Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Kubernetes (AKS), будучи защищенной службой, соответствует стандартам SOC, ISO, PCI DSS и HIPAA. В этой статье рассматривается укрепление безопасности AKS с помощью эталонного тестирования CIS Kubernetes. Дополнительные сведения о безопасности AKS см. в статье Основные понятия безопасности приложений и кластеров в Службе Azure Kubernetes (AKS). Дополнительные сведения о тесте производительности CIS см. в разделе Эталоны Центра безопасности в Интернете (CIS).
Бенчмарк Kubernetes CIS
Ниже приведены результаты рекомендаций CIS Kubernetes Benchmark версии 1.12.0 по AKS. Результаты применимы к AKS с версии 1.32.x по 1.34.x. Сведения о временной шкале поддержки см. в поддерживаемых версиях Kubernetes.
Примечание.
Помимо теста CIS Kubernetes, также доступен тест AKS CIS .
Уровни безопасности
Эталоны CIS предлагают два уровня параметров безопасности:
- L1 (уровень 1): рекомендации относительно базовых требований к безопасности, которые можно настроить в любой системе и которые (практически) не ведут к перебоям в обслуживании или нарушению функциональности.
- L2 (уровень 2): рекомендации относительно параметров безопасности для сред с более высокими требованиями к безопасности, которые могут вести к снижению функциональности.
Состояние оценки
Состояние оценки включается для каждой рекомендации. Состояние оценки указывает, может ли данная рекомендация быть автоматизирована или требуется выполнить вручную шаги. Оба состояния одинаково важны и определяются и поддерживаются следующим образом:
- Автоматизировано: представляет рекомендации, для которых оценка технического контроля может быть полностью автоматизирована и подтверждена как прошедшая или не прошедшая. Рекомендации включают необходимые сведения для реализации автоматизации.
- Вручную. Представляет рекомендации, для которых оценка технического элемента управления не может быть полностью автоматизирована и требует выполнения всех или некоторых действий вручную, чтобы убедиться, что настроенное состояние задано должным образом. Ожидаемое состояние может отличаться в зависимости от среды.
Автоматические рекомендации влияют на оценку теста, если они не применяются, а рекомендации вручную не применяются.
Состояние аттестации
Рекомендации могут иметь одно из следующих состояний аттестации:
- Успешно: рекомендация была применена.
- Сбой: рекомендация не была применена.
- N/A. Рекомендация относится к требованиям к разрешениям файла манифеста, которые не относятся к AKS. Кластеры Kubernetes по умолчанию используют модель манифеста для развертывания модулей pod уровня управления, которые работают на основе файлов с виртуальной машины узла. В рамках эталонного тестирования CIS Kubernetesе рекомендуется устанавливать для этих файлов определенные требования к разрешениям. Кластеры AKS используют диаграмму Helm для развертывания модулей pod уровня управления и не используют файлы на виртуальной машине узла.
- Зависит от среды: рекомендация применяется в конкретной среде пользователя и не контролируется AKS. Автоматические рекомендации влияют на оценку теста, применяется ли рекомендация к определенной среде пользователя или нет.
- Эквивалентный элемент управления: рекомендация была реализована по-другому, эквивалентно.
