בצורה המתאימה (אוטומטית) |
L1 | האימות הצליח |
| 1.2.26 | מוודאים שהארגומנטים --tls-cert-file ו---tls-private-key-file מוגדרים בצורה המתאימה (אוטומטית) |
L1 | האימות הצליח |
| 1.2.27 | מוודאים שהארגומנט --client-ca-file מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.2.28 | מוודאים שהארגומנט --etcd-cafile מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.2.29 | מוודאים שהארגומנט --encryption-provider-config מוגדר בצורה המתאימה (ידנית) |
L1 | האימות הצליח |
| 1.2.30 | מוודאים שספקי ההצפנה מוגדרים בצורה נכונה (ידנית) | L1 | האימות הצליח |
| 1.2.31 | מוודאים ששרת ה-API משתמש רק בצפנים קריפטוגרפיים חזקים (ידני) | L1 | האימות הצליח |
| 1.3 | Controller Manager | ||
| 1.3.1 | מוודאים שהארגומנט --terminated-pod-gc-threshold מוגדר בצורה המתאימה (ידנית) |
L1 | האימות הצליח |
| 1.3.2 | מוודאים שהארגומנט --profiling מוגדר כ-false (אוטומטי) |
L1 | האימות הצליח |
| 1.3.3 | מוודאים שהארגומנט --use-service-account-credentials מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 1.3.4 | מוודאים שהארגומנט --service-account-private-key-file מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.3.5 | מוודאים שהארגומנט --root-ca-file מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 1.3.6 | מוודאים שהארגומנט RotateKubeletServerCertificate מוגדר כ-true (אוטומטי) | L2 | האימות הצליח |
| 1.3.7 | מוודאים שהארגומנט --bind-address מוגדר ל-127.0.0.1 (אוטומטי) |
L1 | האימות הצליח |
| 1.4 | מתזמן | ||
| 1.4.1 | מוודאים שהארגומנט --profiling מוגדר כ-false (אוטומטי) |
L1 | האימות הצליח |
| 1.4.2 | מוודאים שהארגומנט --bind-address מוגדר ל-127.0.0.1 (אוטומטי) |
L1 | האימות הצליח |
| 2 | ** etcd Node Configuration** |
||
| 2.1 | מוודאים שהארגומנטים --cert-file ו---key-file מוגדרים בצורה המתאימה (אוטומטית) |
L1 | האימות הצליח |
| 2.2 | מוודאים שהארגומנט --client-cert-auth מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 2.3 | מוודאים שהארגומנט --auto-tls לא מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 2.4 | מוודאים שהארגומנטים --peer-cert-file ו---peer-key-file מוגדרים בצורה המתאימה (אוטומטית) |
L1 | האימות הצליח |
| 2.5 | מוודאים שהארגומנט --peer-client-cert-auth מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 2.6 | מוודאים שהארגומנט --peer-auto-tls לא מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 2.7 | מוודאים שנעשה שימוש ברשות אישורים ייחודית עבור etcd (ידני) | L2 | האימות הצליח |
| 3 | הגדרה של Control Plane | ||
| 3.1 | אימות והרשאה | ||
| 3.1.1 | אין להשתמש באימות באמצעות אישור לקוח עבור משתמשים (ידני) | L2 | האימות הצליח |
| 3.2 | Logging | ||
| 3.2.1 | מוודאים שנוצרה מדיניות ביקורת מינימלית (ידנית) | L1 | האימות הצליח |
| 3.2.2 | מוודאים שמדיניות הביקורת כוללת את בעיות האבטחה העיקריות (ידני) | L2 | האימות נכשל |
| 4 | הגדרת אבטחה של צומת Worker | ||
| 4.1 | קובצי הגדרה של צומתי Worker | ||
| 4.1.1 | מוודאים שההרשאות של קובץ השירות kubelet מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות נכשל |
| 4.1.2 | מוודאים שהבעלות על קובץ השירות kubelet מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 4.1.3 | אם קיים קובץ kubeconfig של proxy, צריך לוודא שההרשאות מוגדרות ל-644 או להרשאות מוגבלות יותר (ידני) |
L1 | האימות הצליח |
| 4.1.4 | אם קיים קובץ proxy kubeconfig, מוודאים שהבעלות מוגדרת ל-root:root (ידני) |
L1 | האימות הצליח |
| 4.1.5 | מוודאים שהרשאות הקובץ --kubeconfig kubelet.conf מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות הצליח |
