Benchmark CIS Ubuntu

Questo documento descrive il livello di conformità di Google Distributed Cloud al benchmark CIS Ubuntu.

Accedere al benchmark

Il benchmark CIS Ubuntu è disponibile sul sito web del CIS.

Profilo di configurazione

Nel documento CIS Ubuntu Benchmark puoi leggere informazioni sui profili di configurazione. Le immagini Ubuntu utilizzate da Google Distributed Cloud sono protette per soddisfare il profilo del server di livello 2.

Valutazione su Google Distributed Cloud

Utilizziamo i seguenti valori per specificare lo stato dei consigli di Ubuntu in Google Distributed Cloud.

Stato	Descrizione
superata	Rispetta un consiglio di benchmark.
non superata	Si discosta da un consiglio di benchmark.
nonapplicabile	Non è pertinente per i test sul sistema in fase di valutazione.

Stato di Google Distributed Cloud

Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a stress test per soddisfare il profilo CIS livello 2 - Server. La seguente tabella fornisce le motivazioni per cui i componenti di Google Distributed Cloud non hanno superato determinati consigli. I benchmark con stato Passed non sono inclusi nella tabella seguente.

Configura il cron job AIDE

AIDE è uno strumento di controllo dell'integrità dei file che verifica la conformità al benchmark del server CIS L1 1.4 Filesystem Integrity Checking. In Google Distributed Cloud, il processo AIDE ha causato problemi di utilizzo elevato delle risorse.

Il processo AIDE sui nodi è disattivato per impostazione predefinita per evitare problemi di risorse. Ciò influirà sulla conformità al benchmark CIS L1 Server 1.4.2: Ensure filesystem integrity is regularly checked.

Se vuoi attivare l'esecuzione del cron job AIDE, completa i seguenti passaggi per riattivare AIDE:

1. Crea un DaemonSet.

   Ecco un manifest per un DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   Nel manifest precedente:

   • Il cron job AIDE viene eseguito solo sul pool di nodi pool-1 come specificato da nodeSelector cloud.google.com/gke-nodepool: pool-1. Puoi configurare il processo AIDE in modo che venga eseguito su tutti i pool di nodi che vuoi specificando i pool nel campo nodeSelector. Per eseguire la stessa pianificazione del cron job in diversi pool di nodi, rimuovi il campo nodeSelector. Tuttavia, per evitare congestioni delle risorse host, ti consigliamo di mantenere pianificazioni separate.

   • Il cron job è pianificato per essere eseguito ogni giorno alle 5:30 come specificato dalla configurazione minute=30;hour=5. Puoi configurare pianificazioni diverse per il cron job AIDE in base alle esigenze.

2. Copia il manifest in un file denominato enable-aide.yaml e crea il DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   dove USER_CLUSTER_KUBECONFIG è il percorso del file kubeconfig per il cluster utente.

Utilizzare la valutazione Security Content Automation Protocol (SCAP)

Ti consigliamo di eseguire personalmente la scansione dell'installazione per valutare la conformità di livello 2 con il benchmark CIS di Ubuntu Linux. Esistono vari strumenti disponibili per la scansione dei cluster e della workstation di amministrazione. Puoi utilizzare i seguenti passaggi per installare ed eseguire il set di strumenti open source OpenSCAP per eseguire una valutazione della sicurezza di livello 2:

1. Copia il seguente script in un file denominato cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Rendi eseguibile lo script:

   chmod +x cis-benchmark.sh
   

3. Esegui lo script:

   ./cis-benchmark.sh REPORTS_DIR
   

   Sostituisci REPORTS_DIR con il percorso di una directory esistente in cui vuoi salvare il report di valutazione generato.

   Al termine dello script, la directory REPORTS_DIR contiene il file cis-report.html generato.