我的书签
添加书签
移除书签安全策略:Rancher Labs 会对安全漏洞及时做出响应,并努力在合理的时间内解决所有问题。
漏洞报告流程:如果您发现了疑似安全漏洞,请发送邮件到security@rancher.com,提交问题。为了帮助我们更快地定位和复现问题,请尽可能详细地描述您发现的疑似问题,包括使用环境、Rancher 版本、Kubernetes 版本的等信息。
漏洞公布:请订阅获取发布信息。
我们提供了安全相关的文档,以及帮助您安全加固 Rancher Server 和下游 Kubernetes 集群的相关资料:
从 v2.4.0 版本起可用
Rancher 充分利用了来对 Kubernetes 集群进行安全扫描。Rancher 会检查 Kubernetes 集群是否遵循了 CIS (Center for Internet Security,互联网安全中心) Kubernetes Benchmark 中定义的最佳实践。
CIS Kubernetes Benchmark 是一个可以用来给 Kubernetes 创建安全基准的参考文档。
CIS 基准测试是安全配置目标系统的最佳实践。CIS 基准是通过领域专家,技术供应商,公共和私人社区成员以及 CIS 基准开发团队的不懈努力而制定的。
基准提供两种类型的建议:计分和不记分。我们仅运行与“计分建议”相关的测试。
当 Rancher 对一个集群进行 CIS 安全扫描时,它会生成一个展示每个测试结果的报告。报告中包括,和的测试数量的汇总。报告中同时也给的测试提供了补救办法。
更多详情,请参阅安全扫描文档。
Rancher 安全加固指南
Rancher 的安全加固指南是根据 CIS(互联网安全中心)发布的中的最佳实践来建立的。
这个指南提供了用来加固生产环境 Rancher 2.1,2.2 和 2.3 部署的指引。请通过查看 Rancher 的CIS Kubernetes 安全标准自测指南来获取全部的安全管控清单。
安全标准自测指南是对 Rancher 安全加固指南的补充。加固指南向您展示了如何加固集群的安全,而安全标准指南旨在帮助您评估加固后的集群的安全级别。
因为 Rancher 和 RKE 会通过 Docker 容器的形式安装 Kubernetes 服务,所以很多 CIS Kubernetes Benchmark 中的很多安全管控检查点并不适用。这个指南将逐步介绍各种管控,并提供示例命令以审核 Rancher 创建的集群的合规性。您可以通过下载原始的安全标准文档。
每个版本的自测指南都是针对特定版本的加固指南,特定版本的 Kubernetes,特定版本的 Rancher 和特定版本的 CIS Kubernetes 安全标准进行的:
| 自测指南版本 | Rancher 版本 | 加固指南版本 | Kubernetes 版本 | CIS 安全标准版本 |
|---|---|---|---|---|
| 自测指南 v2.4 | Rancher v2.4 | 加固指南 v2.4 | Kubernetes v1.15 | 安全标准 v1.5.0 |
| Rancher v2.3.5 | 加固指南 v2.3.5 | Kubernetes v1.15 | 安全标准 v1.5.0 | |
| 自测指南 v2.3.3 | Rancher v2.3.3 | 加固指南 v2.3.3 | Kubernetes v1.16 | 安全标准 v1.4.1 |
| Rancher v2.3.0-2.3.2 | 加固指南 v2.3 | Kubernetes v1.15 | 安全标准 v1.4.1 | |
| 自测指南 v2.2 | Rancher v2.2.x | 加固指南 v2.2 | Kubernetes v1.13 | 安全标准 v1.4.0 和 v1.4.1 |
| Rancher v2.1.x | 加固指南 v2.1 | Kubernetes v1.11 | 安全标准 1.3.0 |
第三方安全测试报告
Rancher 周期性的雇佣第三方对 Rancher 2.x 版本软件进行安全审核和漏洞检测。在安全测试中使用的环境,是按照 Rancher 提供的加固指南部署的。测试报告会在第三方确认我们已经修复了测试中发现的中级或以上级别的安全漏洞后公布。
测试结果:
Rancher 致力于向社区披露我们产品的安全问题。Rancher 将对修复的问题通过发布 CVEs(通用漏洞披露,Common Vulnerabilities and Exposures)通知社区,详情请查看。
安全建议和最佳实践
我们的最佳实践建议包含了基本的提升 Rancher 安全的建议。