| 4.1.6 | מוודאים שהבעלות על הקובץ --kubeconfig kubelet.conf מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 4.1.7 | מוודאים שהרשאות הקובץ של רשויות האישורים מוגדרות ל-644 או להרשאות מגבילות יותר (ידני) |
L1 | האימות נכשל |
| 4.1.8 | מוודאים שהבעלות על קובץ רשויות האישורים של הלקוח מוגדרת לערך root:root (ידני) |
L1 | האימות הצליח |
| 4.1.9 | מוודאים שקובץ ההגדרות של kubelet --config כולל הרשאות שמוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי). |
L1 | האימות נכשל |
| 4.1.10 | מוודאים שהבעלות על קובץ ההגדרה של kubelet --config מוגדרת ל-root:root (אוטומטי) |
L1 | האימות הצליח |
| 4.2 | Kubelet | ||
| 4.2.1 | מוודאים שהארגומנט --anonymous-auth מוגדר כ-false (אוטומטי) |
L1 | האימות הצליח |
| 4.2.2 | מוודאים שהארגומנט --authorization-mode לא מוגדר כ-AlwaysAllow (אוטומטי) |
L1 | האימות הצליח |
| 4.2.3 | מוודאים שהארגומנט --client-ca-file מוגדר בצורה המתאימה (אוטומטי) |
L1 | האימות הצליח |
| 4.2.4 | מוודאים שהארגומנט --read-only-port מוגדר לערך 0 (ידני). |
L1 | האימות נכשל |
| 4.2.5 | מוודאים שהארגומנט --streaming-connection-idle-timeout לא מוגדר כ-0 (ידני) |
L1 | האימות הצליח |
| 4.2.6 | מוודאים שהארגומנט --protect-kernel-defaults מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 4.2.7 | מוודאים שהארגומנט --make-iptables-util-chains מוגדר כ-true (אוטומטי) |
L1 | האימות הצליח |
| 4.2.8 | מוודאים שהארגומנט --hostname-override לא מוגדר (ידני) |
L2 | האימות הצליח |
| 4.2.9 | מוודאים שהארגומנט --event-qps מוגדר לערך 0 או לרמה שמבטיחה תיעוד מתאים של האירוע (ידני) |
L1 | שליטה מקבילה |
| 4.2.10 | מוודאים שהארגומנטים --tls-cert-file ו---tls-private-key-file מוגדרים בצורה מתאימה (ידנית) |
L1 | האימות הצליח |
| 4.2.11 | מוודאים שהארגומנט --rotate-certificates לא מוגדר כ-false (אוטומטי) |
L1 | האימות הצליח |
| 4.2.12 | מוודאים שהארגומנט RotateKubeletServerCertificate מוגדר כ-true (ידני) | L1 | האימות הצליח |
| 4.2.13 | מוודאים ש-Kubelet משתמש רק בצפנים קריפטוגרפיים חזקים (ידני) | L1 | האימות נכשל |
כשלים ואמצעי בקרה מקבילים עבור אשכולות של מישור בקרה מקומיים שמחוברים ל-Distributed Cloud
| # | המלצה | רמה | סטטוס | ערך | נימוק |
|---|---|---|---|---|---|
| 1 | הגדרת אבטחה של מישור הבקרה | ||||
| 1.1.9 | מוודאים שהרשאות הקובץ של ממשק רשת המכולה מוגדרות ל-644 או להרשאות מגבילות יותר (ידני) |
L1 | שליטה מקבילה | 755 |
אין. |
| 1.1.11 | מוודאים שההרשאות של ספריית הנתונים etcd מוגדרות ל-700 או להגדרה מגבילה יותר (אוטומטי) |
L1 | שליטה מקבילה | 755 |
לספריית הנתונים etcd יש הרשאות ברירת מחדל של 755, אבל לספריות המשנה שלה יש הרשאות של 700. |
| 1.1.12 | מוודאים שהבעלות על ספריית הנתונים etcd מוגדרת ל-etcd:etcd (אוטומטי) |
L1 | שליטה מקבילה | 2003:2003 |
הספרייה etcd data, /var/lib/etcd, נמצאת בבעלות 2003:2003 בגלל מישור בקרה ללא שורש לשיפור האבטחה. |
| 1.1.16 | מוודאים שהבעלות על הקובץ scheduler.conf מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה | 2002:2002 |
scheduler.conf נמצא בבעלות של 2002:2002 בגלל מישור בקרה ללא שורש, שמיועד לאבטחה משופרת. |
| 1.1.18 | מוודאים שהבעלות על הקובץ controller-manager.conf מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה | 2001:2001 |
controller-manager.conf נמצא בבעלות של 2001:2001 בגלל מישור בקרה ללא שורש, שמיועד לאבטחה משופרת. |
| 1.1.19 | מוודאים שהבעלות על הקובץ והספרייה של Kubernetes PKI מוגדרת ל-root:root (אוטומטי) |
L1 | שליטה מקבילה | משתנה | הספרייה PKI, /etc/kubernetes/pki, נמצאת בבעלות root:root, ולכל קובץ בתוך הספרייה יש בעלים שונים. הסיבה לכך היא מישור בקרה ללא הרשאות root, שנועד לשפר את האבטחה. |
