CIS Kubernetes Benchmark
Центр интернет-безопасности - The Center for Internet Security (CIS) регулярно публикует документ, в котором содержится набор определенных шагов для обеспечения безопасности инфраструктуры Kubernetes. Данный раздел документации содержит сведения о соответствии платформы Nova Container Platform стандарту CIS Kubernetes Benchmark V1.7.0 - 03-20-2023.
Скачать документ вы можете на официальном сайте CIS или получить копию по ссылке.
1. Компоненты Control Plane
1.1 Конфигурация узлов Control Plane
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 1.1.1 | Ensure that the API server pod specification file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.2 | Ensure that the API server pod specification file ownership is set to root:root. | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.3 | Ensure that the controller manager pod specification file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.4 | Ensure that the controller manager pod specification file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.5 | Ensure that the scheduler pod specification file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.6 | Ensure that the scheduler pod specification file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.7 | Ensure that the etcd pod specification file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу /etc/kubernetes/manifests/etcd.yaml, который отсутствует в конфигурации Nova Container Platform. В платформе Etcd работает как служба Systemd, используя конфигурацию из файла /etc/etcd.env, права на который установлены в соответствие с рекомендацией. |
Nova Container Platform |
| 1.1.8 | Ensure that the etcd pod specification file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу /etc/kubernetes/manifests/etcd.yaml, который отсутствует в конфигурации Nova Container Platform. В платформе Etcd работает как служба Systemd, используя конфигурацию из файла /etc/etcd.env, владельцем которого является пользователь root:root. |
Nova Container Platform |
| 1.1.9 | Ensure that the Container Network Interface file permissions are set to 600 or more restrictive (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.10 | Ensure that the Container Network Interface file ownership is set to root:root (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.11 | Ensure that the etcd data directory permissions are set to 700 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле /etc/etcd.env. Поэтому в выводе команды ps, которую использует автоматическая проверка, отсутствуют какие-либо ключи, указывающие на параметр DATA_DIR etcd. Права на директорию /var/lib/etcd установлены согласно рекомендации. |
Nova Container Platform |
| 1.1.12 | Ensure that the etcd data directory ownership is set to etcd:etcd (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле /etc/etcd.env. Поэтому в выводе команды ps, которую использует автоматическая проверка, отсутствуют какие-либо ключи, указывающие на параметр DATA_DIR etcd. Автоматизированная проверка не может установить владельца директории, поскольку директория не может быть найдена. Владелец директории /var/lib/etcd согласно рекомендации. |
Nova Container Platform |
| 1.1.13 | Ensure that the admin.conf file permissions are set to 600 (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.14 | Ensure that the admin.conf file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.15 | Ensure that the scheduler.conf file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.16 | Ensure that the scheduler.conf file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.17 | Ensure that the controller-manager.conf file permissions are set to 600 or more restrictive (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.18 | Ensure that the controller-manager.conf file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.19 | Ensure that the Kubernetes PKI directory and file ownership is set to root:root (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.20 | Ensure that the Kubernetes PKI certificate file permissions are set to 600 or more restrictive (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.1.21 | Ensure that the Kubernetes PKI key file permissions are set to 600 (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
1.2 Конфигурация сервера Kubernetes API
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 1.2.1 | Ensure that the --anonymous-auth argument is set to false (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В платформе используются методы авторизации RBAC, Node. Получить информацию о ресурсах Kubernetes без прохождения данных методов авторизации не предоставляется возможным. Анонимные запросы к Kubernetes API разрешены для проверочных healthcheck-запросов, которые выполняет компонент Kubelet. | Nova Container Platform |
| 1.2.2 | Ensure that the --token-auth-file parameter is not set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.3 | Ensure that the --DenyServiceExternalIPs is not set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.4 | Ensure that the --kubelet-client-certificate and --kubeletclient-key arguments are set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.5 | Ensure that the --kubelet-certificate-authority argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.6 | Ensure that the --authorization-mode argument is not set to AlwaysAllow (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.7 | Ensure that the --authorization-mode argument includes Node (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.8 | Ensure that the --authorization-mode argument includes RBAC (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.9 | Ensure that the admission control plugin EventRateLimit is set (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В платформе Nova по умолчанию данный плагин отключен, поскольку его параметры сильно зависят от возможной нагрузки на API-сервер Kubernetes. При небольшой нагрузке на API-сервер и высоком значении EventRateLimit, конфигурация будет неэффективна, и наоборот. Поэтому необходимо принимать решение о настройке параметра исходя из особенностей собственной инфраструктуры и запускаемых сервисов. | Пользователь Nova Container Platform |
| 1.2.10 | Ensure that the admission control plugin AlwaysAdmit is not set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.11 | Ensure that the admission control plugin AlwaysPullImages is set (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В платформе Nova по умолчанию данный плагин отключен, так его включение влечет за собой увеличенную нагрузку на сетевую инфраструктуру и хранилище образов. При этом, кеширование образов на узлах кластера создает риск доступа к образу, зная его имя, без необходимой учетной записи. Данный параметр необходимо включать исходя из особенностей собственной инфраструктуры и запускаемых сервисов. | Пользователь Nova Container Platform |
| 1.2.12 | Ensure that the admission control plugin SecurityContextDeny is set if PodSecurityPolicy is not used (Manual) | 1 | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Дополнительные Admission-вебхуки могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Nova Container Platform |
