Rancher v2.4 中的CIS扫描(已弃用)

从 v2.4.0 开始提供

本节包含 Rancher v2.4 中发布的 CIS 扫描工具的文档,可在集群管理器顶部导航栏的工具菜单下获得。

从 Rancher v2.5 开始,它已被废弃,并被 rancher-cis-benchmark 应用程序所取代。

先决条件

  • 您必须是管理员

  • Rancher 只能在使用 RKE 创建的集群上运行安全扫描,其中包括自定义集群和 Rancher 在 Amazon EC2 或 GCE 等基础设施提供商中创建的集群。导入的集群和托管的 Kubernetes 提供商中的集群不能被 Rancher 扫描。

  • 安全扫描无法在具有 Windows 节点的集群中运行。

  • 您只能看到您可以访问的集群的 CIS 扫描报告。

运行扫描

  1. 从 Rancher 中的集群视图中,单击工具 > CIS 扫描
  2. 单击运行扫描
  3. 选择一个 CIS 扫描配置文件。

结果:会生成一份报告,并显示在CIS 扫描页中。要查看报告的详细信息,请单击报告的名称。

设置定时扫描

您可以计划在任何 RKE Kubernetes 集群上运行重复扫描。

要启用循环扫描,请在创建集群期间或创建集群后编辑集群配置中的高级选项。

  1. 转到 Rancher 中的集群视图。
  2. 单击工具 > CIS 扫描
  3. 单击Add Schedule这将带您进入集群编辑页面中适用于配置 CIS 扫描时间表的部分。也可以通过进入集群视图,单击 ⋮ > 编辑,并进入高级选项
  4. CIS 扫描启用字段中,单击
  5. CIS 扫描配置文件字段中,选择PermissiveHardened配置文件。配置文件名称中包含相应的 CIS 基准版本。

    注意

    无论选择Permissive还是Hardened配置文件,任何跳过的测试在单独的 ConfigMap 中定义都将被跳过。当选择允许的配置文件时,您应该看到哪些测试被 Rancher 跳过(RKE 集群默认跳过的测试),哪些测试被 Rancher 用户跳过。在加固测试配置文件中,只有跳过的测试会被用户跳过。

  6. CIS 扫描间隔(cron)工作中,输入cron 表达式来定义集群的扫描频率。

  7. CIS 扫描报告保留字段中,输入应保留的过去报告的数量。

结果:安全扫描将按预定的时间间隔运行并生成报告。

T 测试计划可以在cluster.yml中配置:

  1. scheduled_cluster_scan:
  2. enabled: true
  3. scan_config:
  4. cis_scan_config:
  5. override_benchmark_version: rke-cis-1.4
  6. profile: permissive
  7. schedule_config:
  8. cron_schedule: 0 0 * * *
  9. retention: 24

跳过测试

您可以定义一组测试,在生成下一份报告时,CIS 扫描将跳过这些测试。

这些测试将在随后的 CIS 扫描中跳过,包括手动触发和计划扫描,任何配置文件都将跳过这些测试。

当为循环集群扫描选择测试配置文件时,跳过的测试将与测试配置文件名称一起在集群配置选项中列出。跳过的测试也将在每次从 Rancher UI 中通过单击 Run Scan手动触发扫描时显示。 跳过的测试的显示可以让您提前知道哪些测试将在每次扫描中运行。

要跳过测试,您需要在 Kubernetes ConfigMap 资源中定义它们。每一个跳过的 CIS 扫描测试都会在 ConfigMap 中与该测试所属的 CIS 基准版本一起列出。

  1. 创建一个 security-scan命名空间。

  2. 创建一个名为security-scan-cfg的 ConfigMap。

  3. config.json键下输入跳过信息,格式如下:

    1. {
    2. "skip": {
    3. "rke-cis-1.4": ["1.1.1", "1.2.2"]
    4. }
    5. }

    在上面的例子中,CIS 基准版本与该版本要跳过的测试一起指定。

结果:这些测试将在使用定义的 CIS 基准版本的后续扫描中跳过。

设置警报

Rancher 为集群扫描提供了一组警报,默认情况下没有配置为具有通知器。

  • 一个手动集群扫描已经完成
  • 手动集群扫描有故障
  • 完成了预定的集群扫描
  • 预定的集群扫描有故障

前提条件:您需要在配置、发送或接收警报之前配置通知

要激活 CIS 扫描结果的现有警报。

  1. 从 Rancher 中的集群视图中,单击 工具 > 警报
  2. 转到名为集群扫描的一组警报的部分
  3. 转到您要激活的警报,然后单击 ⋮;>激活
  4. 转到警报规则组 集群扫描的一组警报,然后单击 ⋮ > 编辑
  5. 向下滚动到警报部分。在字段中,选择要用于发送警报通知的通知器。
  6. 可选。要限制通知的频率,请单击显示高级选项,配置警报的时间间隔。
  7. 单击保存

结果:在集群上运行扫描且活动警报满足条件时,将触发通知。

要创建一个新的警报。

  1. 转到集群视图,然后单击工具 > CIS 扫描
  2. 单击添加警报
  3. 填写表格。
  4. 输入警报的名称。
  5. 字段中,设置警报在扫描完成或扫描失败时触发。
  6. Send a 字段中,将警报设置为 Critical、 Warning、Info 警报级别。
  7. 为警报选择一个通知

结果:创建并激活了警报。当扫描在集群上运行且活动的警报满足条件时,将触发通知。

有关警报的更多信息,请参阅通知

删除报告

  1. 从 Rancher 中的集群视图中,单击工具 > CIS 扫描
  2. 转到应该删除的报告。
  3. 单击 ⋮;> 删除
  4. 单击删除

下载报告

  1. 从 Rancher 中的集群视图中,单击工具 > CIS 扫描
  2. 转到您要下载的报告。单击 ⋮>下载

结果:报告以 CSV 格式下载。

跳过和不适用的测试清单

关于跳过的和不适用的测试清单,请参考跳过和不适用的测试