Este documento explica o que é o CIS Benchmark, como ele se relaciona com o Container-Optimized OS (COS), como auditar o status de conformidade na instância e como solucionar problemas em caso de falha.
Visão geral
O Center for Internet Security (CIS) lança comparativos de mercado para práticas recomendadas de segurança para várias plataformas. O CIS Benchmark do Container-Optimized OS é um conjunto de recomendações para configurar instâncias que usam o Container-Optimized OS para oferecer suporte a uma postura de segurança robusta. As imagens COS x86 e ARM são compatíveis com CIS.
Como acessar o comparativo de mercado
O comparativo de mercado da CIS para Container-Optimized OS está disponível no site da CIS:
- Acesse a página de downloads de comparativos de mercado da CIS.
- Pesquise Comparativo de mercado da CIS para Google Container-Optimized OS.
- Clique em Fazer download do PDF.
Níveis de recomendação de segurança
O CIS define os seguintes níveis de recomendação para o Container-Optimized OS.
Nível 1
As recomendações nesse nível são aplicáveis à maioria dos ambientes. Esse nível inclui recomendações como as seguintes:
- A ordem aleatória do layout do espaço de endereço está ativada
- O
/tmp
não pode ser usado para executar binários executáveis - O envio do redirecionamento de pacotes está desativado
Nível 2
As recomendações nesse nível estendem as recomendações do nível 1, resultando em um ambiente de segurança mais rigoroso. As recomendações de nível 2 não são necessariamente aplicáveis a todos os casos porque podem exigir mudanças no aplicativo. Avalie as recomendações no nível 2 para seu ambiente antes de aplicá-las. Esse nível inclui recomendações como as seguintes:
- Há regras de firewall para todas as portas abertas
- Redirecionamentos ICMP e anúncios de roteador não são aceitos
- O tempo limite padrão do shell do usuário é de 900 segundos ou menos
Como o Container-Optimized OS está em conformidade com os CIS Benchmarks
A partir do marco 97, as imagens do Container-Optimized OS estão em conformidade com o nível 1 do CIS por padrão e oferecem uma opção de conformidade com o nível 2 do CIS. Também fornecemos um scanner que pode ser usado para auditar sua instância em relação aos níveis de recomendação do CIS.
A configuração do CIS que define as recomendações está presente em /usr/share/google/security/cis-compliance/cis_config.textproto
. O scanner de CIS usa a configuração para verificar o status de conformidade da instância. Os resultados de cada execução do verificador de compliance do CIS são gravados em /var/lib/google/cis_scanner_scan_result.textproto
. Este arquivo é substituído a cada execução do verificador de CIS. Se qualquer uma das verificações de nível 1 ou 2 do CIS falhar, o arquivo cis_scanner_scan_result.textproto
vai conter uma lista de todas as verificações com falha.
Verificar o status de conformidade da instância
As imagens do Container-Optimized OS oferecem os seguintes serviços systemd para verificação e configuração de conformidade:
- cis-level1.service: ativado por padrão e iniciado na inicialização. Quando o serviço é iniciado, ele verifica se a instância está em conformidade com o CIS nível 1.
- cis-level2.service: desativado por padrão. Esse serviço permite configurar a instância para cumprir o CIS nível 2 e verifica o status de conformidade em relação aos níveis 1 e 2.
As seções a seguir explicam como verificar o status de conformidade da instância e como automatizar o processo de auditoria.
Verifique o status de compliance com o nível 1 do CIS
Para ver se a instância está em conformidade com o CIS nível 1, verifique o status do cis-level1.service
:
systemctl status cis-level1
O resultado será assim:
Reading scan config from /usr/share/google/security/cis-compliance/cis_config.textproto
Running scan of 62 benchmarks
Scan status: SUCCEEDED
Found 0 non-compliant benchmarks
Writing scan results to /var/lib/google/cis_scanner_scan_result.textproto
Se alguma verificação não estiver em conformidade for encontrada, consulte Falha na verificação de nível 1/nível 2 de compliance com o CIS.
O cis-level1.service
verifica a conformidade com o nível 1 do CIS apenas uma vez, quando a instância é inicializada. Para configurar a verificação periódica de conformidade, consulte Verificação periódica do status de compliance com CIS.
Configurar compliance com CIS de nível 2 e verificar status
É possível usar o serviço cis-level2
para configurar a instância para cumprir com o CIS nível 2 e para verificar o status de conformidade em relação aos níveis 1 e 2. O serviço systemd oferece suporte a todas as recomendações de nível 2 do CIS, exceto:
4.1.1.2 Verificar se o Logging está em execução (ID: logging-service-running)
Essa recomendação fica desativada por padrão, mas pode ser reativada excluindo o ID da lista de recursos desativados no arquivo
/etc/cis-scanner/env_vars
. Essa verificação só existe nos marcos 109 e posteriores. Nos marcos anteriores, ativar o Logging garante compliance com essa recomendação. Se você desfazer a desativação, executar o serviçocis-level2
vai executar um script que inicia a geração de registros do fluent-bit. Mantenha a opção de registrologging-service-running
desativada se não quiser usar nossa geração de registros padrão ou quiser usar sua própria geração de registros.
Para as seguintes recomendações, o serviço cis-level2
configura a instância, mas não verifica o status de conformidade:
105 e inferior:
- 3.3.1.1 Garantir a política de firewall de negação padrão do IPv6
- 3.3.1.2 Verificar se o tráfego de loopback IPv6 está configurado
- 3.3.1.3 Verificar se as conexões IPv6 e estabelecidas estão configuradas
- 3.3.1.4 Verificar se há regras de firewall IPv6 para todas as portas abertas
- 3.3.2.1 Garantir a política de firewall de negação padrão
- 3.3.2.2 Verificar se o tráfego de loopback está configurado
- 3.3.2.3 Verificar se as conexões de saída e estabelecidas estão configuradas
109 e mais recentes:
- 3.3.1.4 Verificar se há regras de firewall IPv6 para todas as portas abertas
O serviço cis-level2
fica desativado por padrão. Para iniciar o serviço, execute o seguinte comando:
systemctl start cis-level2.service
Para ver se a instância foi configurada com sucesso e está em conformidade com as recomendações do CIS de nível 2, verifique o status de cis-level2.service
:
systemctl status cis-level2
O resultado será assim:
Reading scan config from /usr/share/google/security/cis-compliance/cis_config.textproto
Running scan of 112 benchmarks
Scan status: SUCCEEDED
Found 0 non-compliant benchmarks
Writing scan results to /var/lib/google/cis_scanner_scan_result.textproto
Se a configuração da instância falhar ou se forem encontradas verificações incompatíveis, consulte Solução de problemas.
O serviço cis-level2
configura a instância e verifica a conformidade com o nível 2 do CIS apenas uma vez. Para configurar a verificação periódica de conformidade, consulte Verificação periódica do status de compliance com CIS.
Verificação periódica do status de compliance com o CIS
As imagens do Container-Optimized OS incluem os serviços a seguir para verificar periodicamente a conformidade com CIS:
- cis-compliance-scanner.service: verifica o status de conformidade com base nas variáveis de ambiente definidas em
/etc/cis-scanner/env_vars
. Por padrão, esse serviço verifica a conformidade com o nível 1 do CIS e está desativado. - cis-compliance-scanner.timer: executa
cis-compliance-scanner.service
periodicamente. O período padrão é uma vez por dia.
Configurar o serviço do scanner
O cis-compliance-scanner.service
é responsável por verificar o status de compliance com o CIS com base nas variáveis de ambiente definidas em /etc/cis-scanner/env_vars
. Por padrão, esse serviço verifica a conformidade com o nível 1 do CIS.
Para verificar a conformidade com o nível 2 do CIS, defina a variável de ambiente LEVEL em /etc/cis-scanner/env_vars
como 2. O arquivo /etc/cis-scanner/env_vars
será semelhante a este:
# cis-compliance-scanner.service environment variables
# The config file defines which checks to perform by cis_scanner
CONFIG="/usr/share/google/security/cis-compliance/cis_config.textproto"
# Where to store the result of the scan
RESULT="/var/lib/google/cis_scanner_scan_result.textproto"
# Upto which level to scan. It can be 1 or 2
LEVEL="2"
# Extra options that can be passed to cis_scanner
# For valid options, see output of `cis_scanner -h`
EXTRA_OPTIONS=""
Configurar o timer
Para configurar a verificação periódica de compliance, inicie a unidade cis-compliance-scanner.timer
:
systemctl start cis-compliance-scanner.timer
Por padrão, cis-compliance-scanner.timer
começa cis-compliance-scanner.service
uma vez por dia. Para alterar o período de verificação, substitua o campo OnUnitActiveSec da unidade cis-compliance-scanner.timer
:
sudo mkdir /etc/systemd/system/cis-compliance-scanner.timer.d
sudo tee /etc/systemd/system/cis-compliance-scanner.timer.d/override.conf <<EOF
[Unit]
Description=Run CIS Scanner once an hour
[Timer]
OnUnitActiveSec=1h
EOF
Neste exemplo, o período da verificação é definido como uma vez por hora.
Para aplicar as alterações, atualize as unidades do sistema:
systemctl daemon-reload
Recusar verificações específicas de conformidade com CIS
As recomendações de nível 1 e 2 do CIS são aplicadas à maioria dos ambientes. No entanto ,algumas recomendações podem não ser aplicáveis ao seu ambiente específico. Para desativar recomendações específicas, use a variável de ambiente EXTRA_OPTIONS no /etc/cis-scanner/env_vars
.
O arquivo env_vars
de exemplo a seguir desativa a recomendação etc-passwd-permissions
:
# cis-compliance-scanner.service environment variables
# The config file defines which checks to perform by cis_scanner
CONFIG="/usr/share/google/security/cis-compliance/cis_config.textproto"
# Where to store the result of the scan
RESULT="/var/lib/google/cis_scanner_scan_result.textproto"
# Upto which level to scan. It can be 1 or 2
LEVEL="1"
# Extra options that can be passed to cis_scanner
# For valid options:`cis_scanner -h`
EXTRA_OPTIONS="--benchmark-opt-out-ids=etc-passwd-permissions"
Automatize a ativação e a verificação do status de compliance do CIS
Automatize o processo de verificação de conformidade das instâncias usando cloud-init ou política do SO. Os exemplos a seguir mostram alguns casos de uso com cada ferramenta:
- Exemplo 1: verifique a conformidade com o nível 1 do CIS uma vez por dia.
- Exemplo 2: verifique a conformidade com o nível 1 do CIS uma vez por hora.
- Exemplo 3: verifique a conformidade com o nível 2 do CIS uma vez por dia.
- Exemplo 4: recusar uma verificação específica de compliance do CIS.
Como usar o cloud-init
Antes de testar os exemplos a seguir, siga as instruções em Como usar o cloud-init com o formato de configuração do Cloud para se familiarizar com a configuração de uma instância do COS com cloud-init.
Exemplo 1
O exemplo de configuração a seguir inicia a verificação periódica do CIS de nível 1 com o período padrão de uma vez por dia.
#cloud-config runcmd: # Check the compliance status of the instance once a day. - systemctl start cis-compliance-scanner.timer
Exemplo 2
O exemplo a seguir configura a verificação periódica de nível 1 do CIS uma vez por hora.
#cloud-config # Override cis-compliance-scanner.timer with 1 hour frequency. write_files: - path: /etc/systemd/system/cis-compliance-scanner.timer.d/override.conf permissions: 0600 owner: root content: | [Unit] Description=Run CIS Scanner once an hour [Timer] OnUnitActiveSec=1h runcmd: # Reload systemd units. - systemctl daemon-reload # Check the compliance status of the instance once an hour. - systemctl start cis-compliance-scanner.timer
Exemplo 3
O exemplo a seguir configura a verificação periódica do CIS de nível 2 com o período padrão de uma vez por dia.
