معيار Kubernetes لمركز أمان الإنترنت (CIS)
كخدمة آمنة، تتوافق خدمةAzure Kubernetes (AKS) مع معايير SOC وISO وPCI DSS وHIPAA. تتناول هذه المقالة تصلب الأمان المطبق على AKS استنادا إلى معيار CIS Kubernetes. لمزيد من المعلومات حول أمان AKS، راجع مفاهيم الأمان للتطبيقات وأنظمة المجموعة في خدمةAzure Kubernetes (AKS). لمزيد من المعلومات، يجب مراجعةمركز معايير أمان الإنترنت (CIS) .
معيار CIS Kubernetes
فيما يلي نتائج توصيات CIS Kubernetes V1.27 Benchmark v1.9.0 على AKS. تنطبق النتائج على AKS 1.27.x من خلال AKS 1.29.x.
مستويات الأمان
توفر معايير CIS مستويين من إعدادات الأمان:
- توصي L1 أو المستوى 1 بمتطلبات الأمان المبدئية الأساسية التي يمكن تكوينها على أي نظام ويجب أن تتسبب في انقطاع الخدمة أو انخفاض الوظائف أو عدم انقطاعها.
- توصي L2 أو المستوى 2 بإعدادات الأمان للبيئات التي تتطلب أمانًا أكبر قد يؤدي إلى بعض الوظائف المنخفضة.
حالة التقييم
يتم تضمين حالة التقييم لكل توصية. تشير حالة التقييم إلى ما إذا كان يمكن أتمتة التوصية المحددة أو تتطلب خطوات يدوية للتنفيذ. كلتا الحالتين بنفس القدر من الأهمية ويتم تحديدهما ودعمهما كما هو محدد أدناه:
- Automated: يمثل توصيات يمكن من أجلها إجراء تقييم للتحكم التقني تلقائيا بالكامل والتحقق من صحته في حالة النجاح/الفشل. وستتضمن التوصيات المعلومات اللازمة لتنفيذ الأتمتة.
- يدوي: يمثل التوصيات التي لا يمكن أن يكون تقييم عنصر التحكم التقني تلقائيا بالكامل لها ويتطلب كل أو بعض الخطوات اليدوية للتحقق من تعيين الحالة المكونة كما هو متوقع. يمكن أن تختلف الحالة المتوقعة اعتمادا على البيئة.
تؤثر التوصيات التلقائية على درجة المعيار إذا لم يتم تطبيقها، بينما لا تؤثر التوصيات اليدوية .
حالة التصديق
يمكن أن يكون للتوصيات إحدى حالات التصديق التالية:
- Pass: تم تطبيق التوصية.
- فشل: لم يتم تطبيق التوصية.
- غير متاح: تتعلق التوصية بمتطلبات أذونات ملف البيان غير ذات الصلة ب AKS. تستخدم مجموعات Kubernetes بشكل افتراضي نموذج بيان لنشر وحدات القرون لمستوى التحكم، والتي تعتمد على الملفات من العقدة VM. يوصي معيار CIS Kubernetes هذه الملفات يجب أن يكون لها متطلبات أذونات معينة. تستخدم مجموعات AKS مخطط Helm لنشر وحدات وحدة التحكم ولا تعتمد على الملفات في العقدة VM.
- يعتمد على البيئة: يتم تطبيق التوصية في بيئة المستخدم المحددة ولا يتم التحكم فيها بواسطة AKS. تؤثر التوصيات التلقائية على درجة المعيار سواء كانت التوصية تنطبق على بيئة المستخدم المحددة أم لا.
- التحكم المكافئ: تم تنفيذ التوصية بطريقة مختلفة ومكافئة.
