Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Compliance-Scans

Rancher kann einen Sicherheits-Scan durchführen, um zu überprüfen, ob ein Cluster gemäß den Sicherheitsbestimmungen, die in den Kubernetes-Sicherheitsbenchmarks definiert sind, bereitgestellt wurde, wie sie beispielsweise von STIG, BSI oder CIS bereitgestellt werden. Die Compliance-Scans können auf jedem Kubernetes-Cluster durchgeführt werden, einschließlich gehosteter Kubernetes-Anbieter wie EKS, AKS und GKE.

Die rancher-compliance App nutzt kube-bench,, ein Open-Source-Tool von Aqua Security, um die Konformität von Clustern mit den Kubernetes-Benchmarks zu überprüfen. Um außerdem einen clusterweiten Bericht zu erstellen, verwendet die Anwendung Sonobuoy zur Berichtsaggregation.

Über den CIS-Benchmark

Das Center for Internet Security ist eine gemeinnützige Organisation nach 501(c)(3), die im Oktober 2000 gegründet wurde, mit dem Ziel, "beste Praktiken für Cyberabwehr zu identifizieren, zu entwickeln, zu validieren, zu fördern und aufrechtzuerhalten sowie Gemeinschaften zu bilden und zu leiten, um ein vertrauensvolles Umfeld im Cyberspace zu ermöglichen". Die Organisation hat ihren Sitz in East Greenbush, New York, und zu den Mitgliedern gehören große Unternehmen, Regierungsbehörden und akademische Institutionen.

CIS-Benchmarks sind bewährte Verfahren für die sichere Konfiguration eines Zielsystems. CIS-Benchmarks werden durch die großzügigen freiwilligen Bemühungen von Fachexperten, Technologieanbietern, Mitgliedern der öffentlichen und privaten Gemeinschaft sowie dem CIS-Benchmark-Entwicklungsteam entwickelt.

Registrieren Sie sich auf der CIS-Website, um die offiziellen Benchmark-Dokumente einzusehen.

Über den generierten Bericht

Jeder Scan generiert einen Bericht, der in der Rancher-Benutzeroberfläche angezeigt und im CSV-Format heruntergeladen werden kann.

Standardmäßig wird der CIS-Benchmark v1.6 verwendet.

Die Benchmark-Version ist im generierten Bericht enthalten.

Die Benchmark gibt Empfehlungen von zwei Arten: Automatisiert und manuell. Empfehlungen, die im Benchmark als manuell gekennzeichnet sind, sind nicht im generierten Bericht enthalten.

Einige Tests sind als "Nicht anwendbar" gekennzeichnet. Diese Tests werden bei einem CIS-Scan nicht ausgeführt, da Rancher RKE2/K3s-Cluster auf diese Weise bereitstellt. Für Informationen darüber, wie Testergebnisse geprüft werden können und warum einige Tests als nicht anwendbar gekennzeichnet sind, siehe Ranchers Selbstbewertungsleitfaden für die entsprechende Kubernetes-Version.

Der Bericht enthält folgende Informationen:

Spalte im Bericht Beschreibung

id

Die ID-Nummer des CIS-Benchmarks.

description

Die Beschreibung des CIS-Benchmark-Tests.

remediation

Was behoben werden muss, um den Test zu bestehen.

state

Gibt an, ob der Test bestanden, fehlgeschlagen, übersprungen oder nicht anwendbar war.

node_type

Die Knotenrolle, die beeinflusst, welche Tests auf dem Knoten ausgeführt werden. Master-Tests werden auf Controlplane-Knoten ausgeführt, etcd-Tests werden auf etcd-Knoten ausgeführt, und Knoten-Tests werden auf den Arbeitsknoten ausgeführt.

audit

Dies ist der Audit-Check, den kube-bench für diesen Test durchführt.

audit_config

Alle Konfigurationen, die für das Audit-Skript anwendbar sind.

test_info

Testbezogene Informationen, wie von kube-bench gemeldet, falls vorhanden.

commands

Testbezogene Befehle, wie von kube-bench gemeldet, falls vorhanden.

config_commands

Testbezogene Konfigurationsdaten, wie von kube-bench gemeldet, falls vorhanden.

actual_value

Der tatsächliche Wert des Tests, vorhanden, wenn von kube-bench gemeldet.

expected_result

Das erwartete Ergebnis des Tests, vorhanden, wenn von kube-bench gemeldet.