| 1.2.13 | Ensure that the admission control plugin ServiceAccount is set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.14 | Ensure that the admission control plugin NamespaceLifecycle is set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.15 | Ensure that the admission control plugin NodeRestriction is set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.16 | Ensure that the --secure-port argument is not set to 0 (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.17 | Ensure that the --profiling argument is set to false (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.18 | Ensure that the --audit-log-path argument is set (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.19 | Ensure that the --audit-log-maxage argument is set to 30 or as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.20 | Ensure that the --audit-log-maxbackup argument is set to 10 or as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.21 | Ensure that the --audit-log-maxsize argument is set to 100 or as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.22 | Ensure that the --request-timeout argument is set as appropriate (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В платформе Nova установлен таймаут запросов к Kubernetes API по умолчанию 1 мин. Данный параметр при необходимости должен корректироваться пользователем в зависимости от продолжительности и количества запросов к серверу Kubernetes API. | Пользователь Nova Container Platform |
| 1.2.23 | Ensure that the --service-account-lookup argument is set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.24 | Ensure that the --service-account-key-file argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.25 | Ensure that the --etcd-certfile and --etcd-keyfile arguments are set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.26 | Ensure that the --tls-cert-file and --tls-private-key-file arguments are set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.27 | Ensure that the --client-ca-file argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.28 | Ensure that the --etcd-cafile argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.29 | Ensure that the --encryption-provider-config argument is set as appropriate (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.30 | Ensure that encryption providers are appropriately configured (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.2.31 | Ensure that the API Server only makes use of Strong Cryptographic Ciphers (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
1.3 Конфигурация сервера Kubernetes Controller Manager
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 1.3.1 | Ensure that the --terminated-pod-gc-threshold argument is set as appropriate (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.3.2 | Ensure that the --profiling argument is set to false (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.3.3 | Ensure that the --use-service-account-credentials argument is set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.3.4 | Ensure that the --service-account-private-key-file argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.3.5 | Ensure that the --root-ca-file argument is set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.3.6 | Ensure that the RotateKubeletServerCertificate argument is set to true (Automated) | 2 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. | Nova Container Platform |
| 1.3.7 | Ensure that the --bind-address argument is set to 127.0.0.1 (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
1.4 Конфигурация сервера Kubernetes Scheduler
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 1.4.1 | Ensure that the --profiling argument is set to false (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 1.4.2 | Ensure that the --bind-address argument is set to 127.0.0.1 (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
2. Хранилище Etcd
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 2.1 | Ensure that the --cert-file and --key-file arguments are set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.2 | Ensure that the --client-cert-auth argument is set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.3 | Ensure that the --auto-tls argument is not set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.4 | Ensure that the --peer-cert-file and --peer-key-file arguments are set as appropriate (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.5 | Ensure that the --peer-client-cert-auth argument is set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.6 | Ensure that the --peer-auto-tls argument is not set to true (Automated) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 2.7 | Ensure that a unique Certificate Authority is used for etcd (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
3. Конфигурация Control Plane
3.1 Аутентификация и авторизация
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 3.1.1 | Client certificate authentication should not be used for users (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 3.1.2 | Service account token authentication should not be used for users (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Пользователь Nova Container Platform | |
| 3.1.3 | Bootstrap token authentication should not be used for users (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform |
3.2 Логирование
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 3.2.1 | Ensure that a minimal audit policy is created (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 3.2.2 | Ensure that the audit policy covers key security concerns (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Пользователь Nova Container Platform |
4. Конфигурация рабочих узлов
4.1 Конфигурационные файлы рабочих узлов
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 4.1.1 | Ensure that the kubelet service file permissions are set to 600 or more restrictive (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.2 | Ensure that the kubelet service file ownership is set to root:root (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.3 | If proxy kubeconfig file exists ensure permissions are set to 600 or more restrictive (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.4 | If proxy kubeconfig file exists ensure ownership is set to root:root (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.5 | Ensure that the --kubeconfig kubelet.conf file permissions are set to 600 or more restrictive (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.6 | Ensure that the --kubeconfig kubelet.conf file ownership is set to root:root (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.7 | Ensure that the certificate authorities file permissions are set to 600 or more restrictive (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.8 | Ensure that the client certificate authorities file ownership is set to root:root (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.9 | If the kubelet config.yaml configuration file is being used validate permissions set to 600 or more restrictive (Manual) | 2 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4.1.10 | If the kubelet config.yaml configuration file is being used validate file ownership is set to root:root (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform |
4.2 Конфигурация Kubelet