تفاصيل المعيار
| معرّف CIS | وصف التوصية | حالة التقييم | المستوى | الحالة |
|---|---|---|---|---|
| 1 | مكونات وحدة التحكم | |||
| 1.1 | ملفات تكوين عقدة وحدة التحكم | |||
| 1.1.1 | تأكد من تعيين أذونات ملف مواصفات خادم API إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.2 | تأكد من تعيين ملكية ملف مواصفات خادم API إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.3 | تأكد من تعيين أذونات ملف مواصفات وحدة التحكم pod إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.4 | تأكد من تعيين ملكية ملف مواصفات عقدة وحدة التحكم إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.5 | تأكد من تعيين أذونات ملف مواصفات جراب المجدول إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.6 | تأكد من تعيين ملكية ملف مواصفات جراب المجدول إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.7 | تأكد من تعيين أذونات ملف مواصفات جراب etcd إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.8 | تأكد من تعيين ملكية ملف مواصفات عقدة etcd إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.9 | تأكد من تعيين أذونات ملف واجهة شبكة الحاوية إلى 600 أو أكثر تقييدا | يدوي | L1 | غير متوفر |
| 1.1.10 | تأكد من تعيين ملكية ملف واجهة شبكة الحاوية إلى root:root | يدوي | L1 | غير متوفر |
| 1.1.11 | تأكد من تعيين أذونات دليل البيانات إلى 700 أو أكثر تقييدًا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.12 | تأكد من تعيين ملكية دليل البيانات إلى etcd:etcd | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.13 | تأكد من تعيين أذونات الملف admin.conf إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.14 | تأكد من تعيين ملكية الملف admin.conf إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.15 | تأكد من تعيين أذونات الملف scheduler.conf إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.16 | تأكد من تعيين ملكية ملف scheduler.conf إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.17 | تأكد من تعيين أذونات الملف controller-manager.conf إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.18 | تأكد من تعيين ملكية ملف controller-manager.conf إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.19 | تأكد من تعيين دليل Kubernetes PKI وملكية الملف إلى root:root | تم التنفيذ تلقائيًا | L1 | غير متوفر |
| 1.1.20 | تأكد من تعيين أذونات ملف شهادة Kubernetes PKI إلى 600 أو أكثر تقييدا | يدوي | L1 | غير متوفر |
| 1.1.21 | تأكد من تعيين أذونات ملف مفتاح Kubernetes PKI إلى 600 | يدوي | L1 | غير متوفر |
| 1.2 | API Server | |||
| 1.2.1 | تأكد من تعيين الوسيطة --anonymous-auth إلى خاطئ |
يدوي | L1 | نجاح |
| 1.2.2 | تأكد من عدم تعيين المعلمة --token-auth-file |
تم التنفيذ تلقائيًا | L1 | فشل |
| 1.2.3 | تأكد من عدم --DenyServiceExternalIPs تعيين |
يدوي | L1 | فشل |
| 1.2.4 | تأكد من تعيين الوسيطتين --kubelet-client-certificateو --kubelet-client-key حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.5 | تأكد من تعيين الوسيطة --kubelet-certificate-authority حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | فشل |
| 1.2.6 | تأكد من عدم تعيين الوسيطة --authorization-mode إلى AlwaysAllow |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.7 | تأكد من أن الوسيطة --authorization-mode تتضمن Node |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.8 | تأكد من أن الوسيطة --authorization-mode تتضمن RBAC |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.9 | تأكد من تعيين المكون الإضافي للتحكم في القبول EventRateLimit | يدوي | L1 | فشل |
| 1.2.10 | تأكد من عدم تعيين المكون الإضافي للتحكم في القبول AlwaysAdmit | تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.11 | تأكد من تعيين المكون الإضافي للتحكم في القبول AlwaysPullImages | يدوي | L1 | فشل |
| 1.2.12 | تأكد من تعيين المكون الإضافي للتحكم في القبول ServiceAccount | تم التنفيذ تلقائيًا | L2 | فشل |
