CIS Kubernetes Benchmark

Центр интернет-безопасности - The Center for Internet Security (CIS) регулярно публикует документ, в котором содержится набор определенных шагов для обеспечения безопасности инфраструктуры Kubernetes. Данный раздел документации содержит сведения о соответствии платформы Nova Container Platform стандарту CIS Kubernetes Benchmark V1.7.0 - 03-20-2023.

Скачать документ вы можете на официальном сайте CIS или получить копию по ссылке.

1. Компоненты Control Plane

1.1. Конфигурация узлов Control Plane

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

1.1.1

Ensure that the API server pod specification file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.2

Ensure that the API server pod specification file ownership is set to root:root.

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.3

Ensure that the controller manager pod specification file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.4

Ensure that the controller manager pod specification file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.5

Ensure that the scheduler pod specification file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.6

Ensure that the scheduler pod specification file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.7

Ensure that the etcd pod specification file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу /etc/kubernetes/manifests/etcd.yaml, который отсутствует в конфигурации Nova Container Platform. В платформе Etcd работает как служба Systemd, используя конфигурацию из файла /etc/etcd.env, права на который установлены в соответствие с рекомендацией.

Nova Container Platform

1.1.8

Ensure that the etcd pod specification file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

При автоматизированной проверке по данному шагу может быть получен результат Fail. Это связано с тем, что проверка выполняется по файлу /etc/kubernetes/manifests/etcd.yaml, который отсутствует в конфигурации Nova Container Platform. В платформе Etcd работает как служба Systemd, используя конфигурацию из файла /etc/etcd.env, владельцем которого является пользователь root:root.

Nova Container Platform

1.1.9

Ensure that the Container Network Interface file permissions are set to 600 or more restrictive (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.10

Ensure that the Container Network Interface file ownership is set to root:root (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.11

Ensure that the etcd data directory permissions are set to 700 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле /etc/etcd.env. Поэтому в выводе команды ps, которую использует автоматическая проверка, отсутствуют какие-либо ключи, указывающие на параметр DATA_DIR etcd. Права на директорию /var/lib/etcd установлены согласно рекомендации.

Nova Container Platform

1.1.12

Ensure that the etcd data directory ownership is set to etcd:etcd (Automated)

1 (Мастер-узлы)

✅ Соответствует

При автоматизированной проверке по данному шагу может быть получен результат Fail, поскольку сервис Etcd в Nova запускается с использованием переменных окружения в файле /etc/etcd.env. Поэтому в выводе команды ps, которую использует автоматическая проверка, отсутствуют какие-либо ключи, указывающие на параметр DATA_DIR etcd. Автоматизированная проверка не может установить владельца директории, поскольку директория не может быть найдена. Владелец директории /var/lib/etcd согласно рекомендации.

Nova Container Platform

1.1.13

Ensure that the admin.conf file permissions are set to 600 (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.14

Ensure that the admin.conf file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.15

Ensure that the scheduler.conf file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.16

Ensure that the scheduler.conf file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.17

Ensure that the controller-manager.conf file permissions are set to 600 or more restrictive (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.18

Ensure that the controller-manager.conf file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.19

Ensure that the Kubernetes PKI directory and file ownership is set to root:root (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.20

Ensure that the Kubernetes PKI certificate file permissions are set to 600 or more restrictive (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.1.21

Ensure that the Kubernetes PKI key file permissions are set to 600 (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2. Конфигурация сервера Kubernetes API

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

1.2.1

Ensure that the –anonymous-auth argument is set to false (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В платформе используются методы авторизации RBAC, Node. Получить информацию о ресурсах Kubernetes без прохождения данных методов авторизации не предоставляется возможным. Анонимные запросы к Kubernetes API разрешены для проверочных healthcheck-запросов, которые выполняет компонент Kubelet.

