Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Требования стандарта CIS Benchmark™ для Kubernetes

Статья создана
Обновлена 13 апреля 2026 г.

Примечание

Функциональность находится на стадии Preview.

Этот набор правил содержит рекомендации стандарта CIS Kubernetes Benchmark, помогающие обеспечить безопасную работу компонентов, запущенных на узлах Kubernetes.

Набор содержит только автоматические проверки, соответствующие разделу 4. Worker Nodes:

Правило Требование стандарта безопасности Идентификатор проверки
Установлены строгие разрешения для файла службы Kubelet 4.1.1 Установлены строгие разрешения для файла службы Kubelet kspm.host-security.kubelet-service-file-perm-600
Владелец файла службы Kubelet указан как root:root 4.1.2 Владелец файла службы Kubelet указан как root:root kspm.host-security.kubelet-service-file-owner-root
Установлены строгие разрешения для файла конфигурации kubeconfig 4.1.5 Установлены строгие разрешения для файла --kubeconfig kubelet.conf kspm.host-security.kubelet-conf-600
Владелец файла конфигурации kubeconfig указан как root:root 4.1.6 Владелец файла --kubeconfig kubelet.conf указан как root:root kspm.host-security.kubelet-conf-owner-root
Установлены строгие разрешения для файла конфигурации Kubelet 4.1.9 Установлены строгие разрешения для файла конфигурации Kubelet config.yaml kspm.host-security.kubelet-config-permissions-600
Владелец файла конфигурации Kubelet указан как root:root 4.1.10 Владелец файла конфигурации Kubelet config.yaml указан как root:root kspm.host-security.kubelet-config-owner-root
Отключены запросы от анонимных пользователей к серверу Kubelet 4.2.1 Аргумент --anonymous-auth установлен в значение false kspm.host-security.anonymous-auth-false
Разрешены только явно авторизованные запросы к серверу Kubelet 4.2.2 Аргумент --authorization-mode не установлен в значение AlwaysAllow kspm.host-security.auth-mode-not-always-allow
Включена аутентификация Kubelet с использованием сертификатов 4.2.3 Аргумент --client-ca-file установлен в правильное расположение kspm.host-security.client-ca-file-set
Kubelet разрешено управлять iptables 4.2.6 Аргумент --make-iptables-util-chains установлен в значение true kspm.host-security.make-iptables-util-chains-true
Включена ротация клиентских сертификатов Kubelet 4.2.10 Аргумент --rotate-certificates не установлен в false kspm.host-security.rotate-certs-not-false
Предыдущая
Стандарт по защите облачной инфраструктуры Yandex Cloud
Следующая
Стандарт по защите персональных данных пользователей Yandex Cloud