|
Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar. |
SUSE Rancher Prime Sicherheitsleitfäden
SicherheitsrichtlinieRancher Labs unterstützt verantwortungsvolle Offenlegung und bemüht sich, alle Probleme in einem angemessenen Zeitrahmen zu lösen. |
MeldeprozessBitte senden Sie mögliche Sicherheitsprobleme per E-Mail an security-rancher@suse.com. |
AnkündigungenAbonnieren Sie das Rancher-Ankündigungsforum für Aktualisierungen zu Veröffentlichungen. |
Sicherheit steht im Mittelpunkt aller Rancher-Funktionen. Von der Integration mit allen gängigen Authentifizierungswerkzeugen und -diensten bis hin zu einer Unternehmensklasse RBAC-Funktionalität macht Rancher Ihre Kubernetes-Cluster noch sicherer.
Auf dieser Seite stellen wir sicherheitsrelevante Dokumentationen sowie Ressourcen zur Verfügung, die Ihnen helfen, Ihre Rancher-Installation und Ihre Downstream-Kubernetes-Cluster abzusichern.
SUSE Security Integration mit Rancher
NeuVector ist eine Open-Source-Sicherheitsanwendung, die sich auf Container konzentriert und jetzt in Rancher integriert ist. NeuVector bietet Produktionssicherheit, DevOps-Schutz vor Schwachstellen und eine Container-Firewall usw. Bitte siehe die Rancher-Dokumentation und die SUSE Security Dokumente für weitere Informationen.
Durchführung eines Compliance-Sicherheits-Scans auf einem Kubernetes-Cluster
Rancher nutzt kube-bench, um einen Sicherheits-Scan durchzuführen, um zu überprüfen, ob Kubernetes gemäß den besten Sicherheitspraktiken bereitgestellt wurde.
Wenn Rancher einen Compliance-Scan auf einem Cluster durchführt, wird ein Bericht erstellt, der die Ergebnisse jedes Tests zeigt, einschließlich einer Zusammenfassung mit der Anzahl der bestandenen, übersprungenen und fehlgeschlagenen Tests. Der Bericht enthält auch Maßnahmen zur Behebung von fehlgeschlagenen Tests.
Für Details siehe den Abschnitt über Sicherheits-Scans.
SELinux RPM
Wir bieten drei RPMs (RPM Package Manager) an, die es Rancher-Produkten ermöglichen, ordnungsgemäß auf SELinux-durchsetzenden Hosts zu funktionieren: rancher-selinux, rke2-selinux und k3s-selinux. Für Details siehe diese Seite.
Rancher-Härtungsleitfaden
Der Rancher-Härtungsleitfaden basiert auf Kontrollen und Best Practices, die im CIS Kubernetes Benchmark des Center for Internet Security zu finden sind.
Die Härtungsleitfäden bieten präskriptive Anleitungen zur Härtung einer Produktionsinstallation von Rancher. Siehe die Leitfäden von Rancher für Selbsteinschätzung des CIS Kubernetes Benchmark für die vollständige Liste der Sicherheitskontrollen.
Die Härtungsleitfäden beschreiben, wie die Knoten in Ihrem Cluster gesichert werden, und es wird empfohlen, einen Härtungsleitfaden zu befolgen, bevor Sie Kubernetes installieren.
Jede Version des Härtungsleitfadens ist für die Verwendung mit spezifischen Versionen des CIS Kubernetes Benchmark, Kubernetes und Rancher vorgesehen.
Der CIS-Benchmark und die Selbsteinschätzung
Die Selbsteinschätzung des Benchmarks ist ein Begleitdokument zum Rancher-Sicherheits-Härtungsleitfaden. Während der Härtungsleitfaden Ihnen zeigt, wie Sie den Cluster härten, soll der Benchmarkleitfaden Ihnen helfen, das Sicherheitsniveau des gehärteten Clusters zu bewerten.
Dieser Leitfaden führt durch die verschiedenen Kontrollen und bietet aktualisierte Beispielbefehle zur Überprüfung der Konformität in von Rancher erstellten Clustern. Die ursprünglichen Benchmarkdokumente können von der CIS-Website heruntergeladen werden.
Jede Version des Selbstbewertungsleitfadens von Rancher entspricht spezifischen Versionen des Härtungsleitfadens, Rancher, Kubernetes und des CIS-Benchmarks.
Penetrationstestberichte von Dritten
Rancher beauftragt regelmäßig Dritte, Sicherheitsaudits und Penetrationstests des Rancher-Software-Stack durchzuführen. Die getesteten Umgebungen folgen den von Rancher bereitgestellten Härtungsleitfäden zum Zeitpunkt der Tests. Frühere Penetrationstestberichte sind unten verfügbar.
Ergebnisse:
Bitte beachten Sie, dass neue Berichte nicht mehr geteilt oder öffentlich zugänglich gemacht werden.
Rancher Sicherheitswarnungen und CVEs
Rancher verpflichtet sich, die Gemeinschaft über Sicherheitsprobleme in unseren Produkten zu informieren. Für die Liste der CVEs (Common Vulnerabilities and Exposures) zu Problemen, die wir behoben haben, siehe diese Seite.
Kubernetes Security Best Practices
Für Empfehlungen zur Absicherung Ihres Kubernetes-Clusters siehe den Kubernetes Cluster Sicherheits-Best-Practices Leitfaden.
Rancher Sicherheits-Best-Practices
Für Empfehlungen zur Absicherung Ihrer Rancher Manager Implementierungen siehe den Rancher Sicherheits-Best-Practices Leitfaden.
Rancher Kubernetes Distributionen (K3s/RKE2) Selbstbewertungs- und Härtungsleitfäden
Rancher verwendet die folgenden Kubernetes-Distributionen:
-
RKE2 ist eine vollständig konforme Kubernetes-Distribution, die sich auf Sicherheit und Compliance innerhalb der USA konzentriert. US-Bundesbehörden liegt.
-
K3s ist eine vollständig konforme, leichtgewichtige Kubernetes-Distribution. Es ist einfach zu installieren, mit der Hälfte des Speicherbedarfs von Upstream Kubernetes, alles in einer Binärdatei von weniger als 100 MB.
Um einen Kubernetes-Cluster zu härten, der eine andere Distribution als die aufgeführten verwendet, siehe die Dokumentation Ihres Kubernetes-Anbieters.
Härtungsleitfäden und Benchmark-Versionen
Jeder Selbstbewertungsleitfaden wird von einem Härtungsleitfaden begleitet. Diese Leitfäden wurden zusammen mit den aufgeführten Rancher-Versionen getestet. Jeder Selbstbewertungsleitfaden wurde auf einer bestimmten Kubernetes-Version und CIS-Benchmark-Version getestet. Wenn ein CIS-Benchmark für Ihre Kubernetes-Version nicht validiert wurde, können Sie die vorhandenen Leitfäden verwenden, bis ein Leitfaden für Ihre Version hinzugefügt wird.