Tolok Ukur Ubuntu CIS

Dokumen ini menjelaskan tingkat kepatuhan Google Distributed Cloud terhadap CIS Ubuntu Benchmark.

Mengakses tolok ukur

CIS Ubuntu Benchmark tersedia di situs CIS.

Profil konfigurasi

Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh Google Distributed Cloud telah di-hardening untuk memenuhi profil Level 2 - Server.

Evaluasi di Google Distributed Cloud

Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di Google Distributed Cloud.

Status	Deskripsi
lulus	Mematuhi rekomendasi tolok ukur.
gagal	Menyimpang dari rekomendasi tolok ukur.
tidak berlaku	Tidak relevan untuk diuji pada sistem yang sedang dievaluasi.

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud telah di-harden untuk memenuhi profil CIS Level 2 - Server. Tabel berikut memberikan justifikasi mengapa komponen Google Distributed Cloud tidak lulus rekomendasi tertentu. Tolok ukur yang memiliki status Passed tidak disertakan dalam tabel berikut.

Mengonfigurasi cron job AIDE

AIDE adalah alat pemeriksaan integritas file yang memverifikasi kepatuhan terhadap tolok ukur Server CIS L1 1.4 Filesystem Integrity Checking. Di Google Distributed Cloud, proses AIDE telah menyebabkan masalah penggunaan resource yang tinggi.

Proses AIDE pada node dinonaktifkan secara default untuk mencegah masalah resource. Hal ini akan memengaruhi kepatuhan terhadap tolok ukur Server L1 CIS 1.4.2: Ensure filesystem integrity is regularly checked.

Jika Anda ingin ikut serta untuk menjalankan tugas cron AIDE, selesaikan langkah-langkah berikut untuk mengaktifkan kembali AIDE:

1. Buat DaemonSet.

   Berikut adalah manifes untuk DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   Dalam manifes sebelumnya:

   • Cron job AIDE hanya akan berjalan di node pool pool-1 seperti yang ditentukan oleh nodeSelector cloud.google.com/gke-nodepool: pool-1. Anda dapat mengonfigurasi proses AIDE agar berjalan di sebanyak mungkin node pool yang Anda inginkan dengan menentukan pool di kolom nodeSelector. Untuk menjalankan jadwal cron job yang sama di berbagai node pool, hapus kolom nodeSelector. Namun, untuk menghindari kemacetan resource host, sebaiknya Anda mempertahankan jadwal terpisah.

   • Cron job dijadwalkan untuk berjalan setiap hari pada pukul 05.30 seperti yang ditentukan oleh konfigurasi minute=30;hour=5. Anda dapat mengonfigurasi jadwal yang berbeda untuk tugas cron AIDE sesuai kebutuhan.

2. Salin manifes ke file bernama enable-aide.yaml, lalu buat DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   dengan USER_CLUSTER_KUBECONFIG adalah jalur file kubeconfig untuk cluster pengguna Anda.

Menggunakan evaluasi Security Content Automation Protocol (SCAP)

Sebaiknya Anda memindai penginstalan sendiri untuk mengevaluasi kepatuhan Level 2-nya terhadap tolok ukur CIS Ubuntu Linux. Ada berbagai alat yang tersedia untuk memindai cluster dan workstation admin Anda. Anda dapat menggunakan langkah-langkah berikut untuk menginstal dan menjalankan toolset open source OpenSCAP guna melakukan penilaian keamanan Level 2:

1. Salin skrip berikut ke file bernama cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Setel agar skrip dapat dieksekusi:

   chmod +x cis-benchmark.sh
   

3. Jalankan skrip:

   ./cis-benchmark.sh REPORTS_DIR
   

   Ganti REPORTS_DIR dengan jalur direktori yang ada tempat Anda ingin menyimpan laporan evaluasi yang dihasilkan.

   Setelah skrip berhasil diselesaikan, direktori REPORTS_DIR akan berisi file cis-report.html yang dihasilkan.