CIS Benchmark 为 Red Hat OpenShift Container Platform v4
基准(由 CIS 互联网安全中心制定)是一套最佳实践指南,旨在帮助安全从业人员实施和维护网络安全防御体系。
CIS 基准测试 Red Hat OpenShift Container Platform
该文档 CIS BenchmarkKubernetes 包含针对的配置 Red Hat OpenShift Container Platformv4 指南。
该工具 OpenShift Compliance Operator 运行扫描并为合规性问题提供修复策略。 该 OpenShift Compliance Operator 基准 CISRed Hat OpenShift Container Platform 包含以下配置文件:
ocp4-cisocp4-cis-node
该 IBM® Software Hubcontrol plane 以及许多服务都针对这些配置文件进行了测试。
以下各节中的合规性声明均假设您已拥有一个经过强化处理的集群。 具体而言,您已完成以下任务:
- 安装 OpenShift Compliance Operator.
- 运行随附的控制 CIS 测试 OpenShift Compliance Operator。
- 调整集群配置以解决已发现的问题。
以下各节中的信息指明了您需要允许的任何例外情况,以便在您的集群 IBM Software Hub 上安装。
集群范围组件
集群范围组件在集群上仅安装一次。
| 软件 | 自动化控制测试 | 手动控制测试 | 间隔 |
|---|---|---|---|
| IBM Certificate manager | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| License Service | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| Scheduling service | 所有检查均通过 | 部分 |
|
必需组件
下表所示的软件随 IBM Software Hub 集群中的每个实例一同安装。
| 软件 | 自动化控制测试 | 手动控制测试 | 间隔 |
|---|---|---|---|
| IBM Cloud Pak foundational services | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| IBM Software Hub platform operator | 所有检查均通过 | 部分 |
|
| IBM Software Hub control plane | 所有检查均通过 | 部分 |
|
服务
您可以选择在实例中安装哪些 IBM Software Hub服务。
任何由 引入的违规行为都会 control planeIBM Software Hub 自动影响安装在 之上的服务 control plane。 本节中的声明说明了各项服务是否引入了额外的违规行为。
| 软件 | 自动化控制测试 | 手动控制测试 | 间隔 |
|---|---|---|---|
| AI Factsheets | 所有检查均通过 | 所有检查均通过 | |
| Analytics Engine powered by Apache Spark | 所有检查均通过 | 部分 |
|
| Cognos Analytics | 所有检查均通过 | 所有检查均通过 | |
| Cognos Dashboards | 此信息当前不可用。 | 此信息当前不可用。 | |
| Data Gate | 所有检查均通过 | 所有检查均通过 | |
| Data Privacy | 所有检查均通过 | 所有检查均通过 | |
| Data Product Hub | 此信息当前不可用。 | 此信息当前不可用。 | |
| Data Refinery | 所有检查均通过 | 所有检查均通过 | |
| Data Replication | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| DataStage | 所有检查均通过 | 所有检查均通过 | |
| Data Virtualization | 部分 | 部分 |
|
| Db2 | 部分 | 部分 |
|
| Db2 Big SQL | 部分 | 部分 |
|
| Db2 Data Management Console | 所有检查均通过 | 所有检查均通过 | |
| Db2 Warehouse | 部分 | 部分 |
|
| Decision Optimization | 所有检查均通过 | 所有检查均通过 | |
| EDB Postgres | 此信息当前不可用。 | 此信息当前不可用。 | |
| Execution Engine for Apache Hadoop | 所有检查均通过 | 部分 |
|
| IBM Knowledge Catalog | 部分 | 部分 |
|
| IBM Knowledge Catalog Premium | 此信息当前不可用。 | 此信息当前不可用。 | |
| IBM Knowledge Catalog Standard | 此信息当前不可用。 | 此信息当前不可用。 | |
| IBM Manta Data Lineage | 部分 |
|
|
| IBM Master Data Management | 所有检查均通过 | 所有检查均通过 | |
| IBM StreamSets | 此信息当前不可用。 | 此信息当前不可用。 | |
| Informix | 部分 | 部分 |
|
| MANTA Automated Data Lineage | 部分 | 此信息当前不可用。 |
|
| MongoDB | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| OpenPages | 所有检查均通过 | 所有检查均通过 | 使用外部数据库时,所有检查均通过。 若使用嵌入式 Db2 数据库,必须为以下合规问题设置例外:
|
| Orchestration Pipelines | 所有检查均通过 | 部分 |
|
| Planning Analytics | 所有检查均通过 | 所有检查均通过 | |
| Product Master | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| RStudio® Server Runtimes | 所有检查均通过 | 所有检查均通过 | |
| SPSS Modeler | 所有检查均通过 | 所有检查均通过 | |
| Synthetic Data Generator | 所有检查均通过 | 所有检查均通过 | |
| Voice Gateway | 此信息当前不可用。 | 此信息当前不可用。 | 此信息当前不可用。 |
| Watson Discovery | 此信息当前不可用。 | 所有检查均通过 | 此信息当前不可用。 |
| Watson Machine Learning | 所有检查均通过 | 部分 |
|
| Watson OpenScale | 所有检查均通过 | 所有检查均通过 | 使用外部数据库时,所有检查均通过。 若使用嵌入式 Db2 数据库,必须允许以下异常:
|
| Watson Speech services | 此信息当前不可用。 | 此信息当前不可用。 | |
| Watson Studio | 部分 | 部分 |
|
| Watson Studio Runtimes | 所有检查均通过 | 所有检查均通过 | |
| watsonx.ai™ | 所有检查均通过 | 所有检查均通过 | |
| watsonx Assistant | 部分 | 部分 | 此信息当前不可用。 |
| watsonx Code Assistant™ for Red Hat Ansible® Lightspeed | 所有检查均通过 | 所有检查均通过 | |
| watsonx Code Assistant for Z | 此信息当前不可用。 | 此信息当前不可用。 | |
| watsonx Code Assistant for Z Code Explanation | 此信息当前不可用。 | 此信息当前不可用。 | |
| watsonx.data™ | 所有检查均通过 | 此信息当前不可用。 | |
| watsonx.governance™ | 所有检查均通过 | 所有检查均通过 | |
| watsonx™ Orchestrate | 此信息当前不可用。 | 此信息当前不可用。 |
自动安装的依赖项
| 软件 | 自动化控制测试 | 手动控制测试 | 间隔 |
|---|---|---|---|
| Canvas | 所有检查均通过 | 所有检查均通过 | |
| Common core services | 部分 | 部分 |
|
| Db2 as a service | 部分 | 部分 |
|
| Db2U | 部分 | 部分 |
|
| watsonx Code Assistant Base | 所有检查均通过 | 所有检查均通过 |