安全常见问题解答

安全强化指南位于主要的安全部分。

我们已经对安全强化的Rancher Kubernetes集群进行了CIS Kubernetes基准评估。 该评估的结果可以在主要的安全部分找到。

Rancher服务器与下游集群之间的通信是通过代理进行的。Rancher使用注册的证书颁发机构（CA）捆绑包或本地信任存储来验证Rancher代理与Rancher服务器之间的通信。使用CA捆绑包进行验证更为严格，因为只有基于该捆绑包的证书才被信任。如果显式CA捆绑包的TLS验证失败，Rancher可能会回退到使用本地信任存储来验证未来的通信。本地信任存储中的任何CA都可以用来生成有效的证书。

如 Rancher安全更新CVE-2024-22030中所述，在特定情况下，恶意行为者可以通过利用Rancher CA的行为来接管Rancher节点。为了使攻击成功，恶意行为者必须从目标Rancher服务器中的有效CA或从有效注册CA生成有效证书。攻击者还需要先劫持或伪造Rancher服务器URL，作为初步步骤。Rancher目前正在评估Rancher CA的行为，以缓解这种及任何类似的攻击风险。