CIS Ubuntu 基准

本文档介绍了 Anthos clusters on VMware (GKE On-Prem) 与 CIS Ubuntu 基准的合规性级别。

版本

本文档涉及以下版本:

Anthos 版本 Ubuntu 版本 CIS Ubuntu 基准版本 CIS 级别
1.8.0 18.04 LTS v2.0.1 第 2 级服务器

访问基准

您可以通过 CIS 网站获取 CIS GKE 基准。

配置文件

在 CIS Ubuntu 基准文档中,您可以阅读配置文件。Anthos clusters on VMware 使用的 Ubuntu 映像经过了安全强化,符合 2 级 - 服务器配置文件。

Anthos Clusters on VMware 上的评估

我们使用以下值指定 Anthos clusters on VMware 中 Ubuntu 建议的状态。

状态 说明
通过 符合基准建议。
失败 不符合基准建议。
等效控制措施 不符合基准建议中的确切条款,但 Anthos clusters on VMware 中的其他机制可提供等效的安全控制措施。
取决于环境 Anthos clusters on VMware 不会配置与基准建议相关的项。您的配置决定了您的环境是否符合建议。

Anthos clusters on VMware 的状态

Anthos clusters on VMware 使用的 Ubuntu 映像经过了安全强化,符合 CIS 2 级 - 服务器配置文件。下表说明了 Anthos clusters on VMware 组件未通过某些建议的原因。

# 建议 计分/不计分 状态 理由 受影响的组件
1.1.2 确保已配置 /tmp 计分 失败 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.6 确保 /var 存在单独的分区 计分 将不会修复 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.7 确保 /var/tmp 存在单独的分区 计分 将不会修复 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.11 确保 /var/log 存在单独的分区 计分 将不会修复 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.12 确保 /var/log/audit 存在单独的分区 计分 将不会修复 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.13 确保 /home 存在单独的分区 计分 将不会修复 目前,Canonical 没有计划修改云映像分区。 所有集群节点、管理员工作站、Seesaw
1.1.21 确保在所有可写目录上设置了粘滞位 计分 失败 这可能会干扰 Anthos 及其服务的功能,并且默认处于停用状态 所有集群节点、管理员工作站
1.5.1 确保已配置引导加载程序配置的权限 计分 失败 将保留默认设置。 所有集群节点
1.5.2 确保已设置引导加载程序密码 计分 取决于环境 Ubuntu 云映像上未设置根密码。 所有集群节点、管理员工作站、Seesaw
1.5.3 确保单用户模式要求进行身份验证 计分 取决于环境 Ubuntu 云映像上未设置根密码。 所有集群节点、管理员工作站、Seesaw
1.8.1.2 确保已正确配置本地登录警告横幅 计分 等效控制措施 Anthos 还会对节点应用 DISA-STIG 安全强化,以相应地更新警告横幅 所有集群节点
3.1.2 确保已停用 IP 转发 计分 失败 必须具备 IP 转发功能,Kubernetes 才能 (GKE) 正常运行并路由流量 所有集群节点、管理员工作站、Seesaw
3.2.7 确保已启用反向路径过滤 计分 取决于环境 提供集群负载平衡需要异步路由和反向路径源 Seesaw
3.5.2.5 确保所有开放端口都存在防火墙规则 不计分 取决于环境 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 所有集群节点、管理员工作站、Seesaw
3.5.4.1.1 确保默认拒绝防火墙政策 计分 取决于环境 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 所有集群节点、管理员工作站、Seesaw
3.5.4.1.2 确保已配置环回流量 计分 取决于环境 环回接口使用量因使用的负载平衡功能而受到限制。 Seesaw
3.5.4.2.1 确保 IPv6 默认拒绝防火墙政策 计分 取决于环境 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 另外,Anthos 不需要在 GA 支持下使用 IPv6。 所有集群节点、管理员工作站、Seesaw
3.5.4.2.2 确保已配置 IPv6 环回流量 计分 取决于环境 Anthos 不需要在 GA 支持下使用 IPv6。 管理员控制层面、Seesaw
4.1.1.3 确保审核在启用 auditd 之前启动的流程 计分 失败 我们的构建流程存在一个已知问题,即,此情况会被标记为“已失败”,但其实是误报。我们将来会解决此问题。 所有集群节点、Seesaw
4.1.1.11 确保收集了特权命令的使用情况 计分 失败 某些二进制文件是在运行时安装的,因此需要采用运行时补救措施。 所有集群节点、管理员工作站、Seesaw
4.2.1.5 确保将 rsyslog 配置为将日志发送到远程日志主机 计分 取决于环境 Anthos on VMWare 目前从系统服务收集所有日志日志。这些可以查看“k8s_node”下的这些日志 所有集群节点、管理员工作站、Seesaw
4.2.3 确保已配置所有日志文件的权限 计分 失败 这种特定测试过于严格且不切实际,因为许多服务可能需要群组写入日志文件。此项目可能会从未来基准中移除。 所有集群节点、管理员工作站、Seesaw
5.2.12 确保已停用 SSH PermitUserEnvironment 计分 失败 此设置与 DISA-STIG 安全强化设置冲突。 所有集群节点
5.2.13 确保仅使用安全系数高的加密方式 计分 等效控制措施 DISA-STIG 的应用使用受支持加密方式的替代列表,该加密方式与此基准使用的加密方式不一一对应 所有集群节点
5.2.18 确保 SSH 访问受到限制 计分 取决于环境 默认情况下,系统不会进行此项配置。此项可配置为满足您的特定要求。 所有集群节点、管理员工作站、Seesaw
5.2.19 确保已配置 SSH 警告横幅 计分 等效控制措施 SSH 警告横幅通过应用 DISA-STIG 安全强化配置进行修改 所有集群节点
6.1.6 确保已配置 /etc/passwd 的权限 计分 失败 此特定测试过于严格,由 Canonical(链接)更新 所有集群节点、管理员工作站、Seesaw
6.1.10 确保不存在全局可写文件 计分 失败 将保留默认设置。 所有集群节点
6.1.11 确保不存在无主文件或目录 计分 失败 将保留默认设置。 所有集群节点
6.1.12 确保不存在未分组文件或目录 计分 失败 将保留默认设置。 所有集群节点
6.2.10 确保用户的 dot 文件不是群组或全局可写文件 计分 失败 由于兼容性,Ubuntu 的默认设置允许 dot 文件组权限 管理员工作站