Dokumen ini menjelaskan tingkat kepatuhan yang dimiliki GKE di VMware terhadap CIS Ubuntu Benchmark.
Versi
Dokumen ini merujuk pada versi berikut:
| Versi Anthos | Versi Ubuntu | Versi CIS Ubuntu Benchmark | Tingkat CIS |
|---|---|---|---|
| 1,28 | 22,04 LTS | v1.0.0 | Server Level 2 |
Mengakses benchmark
CIS Ubuntu Benchmark tersedia di situs CIS.
Profil konfigurasi
Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh GKE di VMware di-hardening agar memenuhi profil Server - Level 2.
Evaluasi GKE di VMware
Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di GKE di VMware.
| Status | Deskripsi |
|---|---|
| Lulus | Mematuhi rekomendasi tolok ukur. |
| Gagal | Tidak mematuhi rekomendasi tolok ukur. |
| Kontrol yang setara | Tidak mematuhi persyaratan yang sama persis dalam rekomendasi tolok ukur, tetapi mekanisme lain dalam GKE di VMware menyediakan kontrol keamanan yang setara. |
| Tergantung pada lingkungan | GKE di VMware tidak mengonfigurasi item yang terkait dengan rekomendasi benchmark. Konfigurasi Anda menentukan apakah lingkungan Anda sesuai dengan rekomendasi. |
Status GKE di VMware
Image Ubuntu yang digunakan dengan GKE di VMware di-hardening agar memenuhi profil CIS Level 2 - Server. Tabel berikut memberikan justifikasi mengapa komponen GKE pada VMware tidak lulus rekomendasi tertentu.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Pastikan /tmp Terletak di Partisi Terpisah | Gagal | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.1.3.1 | Pastikan {i>/var <i}Terletak di Partisi Terpisah | Tidak dapat diperbaiki | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.1.4.1 | Pastikan {i>/var/tmp <i}Terletak di Partisi Terpisah | Tidak dapat diperbaiki | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.1.5.1 | Pastikan {i>/var/log<i} Terletak di Partisi Terpisah | Tidak dapat diperbaiki | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.1.6.1 | Pastikan /var/log/audit Terletak di Partisi Terpisah | Tidak dapat diperbaiki | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.1.7.1 | Pastikan /home Berlokasi Di Partisi Terpisah | Tidak dapat diperbaiki | Saat ini, kanonis tidak berencana mengubah partisi image cloud. | Semua node cluster, workstation Admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Boot Loader di grub2 | Bergantung pada Lingkungan | Tidak ada kata sandi root yang disetel pada cloud image Ubuntu. | Semua node cluster, workstation Admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada kata sandi root yang disetel pada cloud image Ubuntu. | Semua node cluster, workstation Admin, Seesaw |
| 2.3.6 | Copot instalasi Paket rpcbind | Gagal | rpcbind diinstal pada image cloud canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskan aturan tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Reverse Path Filtering di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Originasi jalur terbalik dan perutean asinkron merupakan persyaratan untuk mengirimkan load balancing cluster. | Node master non-admin Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak dapat diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, workstation Admin, Seesaw |
| 3.5.2.8 | Pastikan kebijakan tolak firewall default nftables | Bergantung pada Lingkungan | Sebaiknya GKE di VMware di-deploy pada jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, workstation Admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu ketat dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam tolok ukur mendatang. | Semua node cluster, workstation Admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Opsi ini tidak dikonfigurasi secara default. | Semua node cluster, workstation Admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Mengautentikasi Ulang untuk Eskalasi Hak - sudo | Bergantung pada Lingkungan | Opsi ini tidak dikonfigurasi secara default. | Semua node cluster, workstation Admin, Seesaw |
| 5.5.1.2 | Setel Usia Maksimum Sandi | Kontrol yang setara | VM untuk GKE di VMware mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Milik Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |