CIS Kubernetes Benchmark
Центр интернет-безопасности - The Center for Internet Security (CIS) регулярно публикует документ, в котором содержится набор определенных шагов для обеспечения безопасности инфраструктуры Kubernetes. Данный раздел документации содержит сведения о соответствии платформы Nova Container Platform стандарту CIS Kubernetes Benchmark V1.7.0 - 03-20-2023.
Скачать документ вы можете на официальном сайте CIS или получить копию по ссылке.
1. Компоненты Control Plane
1.1. Конфигурация узлов Control Plane
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
1.1.1 |
Ensure that the API server pod specification file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.2 |
Ensure that the API server pod specification file ownership is set to root:root. |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.3 |
Ensure that the controller manager pod specification file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.4 |
Ensure that the controller manager pod specification file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.5 |
Ensure that the scheduler pod specification file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.6 |
Ensure that the scheduler pod specification file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.7 |
Ensure that the etcd pod specification file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу |
Nova Container Platform |
1.1.8 |
Ensure that the etcd pod specification file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу |
Nova Container Platform |
1.1.9 |
Ensure that the Container Network Interface file permissions are set to 600 or more restrictive (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.10 |
Ensure that the Container Network Interface file ownership is set to root:root (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.11 |
Ensure that the etcd data directory permissions are set to 700 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле |
Nova Container Platform |
1.1.12 |
Ensure that the etcd data directory ownership is set to etcd:etcd (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле |
Nova Container Platform |
1.1.13 |
Ensure that the admin.conf file permissions are set to 600 (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.14 |
Ensure that the admin.conf file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.15 |
Ensure that the scheduler.conf file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.16 |
Ensure that the scheduler.conf file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.17 |
Ensure that the controller-manager.conf file permissions are set to 600 or more restrictive (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.18 |
Ensure that the controller-manager.conf file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.19 |
Ensure that the Kubernetes PKI directory and file ownership is set to root:root (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.20 |
Ensure that the Kubernetes PKI certificate file permissions are set to 600 or more restrictive (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.1.21 |
Ensure that the Kubernetes PKI key file permissions are set to 600 (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
1.2. Конфигурация сервера Kubernetes API
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
1.2.1 |
Ensure that the –anonymous-auth argument is set to false (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В платформе используются методы авторизации RBAC, Node. Получить информацию о ресурсах Kubernetes без прохождения данных методов авторизации не предоставляется возможным. Анонимные запросы к Kubernetes API разрешены для проверочных healthcheck-запросов, которые выполняет компонент Kubelet. |
Nova Container Platform |
1.2.2 |
Ensure that the –token-auth-file parameter is not set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.3 |
Ensure that the –DenyServiceExternalIPs is not set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.4 |
Ensure that the –kubelet-client-certificate and –kubeletclient-key arguments are set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.5 |
Ensure that the –kubelet-certificate-authority argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.6 |
Ensure that the –authorization-mode argument is not set to AlwaysAllow (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.7 |
Ensure that the –authorization-mode argument includes Node (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.8 |
Ensure that the –authorization-mode argument includes RBAC (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.9 |
Ensure that the admission control plugin EventRateLimit is set (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В платформе Nova по умолчанию данный плагин отключен, поскольку его параметры сильно зависят от возможной нагрузки на API-сервер Kubernetes. При небольшой нагрузке на API-сервер и высоком значении EventRateLimit, конфигурация будет неэффективна, и наоборот. Поэтому необходимо принимать решение о настройке параметра исходя из особенностей собственной инфраструктуры и запускаемых сервисов. |
Пользователь Nova Container Platform |
1.2.10 |
Ensure that the admission control plugin AlwaysAdmit is not set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.11 |
Ensure that the admission control plugin AlwaysPullImages is set (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В платформе Nova по умолчанию данный плагин отключен, так его включение влечет за собой увеличенную нагрузку на сетевую инфраструктуру и хранилище образов. При этом, кеширование образов на узлах кластера создает риск доступа к образу, зная его имя, без необходимой учетной записи. Данный параметр необходимо включать исходя из особенностей собственной инфраструктуры и запускаемых сервисов. |
Пользователь Nova Container Platform |
1.2.12 |
Ensure that the admission control plugin SecurityContextDeny is set if PodSecurityPolicy is not used (Manual) |
1 |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Дополнительные Admission-вебхуки могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Nova Container Platform |
1.2.13 |
Ensure that the admission control plugin ServiceAccount is set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.14 |
Ensure that the admission control plugin NamespaceLifecycle is set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.15 |
Ensure that the admission control plugin NodeRestriction is set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.16 |
Ensure that the –secure-port argument is not set to 0 (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.17 |
Ensure that the –profiling argument is set to false (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.18 |
Ensure that the –audit-log-path argument is set (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.19 |