| 1.2.13 | تأكد من تعيين المكون الإضافي لعنصر التحكم في القبول NamespaceLifecycle | تم التنفيذ تلقائيًا | L2 | نجاح |
| 1.2.14 | تأكد من تعيين المكون الإضافي للتحكم في القبول NodeRestriction | تم التنفيذ تلقائيًا | L2 | نجاح |
| 1.2.15 | تأكد من تعيين الوسيطة --profiling إلى خاطئ |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.16 | تأكد من تعيين الوسيطة --audit-log-path |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.17 | تأكد من تعيين الوسيطة --audit-log-maxage إلى 30 أو حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | عنصر تحكم مكافئ |
| 1.2.18 | تأكد من تعيين الوسيطة --audit-log-maxbackup إلى 10 أو حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | عنصر تحكم مكافئ |
| 1.2.19 | تأكد من تعيين الوسيطة --audit-log-maxsize إلى 100 أو حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.20 | تأكد من تعيين الوسيطة --request-timeout حسب الاقتضاء |
يدوي | L1 | نجاح |
| 1.2.21 | تأكد من تعيين الوسيطة --service-account-lookup إلى صحيح |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.22 | تأكد من تعيين الوسيطة --service-account-key-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.23 | تأكد من تعيين الوسيطتين --etcd-certfileو --etcd-keyfile حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.24 | تأكد من تعيين الوسيطتين --tls-cert-fileو --tls-private-key-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.25 | تأكد من تعيين الوسيطة --client-ca-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.26 | تأكد من تعيين الوسيطة --etcd-cafile حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.2.27 | تأكد من تعيين الوسيطة --encryption-provider-config حسب الاقتضاء |
يدوي | L1 | يعتمد على البيئة |
| 1.2.28 | تأكد من تكوين موفري التشفير بشكل مناسب | يدوي | L1 | يعتمد على البيئة |
| 1.2.29 | تأكد من أن خادم واجهة برمجة التطبيقات يستخدم فقط Strong Cryptographic Ciphers | يدوي | L1 | نجاح |
| 1.3 | مدير وحدة التحكم | |||
| 1.3.1 | تأكد من تعيين الوسيطة --terminated-pod-gc-threshold حسب الاقتضاء |
يدوي | L1 | نجاح |
| 1.3.2 | تأكد من تعيين الوسيطة --profiling إلى خاطئ |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.3.3 | تأكد من تعيين الوسيطة --use-service-account-credentials إلى صحيح |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.3.4 | تأكد من تعيين الوسيطة --service-account-private-key-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.3.5 | تأكد من تعيين الوسيطة --root-ca-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.3.6 | تأكد من تعيين الوسيطة RotateKubeletServerCertificate إلى صحيح | تم التنفيذ تلقائيًا | L2 | نجاح |
| 1.3.7 | تأكد من تعيين الوسيطة --bind-address إلى 127.0.0.1 |
تم التنفيذ تلقائيًا | L1 | عنصر تحكم مكافئ |
| 1.4 | Scheduler | |||
| 1.4.1 | تأكد من تعيين الوسيطة --profiling إلى خاطئ |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 1.4.2 | تأكد من تعيين الوسيطة --bind-address إلى 127.0.0.1 |
تم التنفيذ تلقائيًا | L1 | عنصر تحكم مكافئ |
| 2 | etcd | |||
| 2.1 | تأكد من تعيين الوسيطتين --cert-fileو --key-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.2 | تأكد من تعيين الوسيطة --client-cert-auth إلى صحيح |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.3 | تأكد من عدم تعيين الوسيطة --auto-tls إلى true |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.4 | تأكد من تعيين الوسيطتين --peer-cert-fileو --peer-key-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.5 | تأكد من تعيين الوسيطة --peer-client-cert-auth إلى صحيح |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.6 | تأكد من عدم تعيين الوسيطة --peer-auto-tls إلى true |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 2.7 | تأكد من استخدام مرجع مصدق فريد لـ etcd | يدوي | L2 | نجاح |
| 3 | تكوين وحدة التحكم | |||
