이 문서에서는 CIS Ubuntu 벤치마크로 VMware용 GKE의 규정 준수 수준을 설명합니다.
버전
이 문서에서는 다음과 같은 버전이 사용됩니다.
| Anthos 버전 | Ubuntu 버전 | CIS Ubuntu 벤치마크 버전 | CIS 수준 |
|---|---|---|---|
| 1.28 | 22.04 LTS | v1.0.0 | 수준 2 서버 |
벤치마크 액세스
CIS Ubuntu 벤치마크는 CIS 웹사이트에서 제공됩니다.
구성 프로필
CIS Ubuntu 벤치마크 문서에서 구성 프로필에 대한 정보를 읽을 수 있습니다. VMware용 GKE에서 사용되는 Ubuntu 이미지는 수준 2 - 서버 프로필을 충족하도록 강화되었습니다.
VMware용 GKE 평가
Google은 다음 값을 사용하여 VMware용 GKE에서 Ubuntu 권장 수준 상태를 지정합니다.
| 상태 | 설명 |
|---|---|
| 통과 | 벤치마크 권장 수준을 준수합니다. |
| 실패 | 벤치마크 권장 수준을 준수하지 않습니다. |
| 동등 제어 | 벤치마크 권장 수준의 조항을 정확하게 준수하지 않지만 VMware용 GKE의 다른 메커니즘에서 동등한 보안 제어를 제공합니다. |
| 환경에 따라 다름 | VMware용 GKE는 벤치마크 권장 수준과 관련된 항목을 구성하지 않습니다. 구성에 따라 환경이 권장 수준을 준수하는지가 결정됩니다. |
VMware용 GKE 상태
VMware용 GKE에서 사용되는 Ubuntu 이미지는 CIS 수준 2 - 서버 프로필을 충족하도록 강화되었습니다. 다음 표에서는 VMware용 GKE 구성요소가 특정 권장 수준을 통과하지 못한 이유에 대한 근거를 제공합니다.
| # | 권장 | 상태 | 근거 | 영향을 받는 구성요소 |
|---|---|---|---|---|
| 1.1.2.1 | /tmp가 별도의 파티션에 있는지 확인 | 실패 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.1.3.1 | /var이 별도의 파티션에 있는지 확인 | 해결되지 않음 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.1.4.1 | /var/tmp가 별도의 파티션에 있는지 확인 | 해결되지 않음 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.1.5.1 | /var/log가 별도의 파티션에 있는지 확인 | 해결되지 않음 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.1.6.1 | var/log/audit가 별도의 파티션에 있는지 확인 | 해결되지 않음 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.1.7.1 | /home이 별도의 파티션에 있는지 확인 | 해결되지 않음 | 현재 Canonical에 클라우드 이미지 파티션을 수정할 계획이 없습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.4.1 | grub2에서 부팅 로더 비밀번호 설정 | 환경에 따라 다름 | 루트 비밀번호가 Ubuntu 클라우드 이미지에 설정되지 않습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 1.4.3 | 단일 사용자 모드에 필요한 인증 확인 | 환경에 따라 다름 | 루트 비밀번호가 Ubuntu 클라우드 이미지에 설정되지 않습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 2.3.6 | rpcbind 패키지 제거 | 실패 | rpcbind는 Canonical 클라우드 이미지에 설치되지만 기본적으로 사용 설정되지 않습니다. 설치되지 않아야 하기 때문에 규칙이 실패합니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 3.3.7 | 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 | 환경에 따라 다름 | 클러스터 부하 분산을 제공하려면 비동기 라우팅 및 역방향 경로 원본이 필요합니다. | 비관리자 마스터 노드, Seesaw |
| 3.5.2.6 | 루프백 트래픽을 위한 nftables 구성 설정 | 해결되지 않음 | Anthos 네트워크가 이 규칙의 영향을 받습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 3.5.2.8 | nftables 기본 거부 방화벽 정책 확인 | 환경에 따라 다름 | VMware용 GKE를 적절한 방화벽으로 보호되는 비공개 네트워크에 배포하는 것이 좋습니다. 여기에서 필요한 방화벽 규칙을 찾을 수 있습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 4.2.3 | 로그 파일의 권한 확인 | 실패 | 이 특정 테스트는 여러 서비스에서 한 그룹이 로그 파일을 작성하도록 요구할 수 있으므로 너무 제한적이고 비현실적입니다. 이 항목은 이후 벤치마크에서 삭제될 수 있습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 5.2.18 | 사용자의 SSH 액세스 제한 | 환경에 따라 다름 | 기본적으로 구성되지 않습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 5.3.4 | 권한 에스컬레이션을 위해 사용자가 재인증 - sudo | 환경에 따라 다름 | 기본적으로 구성되지 않습니다. | 모든 클러스터 노드, 관리자 워크스테이션, Seesaw |
| 5.5.1.2 | 비밀번호 최대 기간 설정 | 동등 제어 | VMware용 GKE의 VM은 사용자 로그인을 위해 비밀번호 대신 SSH 키를 사용합니다. | 모든 클러스터 노드 |
| 6.1.10 | 사용자가 모든 파일을 소유하고 있는지 확인 | 실패 | 권한이 기본값으로 남아 있습니다. | 모든 클러스터 노드 |