CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4

《CIS 1.6 Kubernetes Benchmark - Rancher v2.5.4》是一个用于评估 Rancher v2.5.4 集群安全性的指南，对应 Kubernetes v1.18。以下是文档的核心内容总结： ### 1. Etcd 节点配置文件安全 - **数据目录权限**：确保设置为 700 或更严格（自动检查）。 - **数据目录拥有者**：设置为 `etcd:etcd`（自动检查）。 - **pod 配置文件权限**：设置为 644 或更严格（自动检查）。 - **pod 配置文件拥有者**：设置为 `root:root`（自动检查）。 ### 2. Kubernetes PKI 安全 - **PKI 目录和文件拥有者**：设置为 `root:root`（自动检查）。 - **证书文件权限**：设置为 644 或更严格（自动检查）。 - **密钥文件权限**：设置为 600（自动检查）。 ### 3. 容器网络接口安全 - **文件权限**：设置为 644 或更严格（手动检查）。 - **文件拥有者**：设置为 `root:root`（手动检查）。 ### 4. 准入控制 - **最小化特权容器**：避免容器获得过多权限（手动检查）。 - **NET RAW 能力**：最小化使用（手动检查）。 - **额外能力**：最小化分配（手动检查）。 ### 5. 网络策略和 CNI - **CNI 支持网络策略**：确保支持（手动检查）。 - **命名空间网络策略**：为所有命名空间定义（自动检查）。 ### 6. 秘密管理 - **优先使用文件存储秘密**：避免使用环境变量（手动检查）。 - **考虑外部秘密存储**（手动检查）。 ### 7. 可扩展准入控制 - **Image Provenance**：使用 `ImagePolicyWebhook` 控制器（手动检查）。 ### 8. 审计和结果 - 多数控制措施已通过，部分设置为“Not Applicable”，因 Rancher 和 RKE 使用容器运行时参数而非配置文件。 ### 总结 该指南提供了针对 Rancher 集群的安全加固建议，强调配置文件权限、拥有者设置、网络策略和秘密管理，以确保 Kubernetes 集群的安全性。