duiniwukenaihe SRE Engineer(target)

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

2021-03-13
duiniwukenaihe
cks

  • content {:toc

    前言

    这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。

1 . 什么是 CIS

CIS—-Center fo internet Security 互联网安全中心

2. 关于csi

  1. 安全配置目标系统的最佳实践
  2. 涵盖超过14个技术组织
  3. 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成

image.png

3. 关于 CIS Benchmarks

CIS Benchmarks -Default k8s security rules 默认的kubernets的安全准则 无论是原生还是通过谷歌或者亚马逊云的定制化

image.png

3.1 CSI Benchmarks

详见https://learn.cisecurity.org/benchmarks image.png

image.png

最新版本CIS_Kuberntets_Benchmark_v1.6.0.pdf 关于 1.6.0pdf版本对应kubernetes版本为1.16-1.18,版本还是有滞后性的

image.png 关于控制平面的文档位于pdf 16页的 规则1.1.1 关于work节点的文档位于208页的规则4.2.10 image.png

3.2 kube-bench

3.2.1 master节点运行kube-bench

image.png https://github.com/aquasecurity/kube-bench image.png

 docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest master --version 1.19

image.png

image.png image.png 对象文档修改etcd权限

stat -c %a /var/lib/etcd
chmod 700 /var/lib/etcd
useradd etcd
chown etcd:etcd /var/lib/etcd

image.png

3.2.2 node(work)节点运行kube-bench

docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest node --version 1.19

image.png 举个例子选择了4.2.6,pdf中找到4.2.6对应位置。 image.png

 vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

image.png

image.png OK 测试完成,其实上面master节点运行kube-bench还有很多FAIL.操作方法都与上面类似。找到对应role。pdf中查找解决方案。执行解决方案.都是这样的流程


Similar Posts

Comments