Сведения о бенчмарке
| Идентификатор CIS | Описание рекомендации | Состояние оценки | Уровень | Состояние | Причина |
|---|---|---|---|---|---|
| 1 | Компоненты плоскости управления | ||||
| 1,1 | Файлы конфигурации узла контрольной плоскости | ||||
| 1.1.1 | Убедитесь, что разрешения файла спецификации pod сервера API установлены как 600 или более строгие. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.2 | Убедитесь, что для файла спецификации pod сервера API правильно задано значение root: root. |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.3 | Убедитесь, что разрешения файла спецификации pod диспетчера контроллера имеют значение 600 или более строгих | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.4 | Убедитесь, что право собственности на файл спецификации pod менеджера контроллеров установлено на root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.5 | Убедитесь, что разрешения файла спецификации pod планировщика установлены на 600 или более строгое значение. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.6 | Убедитесь, что для файла спецификации pod планировщика задано значение root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.7 | Убедитесь, что разрешения файла спецификации etcd pod имеют значение 600 или более строгие. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.8 | Убедитесь, что владение файлом спецификации etcd pod установлено на root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.9 | Убедитесь, что разрешения файла сетевого интерфейса контейнера имеют значение 600 или более строгих | Руководство | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.10 | Убедитесь, что для владельца файла сетевого интерфейса контейнера задано значение root: root |
Руководство | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.11 | Убедитесь, что для каталога данных etcd заданы разрешения 700 или более ограничительные. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.12 | Убедитесь, что для владельца каталога данных etcd задано значение etcd:etcd |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.13 | Убедитесь, что для разрешений на файл admin.conf установлено значение 600 или более ограничительное. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.14 | Убедитесь, что для владельца файла admin.conf задано значение root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.15 | Убедитесь, что разрешения на файл scheduler.conf установлены на 600 или более ограничительные. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.16 | Убедитесь, что для владельца файла scheduler.conf задано значение root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.17 | Убедитесь, что разрешения файла controller-manager.conf имеют значение 600 или более строгие. | Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.18 | Убедитесь, что для владельца файла controller-manager.conf задано значение root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.19 | Убедитесь, что для каталога Kubernetes PKI и права владения файлами задано значение root: root |
Автоматизированный | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.20 | Убедитесь, что права доступа к файлу сертификата PKI в Kubernetes установлены на 600 или более строгими. | Руководство | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.1.21 | Убедитесь, что для файла ключа PKI для Kubernetes заданы разрешения 600. | Руководство | Уровень 1 | Н/П | N/A, так как AKS — это управляемое решение |
| 1.2 | Сервер API | ||||
| 1.2.1 | Убедитесь, что для аргумента --anonymous-auth задано значение false. |
Руководство | Уровень 1 | Пройдено | |
| 1.2.2 | Убедитесь, что --token-auth-file параметр не задан |
Автоматизированный | Уровень 1 | Сбой | Параметр автоматически установлен системой AKS, в настоящее время параметр задан. |
| 1.2.3 | Убедитесь, что --DenyServiceExternalIPs не задано |
Руководство | Уровень 1 | Сбой | Клиенты могут использовать политику Azure для Kubernetes, чтобы запретить службы с внешними IP-адресами. |
| 1.2.4 | Убедитесь, что аргументы --kubelet-client-certificate и --kubelet-client-key заданы соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.5 | Убедитесь, что аргумент --kubelet-certificate-authority задан соответствующим образом. |
