CIS Kubernetes Benchmark

已于 2024-05-14 13:32:57 修改
阅读量393 收藏 2
点赞数 2
文章标签: kubernetes 容器 云原生
于 2024-05-12 14:52:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44115801/article/details/138754096
版权

了解什么是CIS基准

Center for Internet Security
Internet 安全中心是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网
络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT
专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),
他们遵循一致的决策制定模型。
CIS 基准提供两个级别的安全设置:
L1(即级别 1)建议可在任何系统上配置且应基本不会或不会导致服务中断或导致功能性降低的基
本必需安全要求。
L2(即级别 2)建议适用于需高安全性的环境,但可能会导致某些功能性降低的安全设置。
https://www.cisecurity.org/benchmark/kubernetes/
在这里插入图片描述

使用kube-bench检测系统安全

安装kube-bench
检测master
检测kubelet
https://github.com/aquasecurity/kube-bench/tags

./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml run --targets=etcd
master node controlplane etcd policies

旧版本

kube-bench master
kube-bench node

etcd是一个服务发现系统,具备以下的特点:
简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全:支持SSL证书验证
快速:根据官方提供的benchmark数据,单实例支持每秒2k+读操作
可靠:采用raft算法,实现分布式系统数据的可用性和一致性
etcd应用场景
用于服务发现,服务发现(ServiceDiscovery)要解决的是分布式系统中最常见的问题之一,即在同一个分布式集群中的进程或服务如何才能找到对方并建立连接。
要解决服务发现的问题,需要具备下面三种必备属性。
1.AlwaysDeny
表示拒绝所有请求,通常不使用哈

2.AlwaysAllow
默认的策略,允许接收所有请求,就相当于没进行权限控制

3.ABAC
表示使用用户配置的授权规则对用户请求进行匹配和控制(基于用户属性)

4.Webhook
引用外部REST服务对用户进行授权管理

5.Node
用于对kubelet发出的请求进行访问控制,比较特殊的一种模式

6.RBAC
基于角色访问控制,一般是需要账号等

1-kubebench

开始检测
1-安装kube-bench

tar zxf kube-bench_0.6.3_linux_amd64.tar.gz

在这里插入图片描述
在这里插入图片描述

监测master

./kube-bench --config-dir cfg --config cfg/config.yaml run --targets=master

模拟问题1

vim /etc/kubernetes/manifests/kube-apiserver.yaml
注释- --authorization-mode=Node,RBAC
再次添加- --authorization-mode=AlwaysAllow

 vim /etc/kubernetes/manifests/etcd.yaml
 改参数把true改为false
 - --client-cert-auth=false
 
 重启kubelet
 systemctl restart kubelet

模拟问题2

vim /var/lib/kubelet/config.yaml
authentication:
  anonymous:
    enabled: false ---> true

authorization:
  mode: Webhook ---> AlwaysAllow
 重启kubelet
 systemctl restart kubelet

