Comparativo de mercado do Ubuntu da CIS

Neste documento, descrevemos o nível de conformidade que os clusters do Anthos no VMware (GKE On-Prem) têm com o comparativo de mercado do Ubuntu da CIS.

Versões

Este documento se refere a estas versões:

Versão Anthos Versão do Ubuntu Versão do comparativo de mercado do Ubuntu da CIS Nível da CIS
1.8.0 18.04 LTS v2.0.1 Servidor de nível 2

Acessar o comparativo de mercado

O comparativo de mercado do Ubuntu da CIS está disponível no site da CIS:

Perfil de configuração

No documento do comparativo de mercado do Ubuntu da CIS, é possível ler sobre os perfis de configuração. As imagens do Ubuntu usadas pelos clusters do Anthos no VMware são protegidas para atender ao perfil Nível 2 - servidor.

Avaliação em clusters do Anthos no VMware

Usamos os seguintes valores para especificar o status das recomendações do Ubuntu nos clusters do Anthos no VMware.

Status Descrição
Pass Está em conformidade com uma recomendação do comparativo de mercado.
Reprovado Não está em conformidade com uma recomendação do comparativo de mercado.
Controle equivalente Não está em conformidade com os termos exatos de uma recomendação de comparativo de mercado, mas outros mecanismos nos clusters do Anthos no VMware fornecem controles de segurança equivalentes.
Depende do ambiente Os clusters do Anthos no VMware não configuram itens relacionados a uma recomendação de comparativo de mercado. A configuração determina se o ambiente está em conformidade com a recomendação.

Status dos clusters do Anthos no VMware

As imagens do Ubuntu usadas com clusters do Anthos no VMware são protegidas para atender ao perfil da CIS Nível 2 - Servidor. A tabela a seguir fornece justificativas para o motivo de os clusters do Anthos nos componentes do VMware não aprovarem determinadas recomendações.