Автоматизированный | Уровень 1 | Сбой | Сертификат службы Kubelet использует самозаверенный сертификат |
| 1.2.6 | Убедитесь, что --authorization-mode аргумент не задан для AlwaysAllow |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.7 | Убедитесь, что аргумент --authorization-mode включает узел. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.8 | Убедитесь, что аргумент --authorization-mode включает RBAC. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.9 | Убедитесь, что модуль управления допуском EventRateLimit подключен. | Руководство | Уровень 1 | Сбой | Операционные последствия |
| 1.2.10 | Убедитесь, что модуль управления доступом AlwaysAdmit не установлен. | Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.11 | Убедитесь, что плагин контроля доступа AlwaysPullImages установлен. | Руководство | Уровень 1 | Сбой | Операционные последствия |
| 1.2.12 | Убедитесь, что плагин управления доступом ServiceAccount установлен. | Автоматизированный | L2 | Пройдено | |
| 1.2.13 | Убедитесь, что плагин контроля доступа NamespaceLifecycle установлен. | Автоматизированный | L2 | Пройдено | |
| 1.2.14 | Убедитесь, что подключаемый модуль управления допуском NodeRestriction установлен. | Автоматизированный | L2 | Пройдено | |
| 1.2.15 | Убедитесь, что для аргумента --profiling задано значение false. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.16 | Убедитесь, что аргумент --audit-log-path задан. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.17 | Убедитесь, что для аргумента --audit-log-maxage задано значение 30 или другое соответствующее значение. |
Автоматизированный | Уровень 1 | Эквивалентный механизм контроля | AKS хранит журнал аудита в течение 14 дней, Deployment.yaml имеет значение 0. |
| 1.2.18 | Убедитесь, что для аргумента --audit-log-maxbackup задано значение 10 или другое соответствующее значение. |
Автоматизированный | Уровень 1 | Эквивалентный механизм контроля | AKS хранит журнал аудита в течение 14 дней, Deployment.yaml имеет значение 0. |
| 1.2.19 | Убедитесь, что для аргумента --audit-log-maxsize задано значение 100 или другое соответствующее значение. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.20 | Убедитесь, что аргумент --request-timeout задан соответствующим образом. |
Руководство | Уровень 1 | Пройдено | Параметр не задан, который установит значение по умолчанию = 60s (что соответствует требованиям) |
| 1.2.21 | Убедитесь, что для аргумента --service-account-lookup задано значение true. |
Автоматизированный | Уровень 1 | Пройдено | Параметр не задан, который задает значение по умолчанию как true (которое соответствует требованиям) |
| 1.2.22 | Убедитесь, что аргумент --service-account-key-file задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.23 | Убедитесь, что аргументы --etcd-certfile и --etcd-keyfile заданы соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.24 | Убедитесь, что аргументы --tls-cert-file и --tls-private-key-file заданы соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.25 | Убедитесь, что аргумент --client-ca-file задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.26 | Убедитесь, что аргумент --etcd-cafile задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.2.27 | Убедитесь, что аргумент --encryption-provider-config задан соответствующим образом. |
Руководство | Уровень 1 | Зависит от среды | Аргумент задается при включении Azure KMS |
| 1.2.28 | Убедитесь, что поставщики шифрования настроены соответствующим образом. | Руководство | Уровень 1 | Зависит от среды | Аргумент задается при включении Azure KMS |
| 1.2.29 | Убедитесь, что сервер API использует только надежные криптографические шифры. | Руководство | Уровень 1 | Пройдено | AKS поддерживает подмножество из 4 надежных шифров из 21 рекомендуемых из CIS |
| 1.2.30 | Убедитесь, что --service-account-extend-token-expiration параметр имеет значение false |
Автоматизированный | Уровень 1 | Зависит от среды | Этот параметр имеет значение false, если OIDC включен в кластере |
| 1,3 | Диспетчер контроллеров | ||||
| 1.3.1 | Убедитесь, что аргумент --terminated-pod-gc-threshold задан соответствующим образом. |
Руководство | Уровень 1 | Пройдено | AKS задает значение по умолчанию 6000 вместо 12500 |
