Il presente documento descrive il livello di conformità Google Distributed Cloud ha con il CIS Ubuntu Benchmark.
Accedi al benchmark
Il CIS Ubuntu Benchmark è disponibile su Sito web CIS.
Profilo di configurazione
Nel documento CIS Ubuntu Benchmark, puoi leggere informazioni sui profili di configurazione. Le immagini Ubuntu utilizzate da Google Distributed Cloud sono protette per soddisfare Livello 2 - Profilo server.
Valutazione su Google Distributed Cloud
Utilizziamo i seguenti valori per specificare lo stato dei suggerimenti di Ubuntu in Google Distributed Cloud.
| Stato | Descrizione |
|---|---|
| Pass | È conforme a un consiglio di benchmark. |
| Fail | Non rispetta un consiglio sui benchmark. |
| Controllo equivalente | Non rispetta i termini esatti in un consiglio sui benchmark ma altri meccanismi in Google Distributed Cloud forniscono i controlli di sicurezza. |
| Dipende dall'ambiente | Google Distributed Cloud non configura elementi relativi a un il nostro consiglio di benchmark. La tua configurazione determina se le tue in un ambiente conforme a quanto raccomandato. |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono protette per soddisfare la CIS Livello 2 - Profilo server. La tabella seguente spiega perché i componenti di Google Distributed Cloud non hanno soddisfatto determinati suggerimenti.
Google Distributed Cloud 1.29
Disponibile a breve.Google Distributed Cloud 1.28
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione Google Distributed Cloud | Versione Ubuntu | Versione CIS Ubuntu Benchmark | Livello CIS |
|---|---|---|---|
| 1,28 | 22,04 LTS | v1.0.0 | Server di livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono protette per soddisfare la CIS Livello 2 - Profilo server. La tabella seguente spiega perché i componenti di Google Distributed Cloud non hanno soddisfatto determinati suggerimenti.
| # | Consiglio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|
| 1.1.2.1 | Assicurati che /tmp si trovi in una partizione separata | Fail | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.3.1 | Assicurati che /var sia posizionato in una partizione separata | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.4.1 | Assicurati che /var/tmp si trovi in una partizione separata | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.5.1 | Assicurati che /var/log sia posizionato in una partizione separata | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.6.1 | Assicurati che /var/log/audit si trovi in una partizione separata | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.7.1 | Assicurati che /home si trovi in una partizione separata | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.4.1 | Imposta password per il bootloader in grub2 | Dipende dall'ambiente | Nessuna password root impostata nelle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.4.3 | Assicurati che sia richiesta l'autenticazione per la modalità Utente singolo | Dipende dall'ambiente | Nessuna password root impostata nelle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 2.3.6 | Disinstalla pacchetto rpcbind | Non riuscito | rpcbind è installato nell'immagine cloud Canonical, anche se non è abilitato per impostazione predefinita. La regola non funziona perché richiede che non sia installata | Tutti i nodi del cluster Workstation di amministrazione, Altalena |
| 3.3.7 | Abilita il parametro del kernel per usare il filtro del percorso inverso su tutte le interfacce IPv4 | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono obbligatori per la distribuzione del bilanciamento del carico del cluster. | Nodi master non amministrativi Altalena |
| 3.5.2.6 | Imposta la configurazione nftables per il traffico di loopback | Non risolvibile | La rete Anthos è stata interessata da questa regola. | Tutti i nodi del cluster, workstation di amministrazione, Seesaw |
| 3.5.2.8 | Assicurati che il criterio firewall di negazione predefinito nftables | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, workstation di amministrazione, Seesaw |
| 4.2.3 | Verifica le autorizzazioni dei file di log | Fail | Questo test specifico è eccessivamente restrittivo e irrealistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 5.2.18 | Limita utenti Accesso SSH | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 5.3.4 | Assicurati che gli utenti eseguano nuovamente l'autenticazione per l'escalation dei privilegi - sudo | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 5.5.1.2 | Imposta età massima password | Controllo equivalente | Le VM per Google Distributed Cloud si basano su una chiave SSH per l'accesso dell'utente, anziché sull'utilizzo di una password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che tutti i file siano di proprietà di un utente | Fail | Le autorizzazioni sono state lasciate invariate. | Tutti i nodi del cluster |
Google Distributed Cloud 1.16
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione Google Distributed Cloud | Versione Ubuntu | Versione CIS Ubuntu Benchmark | Livello CIS |
|---|---|---|---|
| 1,16 | 20,04 LTS | v1.0.0 | Server di livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono protette per soddisfare la CIS Livello 2 - Profilo server. La tabella seguente spiega perché i componenti di Google Distributed Cloud non hanno soddisfatto determinati suggerimenti.
