Auf dieser Seite wird die CIS Kubernetes-Benchmark vorgestellt. Außerdem finden Sie eine Bewertung und eine Erklärung, was Google Distributed Cloud tut, um die Empfehlungen umzusetzen.
CIS-Benchmark
Das Center for Internet Security (CIS) veröffentlicht Benchmarks für Best-Practice-Sicherheitsempfehlungen. Die CIS-Kubernetes-Benchmark besteht aus einer Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. Die Benchmark ist an einen bestimmten Kubernetes-Release gebunden. Die CIS-Kubernetes-Benchmark wurde für die Open-Source-Kubernetes-Distribution geschrieben und soll möglichst universell auf alle Distributionen anwendbar sein.
Versionen
In der folgenden Tabelle sind die Versionen von Distributed Cloud, Kubernetes und dem CIS Kubernetes Benchmark aufgeführt, die zur Durchführung der in diesem Dokument beschriebenen Bewertung verwendet wurden:
| Distributed Cloud-Version | Kubernetes-Version | Version der CIS-Kubernetes-Benchmark |
|---|---|---|
| 1.4.0 – Lokale Steuerungsebene | 1,25 | 1,70 |
Auf die Benchmark zugreifen
Die CIS-Kubernetes-Benchmark steht auf der CIS-Website zur Verfügung.
Empfehlungsstufen
In der CIS-Kubernetes-Benchmark:
| Stufe | Beschreibung |
|---|---|
| Stufe 1 | Die Empfehlungen sollen: |
| Stufe 2 | Erweitert das Profil von Stufe 1. Die Empfehlungen weisen eine oder mehrere der folgenden Eigenschaften auf: |
Prüfungsstatus
Für jede Empfehlung wird ein Bewertungsstatus angegeben. Der Prüfungsstatus gibt an, ob die angegebene Empfehlung automatisiert werden kann oder ob manuelle Schritte erforderlich sind. Beide Statuswerte sind wichtig und werden von uns entsprechend festgelegt:
| Bewertungen | Beschreibung |
|---|---|
| Automatisiert | Empfehlungen, für die die Prüfung einer technischen Kontrolle vollständig automatisiert werden kann und im Status „Bestanden” oder „Nicht bestanden” validiert wird Empfehlungen enthalten die erforderlichen Informationen zur Implementierung der Automatisierung. |
| Manuell | Empfehlungen, für die die Prüfung einer technischen Kontrolle nicht vollständig automatisiert werden kann, sind vollständig oder teilweise manuell überprüft, um zu prüfen, ob der konfigurierte Status wie erwartet konfiguriert ist. Der erwartete Zustand kann je nach Umgebung variieren. |
Status von Clustern der lokalen Steuerungsebene von Distributed Cloud
| # | Empfehlung | Level | Status |
|---|---|---|---|
| 1 | Sicherheitskonfiguration der Steuerungsebene | ||
| 1.1 | Konfigurationsdateien des Knotens der Steuerungsebene | ||
| 1.1.1 | Achten Sie darauf, dass die Berechtigungen für die Pod-Spezifikationsdatei des API-Servers auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.2 | Achten Sie darauf, dass die Eigentümerschaft für die Pod-Spezifikationsdatei des API-Servers auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.1.3 | Achten Sie darauf, dass die Berechtigungen für die Pod-Spezifikationsdatei des Controller-Managers auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.4 | Achten Sie darauf, dass die Eigentümerschaft für die Pod-Spezifikationsdatei des Controller-Managers auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.1.5 | Achten Sie darauf, dass die Berechtigungen für die Pod-Spezifikationsdatei des Planers auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.6 | Achten Sie darauf, dass die Eigentümerschaft für die Pod-Spezifikationsdatei des Planers auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.1.7 | Achten Sie darauf, dass die Berechtigungen für die Pod-Spezifikationsdatei von etcd auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.8 | Achten Sie darauf, dass die Eigentümerschaft für die Pod-Spezifikationsdatei von etcd auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.1.9 | Achten Sie darauf, dass die Berechtigungen für die Container Network Interface-Datei auf 644 oder restriktiver festgelegt sind (manuell). |