| 1.3.2 | Убедитесь, что для аргумента --profiling задано значение false. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.3.3 | Убедитесь, что для аргумента --use-service-account-credentials задано значение true. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.3.4 | Убедитесь, что аргумент --service-account-private-key-file задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.3.5 | Убедитесь, что аргумент --root-ca-file задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.3.6 | Убедитесь, что для аргумента RotateKubeletServerCertificate задано значение true. | Автоматизированный | L2 | Пройдено | Параметр имеет значение true, см. раздел " Смена сертификата обслуживания Kubelet" |
| 1.3.7 | Убедитесь, что для аргумента --bind-address задано значение 127.0.0.1. |
Автоматизированный | Уровень 1 | Эквивалентный механизм контроля | Используется IP-адрес pod |
| 1.4 | Планировщик | ||||
| 1.4.1 | Убедитесь, что для аргумента --profiling задано значение false. |
Автоматизированный | Уровень 1 | Пройдено | |
| 1.4.2 | Убедитесь, что для аргумента --bind-address задано значение 127.0.0.1. |
Автоматизированный | Уровень 1 | Эквивалентный механизм контроля | Используется IP-адрес pod |
| 2 | etcd |
||||
| 2.1 | Убедитесь, что аргументы --cert-file и --key-file заданы соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 2,2 | Убедитесь, что для аргумента --client-cert-auth задано значение true. |
Автоматизированный | Уровень 1 | Пройдено | |
| 2.3 | Убедитесь, что аргумент --auto-tls не должен быть установлен в true. |
Автоматизированный | Уровень 1 | Пройдено | Параметр не задан, который задает значение по умолчанию как false (которое соответствует требованиям) |
| 2.4 | Убедитесь, что аргументы --peer-cert-file и --peer-key-file заданы соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 2,5 | Убедитесь, что для аргумента --peer-client-cert-auth задано значение true. |
Автоматизированный | Уровень 1 | Пройдено | |
| 2.6 | Убедитесь, что аргумент --peer-auto-tls не должен быть установлен в true. |
Автоматизированный | Уровень 1 | Пройдено | Параметр не задан, который задает значение по умолчанию как false (которое соответствует требованиям) |
| 2.7 | Убедитесь, что используется уникальный центр сертификации для etcd |
Руководство | L2 | Пройдено |
--client-ca-file для API-сервера отличается от --trusted-ca-file для etcd |
| 3 | Конфигурация плоскости управления | ||||
| 3.1 | Аутентификация и авторизация | ||||
| 3.1.1 | Проверка подлинности сертификата клиента не должна использоваться для пользователей | Руководство | Уровень 1 | Пройдено | При развертывании кластера AKS локальные учетные записи включены по умолчанию. Вы можете отключить локальные учетные записи , чтобы отключить сертификаты клиента для проверки подлинности. |
| 3.1.2 | Аутентификация с использованием токена служебной учётной записи не должна применяться для пользователей. | Руководство | Уровень 1 | Пройдено | AKS обеспечивает поддержку проверки подлинности Microsoft Entra для запросов, отправленных на плоскость управления кластером. Использование токенов учетной записи службы зависит от клиента (чтобы внедрять лучшие практики по мере необходимости) |
| 3.1.3 | Проверка подлинности маркера начальной загрузки не должна использоваться для пользователей | Руководство | Уровень 1 | Пройдено | Токены начальной загрузки не могут использоваться пользователями |
| 3.2 | Ведение журнала | ||||
| 3.2.1 | Убедитесь, что создана минимальная политика аудита. | Руководство | Уровень 1 | Пройдено | |
| 3.2.2 | Убедитесь, что политика аудита охватывает ключевые проблемы безопасности. | Руководство | L2 | Пройдено | |
| 4 | Рабочие узлы | ||||
| 4,1 | Файлы конфигурации рабочих узлов | ||||
| 4.1.1 | Убедитесь, что права доступа к файлу службы kubelet установлены на 600 или более ограничительные. | Автоматизированный | Уровень 1 | Пройдено | |
| 4.1.2 | Убедитесь, что право собственности на файл службы kubelet установлено на root: root |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.1.3 | Если файл kubeconfig прокси-сервера существует, убедитесь, что права доступа установлены на 600 или более строгие. | Руководство | Уровень 1 | Н/П | |
| 4.1.4 | Если файл kubeconfig прокси-сервера существует, убедитесь, что для владельца задано значение root: root |
Руководство | Уровень 1 | Н/П | |