Nova Container Platform

1.2.2

Ensure that the –token-auth-file parameter is not set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.3

Ensure that the –DenyServiceExternalIPs is not set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.4

Ensure that the –kubelet-client-certificate and –kubeletclient-key arguments are set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.5

Ensure that the –kubelet-certificate-authority argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.6

Ensure that the –authorization-mode argument is not set to AlwaysAllow (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.7

Ensure that the –authorization-mode argument includes Node (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.8

Ensure that the –authorization-mode argument includes RBAC (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.9

Ensure that the admission control plugin EventRateLimit is set (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В платформе Nova по умолчанию данный плагин отключен, поскольку его параметры сильно зависят от возможной нагрузки на API-сервер Kubernetes. При небольшой нагрузке на API-сервер и высоком значении EventRateLimit, конфигурация будет неэффективна, и наоборот. Поэтому необходимо принимать решение о настройке параметра исходя из особенностей собственной инфраструктуры и запускаемых сервисов.

Пользователь Nova Container Platform

1.2.10

Ensure that the admission control plugin AlwaysAdmit is not set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.11

Ensure that the admission control plugin AlwaysPullImages is set (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В платформе Nova по умолчанию данный плагин отключен, так его включение влечет за собой увеличенную нагрузку на сетевую инфраструктуру и хранилище образов. При этом, кеширование образов на узлах кластера создает риск доступа к образу, зная его имя, без необходимой учетной записи. Данный параметр необходимо включать исходя из особенностей собственной инфраструктуры и запускаемых сервисов.

Пользователь Nova Container Platform

1.2.12

Ensure that the admission control plugin SecurityContextDeny is set if PodSecurityPolicy is not used (Manual)

1

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Дополнительные Admission-вебхуки могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Nova Container Platform

1.2.13

Ensure that the admission control plugin ServiceAccount is set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.14

Ensure that the admission control plugin NamespaceLifecycle is set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.15

Ensure that the admission control plugin NodeRestriction is set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.16

Ensure that the –secure-port argument is not set to 0 (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.17

Ensure that the –profiling argument is set to false (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.18

Ensure that the –audit-log-path argument is set (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.19

Ensure that the –audit-log-maxage argument is set to 30 or as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.20

Ensure that the –audit-log-maxbackup argument is set to 10 or as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.21

Ensure that the –audit-log-maxsize argument is set to 100 or as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.22

Ensure that the –request-timeout argument is set as appropriate (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В платформе Nova установлен таймаут запросов к Kubernetes API по умолчанию 1 мин. Данный параметр при необходимости должен корректироваться пользователем в зависимости от продолжительности и количества запросов к серверу Kubernetes API.

Пользователь Nova Container Platform

1.2.23

Ensure that the –service-account-lookup argument is set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.24

Ensure that the –service-account-key-file argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.25

Ensure that the –etcd-certfile and –etcd-keyfile arguments are set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.26

Ensure that the –tls-cert-file and –tls-private-key-file arguments are set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.27

Ensure that the –client-ca-file argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.28

Ensure that the –etcd-cafile argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.29

Ensure that the –encryption-provider-config argument is set as appropriate (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.30

Ensure that encryption providers are appropriately configured (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.2.31

Ensure that the API Server only makes use of Strong Cryptographic Ciphers (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3. Конфигурация сервера Kubernetes Controller Manager

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

1.3.1

Ensure that the –terminated-pod-gc-threshold argument is set as appropriate (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3.2

Ensure that the –profiling argument is set to false (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3.3

Ensure that the –use-service-account-credentials argument is set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3.4

Ensure that the –service-account-private-key-file argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3.5

Ensure that the –root-ca-file argument is set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.3.6

Ensure that the RotateKubeletServerCertificate argument is set to true (Automated)

2 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна.