Bitte beziehen Sie sich auf die Tabelle im Leitfaden zur Clusterhärtung für Informationen darüber, welche Versionen von Kubernetes, dem Benchmark, Rancher und unserem Leitfaden zur Clusterhärtung miteinander korrespondieren. Bitte beziehen Sie sich auch auf den Leitfaden zur Härtung für Konfigurationsdateien von CIS-konformen Clustern und Informationen zur Behebung fehlgeschlagener Tests.

Testprofile

Die folgenden Profile sind verfügbar:

  • Generisches CIS 1.6

  • Generisches CIS 1.20

  • Generisches CIS 1.23

  • RKE2 permissiv 1.6

  • RKE2 gehärtet 1.6

  • RKE2 permissiv 1.20

  • RKE2 gehärtet 1.20

  • RKE2 permissiv 1.23

  • RKE2 gehärtet 1.23

  • K3s permissiv 1.6

  • K3s gehärtet 1.6

  • K3s permissiv 1.20

  • K3s gehärtet 1.20

  • K3s permissiv 1.23

  • K3s gehärtet 1.23

  • AKS

  • EKS

  • GKE

Sie haben auch die Möglichkeit, ein Profil anzupassen, indem Sie eine Reihe von Tests speichern, die übersprungen werden sollen.

Alle Profile haben eine Reihe von nicht anwendbaren Tests, die während des CIS-Scans übersprungen werden. Diese Tests sind nicht anwendbar, basierend darauf, wie ein RKE2/K3s-Cluster Kubernetes verwaltet.

Es gibt zwei Arten von RKE2/K3s-Cluster-Scan-Profilen:

  • Permissiv: Dieses Profil hat eine Reihe von Tests, die übersprungen werden, da diese Tests in einem Standard-RKE2/K3s-Kubernetes-Cluster fehlschlagen würden. Neben der Liste der übersprungenen Tests wird das Profil auch die nicht anwendbaren Tests nicht ausführen.

  • Gehärtet: Dieses Profil wird keine Tests überspringen, außer den nicht anwendbaren Tests.

Die EKS- und GKE-Cluster-Scan-Profile basieren auf CIS-Benchmark-Versionen, die spezifisch für diese Arten von Clustern sind.

Um das "Härtungsprofil" zu bestehen, müssen Sie die Schritte im Härtungsleitfaden befolgen und das im Härtungsleitfaden definierte cluster.yml verwenden, um einen gehärteten Cluster bereitzustellen.

Das Standardprofil und die unterstützte CIS-Benchmark-Version hängen von der Art des Clusters ab, der gescannt werden soll:

Der rancher-compliance unterstützt die CIS 1.9-Benchmark-Version.

  • Für RKE2-Kubernetes-Cluster ist das RKE2 Permissive 1.9-Profil das Standardprofil.

  • EKS und GKE haben ihre eigenen CIS-Benchmarks, die von kube-bench veröffentlicht wurden. Die entsprechenden Profile werden standardmäßig für diese Cluster verwendet.

  • Für Clusterarten, die nicht RKE2, EKS und GKE sind, wird standardmäßig das Generic CIS 1.5-Profil verwendet.

Über übersprungene und nicht anwendbare Tests

Derzeit werden nur benutzerdefinierte übersprungene Tests im generierten Bericht als übersprungen markiert.

Alle übersprungenen Tests, die von einem der Standardprofile als übersprungen definiert sind, werden als nicht anwendbar markiert.

Rollenbasierte Zugriffskontrolle

Für Informationen zu Berechtigungen siehe diese Seite

Konfiguration

Für weitere Informationen zur Konfiguration der benutzerdefinierten Ressourcen für die Scans, Profile und Benchmark-Versionen siehe diese Seite

Anleitungen

Bitte beziehen Sie sich auf die Compliance-Scan-Anleitungen, um zu erfahren, wie man Compliance-Scans durchführt.