Ensure that the –audit-log-maxage argument is set to 30 or as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.20 |
Ensure that the –audit-log-maxbackup argument is set to 10 or as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.21 |
Ensure that the –audit-log-maxsize argument is set to 100 or as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.22 |
Ensure that the –request-timeout argument is set as appropriate (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В платформе Nova установлен таймаут запросов к Kubernetes API по умолчанию 1 мин. Данный параметр при необходимости должен корректироваться пользователем в зависимости от продолжительности и количества запросов к серверу Kubernetes API. |
Пользователь Nova Container Platform |
1.2.23 |
Ensure that the –service-account-lookup argument is set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.24 |
Ensure that the –service-account-key-file argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.25 |
Ensure that the –etcd-certfile and –etcd-keyfile arguments are set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.26 |
Ensure that the –tls-cert-file and –tls-private-key-file arguments are set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.27 |
Ensure that the –client-ca-file argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.28 |
Ensure that the –etcd-cafile argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.29 |
Ensure that the –encryption-provider-config argument is set as appropriate (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.30 |
Ensure that encryption providers are appropriately configured (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.2.31 |
Ensure that the API Server only makes use of Strong Cryptographic Ciphers (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
1.3. Конфигурация сервера Kubernetes Controller Manager
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
1.3.1 |
Ensure that the –terminated-pod-gc-threshold argument is set as appropriate (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.3.2 |
Ensure that the –profiling argument is set to false (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.3.3 |
Ensure that the –use-service-account-credentials argument is set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.3.4 |
Ensure that the –service-account-private-key-file argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.3.5 |
Ensure that the –root-ca-file argument is set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.3.6 |
Ensure that the RotateKubeletServerCertificate argument is set to true (Automated) |
2 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. |
Nova Container Platform |
1.3.7 |
Ensure that the –bind-address argument is set to 127.0.0.1 (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
1.4. Конфигурация сервера Kubernetes Scheduler
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
1.4.1 |
Ensure that the –profiling argument is set to false (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
1.4.2 |
Ensure that the –bind-address argument is set to 127.0.0.1 (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
2. Хранилище Etcd
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
2.1 |
Ensure that the –cert-file and –key-file arguments are set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.2 |
Ensure that the –client-cert-auth argument is set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.3 |
Ensure that the –auto-tls argument is not set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.4 |
Ensure that the –peer-cert-file and –peer-key-file arguments are set as appropriate (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.5 |
Ensure that the –peer-client-cert-auth argument is set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.6 |
Ensure that the –peer-auto-tls argument is not set to true (Automated) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
2.7 |
Ensure that a unique Certificate Authority is used for etcd (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
3. Конфигурация Control Plane
3.1. Аутентификация и авторизация
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
3.1.1 |
Client certificate authentication should not be used for users (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
3.1.2 |
Service account token authentication should not be used for users (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Пользователь Nova Container Platform |
|
3.1.3 |
Bootstrap token authentication should not be used for users (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
3.2. Логирование
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
3.2.1 |
Ensure that a minimal audit policy is created (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
3.2.2 |
Ensure that the audit policy covers key security concerns (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Пользователь Nova Container Platform |
4. Конфигурация рабочих узлов
4.1. Конфигурационные файлы рабочих узлов
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
4.1.1 |
Ensure that the kubelet service file permissions are set to 600 or more restrictive (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.2 |
Ensure that the kubelet service file ownership is set to root:root (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.3 |
If proxy kubeconfig file exists ensure permissions are set to 600 or more restrictive (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.4 |
If proxy kubeconfig file exists ensure ownership is set to root:root (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.5 |
Ensure that the –kubeconfig kubelet.conf file permissions are set to 600 or more restrictive (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.6 |
Ensure that the –kubeconfig kubelet.conf file ownership is set to root:root (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.7 |
Ensure that the certificate authorities file permissions are set to 600 or more restrictive (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.8 |
Ensure that the client certificate authorities file ownership is set to root:root (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.9 |
If the kubelet config.yaml configuration file is being used validate permissions set to 600 or more restrictive (Manual) |
2 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4.1.10 |
If the kubelet config.yaml configuration file is being used validate file ownership is set to root:root (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
4.2. Конфигурация Kubelet
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
1 |
Ensure that the –anonymous-auth argument is set to false (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
2 |
Ensure that the –authorization-mode argument is not set to AlwaysAllow (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
3 |
Ensure that the –client-ca-file argument is set as appropriate (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
