Neste documento, descrevemos o nível de conformidade que os clusters do Anthos no VMware (GKE On-Prem) têm com o comparativo de mercado do Ubuntu da CIS.
Versões
Este documento se refere a estas versões:
| Versão Anthos | Versão do Ubuntu | Versão do comparativo de mercado do Ubuntu da CIS | Nível da CIS |
|---|---|---|---|
| 1.7.2 | 18.04 LTS | v2.0.1 | Servidor de nível 1 |
Como acessar o comparativo de mercado
O comparativo de mercado do Ubuntu da CIS está disponível no site da CIS:
Perfil de configuração
No documento do comparativo de mercado do Ubuntu da CIS, é possível ler sobre os perfis de configuração. As imagens do Ubuntu usadas pelos clusters do Anthos no VMware são protegidas para atender ao perfil Nível 1 - servidor.
Avaliação em clusters do Anthos no VMware
Usamos os seguintes valores para especificar o status das recomendações do Ubuntu nos clusters do Anthos no VMware:
| Status | Descrição |
|---|---|
| Pass | Está em conformidade com uma recomendação do comparativo de mercado. |
| Reprovado | Não está em conformidade com uma recomendação do comparativo de mercado. |
| Controle equivalente | Não está em conformidade com os termos exatos de uma recomendação de comparativo de mercado, mas outros mecanismos nos clusters do Anthos no VMware fornecem controles de segurança equivalentes. |
| Depende do ambiente | Os clusters do Anthos no VMware não configuram itens relacionados a uma recomendação de comparativo de mercado. A configuração determina se o ambiente está em conformidade com a recomendação. |
Status dos clusters do Anthos no VMware
As imagens do Ubuntu usadas com clusters do Anthos no VMware são protegidas para atender ao perfil da CIS Nível 1: servidor. A tabela a seguir fornece justificativas para o motivo de os clusters do Anthos nos componentes do VMware não aprovarem determinadas recomendações.
| # | Recomendação | Pontuou/Não pontuou | Status | Justificativa | Componentes afetados |
|---|---|---|---|---|---|
| 1.1.2 | Verifique se /tmp está configurado. | Pontuou | Reprovado | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 1.1.21 | Certifique-se de que o bit fixo esteja definido em todos os diretórios graváveis globalmente | Pontuou | Reprovado | Isso pode interferir na funcionalidade do Anthos e dos serviços dele e não é ativado por padrão. | Todos os nós do cluster, estação de trabalho do administrador |
| 1.5.1 | Verifique se as permissões na configuração do carregador de inicialização estão definidas | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
| 1.5.2 | Verifique se a senha do carregador de inicialização está definida | Pontuou | Depende do ambiente | Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 1.5.3 | Certifique-se de que o modo de usuário único seja autenticado | Pontuou | Depende do ambiente | Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 1.8.1.2 | Certifique-se de que o banner de aviso de login local esteja configurado corretamente | Pontuou | Controle equivalente | O Anthos também aplica o aumento da proteção do DISA-STIG aos nós, o que atualiza o banner de aviso corretamente. | Todos os nós do cluster |
| 3.1.2 | Verifique se o encaminhamento de IP está desativado | Pontuou | Reprovado | O encaminhamento de IP é necessário para que o Kubernetes (GKE) funcione e encaminhe o tráfego corretamente | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 3.2.7 | Verifique se a filtragem de caminho reverso está ativada | Pontuou | Depende do ambiente | O roteamento assíncrono e a origem do caminho reverso são um requisito para o balanceamento de carga do cluster. | Seesaw |
| 3.5.2.5 | Verifique se existem regras de firewall para todas as portas abertas | Não pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 3.5.4.1.1 | Certifique-se de que a política de firewall de negação padrão | Pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. | Todos os nós de cluster, a estação de trabalho do administrador e o Seesaw |
| 3.5.4.1.2 | Verifique se o tráfego de loopback está configurado | Pontuou | Depende do ambiente | O uso da interface de loopback é limitado devido à funcionalidade de balanceamento de carga usada. | Seesaw |
| 3.5.4.2.1 | Certifique-se de que a política de firewall de negação padrão IPv6 | Pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. Além disso, o Anthos não tem requisitos para IPv6 compatível com GA. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 3.5.4.2.2 | Verifique se o tráfego de loopback do IPv6 está configurado | Pontuou | Depende do ambiente | O Anthos não tem requisitos para IPv6 de acordo com o suporte do GA. | Plano de controle de administrador, Seesaw |
| 4.2.1.5 | Verificar se o rsyslog está configurado para enviar registros a um host de registro remoto | Pontuou | Depende do ambiente | O Anthos no VMWare atualmente coleta todos os registros gravados (dos serviços do sistema). Eles podem ser vistos em "k8s_node". | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 4.2.3 | Verifique se as permissões em todos os arquivos de registro estão configuradas | Pontuou | Reprovado | Esse teste específico é muito restritivo e pouco realista, porque muitos serviços podem exigir que um grupo grave arquivos de registros. Este item pode ser removido em um comparativo de mercado futuro. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 5.2.12 | Verifique se o SSH PermitUserEnvironment está desativado | Pontuou | Reprovado | Essa configuração entra em conflito com as configurações de aumento da proteção DISA-STAG. | Todos os nós do cluster |
| 5.2.13 | Verifique se apenas criptografias fortes são usadas | Pontuou | Controle equivalente | A aplicação de DISA-STAG usa uma lista alternativa de criptografias compatíveis que não estão alinhadas individualmente com as usadas por este comparativo de mercado | Todos os nós do cluster |
| 5.2.18 | Verifique se o acesso SSH está limitado | Pontuou | Depende do ambiente | Isso não é configurado por padrão. Ele pode ser configurado para atender aos seus requisitos específicos. | Todos os nós de cluster, estação de trabalho do administrador | Seesaw | |
| 5.2.19 | Verifique se o banner de aviso SSH está configurado | Pontuou | Controle equivalente | O banner de aviso SSH é modificado pelo aplicativo da configuração de aumento da proteção dist-STAG | Todos os nós do cluster |
| 6.1.6 | Verifique se as permissões em /etc/passwd estão configuradas | Pontuou | Reprovado | Esse teste específico é muito restritivo e está sendo atualizado pela Canonical (link). | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
| 6.1.10 | Verifique se não há arquivos graváveis mundiais | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
| 6.1.11 | Verifique se não há arquivos ou diretórios não proprietários | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
| 6.1.12 | Verifique se não há arquivos ou diretórios desagrupados | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
| 6.2.10 | Verifique se os arquivos dos pontos dos usuários não são graváveis ou agrupados | Pontuou | Reprovado | As configurações padrão do Ubuntu aceitam permissões do grupo de arquivos de ponto devido à compatibilidade | Estação de trabalho do administrador |