Versión 1.7. Esta versión es compatible como se describe en la política de asistencia de la versión de Anthos, que ofrece los últimos parches y actualizaciones de vulnerabilidades de seguridad, exposiciones y problemas que afectan a los clústeres de Anthos alojados en VMware (GKE On-Prem). Consulta las notas de la versión para obtener más detalles. Esta no es la versión más reciente.

Comparativas de CIS para Ubuntu

En este documento, se describe el nivel de cumplimiento que tienen los clústeres de Anthos en VMware (GKE On-Prem) con la comparativa de CIS para Ubuntu.

Versiones

En este documento, se hace referencia a las siguientes versiones:

Versión de Anthos Versión de Ubuntu Versión de la comparativa de CIS para Ubuntu Nivel de CIS
1.7.2 18.04 LTS v2.0.1 Servidor de nivel 1

Accede a la comparativa

La comparativa de CIS para Ubuntu está disponible en el sitio web de CIS.

Perfil de configuración

En el documento de la comparativa de CIS para Ubuntu, puedes leer sobre los perfiles de configuración. Las imágenes de Ubuntu que usan los clústeres de Anthos alojados en VMware se endurecen para cumplir con el perfil del servidor de nivel 1.

Evaluación en clústeres de Anthos alojados en VMware

Usamos los siguientes valores para especificar el estado de las recomendaciones de Ubuntu en clústeres de Anthos alojados en VMware:

Estado Descripción
Pass Cumple con una recomendación de comparativa.
Reprobadas No cumple con una recomendación de comparativa.
Control equivalente No cumple con los términos exactos de una recomendación de comparativa, pero otros mecanismos en los clústeres de Anthos alojados en VMware proporcionan controles de seguridad equivalentes.
Depende del entorno Los clústeres de Anthos alojados en VMware no configuran elementos relacionados con una recomendación de comparativa. Tu configuración determina si tu entorno cumple con la recomendación.

Estado de los clústeres de Anthos alojados en VMware

Las imágenes de Ubuntu que se usan con los clústeres de Anthos alojados en VMware se endurecen para cumplir con el perfil del servidor de nivel 1 de CIS. En la siguiente tabla, se proporcionan justificaciones sobre por qué los componentes de los clústeres de Anthos alojados en VMware no aprobaron ciertas recomendaciones.