S1 | Gleichwertige Kontrolle |
| 1.1.10 | Achten Sie darauf, dass Eigentümerschaft für die Container Network Interface-Datei auf root:root festgelegt ist (manuell). |
S1 | Bestanden |
| 1.1.11 | Achten Sie darauf, dass die Berechtigungen für das etcd-Datenverzeichnis auf 700 oder restriktiver festgelegt sind (automatisiert). |
S1 | Gleichwertige Kontrolle |
| 1.1.12 | Achten Sie darauf, dass die Eigentümerschaft für das etcd-Datenverzeichnisses auf etcd:etcd festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle |
| 1.1.13 | Achten Sie darauf, dass die Berechtigungen für die Datei admin.conf auf 600 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.14 | Achten Sie darauf, dass die Eigentümerschaft für die Datei admin.conf auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.1.15 | Achten Sie darauf, dass die Berechtigungen für die Datei scheduler.conf auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.16 | Achten Sie darauf, dass die Eigentümerschaft für die Datei scheduler.conf auf root:root festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle |
| 1.1.17 | Achten Sie darauf, dass die Berechtigungen für die Datei controller-manager.conf auf 644 oder restriktiver festgelegt sind (automatisiert). |
S1 | Bestanden |
| 1.1.18 | Achten Sie darauf, dass die Eigentümerschaft für die Datei controller-manager.conf auf root:root festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle |
| 1.1.19 | Achten Sie darauf, dass die Eigentümerschaft für das Kubernetes PKI-Verzeichnis und die Datei auf root:root festgelegt sind (automatisiert). |
S1 | Gleichwertige Kontrolle |
| 1.1.20 | Achten Sie darauf, dass die Berechtigungen für die Kubernetes-PKI-Zertifikatsdatei auf 644 oder restriktiver festgelegt sind (manuell). |
S1 | Gleichwertige Kontrolle |
| 1.1.21 | Achten Sie darauf, dass die Berechtigungen für die Kubernetes-PKI-Schlüsseldatei auf 600 festgelegt sind (manuell). |
S1 | Bestanden |
| 1.2 | API-Server | ||
| 1.2.1 | Achten Sie darauf, dass das Argument --anonymous-auth auf "false" festgelegt ist (manuell). |
S1 | Bestanden |
| 1.2.2 | Der Parameter --token-auth-file darf nicht festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.3 | Der Parameter --DenyServiceExternalIPs darf nicht festgelegt sein (automatisiert). |
S1 | Nicht bestanden |
| 1.2.4 | Die Argumente --kubelet-client-certificate und --kubelet-client-key müssen entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.5 | Das Argument --kubelet-certificate-authority muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.6 | Das Argument --authorization-mode darf nicht auf "AlwaysAllow" festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.7 | Das Argument --authorization-mode muss Node enthalten (automatisiert). |
S1 | Bestanden |
| 1.2.8 | Das Argument --authorization-mode muss RBAC enthalten (automatisiert). |
S1 | Nicht bestanden |
| 1.2.9 | Das Zugangskontroll-Plug-in "EventRateLimit" muss festgelegt sein (manuell). | S1 | Bestanden |
| 1.2.10 | Das Zugangskontroll-Plug-in "AlwaysAdmit" darf nicht festgelegt sein (automatisiert). | S1 | Bestanden |
| 1.2.11 | Das Zugangskontroll-Plug-in "AlwaysPullImages" muss festgelegt sein (manuell). | S1 | Nicht bestanden |