4 |
Verify that the –read-only-port argument is set to 0 |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
5 |
Ensure that the –streaming-connection-idle-timeout argument is not set to 0 (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
6 |
Ensure that the –make-iptables-util-chains argument is set to true (Automated) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
7 |
Ensure that the –hostname-override argument is not set (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
8 |
Ensure that the eventRecordQPS argument is set to a level which ensures appropriate event capture (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
9 |
Ensure that the –tls-cert-file and –tls-private-key-file arguments are set as appropriate (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
10 |
Ensure that the –rotate-certificates argument is not set to false (Automated) |
2 (Рабочие узлы) |
⚠️ Внимание |
В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. |
Nova Container Platform |
11 |
Verify that the RotateKubeletServerCertificate argument is set to true (Manual) |
2 (Рабочие узлы) |
⚠️ Внимание |
В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна. |
Nova Container Platform |
12 |
Ensure that the Kubelet only makes use of Strong Cryptographic Ciphers (Manual) |
1 (Рабочие узлы) |
✅ Соответствует |
Nova Container Platform |
|
13 |
Ensure that a limit is set on pod PIDs (Manual) |
1 (Рабочие узлы) |
⚠️ Внимание[1] |
Nova Container Platform |
5. Конфигурация политик
5.1. Конфигурация RBAC и сервисных аккаунтов
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.1.1 |
Ensure that the |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.2 |
Minimize access to secrets (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.3 |
Minimize wildcard use in |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.4 |
Minimize access to create pods (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.5 |
Ensure that default service accounts are not actively used. (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.6 |
Ensure that Service Account Tokens are only mounted where necessary (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.7 |
Avoid use of |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.8 |
Limit use of the Bind, Impersonate and Escalate permissions in the Kubernetes cluster (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.9 |
Minimize access to create persistent volumes (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.10 |
Minimize access to the proxy sub-resource of nodes (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.11 |
Minimize access to the approval sub-resource of |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.12 |
Minimize access to webhook configuration objects (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.1.13 |
Minimize access to the service account token creation (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы. |
Совместно |
5.2. Конфигурация Pod Security Standards
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.2.1 |
Ensure that the cluster has at least one active policy control mechanism in place (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.2 |
Minimize the admission of privileged containers (Manual) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.3 |
Minimize the admission of containers wishing to share the host process ID namespace (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.4 |
Minimize the admission of containers wishing to share the host IPC namespace (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.5 |
Minimize the admission of containers wishing to share the host network namespace (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.6 |
Minimize the admission of containers with |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.7 |
Minimize the admission of root containers (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.8 |
Minimize the admission of containers with the NET_RAW capability (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.9 |
Minimize the admission of containers with added capabilities (Automated) |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.10 |
Minimize the admission of containers with capabilitiesassigned (Manual) |
2 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.11 |
Minimize the admission of Windows |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.12 |
Minimize the admission of |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.2.13 |
Minimize the admission of containers which use |
1 (Мастер-узлы) |
⚠️ Внимание |
В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Совместно |
5.3. Конфигурация сетевых политик и CNI
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.3.1 |
Ensure that the CNI in use supports Network Policies (Manual) |
1 (Мастер-узлы) |
✅ Соответствует |
Nova Container Platform |
|
5.3.2 |
Ensure that all Namespaces have Network Policies defined (Manual) |
2 (Мастер-узлы) |
⚠️ Внимание |
По умолчанию в Nova Container Platform нет предустановленных сетевых политик для системных компонентов и пространств имен во избежание конфликтов и избыточной конфигурации правил сетевой безопасности. В системе безопасности Neuvector выполняется постоянное сканирование сетевой активности всех компонентов кластера, на основании которого автоматически создаются необходимые правила. Пользователь может в любой момент изменить режим работы данных правил. Поддерживается три режима работы: обнаружение, мониторинг и защита. |
Совместно |
5.4. Управление секретами
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.4.1 |
Prefer using secrets as files over secrets as environment variables (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Совместно |
|
5.4.2 |
Consider external secret storage (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Совместно |
5.5. Расширенная конфигурация Admission Control
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.5.1 |
Configure Image Provenance using |
2 (Мастер-узлы) |
⚠️ Внимание |
Admission-вебхуки, реализующие функционал контроля образов, могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector. |
Nova Container Platform |
5.6. Общие рекомендации
Шаг |
Рекомендация |
Уровень |
Результат |
Комментарий |
Зона ответственности |
5.7.1 |
Create administrative boundaries between resources using namespaces (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Совместно |
|
5.7.2 |
Ensure that the seccomp profile is set to docker/default in your pod definitions (Manual) |
2 (Мастер-узлы) |
⚠️ Внимание[2] |
Совместно |
|
5.7.3 |
Apply Security Context to Your Pods and Containers (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Совместно |
|
5.7.4 |
The default namespace should not be used (Manual) |
2 (Мастер-узлы) |
✅ Соответствует |
Совместно |