4.1.1 确保集群

资讯类

RBAC角色集群提供广泛的环境权力,应仅在需要时和地点使用

原理性:

Kubernetes提供一组默认角色使用RBAC其中一些角色,如集群行政提供范围广泛的特权,只有在绝对需要时才应用。诸如集群管理员等角色允许超级用户访问对资源执行任何动作集群链接使用时,它完全控制集群中和所有命名空间中的每一资源角色绑定命名空间中所有资源都全权使用时, 包括命名空间本身

撞击 :

在清除环境集群绑定物前应谨慎从事,以确保集群运行不需要集群绑定物。具体地说,不应修改系统集群绑定:前缀系统组件运行需要修改

注意:Nessus没有执行此项检查请审查基准以确保目标达标

求解

识别集群装订器检查是否使用或需要此角色或是否可使用少特权角色
并消除集群约束集群

kubectl删除集群绑定

默认值 :

默认时提供单集群装订程序,称为集群寄存程序,系统主机组为主机

并见

https://workbench.cisecurity.org/benchmarks/11806

项目细节

审核名称 :CIS谷歌Kubernetes引擎v1.4.0L

类别 :失序控制

引用 :800-53AC-6(2),800-53AC-6,CSCV7+Q

插件 :GCP

控件标识符 :70d603b7f6e1f3f2bcba89e2be3be8c2ccfb0967c5c392b5d449bec8540759d4