Comparativas de CIS en Ubuntu

En este documento, se describe el nivel de cumplimiento que tiene Google Distributed Cloud con la comparativa de CIS para Ubuntu.

Accede a la comparativa

La comparativa de CIS para Ubuntu está disponible en el sitio web de CIS.

Perfil de configuración

En el documento de la comparativa de CIS para Ubuntu, puedes leer sobre los perfiles de configuración. Las imágenes de Ubuntu que usa Google Distributed Cloud se endurecen para cumplir con el perfil del servidor de nivel 2.

Evaluación en Google Distributed Cloud

Usamos los siguientes valores para especificar el estado de las recomendaciones de Ubuntu en Google Distributed Cloud.

Estado	Descripción
pass	Cumple con una recomendación de comparativa.
desaprobado	Se desvía de una recomendación de comparativa.
notapplicable	No es pertinente para probar el sistema que se evalúa.

Estado de Google Distributed Cloud

Las imágenes de Ubuntu que se usan con Google Distributed Cloud se endurecen para cumplir con el perfil del servidor de nivel 2 de CIS. En la siguiente tabla, se proporcionan justificaciones sobre por qué los componentes de Google Distributed Cloud no aprobaron ciertas recomendaciones. Las comparativas que tienen el estado Passed no se incluyen en la siguiente tabla.

Configura un trabajo cron de AIDE

AIDE es una herramienta de verificación de integridad de archivos que verifica el cumplimiento de la comparativa CIS L1 Server 1.4 Filesystem Integrity Checking. En Google Distributed Cloud, el proceso AIDE generó problemas de alto uso de recursos.

El proceso de AIDE en los nodos está inhabilitado de forma predeterminada para evitar problemas de recursos. Esto afectará el cumplimiento de la comparativa de CIS L1 Server 1.4.2: Ensure filesystem integrity is regularly checked.

Si deseas aceptar y ejecutar el trabajo cron de AIDE, completa los siguientes pasos para volver a habilitar AIDE:

1. Crea un DaemonSet.

   A continuación, se muestra un manifiesto para un DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   En el manifiesto anterior, se dan estas situaciones:

   • El trabajo cron de AIDE solo se ejecutará en el grupo de nodos pool-1 según lo especificado por el nodeSelector cloud.google.com/gke-nodepool: pool-1. Puedes configurar el proceso de AIDE para que se ejecute en tantos grupos de nodos como desees si especificas los grupos en el campo nodeSelector. Para ejecutar la misma programación de trabajo cron en diferentes grupos de nodos, quita el campo nodeSelector. Sin embargo, para evitar las congestión de recursos del host, te recomendamos que mantengas programas independientes.

   • El trabajo cron está programado para ejecutarse a las 5:30 a.m. según lo especificado por la configuración minute=30;hour=5. Puedes configurar diferentes programas para el trabajo cron de AIDE según sea necesario.

2. Copia el manifiesto en un archivo llamado enable-aide.yaml y crea el DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   En el ejemplo anterior, USER_CLUSTER_KUBECONFIG es la ruta de acceso del archivo kubeconfig del clúster de usuario.

Usa la evaluación del Protocolo de automatización de contenido de seguridad (SCAP)

Te recomendamos que escanees tu instalación para evaluar su cumplimiento del nivel 2 con el benchmark de CIS de Ubuntu Linux. Hay una variedad de herramientas disponibles para analizar tus clústeres y la estación de trabajo de administrador. Puedes seguir estos pasos para instalar y ejecutar el conjunto de herramientas de código abierto OpenSCAP para realizar una evaluación de seguridad de nivel 2:

1. Copia la siguiente secuencia de comandos en un archivo llamado cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Haz que la secuencia de comandos sea ejecutable:

   chmod +x cis-benchmark.sh
   

3. Ejecuta la secuencia de comandos:

   ./cis-benchmark.sh REPORTS_DIR
   

   Reemplaza REPORTS_DIR por la ruta de acceso a un directorio existente en el que deseas guardar el informe de evaluación generado.

   Cuando la secuencia de comandos se complete correctamente, el directorio REPORTS_DIR contendrá el archivo cis-report.html generado.