Neste documento, descrevemos o nível de conformidade que os clusters do Anthos no VMware (GKE On-Prem) têm com o comparativo de mercado do Ubuntu da CIS.
Versões
Este documento se refere a estas versões:
Versão Anthos | Versão do Ubuntu | Versão do comparativo de mercado do Ubuntu da CIS | Nível da CIS |
---|---|---|---|
1.8.0 | 18.04 LTS | v2.0.1 | Servidor de nível 2 |
Acessar o comparativo de mercado
O comparativo de mercado do Ubuntu da CIS está disponível no site da CIS:
Perfil de configuração
No documento do comparativo de mercado do Ubuntu da CIS, é possível ler sobre os perfis de configuração. As imagens do Ubuntu usadas pelos clusters do Anthos no VMware são protegidas para atender ao perfil Nível 2 - servidor.
Avaliação em clusters do Anthos no VMware
Usamos os seguintes valores para especificar o status das recomendações do Ubuntu nos clusters do Anthos no VMware.
Status | Descrição |
---|---|
Pass | Está em conformidade com uma recomendação do comparativo de mercado. |
Reprovado | Não está em conformidade com uma recomendação do comparativo de mercado. |
Controle equivalente | Não está em conformidade com os termos exatos de uma recomendação de comparativo de mercado, mas outros mecanismos nos clusters do Anthos no VMware fornecem controles de segurança equivalentes. |
Depende do ambiente | Os clusters do Anthos no VMware não configuram itens relacionados a uma recomendação de comparativo de mercado. A configuração determina se o ambiente está em conformidade com a recomendação. |
Status dos clusters do Anthos no VMware
As imagens do Ubuntu usadas com clusters do Anthos no VMware são protegidas para atender ao perfil da CIS Nível 2 - Servidor. A tabela a seguir fornece justificativas para o motivo de os clusters do Anthos nos componentes do VMware não aprovarem determinadas recomendações.
# | Recomendação | Pontuou/Não pontuou | Status | Justificativa | Componentes afetados |
---|---|---|---|---|---|
1.1.2 | Verifique se /tmp está configurado. | Pontuou | Reprovado | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.6 | Verifique se há uma partição separada para /var | Pontuou | Não corrigir | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.7 | Verifique se há uma partição separada para /var/tmp | Pontuou | Não corrigir | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.11 | Verifique se há uma partição separada para /var/log | Pontuou | Não corrigir | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.12 | Verifique se há uma partição separada para /var/log/audit | Pontuou | Não corrigir | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.13 | Verifique se existe uma partição separada para /home | Pontuou | Não corrigir | A Canonical não tem o plano de modificar as partições de imagem em nuvem no momento. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.1.21 | Certifique-se de que o bit fixo esteja definido em todos os diretórios graváveis globalmente | Pontuou | Reprovado | Isso pode interferir na funcionalidade do Anthos e dos serviços dele e não é ativado por padrão. | Todos os nós do cluster, estação de trabalho do administrador |
1.5.1 | Verifique se as permissões na configuração do carregador de inicialização estão definidas | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
1.5.2 | Verifique se a senha do carregador de inicialização está definida | Pontuou | Depende do ambiente | Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.5.3 | Certifique-se de que o modo de usuário único seja autenticado | Pontuou | Depende do ambiente | Nenhuma senha raiz é definida nas imagens da nuvem do Ubuntu. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
1.8.1.2 | Certifique-se de que o banner de aviso de login local esteja configurado corretamente | Pontuou | Controle equivalente | O Anthos também aplica o aumento da proteção do DISA-STIG aos nós, o que atualiza o banner de aviso corretamente. | Todos os nós do cluster |
3.1.2 | Verifique se o encaminhamento de IP está desativado | Pontuou | Reprovado | O encaminhamento de IP é necessário para que o Kubernetes (GKE) funcione e encaminhe o tráfego corretamente | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
3.2.7 | Verifique se a filtragem de caminho reverso está ativada | Pontuou | Depende do ambiente | O roteamento assíncrono e a origem do caminho reverso são um requisito para o balanceamento de carga do cluster. | Seesaw |
