CIS-Ubuntu-Benchmark

In diesem Dokument wird das Maß der Compliance beschrieben, das Google Distributed Cloud mit der CIS-Ubuntu-Benchmark hat.

Auf die Benchmark zugreifen

Die CIS-Ubuntu-Benchmark steht auf der CIS-Website zur Verfügung:

Konfigurationsprofil

Im Dokument zur CIS-Ubuntu-Benchmark finden Sie Informationen zu Konfigurationsprofilen. Die von Google Distributed Cloud verwendeten Ubuntu-Images sind gehärtet, um dem Level-2-Serverprofil zu genügen.

Bewertung in Google Distributed Cloud

Wir verwenden die folgenden Werte, um den Status von Ubuntu-Empfehlungen in Google Distributed Cloud anzugeben:

Status	Beschreibung
pass	Entspricht einer Benchmarkempfehlung.
Nicht bestanden	Weicht von einer Benchmarkempfehlung ab.
notapplicable	Ist für das zu bewertende System nicht relevant.

Status von Google Distributed Cloud

Die mit Google Distributed Cloud verwendeten Ubuntu-Images sind gehärtet, um dem Serverprofil CIS-Level 2 zu genügen. In der folgenden Tabelle sind die Begründungen aufgeführt, warum Google Distributed Cloud-Komponenten bestimmte Empfehlungen nicht erfüllt haben. Benchmarks mit dem Status Passed sind in der folgenden Tabelle nicht enthalten.

AIDE-Cronjob konfigurieren

AIDE ist ein Tool zur Dateiintegritätsprüfung, das die Compliance mit CIS L1 Server Benchmark 1.4 Filesystem Integrity Checking überprüft. In Google Distributed Cloud hat der AIDE-Prozess Probleme bei hoher Ressourcennutzung verursacht.

Der AIDE-Prozess auf Knoten ist standardmäßig deaktiviert, um Ressourcenprobleme zu vermeiden. Dies wirkt sich auf die Compliance mit CIS L1 Server Benchmark 1.4.2 aus: Ensure filesystem integrity is regularly checked.

Wenn Sie die Ausführung des AIDE-Cronjobs aktivieren möchten, führen Sie die folgenden Schritte aus, um AIDE wieder zu aktivieren:

1. Erstellen Sie ein DaemonSet.

   Dies ist ein Manifest für ein DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   Das vorherige Manifest bewirkt Folgendes:

   • Der AIDE-Cronjob wird nur im Knotenpool pool-1 ausgeführt, wie durch den nodeSelector cloud.google.com/gke-nodepool: pool-1 angegeben. Sie können den AIDE-Prozess so konfigurieren, dass er auf beliebig vielen Knotenpools ausgeführt wird. Geben Sie dazu die Pools unter dem Feld nodeSelector an. Entfernen Sie das Feld nodeSelector, um denselben Cronjob-Zeitplan für verschiedene Knotenpools auszuführen. Um Ressourcenüberlastungen zu vermeiden, empfehlen wir jedoch, separate Zeitpläne zu pflegen.

   • Der Cronjob wird gemäß der Konfiguration minute=30;hour=5 täglich um 5:30 Uhr ausgeführt. Sie können unterschiedliche Zeitpläne für den AIDE-Cronjob nach Bedarf konfigurieren.

2. Kopieren Sie das Manifest in eine Datei mit dem Namen enable-aide.yaml und erstellen Sie das DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   Dabei ist USER_CLUSTER_KUBECONFIG der Pfad der kubeconfig-Datei für Ihren Nutzercluster.

SCAP-Bewertung (Security Content Automation Protocol) verwenden

Wir empfehlen Ihnen, Ihre Installation selbst zu scannen, um die Einhaltung von Level 2 des CIS-Benchmarks für Ubuntu Linux zu bewerten. Es gibt verschiedene Tools zum Scannen Ihrer Cluster und Ihrer Administrator-Workstation. So installieren und führen Sie das OpenSCAP-Open-Source-Toolset aus, um eine Sicherheitsbewertung der Stufe 2 durchzuführen:

1. Kopieren Sie das folgende Script in eine Datei mit dem Namen cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Machen Sie das Skript ausführbar:

   chmod +x cis-benchmark.sh
   

3. Führen Sie das Skript aus:

   ./cis-benchmark.sh REPORTS_DIR
   

   Ersetzen Sie REPORTS_DIR durch den Pfad eines vorhandenen Verzeichnisses, in dem Sie den generierten Auswertungsbericht speichern möchten.

   Wenn das Skript erfolgreich abgeschlossen wurde, enthält das Verzeichnis REPORTS_DIR die generierte Datei cis-report.html.