CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4

《CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4》是关于Rancher v2.5.4环境下Kubernetes集群安全加固的自我评估指南，旨在帮助用户评估硬化的集群是否符合CIS 1.6基准的各项安全控制。本文档对应的版本信息为： - **硬化指南版本**：支持CIS 1.6基准 - **Rancher版本**：v2.5.4 - **CIS基准版本**：1.6 - **Kubernetes版本**：v1.18 文档内容涵盖以下核心内容： --- ### 1. **安全控制概述** 文档详细列出了CIS 1.6基准中的多项安全控制，包括手动和自动化检测措施。以下是核心控制点的总结： #### **5.2 容器运行时配置** - **5.2.6**：最小化root容器的加入（手动）。 - **5.2.7**：最小化具有NET_RAW功能的容器的加入（手动）。 - **5.2.8**：最小化添加功能的容器的加入（手动）。 - **5.2.9**：最小化分配功能的容器的加入（手动）。 #### **5.3 网络策略与CNI配置** - **5.3.1**：确保当前使用的CNI插件支持网络策略（手动）。 - **5.3.2**：确保所有命名空间都已定义网络策略（自动化）。 #### **5.4 秘密管理** - **5.4.1**：建议优先使用文件形式的秘密而非环境变量（手动）。 - **补救建议**：如果可能，重写应用代码以从挂载的秘密文件中读取秘密。 - **5.4.2**：考虑使用外部秘密存储（手动）。 - **补救建议**：参考云提供商或第三方秘密管理解决方案。 #### **5.5 可扩展的准入控制** - **5.5.1**：使用ImagePolicyWebhook准入控制器配置镜像来源（手动）。 #### **5.7 通用策略** - **5.7.1**：使用命名空间为资源创建行政边界（手动）。 - **5.7.2**：在Pod定义中将seccomp配置文件设置为docker/default（手动）。 - **5.7.3**：为Pod和容器应用安全上下文（手动）。 - **5.7.4**：不使用默认命名空间（自动化）。 --- ### 2. **特殊说明** - 由于Rancher和RKE通过Docker容器安装Kubernetes服务，许多CIS Kubernetes基准中的控制验证不适用，结果标记为“不适用”。 - 配置通过容器初始化时的参数定义，而非通过配置文件。 --- ### 3. **测试控制方法** 文档提供了具体的测试和补救方法，例如： - 对秘密文件权限的检查，确保权限设置为644或更严格。 - 使用特定的命令行工具（如jq、kubectl）和Docker命令行工具进行测试。 --- ### 4. **目标用户** 本文档面向Rancher操作员、安全团队、审计人员和决策者，帮助其理解如何在Rancher环境中实现CIS 1.6基准的安全控制。 --- ### 总结 本文档为Rancher v2.5.4环境提供了针对Kubernetes集群的安全加固评估指南，重点覆盖了容器运行时配置、网络策略、秘密管理、准入控制和通用安全策略等方面的核心内容，并提供了具体的测试和补救方法。用户可参考该指南以提升集群的安全性。