Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

前言

这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。

1 . 什么是 CIS

CIS----Center fo internet Security 互联网安全中心

2. 关于csi

  1. 安全配置目标系统的最佳实践
  2. 涵盖超过14个技术组织
  3. 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

3. 关于 CIS Benchmarks

CIS Benchmarks -Default k8s security rules 默认的kubernets的安全准则
无论是原生还是通过谷歌或者亚马逊云的定制化

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

3.1 CSI Benchmarks

详见https://learn.cisecurity.org/benchmarks
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

最新版本CIS_Kuberntets_Benchmark_v1.6.0.pdf
关于 1.6.0pdf版本对应kubernetes版本为1.16-1.18,版本还是有滞后性的

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
关于控制平面的文档位于pdf 16页的 规则1.1.1
关于work节点的文档位于208页的规则4.2.10
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

3.2 kube-bench

3.2.1 master节点运行kube-bench

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
https://github.com/aquasecurity/kube-bench
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

 docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest master --version 1.19

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
对象文档修改etcd权限

stat -c %a /var/lib/etcd
chmod 700 /var/lib/etcd
useradd etcd
chown etcd:etcd /var/lib/etcd

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

3.2.2 node(work)节点运行kube-bench

docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest node --version 1.19

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
举个例子选择了4.2.6,pdf中找到4.2.6对应位置。
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

 vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
OK 测试完成,其实上面master节点运行kube-bench还有很多FAIL.操作方法都与上面类似。找到对应role。pdf中查找解决方案。执行解决方案.都是这样的流程

上一篇:k8s 离线安装(一) 前期规划,docker ,etcd安装


下一篇:Etcd中Raft日志复制的实现