| 1.2.12 | Das Zugangskontroll-Plug-in "SecurityContextDeny" muss festgelegt sein, wenn "PodSecurityPolicy" nicht verwendet wird (manuell). | S1 | Warnen |
| 1.2.13 | Das Zugangskontroll-Plug-in "ServiceAccount" muss festgelegt sein (automatisiert). | S1 | Bestanden |
| 1.2.14 | Das Zugangskontroll-Plug-in "NamespaceLifecycle" muss festgelegt sein (automatisiert). | S1 | Bestanden |
| 1.2.15 | Das Zugangskontroll-Plug-in "NodeRestriction" muss festgelegt sein (automatisiert). | S1 | Bestanden |
| 1.2.16 | Das Argument --secure-port darf nicht auf 0 festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.17 | Achten Sie darauf, dass das Argument --profiling auf "false" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.2.18 | Das Argument --audit-log-path muss festgelegt sein (automatisiert). |
S1 | Nicht bestanden |
| 1.2.19 | Achten Sie darauf, dass das Argument --audit-log-maxage auf 30 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden |
| 1.2.20 | Achten Sie darauf, dass das Argument --audit-log-maxbackup auf 10 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden |
| 1.2.21 | Achten Sie darauf, dass das Argument --audit-log-maxsize auf 100 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden |
| 1.2.22 | Das Argument --request-timeout muss entsprechend festgelegt sein (manuell). |
S1 | Nicht bestanden |
| 1.2.23 | Achten Sie darauf, dass das Argument --service-account-lookup auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.2.24 | Das Argument --service-account-key-file muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.25 | Die Argumente --etcd-certfile und --etcd-keyfile müssen entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.26 | Die Argumente --tls-cert-file und --tls-private-key-file müssen entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.27 | Das Argument --client-ca-file muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.28 | Das Argument --etcd-cafile muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.2.29 | Das Argument --encryption-provider-config muss entsprechend festgelegt sein (manuell). |
S1 | Bestanden |
| 1.2.30 | Verschlüsselungsanbieter sollten entsprechend konfiguriert sein (manuell). | S1 | Bestanden |
| 1.2.31 | Der API-Server darf nur starke kryptografische Chiffren verwenden (manuell). | S1 | Bestanden |
| 1.3 | Controller-Manager | ||
| 1.3.1 | Das Argument --terminated-pod-gc-threshold muss entsprechend festgelegt sein (manuell). |
S1 | Bestanden |
| 1.3.2 | Achten Sie darauf, dass das Argument --profiling auf "false" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.3.3 | Achten Sie darauf, dass das Argument --use-service-account-credentials auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.3.4 | Das Argument --service-account-private-key-file muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.3.5 | Das Argument --root-ca-file muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.3.6 | Das Argument "RotateKubeletServerCertificate" muss auf "true" festgelegt sein (automatisiert). | S2 | Bestanden |
| 1.3.7 | Das Argument --bind-address muss auf 127.0.0.1 festgelegt sein (automatisiert). |
S1 | Bestanden |
| 1.4 | Planer | ||
| 1.4.1 | Achten Sie darauf, dass das Argument --profiling auf "false" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 1.4.2 | Das Argument --bind-address muss auf 127.0.0.1 festgelegt sein (automatisiert). |
S1 | Bestanden |
| 2 | ** etcd Knotenkonfiguration** |
||
