Relatórios de benchmarks do Kubernetes

No Kaspersky Container Security, é possível gerar relatórios com base nos resultados de verificação da conformidade de objetos com os benchmarks do Kubernetes.

Por padrão, os relatórios são gerados para nós com todos os status: Passed, Warning e Failed. Caso seja necessário gerar um relatório para nós com um status de verificação específico, na seção Control status acima da tabela, clique no botão do status correto. O Kaspersky Container Security atualiza a exibição dos resultados da verificação de conformidade e um relatório para nós com o status relevante é gerado.

Dependendo do nível de detalhes, os relatórios podem ser resumidos ou detalhados.

Relatório resumido de benchmarks do Kubernetes

Um relatório resumido fornece informações combinadas sobre os clusters selecionados. Ele lista o nome dos nós com o status de verificação de conformidade especificado, bem como a data e hora da última verificação de cada nó. O relatório com todos os nós mostra informações do número de benchmarks do Kubernetes detectados durante a verificação do objeto com os status selecionados.

Relatório detalhado de benchmarks do Kubernetes

Um relatório detalhado fornece informações mais aprofundadas sobre os nós do cluster selecionados ou sobre um nó específico do cluster. Isso depende de que subseção da solução o relatório está sendo gerado:

Um relatório detalhado de nós de cluster selecionados é criado a partir da tabela com a lista de clusters.
Um relatório sobre um nó específico é gerado na página com a descrição detalhada do nó.

Para cada nó do cluster selecionado para a geração do relatório, são listados: a data e hora da última verificação, o número de benchmarks do Kubernetes com o status de verificação atribuído a eles e os benchmarks que receberam os status selecionados antes da geração do relatório.

Os benchmarks do Kubernetes indicam valores de referência e recomendações para a configuração segura de soluções e aplicativos para melhorar a proteção contra ameaças cibernéticas. Hardening é um processo que ajuda na proteção contra acesso não autorizado, negação de serviço e outros eventos de segurança ao eliminar possíveis riscos.

Exemplo de benchmarks do Kubernetes

Após verificar a conformidade dos nós com os benchmarks do Kubernetes, o Kaspersky Container Security pode mostrar recomendações relacionadas aos requisitos de segurança, como:

Componentes do plano de controle.
- Arquivos de configuração de nós de plano de controle.
  - Certifique-se de que as permissões de arquivo de especificação do pod do servidor da API estejam definidas como 644 ou mais restritivas.
  - Certifique-se de que a propriedade do arquivo de especificação do pod do servidor da API esteja definida como root:root.
- Servidor da API.
  - Certifique-se de que o argumento --anonymous-auth esteja definido como false.
  - Certifique-se de que o parâmetro --token-auth-file não esteja definido.
- Controller Manager.
  - Certifique-se de que o argumento --terminated-pod-gc-threshold esteja definido corretamente.
  - Certifique-se de que o argumento --profiling esteja definido como false.
etcd.
- Certifique-se de que os argumentos --cert-file e --key-file estejam definidos corretamente.
- Certifique-se de que o argumento --client-cert-auth esteja definido como true.
Configuração do plano de controle.
- Autenticação e autorização.
  - A autenticação do certificado cliente não deve ser usada para usuários.
- Registro em log.
  - Certifique-se de que uma política de auditoria mínima seja criada.
  - Certifique-se de que a política de auditoria cubra preocupações com segurança de chaves.
Nós de trabalho.
- Arquivos de configuração de nós de trabalho.
  - Certifique-se de que as permissões de arquivo do serviço kubelet estejam definidas como 644 ou mais restritivas.
  - Certifique-se de que a propriedade do arquivo do serviço kubelet esteja definida como root:root.
Políticas.
- Controle de acesso baseado em funções e contas
  - Certifique-se de que a função cluster-admin seja usada apenas quando necessário.
  - Minimize o acesso a segredos
- Políticas de segurança de pods
  - Minimize a admissão de contêineres privilegiados.
- Políticas de rede e CNI
  - Certifique-se de que o CNI em uso seja compatível com as políticas de rede.
  - Certifique-se de que todos os namespaces tenham políticas de rede definidas.
- Gerenciamento de segredos
  - Prefira o uso de segredos como arquivos em vez de variáveis de ambiente.
  - Considere o armazenamento externo de segredos.
.

Topo da página