In diesem Dokument wird der Compliancegrad von GKE on VMware mit der CIS-Ubuntu-Benchmark beschrieben.
Versionen
Dieses Dokument bezieht sich auf folgende Versionen:
| Anthos-Version | Ubuntu-Version | Version der CIS-Ubuntu-Benchmark | CIS-Level |
|---|---|---|---|
| 1,28 | 22.04 Langzeitsupport | v1.0.0 | Level-2-Server |
Auf die Benchmark zugreifen
Die CIS-Ubuntu-Benchmark steht auf der CIS-Website zur Verfügung:
Konfigurationsprofil
Im Dokument zur CIS-Ubuntu-Benchmark finden Sie Informationen zu Konfigurationsprofilen. Die von GKE auf VMware verwendeten Ubuntu-Images sind gehärtet, um das Serverprofil der Stufe 2 zu erfüllen.
Bewertung in GKE on VMware
Wir verwenden die folgenden Werte, um den Status von Ubuntu-Empfehlungen in GKE on VMware anzugeben.
| Status | Beschreibung |
|---|---|
| Bestanden | Entspricht einer Benchmarkempfehlung. |
| Nicht bestanden | Entspricht nicht einer Benchmarkempfehlung. |
| Gleichwertige Kontrolle | Entspricht nicht genau den Bedingungen in einer Benchmark-Empfehlung, aber andere Mechanismen in GKE on VMware bieten gleichwertige Sicherheitskontrollen. |
| Umgebungsabhängig | GKE on VMware konfiguriert keine Elemente, die sich auf eine Benchmark-Empfehlung beziehen. Ihre Konfiguration bestimmt, ob Ihre Umgebung der Empfehlung entspricht. |
Status von GKE on VMware
Die mit GKE on VMware verwendeten Ubuntu-Images sind gehärtet, um das Serverprofil für CIS-Level 2 zu erfüllen. Die folgende Tabelle enthält Gründe dafür, warum Komponenten von GKE on VMware bestimmte Empfehlungen nicht bestanden haben.
| # | Empfehlung | Status | Begründung | Betroffene Komponenten |
|---|---|---|---|---|
| 1.1.2.1 | Achten Sie darauf, dass „/tmp“ in einer separaten Partition gespeichert ist | Nicht bestanden | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.1.3.1 | Achten Sie darauf, dass sich /var in einer separaten Partition befindet | Wird nicht behoben | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.1.4.1 | Achten Sie darauf, dass „/var/tmp“ in einer separaten Partition gespeichert ist | Wird nicht behoben | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.1.5.1 | Achten Sie darauf, dass sich /var/log in einer separaten Partition befindet | Wird nicht behoben | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.1.6.1 | Achten Sie darauf, dass sich /var/log/audit in einer separaten Partition befindet | Wird nicht behoben | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.1.7.1 | Achten Sie darauf, dass sich /home auf einer separaten Trennwand befindet | Wird nicht behoben | Canonical plant derzeit keine Änderungen der Cloud-Image-Partitionen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.4.1 | Bootloader-Passwort in grub2 festlegen | Umgebungsabhängig | Für Ubuntu-Cloud-Images ist kein Root-Passwort festgelegt. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 1.4.3 | Achten Sie darauf, dass eine Authentifizierung für den Einzelnutzermodus erforderlich ist | Umgebungsabhängig | Für Ubuntu-Cloud-Images ist kein Root-Passwort festgelegt. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 2.3.6 | Paket RPCbind deinstallieren | Fehlgeschlagen | rpcbind ist auf dem kanonischen Cloud-Image installiert, aber nicht standardmäßig aktiviert. Die Regel schlägt fehl, da es ihr zufolge nicht installiert sein darf. | Alle Clusterknoten Administratorworkstation, Seesaw |
| 3.3.7 | Kernelparameter aktivieren, um Reverse-Path-Filter auf allen IPv4-Schnittstellen zu verwenden | Umgebungsabhängig | Asynchrones Routing und die Herkunft von umgekehrten Pfaden sind eine Voraussetzung für die Bereitstellung von Cluster-Load-Balancing. | Nicht-Administrator-Master-Knoten Seesaw |
| 3.5.2.6 | nftables-Konfiguration für Loopback-Traffic festlegen | Wird nicht behoben | Das Anthos-Netzwerk ist von dieser Regel betroffen. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 3.5.2.8 | Achten Sie darauf, dass nftables Standard-Firewallrichtlinie zum Ablehnen von Ablehnungen verwendet wird | Umgebungsabhängig | Es wird empfohlen, GKE on VMware in einem privaten Netzwerk mit entsprechenden Firewallschutzmaßnahmen bereitzustellen. Die erforderlichen Firewallregeln finden Sie hier. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 4.2.3 | Berechtigungen von Protokolldateien überprüfen | Nicht bestanden | Dieser spezifische Test ist zu restriktiv und unrealistisch, da viele Dienste eine Gruppe zum Schreiben von Logdateien benötigen. Dieses Element wird möglicherweise in einer zukünftigen Benchmark entfernt. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 5.2.18 | SSH-Zugriff von Nutzern einschränken | Umgebungsabhängig | Dies ist nicht standardmäßig konfiguriert. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 5.3.4 | Achten Sie darauf, dass sich Nutzer für die Ausweitung von Berechtigungen neu authentifizieren müssen – sudo | Umgebungsabhängig | Dies ist nicht standardmäßig konfiguriert. | Alle Clusterknoten, Administrator-Workstation, Seesaw |
| 5.5.1.2 | Höchstalter für Passwort festlegen | Gleichwertige Kontrolle | VMs für GKE on VMware basieren auf einem SSH-Schlüssel für die Nutzeranmeldung anstelle des Passworts | Alle Clusterknoten |
| 6.1.10 | Sicherstellen, dass alle Dateien einem Nutzer gehören | Nicht bestanden | Berechtigungen wurden als Standard beibehalten. | Alle Clusterknoten |