| # | Consiglio | Con punteggio/Senza punteggio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|---|
| 1.1.2 | Assicurati che /tmp sia configurato | Con punteggio | Fail | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.10 | Assicurati che esista una partizione separata per /var | Con punteggio | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.11 | Assicurati che esista una partizione separata per /var/tmp | Con punteggio | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.15 | Assicurati che esista una partizione separata per /var/log | Con punteggio | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.16 | Assicurati che esista una partizione separata per /var/log/audit | Con punteggio | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.17 | Assicurati che esista una partizione separata per /home | Con punteggio | Non risolvibile | Al momento, Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.1.22 | Assicurati che il bit fisso sia impostato su tutte le directory scrivibili pubblicamente | Con punteggio | Fail | Questo potrebbe interferire con la funzionalità di Anthos e dei suoi servizi e non è abilitato per impostazione predefinita | Tutti i nodi del cluster, Workstation di amministrazione |
| 1.5.1 | Assicurati che siano configurate le autorizzazioni nella configurazione del bootloader | Con punteggio | Fail | Le autorizzazioni sono state lasciate invariate. | Tutti i nodi del cluster, Altalena |
| 1.5.2 | Assicurati che sia impostata la password del bootloader | Con punteggio | Dipende dall'ambiente | Nessuna password root impostata nelle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 1.5.3 | Assicurati che sia richiesta l'autenticazione per la modalità utente singolo | Con punteggio | Dipende dall'ambiente | Nessuna password root impostata nelle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 2.3.6 | Assicurati che RPC non sia installato | Con punteggio | Non riuscito | rpcbind è installato nell'immagine cloud Canonical, anche se non è abilitato per impostazione predefinita. La regola non funziona perché richiede che non sia installata | Tutti i nodi del cluster |
| 3.2.2 | Assicurati che l'IP forwarding sia disabilitato | Con punteggio | Fail | L'IP forwarding è necessariamente necessario per consentire a Kubernetes (GKE) di funzionare e instradare il traffico correttamente | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 3.2.7 | Assicurati che il filtro del percorso inverso sia abilitato | Con punteggio | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono obbligatori per la distribuzione del bilanciamento del carico del cluster | Seesaw |
| 3.5.3.2.1 | Assicurati che il criterio firewall di negazione predefinito | Con punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, workstation di amministrazione, Seesaw |
| 3.5.3.2.2 | Assicurati che il traffico di loopback sia configurato | Con punteggio | Dipende dall'ambiente | L'utilizzo dell'interfaccia di loopback è limitato data la funzionalità di bilanciamento del carico utilizzata. | Seesaw |
| 3.5.3.2.4 | Assicurati che esistano regole firewall per tutte le porte aperte | Senza punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 3.5.3.3.1 | Assicurati che il criterio firewall di negazione predefinito IPv6 | Con punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. Inoltre, Anthos non ha alcun requisito per IPv6 in base al supporto GA. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 3.5.3.3.2 | Assicurati che il traffico di loopback IPv6 sia configurato | Con punteggio | Dipende dall'ambiente | Anthos non ha alcun requisito per IPv6 in base al supporto GA. | dal piano di controllo amministrativo, Altalena |
| 4.1.1.3 | Assicurati che il controllo dei processi avviati prima del controllo sia abilitato | Con punteggio | Fail | Un problema noto con il nostro processo di compilazione segnala come Non riuscito, ma dovrebbe essere considerato un falso allarme. Questo problema verrà risolto in futuro. | Tutti i nodi del cluster, Altalena |