# Recomendação Pontuou/Não pontuou Status Justificativa Componentes afetados
1.1.2 Verifique se /tmp está configurado. Pontuou Reprovado A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.6 Verifique se há uma partição separada para /var Pontuou Não corrigir A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.7 Verifique se há uma partição separada para /var/tmp Pontuou Não corrigir A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.11 Verifique se há uma partição separada para /var/log Pontuou Não corrigir A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.12 Verifique se há uma partição separada para /var/log/audit Pontuou Não corrigir A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.13 Verifique se existe uma partição separada para /home Pontuou Não corrigir A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.1.21 Certifique-se de que o bit fixo esteja definido em todos os diretórios graváveis globalmente Pontuou Reprovado Isso pode interferir na funcionalidade do Anthos e dos serviços dele e não é ativado por padrão. Todos os nós do cluster, estação de trabalho do administrador
1.5.1 Verifique se as permissões na configuração do carregador de inicialização estão definidas Pontuou Reprovado As permissões foram mantidas como padrão. Todos os nós do cluster
1.5.2 Verifique se a senha do carregador de inicialização está definida Pontuou Depende do ambiente Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.5.3 Certifique-se de que o modo de usuário único seja autenticado Pontuou Depende do ambiente Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
1.8.1.2 Certifique-se de que o banner de aviso de login local esteja configurado corretamente Pontuou Controle equivalente O Anthos também aplica o aumento da proteção do DISA-STIG aos nós, o que atualiza o banner de aviso corretamente. Todos os nós do cluster
3.1.2 Verifique se o encaminhamento de IP está desativado Pontuou Reprovado O encaminhamento de IP é necessário para que o Kubernetes (GKE) funcione e encaminhe o tráfego corretamente Todos os nós do cluster, estação de trabalho do administrador, Seesaw
3.2.7 Verifique se a filtragem de caminho reverso está ativada Pontuou Depende do ambiente O roteamento assíncrono e a origem do caminho reverso são um requisito para o balanceamento de carga do cluster. Seesaw
3.5.2.5 Verifique se existem regras de firewall para todas as portas abertas Não pontuou Depende do ambiente É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
3.5.4.1.1 Certifique-se de que a política de firewall de negação padrão Pontuou Depende do ambiente É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. Todos os nós de cluster, a estação de trabalho do administrador e o Seesaw
3.5.4.1.2 Verifique se o tráfego de loopback está configurado Pontuou Depende do ambiente O uso da interface de loopback é limitado devido à funcionalidade de balanceamento de carga usada. Seesaw
3.5.4.2.1 Certifique-se de que a política de firewall de negação padrão IPv6 Pontuou Depende do ambiente É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. Além disso, o Anthos não tem requisitos para IPv6 compatível com GA. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
3.5.4.2.2 Verifique se o tráfego de loopback do IPv6 está configurado Pontuou Depende do ambiente O Anthos não tem requisitos para IPv6 de acordo com o suporte do GA. Plano de controle de administrador, Seesaw
4.1.1.3 Verificar se a auditoria de processos iniciados antes da auditoria está ativada Pontuou Reprovado Um problema conhecido com nosso processo de compilação sinaliza isso como "Falha", mas isso deve ser considerado um alarme falso. Isso será corrigido no futuro. Todos os nós de cluster, Seesaw
4.1.1.11 Garantir que o uso de comandos com privilégios seja coletado Pontuou Reprovado Alguns binários são instalados no ambiente de execução. Portanto, a correção é necessária. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
4.2.1.5 Verificar se o rsyslog está configurado para enviar registros a um host de registro remoto Pontuou Depende do ambiente O Anthos no VMWare atualmente coleta todos os registros gravados (dos serviços do sistema). Eles podem ser vistos em "k8s_node". Todos os nós do cluster, estação de trabalho do administrador, Seesaw
4.2.3 Verifique se as permissões em todos os arquivos de registro estão configuradas Pontuou Reprovado Esse teste específico é muito restritivo e pouco realista, porque muitos serviços podem exigir que um grupo grave arquivos de registros. Este item pode ser removido em um comparativo de mercado futuro. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
5.2.12 Verifique se o SSH PermitUserEnvironment está desativado Pontuou Reprovado Essa configuração entra em conflito com as configurações de aumento da proteção DISA-STIG. Todos os nós do cluster
5.2.13 Verifique se apenas criptografias fortes são usadas Pontuou Controle equivalente A aplicação de DISA-STIG usa uma lista alternativa de criptografias compatíveis que não estão alinhadas individualmente com as usadas por este comparativo de mercado Todos os nós do cluster
5.2.18 Verifique se o acesso SSH está limitado Pontuou Depende do ambiente Isso não é configurado por padrão. Ele pode ser configurado para atender aos seus requisitos específicos. Todos os nós do cluster, estação de trabalho do administrador, Seesaw
5.2.19 Verifique se o banner de aviso SSH está configurado Pontuou Controle equivalente O banner de aviso SSH é modificado pelo aplicativo da configuração de aumento da proteção DISA-STIG Todos os nós do cluster
6.1.6 Verifique se as permissões em /etc/passwd estão configuradas Pontuou Reprovado Esse teste específico é muito restritivo e está sendo atualizado pela Canonical (link). Todos os nós do cluster, estação de trabalho do administrador, Seesaw
6.1.10 Verifique se não há arquivos graváveis mundiais Pontuou Reprovado As permissões foram mantidas como padrão. Todos os nós do cluster
6.1.11 Verifique se não há arquivos ou diretórios não proprietários Pontuou Reprovado As permissões foram mantidas como padrão. Todos os nós do cluster
6.1.12 Verifique se não há arquivos ou diretórios desagrupados Pontuou Reprovado As permissões foram mantidas como padrão. Todos os nós do cluster
6.2.10 Verifique se os arquivos dos pontos dos usuários não são graváveis ou agrupados Pontuou Reprovado As configurações padrão do Ubuntu aceitam permissões do grupo de arquivos de ponto devido à compatibilidade Estação de trabalho do administrador