在这里插入图片描述

根据提示修改。

比奇堡killer
关注
CIS Benchmarks
weixin_33982670的博客
05-22 2260
CIS®(Center for Internet Security)是一非盈利组织,CIS Controls和CIS Benchmarks是保护IT系统和数据免受最普遍***的全球标准和公认的最佳实践。CIS Benchmarks提供了一系列指导手册来保护容易受到网络***的操作系统、软件和网络。操作系统 Amazon Linux CentOS Linux Debian Linux Oracle...
CIS Kubernetes Benchmark V1.23 -PDF
06-07
CIS Kubernetes Benchmark V1.23 - PDF】是一份重要的文档,主要针对Kubernetes集群的安全性和最佳实践提供详尽的指导。这份基准测试旨在帮助用户确保其Kubernetes环境遵循业界认可的安全标准,以增强容器化应用和...
CIS benchmarks.rar
04-17
文件清单: CIS Google Kubernetes Engine (GKE) Benchmark v1.0.0.pdf CIS_Aliyun_Linux_2_Benchmark_v1.0.0.pdf CIS_Amazon_Linux_2_Benchmark_v1.0.0.pdf CIS_Amazon_Linux_2_STIG_Benchmark_v1.0.0.pdf CIS_Amazon_Web_Services_Foundations_Benchmark_v1.2.0.pdf CIS_Amazon_Web_Services_Three-tier_Web_Architecture_Benchmark_v1.0.0.pdf CIS_Apache_HTTP_Server_2.4_Benchmark_v1.5.0.pdf CIS_Apache_Tomcat_9_Benchmark_v1.0.0.pdf CIS_Apple_iOS_12_Benchmark_v1.0.0.pdf CIS_Apple_iOS_13_and_iPadOS_13_Benchmark_v1.0.0.pdf CIS_CentOS_Linux_6_Benchmark_v2.1.0.pdf CIS_CentOS_Linux_8_Benchmark_v1.0.0.pdf CIS_Debian_Linux_10_Benchmark_v1.0.0.pdf CIS_Debian_Linux_8_Benchmark_v2.0.1.pdf CIS_Debian_Linux_9_Benchmark_v1.0.1.pdf CIS_Distribution_Independent_Linux_Benchmark_v2.0.0.pdf CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf CIS_Docker_Benchmark_v1.2.0.pdf CIS_Docker_Community_Edition_Benchmark_v1.1.0.pdf CIS_Fedora_28_Family_Linux_Benchmark_v1.0.0.pdf CIS_Google_Android_Benchmark_v1.3.0.pdf CIS_Google_Chrome_Benchmark_v2.0.0.pdf CIS_Google_Cloud_Platform_Foundation_Benchmark_v1.1.0.pdf CIS_Kubernetes_Benchmark_v1.5.1.pdf CIS_Microsoft_Exchange_Server_2016_Benchmark_v1.0.0.pdf CIS_Microsoft_IIS_10_Benchmark_v1.1.1.pdf CIS_Microsoft_SQL_Server_2019_Benchmark_v1.0.0.pdf CIS_Microsoft_Windows_10_Enterprise_Release_1909_Benchmark_v1.8.1.pdf CIS_Microsoft_Windows_7_Workstation_Benchmark_v3.1.0.pdf CIS_Microsoft_Windows_8.1_Workstation_Benchmark_v2.3.0.pdf CIS_Microsoft_Windows_Server_2012_R2_Benchmark_v2.3.0.pdf CIS_Microsoft_Windows_Server_2019_RTM_Release_1809_Benchmark_v1.0.1.pdf CIS_MongoDB_3.4_Benchmark_v1.0.0.pdf CIS_MongoDB_3.6_Benchmark_v1.0.0.pdf CIS_NGINX_Benchmark_v1.0.0.pdf CIS_Oracle_MySQL_Community_Server_5.7_Benchmark_v1.0.0.pdf CIS_Oracle_MySQL_Enterprise_Edition_5.6_Benchmark_v1.1.0.pdf CIS_Oracle_Solaris_11.4_Benchmark_v1.0.0.pdf CIS_PostgreSQL_12_Benchmark_v1.0.0.pdf CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf CIS_Red_Hat_Enterprise_Linux_8_Benchmark_v1.0.0.pdf CIS_Security_Metrics-Quick_Start_Guide_v1.0.0.pdf CIS_Security_Metrics_v1.1.0.pdf CIS_SUSE_Linux_Enterprise_12_Benchmark_v2.1.0.pdf CIS_Ubuntu_Linux_16.04_LTS_Benchmark_v1.1.0.pdf CIS_Ubuntu_Linux_18.04_LTS_Benchmark_v2.0.1.pdf CIS_VMware_ESXi_6.5_Benchmark_v1.0.0.pdf CIS_VMware_ESXi_6.7_Benchmark_v1.0.0.pdf
kubernetes-cis-benchmark:一组受CIS Kubernetes Benchmark启发的脚本,用于检查Kubernetes安装的最佳实践
05-01
独联体Kubernetes基准 这组脚本可用于根据最佳实践检查Kubernetes的安装。 支持的CIS Kubernetes版本 CIS Kubernetes基准版本 Kubernetes版本 1.0.0 1.6 1.2.0 1.8 1.5.1 1.15 1.6.0 1.16-1.18 运行基准检查 在Kubernetes主节点上, $ ./master.sh <CIS> 在Kubernetes工作者节点上, $ ./worker.sh <CIS> 在Kubernetes联合节点上, $ ./federation.sh <CIS>
推荐文章:CIS Kubernetes Benchmark - 安全加固你的Kubernetes集群
gitblog_00061的博客
05-25 358
推荐文章:CIS Kubernetes Benchmark - 安全加固你的Kubernetes集群 kubernetes-cis-benchmarkA set of scripts inspired by CIS Kubernetes Benchmark that checks best-practices of Kubernetes installations项目地址:https://git...
CIS_Kubernetes_V1.20_Benchmark_v1.0.0_PDF.pdf
08-04
CIS_Kubernetes_V1.20_Benchmark_v1.0.0_PDF.pdf
Kubernetes CKS 2021【6】---Cluster Setup - CIS Benchmarks
爱死亡机器人
04-22 859
文章目录1. 介绍2. Practice - CIS in Action3. Practice - kube-bench 1. 介绍 2. Practice - CIS in Action 3. Practice - kube-bench 参考链接: https://github.com/aquasecurity/kube-bench#running-inside-a-container 检查master节点的指标内容 root@master:~/cks/metadata# kubectl get
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
saynaihe的博客
03-13 809
前言 这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。 1 . 关于CSI的释意 1 . 什么是 CIS CIS----Center fo internet Security 互联网安全中心 2. 关于csi 安全配置目标系统的最佳实践 涵盖超过14个技术组织 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成 3. 关于 CIS Benchmarks CIS Benchmarks -De
CIS_Kubernetes_Benchmark_v1.6.0.pdf
04-07
### CIS Kubernetes Benchmark v1.6.0:Kubernetes 安全合规检查 #### 概述 CIS(Center for Internet Security)Kubernetes基准是为Kubernetes集群的安全配置提供指导的一套标准,它由社区专家根据最佳实践制定而...
CIS Kubernetes 1.24 Benchmark v1.0.0 PDF 2022
01-30
CIS Kubernetes 1.24 Benchmark v1.0.0》是2022年发布的一份针对Kubernetes安全配置的重要指南,旨在帮助用户遵循最佳实践,确保Kubernetes集群的安全性。CIS(Center for Internet Security,互联网安全中心)是...
CIS_Mysql_Benchmark_v1.0.2
12-29
Security Configuration Benchmark For MySQL 4.1, 5.0, 5.1 Community Editions Version 1.0.2
CIS_Cisco_IOS_15_Benchmark_v4.0.0.pdf
09-11
