MindPointGroup.kubernetes_stig

概要 バージョン 洞察

Kubernetes DISA STIG

KubernetesシステムをDISA STIGに準拠させる設定。

Kubernetes DISA STIG バージョン1, リリース8(2023年1月26日発表)に基づく

Org Stars Stars Forks followers Twitter URL

Ansible Galaxy Quality Discord Badge

Devel Build Status Devel Commits

Release Branch Main Build Status Main Release Date Release Tag

Issues Open Issues Closed Pull Requests

License

サポートを探していますか?

Lockdown Enterprise

Ansibleサポート

コミュニティ

質問をしたり、機能について議論したり、他のAnsible-Lockdownユーザーと話すために、Discordサーバーに参加してください。

注意事項

この役割はシステムに変更を加えます。これにより意図しない結果が生じる可能性があります。これは監査ツールではなく、監査後に使用される修正ツールです。

チェックモードはサポートされていません!チェックモードで完了しますが、サポートされておらず、注意して使用する必要があります。

この役割はKubernetesのクリーンインストールに対して開発されました。既存のシステムに適用する場合は、必要なサイト固有の変更があるかどうかを確認してください。

リリースバージョンを使用するには、メインブランチと作業したいSTIGベンチマークの関連リリースを指定してください。

STIGに対するセキュリティレベルの一致

特定のセキュリティレベルに基づいたコントロールのみを実行することが可能です。これはタグを使用して管理されます:

  • CAT1
  • CAT2
  • CAT3

デフォルトのメインにあるコントロールもtrueを反映する必要があります。これにより、プレイブックが起動されたときにコントロールが実行されます。

前のリリースからの移行

STIGリリースには常に変更が含まれており、新しい参照や利用可能な変数を確認することを強くお勧めします。これは、ansible-lockdownの初回リリース以来大きく変わりました。 これは、デフォルトのインタープリタがpython3である場合に互換性があります。これには、システムを適切に構成するための前提条件が含まれます。

詳細はChangelogで確認できます。

監査(新情報)

現在、このリリースには監査ツールがありません。

ドキュメント

要件

一般的な要件:

  • Ansibleの基本的な知識。Ansibleに不慣れな方のために、以下にいくつかのリンクを示します。

  • 機能するAnsibleおよび/またはTowerがインストール、構成、および稼働していること。これには、すべての基本的なAnsible/Tower構成、必要なパッケージのインストール、インフラの設定が含まれます。

  • この役割のタスクを通じて、各コントロールが何をしているのかを理解してください。一部のタスクは中断を引き起こす可能性があり、本稼働システムで意図しない結果をもたらす可能性があります。また、defaults/main.ymlファイルの変数にも習熟してください。

技術的依存関係:

  • Kubernetes 1.16.7以上 - 他のバージョンはサポートされていません。
  • 実行中のAnsible/Towerセットアップ(この役割はAnsibleバージョン2.9.1以降でテストされています)
  • Python3 Ansible実行環境
  • python-def(RHEL/CentOS 7に含まれるべきもの) - 最初のタスクでは、python3および必要に応じてpython2の前提条件(Tag pre-reqs)を設定します。
    • libselinux-python
    • python3-rpm(py3がrpmパッケージを使用するために使用されるパッケージ)

役割の変数

この役割は、エンドユーザーがタスクを自分で編集する必要がないように設計されています。すべてのカスタマイズはdefaults/main.ymlファイルまたはプロジェクト、ジョブ、ワークフロー内での追加変数を使用して行うべきです。

タグ

追加の制御精度のために多くのタグが利用可能です。各コントロールには、どのレベルであるか、スコアが付けられているかどうか、関連するOS要素、パッチまたは監査であるか、ルール番号が記載された独自のタグセットがあります。

以下は、この役割内のコントロールからのタグセクションの例です。この例を使用すると、kernelタグを持つコントロールすべてをスキップするように設定した場合、このタスクはスキップされます。逆に、kernelタグが付けられたコントロールのみを実行することもできます。

tags:
      - CNTR-K8-001620
      - CAT1
      - CCI-001084
      - SRG-APP-000233-CTR-000585
      - SV-242434r864009_rule
      - V-242434
      - kubelet
      - kernel

コミュニティ貢献

コミュニティの皆様の貢献を歓迎します。この役割に対する貢献について以下のルールをお読みください。

  • 自分の個別のブランチで作業を行います。マージするつもりのすべてのコミットには、必ず署名をし、GPG署名をしてください。
  • すべてのコミュニティプルリクエストはdevelブランチにプルされます。
  • develへのプルリクエストでは、コミットにGPG署名があり、署名済みで、機能テストが行われることを確認します。
  • 変更がマージされ、詳細なレビューが完了した後、権限のあるメンバーがメインブランチに変更をマージして新しいリリースを作成します。

パイプラインテスト

使用しているもの:

  • ansible-core 2.12
  • ansibleコレクション - 要件ファイルに基づいて最新のバージョンをプルします
  • develブランチを使用して監査を実行します
  • これは、develへのプルリクエストに対して行われる自動テストです
プロジェクトについて

Ansible role to apply Kubernetes STIG benchmark

role hardening microsoft security stig system windows
インストール
ansible-galaxy install MindPointGroup.kubernetes_stig
GitHub リポジトリ
7 スター
3 フォーク
1 オープンな問題
ライセンス
mit
ダウンロード
55.8k
所有者
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.