| 4.1.5 | Убедитесь, что права доступа к файлу --kubeconfig kubelet.conf установлены на 600 или более строгие. |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.1.6 | Убедитесь, что --kubeconfig для владельца файла kubelet.conf задано значение root: root |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.1.7 | Убедитесь, что разрешения файлов центра сертификации имеют значение 600 или более строгих | Руководство | Уровень 1 | Пройдено | |
| 4.1.8 | Убедитесь, что для файлового владения центрами сертификации клиента задано значение root: root |
Руководство | Уровень 1 | Пройдено | |
| 4.1.9 | Если используется файл конфигурации kubelet config.yaml, убедитесь, что разрешения установлены на 600 или более строгие. | Автоматизированный | Уровень 1 | Пройдено | |
| 4.1.10 | Если используется файл конфигурации kubelet config.yaml, убедитесь, что для владельца файла задано значение root: root |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2 | Kubelet | ||||
| 4.2.1 | Убедитесь, что для аргумента --anonymous-auth задано значение false. |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2.2 | Убедитесь, что --authorization-mode аргумент не задан для AlwaysAllow |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2.3 | Убедитесь, что аргумент --client-ca-file задан соответствующим образом. |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2.4 | Убедитесь, что для аргумента --read-only-port задано значение 0. |
Руководство | Уровень 1 | Пройдено | |
| 4.2.5 | Убедитесь, что --streaming-connection-idle-timeout аргумент не задан в значение 0 |
Руководство | Уровень 1 | Пройдено | |
| 4.2.6 | Убедитесь, что для аргумента --make-iptables-util-chains задано значение true. |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2.7 | Убедитесь, что --hostname-override аргумент не задан |
Руководство | Уровень 1 | Пройдено | |
| 4.2.8 | Убедитесь, что --eventRecordQPS аргумент установлен на уровень, обеспечивающий соответствующую запись событий. |
Руководство | L2 | Пройдено | |
| 4.2.9 | Убедитесь, что аргументы --tls-cert-file и --tls-private-key-file заданы соответствующим образом. |
Руководство | Уровень 1 | Пройдено | |
| 4.2.10 | Убедитесь, что --rotate-certificates аргумент не задан как false |
Автоматизированный | Уровень 1 | Пройдено | |
| 4.2.11 | Убедитесь, что аргумент RotateKubeletServerCertificate имеет значение true | Руководство | Уровень 1 | Пройдено | |
| 4.2.12 | Убедитесь, что Kubelet использует только надежные криптографические шифры. | Руководство | Уровень 1 | Пройдено | |
| 4.2.13 | Убедитесь, что лимит установлен на идентификаторы процессов (PID) в pod. | Руководство | Уровень 1 | Пройдено | |
| 4.2.14 | Обеспечьте, что Kubelet использует профиль seccomp RuntimeDefault. |
Руководство | Уровень 1 | Зависит от среды | По умолчанию AKS Unconfined.
Настраиваемая конфигурация узла может использоваться для включения RuntimeDefault профиля seccomp. |
| 4.3 | kube-proxy | ||||
| 4.3.1 | Убедитесь, что служба метрик kube-proxy привязана к localhost | Автоматизированный | Уровень 1 | Сбой | AKS имеет централизованный сбор данных Prometheus для kube-proxy и применяет оповещения и автоматическое реагирование при KubeProxyStale обнаружении. Этот metrics-bind-address параметр задан для этой цели. |
| 5 | Политики | ||||
| 5.1 | Управление доступом на основе ролей (RBAC) и сервисные учетные записи | ||||
| 5.1.1 | Убедитесь, что роль "Администратор кластера" используется только там, где это необходимо. | Автоматизированный | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.1.2 | Ограничение доступа к секретам | Автоматизированный | Уровень 1 | Зависит от среды | |
| 5.1.3 | Минимизируйте использование подстановочных знаков в ролях и ClusterRoles. | Автоматизированный | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.1.4 | Ограничение доступа к созданию модулей pod | Автоматизированный | Уровень 1 | Зависит от среды | |
| 5.1.5 | Убедитесь, что учетные записи служб по умолчанию не используются активно | Автоматизированный | Уровень 1 | Зависит от среды | |
| 5.1.6 | Убедитесь, что токены учетных записей службы подключаются только при необходимости. | Автоматизированный | Уровень 1 | Зависит от среды | |
