Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Escaneos de Cumplimiento

Rancher puede ejecutar un escaneo de seguridad para verificar si un clúster está desplegado de acuerdo con las mejores prácticas de seguridad definidas en los estándares de seguridad de Kubernetes, como los proporcionados por STIG, BSI o CIS. Los escaneos de cumplimiento pueden ejecutarse en cualquier clúster de Kubernetes, incluidos los proveedores de Kubernetes alojados como EKS, AKS y GKE.

La aplicación rancher-compliance aprovecha kube-bench,, una herramienta de código abierto de Aqua Security, para verificar el cumplimiento de los clústeres con respecto a los estándares de Kubernetes. Además, para generar un informe a nivel de clúster, la aplicación utiliza Sonobuoy para la agregación de informes.

Acerca del Estándar CIS

El Centro para la Seguridad en Internet es una organización sin fines de lucro 501(c)(3), formada en octubre de 2000, con la misión de "identificar, desarrollar, validar, promover y mantener soluciones de mejores prácticas para la defensa cibernética y construir y liderar comunidades para permitir un entorno de confianza en el ciberespacio". La organización tiene su sede en East Greenbush, Nueva York, con miembros que incluyen grandes corporaciones, agencias gubernamentales e instituciones académicas.

Los Benchmarks de CIS son las mejores prácticas para la configuración segura de un sistema objetivo. Los Benchmarks de CIS se desarrollan gracias a los generosos esfuerzos de voluntarios, expertos en la materia, proveedores de tecnología, miembros de la comunidad pública y privada, y el equipo de desarrollo de Benchmarks de CIS.

Regístrate en el sitio web de CIS para ver los documentos oficiales de Benchmark.

Acerca del Informe Generado

Cada escaneo genera un informe que se puede ver en la interfaz de usuario de Rancher y se puede descargar en formato CSV.

Por defecto, se utiliza el Benchmark de CIS v1.6.

La versión del Benchmark se incluye en el informe generado.

El Benchmark proporciona recomendaciones de dos tipos: automatizadas y manuales. Las recomendaciones marcadas como Manual en el Benchmark no se incluyen en el informe generado.

Algunas pruebas están designadas como "No Aplicable." Estas pruebas no se ejecutarán en ningún escaneo de CIS debido a la forma en que Rancher aprovisiona clústeres RKE2/K3s. Para información sobre cómo se pueden auditar los resultados de las pruebas, y por qué algunas pruebas están designadas como no aplicables, consulta la guía de autoevaluación de Rancher para la versión correspondiente de Kubernetes.

El informe contiene la siguiente información:

Columna en el informe Descripción

id

El número de identificación del Benchmark de CIS.

description

La descripción de la prueba del Benchmark de CIS.

remediation

Lo que necesita ser corregido para aprobar la prueba.

state

Indica si la prueba pasó, falló, fue omitida o no fue aplicable.

node_type

El rol del nodo, que afecta a qué pruebas se ejecutan en el nodo. Las pruebas maestras se ejecutan en nodos de control, las pruebas de etcd se ejecutan en nodos de etcd y las pruebas de nodo se ejecutan en los nodos trabajadores.

audit

Esta es la verificación de auditoría que kube-bench ejecuta para esta prueba.

audit_config

Cualquier configuración aplicable al script de auditoría.

test_info

Información relacionada con la prueba según lo informado por kube-bench, si la hay.

commands

Comandos relacionados con la prueba según lo informado por kube-bench, si los hay.

config_commands

Datos de configuración relacionados con la prueba según lo informado por kube-bench, si los hay.

actual_value

El valor real de la prueba, presente si lo informa kube-bench.

expected_result

El resultado esperado de la prueba, presente si lo informa kube-bench.

Consulta la tabla en la guía de endurecimiento del clúster para obtener información sobre qué versiones de Kubernetes, el Benchmark, Rancher y nuestra guía de endurecimiento del clúster corresponden entre sí. También consulta la guía de endurecimiento para los archivos de configuración de clústeres compatibles con CIS y la información sobre cómo remediar pruebas fallidas.

Perfiles de prueba

Los siguientes perfiles están disponibles:

  • CIS genérico 1.6

  • CIS genérico 1.20

  • CIS genérico 1.23

  • RKE2 permisivo 1.6

  • RKE2 endurecido 1.6

  • RKE2 permisivo 1.20

  • RKE2 endurecido 1.20

  • RKE2 permisivo 1.23

  • RKE2 endurecido 1.23

  • K3s permisivo 1.6

  • K3s endurecido 1.6

  • K3s permisivo 1.20

  • K3s endurecido 1.20

  • K3s permisivo 1.23

  • K3s endurecido 1.23

  • AKS

  • EKS

  • GKE

También dispone de la posibilidad de personalizar un perfil guardando un conjunto de pruebas que se omitirán.

Todos los perfiles tendrán un conjunto de pruebas no aplicables que se omitirán durante el escaneo CIS. Estas pruebas no son aplicables en función de cómo un clúster RKE2/K3s gestiona Kubernetes.

Hay dos tipos de perfiles de escaneo de clúster RKE2/K3s:

  • Permisivo: Este perfil tiene un conjunto de pruebas que se omitirán ya que estas pruebas fallarán en un clúster Kubernetes RKE2/K3s por defecto. Además de la lista de pruebas omitidas, el perfil tampoco ejecutará las pruebas no aplicables.

  • Endurecido: Este perfil no omitirá ninguna prueba, excepto las pruebas no aplicables.

Los perfiles de escaneo de clúster EKS y GKE se basan en versiones de CIS Benchmark que son específicas para esos tipos de clústeres.

Para aprobar el perfil "Endurecido", necesitará seguir los pasos en la guía de endurecimiento y utilizar el cluster.yml definido en la guía de endurecimiento para aprovisionar un clúster endurecido.

El perfil predeterminado y la versión del benchmark CIS soportada dependen del tipo de clúster que se va a escanear:

El rancher-compliance soporta la versión del Benchmark de CIS 1.9.

  • Para los clústeres de Kubernetes RKE2, el perfil permisivo RKE2 1.9 es el predeterminado.

  • EKS y GKE tienen sus propios benchmarks CIS publicados por kube-bench. Los perfiles de prueba correspondientes se utilizan por defecto para esos clústeres.

  • Para tipos de clústeres distintos a RKE2, EKS y GKE, se utilizará por defecto el perfil genérico CIS 1.5.

Acerca de las pruebas omitidas y no aplicables

Por ahora, solo las pruebas omitidas definidas por el usuario se marcan como omitidas en el informe generado.

Cualquier prueba omitida que esté definida como omitida por uno de los perfiles predeterminados se marca como no aplicable.

Control de acceso basado en roles

Para información sobre permisos, consulta esta página

Configuración

Para más información sobre la configuración de los recursos personalizados para los escaneos, perfiles y versiones de benchmark, consulta esta página

Guías de instrucciones

Por favor, consulta las Guías de instrucciones de cumplimiento para aprender cómo realizar escaneos de cumplimiento.