En este documento, se describe el nivel de cumplimiento que GKE en VMware tiene con la comparativa de CIS para Ubuntu.
Versiones
En este documento, se hace referencia a las siguientes versiones:
| Versión de Anthos | Versión de Ubuntu | Versión de la comparativa de CIS para Ubuntu | Nivel de CIS |
|---|---|---|---|
| 1.28 | 22.04 LTS | v1.0.0 | Servidor de nivel 2 |
Accede a la comparativa
La comparativa de CIS para Ubuntu está disponible en el sitio web de CIS.
Perfil de configuración
En el documento de la comparativa de CIS para Ubuntu, puedes leer sobre los perfiles de configuración. Las imágenes de Ubuntu que usa GKE en VMware se endurecen para cumplir con el perfil de servidor Level 2:
Evaluación en GKE en VMware
Usamos los siguientes valores para especificar el estado de las recomendaciones de Ubuntu en GKE on VMware.
| Estado | Descripción |
|---|---|
| Pass | Cumple con una recomendación de comparativa. |
| Reprobadas | No cumple con una recomendación de comparativa. |
| Control equivalente | No cumple con los términos exactos de una recomendación de comparativa, pero otros mecanismos de GKE en VMware proporcionan controles de seguridad equivalentes. |
| Depende del entorno | GKE en VMware no configura elementos relacionados con una recomendación de comparativas. Tu configuración determina si tu entorno cumple con la recomendación. |
Estado de GKE en VMware
Las imágenes de Ubuntu que se usan con GKE en VMware se endurecen para cumplir con el perfil de servidor de nivel 2 de CIS. En la siguiente tabla, se justifican por qué los componentes de GKE en VMware no aprobaron ciertas recomendaciones.
| # | Recomendación | Estado | Justificación | Componentes afectados |
|---|---|---|---|---|
| 1.1.2.1 | Asegúrate de que /tmp esté ubicado en una partición separada | Reprobada | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.1.3.1 | Asegúrate de que /var esté ubicado en una partición separada | No se corregirá | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.1.4.1 | Asegúrate de que /var/tmp esté ubicado en una partición separada | No se corregirá | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.1.5.1 | Asegúrate de que /var/log esté ubicado en una partición separada | No se corregirá | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.1.6.1 | Asegúrate de que /var/log/audit esté ubicado en una partición separada | No se corregirá | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.1.7.1 | Asegúrate de que /home esté ubicado en una partición separada | No se corregirá | En este momento, Canonical no tiene planes de modificar las particiones de imagen en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.4.1 | Establecer la contraseña del cargador de arranque en scratch2 | Depende del entorno | No se configuró una contraseña raíz en las imágenes de Ubuntu en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 1.4.3 | Asegúrate de que se requiera autenticación para el modo de usuario único | Depende del entorno | No se configuró una contraseña raíz en las imágenes de Ubuntu en la nube. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 2.3.6 | Desinstalar paquete rpcbind | Con errores | rpcbind está instalada en la imagen canónica de la nube, aunque no está habilitada de forma predeterminada. La regla falla porque requiere que no esté instalada | Todos los nodos del clúster Estación de trabajo de administrador, |
| 3.3.7 | Habilitar el parámetro de kernel para usar el filtrado de ruta inversa en todas las interfaces IPv4 | Depende del entorno | El enrutamiento asíncrono y el origen de la ruta de acceso inversa son un requisito para entregar el balanceo de cargas del clúster. | Nodos que no son administradores principales Seesaw |
| 3.5.2.6 | Establece la configuración de nftables para el tráfico de bucle invertido. | No se corregirá | La red de Anthos se vio afectada por esta regla. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 3.5.2.8 | Asegúrate de que la política de firewall de denegación predeterminada de nftables | Depende del entorno | Se recomienda que GKE en VMware se implemente en una red privada con las protecciones de firewall adecuadas. Puedes encontrar las reglas de firewall necesarias aquí. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 4.2.3 | Verifica los permisos de los archivos de registro | Reprobada | Esta prueba específica es demasiado restrictiva y poco realista, ya que muchos servicios pueden requerir que un grupo escriba archivos de registro. Es posible que se quite este elemento en una comparativa futura. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 5.2.18 | Limita el acceso SSH de los usuarios | Depende del entorno | No se configura de forma predeterminada. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 5.3.4 | Asegúrate de que los usuarios se vuelvan a autenticar para la escalación de privilegios: sudo | Depende del entorno | No se configura de forma predeterminada. | Todos los nodos del clúster, la estación de trabajo de administrador, Seesaw |
| 5.5.1.2 | Establecer la antigüedad máxima de las contraseñas | Control equivalente | Las VMs de GKE en VMware dependen de la clave SSH para el acceso del usuario, en lugar de usar la contraseña. | Todos los nodos del clúster |
| 6.1.10 | Asegúrate de que todos los archivos sean propiedad del usuario | Reprobada | Los permisos se dejaron como predeterminados. | Todos los nodos del clúster |