| 2.1 | Die Argumente --cert-file und --key-file müssen entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 2,2 | Achten Sie darauf, dass das Argument --client-cert-auth auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 2,3 | Achten Sie darauf, dass das Argument --auto-tls nicht auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 2.4 | Die Argumente --peer-cert-file und --peer-key-file müssen entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 2,5 | Achten Sie darauf, dass das Argument --peer-client-cert-auth auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 2,6 | Achten Sie darauf, dass das Argument --peer-auto-tls nicht auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 2.7 | Für etcd muss eine eindeutige Zertifizierungsstelle verwendet werden (manuell). | S2 | Bestanden |
| 3 | Konfiguration der Steuerungsebene | ||
| 3.1 | Authentifizierung und Autorisierung | ||
| 3.1.1 | Die Clientzertifikatsauthentifizierung sollte nicht für Nutzer verwendet werden (manuell). | S2 | Bestanden |
| 3.2 | Logging | ||
| 3.2.1 | Eine Audit-Mindestrichtlinie muss erstellt sein (manuell). | S1 | Bestanden |
| 3.2.2 | Die Audit-Richtlinie muss wichtige Sicherheitsaspekte abdecken (manuell). | S2 | Nicht bestanden |
| 4 | Sicherheitskonfiguration des Worker-Knotens | ||
| 4.1 | Konfigurationsdateien der Worker-Knoten | ||
| 4.1.1 | Die Berechtigungen für die kubelet-Servicedatei müssen auf 644 festgelegt oder restriktiver sein (automatisiert). |
S1 | Nicht bestanden |
| 4.1.2 | Die Eigentümerschaft der kubelet-Servicedatei muss auf root:root festgelegt sein (automatisiert). |
S1 | Bestanden |
| 4.1.3 | Wenn die Proxy-kubeconfig-Datei vorhanden ist, müssen die Berechtigungen auf 644 oder restriktiver festgelegt sein (manuell). |
S1 | Bestanden |
| 4.1.4 | Wenn die Proxy-kubeconfig-Datei vorhanden ist, müssen Sie die Inhaberschaft auf root:root festlegen (manuell). |
S1 | Bestanden |
| 4.1.5 | Die Berechtigungen für die Datei --kubeconfig kubelet.conf müssen auf 644 festgelegt oder restriktiver sein (automatisiert). |
S1 | Bestanden |
| 4.1.6 | Achten Sie darauf, dass die Eigentümerschaft für die Datei --kubeconfig kubelet.conf auf root:root festgelegt ist (automatisiert). |
S1 | Bestanden |
| 4.1.7 | Die Berechtigungen für die Zertifizierungsstellendatei muss auf 644 festgelegt oder restriktiver sein (manuell). |
S1 | Nicht bestanden |
| 4.1.8 | Die Eigentümerschaft für die Client-Zertifizierungsstellendatei muss auf root:root festgelegt sein (manuell). |
S1 | Bestanden |
| 4.1.9 | Die Berechtigungen für die Konfigurationsdatei kubelet --config müssen auf 644 festgelegt oder restriktiver sein (automatisiert). |
S1 | Nicht bestanden |
| 4.1.10 | Die Eigentümerschaft für die Konfigurationsdatei kubelet --config muss auf root:root festgelegt sein (automatisiert). |
S1 | Bestanden |
| 4.2 | Kubelet | ||
| 4.2.1 | Achten Sie darauf, dass das Argument --anonymous-auth auf "false" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 4.2.2 | Das Argument --authorization-mode darf nicht auf "AlwaysAllow" festgelegt sein (automatisiert). |
S1 | Bestanden |
| 4.2.3 | Das Argument --client-ca-file muss entsprechend festgelegt sein (automatisiert). |
S1 | Bestanden |
| 4.2.4 | Das Argument --read-only-port muss auf 0 festgelegt ist (manuell). |
S1 | Nicht bestanden |
| 4.2.5 | Das Argument --streaming-connection-idle-timeout darf nicht auf 0 gesetzt sein (manuell). |
S1 | Bestanden |
