CIS 1.5 Benchmark - Self-Assessment Guide - Rancher v2.5

《CIS 1.5 Benchmark - Self-Assessment Guide - Rancher v2.5》是一份用于评估 Rancher v2.5 集群安全性的指南，基于 CIS Kubernetes Benchmark v1.5 和 Kubernetes v1.15。该文档旨在帮助用户通过自评估的方式，检查 Rancher 集群是否符合安全基准要求。 ### 核心内容总结： 1. **文档目标** 该指南是 Rancher 安全强化指南的补充，用于评估强化后的集群是否符合 CIS 1.5 基准。文档提供了针对 Rancher 集群的测试方法和命令示例。 2. **适用范围** 适用于 Rancher 操作人员、安全团队、审计人员和决策者。文档针对 Rancher 和 RKE（Rancher Kubernetes Engine）的特性进行了调整，因为 Rancher 和 RKE 通过 Docker 容器安装 Kubernetes 服务，配置通过容器运行时参数传递，而非传统的配置文件。 3. **关键内容** - **主节点安全配置**：包括 API 服务器、控制器管理器和调度器的安全设置。 - **Etcd 节点配置**：确保 Etcd 节点的安全性和稳定性。 - **控制平面配置**：包括日志配置等。 - **工作节点安全配置**：涉及kubelet配置和相关文件权限。 - **Kubernetes 策略**：包括 RBAC（基于角色的访问控制）、Pod 安全策略、网络策略和通用策略。 4. **测试方法** 文档提供了针对 Rancher 的测试命令和方法，特别适用于通过 Docker 命令行、`jq` 和 `kubectl` 工具进行测试。部分控制项因 Rancher 的实现方式（如通过参数传递配置）而标记为“不适用”。 5. **重要控制项** - **文件权限和所有权**：例如 Kubernetes PKI 目录和文件的所有权需设置为 `root:root`，证书文件权限需设置为 `644` 或更严格。 - **kubelet 配置文件**：确保 kubelet 配置文件权限和所有权符合要求。 - **日志和审计**：通过脚本检查文件权限和所有权。 6. **总结** 该指南为 Rancher 用户提供了详细的自评估方法和测试命令，帮助用户快速验证其 Kubernetes 集群是否符合安全基准要求。文档特别针对 Rancher 的实现方式进行了调整，确保测试结果的准确性和适用性。