Соответствие рекомендациям CIS Benchmark

Зона ответственности: Printum + Заказчик / Интегратор

Коротко: Printum реализует ряд рекомендаций CIS Benchmark для контейнерных сред, включая использование непривилегированных пользователей, удаление SUID/SGID-файлов, применение профилей безопасности SELinux и отказ от хранения секретов внутри контейнерных образов.

Требование

Контейнерная платформа должна соответствовать рекомендациям по безопасной настройке и эксплуатации контейнерных сред.

Рекомендации CIS Benchmark направлены на снижение рисков компрометации контейнеров, ограничения привилегий процессов и обеспечение безопасного развёртывания приложений.

Как это реализовано в Printum

В составе контейнерной платформы Printum реализованы следующие меры безопасности:

• использование непривилегированных пользователей внутри контейнеров;
• отказ от запуска контейнеров в privileged-режиме;
• отсутствие дополнительных Linux capabilities через cap_add;
• удаление SUID/SGID-файлов и утилит повышения привилегий;
• применение профилей безопасности SELinux;
• отсутствие встроенных секретов, паролей и токенов в контейнерных образах;
• использование фиксированных версий контейнерных образов.

Подробная информация приведена в соответствующих статьях раздела «Контейнеры».

Что требуется от инфраструктуры

Часть рекомендаций CIS Benchmark относится к настройке контейнерной платформы и инфраструктуры заказчика.

К таким настройкам относятся:

• параметры контейнерного рантайма;
• ограничения CPU и памяти;
• использование read-only файловых систем контейнеров;
• аудит операционной системы;
• сканирование контейнерных образов;
• настройки оркестратора контейнеров.

Настройка указанных механизмов выполняется администраторами инфраструктуры заказчика.