相關資訊
- 3.1.1- 確保 Proxy kubeconfig 文件權限設置為 644 或更嚴格(自動化)
- 3.1.2 - 確保 Proxy kubeconfig 檔案的所有權設定為 root:root(自動化)
- 3.1.3 - 確保 kubelet 配置檔案的權限設置為 644(自動化)
- 3.1.4 - 確保 kubelet 配置文件的所有權設置為 - root:root(自動化)
- 3.2.1 - 確保匿名身份驗證未啟動草稿(自動化)
- 3.2.2 - 確保 --authorization-mode 參數未設定為 AlwaysAllow(自動化)
- 3.2.3 - 確保已配置客戶端 CA 檔案(自動化)
- 3.2.4 - 確保 --read-only-port 已停用(自動化)
- 3.2.5 - 確保 --streaming-connection-idle-timeout 參數未設為 0(自動化)
- 3.2.6 - 確保 --make-iptables-util-chains 參數設置為 true(自動化)
- 3.2.7 - 確保 --eventRecordQPS 參數設置為 0 或確保適當事件捕獲的級別(自動化)
- 3.2.8 - 確保 --rotate-certificates 參數不存在或設為 true(自動化)
- 3.2.9 - 確保 RotateKubeletServerCertificate 參數設為 true(自動化)
- 4.1.1 - 確保僅在必要時使用 cluster-admin 角色(自動化)
- 4.1.2 - 將存取機密的權限降至最低(自動化)
- 4.1.3 - 最小化在角色和集群角色中使用萬用字元(自動化)
- 4.1.4 - 確保預設服務帳戶未被主動使用(自動化)
- 4.1.5 - 確保僅在必要時掛載服務帳戶令牌(自動化)
- 4.1.6 - 避免使用 system:masters 群組(自動化)
- 4.1.8 - 避免綁定到 system:anonymous(自動化)
- 4.1.9 - 避免非預設綁定至 system:unauthenticated(自動化)
- 4.1.10 - 避免非預設綁定至 system:authenticated(自動化)
- 4.3.2 - 確保所有命名空間都已定義網路政策(自動化)
- 4.4.1 - 優先使用檔案形式的機密而非環境變數形式的機密(自動化)
- 4.6.2 - 確保在 pod 定義中將 seccomp 配置文件設置為 RuntimeDefault(自動化)
- 4.6.4 - 不應使用預設命名空間(自動化)
- 5.1.1 - 確保已啟動映像弱點掃瞄(自動化)
- 5.2.1 - 確保 GKE 叢集未使用 Compute Engine 預設服務帳戶運行(自動化)
- 5.3.1 - 確保 Kubernetes Secrets 使用在雲端 KMS 中管理的密鑰進行已加密(自動化)
- 5.4.1 - 確保 GKE Metadata Server 已啟動(自動化)
- 5.5.1 - 確保 GKE 節點映像使用容器優化作業系統 (cos_containerd)(自動化)
- 5.5.2 - 確保 GKE 節點的自動修復已啟動(自動化)
- 5.5.3 - 確保 GKE 節點的自動升級已啟動(自動化)
- 5.5.4 - 建立新叢集時 - 使用發行通道自動化 GKE 版本管理(自動化)
- 5.5.5 - 確保已啟動 Shielded GKE 節點(自動化)
- 5.5.6 - 確保已啟動受防護 GKE 節點的完整性監控(自動化)
- 5.5.7 - 確保已啟動 Shielded GKE 節點的安全啟動(自動化)
- 5.6.1 - 啟用 VPC 流量日誌和節點內可見性(自動化)
- 5.6.2 - 確保使用 VPC 原生叢集(自動化)
- 5.6.3 - 確保控制平面授權網路已啟動(自動化)
- 5.6.4 - 確保叢集在建立時啟用私人端點並停用公共存取(自動化)
- 5.6.5 - 確保叢集以私有節點建立(自動化)
- 5.6.7 - 確保使用 Google 管理的 SSL 憑證(自動化)
- 5.7.1 - 確保已啟動日誌記錄和雲端監控(自動化)
- 5.8.3 - 確保已停用傳統授權 (ABAC) (自動化)
- 5.9.2 - 啟用客戶管理加密金鑰 (CMEK) 用於啟動磁碟(自動化)
- 5.10.2 - 確保 Alpha 叢集不被用於生產工作負載(自動化)
- 5.10.3 - 考慮使用 GKE Sandbox 執行不受信任的工作負載(自動化)
- 5.10.4 - 確保使用二進位授權(自動化)