本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

合规扫描

Rancher可以运行安全扫描，以检查集群是否按照Kubernetes安全基准中定义的安全最佳实践进行部署，例如STIG、BSI或CIS提供的基准。合规扫描可以在任何Kubernetes集群上运行，包括EKS、AKS和GKE等托管Kubernetes提供商。

`rancher-compliance`应用程序利用 kube-bench,，这是Aqua Security提供的一个开源工具，用于检查集群是否符合Kubernetes基准。此外，为了生成集群范围的报告，该应用程序利用 Sonobuoy进行报告聚合。

关于CIS基准

互联网安全中心是一个501(c)(3)非营利组织，成立于2000年10月，使命是“识别、开发、验证、推广和维持网络防御的最佳实践解决方案，并建立和领导社区，以在网络空间中营造信任环境”。该组织总部位于纽约东格林布什，成员包括大型企业、政府机构和学术机构。

CIS基准是目标系统安全配置的最佳实践。CIS基准通过主题专家、技术供应商、公共和私人社区成员以及CIS基准开发团队的慷慨志愿努力而制定。

注册以在CIS网站上查看官方基准文档。

关于生成的报告

每次扫描生成的报告可以在Rancher UI中查看，并可以以CSV格式下载。

默认情况下，使用CIS基准v1.6。

基准版本包含在生成的报告中。

基准提供两种类型的建议：自动和手动。在基准中标记为手动的建议不包括在生成的报告中。

某些测试被指定为“不适用”。这些测试不会在任何CIS扫描中运行，因为Rancher配置RKE2/K3s集群的方式。有关如何审核测试结果的信息，以及为什么某些测试被指定为不适用，请参阅Rancher的自我评估指南，以获取相应Kubernetes版本的信息。

报告包含以下信息：

报告中的列说明

报告中的列	说明
`id`	CIS基准的ID号。
`description`	CIS基准测试的描述。
`remediation`	需要修复的内容以通过测试。
`state`	指示测试是否通过、失败、被跳过或不适用。
`node_type`	节点角色，影响在节点上运行的测试。主节点测试在控制平面节点上运行，etcd测试在etcd节点上运行，节点测试在工作节点上运行。
`audit`	这是`kube-bench`为此测试运行的审核检查。
`audit_config`	适用于审核脚本的任何配置。
`test_info`	由`kube-bench`报告的与测试相关的信息（如果有）。
`commands`	由`kube-bench`报告的与测试相关的命令（如果有）。
`config_commands`	由`kube-bench`报告的与测试相关的配置数据（如果有）。
`actual_value`	测试的实际值，如果由`kube-bench`报告则存在。
`expected_result`	测试的预期结果，如果由`kube-bench`报告则存在。

id

CIS基准的ID号。

description

CIS基准测试的描述。

remediation

需要修复的内容以通过测试。

state

指示测试是否通过、失败、被跳过或不适用。

node_type

节点角色，影响在节点上运行的测试。主节点测试在控制平面节点上运行，etcd测试在etcd节点上运行，节点测试在工作节点上运行。

audit

这是`kube-bench`为此测试运行的审核检查。

audit_config

适用于审核脚本的任何配置。

test_info

由`kube-bench`报告的与测试相关的信息（如果有）。

commands

由`kube-bench`报告的与测试相关的命令（如果有）。

config_commands

由`kube-bench`报告的与测试相关的配置数据（如果有）。

actual_value

测试的实际值，如果由`kube-bench`报告则存在。

expected_result

测试的预期结果，如果由`kube-bench`报告则存在。

请参阅集群安全强化指南中的表格，以获取有关Kubernetes、基准、Rancher和我们的集群安全强化指南之间对应关系的信息。另请参阅安全强化指南，以获取符合CIS的集群的配置文件和有关修复失败测试的信息。

测试控制文件

以下控制文件可用：

通用 CIS 1.6
通用 CIS 1.20
通用 CIS 1.23
RKE2 宽松 1.6
RKE2 安全强化 1.6
RKE2 宽松 1.20
RKE2 安全强化 1.20
RKE2 宽松 1.23
RKE2 安全强化 1.23
K3s 宽松 1.6
K3s 安全强化 1.6
K3s 宽松 1.20
K3s 安全强化 1.20
K3s 宽松 1.23
K3s 安全强化 1.23
AKS
EKS
GKE

您还可以通过保存一组要跳过的测试来自定义控制文件。

所有控制文件将有一组不适用的测试，这些测试将在CIS扫描中被跳过。这些测试不适用，因为RKE2/K3s集群管理Kubernetes的方式。

RKE2/K3s集群扫描控制文件有两种类型：

*宽松：*此控制文件有一组测试将被跳过，因为这些测试在默认的RKE2/K3s Kubernetes集群上会失败。除了跳过的测试列表外，控制文件还不会运行不适用的测试。
*安全强化:*此控制文件不会跳过任何测试，除了不适用的测试。

EKS和GKE集群扫描控制文件基于特定于这些类型集群的CIS基准版本。

为了通过"安全强化"控制文件，您需要按照安全强化指南中的步骤操作，并使用安全强化指南中定义的`cluster.yml`来配置一个安全强化的集群。

默认控制文件和支持的CIS基准版本取决于将要扫描的集群类型：

`rancher-compliance`支持CIS 1.9基准版本。

对于RKE2 Kubernetes集群，RKE2宽松1.9控制文件是默认的。
EKS和GKE有自己的CIS基准，由`kube-bench`发布。默认情况下，这些集群使用相应的测试控制文件。
对于RKE2、EKS和GKE以外的集群类型，默认将使用通用CIS 1.5控制文件。

关于跳过和不适用的测试

目前，只有用户定义的跳过测试在生成的报告中被标记为跳过。

任何被默认控制文件定义为跳过的测试都标记为不适用。

基于角色的访问控制

有关权限的信息，请参阅此页面

配置

有关配置扫描、自定义资源和基准版本的更多信息，请参阅此页面

操作指南

请参阅合规扫描指南以了解如何运行合规扫描。