一键运行CIS安全扫描，集群安全无忧( 二 ) _CIS安全扫描

文章插图

文章插图

复制以上命令并运行在VM实例上

[root@rancher-rke ~]# **sudo docker run -d --privileged --restart=unless-stopped --net=host -v /etc/kubernetes:/etc/kubernetes -v /var/run:/var/run rancher/rancher-agent:v2.4.0-rc3 --server https://185.136.233.195 --token** hwpf4kpjf49gk9wq5xvw7gdjxtj257j8wmnn5rj6lb98csz2zmkcgq --ca-checksum 3f9640ab12533287fd5e0ad1663cccf354a4ce2a76243cd6735abcfb085bdbf2 --etcd --controlplane --workerUnable to find image 'rancher/rancher-agent:v2.4.0-rc3' locallyTrying to pull repository docker.io/rancher/rancher-agent ...v2.4.0-rc3: Pulling from docker.io/rancher/rancher-agent423ae2b273f4: Already existsde83a2304fa1: Already existsf9a83bce3af0: Already existsb6b53be908de: Already exists931af2228ddf: Pull complete94b51e50d654: Pull complete7e7961efe32b: Pull complete85725dc92c8d: Pull complete5a82c6e509a6: Pull complete3b675e73aee3: Pull completeDigest: sha256:89017bd846a8cc597186f41eb17cfe1520aa0f7e6d86b48d8c32a5490c588f1eStatus: Downloaded newer image for docker.io/rancher/rancher-agent:v2.4.0-rc35aaa9fab48db4557c84b7ce0c61816384075570ed3e593446795bf8443610b64

在Rancher UI中导入集群，我们可以看到集群的状态为active：

文章插图

现在点击集群，并从【工具】菜单栏中，选择CIS安全扫描。

文章插图

文章插图

当前CIS安全扫描仅针对RKE集群，有两个扫描配置文件：宽松（Permissive）和严格（Hardened）。

Permissive（宽松）：该配置文件具有一组将被跳过的测试，因为它们对于刚开始使用Kubernetes的用户来说没有必要。
Hardened（严格）：此配置文件不会跳过任何测试。该配置针对高阶用户以及安全专家。

对于每种配置类型，其中一些测试会被标记为不适用，因为它们不适用于RKE集群。

现在我们选择“宽松”配置文件并运行扫描。结果是所有标准RKE集群都通过。

文章插图

为了看到更多关于测试执行的细节，点击该测试，然后就能显示整个测试列表，包含失败/跳过/通过的信息。

文章插图

现在，我们使用“严格”配置文件来执行相同的测试，我们将会看到上次跳过的测试失败。

文章插图

如你所见，根据CIS基准测试，失败的结果提供了描述以及补救步骤。这十分有效，因为你不仅可以根据CIS基准了解集群中哪些东西会崩溃，而且还可以根据建议来修复集群。

加强集群安全性的后续步骤
尽管一键单击就能运行CIS安全扫描，但是能够自动化执行则更好。也可以在Rancher中进行配置。定期进行安全扫描可以让你高枕无忧，也是团队的一针定心剂。如果集群中的确出现了某些不合规的情况，你也能够更快找到它。

现在，如果集群中出现某些不合规的情况怎么办？解决方案很简单：查看Rancher安全加固指南（https://rancher2.docs.rancher.cn/docs/security/hardening-2.3.5/_index）。本指南提供了特定于Rancher的步骤，以使你的集群符合每个CIS检查的要求。Rancher世界一流的支持团队也精通于解决此类问题，十分欢迎你购买我们的订阅服务，详情请添加小助手（微信号：rancher3）咨询。

【一键运行CIS安全扫描，集群安全无忧】