AC_K8S_000 |
配置图像验证Webhook录入控制器 |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0002 |
HTTPS在Kubernetes反向资源上确保启动 |
库贝内特斯 |
基础设施安全 |
电子商务 |
AC_K8S_0003 |
确保-Make-ibts-util-参数设置为真 |
库贝内特斯 |
基础设施安全 |
LOW |
AC_K8S_0004 |
保证-eventRecordQPS参数定为0或级以确保适当事件捕捉 |
库贝内特斯 |
日志监控 |
LOW |
AC_K8S_005 |
确保-匿名参数设假 |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0006 |
保证-tls-cert文件和-ts-property-key-file参数适当设置 |
库贝内特斯 |
基础设施安全 |
电子商务 |
AC_K8S_0007 |
确保-授权模式参数不设为 AlwaysAllow |
库贝内特斯 |
身份存取管理 |
高位 |
AC_K8S_0008 |
保证客户-ca文件参数适当设置 |
库贝内特斯 |
身份存取管理 |
高位 |
AC_K8S_0009 |
确保 --rotate证书参数不设假 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0010 |
确保单读端口安全 |
库贝内特斯 |
身份存取管理 |
LOW |
AC_K8S_0011 |
保证-流入-连接-流出参数不设为0 |
库贝内特斯 |
遵章验证 |
LOW |
AC_K8S_0012 |
确保-保护内核默认参数置为正 |
库贝内特斯 |
身份存取管理 |
LOW |
AC_K8S_0013 |
保证Kubernetes命名空间安装带适当标签的主人密钥 |
库贝内特斯 |
安全最佳做法 |
LOW |
AC_K8S_0014 |
Kubernetes网络策略不允许公共IP反向查询dNS |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0015 |
Kubernetes网络策略不允许从公共IP向SSH逆向 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0016 |
kubernetes网络策略不允许公共IP访问sql服务器 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0017 |
Kubernetes网络策略不允许公共IP访问Redis服务器 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0018 |
确保-授权模式参数包括RBAC |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0019 |
确保录入控制插件事件RateLimit设置 |
库贝内特斯 |
遵章验证 |
电子商务 |
AC_K8S_0020 |
kube-control-manager版本:v118.0,v117.0-v1.17.4,v1.16.0-v1.16.8和v115.11不易受CVE-2020-8555 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0021 |
确保录入控制插件ObjectivePullI |
库贝内特斯 |
遵章验证 |
电子商务 |
AC_K8S_0022 |
确保录用控制插件安全ContextDeny不使用 |
库贝内特斯 |
身份存取管理 |
高位 |
AC_K8S_0023 |
确保录入控制插件ServiceAccount设置 |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0024 |
确保录用控制插件名空间生命周期设置 |
库贝内特斯 |
遵章验证 |
电子商务 |
AC_K8S_0025 |
保证库贝涅茨命名空间不使用默认名称空间 |
库贝内特斯 |
安全最佳做法 |
LOW |
AC_K8S_0026 |
确保录入控制插件无限制设置 |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0027 |
确保不设置-无安全bind-地址参数 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0028 |
确保-无安全港参数设为0 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0029 |
确保-安全港参数不设为0 |
库贝内特斯 |
基础设施安全 |
高位 |
AC_K8S_0030 |
确保-剖析参数设假 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0031 |
确保-audit-log-path参数设置 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0032 |
保证-audit算法参数定为30或适当 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0033 |
保证-audit-log-maxpack参数设置为10或适当 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0034 |
保证-audit算法参数定为100或适当 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0035 |
保证.请求超时推理适当设置 |
库贝内特斯 |
日志监控 |
电子商务 |
AC_K8S_0036 |
确保-service-ccount-ubject |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0037 |
确保-service-ccount-file参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0038 |
保证-etcd-certfile和-etcd-keyfile参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0039 |
保证-tls-cert文件和-ts-property-key-file参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0040 |
保证客户-ca文件参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0041 |
保证.etcd-cafile参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0042 |
确保.encryper-config参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0043 |
确保API服务器只使用强密文 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0044 |
保证-nitedpod-g-c-shew参数适当设置 |
库贝内特斯 |
数据保护 |
电子商务 |
AC_K8S_0045 |
确保服务账号令牌只在必要时安装 |
库贝内特斯 |
身份存取管理 |
电子商务 |
AC_K8S_0046 |
最小化特权容器 |
库贝内特斯 |
身份存取管理 |
高位 |
AC_K8S_0047 |
确保接收控制插件ObjectiveAdmit不设置 |
库贝内特斯 |
遵章验证 |
电子商务 |
AC_K8S_0048 |
保证默认路线为Istio服务设置 |
库贝内特斯 |
安全最佳做法 |
LOW |
AC_K8S_0049 |
保证ALOW正匹配Istio授权对象 |
库贝内特斯 |
基础设施安全 |
电子商务 |
AC_K8S_0050 |
自定义片段注解不设置为反射nginx控制器部署库贝涅斯配置地图 |
库贝内特斯 |
安全最佳做法 |
高位 |