# Recomendación Con puntuación/Sin puntuación Estado Justificación Componentes afectados
1.1.2 Asegúrate de que /tmp esté configurado Puntuados Reprobadas En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
1.1.21 Asegúrate de que el bit persistente esté configurado en todos los directorios que admiten escritura pública Puntuados Reprobadas Esto podría interferir con la funcionalidad de Anthos y sus servicios, y no está habilitado de forma predeterminada Todos los nodos del clúster, la estación de trabajo de administrador
1.5.1 Asegúrate de que los permisos en la configuración del bootloader estén configurados Puntuados Reprobadas Los permisos se dejaron como predeterminados. Todos los nodos del clúster
1.5.2 Asegúrate de que la contraseña de bootloader esté configurada Puntuados Depende del entorno No se configuró una contraseña raíz en las imágenes de Ubuntu en la nube. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
1.5.3 Asegúrate de que se requiera la autenticación para el modo de usuario único Puntuados Depende del entorno No se configuró una contraseña raíz en las imágenes de Ubuntu en la nube. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
1.8.1.2 Asegúrate de que el banner de advertencia de acceso local esté configurado correctamente Puntuados Control equivalente Anthos también aplica el endurecimiento DISA-STIG a los nodos, lo que actualiza el banner de advertencia según corresponda Todos los nodos del clúster
3.1.2 Asegúrate de que el reenvío de IP esté inhabilitado Puntuados Reprobadas El reenvío de IP es necesario para que Kubernetes (GKE) funcione y enrute el tráfico de forma correcta Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
3.2.7 Asegúrate de que el filtrado de ruta de acceso inversa esté habilitado. Puntuados Depende del entorno El enrutamiento asíncrono y el origen de la ruta de acceso inversa son requisitos para entregar el balanceo de cargas del clúster Seesaw
3.5.2.5 Asegúrate de que las reglas de firewall existan para todos los puertos abiertos Sin puntuación Depende del entorno Se recomienda que Anthos en VMware se implemente en una red privada con las protecciones de firewall adecuadas. Puedes encontrar las reglas de firewall necesarias aquí. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
3.5.4.1.1 Asegúrate de tener una política de denegación de firewall predeterminada Puntuados Depende del entorno Se recomienda que Anthos en VMware se implemente en una red privada con las protecciones de firewall adecuadas. Puedes encontrar las reglas de firewall necesarias aquí. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
3.5.4.1.2 Asegúrate de que el tráfico de bucle invertido esté configurado Puntuados Depende del entorno La utilización de la interfaz de bucle invertido se limita dada la funcionalidad de balanceo de cargas que se usa. Seesaw
3.5.4.2.1 Asegúrate de que la política de denegación de firewall de IPv6 sea predeterminada Puntuados Depende del entorno Se recomienda que Anthos en VMware se implemente en una red privada con las protecciones de firewall adecuadas. Puedes encontrar las reglas de firewall necesarias aquí. Además, Anthos no tiene requisitos para IPv6 compatible con GA. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
3.5.4.2.2 Asegúrate de que el tráfico de bucle invertido de IPv6 esté configurado Puntuados Depende del entorno Anthos no tiene requisitos para IPv6 compatible con GA. Plano de control del administrador, Seesaw
4.2.1.5 Asegúrate de que rsyslog esté configurado para enviar registros a un host de registro remoto Puntuados Depende del entorno Por el momento, Anthos en VMWare recopila todos los registros de journald (de los servicios del sistema). Estos podrán ver los registros en “k8s_node” Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
4.2.3 Asegúrate de que los permisos de todos los archivos de registro estén configurados Puntuados Reprobadas Esta prueba específica es demasiado restrictiva y poco realista, ya que muchos servicios pueden requerir que un grupo escriba archivos de registro. Es posible que se quite este elemento en una comparativa futura. Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
5.2.12 Asegúrate de que SSH PermitUserEnvironment esté inhabilitado Puntuados Reprobadas Esta configuración entra en conflicto con la configuración de endurecimiento de DISA-STAG. Todos los nodos del clúster
5.2.13 Asegúrate de que solo se usen algoritmos de cifrado sólidos Puntuados Control equivalente La aplicación de DISA-STAG usa una lista alternativa de algoritmos de cifrado compatibles que no se alinean 1:1 con los que usa esta comparativa Todos los nodos del clúster
5.2.18 Asegúrate de que el acceso SSH sea limitado Puntuados Depende del entorno No se configura de forma predeterminada. Puede configurarse para cumplir con los requisitos específicos. Todos los nodos del clúster, la estación de trabajo de administrador | Seesaw |
5.2.19 Asegúrate de que el banner de advertencia de SSH esté configurado Puntuados Control equivalente La aplicación de la configuración de endurecimiento de DIST-STAG modifica el banner de advertencia de SSH Todos los nodos del clúster
6.1.6 Asegúrate de que los permisos en /etc/passwd estén configurados Puntuados Reprobadas Esta prueba específica es demasiado restrictiva y Canonical la está actualizando (vínculo). Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw
6.1.10 Asegúrate de que no existan archivos que admitan la escritura pública Puntuados Reprobadas Los permisos se dejaron como predeterminados. Todos los nodos del clúster
6.1.11 Asegúrate de que no existan archivos ni directorios sin propietario Puntuados Reprobadas Los permisos se dejaron como predeterminados. Todos los nodos del clúster
6.1.12 Asegúrate de que no existan archivos ni directorios no agrupados Puntuados Reprobadas Los permisos se dejaron como predeterminados. Todos los nodos del clúster
6.2.10 Asegúrate de que los dotfiles de los usuarios no admitan la escritura grupal ni pública Puntuados Reprobadas La configuración predeterminada para Ubuntu permite los permisos de grupos de dotfiles debido a la compatibilidad Estación de trabajo de administrador