Nova Container Platform

1.3.7

Ensure that the –bind-address argument is set to 127.0.0.1 (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.4. Конфигурация сервера Kubernetes Scheduler

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

1.4.1

Ensure that the –profiling argument is set to false (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

1.4.2

Ensure that the –bind-address argument is set to 127.0.0.1 (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2. Хранилище Etcd

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

2.1

Ensure that the –cert-file and –key-file arguments are set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.2

Ensure that the –client-cert-auth argument is set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.3

Ensure that the –auto-tls argument is not set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.4

Ensure that the –peer-cert-file and –peer-key-file arguments are set as appropriate (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.5

Ensure that the –peer-client-cert-auth argument is set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.6

Ensure that the –peer-auto-tls argument is not set to true (Automated)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

2.7

Ensure that a unique Certificate Authority is used for etcd (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

3. Конфигурация Control Plane

3.1. Аутентификация и авторизация

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

3.1.1

Client certificate authentication should not be used for users (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

3.1.2

Service account token authentication should not be used for users (Manual)

2 (Мастер-узлы)

✅ Соответствует

Пользователь Nova Container Platform

3.1.3

Bootstrap token authentication should not be used for users (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

3.2. Логирование

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

3.2.1

Ensure that a minimal audit policy is created (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

3.2.2

Ensure that the audit policy covers key security concerns (Manual)

2 (Мастер-узлы)

✅ Соответствует

Пользователь Nova Container Platform

4. Конфигурация рабочих узлов

4.1. Конфигурационные файлы рабочих узлов

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

4.1.1

Ensure that the kubelet service file permissions are set to 600 or more restrictive (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.2

Ensure that the kubelet service file ownership is set to root:root (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.3

If proxy kubeconfig file exists ensure permissions are set to 600 or more restrictive (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.4

If proxy kubeconfig file exists ensure ownership is set to root:root (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.5

Ensure that the –kubeconfig kubelet.conf file permissions are set to 600 or more restrictive (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.6

Ensure that the –kubeconfig kubelet.conf file ownership is set to root:root (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.7

Ensure that the certificate authorities file permissions are set to 600 or more restrictive (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.8

Ensure that the client certificate authorities file ownership is set to root:root (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.9

If the kubelet config.yaml configuration file is being used validate permissions set to 600 or more restrictive (Manual)

2 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.1.10

If the kubelet config.yaml configuration file is being used validate file ownership is set to root:root (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4.2. Конфигурация Kubelet

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

1

Ensure that the –anonymous-auth argument is set to false (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

2

Ensure that the –authorization-mode argument is not set to AlwaysAllow (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

3

Ensure that the –client-ca-file argument is set as appropriate (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

4

Verify that the –read-only-port argument is set to 0

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

5

Ensure that the –streaming-connection-idle-timeout argument is not set to 0 (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

6

Ensure that the –make-iptables-util-chains argument is set to true (Automated)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

7

Ensure that the –hostname-override argument is not set (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

8

Ensure that the eventRecordQPS argument is set to a level which ensures appropriate event capture (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

9

Ensure that the –tls-cert-file and –tls-private-key-file arguments are set as appropriate (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

10

Ensure that the –rotate-certificates argument is not set to false (Automated)

2 (Рабочие узлы)

⚠️ Внимание

В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна.

Nova Container Platform

11

Verify that the RotateKubeletServerCertificate argument is set to true (Manual)

2 (Рабочие узлы)

⚠️ Внимание

В Nova Container Platform сертификаты Kubelet создаются в отдельном защищенном PKI, размещаемом в компоненте Secrets Manager. Поэтому ротация сертификатов средствами Controller Manager невозможна.

Nova Container Platform

12

Ensure that the Kubelet only makes use of Strong Cryptographic Ciphers (Manual)

1 (Рабочие узлы)

✅ Соответствует

Nova Container Platform

13

Ensure that a limit is set on pod PIDs (Manual)

1 (Рабочие узлы)

⚠️ Внимание[1]

Nova Container Platform

5. Конфигурация политик

5.1. Конфигурация RBAC и сервисных аккаунтов

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.1.1

Ensure that the cluster-admin role is only used where required (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.2

Minimize access to secrets (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.3

Minimize wildcard use in Roles and ClusterRoles (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.4

Minimize access to create pods (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.5

Ensure that default service accounts are not actively used. (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.6

Ensure that Service Account Tokens are only mounted where necessary (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.7

Avoid use of system:masters group (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.8

Limit use of the Bind, Impersonate and Escalate permissions in the Kubernetes cluster (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.9

Minimize access to create persistent volumes (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.10

Minimize access to the proxy sub-resource of nodes (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.11

Minimize access to the approval sub-resource of certificatesigningrequests objects (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.12

Minimize access to webhook configuration objects (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.1.13

Minimize access to the service account token creation (Manual)

1 (Мастер-узлы)

⚠️ Внимание

Конфигурация компонентов платформы находится в зоне ответственности производителя. Конфигурация пользовательских компонентов, развернутых в платформе, находится в зоне ответственности администраторов платформы.

