CIS Benchmark Rancher Self-Assessment Guide - v2.4

《CIS Benchmark Rancher Self-Assessment Guide - v2.4》是为Rancher v2.4、Kubernetes v1.15和CIS Kubernetes Benchmark v1.5量身定制的安全评估指南。该指南旨在帮助用户评估已硬化的Rancher集群是否符合CIS（Center for Internet Security）基准要求，确保集群的安全性。 ### 核心内容总结： 1. **适用版本及目标** - 适用版本：Rancher v2.4、Kubernetes v1.15、CIS Benchmark v1.5。 - 指南目标：评估Rancher集群的安全配置，确保符合CIS基准。 - 使用对象：Rancher操作员、安全团队、审核人员和决策者。 2. **主要内容结构** - **主节点安全配置** 包括API Server、Controller Manager、Scheduler的配置和权限管理。 - **Etcd节点配置** 涵盖Etcd节点的安全配置和文件权限管理。 - **控制平面配置** 包括日志配置和审计策略。 - **工作节点安全配置** 包括Kubelet配置和权限管理。 - **Kubernetes策略** 包括基于角色的访问控制（RBAC）、Pod安全策略、网络策略和CNI配置。 3. **特定内容说明** - Rancher和RKE通过Docker容器安装Kubernetes组件，配置通过命令行参数设置，而非传统配置文件。因此，CIS Kubernetes Benchmark中部分控制措施在Rancher环境中不适用。 - 指南提供了与Rancher环境相适应的审计命令和脚本，帮助用户验证配置合规性。例如： - 检查证书文件权限：`stat -c %U:%G /etc/kubernetes/ssl/kube-ca.pem` - 验证审计策略：`ps -ef | grep kube-apiserver | grep --audit-policy-file` - 提供了一些修复措施，如权限修改命令：`chown root:root `。 4. **测试和评估** - 只涵盖“评分”类控制措施。 - 测试方法和工具包括Docker命令行、`kubectl`、`jq`等。 - 部分测试结果为“不适用”，如Kubelet配置文件相关检查，因RKE不依赖配置文件。 5. **日志和审计** - 强调创建最小审计策略，确保审计日志存在并配置正确。 ### 总结： 本指南为Rancher v2.4环境下的安全评估提供了具体指导，帮助用户验证集群是否符合CIS基准。通过提供专门的审计命令和修复措施，确保集群的安全性和合规性。