| 4.2.6 | Achten Sie darauf, dass das Argument --protect-kernel-defaults auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 4.2.7 | Achten Sie darauf, dass das Argument --make-iptables-util-chains auf "true" festgelegt ist (automatisiert). |
S1 | Bestanden |
| 4.2.8 | Das Argument --hostname-override darf nicht festgelegt sein (manuell). |
S2 | Bestanden |
| 4.2.9 | Achten Sie darauf, dass das Argument --event-qps auf 0 oder eine Ebene gesetzt ist, die geeignete Ereigniserfassung ermöglicht (manuell). |
S1 | Gleichwertige Kontrolle |
| 4.2.10 | Die Argumente --tls-cert-file und --tls-private-key-file müssen entsprechend festgelegt sein (manuell). |
S1 | Bestanden |
| 4.2.11 | Das Argument --rotate-certificates darf nicht auf „false” gesetzt sein (automatisiert). |
S1 | Bestanden |
| 4.2.12 | Das Argument "RotateletServerCertificate" muss auf "true" festgelegt sein (manuell). | S1 | Bestanden |
| 4.2.13 | Achten Sie darauf, dass das Kubelet nur starke kryptografische Chiffren verwendet (manuell). | S1 | Nicht bestanden |
Fehler und entsprechende Kontrollen für lokale Steuerungsebenencluster von Distributed Cloud
| # | Empfehlung | Level | Status | Wert | Begründung |
|---|---|---|---|---|---|
| 1 | Sicherheitskonfiguration der Steuerungsebene | ||||
| 1.1.9 | Achten Sie darauf, dass die Berechtigungen für die Container Network Interface-Datei auf 644 oder restriktiver festgelegt sind (manuell). |
S1 | Gleichwertige Kontrolle | 755 |
Keine. |
| 1.1.11 | Achten Sie darauf, dass die Berechtigungen für das Datenverzeichnis etcd auf 700 oder restriktiver festgelegt sind (automatisiert). |
S1 | Gleichwertige Kontrolle | 755 |
Das Datenverzeichnis etcd hat die Standardberechtigungen 755, die zugehörigen Unterverzeichnisse verwenden jedoch 700. |
| 1.1.12 | Achten Sie darauf, dass die Eigentümerschaft für das Datenverzeichnis etcd auf etcd:etcd festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle | 2003:2003 |
Das etcd-Datenverzeichnis /var/lib/etcd gehört 2003:2003 aufgrund der rootlosen Steuerungsebene für erhöhte Sicherheit. |
| 1.1.16 | Achten Sie darauf, dass die Eigentümerschaft für die Datei scheduler.conf auf root:root festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle | 2002:2002 |
scheduler.conf gehört 2002:2002 aufgrund der rootlosen Steuerungsebene für erhöhte Sicherheit. |
| 1.1.18 | Achten Sie darauf, dass die Eigentümerschaft für die Datei controller-manager.conf auf root:root festgelegt ist (automatisiert). |
S1 | Gleichwertige Kontrolle | 2001:2001 |
controller-manager.conf gehört 2001:2001 aufgrund der rootlosen Steuerungsebene für erhöhte Sicherheit. |
| 1.1.19 | Achten Sie darauf, dass die Eigentümerschaft für das Kubernetes PKI-Verzeichnis und die Datei auf root:root festgelegt sind (automatisiert). |
S1 | Gleichwertige Kontrolle | Variabel | Das PKI-Verzeichnis /etc/kubernetes/pki gehört root:root. Die Dateien im Verzeichnis haben verschiedene Eigentümer. Dies liegt an der rootlosen Steuerungsebene für erhöhte Sicherheit. |
| 1.1.20 | Achten Sie darauf, dass die Berechtigungen für die Kubernetes-PKI-Zertifikatsdatei auf 644 oder restriktiver festgelegt sind (manuell). |
S1 | Gleichwertige Kontrolle | 644 |
Dies liegt an der rootlosen Steuerungsebene für erhöhte Sicherheit. |
| 1.2 | API-Server | ||||
| 1.2.3 | Der Parameter --DenyServiceExternalIPs darf nicht festgelegt sein (automatisiert). |
S1 | Nicht bestanden | ||
| 1.2.9 | Das Argument --authorization-mode muss RBAC enthalten (automatisiert). |