| 4.1.11 | Assicurati che venga raccolto l'utilizzo di comandi con privilegi | Con punteggio | Fail | Alcuni programmi binari vengono installati in fase di runtime, pertanto è necessaria la correzione del runtime. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 4.2.1.5 | Assicurati che rsyslog sia configurato in modo da inviare i log a un host di log remoto | Con punteggio | Dipende dall'ambiente | Google Distributed Cloud attualmente raccoglie tutti i log inseriti nel journal (dai servizi di sistema). Questi log possono essere visualizzati in "k8s_node" | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 4.2.3 | Assicurati che siano configurate le autorizzazioni per tutti i file di log | Con punteggio | Fail | Questo test specifico è eccessivamente restrittivo e irrealistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 4.4 | Assicurati che logrotate assegni le autorizzazioni appropriate | Con punteggio | Non riuscito | Il rispetto di questa regola potrebbe influire sull'attuale funzionalità di logging | Tutti i nodi del cluster, Seesaw |
| 5.2.18 | Assicurati che l'accesso SSH sia limitato | Con punteggio | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. Può essere configurato in modo da soddisfare requisiti specifici. | Tutti i nodi del cluster, Workstation di amministrazione, Altalena |
| 5.2.20 | Assicurati che SSH allowTcpForwarding sia disabilitato | Con punteggio | Non riuscito | Il rispetto di questa regola potrebbe influire sull'attuale funzionalità del tunnel SSH | Tutti i nodi del cluster |
| 5.4.1.1 | Assicurati che la scadenza della password sia al massimo di 365 giorni | Con punteggio | Controllo equivalente | Le VM per Google Distributed Cloud si basano su una chiave SSH per l'accesso dell'utente, anziché sull'utilizzo di una password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che non esistano file scrivibili pubblicamente | Con punteggio | Fail | Le autorizzazioni sono state lasciate invariate. | Tutti i nodi del cluster |
| 6.1.11 | Assicurati che non esistano file o directory non di proprietà | Con punteggio | Fail | Le autorizzazioni sono state lasciate invariate. | Tutti i nodi del cluster |
| 6.1.12 | Assicurati che non esistano file o directory non raggruppati | Con punteggio | Fail | Le autorizzazioni sono state lasciate invariate. | Tutti i nodi del cluster |
| 6.2.7 | Assicurati che gli utenti i file dot non sono scrivibili in gruppi o pubblicamente | Con punteggio | Fail | Le impostazioni predefinite per le autorizzazioni del gruppo di file di autorizzazione Ubuntu a causa della compatibilità | Workstation di amministrazione |
Configura cron job AIDE
AIDE è uno strumento di controllo dell'integrità dei file che garantisce la conformità a CIS L1
Benchmark del server 1,4 Filesystem Integrity Checking. In Google Distributed Cloud,
il processo AIDE causa problemi di utilizzo elevato delle risorse.
Il processo AIDE sui nodi è disabilitato per impostazione predefinita per impedire
che le applicazioni presentino
problemi di prestazioni. Ciò influirà sulla conformità al benchmark server CIS L1 1.4.2: Ensure
filesystem integrity is regularly checked.
Se vuoi attivare l'esecuzione del AIDE cron job, completa i seguenti passaggi per abilitarlo di nuovo AIDE:
Creare un DaemonSet.
Ecco un manifest per un DaemonSet:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /Nel manifest riportato sopra:
Il cron job AIDE verrà eseguito solo sul pool di nodi
pool-1come specificato dal nodeSelectorcloud.google.com/gke-nodepool: pool-1. Puoi configurare che il processo AIDE venga eseguito su tutti i pool di nodi che desideri specificando pool sotto il camponodeSelector. Eseguire la stessa pianificazione di un cron job. in diversi pool di nodi, rimuovi il camponodeSelector. Tuttavia, per evita le congestioni delle risorse dell'host, ti consigliamo di mantenere le pianificazioni degli annunci.Il cron job è pianificato per essere eseguito ogni giorno alle 5:30, come specificato configurazione
minute=30;hour=5. Puoi configurare programmazioni diverse il cron job AIDE come richiesto.
Copia il manifest in un file denominato
enable-aide.yamle crea il DaemonSet:kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
dove USER_CLUSTER_KUBECONFIG è il percorso file kubeconfig per il tuo cluster utente.