Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi dan Memeriksa Kepatuhan CIS

Dokumen ini menjelaskan apa yang dimaksud dengan CIS Benchmark, hubungan benchmark dengan Container-Optimized OS (COS), cara mengaudit status kepatuhan di instance, dan cara memecahkan masalah jika terjadi kegagalan.

Ringkasan

Center for Internet Security (CIS) merilis tolok ukur untuk rekomendasi praktik terbaik keamanan untuk berbagai platform. Tolok Ukur CIS Container-Optimized OS adalah serangkaian rekomendasi untuk mengonfigurasi instance yang menggunakan Container-Optimized OS guna mendukung postur keamanan yang kuat. Image COS x86 dan ARM mematuhi CIS.

Mengakses Tolok Ukur

Tolok Ukur CIS Container-Optimized OS tersedia di situs CIS:

Buka halaman download CIS Benchmarks.
Telusuri CIS Google Container-Optimized OS Benchmark.
Klik Download PDF.

Tingkat rekomendasi keamanan

CIS menentukan tingkat rekomendasi berikut untuk Container-Optimized OS.

Level 1

Rekomendasi di tingkat ini dimaksudkan untuk dapat diterapkan ke sebagian besar lingkungan. Tingkat ini mencakup rekomendasi seperti berikut:

Address space layout randomization diaktifkan
/tmp tidak dapat digunakan untuk menjalankan biner yang dapat dieksekusi
Pengiriman pengalihan paket dinonaktifkan

Level 2

Rekomendasi di tingkat ini memperluas rekomendasi Level 1, sehingga menghasilkan lingkungan keamanan yang lebih ketat. Rekomendasi Level 2 tidak selalu berlaku untuk semua kasus karena mungkin memerlukan perubahan aplikasi. Anda harus mengevaluasi rekomendasi di Level 2 untuk lingkungan Anda sebelum menerapkannya. Tingkat ini mencakup rekomendasi seperti berikut:

Aturan firewall ada untuk semua port yang terbuka
Pengalihan ICMP dan iklan router tidak diterima
Waktu tunggu shell pengguna default adalah 900 detik atau kurang

Cara Container-Optimized OS mematuhi CIS Benchmark

Mulai dari Milestone 97, image Container-Optimized OS mematuhi CIS Level 1 secara default dan memberikan opsi untuk mematuhi CIS Level 2. Kami juga menyediakan pemindai yang dapat Anda gunakan untuk mengaudit instance Anda berdasarkan tingkat rekomendasi CIS.

Konfigurasi CIS yang menentukan rekomendasi ada di /usr/share/google/security/cis-compliance/cis_config.textproto. Pemindai CIS menggunakan konfigurasi untuk memeriksa status kepatuhan instance. Hasil setiap pengoperasian CIS level compliance scanner ditulis ke /var/lib/google/cis_scanner_scan_result.textproto. File ini ditimpa setiap kali pemindai CIS dijalankan. Jika salah satu pemindaian CIS Level 1 atau Level 2 gagal, file cis_scanner_scan_result.textproto akan berisi daftar semua pemeriksaan yang gagal.

Memeriksa status kepatuhan instance

Image Container-Optimized OS menyediakan layanan systemd berikut untuk pemeriksaan dan konfigurasi kepatuhan:

cis-level1.service: Diaktifkan secara default dan dimulai saat booting. Saat dimulai, layanan akan memeriksa apakah instance mematuhi CIS Level 1.
cis-level2.service: Dinonaktifkan secara default. Layanan ini memungkinkan Anda mengonfigurasi instance agar mematuhi CIS Level 2, dan memeriksa status kepatuhan terhadap Level 1 dan Level 2.

Bagian berikut menjelaskan cara memeriksa status kepatuhan instance dan cara mengotomatiskan proses audit.

