CIS Benchmark de Ubuntu

En este documento se describe el nivel de cumplimiento de Google Distributed Cloud con la guía de CIS de Ubuntu.

Acceder a la comparativa

CIS Ubuntu Benchmark está disponible en el sitio web de CIS.

Perfil de configuración

En el documento de referencia de CIS Ubuntu, puedes consultar información sobre los perfiles de configuración. Las imágenes de Ubuntu que usa Google Distributed Cloud se han reforzado para cumplir el perfil de servidor de nivel 2.

Evaluación en Google Distributed Cloud

Usamos los siguientes valores para especificar el estado de las recomendaciones de Ubuntu en Google Distributed Cloud.

Estado	Descripción
aprobar	Cumple una recomendación de referencia.
fail	Se desvía de una recomendación de comparativas.
notapplicable	No es relevante para probar el sistema que se está evaluando.

Estado de Google Distributed Cloud

Las imágenes de Ubuntu que se usan con Google Distributed Cloud se han reforzado para cumplir el perfil de servidor de nivel 2 de CIS. En la siguiente tabla se indican los motivos por los que los componentes de Google Distributed Cloud no han superado determinadas recomendaciones. Las comparativas que tienen el estado Passed no se incluyen en la siguiente tabla.

Configurar la tarea cron de AIDE

AIDE es una herramienta de comprobación de la integridad de los archivos que verifica el cumplimiento de la versión 1.4 del benchmark del servidor de nivel 1 de CIS Filesystem Integrity Checking. En Google Distributed Cloud, el proceso de AIDE ha provocado problemas de uso elevado de recursos.

El proceso de AIDE en los nodos está inhabilitado de forma predeterminada para evitar problemas con los recursos. Esto afectará al cumplimiento de la comparativa de servidores de nivel 1 de CIS 1.4.2: Ensure filesystem integrity is regularly checked.

Si quieres habilitar la tarea cron de AIDE, completa los pasos siguientes para volver a habilitar AIDE:

1. Crea un DaemonSet.

   Aquí tienes un manifiesto de un DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   En el manifiesto anterior:

   • La tarea cron de AIDE solo se ejecutará en el grupo de nodos pool-1, tal como se especifica en nodeSelector cloud.google.com/gke-nodepool: pool-1. Puedes configurar el proceso de AIDE para que se ejecute en tantos grupos de nodos como quieras especificando los grupos en el campo nodeSelector. Para ejecutar la misma programación de trabajo cron en diferentes grupos de nodos, elimina el campo nodeSelector. Sin embargo, para evitar la congestión de los recursos del host, te recomendamos que mantengas programaciones independientes.

   • La tarea cron se ha programado para que se ejecute todos los días a las 5:30, tal como se especifica en la configuración minute=30;hour=5. Puedes configurar diferentes programaciones para la tarea cron de AIDE según sea necesario.

2. Copia el manifiesto en un archivo llamado enable-aide.yaml y crea el DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   donde USER_CLUSTER_KUBECONFIG es la ruta del archivo kubeconfig de tu clúster de usuario.

Usar la evaluación del protocolo de automatización de contenido de seguridad (SCAP)

Te recomendamos que analices tu instalación para evaluar su cumplimiento del nivel 2 de la prueba comparativa CIS de Ubuntu Linux. Hay varias herramientas disponibles para analizar tus clústeres y tu estación de trabajo de administrador. Puedes seguir estos pasos para instalar y ejecutar el conjunto de herramientas de código abierto OpenSCAP y realizar una evaluación de seguridad de nivel 2:

1. Copia la siguiente secuencia de comandos en un archivo llamado cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Haz que la secuencia de comandos sea ejecutable:

   chmod +x cis-benchmark.sh
   

3. Ejecuta la secuencia de comandos:

   ./cis-benchmark.sh REPORTS_DIR
   

   Sustituye REPORTS_DIR por la ruta de un directorio en el que quieras guardar el informe de evaluación generado.

   Cuando la secuencia de comandos se completa correctamente, el directorio REPORTS_DIR contiene el archivo cis-report.html generado.