Rancher CIS Kubernetes v.1.4.0 Benchmark Self Assessment

# 《Rancher CIS Kubernetes v.1.4.0 Benchmark Self Assessment》 总结 ## 概述 本文档评估了基于Rancher v2.2.x硬ening指南配置的Kubernetes 1.13.x RKE集群，针对CIS 1.4.0 Kubernetes基准进行了安全性评分。文档旨在帮助用户评估强化集群的安全性，并提供了适用于Rancher环境的测试命令。由于Rancher和RKE通过Docker容器安装Kubernetes服务，许多CIS基准的验证检查不适用，因此本文档提供了针对Rancher环境的更新命令。 ## 测试控制方法 - Rancher和RKE通过Docker容器安装Kubernetes服务，配置通过容器启动参数传递，而非配置文件。 - 测试需要访问所有RKE角色的主机上的Docker命令行，并使用`jq`命令处理结果。 - 提供了适用于Rancher环境的命令，替代CIS基准中的部分命令。 ## 已知控制失败项 以下控制未通过，Rancher团队正在通过未来版本修复： - **1.1.21**：确保`--kubelet-certificate-authority`参数设置正确。 - **1.4.11**：确保etcd数据目录权限设置为700或更严格。 - **1.4.12**：确保etcd数据目录所有权设置为`etcd:etcd`。 - **2.1.8**：确保`--hostname-override`参数未设置。 ## 控制评估结果 ### 1.1 - API Server - **1.1.1**：确保`--anonymous-auth`设置为`false`，结果：通过。 - **1.1.2**：确保`--basic-auth-file`未设置，结果：通过（需注意缓解措施）。 - **1.1.15**：确保`--audit-log-path`设置正确，结果：通过。 - **1.1.16**：确保`--audit-log-maxage`设置为30天或更短，结果：通过。 - **1.1.29**：确保`--client-ca-file`设置正确，结果：通过。 - **1.1.30**：确保API Server使用强加密套件，结果：通过。 ### 1.4 - PKI证书 - **1.4.20**：确保PKI证书文件权限设置为644或更严格，结果：通过。 ### 1.6 - 通用安全基础 - **1.6.1**：确保`cluster-admin`角色仅在必要时使用，结果：通过。 - **1.6.2**：使用命名空间创建资源边界，结果：通过。 - **1.6.3**：使用网络策略进行网络隔离，结果：通过。 - **1.6.4**：建议不启用`secomp`配置文件。 - **1.6.5**：推荐使用PodSecurityPolicy设置安全上下文，结果：通过。 - **1.6.6**：配置镜像出处验证，结果：通过。 ### 1.7 - Pod 安全策略 - 配置了两个Pod安全策略：`default-psp`和`restricted`，结果：通过。 ## 总结 本文档评估了Rancher Kubernetes集群在CIS 1.4.0基准下的安全性，大部分控制通过，但部分控制仍需改进。建议结合文档中的缓解措施进一步优化集群安全性。