Benchmark CIS d'Ubuntu

Ce document décrit le niveau de conformité de Google Distributed Cloud avec le benchmark CIS d'Ubuntu.

Accéder au benchmark

Le benchmark CIS d'Ubuntu est disponible sur le site Web du CIS :

Profil de configuration

Dans le document Benchmark CIS d'Ubuntu, vous pouvez en savoir plus sur les profils de configuration. Les images Ubuntu utilisées par Google Distributed Cloud sont renforcées pour répondre aux exigences du profil de serveur de niveau 2.

Évaluation sur Google Distributed Cloud

Nous utilisons les valeurs suivantes pour spécifier l'état des recommandations Ubuntu dans Google Distributed Cloud :

État	Description
réussite	Respecte une recommandation du benchmark.
échec	S'écarte d'une recommandation du benchmark.
notapplicable	N'est pas pertinent pour être testé sur le système en cours d'évaluation.

État de Google Distributed Cloud

Les images Ubuntu utilisées avec Google Distributed Cloud sont renforcées pour répondre au profil de serveur de niveau 2 du CIS. Le tableau suivant explique pourquoi les composants Google Distributed Cloud n'ont pas transmis certaines recommandations. Les benchmarks dont l'état est Passed ne sont pas inclus dans le tableau suivant.

Configurer le job Cron AIDE

AIDE est un outil de vérification de l'intégrité des fichiers qui garantit la conformité avec le benchmark de serveur CIS L1 de 1.4 Filesystem Integrity Checking. Dans Google Distributed Cloud, le processus AIDE a entraîné des problèmes importants d'utilisation des ressources.

Le processus AIDE sur les nœuds est désactivé par défaut pour éviter les problèmes de ressources. Cela aura une incidence sur la conformité avec le benchmark de serveur CIS L1 1.4.2 : Ensure filesystem integrity is regularly checked..

Si vous souhaitez activer l'exécution du job Cron AIDE, procédez comme suit pour réactiver AIDE :

1. Créer un DaemonSet.

   Voici un fichier manifeste de DaemonSet.

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   Dans le fichier manifeste précédent :

   • Le job Cron AIDE ne s'exécute que sur le pool de nœuds pool-1, comme spécifié par le nodeSelector cloud.google.com/gke-nodepool: pool-1. Vous pouvez configurer le processus AIDE pour qu'il s'exécute sur autant de pools de nœuds que vous le souhaitez en spécifiant les pools dans le champ nodeSelector. Pour exécuter la même planification de jobs Cron sur différents pools de nœuds, supprimez le champ nodeSelector. Toutefois, pour éviter toute congestion des ressources hôtes, nous vous recommandons de conserver des planifications distinctes.

   • Le job Cron est planifié pour s'exécuter tous les jours à 5h30 comme spécifié par la configuration minute=30;hour=5. Vous pouvez configurer différentes planifications pour le job Cron AIDE selon vos besoins.

2. Copiez le fichier manifeste dans un fichier nommé enable-aide.yaml et créez le DaemonSet :

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   où USER_CLUSTER_KUBECONFIG représente le chemin d'accès au fichier kubeconfig de votre cluster d'utilisateur.

Utiliser l'évaluation SCAP (Security Content Automation Protocol)

Nous vous recommandons d'analyser vous-même votre installation pour évaluer sa conformité de niveau 2 avec le benchmark CIS pour Ubuntu Linux. Divers outils sont disponibles pour analyser vos clusters et votre poste de travail administrateur. Vous pouvez suivre les étapes ci-dessous pour installer et exécuter l'ensemble d'outils OpenSCAP Open Source afin d'effectuer une évaluation de sécurité de niveau 2 :

1. Copiez le script suivant dans un fichier nommé cis-benchmark.sh :

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Rendez le script exécutable :

   chmod +x cis-benchmark.sh
   

3. Exécutez le script :

   ./cis-benchmark.sh REPORTS_DIR
   

   Remplacez REPORTS_DIR par le chemin d'accès à un répertoire existant dans lequel vous souhaitez enregistrer le rapport d'évaluation généré.

   Une fois le script exécuté, le répertoire REPORTS_DIR contient le fichier cis-report.html généré.