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 1 | Ensure that the --anonymous-auth argument is set to false (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 2 | Ensure that the --authorization-mode argument is not set to AlwaysAllow (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 3 | Ensure that the --client-ca-file argument is set as appropriate (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 4 | Verify that the --read-only-port argument is set to 0 | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 5 | Ensure that the --streaming-connection-idle-timeout argument is not set to 0 (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 6 | Ensure that the --make-iptables-util-chains argument is set to true (Automated) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 7 | Ensure that the --hostname-override argument is not set (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 8 | Ensure that the eventRecordQPS argument is set to a level which ensures appropriate event capture (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 9 | Ensure that the --tls-cert-file and --tls-private-key-file arguments are set as appropriate (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 10 | Ensure that the --rotate-certificates argument is not set to false (Automated) | 2 (Рабочие узлы) | ⚠️ Внимание | В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. | Nova Container Platform |
| 11 | Verify that the RotateKubeletServerCertificate argument is set to true (Manual) | 2 (Рабочие узлы) | ⚠️ Внимание | В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. | Nova Container Platform |
| 12 | Ensure that the Kubelet only makes use of Strong Cryptographic Ciphers (Manual) | 1 (Рабочие узлы) | ✅ Соответствует | Nova Container Platform | |
| 13 | Ensure that a limit is set on pod PIDs (Manual) | 1 (Рабочие узлы) | ⚠️ Внимание1 | Nova Container Platform |
5. Конфигурация политик
5.1 Конфигурация RBAC и сервисных аккаунтов
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.1.1 | Ensure that the cluster-admin role is only used where required (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.2 | Minimize access to secrets (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.3 | Minimize wildcard use in Roles and ClusterRoles (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.4 | Minimize access to create pods (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.5 | Ensure that default service accounts are not actively used. (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.6 | Ensure that Service Account Tokens are only mounted where necessary (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.7 | Avoid use of system:masters group (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.8 | Limit use of the Bind, Impersonate and Escalate permissions in the Kubernetes cluster (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.9 | Minimize access to create persistent volumes (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.10 | Minimize access to the proxy sub-resource of nodes (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.11 | Minimize access to the approval sub-resource of certificatesigningrequests objects (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.12 | Minimize access to webhook configuration objects (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
| 5.1.13 | Minimize access to the service account token creation (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. | Совместно |
5.2 Конфигурация Pod Security Standards
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.2.1 | Ensure that the cluster has at least one active policy control mechanism in place (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.2 | Minimize the admission of privileged containers (Manual) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.3 | Minimize the admission of containers wishing to share the host process ID namespace (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.4 | Minimize the admission of containers wishing to share the host IPC namespace (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.5 | Minimize the admission of containers wishing to share the host network namespace (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.6 | Minimize the admission of containers with allowPrivilegeEscalation (Automated) |
1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.7 | Minimize the admission of root containers (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.8 | Minimize the admission of containers with the NET_RAW capability (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.9 | Minimize the admission of containers with added capabilities (Automated) | 1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.10 | Minimize the admission of containers with capabilitiesassigned (Manual) | 2 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.11 | Minimize the admission of Windows HostProcess Containers (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.12 | Minimize the admission of HostPath volumes (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
| 5.2.13 | Minimize the admission of containers which use HostPorts (Manual) |
1 (Мастер-узлы) | ⚠️ Внимание | В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Совместно |
5.3 Конфигурация сетевых политик и CNI
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.3.1 | Ensure that the CNI in use supports Network Policies (Manual) | 1 (Мастер-узлы) | ✅ Соответствует | Nova Container Platform | |
| 5.3.2 | Ensure that all Namespaces have Network Policies defined (Manual) | 2 (Мастер-узлы) | ⚠️ Внимание | По умолчанию в Nova Container Platform нет предустановленных сетевых политик для системных компонентов и пространств имен во избежание конфликтов и избыточной конфигурации правил сетевой безопасности. В системе безопасности Neuvector выполняется постоянное сканирование сетевой активности всех компонентов кластера, на основании которого автоматически создаются необходимые правила. Пользователь может в любой момент изменить режим работы данных правил. Поддерживается три режима работы: обнаружение, мониторинг и защита. | Совместно |
5.4 Управление секретами
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.4.1 | Prefer using secrets as files over secrets as environment variables (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Совместно | |
| 5.4.2 | Consider external secret storage (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Совместно |
5.5 Расширенная конфигурация Admission Control
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.5.1 | Configure Image Provenance using ImagePolicyWebhook admission controller (Manual) |
2 (Мастер-узлы) | ⚠️ Внимание | Admission-вебхуки, реализующие функционал контроля образов, могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. | Nova Container Platform |
5.7 Общие рекомендации
| Шаг | Рекомендация | Уровень | Результат | Комментарий | Зона ответственности |
|---|---|---|---|---|---|
| 5.7.1 | Create administrative boundaries between resources using namespaces (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Совместно | |
| 5.7.2 | Ensure that the seccomp profile is set to docker/default in your pod definitions (Manual) | 2 (Мастер-узлы) | ⚠️ Внимание2 | Совместно | |
| 5.7.3 | Apply Security Context to Your Pods and Containers (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Совместно | |
| 5.7.4 | The default namespace should not be used (Manual) | 2 (Мастер-узлы) | ✅ Соответствует | Совместно |