Kubernetes CIS Benchmark
见kube-bench
1.安全策略
1.1 使用宿主节点的命名空间
- 命名空间分
- 网络命名空间
- PID命名空间
- IPC命名空间
- Pod使用主机的网络命名空间
- 绑定宿主节点端口
- 使用宿主节点的PID和IPC命名空间
1.2 节点安全上下文配置
- 指定容器中运行进程的用户ID
- 组织容器以Root用户运行
- 使用特权模式运行容器,对宿主节点内核具有完全的访问权限
- 通过添加或禁用内核功能,配置细粒度内核访问权限
- 设置SELinux选项,加强对容器的限制
- 阻止对容器根文件系统的写入
- 容器使用不同用户运行时共享存储卷
1.3 集群级别PodSecurityPolicy
- 是否允许Pod使用宿主节点的PID、IPC、网络命名空间
- Pod允许绑定的宿主节点端口
- 容器运行时允许使用的用户ID
- runAsUserfsGroupsupplementalGroup
- 是否允许拥有特权模式容器的pod
- 允许添加那些内核功能,默认添加那些内核功能,总是禁用那些内核功能
- 允许容器使用那些SELinux选项
- 容器是否允许使用可写的根文件系统
- 允许容器在哪些文件系统组下运行
- 允许Pod使用哪些类型的存储卷
- 对不同用户与组分配不同的PodSecurityPolicy
1.4 隔离Pod的网络
- 对一个命名空间启用网络隔离
- 同一命名空间内限制部分Pod访问一个服务端Pod(访问来源Pod控制)
- 对不同的命名空间之间进行网络隔离
- 服务端Pod访问来源CIDR网络控制
- 限制某Pod只能访问指定服务端Pod(Pod去向访问流量控制)