#cloud-config runcmd: # Configure the instance for CIS level 2. - systemctl start cis-level2.service # Change the scan level to CIS Level 2. - sed -i 's/^LEVEL=.*$/LEVEL="2"/' /etc/cis-scanner/env_vars # Check the compliance status of the instance once a day. - systemctl start cis-compliance-scanner.timer
Exemplo 4
O exemplo a seguir configura o scanner para ser executado uma vez por dia e desativa uma recomendação CIS específica.
#cloud-config runcmd: # Opt-out of the etc-passwd-permissions check. - sed -i 's/^EXTRA.*$/EXTRA_OPTIONS="--benchmark-opt-out-ids=etc-passwd-permissions"/' /etc/cis-scanner/env_vars # Check the compliance of the instance once a day. - systemctl start cis-compliance-scanner.timer
Como usar a política do SO
É possível usar uma política do SO para configurar a verificação do CIS Benchmark. Antes de começar, conheça a política do SO, que inclui o seguinte:
- Como gravar política do SO
- Atribuição de políticas do SO
- Como visualizar relatórios de atribuição de políticas do SO
Além disso, você precisa adicionar as opções instanceFilter
e rollout
nos exemplos a seguir para a implantação.
Exemplo 1
O exemplo de configuração a seguir inicia a verificação periódica do CIS de nível 1 com o período padrão de uma vez por dia.
Exemplo 2
O exemplo a seguir configura a verificação periódica de nível 1 do CIS uma vez por hora.
Exemplo 3
O exemplo a seguir configura a verificação periódica do CIS de nível 2 com o período padrão de uma vez por dia.
Exemplo 4
O exemplo a seguir configura o scanner para ser executado uma vez por dia e desativa uma recomendação CIS específica.
Solução de problemas
Nesta seção, descrevemos como resolver problemas relacionados à verificação de comparativos de mercado do CIS.
Falha ao configurar uma instância para obedecer às recomendações de nível 2 do CIS
O serviço cis-level2
primeiro configura a instância para obedecer às recomendações de
nível 2 do CIS e, em seguida, verifica a conformidade com os níveis 1 e 2 do CIS. Em caso de falha na configuração da instância, o serviço cis-level2
é encerrado com a seguinte mensagem de erro:
Job for cis-level2.service failed because the control process exited with error code.
See "systemctl status cis-level2.service" and "journalctl -xeu cis-level2.service" for details.
Os registros do diário mencionarão as recomendações que não foram aplicadas na instância e resultaram em uma falha do serviço systemd cis-level2
.
Falha na verificação de nível 1 ou 2 de compliance com o CIS
Os resultados da verificação para cada execução de conformidade no nível do CIS são gravados em /var/lib/google/cis_scanner_scan_result.textproto
. Se qualquer uma das verificações de nível 1 ou 2 do CIS falhar, o arquivo textproto vai conter a lista de todas as verificações com falha, como no exemplo a seguir:
cat /var/lib/google/cis_scanner_scan_result.textproto
# Output
start_time: {
seconds: 1648241700
nanos: 763152171
}
end_time: {
seconds: 1648241700
nanos: 812992527
}
scanner_version: "1.1.4.3"
benchmark_version: "1.0.0"
status: {
status: SUCCEEDED
}
non_compliant_benchmarks: {
id: "etc-passwd-permissions"
compliance_occurrence: {
non_compliant_files: {
path: "/etc/passwd"
reason: "File permission is 0664, expected the following bits to be set: 0444 and the following bits to be clear: 0133"
}
}
}
compliant_benchmarks: {
id: "etc-passwd-permissions"
compliance_occurrence: {}
}
Para reduzir as falhas nas verificações, use o Comparativo de mercado CIS e siga as etapas na seção Remediation
da verificação com falha para deixar a instância em conformidade. Para descobrir qual recomendação corresponde a uma verificação com falha no comparativo de mercado CIS, procure o ID non_compliant_benchmark's
no arquivo de configuração do scanner CIS localizado em /usr/share/google/security/cis-compliance/cis_config.textproto
.