2.1.1为用户不应使用客户端证书身份验证 |
访问控制 |
2.2.1确保创建一个最小的审计策略 |
审计和问责制 |
2.2.2确保审计政策涵盖了关键的安全问题 |
审计和问责制 |
以下4.4.1确保集群管理员角色只在需要时使用 |
访问控制 |
4.1.2减少访问机密 |
配置管理,系统和服务采购 |
4.1.3通配符使用角色和ClusterRoles最小化 |
识别和身份验证 |
4.1.4减少访问创建豆荚 |
配置管理,系统和信息完整性 |
4.1.5确保默认服务帐户不积极使用。 |
访问控制 |
4.1.6确保服务帐户标记只在必要时安装 |
配置管理 |
4.2.1最小化特权的入学准备的容器中 |
访问控制 |
4.2.2最小化容器的录取希望共享主机进程ID的名称空间 |
访问控制 |
4.2.3最小化容器的录取希望共享主机IPC名称空间 |
访问控制 |
4.2.4最小化容器的录取希望共享主机网络名称空间 |
访问控制 |
4.2.5 allowPrivilegeEscalation最小化容器的承认 |
访问控制 |
4.2.7最小化容器的承认与添加功能 |
访问控制 |
4.3.1确保CNI使用支持网络政策 |
配置管理 |
4.6.1之间创建行政边界资源使用名称空间 |
访问控制,系统和信息完整性 |
5.1.1确保图像漏洞扫描使用GCR容器分析或第三方供应商 |
风险评估 |
5.1.2 GCR最小化用户访问 |
访问控制,媒体保护 |
5.1.3最小化集群GCR的只读访问 |
访问控制,媒体保护 |
5.2.1确保GKE集群没有运行使用计算引擎默认服务帐户 |
访问控制 |
5.2.2喜欢使用专用GCP服务帐户和工作负载的身份 |
访问控制 |
5.3.1确保Kubernetes秘密使用密钥加密在云管理公里 |
识别和身份验证,系统和通信保护 |
5.4.1之前确保遗留计算引擎实例元数据api是禁用的 |
配置管理 |
5.5.2确保GKE节点的节点启用的自我修护 |
风险评估 |
5.5.3确保节点启用Auto-Upgrade GKE节点 |
风险评估,系统和信息完整性 |
5.5.4当创建新集群——自动化GKE使用发布版本管理渠道 |
风险评估,系统和信息完整性 |
5.5.5确保屏蔽GKE节点启用 |
配置管理 |
5.5.6确保完整性监测保护GKE节点启用 |
配置管理 |
5.6.2确保使用VPC-native集群 |
安全评估和授权,系统和通信保护 |
5.6.3确保主授权网络启用 |
访问控制,媒体保护 |
5.6.5确保集群与私人创建节点 |
安全评估和授权,系统和通信保护 |
5.6.7确保网络启用和设置为适当的政策 |
访问控制,系统和通信保护 |
5.7.1确保Stackdriver Kubernetes——loggingService启用日志记录和监控 |
审计和问责制 |
5.7.1确保Stackdriver Kubernetes——monitoringService启用日志记录和监控 |
审计和问责制 |
5.8.1确保基本身份验证使用静态密码是禁用的 |
访问控制,审计和问责制 |
5.8.2确保使用客户端证书身份验证是禁用的 |
访问控制,审计和问责制 |
5.8.4确保遗产授权(ABAC)是禁用的 |
访问控制,审计和问责制 |
5.9.1启用Customer-Managed加密密钥(CMEK) GKE持久磁盘(PD) |
识别和身份验证,系统和通信保护 |
5.10.1确保Kubernetes Web UI是禁用的 |
配置管理 |
5.10.2确保α集群不用于生产工作负载 |
系统和通信保护 |
5.10.3确保舱安全策略启用和设置为合适 |
审计和问责制,事件响应,系统和信息完整性 |
5.10.6启用云安全指挥中心(云鳞状细胞癌) |
配置管理 |