| 3.1 | المصادقة والتخويل | |||
| 3.1.1 | يجب عدم استخدام مصادقة شهادة العميل للمستخدمين | يدوي | L1 | نجاح |
| 3.1.2 | يجب عدم استخدام مصادقة الرمز المميز لحساب الخدمة للمستخدمين | يدوي | L1 | نجاح |
| 3.1.3 | يجب عدم استخدام مصادقة رمز Bootstrap المميز للمستخدمين | يدوي | L1 | نجاح |
| 3.2 | تسجيل الدخول | |||
| 3.2.1 | تأكد من إنشاء نهج تدقيق الحد الأدنى | يدوي | L1 | نجاح |
| 3.2.2 | التأكد من أن سياسة التدقيق تغطي الشواغل الأمنية الرئيسية | يدوي | L2 | نجاح |
| 4 | العُقد العاملة | |||
| 4.1 | ملفات تكوين العقد العاملة | |||
| 4.1.1 | تأكد من تعيين أذونات ملف خدمة kubelet إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.1.2 | تأكد من تعيين ملكية ملف خدمة kubelet إلى root:root | تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.1.3 | إذا كان ملف kubeconfig للوكيل موجودا، فتأكد من تعيين الأذونات إلى 600 أو أكثر تقييدا | يدوي | L1 | غير متوفر |
| 4.1.4 | إذا كان ملف kubeconfig الوكيل موجودا، فتأكد من تعيين الملكية إلى root:root | يدوي | L1 | غير متوفر |
| 4.1.5 | تأكد من --kubeconfig تعيين أذونات ملف kubelet.conf إلى 600 أو أكثر تقييدا |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.1.6 | تأكد من --kubeconfig تعيين ملكية ملف kubelet.conf إلى root:root |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.1.7 | تأكد من تعيين أذونات ملف المراجع المصدقة إلى 600 أو أكثر تقييدا | يدوي | L1 | نجاح |
| 4.1.8 | تأكد من تعيين ملكية ملف المراجع المصدقة للعميل إلى root:root | يدوي | L1 | نجاح |
| 4.1.9 | إذا كان ملف تكوين kubelet config.yaml قيد الاستخدام، فتأكد من تعيين الأذونات إلى 600 أو أكثر تقييدا | تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.1.10 | إذا كان ملف تكوين kubelet config.yaml قيد الاستخدام، فتأكد من تعيين ملكية الملف إلى root:root | تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2 | Kubelet | |||
| 4.2.1 | تأكد من تعيين الوسيطة --anonymous-auth إلى خاطئ |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2.2 | تأكد من عدم تعيين الوسيطة --authorization-mode إلى AlwaysAllow |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2.3 | تأكد من تعيين الوسيطة --client-ca-file حسب الاقتضاء |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2.4 | تأكد من تعيين الوسيطة --read-only-port إلى 0 |
يدوي | L1 | نجاح |
| 4.2.5 | تأكد من عدم تعيين الوسيطة --streaming-connection-idle-timeout إلى 0 |
يدوي | L1 | نجاح |
| 4.2.6 | تأكد من تعيين الوسيطة --make-iptables-util-chains إلى صحيح |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2.7 | تأكد من عدم تعيين الوسيطة --hostname-override |
يدوي | L1 | نجاح |
| 4.2.8 | تأكد من تعيين الوسيطة --eventRecordQPS إلى مستوى يضمن التقاط الحدث المناسب |
يدوي | L2 | نجاح |
| 4.2.9 | تأكد من تعيين الوسيطتين --tls-cert-fileو --tls-private-key-file حسب الاقتضاء |
يدوي | L1 | نجاح |
| 4.2.10 | تأكد من عدم تعيين الوسيطة --rotate-certificates إلى false |
تم التنفيذ تلقائيًا | L1 | نجاح |
| 4.2.11 | تحقق من تعيين الوسيطة RotateKubeletServerCertificate إلى true | يدوي | L1 | فشل |
| 4.2.12 | تأكد من أن Kubelet يستخدم فقط شفرات التشفير القوية | يدوي | L1 | نجاح |
| 4.2.13 | تأكد من تعيين حد على pod PIDs | يدوي | L1 | نجاح |
| 4.3 | kube-proxy | |||
| 4.3.1 | تأكد من أن خدمة مقاييس وكيل kube مرتبطة ب localhost | تم التنفيذ تلقائيًا | L1 | نجاح |
| 5 | السياسات | |||
| 5.1 | RBAC وحسابات الخدمة | |||
| 5.1.1 | تأكد من استخدام دور مسؤول نظام المجموعة فقط عند الحاجة | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.2 | تقليل الوصول إلى البيانات السرية | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.3 | تقليل استخدام حرف البدل في Roles وClusterRoles إلى الحد الأدنى | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.4 | تقليل الوصول إلى إنشاء عقدات إلى الحد الأدنى | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.5 | تأكد من عدم استخدام حسابات الخدمة الافتراضية بشكل نشط | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.6 | تأكد من تحميل الرموز المميزة لحساب الخدمة فقط عند الضرورة | تم التنفيذ تلقائيًا | L1 | يعتمد على البيئة |