| 1.1.20 | חשוב לוודא שההרשאות של קובץ אישור ה-PKI של Kubernetes מוגדרות ל-644 או להרשאות מוגבלות יותר (ידני) |
L1 | שליטה מקבילה | 644 |
הסיבה לכך היא מישור בקרה ללא הרשאות root, שנועד לשפר את האבטחה. |
| 1.2 | API Server | ||||
| 1.2.3 | מוודאים שההגדרה --DenyServiceExternalIPs לא מוגדרת (אוטומטית) |
L1 | האימות נכשל | ||
| 1.2.9 | מוודאים שהארגומנט --authorization-mode כולל RBAC (אוטומטי) |
L1 | האימות נכשל | בקרת הכניסה Event Rate Limit היא תכונת אלפא של Kubernetes. Google Distributed Cloud לא תומך בתכונות שאינן זמינות לקהל הרחב. | |
| 1.2.11 | מוודאים שהפלאגין לבקרת כניסה AlwaysAdmit לא מוגדר (אוטומטי) |
L1 | האימות נכשל | ||
| 1.2.12 | מוודאים שהפלאגין AlwaysPullImages לבקרת כניסה מוגדר (ידנית) |
L1 | האימות נכשל | ה-AlwaysPullImages admission controller מספק הגנה מסוימת לתמונות של רישום פרטי באשכולות מרובי-דיירים לא שיתופיים, אבל במחיר של הפיכת רישום קונטיינרים לנקודות כשל יחידות ליצירת פודים חדשים בכל האשכול. באשכולות של Distributed Cloud לא מופעל בקר הכניסה AlwaysPullImages, ולכן אדמינים של אשכולות צריכים להטמיע מדיניות כניסה כדי להחליט בעצמם מה חשוב יותר. |
|
| 1.2.18 | מוודאים שהארגומנט --audit-log-path מוגדר (אוטומטי) |
L1 | האימות נכשל | Distributed Cloud מתעד יומני ביקורת, אבל לא משתמש בדגל הזה לביקורת. מידע נוסף זמין במאמר בנושא יומני ביקורת. | |
| 1.2.19 | מוודאים שהארגומנט --audit-log-maxage מוגדר לערך 30 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל | Distributed Cloud מתעד יומני ביקורת, אבל לא משתמש בדגל הזה לביקורת. מידע נוסף זמין במאמר בנושא יומני ביקורת. | |
| 1.2.20 | מוודאים שהארגומנט --audit-log-maxbackup מוגדר לערך 10 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל | הלכידה המחוברת של Distributed Cloud מתעדת יומני ביקורת, אבל לא משתמשת בדגל הזה לצורך ביקורת. מידע נוסף זמין במאמר בנושא יומני ביקורת. | |
| 1.2.21 | מוודאים שהארגומנט --audit-log-maxsize מוגדר לערך 100 או לערך המתאים (אוטומטי) |
L1 | האימות נכשל | הלכידה המחוברת של Distributed Cloud מתעדת יומני ביקורת, אבל לא משתמשת בדגל הזה לצורך ביקורת. מידע נוסף זמין במאמר בנושא יומני ביקורת. | |
| 1.2.22 | מוודאים שהארגומנט --request-timeout מוגדר בצורה המתאימה (ידנית) |
L1 | האימות נכשל | הלכידה המחוברת של Distributed Cloud מתעדת יומני ביקורת, אבל לא משתמשת בדגל הזה לצורך ביקורת. מידע נוסף זמין במאמר בנושא יומני ביקורת. | |
| 3 | הגדרה של Control Plane | ||||
| 3.2.2 | מוודאים שמדיניות הביקורת כוללת את בעיות האבטחה העיקריות (ידני) | L2 | האימות נכשל | ||
| 4 | הגדרת אבטחה של צומת Worker | ||||
| 4.1.1 | מוודאים שההרשאות של קובץ השירות kubelet מוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי) |
L1 | האימות נכשל | 755 |
|
| 4.1.7 | מוודאים שהרשאות הקובץ של רשויות האישורים מוגדרות ל-644 או להרשאות מגבילות יותר (ידני) |
L1 | האימות נכשל | ||
| 4.1.9 | מוודאים שקובץ ההגדרות של kubelet --config כולל הרשאות שמוגדרות ל-644 או להרשאות מגבילות יותר (אוטומטי). |
L1 | האימות נכשל | 644 |
|
| 4.2.4 | מוודאים שהארגומנט --read-only-port מוגדר לערך 0 (ידני). |
L1 | האימות נכשל | באשכולות מחוברים של Distributed Cloud, הארגומנט --read-only-port מוגדר ל-10255 לצורך איסוף מדדי kubelet. |
|
| 4.2.9 | מוודאים שהארגומנט --event-qps מוגדר לערך 0 או לרמה שמבטיחה תיעוד מתאים של האירוע (ידני) |
L1 | שליטה מקבילה | באמצעות הדגל –rotate-server-certificates, קלאסטרים של Distributed Cloud מנהלים את ה-TLS של שרת kubelet. |
|
| 4.2.13 | מוודאים ש-Kubelet משתמש רק בצפנים קריפטוגרפיים חזקים (ידני) | L1 | האימות נכשל |