Q-KXY CS001-2023 云原生安全配置基线规范

云计算开源产业联盟技术文件 Q/KXY CS001—2023 云原生安全配置基线规范 Cloud -native Security Configur ation Baseline Specification 2023 -07-25 发布 2023 -07-28 实施云计算开源产业联盟 Q/KXY Q/KXY CS00 1—2023 I 目次前言 ................................ ................................ ........ IV 1 范围 ................................ ................................ ............ 1 2 规范性引用文件 ................................ ................................ .. 1 3 术语、定义和缩略语 ................................ ............................... 1 3.1 术语和定义 ................................ ................................ .. 1 3.2 缩略语 ................................ ................................ ...... 1 4 框架概述 ................................ ................................ ........ 2 5 云原生安全配置基线要求 ................................ ........................... 2 5.1 API Server 安全配置要求 ................................ ........................ 2 5.1.1.文件目录安全 ................................ ............................... 2 5.1.2 身份认证和访问控制 ................................ ......................... 3 5.1.3 防止拒绝服务攻击 ................................ ........................... 4 5.1.4 防止信息泄露 ................................ ............................... 4 5.1.5 日志安全 ................................ ................................ .. 5 5.1.6 SSL/TLS 配置 ................................ ............................... 5 5.2 控制管理器安全配置要求 ................................ ......................... 5 5.2.1 文件目录安全 ................................ ............................... 5 5.2.2 身份认证和访问控制 ................................ ......................... 6 5.2.3 防止拒绝服务 ................................ ............................... 6 5.2.4 防止信息泄露 ................................ ............................... 6 5.3 调度器安全配置要求 ................................ ............................. 7 5.3.1 文件目录安全 ................................ ............................... 7 5.3.2 防止信息泄露 ................................ ............................... 7 5.4 etcd安全配置要求 ................................ .............................. 7 5.4.1 文件目录安全 ................................ ............................... 7 5.4.2 身份认证和访问控制 ................................ ......................... 8 5.4.3 SSL/TLS 配置 ................................ ............................... 8 5.5 kube -proxy安全配置要求 ................................ ........................ 8 5.5.1 文件目录安全 ................................ ............................... 8 5.6 Kubelet 安全配置要求 ................................ ........................... 8 5.6.1 文件目录安全 ................................ ............................... 8 5.6.2 身份认证和访问控制 ................................ ......................... 9 5.6.3 防止拒绝服务 ................................ ............................... 9 5.6.4 SSL/TLS 配置 ................................ ............................... 9 5.6.5 系统安全 ................................ ................................ ..10 5.7 工作负载安全配置要求 ................................ ........................... 10 Q/KXY CS00 1—2023 II 5.7.1 镜像安全 ................................ ................................ ..10 5.7.2 启动安全 ................................ ................................ ..11 5.7.3 身份认证和访问控制 ................................ ......................... 12 5.7.4 防止信息泄露 ................................ ............................... 12 5.7.5 资源配额 ................................ ................................ ..13 5.7.6 其他 ................................ ................................ ......13 5.8 CNI 插件和网络策略安全配置要求 ................................ ................ 13 5.8.1 文件目录安全 ................................ ............................... 13 5.8.2 网络策略安全配置 ................................ ........................... 14 附录 A（资料性附录）检查方法和修复方法 ....