Memeriksa status kepatuhan CIS Level 1

Untuk melihat apakah instance Anda mematuhi CIS Level 1, periksa status cis-level1.service:

systemctl status cis-level1

Outputnya mirip dengan hal berikut ini:

Reading scan config from /usr/share/google/security/cis-compliance/cis_config.textproto
Running scan of 62 benchmarks
Scan status: SUCCEEDED
Found 0 non-compliant benchmarks
Writing scan results to /var/lib/google/cis_scanner_scan_result.textproto

Jika ada pemeriksaan yang tidak mematuhi kebijakan yang ditemukan, lihat Pemeriksaan kepatuhan CIS Level 1/Level 2 gagal.

cis-level1.service hanya memeriksa kepatuhan CIS Level 1 satu kali, saat instance dimulai. Untuk mengonfigurasi pemeriksaan kepatuhan berkala, lihat Pemeriksaan berkala status kepatuhan CIS.

Mengonfigurasi kepatuhan CIS Level 2 dan memeriksa status

Anda dapat menggunakan layanan cis-level2 untuk mengonfigurasi instance agar mematuhi CIS Level 2 dan memeriksa status kepatuhan terhadap Level 1 dan Level 2. Layanan systemd mendukung semua rekomendasi CIS Level 2 kecuali untuk hal berikut:

4.1.1.2 Memastikan Logging berjalan (ID: logging-service-running)

Rekomendasi ini dinonaktifkan secara default, tetapi dapat diaktifkan kembali dengan menghapus ID dari daftar yang dinonaktifkan yang dapat ditemukan dalam file /etc/cis-scanner/env_vars. Pemeriksaan ini hanya ada di tonggak pencapaian 109 dan yang lebih baru. Pada pencapaian sebelumnya, mengaktifkan Logging sendiri akan membuat Anda mematuhi rekomendasi ini. Jika Anda mengurungkan pilihan tidak ikut, menjalankan layanan cis-level2 akan menjalankan skrip yang memulai logging fluent-bit. Tetapkan logging-service-running ke nonaktif jika Anda tidak ingin menggunakan logging default kami atau ingin menggunakan logging Anda sendiri.

Untuk rekomendasi berikut, layanan cis-level2 mengonfigurasi instance, tetapi tidak memverifikasi status kepatuhan:

105 dan yang lebih rendah:
- 3.3.1.1 Memastikan kebijakan firewall tolak default IPv6
- 3.3.1.2 Pastikan traffic loopback IPv6 dikonfigurasi
- 3.3.1.3 Memastikan koneksi keluar dan koneksi yang dibuat IPv6 dikonfigurasi
- 3.3.1.4 Memastikan aturan firewall IPv6 ada untuk semua port yang terbuka
- 3.3.2.1 Memastikan kebijakan firewall default menolak
- 3.3.2.2 Memastikan traffic loopback dikonfigurasi
- 3.3.2.3 Memastikan koneksi keluar dan koneksi yang dibuat dikonfigurasi
109 dan yang lebih baru:
- 3.3.1.4 Memastikan aturan firewall IPv6 ada untuk semua port yang terbuka

Layanan cis-level2 dinonaktifkan secara default. Untuk memulai layanan, jalankan perintah berikut:

systemctl start cis-level2.service

Untuk melihat apakah instance Anda berhasil dikonfigurasi dan mematuhi rekomendasi CIS Level 2, periksa status cis-level2.service:

systemctl status cis-level2

Outputnya mirip dengan hal berikut ini:

Reading scan config from /usr/share/google/security/cis-compliance/cis_config.textproto
Running scan of 112 benchmarks
Scan status: SUCCEEDED
Found 0 non-compliant benchmarks
Writing scan results to /var/lib/google/cis_scanner_scan_result.textproto

Jika konfigurasi instance gagal atau ada pemeriksaan yang tidak mematuhi kebijakan yang ditemukan, lihat Pemecahan masalah.

Layanan cis-level2 mengonfigurasi instance dan memeriksa kepatuhan CIS Level 2 hanya sekali. Untuk mengonfigurasi pemeriksaan kepatuhan berkala, lihat Pemeriksaan berkala status kepatuhan CIS.

