|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
セキュリティ FAQ
ハードニングガイドはありますか?
ハードニングガイドは、メインの セキュリティ セクションにあります。
ハードニングされた Rancher Kubernetes クラスターは、CIS Kubernetes ベンチマークによって評価されていますか?結果はどこで見つけられますか?
私たちは、ハードニングされた Rancher Kubernetes クラスターに対して CIS Kubernetes ベンチマークを実施しました。 その評価の結果は、メインの セキュリティ セクションにあります。
Rancher は、ダウンストリームのクラスターとの通信をどのように確認し、関連するセキュリティ上の懸念は何ですか?
Rancher サーバーとダウンストリームのクラスター間の通信は、エージェントを通じて行われます。Rancher は、登録された証明書機関 (CA) バンドルまたはローカルトラストストアを使用して、Rancher エージェントと Rancher サーバー間の通信を確認します。CA バンドルを使用して確認することはより厳格であり、そのバンドルに基づく証明書のみが信頼されます。明示的な CA バンドルの TLS 検証が失敗した場合、Rancher は今後の通信の検証において、ローカルトラストストアを代わりに使用する可能性があります。ローカルトラストストア内の任意の CA は、有効な証明書を生成するために使用できます。
Rancher セキュリティ更新 CVE-2024-22030 に記載されているように、限られた状況下で、悪意のある行為者は Rancher CA の動作を悪用して Rancher ノードを乗っ取ることができます。攻撃が成功するためには、悪意のある行為者は、ターゲットとする Rancher サーバー内の有効な CA から、または有効な登録 CA から有効な証明書を生成する必要があります。攻撃者は、予備的なステップとして Rancher サーバーの URL をハイジャックまたは偽装する必要もあります。Rancher は、これと同様の攻撃手段に対抗するために、Rancher CA の動作を現在評価しています。