- 卡巴斯基容器安全 2.0 帮助
- 关于卡巴斯基容器安全平台
- 解决方案架构
- 标准部署方案
- 准备安装解决方案
- 解决方案安装
- 删除解决方案
- 更新解决方案
- 解决方案界面
- 授权解决方案
- 数据提供
- 使用集群
- 处理仓库的镜像
- 调查安全事件
- 与第三方资源的集成
- 安全策略配置
- 合规性检查
- 配置和生成报告
- 文件威胁防护
- 用户、角色和范围
- 使用卡巴斯基容器安全 OpenAPI
- 安全事件日志
- 有关解决方案组件状态的信息
- 确保组件的安全性和可靠性
- 管理数据积累动态
- 备份和恢复数据
- 联系技术支持
- 应用程序的信息来源
- 限制和警告
- 第三方服务中的漏洞
- 词汇表
- 第三方代码信息
- 商标声明
- ATT&CK MITRE 使用条款
配置和生成报告 > Kubernetes 基准报告
Kubernetes 基准报告
Kubernetes 基准报告
在卡巴斯基容器安全中,您可以根据检查对象是否符合 Kubernetes 基准的结果来生成报告。
默认情况下,会为所有状态的节点生成报告 - “通过”、“警告”和“失败”。如果需要为具有特定扫描状态的节点生成报告,请在表格上方的“控制状态”部分中单击相应的状态按钮。卡巴斯基容器安全将更新合规性检查结果的显示,并为具有相关状态的节点生成报告。
根据信息详细程度,报告可以是总结报告或详细报告。
Kubernetes 基准检查总结报告
总结报告提供有关所选集群的综合信息。它列出了具有指定合规性检查状态的节点的名称,以及每个节点上次接受检查的日期和时间。所有节点的报告将显示在对象扫描期间检测到的具有选定状态的 Kubernetes 基准的数量的相关信息。
Kubernetes 基准检查详细报告
详细报告提供有关所选集群的节点或集群的特定节点的更多详细信息。具体取决于您在生成报告时所选择的解决方案子部分:
- 从包含集群列表的表格中创建有关所选集群中节点的详细报告。
- 页面上会生成有关节点的报告,其中包含该节点的详细描述。
对于选择用于生成报告的集群中的每个节点,还列出了最后一次执行扫描的日期和时间、被分配了扫描状态的 Kubernetes 基准的数量,以及在生成报告之前分配了所选状态的基准。
Kubernetes 基准为解决方案和应用程序的安全配置提供了配置基线和建议,以增强网络威胁防护。强化是指通过消除潜在风险来帮助防范未经授权的访问、拒绝服务以及其他安全事件的过程。
在检查节点是否符合 Kubernetes 基准后,卡巴斯基容器安全可以显示与安全要求相关的建议,例如:
- 控制平面组件。
- 控制平面节点配置文件。
- 确保将 API 服务器 pod 规范文件的权限设置为 644 或更严格。
- 确保将 API 服务器 pod 规范文件的所有权设置为
root:root。
- API 服务器。
- 确保将
--anonymous-auth参数设置为false。 - 确保未设置
--token-auth-file参数。
- 确保将
- 控制器管理器。
- 确保为
--terminated-pod-gc-threshold参数设置适当的值。 - 确保将
--profiling参数设置为false。
- 确保为
- 控制平面节点配置文件。
- etcd。
- 确保为
--cert-file和--key-file参数设置适当的值。 - 确保将
--client-cert-auth参数设置为true。
- 确保为
- 控制平面配置。
- 身份验证和授权。
- 不应使用客户端证书身份验证方式来认证用户。
- 日志记录。
- 确保创建最小审计策略。
- 确保审计策略涵盖关键的安全问题。
- 身份验证和授权。
- 工作节点。
- 工作节点配置文件。
- 确保将 kubelet 服务文件的权限设置为 644 或更多限制。
- 确保将 kubelet 服务文件的所有权设置为
root:root。
- 工作节点配置文件。
- 策略。
- 基于角色的访问控制和账户
- 确保仅在需要时使用 cluster-admin 角色。
- 尽量减少对机密的访问。
- Pod 安全策略
- 最小化特权容器准入。
- 网络策略和容器网络接口 (CNI)
- 确保使用中的 CNI 支持网络策略。
- 确保所有命名空间都已定义网络策略。
- 机密管理
- 更倾向于将机密作为文件而非环境变量使用。
- 考虑外部机密存储。
.
- 基于角色的访问控制和账户
文章 ID: 264538, 上次审阅: 2025年3月17日