安全
Security policyRancher Labs 会负责任地披露问题,并致力于在合理的时间内解决所有问题。 |
Reporting process请将安全问题发送至 security-rancher@suse.com。 |
Announcements订阅 Rancher 公告论坛 以获取版本更新。 |
安全是 Rancher 全部功能的基础。Rancher 集成了全部主流认证工具和服务,并提供了企业级的 RBAC 功能,让你的 Kubernetes 集群更加安全。
本文介绍了安全相关的文档以及资源,让你的 Rancher 安装和下游 Kubernetes 集群更加安全。
SUSE® Security 与 Rancher 的集成
NeuVector 是一个开源的、以容器为中心的安全应用程序,现已集成到 Rancher 中。NeuVector 提供生产安全、DevOps 漏洞保护和容器防火墙等功能。请参阅 Rancher 文档 和 SUSE® Security 文档了解更多信息。
在 Kubernetes 集群上运行 Compliance 安全扫描
Rancher leverages kube-bench to run a security scan to check whether Kubernetes is deployed according to security best practices.
When Rancher runs a Compliance scan on a cluster, it generates a report showing the results of each test, including a summary with the number of passed, skipped and failed tests. The report also includes remediation steps for any failed tests.
有关详细信息,请参阅安全扫描。
SELinux RPM
We provide three RPMs (RPM Package Manager) that enable Rancher products to function properly on SELinux-enforcing hosts: rancher-selinux, rke2-selinux and k3s-selinux. For details, see this page.
Rancher 加固指南
Rancher 加固指南基于 CIS Kubernetes Benchmark。
加固指南为加固 Rancher 的生产安装提供了说明性指导。有关安全管控的完整列表,请参阅 Rancher 的 CIS Kubernetes Benchmark 自我评估指南。
加固指南描述了如何保护集群中的节点,建议在安装 Kubernetes 之前参考加固指南中的步骤。
每个加固指南版本都针对特定的 CIS Kubernetes Benchmark、Kubernetes 和 Rancher 版本。
CIS Benchmark 和自我评估
Benchmark 自我评估是 Rancher 安全加固指南的辅助。加固指南展示了如何加固集群,而 Benchmark 指南旨在帮助你评估加固集群的安全级别。
This guide walks through the various controls and provide updated example commands to audit compliance in Rancher created clusters. The original benchmark documents can be downloaded from the CIS website.
Rancher 自我评估指南的每个版本都对应于强化指南、Rancher、Kubernetes 和 CIS Benchmark 的特定版本。
第三方渗透测试报告
Rancher 会定期聘请第三方对 Rancher 软件栈进行安全审计和渗透测试。被测环境遵循 Rancher 在测试时提供的强化指南。以前的渗透测试报告如下。
结果:
请注意,新报告不再共享或公开发布。
Rancher 安全公告和 CVE
Rancher 致力于向社区通报我们产品中的安全问题。有关我们已解决的问题的 CVE(常见漏洞和暴露)列表,请参阅此页。
Kubernetes 安全最佳实践
For recommendations on securing your Kubernetes cluster, refer to the Kubernetes Cluster Security Best Practices guide.
Rancher 安全最佳实践
有关保护 Rancher Manager 部署的建议,请参阅 Rancher 安全最佳实践指南。
Rancher Kubernetes Distributions (K3s/RKE2) Self-Assessment and Hardening Guides
Rancher uses the following Kubernetes distributions:
-
RKE2 is a fully conformant Kubernetes distribution that focuses on security and compliance within the U.S. Federal Government sector.
-
K3s is a fully conformant, lightweight Kubernetes distribution. It is easy to install, with half the memory requirement of upstream Kubernetes, all in a binary of less than 100 MB.
To harden a Kubernetes cluster that’s running a distribution other than those listed, refer to your Kubernetes provider’s docs.
Hardening Guides and Benchmark Versions
Each self-assessment guide is accompanied by a hardening guide. These guides were tested alongside the listed Rancher releases. Each self-assessment guide was tested on a specific Kubernetes version and CIS benchmark version. If a CIS benchmark has not been validated for your Kubernetes version, you can use the existing guides until a guide for your version is added.