Pemeriksaan berkala status kepatuhan CIS

Image Container-Optimized OS menyertakan layanan berikut untuk memeriksa kepatuhan CIS secara berkala:

cis-compliance-scanner.service: memeriksa status kepatuhan berdasarkan variabel lingkungan yang ditentukan di /etc/cis-scanner/env_vars. Secara default, layanan ini memeriksa kepatuhan CIS Level 1 dan dinonaktifkan.
cis-compliance-scanner.timer: menjalankan cis-compliance-scanner.service secara berkala. Periode defaultnya adalah sekali sehari.

Mengonfigurasi layanan pemindai

cis-compliance-scanner.service bertanggung jawab untuk memeriksa status kepatuhan CIS berdasarkan variabel lingkungan yang ditentukan di /etc/cis-scanner/env_vars. Secara default, layanan ini memeriksa kepatuhan CIS Level 1.

Untuk memeriksa kepatuhan CIS Level 2, tetapkan variabel lingkungan LEVEL di /etc/cis-scanner/env_vars ke 2. File /etc/cis-scanner/env_vars mirip dengan yang berikut ini:

# cis-compliance-scanner.service environment variables
# The config file defines which checks to perform by cis_scanner
CONFIG="/usr/share/google/security/cis-compliance/cis_config.textproto"
# Where to store the result of the scan
RESULT="/var/lib/google/cis_scanner_scan_result.textproto"
# Upto which level to scan. It can be 1 or 2
LEVEL="2"
# Extra options that can be passed to cis_scanner
# For valid options, see output of `cis_scanner -h`
EXTRA_OPTIONS=""

Mengonfigurasi timer

Untuk menyiapkan pemindaian kepatuhan berkala, mulai unit cis-compliance-scanner.timer:

systemctl start cis-compliance-scanner.timer

Secara default, cis-compliance-scanner.timer memulai cis-compliance-scanner.service sekali sehari. Untuk mengubah periode pemindaian, ganti kolom OnUnitActiveSec dari unit cis-compliance-scanner.timer:

sudo mkdir /etc/systemd/system/cis-compliance-scanner.timer.d
sudo tee /etc/systemd/system/cis-compliance-scanner.timer.d/override.conf <<EOF
[Unit]
Description=Run CIS Scanner once an hour
[Timer]
OnUnitActiveSec=1h
EOF

Contoh ini menetapkan periode pemindai ke sekali setiap jam.

Untuk menerapkan perubahan, muat ulang unit systemd:

systemctl daemon-reload

Memilih untuk tidak mengikuti pemeriksaan kepatuhan CIS tertentu

Rekomendasi CIS Level 1 dan Level 2 dibuat agar dapat diterapkan di sebagian besar lingkungan. Namun ,beberapa rekomendasi mungkin tidak berlaku untuk lingkungan tertentu Anda. Untuk memilih tidak ikut rekomendasi tertentu, gunakan variabel lingkungan EXTRA_OPTIONS di /etc/cis-scanner/env_vars.

Contoh file env_vars berikut memilih untuk tidak menggunakan rekomendasi etc-passwd-permissions:

# cis-compliance-scanner.service environment variables
# The config file defines which checks to perform by cis_scanner
CONFIG="/usr/share/google/security/cis-compliance/cis_config.textproto"
# Where to store the result of the scan
RESULT="/var/lib/google/cis_scanner_scan_result.textproto"
# Upto which level to scan. It can be 1 or 2
LEVEL="1"
# Extra options that can be passed to cis_scanner
# For valid options:`cis_scanner -h`
EXTRA_OPTIONS="--benchmark-opt-out-ids=etc-passwd-permissions"

Mengotomatiskan pengaktifan dan pemeriksaan status kepatuhan CIS

Anda dapat mengotomatiskan proses pemeriksaan kepatuhan untuk instance menggunakan cloud-init atau Kebijakan OS. Contoh berikut menunjukkan beberapa kasus penggunaan dengan setiap alat:

Contoh 1: memeriksa kepatuhan CIS Level 1 sekali sehari.
Contoh 2: memeriksa kepatuhan CIS Level 1 sekali dalam satu jam.
Contoh 3: memeriksa kepatuhan CIS Level 2 sekali sehari.
Contoh 4: memilih tidak ikut pemeriksaan kepatuhan CIS tertentu.

