CIS 发布 Red Hat OpenShift Virtualization 硬化指南

Source: Red Hat Blog

概述

互联网安全中心®（CIS®） 已正式发布针对 Red Hat OpenShift Virtualization 的加固指南。

全新的 CIS 基准® for Red Hat OpenShift Virtualization 对于同时运行传统虚拟机（VM）和现代容器的组织而言是一次重要的进展。OpenShift Virtualization 作为 Red Hat OpenShift 的一项功能，允许现有基于 VM 的工作负载直接在平台上运行。该全球公认、共识驱动的基准提供了针对这些环境的安全‑聚焦配置建议。

CIS 是什么以及什么是 CIS 基准？

CIS 是一个社区驱动的非营利组织，旨在通过制定和推广最佳实践方案，使企业、政府和个人的“互联世界更安全”。

CIS 基准是一项核心解决方案：一套全球认可的最佳实践，用于帮助保护操作系统（OS）、服务器及其他技术。基准由全球 IT 专业人士社区开发和维护，提供创建安全聚焦配置基线的规定性指令。全新的 OpenShift Virtualization 基准是基于 OpenShift Virtualization Hardening Guide 编写的。

关键安全优化

CIS 基准提供了详细的建议，通过以下四个关键优化领域来加强安全姿态：

• 从底层加固平台 – 对 GPU 和 USB 直通进行受限，仅允许批准的设备，并禁用非必要的功能门。
• 在每一层控制工作负载 – 细粒度控制，例如限制 exec 和虚拟网络计算（VNC）访问仅限批准的管理员，并禁用诸如客体内存超额分配等功能。
• 分段并保护网络流量 – 使用虚拟局域网（VLAN）等网络控制来隔离租户或应用流量，并应用 MAC 欺骗过滤。
• 保障存储中的数据完整性 – 将安全策略延伸至存储层，建议限制跨命名空间的数据卷克隆并禁用不必要的共享磁盘。

实施方法

实施此基准更多的是进行简单的验证，而非复杂的重新配置。由于 OpenShift Virtualization 在设计时已具备最大化的开箱即用安全控制，您很可能已经拥有大部分这些防护措施。基准提供的规定性指导可帮助您审计环境。

要开始，请将当前设置与 OpenShift Virtualization Hardening Guide 对照，确保标准安全设置未被更改。

获取 CIS 基准

通过实施 OpenShift Virtualization 的 CIS 基准，贵组织可以在混合云平台上对工作负载实施一致的安全能力，保护容器化和虚拟化的应用程序。

要查看完整的建议列表并下载 CIS 基准，请访问官方 CIS 基准 页面。