Результаты сканирования
На вкладке Результаты сканирования представлено визуальное отображение результатов анализа конфигурации кластера с помощью утилиты KubeBench:
- Сводная информация по пройденным проверкам;
- Информация о пройденных проверок в разрезе домена;
- Полный перечень применяемых проверок.
KubeBench проверяет, соответствует ли кластер стандартам CIS Kubernetes Benchmark (набор рекомендаций по настройке ПО).
На странице показана дата создания отчета по результатам последнего сканирования. Кроме того, есть кнопка “Сканировать”, запускающая новое сканирование. В один момент времени может быть запущено только одно сканирование. Поэтому, если сканирование уже запущено, то кнопка будет недоступна для нажатия до завершения сканирования.
На странице есть возможность скачать отчет в формате CSV или PDF.
Чтобы добавить отчет в формате CSV в MS Excel:
- создайте новый файл MS Excel, перейдите в раздел “Данные”.
- В левой части панели управления выберите “Из текста”, выберите файл отчета, который вы скачали, нажмите “Импорт”.
- В модальном окне “Мастер текстов (импорт) выберите формат данных “С разделителями”, нажмите “Далее”.
- Выберите вариант разделителя “Запятая”, нажмите “Далее”.
- Выберите формат данных столбцов “Общий”, нажмите “Готово.
Стандарты CIS Kubernetes Benchmark содержат рекомендации по настройке Kubernetes, некоторые из которых включают в себя следующее:
- Настройка аутентификации и авторизации в Kubernetes.
- Запретить использование неуправляемых образов контейнеров.
- Ограничить использование привилегий контейнеров для уменьшения возможностей для эксплойта атак на уровне системы.
- Обеспечить доступ к Kubernetes API только через безопасные протоколы связи.
- Ограничить доступ к Kubernetes API только через требуемые роли и разрешения.
- Ограничить использование хранилища данных в Kubernetes только тех пользователей, которые имеют нужные права доступа.
Для полного описания проверок доступна фильтрация:
- по типу узла;
- по типу проверок;
- по результату прохождения проверки.
При первичном развертывании кластера данные отчета появляются с временным лагом (по завершении первичного сканирования).