Menggunakan cloud-init

Sebelum mencoba contoh berikut, pastikan Anda sudah memahami cara mengonfigurasi instance COS dengan cloud-init dengan mengikuti petunjuk di Menggunakan cloud-init dengan format konfigurasi Cloud.

Contoh 1

Contoh konfigurasi berikut memulai pemindaian CIS Level 1 berkala dengan periode default sekali sehari.

#cloud-config

runcmd:
# Check the compliance status of the instance once a day.
- systemctl start cis-compliance-scanner.timer

Contoh 2

Contoh berikut mengonfigurasi pemindaian CIS Level 1 berkala sekali setiap jam.

#cloud-config

# Override cis-compliance-scanner.timer with 1 hour frequency.
write_files:

- path: /etc/systemd/system/cis-compliance-scanner.timer.d/override.conf
  permissions: 0600
  owner: root
  content: |
    [Unit]
    Description=Run CIS Scanner once an hour

    [Timer]
    OnUnitActiveSec=1h

runcmd:
# Reload systemd units.
- systemctl daemon-reload
# Check the compliance status of the instance once an hour.
- systemctl start cis-compliance-scanner.timer

Contoh 3

Contoh berikut mengonfigurasi pemindaian CIS Level 2 berkala dengan periode default sekali sehari.

#cloud-config

runcmd:
# Configure the instance for CIS level 2.
- systemctl start cis-level2.service
# Change the scan level to CIS Level 2.
- sed -i 's/^LEVEL=.*$/LEVEL="2"/' /etc/cis-scanner/env_vars
# Check the compliance status of the instance once a day.
- systemctl start cis-compliance-scanner.timer

Contoh 4

Contoh berikut mengonfigurasi pemindai untuk berjalan sekali sehari dan memilih tidak ikut rekomendasi CIS tertentu.

#cloud-config

runcmd:
# Opt-out of the etc-passwd-permissions check.
- sed -i 's/^EXTRA.*$/EXTRA_OPTIONS="--benchmark-opt-out-ids=etc-passwd-permissions"/' /etc/cis-scanner/env_vars
# Check the compliance of the instance once a day.
- systemctl start cis-compliance-scanner.timer

Menggunakan Kebijakan OS

Anda dapat menggunakan Kebijakan OS untuk mengonfigurasi pemindaian CIS Benchmark. Sebelum memulai, pastikan Anda memahami Kebijakan OS, termasuk hal-hal berikut:

Selain itu, Anda harus menambahkan opsi instanceFilter dan rollout dalam contoh berikut untuk deployment.

Contoh 1

Contoh konfigurasi berikut memulai pemindaian CIS Level 1 berkala dengan periode default sekali sehari.

# An OS policy to check CIS level 1 compliance once a day.
id: ensure-cis-level1-compliance-once-a-day-policy
mode: ENFORCEMENT
resourceGroups:
  - resources:
      id: ensure-cis-level1-compliance-once-a-day
      exec:
        validate:
          interpreter: SHELL
          # If cis-compliance-scanner.service is active, return an exit code
          # 100 to indicate that the instance is in compliant state.
          # Otherwise, return an exit code of 101 to run `enforce` step.
          script: |-
            is_active=$(systemctl is-active cis-compliance-scanner.timer)
            result=$(systemctl show -p Result --value cis-compliance-scanner.service)

            if [ "$is_active" == "active" ] && [ "$result" == "success" ]; then
              exit 100;
            else
              exit 101;
            fi
        enforce:
          interpreter: SHELL
          # COS 97 images are by-default CIS Level 1 compliant and there is no
          # additional configuration needed. However, if certain changes
          # cause non-compliance because of the workload on the instance, this
          # section can be used to automate to make fixes. For example, the
          # workload might generate a file that does not comply with the
          # recommended file permissions.
          # Return an exit code of 100 to indicate that the desired changes
          # successfully applied.
          script: |-
            # optional <your code>
            # Check the compliance of the instance once a day.
            systemctl start cis-compliance-scanner.timer && exit 100

