|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
SUSE Rancher Prime 安全指南
安全策略Rancher Labs支持负责任的披露,并努力在合理的时间内解决所有问题。 |
报告流程请通过电子邮件提交可能的安全问题至 security-rancher@suse.com 。 |
通告请订阅 Rancher公告论坛 以获取发布更新。 |
安全是所有Rancher功能的核心。从与所有流行的身份验证工具和服务集成,到企业级 RBAC能力,Rancher使您的Kubernetes集群更加安全。
在此页面上,我们提供与安全相关的文档以及帮助您保护Rancher安装和下游Kubernetes集群的资源。
SUSE Security 与Rancher的集成
NeuVector是一个开源的、以容器为中心的安全应用程序,现在已集成到Rancher中。NeuVector提供生产安全、DevOps漏洞保护和容器防火墙等功能。有关更多信息,请参见 Rancher文档 和 SUSE Security 文档 。
在Kubernetes集群上运行合规性安全扫描
Rancher利用 kube-bench 运行安全扫描,以检查Kubernetes是否按照安全最佳实践进行部署。
当Rancher在集群上运行合规性扫描时,它会生成一份报告,显示每个测试的结果,包括通过、跳过和失败测试的数量摘要。报告还包括任何失败测试的修复步骤。
有关详细信息,请参阅 安全扫描 部分。
SELinux RPM
我们提供三个 RPM(RPM 包管理器),使 Rancher 产品能够在启用 SELinux 的主机上正常运行:rancher-selinux、rke2-selinux 和 k3s-selinux。 有关详细信息,请参见 此页面。
Rancher 安全强化指南
Rancher 安全强化指南基于来自互联网安全中心的 CIS Kubernetes 基准 中的控制和最佳实践。
安全强化指南提供了对 Rancher 生产安装进行安全强化的具体指导。请参阅 Rancher 的指南 关于 CIS Kubernetes 基准的自我评估,以获取完整的安全控制列表。
安全强化指南描述了如何保护集群中的节点,建议在安装 Kubernetes 之前遵循安全强化指南。
每个版本的安全强化指南旨在与特定版本的 CIS Kubernetes 基准、Kubernetes 和 Rancher 一起使用。
CIS 基准和自我评估
基准自我评估是 Rancher 安全强化指南的补充。虽然安全强化指南向您展示了如何安全强化集群,但基准指南旨在帮助您评估安全强化集群的安全级别。
本指南逐步介绍了各种控制,并提供更新的示例命令,以审计 Rancher 创建的集群的合规性。原始基准文档可以从 CIS 网站 下载。
每个版本的 Rancher 自我评估指南对应于特定版本的安全强化指南、Rancher、Kubernetes 和 CIS 基准。
第三方渗透测试报告
Rancher 定期聘请第三方对 Rancher 软件堆栈进行安全审计和渗透测试。测试环境在测试时遵循 Rancher 提供的安全强化指南。以前的渗透测试报告如下所示。
结果:
请注意,新报告不再共享或公开提供。
Rancher 安全公告和 CVE
Rancher 致力于向社区通报我们产品中的安全问题。有关我们已解决问题的 CVE(常见漏洞和暴露)列表,请参阅 此页面
Kubernetes 安全最佳实践
有关保护您的 Kubernetes 集群的建议,请参阅 Kubernetes 集群安全最佳实践 指南。
Rancher 安全最佳实践
有关保护您的 Rancher Manager 部署的建议,请参阅 Rancher 安全最佳实践 指南。
Rancher Kubernetes 发行版(K3s/RKE2)自我评估和安全强化指南
Rancher 使用以下 Kubernetes 发行版:
要安全强化运行其他发行版的 Kubernetes 集群,请参阅您的 Kubernetes 提供商的文档。
安全强化指南和基准版本
每个自我评估指南都附带一个安全强化指南。这些指南与列出的 Rancher 版本一同进行了测试。每个自我评估指南都是在特定的 Kubernetes 版本和 CIS 基准版本上进行测试的。如果您的 Kubernetes 版本尚未验证 CIS 基准,您可以使用现有指南,直到为您的版本添加指南。