Rancher CIS Kubernetes v.1.4.0 Benchmark Self Assessment

## 《Rancher CIS Kubernetes v.1.4.0 Benchmark Self Assessment》总结 该文档评估了Rancher v2.2.x版本中基于Kubernetes 1.13.x的RKE集群是否符合CIS Kubernetes Benchmark v1.4.0标准。以下是核心内容和关键发现： ### 1. **文档概述** - **目的**: 评估Rancher v2.2.x硬化指南中集群的安全性。 - **目标读者**: Rancher操作员、安全团队、审计员和决策者。 - **方法**: 通过检查和命令验证集群是否符合CIS Benchmark v1.4.0。 ### 2. **测试控制方法** - **特点**: Rancher和RKE通过Docker容器安装Kubernetes服务，配置通过容器初始化参数设置。 - **差异**: 与CIS Benchmark的检查命令有所不同，文档提供特定命令进行测试。 - **工具**: 使用Docker命令行和jq命令进行检查。 ### 3. **主要评估内容** #### **3.1 主节点安全配置** - **API服务器**: -禁用匿名认证（合规）。 -未设置基本认证文件（不合规）。 -audit-log-path、audit-log-maxage、audit-log-maxsize配置正确（合规）。 -请求超时默认值60秒，不合规但根据环境可调。 - **Scheduler**: - Профили밍设置为false（合规）。 - adres设置为127.0.0.1（合规）。 - **Etcd**: - 数据目录权限和所有权不符合要求（不合规）。 #### **3.2 工作节点安全配置** - Kubelet配置符合要求（合规）。 #### **3.3 认证与授权** -RBAC启用（合规）。 - admin.conf权限和所有权符合要求（合规，但RKE不存储在节点上）。 ### 4. **未通过的控制** - **已知未通过**： - Etcd数据目录权限和所有权。 - --kubelet-certificate-authority未正确设置。 - --hostname-override参数设置问题。 ### 5. **安全最佳实践** - **实现建议**： - 使用RBAC和外部认证源。 - 分_namespaces实现资源隔离。 - 使用网络策略隔离项目。 - 为Pod设置安全上下文。 - 配置ImagePolicyWebhook。 - 部署PodSecurityPolicy (PSP)。 ### 6. **Pod安全策略 (PSP)** - **默认策略**： - 限制privileged容器（合规）。 - 为kube-system等namespace提供privileged访问。 - **受限策略**： - 遵循安全实践，已部署。 ### 7. **审计日志** - 正确配置audit-log-path、audit-log-maxage、audit-log-maxsize（合规）。 - 建议采集日志至外部系统，保障完整性。 ### 8. **总结** Rancher v2.2.x RKE集群大部分符合CIS Benchmark v1.4.0，但Etcd配置和kubelet证书设置等领域需要改进。推荐使用安全最佳实践，特别是在多租户环境中，以提高整体安全性。