Contoh 2

Contoh berikut mengonfigurasi pemindaian CIS Level 1 berkala sekali setiap jam.

# An OS policy to check CIS level 1 compliance once an hour.
id: ensure-cis-level1-compliance-once-an-hour-policy
mode: ENFORCEMENT
resourceGroups:
  - resources:
      id: ensure-cis-level1-compliance-once-an-hour
      exec:
        validate:
          interpreter: SHELL
          # If cis-compliance-scanner.service is active, return an exit code
          # 100 to indicate that the instance is in compliant state.
          # Otherwise, return an exit code of 101 to run `enforce` step.
          script: |-
            is_active=$(systemctl is-active cis-compliance-scanner.timer)
            result=$(systemctl show -p Result --value cis-compliance-scanner.service)

            if [ "$is_active" == "active" ] && [ "$result" == "success" ]; then
              exit 100;
            else
              exit 101;
            fi
        enforce:
          interpreter: SHELL
          # Return an exit code of 100 to indicate that the desired changes
          # were successfully applied.
          script: |-
            # Overwrite "OnUnitActiveSec" field of the
            # cis-compliance-scanner.timer to trigger
            # cis-compliance-scanner.service once an hour
            # instead of once a day.
            mkdir /etc/systemd/system/cis-compliance-scanner.timer.d
            tee /etc/systemd/system/cis-compliance-scanner.timer.d/override.conf <<EOF
            [Unit]
            Description=Run CIS Scanner once an hour

            [Timer]
            OnUnitActiveSec=1h
            EOF
            # Reload systemd units.
            systemctl daemon-reload
            # Check the compliance of the instance once an hour.
            systemctl start cis-compliance-scanner.timer && exit 100

Contoh 3

Contoh berikut mengonfigurasi pemindaian CIS Level 2 berkala dengan periode default sekali sehari.

# An OS policy to check CIS level 2 compliance once a day.
id: ensure-cis-level2-compliance-once-a-day-policy
mode: ENFORCEMENT
resourceGroups:
  - resources:
      id: ensure-cis-level2-compliance-once-a-day
      exec:
        validate:
          interpreter: SHELL
          # If cis-compliance-scanner.service is active, return an exit code
          # 100 to indicate that the instance is in compliant state.
          # Otherwise, return an exit code of 101 to run `enforce` step.
          script: |-
            is_active=$(systemctl is-active cis-compliance-scanner.timer)
            result=$(systemctl show -p Result --value cis-compliance-scanner.service)

            if [ "$is_active" == "active" ] && [ "$result" == "success" ]; then
              exit 100;
            else
              exit 101;
            fi
        enforce:
          interpreter: SHELL
          # Return an exit code of 100 to indicate that the desired changes
          # were successfully applied.
          script: |-
            # Configure the instance for CIS level 2.
            systemctl start cis-level2.service
            # Change the scan level to 2.
            sed -i 's/^LEVEL=.*$/LEVEL="2"/' /etc/cis-scanner/env_vars
            # Check the compliance of the instance once a day.
            systemctl start cis-compliance-scanner.timer && exit 100

Contoh 4

Contoh berikut mengonfigurasi pemindai untuk berjalan sekali sehari dan memilih tidak ikut rekomendasi CIS tertentu.