3.5.2.5 | Verifique se existem regras de firewall para todas as portas abertas | Não pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
3.5.4.1.1 | Certifique-se de que a política de firewall de negação padrão | Pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. | Todos os nós de cluster, a estação de trabalho do administrador e o Seesaw |
3.5.4.1.2 | Verifique se o tráfego de loopback está configurado | Pontuou | Depende do ambiente | O uso da interface de loopback é limitado devido à funcionalidade de balanceamento de carga usada. | Seesaw |
3.5.4.2.1 | Certifique-se de que a política de firewall de negação padrão IPv6 | Pontuou | Depende do ambiente | É recomendável que o Anthos no VMware seja implantado em uma rede particular com as proteções de firewall apropriadas. As regras de firewall necessárias podem ser encontradas aqui. Além disso, o Anthos não tem requisitos para IPv6 compatível com GA. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
3.5.4.2.2 | Verifique se o tráfego de loopback do IPv6 está configurado | Pontuou | Depende do ambiente | O Anthos não tem requisitos para IPv6 de acordo com o suporte do GA. | Plano de controle de administrador, Seesaw |
4.1.1.3 | Verificar se a auditoria de processos iniciados antes da auditoria está ativada | Pontuou | Reprovado | Um problema conhecido com nosso processo de compilação sinaliza isso como "Falha", mas isso deve ser considerado um alarme falso. Isso será corrigido no futuro. | Todos os nós de cluster, Seesaw |
4.1.1.11 | Garantir que o uso de comandos com privilégios seja coletado | Pontuou | Reprovado | Alguns binários são instalados no ambiente de execução. Portanto, a correção é necessária. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
4.2.1.5 | Verificar se o rsyslog está configurado para enviar registros a um host de registro remoto | Pontuou | Depende do ambiente | O Anthos no VMWare atualmente coleta todos os registros gravados (dos serviços do sistema). Eles podem ser vistos em "k8s_node". | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
4.2.3 | Verifique se as permissões em todos os arquivos de registro estão configuradas | Pontuou | Reprovado | Esse teste específico é muito restritivo e pouco realista, porque muitos serviços podem exigir que um grupo grave arquivos de registros. Este item pode ser removido em um comparativo de mercado futuro. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
5.2.12 | Verifique se o SSH PermitUserEnvironment está desativado | Pontuou | Reprovado | Essa configuração entra em conflito com as configurações de aumento da proteção DISA-STIG. | Todos os nós do cluster |
5.2.13 | Verifique se apenas criptografias fortes são usadas | Pontuou | Controle equivalente | A aplicação de DISA-STIG usa uma lista alternativa de criptografias compatíveis que não estão alinhadas individualmente com as usadas por este comparativo de mercado | Todos os nós do cluster |
5.2.18 | Verifique se o acesso SSH está limitado | Pontuou | Depende do ambiente | Isso não é configurado por padrão. Ele pode ser configurado para atender aos seus requisitos específicos. | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
5.2.19 | Verifique se o banner de aviso SSH está configurado | Pontuou | Controle equivalente | O banner de aviso SSH é modificado pelo aplicativo da configuração de aumento da proteção DISA-STIG | Todos os nós do cluster |
6.1.6 | Verifique se as permissões em /etc/passwd estão configuradas | Pontuou | Reprovado | Esse teste específico é muito restritivo e está sendo atualizado pela Canonical (link). | Todos os nós do cluster, estação de trabalho do administrador, Seesaw |
6.1.10 | Verifique se não há arquivos graváveis mundiais | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
6.1.11 | Verifique se não há arquivos ou diretórios não proprietários | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
6.1.12 | Verifique se não há arquivos ou diretórios desagrupados | Pontuou | Reprovado | As permissões foram mantidas como padrão. | Todos os nós do cluster |
6.2.10 | Verifique se os arquivos dos pontos dos usuários não são graváveis ou agrupados | Pontuou | Reprovado | As configurações padrão do Ubuntu aceitam permissões do grupo de arquivos de ponto devido à compatibilidade | Estação de trabalho do administrador |