S1 | Nicht bestanden | Der EventRateLimit-Zugangs-Controller ist ein Kubernetes-Alphafeature. Google Distributed Cloud unterstützt keine Funktionen, die sich nicht in der GA-Phase befinden. | |
| 1.2.11 | Das Zugangskontroll-Plug-in AlwaysAdmit darf nicht festgelegt sein (automatisiert). |
S1 | Nicht bestanden | ||
| 1.2.12 | Das Zugangskontroll-Plug-in AlwaysPullImages muss festgelegt sein (manuell). |
S1 | Nicht bestanden | Die Zugangssteuerung AlwaysPullImages bietet einen gewissen Schutz für private Registry-Images in nicht operativen Clustern mit mehreren Instanzen. Dafür müssen Container-Registries als Single Point of Failure zur Erstellung neuer Pods im gesamten Cluster dienen. In Distributed Cloud-Clustern ist der AlwaysPullImages-Zugangs-Controller nicht aktiviert. Es liegt im Ermessen der Clusteradministratoren, diesen Kompromiss einzugehen und die Zugangsrichtlinie zu implementieren. |
|
| 1.2.18 | Das Argument --audit-log-path muss festgelegt sein (automatisiert). |
S1 | Nicht bestanden | Distributed Cloud erfasst Audit-Logs, verwendet dieses Flag jedoch nicht für Audits. Weitere Informationen finden Sie unter Audit-Logging. | |
| 1.2.19 | Achten Sie darauf, dass das Argument --audit-log-maxage auf 30 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden | Distributed Cloud erfasst Audit-Logs, verwendet dieses Flag jedoch nicht für Audits. Weitere Informationen finden Sie unter Audit-Logging. | |
| 1.2.20 | Achten Sie darauf, dass das Argument --audit-log-maxbackup auf 10 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden | Distributed Cloud erfasst Audit-Logs, verwendet dieses Flag jedoch nicht für Audits. Weitere Informationen finden Sie unter Audit-Logging. | |
| 1.2.21 | Achten Sie darauf, dass das Argument --audit-log-maxsize auf 100 oder nach Bedarf festgelegt ist (automatisiert). |
S1 | Nicht bestanden | Distributed Cloud erfasst Audit-Logs, verwendet dieses Flag jedoch nicht für Audits. Weitere Informationen finden Sie unter Audit-Logging. | |
| 1.2.22 | Das Argument --request-timeout muss entsprechend festgelegt sein (manuell). |
S1 | Nicht bestanden | Distributed Cloud erfasst Audit-Logs, verwendet dieses Flag jedoch nicht für Audits. Weitere Informationen finden Sie unter Audit-Logging. | |
| 3 | Konfiguration der Steuerungsebene | ||||
| 3.2.2 | Die Audit-Richtlinie muss wichtige Sicherheitsaspekte abdecken (manuell). | S2 | Nicht bestanden | ||
| 4 | Sicherheitskonfiguration des Worker-Knotens | ||||
| 4.1.1 | Die Berechtigungen für die kubelet-Servicedatei müssen auf 644 festgelegt oder restriktiver sein (automatisiert). |
S1 | Nicht bestanden | 755 |
|
| 4.1.7 | Die Berechtigungen für die Zertifizierungsstellendatei muss auf 644 festgelegt oder restriktiver sein (manuell). |
S1 | Nicht bestanden | ||
| 4.1.9 | Die Berechtigungen für die Konfigurationsdatei kubelet --config müssen auf 644 festgelegt oder restriktiver sein (automatisiert). |
S1 | Nicht bestanden | 644 |
|
| 4.2.4 | Das Argument --read-only-port muss auf 0 festgelegt ist (manuell). |
S1 | Nicht bestanden | In Distributed Cloud-Clustern wird das Argument --read-only-port auf 10255 gesetzt, um kubelet-Messwerte zu erfassen. |
|
| 4.2.9 | Achten Sie darauf, dass das Argument --event-qps auf 0 oder eine Ebene gesetzt ist, die geeignete Ereigniserfassung ermöglicht (manuell). |
S1 | Gleichwertige Kontrolle | In Distributed Cloud-Clustern wird die Kubelet-Server-TLS mit dem Flag –rotate-server-certificates verwaltet. |
|
| 4.2.13 | Achten Sie darauf, dass das Kubelet nur starke kryptografische Chiffren verwendet (manuell). | S1 | Nicht bestanden |