# An OS policy to opt-out of CIS check and check compliance status once a day.
id: exclude-cis-check-and-check-compliance-once-a-day-policy
mode: ENFORCEMENT
resourceGroups:
  - resources:
      id: exclude-cis-check-and-check-compliance-once-a-day
      exec:
        validate:
          interpreter: SHELL
          # If cis-compliance-scanner.service is active, return an exit code
          # 100 to indicate that the instance is in compliant state.
          # Otherwise, return an exit code of 101 to run `enforce` step.
          script: |-
            is_active=$(systemctl is-active cis-compliance-scanner.timer)
            result=$(systemctl show -p Result --value cis-compliance-scanner.service)

            if [ "$is_active" == "active" ] && [ "$result" == "success" ]; then
              exit 100;
            else
              exit 101;
            fi
        enforce:
          interpreter: SHELL
          # Return an exit code of 100 to indicate that the desired changes
          # were successfully applied.
          script: |-
            # Opt-out of the etc-passwd-permissions check.
            sed -i 's/^EXTRA.*$/EXTRA_OPTIONS="--benchmark-opt-out-ids=etc-passwd-permissions"/' /etc/cis-scanner/env_vars &&
            # Check the compliance of the instance once a day.
            systemctl start cis-compliance-scanner.timer
            # Ensure cis-compliance-scanner completes before exiting
            PID=$(systemctl show --property MainPID --value cis-compliance-scanner.service) &&
            timeout 5m bash -c -- 'while [ -e /proc/'$PID' ]; do echo "CIS Scanner with PID:'$PID' is still running"; sleep 1; done' &&
            exit 100

Pemecahan masalah

Bagian ini menjelaskan cara menyelesaikan masalah terkait pemindaian benchmark CIS.

Mengonfigurasi instance agar mematuhi rekomendasi CIS Level 2 gagal

Layanan cis-level2 pertama-tama mengonfigurasi instance agar mematuhi rekomendasi CIS Level 2, lalu memeriksa kepatuhannya terhadap CIS Level 1 dan Level 2. Jika konfigurasi instance gagal, layanan cis-level2 akan keluar dengan pesan error berikut:

Job for cis-level2.service failed because the control process exited with error code.
See "systemctl status cis-level2.service" and "journalctl -xeu cis-level2.service" for details.

Log jurnal akan menyebutkan rekomendasi yang gagal diterapkan pada instance dan mengakibatkan kegagalan layanan systemd cis-level2.

Pemeriksaan kepatuhan CIS Level 1 atau Level 2 gagal

Hasil pemindaian untuk setiap pemrosesan kepatuhan level CIS ditulis di /var/lib/google/cis_scanner_scan_result.textproto. Jika salah satu pemindaian CIS Level 1 atau Level 2 gagal, file textproto akan berisi daftar semua pemeriksaan yang gagal, seperti dalam contoh berikut:

cat /var/lib/google/cis_scanner_scan_result.textproto

# Output
start_time: {
  seconds: 1648241700
  nanos: 763152171
}
end_time: {
  seconds: 1648241700
  nanos: 812992527
}
scanner_version: "1.1.4.3"
benchmark_version: "1.0.0"
status: {
  status: SUCCEEDED
}
non_compliant_benchmarks: {
  id: "etc-passwd-permissions"
  compliance_occurrence: {
    non_compliant_files: {
      path: "/etc/passwd"
      reason: "File permission is 0664, expected the following bits to be set: 0444 and the following bits to be clear: 0133"
    }
  }
}
compliant_benchmarks:  {
  id:  "etc-passwd-permissions"
  compliance_occurrence:  {}
}

Untuk mengurangi pemeriksaan yang gagal, gunakan CIS Benchmark dan ikuti langkah-langkah di bagian Remediation untuk pemeriksaan yang gagal agar instance mematuhi kebijakan. Untuk menemukan rekomendasi yang sesuai dengan pemeriksaan yang gagal di CIS Benchmark, cari ID non_compliant_benchmark's di file konfigurasi pemindai CIS yang terletak di /usr/share/google/security/cis-compliance/cis_config.textproto.