检测
分析学
4.2.4 最小化接收想分享主机网络命名空间的容器
资讯类
通常不允许容器使用主机网标志设置为真原理性:
容器运行主机网络命名空间可访问本地回路设备,并访问连接其他播客的网络流量
最少应定义一种接收控制策略,不允许容器分享主机网络命名空间
需要运行容器访问主机网络命名空间时,应单设策略定义,并仔细检查以确保仅允许有限服务账户用户使用该策略
撞击 :
Pods定义es.hostNetwork:真实性不允许,除非按特定策略运行
注意:Nessus没有执行此项检查请审查基准以确保目标达标
求解
向集群内有用户工作量限制主机网容器入网的每个命名空间添加策略默认值 :
默认情况下对创建主机网络容器没有限制
并见
项目细节
审核名称 :CIS谷歌Kubernetes引擎v1.4.0L
类别 :失序控制
引用 :800-53AC-6(2),800-53AC-6,CSCV7+Q
插件 :GCP
控件标识符 :e35aeb3f7979ae9da7b4c4b0482c58b7e1493ce0f6ef3bc05e6c07a1fda0afbc