Q/KXY 云计算开源产业联盟技术文件 Q/KXY CS001A2023 云原生安全配置基线规范 Cloud-native Security Configuration Baseline Specification 云计算开源 2023-07-25 发布 2023-07-28实施 云计算开源产业联盟 Q/KXY CS001—2023 目 次 前 言 IV 1范围. 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语. 4框架概述. 5云原生安全配置基线要求 5.1APIServer安全配置要求， 5.1.1.文件目录安全 2 5.1.2身份认证和访问控制 5.1.3防止拒绝服务攻击 5.1.4防止信息泄露 5.1.5日志安全 5.1.6SSL/TLS配置. 5.2控制管理器安全配置要求 5.2.1文件目录安全.. 5.2.2身份认证和访问控制 5.2.3防止拒绝服务 5.2.4防止信息泄露 5.3调度器安全配置要求 5.3.1文件目录安全 5.3.2防止信息泄露. 5.4etcd安全配置要求. 5.4.1文件目录安全， 5.4.2身份认证和访问控制 5.4.3SSL/TLS配置.. 5.5kube-proxy安全配置要求， 5.5.1文件目录安全 5.6Kubelet安全配置要求 5.6.1文件目录安全， 5.6.2身份认证和访问控制 5.6.3防止拒绝服务 5.6.4SSL/TLS配置. 9 5.6.5系统安全 10 5.7工作负载安全配置要求 10 Q/KXY CS001—2023 5.7.1镜像安全 10 5.7.2启动安全 11 5.7.3身份认证和访问控制. 12 5.7.4防止信息泄露 12 5.7.5资源配额. 13 5.7.6其他 13 5.8CNI插件和网络策略安全配置要求.... 13 5.8.1文件目录安全 13 5.8.2网络策略安全配置 14 附录A（资料性附录）检查方法和修复方法 15 A.1API Server安全配置. 15 A.1.1文件目录安全 15 A.1.2身份认证和访问控制 15 A.1.3防止拒绝服务攻击 19 A.1.4防止信息泄露 19 A.1.5日志安全.. 20 A.1.6SSL/TLS配置.. 21 A.2控制管理器安全配置 21 A.2.1文件目录安全 21 A.2.2身份认证和访问控制 22 A.2.3防止拒绝服务 23 A.2.4防止信息泄露 23 A.3调度器安全配置. 23 A.3.1文件目录安全 23 A.3.2防止信息泄露 24 A.4etcd安全配置... 24 A.4.1文件目录安全. 24 A.4.3SSL/TLS配置. 26 A.5kube-proxy安全配置 A.5.1文件目录安全 26 A.6kubelet安全配置... 27 A.6.1文件目录安全 27 A.6.2身份认证和访问控制 A.6.3防止拒绝服务 31 A.6.4SSL/TLS配置.. A.6.5系统安全. 32 A.7工作负载安全配置 A.7.1镜像安全 .. 33 A.7.2启动安全... 37 A.7.3身份认证和访问控制 41 A.7.4防止信息泄露 42 A.7.5资源配额 43 II