この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

コンプライアンススキャン

Rancherは、STIG、BSI、CISなどのKubernetesセキュリティベンチマークで定義されたセキュリティのベストプラクティスに従ってクラスターがデプロイされているかどうかをチェックするために、セキュリティスキャンを実行できます。コンプライアンススキャンは、EKS、AKS、GKEなどのホスト型Kubernetesプロバイダーを含む、任意のKubernetesクラスターで実行できます。

`rancher-compliance`アプリは、Aqua Securityのオープンソースツールである kube-bench,を活用して、クラスターがKubernetesベンチマークに対して準拠しているかどうかをチェックします。また、クラスター全体のレポートを生成するために、アプリケーションは Sonobuoyを利用してレポートを集約します。

CISベンチマークについて

インターネットセキュリティセンターは、2000年10月に設立された501(c)(3)の非営利団体であり、"サイバー防御のためのベストプラクティスソリューションを特定、開発、検証、促進、維持し、サイバースペースにおける信頼の環境を可能にするコミュニティを構築し、リードする"という使命を持っています。この組織はニューヨーク州イーストグリーンブッシュに本部を置き、大企業、政府機関、学術機関などのメンバーが含まれています。

CISベンチマークは、ターゲットシステムのセキュアな構成のためのベストプラクティスです。CISベンチマークは、専門家、技術ベンダー、公共および民間のコミュニティメンバー、CISベンチマーク開発チームの寛大なボランティア活動を通じて開発されています。

CISウェブサイトで サインアップして、公式のベンチマーク文書を表示してください。

生成されたレポートについて

各スキャンはレポートを生成し、Rancher UIで表示でき、CSV形式でダウンロードできます。

デフォルトでは、CISベンチマークv1.6が使用されます。

ベンチマークのバージョンは生成されたレポートに含まれています。

ベンチマークは、2種類の推奨事項を提供します:自動と手動。ベンチマークで手動とマークされた推奨事項は、生成されたレポートには含まれません。

一部のテストは「該当なし」と指定されています。これらのテストは、RancherがRKE2/K3sクラスターをプロビジョニングする方法のため、CISスキャンでは実行されません。テスト結果の監査方法や、なぜ一部のテストが適用外と指定されているのかについては、対応するKubernetesバージョンのRancherのself-assessment guideを参照してください。

このレポートには次の情報が含まれます:

レポートの列 説明

id

CISベンチマークのID番号。

description

CISベンチマークテストの説明。

remediation

テストに合格するために修正が必要な項目。

state

テストが合格、失敗、スキップ、または適用外であるかを示します。

node_type

ノードの役割で、ノード上で実行されるテストに影響を与えます。マスターテストはコントロールプレーンノードで実行され、etcdテストはetcdノードで実行され、ノードテストはワーカーノードで実行されます。

audit

これは、`kube-bench`がこのテストのために実行する監査チェックです。

audit_config

監査スクリプトに適用される設定。

test_info

テストに関連する情報が`kube-bench`によって報告されている場合。

commands

テストに関連するコマンドが`kube-bench`によって報告されている場合。

config_commands

テストに関連する設定データが`kube-bench`によって報告されている場合。

actual_value

テストの実際の値で、`kube-bench`によって報告されている場合に存在します。

expected_result

テストの期待される結果で、`kube-bench`によって報告されている場合に存在します。

Kubernetes、ベンチマーク、Rancher、および私たちのハードニングガイドの各バージョンがどのように対応しているかについては、ハードニングガイドの表を参照してください。CIS準拠のクラスターの設定ファイルや、失敗したテストの修正に関する情報については、ハードニングガイドも参照してください。

テストプロファイル

次のプロファイルが利用可能です:

  • Generic CIS 1.6

  • Generic CIS 1.20

  • Generic CIS 1.23

  • RKE2許容1.6

  • RKE2ハードニング1.6

  • RKE2許容1.20

  • RKE2ハードニング1.20

  • RKE2許容1.23

  • RKE2ハードニング1.23

  • K3s許容1.6

  • K3sハードニング1.6

  • K3s許容1.20

  • K3sハードニング1.20

  • K3s許容1.23

  • K3sハードニング1.23

  • AKS

  • EKS

  • GKE

プロファイルをカスタマイズするために、スキップするテストのセットを保存する機能もあります。

すべてのプロファイルには、CISスキャン中にスキップされる該当しないテストのセットがあります。これらのテストは、RancherがRKE2/K3sクラスターを管理する方法に基づいて該当しません。

RKE2/K3sクラスターのスキャンプロファイルには2種類あります:

  • *許容:*このプロファイルには、デフォルトのRKE2/K3s Kubernetesクラスターで失敗するためスキップされるテストが含まれています。スキップされるテストのリストに加えて、プロファイルは該当しないテストも実行しません。

  • *ハードニング:*このプロファイルは、該当しないテストを除いて、どのテストもスキップしません。

EKSおよびGKEクラスターのスキャンプロファイルは、それらのタイプのクラスターに特有のCISベンチマークバージョンに基づいています。

「ハードニング」プロファイルに合格するには、ハードニングガイドの手順に従い、ハードニングガイドで定義された`cluster.yml`を使用してハードニングされたクラスターをプロビジョニングする必要があります。

デフォルトのプロファイルとサポートされているCISベンチマークバージョンは、スキャンされるクラスターのタイプによって異なります。

`rancher-compliance`はCIS 1.9ベンチマークバージョンをサポートしています。

  • RKE2 Kubernetesクラスターの場合、RKE2許容1.9プロファイルがデフォルトです。

  • EKSおよびGKEには、`kube-bench`によって公開された独自のCISベンチマークがあります。対応するテストプロファイルは、デフォルトでこれらのクラスターに使用されます。

  • RKE2、EKS、GKE以外のクラスタータイプの場合、デフォルトでGeneric CIS 1.5プロファイルが使用されます。

スキップされたテストと該当しないテストについて

現在、ユーザー定義のスキップされたテストのみが生成されたレポートでスキップとしてマークされています。

デフォルトプロファイルのいずれかによってスキップされると定義されたスキップされたテストは、該当しないとしてマークされます。

ロールベースのアクセス制御

権限に関する情報は、このページを参照してください。

設定

スキャン、プロファイル、およびベンチマークバージョンのカスタムリソースを設定する方法についての詳細は、このページを参照してください。

ハウツーガイド

コンプライアンススキャンを実行する方法を学ぶには、コンプライアンススキャンガイドを参照してください。