| 5.1.7 | Избегайте использования системы: группа мастеров | Руководство | Уровень 1 | Зависит от среды | |
| 5.1.8 | Ограничьте использование разрешений Bind, Impersonate и Escalate в кластере Kubernetes | Руководство | Уровень 1 | Зависит от среды | |
| 5.1.9 | Минимизация доступа к созданию постоянных томов | Руководство | Уровень 1 | Зависит от среды | |
| 5.1.10 | Минимизировать доступ к подресурсу прокси узлов | Руководство | Уровень 1 | Зависит от среды | |
| 5.1.11 | Минимизируйте доступ к подресурсу утверждения объектов certificatesigningrequests |
Руководство | Уровень 1 | Зависит от среды | |
| 5.1.12 | Минимизируйте доступ к объектам конфигурации вебхука. | Руководство | Уровень 1 | Зависит от среды | |
| 5.1.13 | Сведите к минимуму доступ к созданию токена учетной записи службы. | Руководство | Уровень 1 | Зависит от среды | |
| 5,2 | Стандарты безопасности Pod | ||||
| 5.2.1 | Убедитесь, что кластер имеет по крайней мере один механизм управления активной политикой | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.2 | Ограничение доступности привилегированных контейнеров | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.3 | Минимизируйте доступ контейнеров, стремящихся совместно использовать пространство имен идентификаторов процесса хоста | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.4 | Минимизировать принятие контейнеров, желающих совместно использовать пространство имен IPC хоста. | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.5 | Ограничение доступности контейнеров, пытающихся совместно использовать пространство имен сети узла | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.6 | Ограничение доступности контейнеров с разрешением allowPrivilegeEscalation | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.7 | Уменьшение допуска корневых контейнеров | Руководство | L2 | Зависит от среды | |
| 5.2.8 | Ограничение доступности контейнеров с функцией NET_RAW | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.9 | Минимизировать допуск контейнеров с добавленными возможностями | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.10 | Минимизировать допуск контейнеров с назначенными возможностями | Руководство | L2 | Зависит от среды | |
| 5.2.11 | Свести к минимуму использование контейнеров Windows HostProcess | Руководство | Уровень 1 | Зависит от среды | |
| 5.2.12 | Свести к минимуму использование томов HostPath | Руководство | Уровень 1 | Зависит от среды | Использование встроенных определений политик политики Azure для службы Azure Kubernetes |
| 5.2.13 | Свести к минимуму доступ к контейнерам, использующим HostPorts | Руководство | Уровень 1 | Зависит от среды | |
| 5,3 | Сетевые политики и CNI | ||||
| 5.3.1 | Убедитесь, что используемая CNI поддерживает сетевые политики. | Руководство | Уровень 1 | Пройдено | |
| 5.3.2 | Убедитесь, что для всех пространств имен определены сетевые политики. | Руководство | L2 | Зависит от среды | |
| 5,4 | Управление секретами | ||||
| 5.4.1 | Используйте секреты в качестве файлов вместо секретов в качестве переменных среды | Руководство | L2 | Зависит от среды | |
| 5.4.2 | Рассмотрите возможность использования внешнего хранилища секретов | Руководство | L2 | Зависит от среды | |
| 5.5 | Расширяемый механизм управления допуском | ||||
| 5.5.1 | Настройка проверки образов с помощью контроллера допуска ImagePolicyWebhook | Руководство | L2 | Сбой | Эквивалентный контроль внедрён |
| 5,6 | Общие политики | ||||
| 5.6.1 | Создание административных границ между ресурсами с помощью пространств имен | Руководство | Уровень 1 | Зависит от среды | |
| 5.6.2 | Убедитесь, что в определениях pod для профиля seccomp установлено значение docker/default. | Руководство | L2 | Зависит от среды | |
| 5.6.3 | Применение контекста безопасности для модулей pod и контейнеров | Руководство | L2 | Зависит от среды | |
| 5.6.4 | Пространство имен по умолчанию не должно использоваться | Руководство | L2 | Зависит от среды |
Другие примечания
- Операционная система с усиленной безопасностью разработана специально для AKS и поддерживается там же. За пределами платформы AKS данная ОС не поддерживается.
- Чтобы уменьшить область атаки, некоторые ненужные драйверы модулей ядра отключены в ОС.
Следующие шаги
Дополнительные сведения о безопасности AKS см. в следующих статьях: