本文档介绍了 Anthos clusters on VMware (GKE On-Prem) 与 CIS Ubuntu 基准的合规性级别。
版本
本文档涉及以下版本:
| Anthos 版本 | Ubuntu 版本 | CIS Ubuntu 基准版本 | CIS 级别 |
|---|---|---|---|
| 1.9 | 18.04 LTS | v2.0.1 | 第 2 级服务器 |
访问基准
您可以通过 CIS 网站获取 CIS GKE 基准。
配置文件
在 CIS Ubuntu 基准文档中,您可以阅读配置文件。Anthos clusters on VMware 使用的 Ubuntu 映像经过了安全强化,符合 2 级 - 服务器配置文件。
Anthos Clusters on VMware 上的评估
我们使用以下值指定 Anthos clusters on VMware 中 Ubuntu 建议的状态。
| 状态 | 说明 |
|---|---|
| 通过 | 符合基准建议。 |
| 失败 | 不符合基准建议。 |
| 等效控制措施 | 不符合基准建议中的确切条款,但 Anthos clusters on VMware 中的其他机制可提供等效的安全控制措施。 |
| 取决于环境 | Anthos clusters on VMware 不会配置与基准建议相关的项。您的配置决定了您的环境是否符合建议。 |
Anthos clusters on VMware 的状态
Anthos clusters on VMware 使用的 Ubuntu 映像经过了安全强化,符合 CIS 2 级 - 服务器配置文件。下表说明了 Anthos clusters on VMware 组件未通过某些建议的原因。
| # | 建议 | 计分/不计分 | 状态 | 理由 | 受影响的组件 |
|---|---|---|---|---|---|
| 1.1.2 | 确保已配置 /tmp | 计分 | 失败 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.6 | 确保 /var 存在单独的分区 | 计分 | 将不会修复 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.7 | 确保 /var/tmp 存在单独的分区 | 计分 | 将不会修复 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.11 | 确保 /var/log 存在单独的分区 | 计分 | 将不会修复 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.12 | 确保 /var/log/audit 存在单独的分区 | 计分 | 将不会修复 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.13 | 确保 /home 存在单独的分区 | 计分 | 将不会修复 | 目前,Canonical 没有计划修改云映像分区。 | 所有集群节点、管理员工作站、Seesaw |
| 1.1.21 | 确保在所有可写目录上设置了粘滞位 | 计分 | 失败 | 这可能会干扰 Anthos 及其服务的功能,并且默认处于停用状态 | 所有集群节点、管理员工作站 |
| 1.5.1 | 确保已配置引导加载程序配置的权限 | 计分 | 失败 | 将保留默认设置。 | 所有集群节点、Seesaw |
| 1.5.2 | 确保已设置引导加载程序密码 | 计分 | 取决于环境 | Ubuntu 云映像上未设置根密码。 | 所有集群节点、管理员工作站、Seesaw |
| 1.5.3 | 确保单用户模式要求进行身份验证 | 计分 | 取决于环境 | Ubuntu 云映像上未设置根密码。 | 所有集群节点、管理员工作站、Seesaw |
| 1.8.1.2 | 确保已正确配置本地登录警告横幅 | 计分 | 等效控制措施 | Anthos 还会对节点应用 DISA-STIG 安全强化,以相应地更新警告横幅 | 所有集群节点、Seesaw |
| 3.1.2 | 确保已停用 IP 转发 | 计分 | 失败 | 必须具备 IP 转发功能,Kubernetes 才能 (GKE) 正常运行并路由流量 | 所有集群节点、管理员工作站、Seesaw |
| 3.2.7 | 确保已启用反向路径过滤 | 计分 | 取决于环境 | 提供集群负载平衡需要异步路由和反向路径源 | Seesaw |
| 3.5.2.5 | 确保所有开放端口都存在防火墙规则 | 不计分 | 取决于环境 | 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 | 所有集群节点、管理员工作站、Seesaw |
| 3.5.4.1.1 | 确保默认拒绝防火墙政策 | 计分 | 取决于环境 | 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 | 所有集群节点、管理员工作站、Seesaw |
| 3.5.4.1.2 | 确保已配置环回流量 | 计分 | 取决于环境 | 环回接口使用量因使用的负载平衡功能而受到限制。 | Seesaw |
| 3.5.4.2.1 | 确保 IPv6 默认拒绝防火墙政策 | 计分 | 取决于环境 | 建议在具有适当防火墙防护功能的专用网络上部署 Anthos on VMware。您可以在此处找到所需的防火墙规则。 另外,Anthos 不需要在 GA 支持下使用 IPv6。 | 所有集群节点、管理员工作站、Seesaw |
| 3.5.4.2.2 | 确保已配置 IPv6 环回流量 | 计分 | 取决于环境 | Anthos 不需要在 GA 支持下使用 IPv6。 | 管理员控制层面、Seesaw |
| 4.1.1.3 | 确保审核在启用 auditd 之前启动的流程 | 计分 | 失败 | 我们的构建流程存在一个已知问题,即,此情况会被标记为“已失败”,但其实是误报。我们将来会解决此问题。 | 所有集群节点、Seesaw |
| 4.1.1.11 | 确保收集了特权命令的使用情况 | 计分 | 失败 | 某些二进制文件是在运行时安装的,因此需要采用运行时补救措施。 | 所有集群节点、管理员工作站、Seesaw |
| 4.2.1.5 | 确保将 rsyslog 配置为将日志发送到远程日志主机 | 计分 | 取决于环境 | Anthos on VMWare 目前从系统服务收集所有日志日志。这些可以查看“k8s_node”下的这些日志 | 所有集群节点、管理员工作站、Seesaw |
| 4.2.3 | 确保已配置所有日志文件的权限 | 计分 | 失败 | 这种特定测试过于严格且不切实际,因为许多服务可能需要群组写入日志文件。此项目可能会从未来基准中移除。 | 所有集群节点、管理员工作站、Seesaw |
| 5.2.12 | 确保已停用 SSH PermitUserEnvironment | 计分 | 失败 | 此设置与 DISA-STIG 安全强化设置冲突。 | 所有集群节点、Seesaw |
| 5.2.13 | 确保仅使用安全系数高的加密方式 | 计分 | 等效控制措施 | DISA-STIG 的应用使用受支持加密方式的替代列表,该加密方式与此基准使用的加密方式不一一对应 | 所有集群节点 |
| 5.2.18 | 确保 SSH 访问受到限制 | 计分 | 取决于环境 | 默认情况下,系统不会进行此项配置。此项可配置为满足您的特定要求。 | 所有集群节点、管理员工作站、Seesaw |
| 5.2.19 | 确保已配置 SSH 警告横幅 | 计分 | 等效控制措施 | SSH 警告横幅通过应用 DISA-STIG 安全强化配置进行修改 | 所有集群节点、Seesaw |
| 6.1.6 | 确保已配置 /etc/passwd 的权限 | 计分 | 失败 | 此特定测试过于严格,由 Canonical(链接)更新 | 所有集群节点、管理员工作站、Seesaw |
| 6.1.10 | 确保不存在全局可写文件 | 计分 | 失败 | 将保留默认设置。 | 所有集群节点 |
| 6.1.11 | 确保不存在无主文件或目录 | 计分 | 失败 | 将保留默认设置。 | 所有集群节点 |
| 6.1.12 | 确保不存在未分组文件或目录 | 计分 | 失败 | 将保留默认设置。 | 所有集群节点 |
| 6.2.10 | 确保用户的 dot 文件不是群组或全局可写文件 | 计分 | 失败 | 由于兼容性,Ubuntu 的默认设置允许 dot 文件组权限 | 管理员工作站 |
配置 AIDE cron 作业
AIDE 是一个文件完整性检查工具,可确保符合 CIS L1 服务器基准 1.4 Filesystem Integrity Checking 的要求。在 Anthos clusters on VMware 中,AIDE 进程导致资源使用率高问题。
从 1.9.7 开始,节点上的 AIDE 进程默认处于停用状态,以防止出现资源问题。这会影响对 CIS L1 服务器基准 1.4.2 Ensure
filesystem integrity is regularly checked. 的合规性
如果要选择运行 AIDE cron 作业,请完成以下步骤以重新启用 AIDE:
创建一个 DaemonSet。
以下是 DaemonSet 的清单:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /在上面的清单中:
AIDE Cron 作业将仅在 nodeSelector
cloud.google.com/gke-nodepool: pool-1指定的节点池pool-1上运行。您可以通过在nodeSelector字段中指定池,将 AIDE 进程配置为根据需要运行任意数量的节点池。如需在不同的节点池上运行相同的 Cron 作业时间表,请移除nodeSelector字段。但是,为了避免主机资源拥塞,我们建议您维护单独的时间表。Cron 作业安排在每天凌晨 5:30 运行,如配置
minute=30;hour=5所指定。您可以根据需要为 AIDE Cron 作业配置不同的时间表。
将此清单复制到名为
enable-aide.yaml的文件,然后创建该 DaemonSet:
kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
其中,USER_CLUSTER_KUBECONFIG 是用户集群的 kubeconfig 文件的路径。