卡巴斯基容器安全

Kubernetes 基准报告

在卡巴斯基容器安全中,您可以根据检查对象是否符合 Kubernetes 基准的结果来生成报告。

默认情况下,会为所有状态的节点生成报告 - “通过”、“警告”和“失败”。如果需要为具有特定扫描状态的节点生成报告,请在表格上方的“控制状态”部分中单击相应的状态按钮。卡巴斯基容器安全将更新合规性检查结果的显示,并为具有相关状态的节点生成报告。

根据信息详细程度,报告可以是总结报告或详细报告。

Kubernetes 基准检查总结报告

总结报告提供有关所选集群的综合信息。它列出了具有指定合规性检查状态的节点的名称,以及每个节点上次接受检查的日期和时间。所有节点的报告将显示在对象扫描期间检测到的具有选定状态的 Kubernetes 基准的数量的相关信息。

Kubernetes 基准检查详细报告

详细报告提供有关所选集群的节点或集群的特定节点的更多详细信息。具体取决于您在生成报告时所选择的解决方案子部分:

  • 从包含集群列表的表格中创建有关所选集群中节点的详细报告。
  • 页面上会生成有关节点的报告,其中包含该节点的详细描述。

对于选择用于生成报告的集群中的每个节点,还列出了最后一次执行扫描的日期和时间、被分配了扫描状态的 Kubernetes 基准的数量,以及在生成报告之前分配了所选状态的基准。

Kubernetes 基准为解决方案和应用程序的安全配置提供了配置基线和建议,以增强网络威胁防护。强化是指通过消除潜在风险来帮助防范未经授权的访问、拒绝服务以及其他安全事件的过程。

Kubernetes 基准检查示例

在检查节点是否符合 Kubernetes 基准后,卡巴斯基容器安全可以显示与安全要求相关的建议,例如:

  • 控制平面组件
    • 控制平面节点配置文件
      • 确保将 API 服务器 pod 规范文件的权限设置为 644 或更严格。
      • 确保将 API 服务器 pod 规范文件的所有权设置为 root:root
    • API 服务器
      • 确保将 --anonymous-auth 参数设置为 false
      • 确保未设置 --token-auth-file 参数。
    • 控制器管理器
      • 确保为 --terminated-pod-gc-threshold 参数设置适当的值。
      • 确保将 --profiling 参数设置为 false
  • etcd
    • 确保为 --cert-file--key-file 参数设置适当的值。
    • 确保将 --client-cert-auth 参数设置为 true
  • 控制平面配置
    • 身份验证和授权
      • 不应使用客户端证书身份验证方式来认证用户。
    • 日志记录
      • 确保创建最小审计策略。
      • 确保审计策略涵盖关键的安全问题。
  • 工作节点
    • 工作节点配置文件
      • 确保将 kubelet 服务文件的权限设置为 644 或更多限制。
      • 确保将 kubelet 服务文件的所有权设置为 root:root
  • 策略。
    • 基于角色的访问控制和账户
      • 确保仅在需要时使用 cluster-admin 角色。
      • 尽量减少对机密的访问。
    • Pod 安全策略
      • 最小化特权容器准入。
    • 网络策略和容器网络接口 (CNI)
      • 确保使用中的 CNI 支持网络策略。
      • 确保所有命名空间都已定义网络策略。
    • 机密管理
      • 更倾向于将机密作为文件而非环境变量使用。
      • 考虑外部机密存储。

    .

页首
[Topic 264538]