Совместно

5.2. Конфигурация Pod Security Standards

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.2.1

Ensure that the cluster has at least one active policy control mechanism in place (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.2

Minimize the admission of privileged containers (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.3

Minimize the admission of containers wishing to share the host process ID namespace (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.4

Minimize the admission of containers wishing to share the host IPC namespace (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.5

Minimize the admission of containers wishing to share the host network namespace (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.6

Minimize the admission of containers with allowPrivilegeEscalation (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.7

Minimize the admission of root containers (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.8

Minimize the admission of containers with the NET_RAW capability (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.9

Minimize the admission of containers with added capabilities (Automated)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.10

Minimize the admission of containers with capabilitiesassigned (Manual)

2 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.11

Minimize the admission of Windows HostProcess Containers (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.12

Minimize the admission of HostPath volumes (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.2.13

Minimize the admission of containers which use HostPorts (Manual)

1 (Мастер-узлы)

⚠️ Внимание

В Nova Container Platform по умолчанию ко всем системным пространствам имен (namespace) применяются политики Pod Security Standards. Уровень безопасности каждой политики установлен в зависимости от требований размещаемого в пространстве имен компонента платформы. Дополнительные политики и правила могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Совместно

5.3. Конфигурация сетевых политик и CNI

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.3.1

Ensure that the CNI in use supports Network Policies (Manual)

1 (Мастер-узлы)

✅ Соответствует

Nova Container Platform

5.3.2

Ensure that all Namespaces have Network Policies defined (Manual)

2 (Мастер-узлы)

⚠️ Внимание

По умолчанию в Nova Container Platform нет предустановленных сетевых политик для системных компонентов и пространств имен во избежание конфликтов и избыточной конфигурации правил сетевой безопасности. В системе безопасности Neuvector выполняется постоянное сканирование сетевой активности всех компонентов кластера, на основании которого автоматически создаются необходимые правила. Пользователь может в любой момент изменить режим работы данных правил. Поддерживается три режима работы: обнаружение, мониторинг и защита.

Совместно

5.4. Управление секретами

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.4.1

Prefer using secrets as files over secrets as environment variables (Manual)

2 (Мастер-узлы)

✅ Соответствует

Совместно

5.4.2

Consider external secret storage (Manual)

2 (Мастер-узлы)

✅ Соответствует

Совместно

5.5. Расширенная конфигурация Admission Control

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.5.1

Configure Image Provenance using ImagePolicyWebhook admission controller (Manual)

2 (Мастер-узлы)

⚠️ Внимание

Admission-вебхуки, реализующие функционал контроля образов, могут быть сконфигурированы пользователем при необходимости с помощью инструментов системы безопасности Neuvector.

Nova Container Platform

5.6. Общие рекомендации

Шаг

Рекомендация

Уровень

Результат

Комментарий

Зона ответственности

5.7.1

Create administrative boundaries between resources using namespaces (Manual)

2 (Мастер-узлы)

✅ Соответствует

Совместно

5.7.2

Ensure that the seccomp profile is set to docker/default in your pod definitions (Manual)

2 (Мастер-узлы)

⚠️ Внимание[2]

Совместно

5.7.3

Apply Security Context to Your Pods and Containers (Manual)

2 (Мастер-узлы)

✅ Соответствует

Совместно

5.7.4

The default namespace should not be used (Manual)

2 (Мастер-узлы)

✅ Соответствует

Совместно


1. Автоматическая установка параметров podPidsLimit и maxPods в конфигурации Kubelet доступна в Nova Container Platform версии v2.0.0 и выше.
2. Установка профилей seccomp для системных компонентов доступна в Nova Container Platform версии v2.0.0 и выше.