Cisco IOS 15.xx 的安全加固。 Table of Contents Table of Contents .................................................................................................................................................. 2 Overview .................................................................................................................................................................. 7 Intended Audience ........................................................................................................................................... 7 Consensus Guidance ........................................................................................................................................ 7 Typographical Conventions ......................................................................................................................... 8 Scoring Information ........................................................................................................................................ 8 Profile Definitions ............................................................................................................................................ 9 Acknowledgements ...................................................................................................................................... 10 Recommendations ............................................................................................................................................. 11 1 Management Plane .................................................................................................................................... 11 1.1 Local Authentication, Authorization and Accounting (AAA) Rules ............................... 11 1.1.1 Enable 'aaa new-model' (Scored) ....................................................................................... 12 1.1.2 Enable 'aaa authentication login' (Scored) ..................................................................... 14 1.1.3 Enable 'aaa authentication enable default' (Scored) .................................................. 16 1.1.4 Set 'login authentication for 'line con 0' (Scored) ........................................................ 17 1.1.5 Set 'login authentication for 'line tty' (Scored) ............................................................. 19 1.1.6 Set 'login authentication for 'line vty' (Scored) ............................................................ 21 1.1.7 Set 'aaa accounting' to log all privileged use commands using 'commands 15' (Scored) ................................................................................................................................................... 23 1.1.8 Set 'aaa accounting connection' (Scored) ........................................................................ 24 1.1.9 Set 'aaa accounting exec' (Scored) ..................................................................................... 26 1.1.10 Set 'aaa accounting network' (Scored) .......................................................................... 28 1.1.11 Set 'aaa accounting system' (Scored) ............................................................................. 30 1.2 Access Rules ........................................................................................................................................ 31 1.2.1 Set 'privilege 1' for local users (Scored) .......................................................................... 32 1.2.2 Set 'transport input ssh' for 'line vty' connections (Scored) .................................... 33 1.2.3 Set 'no exec' for 'line aux 0' (Scored) ................................................................................ 34 1.2.4 Create 'access-list' for use with 'line vty' (Not Scored) .............................................. 36 1.2.5 Set 'access-class' for 'line vty' (Scored) ............................................................................ 38
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
08-04
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
CIS_Microsoft_Windows_10_Enterprise_Release_1803_Benchmark_v1.5.0.pdf
06-13
CIS benchmark的Windows 10(Microsoft_Windows_10_Enterprise_Release)安全配置基线要求。
CIS_SUSE_Linux_Benchmark_v2.0
08-16
SuSE操作系统CIS标准。
CIS-Kubernetes-Benchmark-v1.7.0
07-31
CIS Kubernetes Benchmark v1.7.0》是针对Kubernetes集群安全的权威指南,旨在为组织提供一套标准,以确保其Kubernetes环境的安全性和合规性。这份文档由网络安全和基础设施安全协会(CIS)发布,是业界广泛采用的...
Kubernetes 集群网络 Benchmark
Mo小泽的技术博客
12-17 675
文章目录一、准备工作1、测试环境2、部署Web应用3、测试地址4、测试工具5、测试说明二、网络延迟测试场景一、 Kubernetes集群node节点上通过Cluster IP访问场景二、Kubernetes集群内部通过service访问场景三、外部通过 nginx ingress 暴露的地址访问测试结果三、网络性能测试场景一、主机之间场景二、不同主机的 Pod 之间场景三、Node与非同主机的Pod之间网络性能对比综述 一、准备工作 1、测试环境 在以下几种环境下进行测试: Kubernetes 集群 n
CIS Docker Benchmark - 使用指南
最新发布
gitblog_00672的博客
09-07 438
CIS Docker Benchmark - 使用指南 cis-docker-benchmarkCIS Docker Benchmark - InSpec Profile项目地址:https://gitcode.com/gh_mirrors/ci/cis-docker-benchmark 本指南旨在帮助您了解并使用 CIS Docker Benchmark,一个基于InSpec的安全基准检查工具...
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描
bolide24的博客
08-19 3930
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描 简介 关于CISCIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。 CIS 基准是安全配置系统的配置基线和最佳做法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值