| 5.1.7 | تجنب استخدام مجموعة system:masters | يدوي | L1 | يعتمد على البيئة |
| 5.1.8 | تقييد استخدام أذونات الربط والانتحال والتصعيد في مجموعة Kubernetes | يدوي | L1 | يعتمد على البيئة |
| 5.1.9 | تقليل الوصول لإنشاء وحدات تخزين ثابتة | يدوي | L1 | يعتمد على البيئة |
| 5.1.10 | تقليل الوصول إلى المورد الفرعي للعقد للوكيل | يدوي | L1 | يعتمد على البيئة |
| 5.1.11 | تقليل الوصول إلى المورد الفرعي للموافقة على كائنات certificatesigningrequests | يدوي | L1 | يعتمد على البيئة |
| 5.1.12 | تقليل الوصول إلى كائنات تكوين خطاف الويب | يدوي | L1 | يعتمد على البيئة |
| 5.1.13 | تقليل الوصول إلى إنشاء الرمز المميز لحساب الخدمة | يدوي | L1 | يعتمد على البيئة |
| 5.2 | معايير أمان Pod | |||
| 5.2.1 | تأكد من أن المجموعة لديها آلية واحدة على الأقل للتحكم في النهج النشط | يدوي | L1 | يعتمد على البيئة |
| 5.2.2 | تقليل قبول الحاويات المتميزة إلى الحد الأدنى | يدوي | L1 | يعتمد على البيئة |
| 5.2.3 | تقليل قبول الحاويات الراغبة في مشاركة مساحة اسم معرف عملية المضيف | يدوي | L1 | يعتمد على البيئة |
| 5.2.4 | تقليل قبول الحاويات الراغبة في مشاركة مساحة اسم IPC المضيف | يدوي | L1 | يعتمد على البيئة |
| 5.2.5 | تقليل قبول الحاويات التي ترغب في مشاركة مساحة اسم الشبكة المضيفة | يدوي | L1 | يعتمد على البيئة |
| 5.2.6 | تقليل قبول الحاويات باستخدام allowPrivilegeEscalation | يدوي | L1 | يعتمد على البيئة |
| 5.2.7 | تقليل قبول حاويات الجذر | يدوي | L2 | يعتمد على البيئة |
| 5.2.8 | تقليل قبول الحاويات بقدرة NET_RAW | يدوي | L1 | يعتمد على البيئة |
| 5.2.9 | تقليل قبول الحاويات ذات الإمكانات المضافة | يدوي | L1 | يعتمد على البيئة |
| 5.2.10 | تقليل قبول الحاويات ذات الإمكانات المعينة | يدوي | L2 | يعتمد على البيئة |
| 5.2.11 | تقليل قبول حاويات Windows HostProcess | يدوي | L1 | يعتمد على البيئة |
| 5.2.12 | تقليل قبول وحدات تخزين HostPath | يدوي | L1 | يعتمد على البيئة |
| 5.2.13 | تقليل قبول الحاويات التي تستخدم HostPorts | يدوي | L1 | يعتمد على البيئة |
| 5.3 | نهج الشبكة وCNI | |||
| 5.3.1 | تأكد من أن CNI قيد الاستخدام يدعم نهج الشبكة | يدوي | L1 | نجاح |
| 5.3.2 | تأكد من أن كافة مساحات الأسماء لها نهج شبكة محددة | يدوي | L2 | يعتمد على البيئة |
| 5.4 | إدارة البيانات السرية | |||
| 5.4.1 | يفضل استخدام بيانات سرية كملفات على البيانات السرية كمتغيرات البيئة | يدوي | L2 | يعتمد على البيئة |
| 5.4.2 | ضع في اعتبارك التخزين السري الخارجي | يدوي | L2 | يعتمد على البيئة |
| 5.5 | التحكم في القبول القابل للتوسعة | |||
| 5.5.1 | تكوين مصدر صورة باستخدام وحدة تحكم قبول ImagePolicyWebhook | يدوي | L2 | فشل |
| 5.6 | النهج العامة | |||
| 5.6.1 | إنشاء حدود إدارية بين الموارد باستخدام مساحات الأسماء | يدوي | L1 | يعتمد على البيئة |
| 5.6.2 | تأكد من تعيين ملف تعريف seccomp إلى docker/default في تعريفات العقدة | يدوي | L2 | يعتمد على البيئة |
| 5.6.3 | تطبيق سياق الأمان على العقدات والحاويات الخاصة بك | يدوي | L2 | يعتمد على البيئة |
| 5.6.4 | يجب عدم استخدام مساحة الاسم الافتراضية | يدوي | L2 | يعتمد على البيئة |
إشعار
بالإضافة إلى معيار Kubernetes CIS، هناك معيار AKS CIS متاح أيضًا.
ملاحظات إضافية
- تم بناء نظام التشغيل الأمني المحصن وصيانته خصوصاً لـ AKS ولا يتم دعمه خارج منصة AKS.
- لتقليل مساحة سطح الهجوم بشكل أكبر، يتم تعطيل بعض برامج تشغيل وحدة النواة غير الضرورية في نظام التشغيل.
الخطوات التالية
لمزيد من المعلومات حول أمان AKS، راجع المقالات التالية:
التعاون معنا على GitHub
يمكن العثور على مصدر هذا المحتوى على GitHub حيث يمكنك أيضاً إضافة مشاكل وطلبات سحب ومراجعتها. للحصول على معلومات إضافية، اطلع على دليل المساهم لدينا.
Azure Kubernetes Service