kubernetes_stig

Обзор Версии Аналитика

Kubernetes DISA STIG

Настройка системы Kubernetes для соответствия DISA STIG.

Основано на Kubernetes DISA STIG Версия 1, Релиз 8, выпущенный 26 января 2023 года

Организационные звёзды Звёзды Форки Подписчики Twitter URL

Качество Ansible Galaxy Значок Discord

Статус сборки разработки Коммиты разработки

Релизная ветка Статус основной сборки Дата основного релиза Тег релиза

Открытые проблемы Закрытые проблемы Запросы на слияние

Лицензия

Нужна поддержка?

Lockdown Enterprise

Поддержка Ansible

Сообщество

Присоединяйтесь к нам на нашем Discord сервере, чтобы задавать вопросы, обсуждать функции или просто общаться с другими пользователями Ansible-Lockdown.

Внимание

Эта роль внесет изменения в систему, которые могут иметь непредвиденные последствия. Это не инструмент аудита, а инструмент устранения проблем, который следует использовать после проведения аудита.

Режим проверки не поддерживается! Роль завершится в режиме проверки без ошибок, но это не поддерживается и должно использоваться с осторожностью.

Эта роль была разработана для чистой установки Kubernetes. Если вы настраиваете её для существующей системы, пожалуйста, проверьте эту роль на предмет необходимых изменений для конкретного сайта.

Чтобы использовать релизную версию, укажите основную ветку и соответствующий релиз для проверки STIG, с которым вы хотите работать.

Соответствие уровню безопасности для STIG

Можно запускать только те проверки, которые основаны на конкретном уровне безопасности для STIG. Это управляется с помощью тегов:

  • CAT1
  • CAT2
  • CAT3

Также контроль в файле defaults/main должен отражать true, чтобы эти проверки могли выполняться при запуске плейбука.

Переход с предыдущего релиза

Релизы STIG всегда содержат изменения. Настоятельно рекомендуется ознакомиться с новыми ссылками и доступными переменными. Это значительно изменилось с момента первоначального релиза ansible-lockdown. Теперь это совместимо с python3, если он установлен по умолчанию. Это может потребовать предварительной настройки системы.

Дополнительные сведения можно найти в Changelog

Аудит (новое)

В текущем релизе нет инструмента аудита.

Документация

Требования

Общие:

  • Базовые знания Ansible. Вот некоторые ссылки на документацию Ansible, чтобы помочь вам начать, если вы не знакомы с Ansible

  • Работающий Ansible и/или Tower, установленные, настроенные и работающие. Это включает все базовые конфигурации Ansible/Tower, установленные необходимые пакеты и настроенную инфраструктуру.

  • Пожалуйста, прочитайте задания в этой роли, чтобы понять, что делает каждое действие. Некоторые задания могут быть разрушительными и могут привести к непредвиденным последствиям в работающей производственной системе. Также ознакомьтесь с переменными в файле defaults/main.yml.

Технические зависимости:

  • Kubernetes версии 1.16.7 или выше - Другие версии не поддерживаются.
  • Рабочая настройка Ansible/Tower (эта роль протестирована с Ansible версии 2.9.1 и новее).
  • Среда выполнения Ansible на python3.
  • python-def (должен быть включён в RHEL/CentOS 7) - Первое задание настраивает предварительные требования (теги предварительных требований) для python3 и python2 (где это необходимо)
    • libselinux-python
    • python3-rpm (пакет, используемый py3 для работы с rpm pkg)

Переменные роли

Эта роль предназначена так, чтобы конечному пользователю не нужно было редактировать задания самостоятельно. Все настройки должны производиться через файл defaults/main.yml или с дополнительными переменными в рамках проекта, задания, рабочего процесса и т.д.

Теги

Существуют различные теги для дополнительной точности управления. Каждый контроль имеет свой набор тегов, указывающих уровень, оценен ли он или нет, к какому ОС элементу он относится, является ли это исправлением или аудитом и номер правила.

Вот пример раздела тегов для контроля в этой роли. Используя этот пример, если вы зададите ваш запуск на пропуск всех контролей с тегом kernel, это задание будет пропущено. С другой стороны, также возможно запускать только те проверки, которые помечены тегом kernel.

tags:
      - CNTR-K8-001620
      - CAT1
      - CCI-001084
      - SRG-APP-000233-CTR-000585
      - SV-242434r864009_rule
      - V-242434
      - kubelet
      - kernel

Вклад сообщества

Мы призываем вас (сообщество) принимать участие в этой роли. Пожалуйста, прочитайте правила ниже.

  • Ваша работа выполняется в вашей индивидуальной ветке. Убедитесь, что все коммиты, которые вы собираетесь объединить, подписаны и подписаны с помощью GPG.
  • Все запросы на слияние сообщества объединяются в ветку devel.
  • Запросы на слияние в devel подтверждают наличие GPG-подписи у ваших коммитов, подпись и функциональное тестирование перед утверждением.
  • После слияния ваших изменений и завершения более детального рассмотрения, уполномоченный член объединит ваши изменения в основную ветку для нового релиза.

Тестирование конвейера

использует:

  • ansible-core 2.12
  • ansible коллекции - загружает последнюю версию на основе файла требований
  • запускает аудит с использованием ветки devel
  • Это автоматизированное тестирование, которое происходит при запросах на слияние в devel.
О проекте

Ansible role to apply Kubernetes STIG benchmark

role hardening microsoft security stig system windows
Установить
ansible-galaxy install ansible-lockdown/KUBERNETES-STIG
GitHub репозиторий
7 звезд(ы)
3 форк(ов)
1 открытых задач
Лицензия
mit
Загрузки
55784
Владелец
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.