Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Analyses de conformité

Rancher peut exécuter une analyse de sécurité pour vérifier si un cluster est déployé conformément aux meilleures pratiques de sécurité définies dans les normes de sécurité Kubernetes, telles que celles fournies par STIG, BSI ou CIS. Les analyses de conformité peuvent être exécutées sur n’importe quel cluster Kubernetes, y compris les fournisseurs Kubernetes hébergés tels qu’EKS, AKS et GKE.

L’application rancher-compliance utilise kube-bench,, un outil Open Source d’Aqua Security, pour vérifier la conformité des clusters par rapport aux normes Kubernetes. De plus, pour générer un rapport à l’échelle du cluster, l’application utilise Sonobuoy pour l’agrégation des rapports.

À propos de la norme CIS

Le Center for Internet Security est une organisation à but non lucratif 501(c)(3), fondée en octobre 2000, dont la mission est d'"identifier, développer, valider, promouvoir et maintenir des solutions de meilleures pratiques pour la défense cybernétique et de construire et diriger des communautés pour permettre un environnement de confiance dans le cyberespace". L’organisation a son siège à East Greenbush, New York, et ses membres comprennent de grandes entreprises, des agences gouvernementales et des institutions académiques.

Les normes CIS sont des meilleures pratiques pour la configuration sécurisée d’un système cible. Les normes CIS sont développées grâce aux efforts généreux de bénévoles experts en la matière, de fournisseurs de technologie, de membres de la communauté publique et privée, et de l’équipe de développement des normes CIS.

Inscrivez-vous sur le site Web du CIS pour consulter les documents officiels des normes.

À propos du rapport généré

Chaque analyse génère un rapport qui peut être consulté dans l’interface utilisateur de Rancher et peut être téléchargé au format CSV.

Par défaut, la norme CIS v1.6 est utilisée.

La version de la norme est incluse dans le rapport généré.

Le Benchmark fournit des recommandations de deux types : Automatisées et Manuelles. Les recommandations marquées comme Manuelles dans le Benchmark ne sont pas incluses dans le rapport généré.

Certains tests sont désignés comme « non applicable ». Ces tests ne seront pas exécutés sur aucun scan CIS en raison de la manière dont Rancher provisionne les clusters RKE2/K3s. Pour des informations sur la façon dont les résultats des tests peuvent être audités, et pourquoi certains tests sont désignés comme non applicables, référez-vous au guide d’auto-évaluation de Rancher pour la version correspondante de Kubernetes.

Le rapport contient les informations suivantes :

Colonne dans le rapport Description

id

Le numéro d’identification du Benchmark CIS.

description

La description du test du Benchmark CIS.

remediation

Ce qui doit être corrigé pour réussir le test.

state

Indique si le test a réussi, échoué, a été ignoré ou n’est pas applicable.

node_type

Le rôle du nœud, qui affecte les tests exécutés sur le nœud. Les tests Master sont exécutés sur les nœuds de contrôle, les tests etcd sont exécutés sur les nœuds etcd, et les tests de nœud sont exécutés sur les nœuds de travail.

audit

Ceci est la vérification d’audit que kube-bench exécute pour ce test.

audit_config

Toute configuration applicable au script d’audit.

test_info

Informations liées au test telles que rapportées par kube-bench, le cas échéant.

commands

Commandes liées au test telles que rapportées par kube-bench, le cas échéant.

config_commands

Données de configuration liées au test telles que rapportées par kube-bench, le cas échéant.

actual_value

La valeur réelle du test, présente si rapportée par kube-bench.

expected_result

Le résultat attendu du test, présent s’il est signalé par kube-bench.

Référez-vous à le tableau dans le guide de renforcement de la sécurité du cluster pour des informations sur les versions de Kubernetes, le Benchmark, Rancher et notre guide de renforcement de la sécurité du cluster qui correspondent les uns aux autres. Référez-vous également au guide de renforcement de la sécurité pour les fichiers de configuration des clusters conformes au CIS et des informations sur la remédiation des tests échoués.

Profils de test

Les profils suivants sont disponibles :

  • CIS générique 1.6

  • CIS générique 1.20

  • CIS générique 1.23

  • RKE2 permissif 1.6

  • RKE2 durci 1.6

  • RKE2 permissif 1.20

  • RKE2 durci 1.20

  • RKE2 permissif 1.23

  • RKE2 durci 1.23

  • K3s permissif 1.6

  • K3s durci 1.6

  • K3s permissif 1.20

  • K3s durci 1.20

  • K3s permissif 1.23

  • K3s durci 1.23

  • AKS

  • EKS

  • GKE

Vous avez également la possibilité de personnaliser un profil en enregistrant un ensemble de tests à ignorer.

Tous les profils auront un ensemble de tests non applicables qui seront ignorés lors de l’analyse CIS. Ces tests ne sont pas applicables en fonction de la manière dont un cluster RKE2/K3s gère Kubernetes.

Il existe deux types de profils d’analyse de cluster RKE2/K3s :

  • Permissif : Ce profil a un ensemble de tests qui seront ignorés car ces tests échoueront sur un cluster Kubernetes RKE2/K3s par défaut. En plus de la liste des tests ignorés, le profil n’exécutera également pas les tests non applicables.

  • Durci: Ce profil n’ignorera aucun test, à l’exception des tests non applicables.

Les profils d’analyse de cluster EKS et GKE sont basés sur des versions de CIS Benchmark spécifiques à ces types de clusters.

Pour réussir le profil "Durci", vous devrez suivre les étapes du guide de renforcement de la sécurité et utiliser le cluster.yml défini dans le guide de renforcement de la sécurité pour provisionner un cluster durci.

Le profil par défaut et la version de benchmark CIS prise en charge dépendent du type de cluster qui sera analysé :

Le rancher-compliance prend en charge la version CIS 1.9 Benchmark.

  • Pour les clusters Kubernetes RKE2, le profil RKE2 Permissif 1.9 est utilisé par défaut.

  • EKS et GKE ont leurs propres benchmarks CIS publiés par kube-bench. Les profils de test correspondants sont utilisés par défaut pour ces clusters.

  • Pour les types de clusters autres que RKE2, EKS et GKE, le profil Générique CIS 1.5 sera utilisé par défaut.

À propos des tests ignorés et non applicables.

Pour l’instant, seuls les tests ignorés définis par l’utilisateur sont marqués comme ignorés dans le rapport généré.

Tous les tests ignorés qui sont définis comme étant ignorés par l’un des profils par défaut sont marqués comme non applicables.

Contrôle d’accès en fonction du rôle

Pour des informations sur les autorisations, consultez cette page

Configuration

Pour plus d’informations sur la configuration des ressources personnalisées pour les analyses, les profils et les versions de benchmark, consultez cette page

Guides pratiques

Veuillez consulter les Guides d’analyse de conformité pour apprendre à exécuter des analyses de conformité.