CIS Ubuntu Benchmark

במאמר הזה מתואר רמת התאימות של Google Distributed Cloud ל-CIS Ubuntu Benchmark.

גישה להשוואה לשוק

המדד של CIS Ubuntu זמין באתר של CIS.

פרופיל להעלאת הגדרות אישיות

במסמך CIS Ubuntu Benchmark אפשר לקרוא על פרופילי הגדרה. תמונות Ubuntu שמשמשות את Google Distributed Cloud מוקשחות כדי לעמוד בדרישות של Level 2 – Server profile.

הערכה ב-Google Distributed Cloud

אנחנו משתמשים בערכים הבאים כדי לציין את הסטטוס של המלצות ל-Ubuntu ב-Google Distributed Cloud.

סטטוס	תיאור
לקבוע ערך (pass)	עומדת בהמלצה של מחיר מקובל בשוק.
נכשל	חורג מהמלצה להשוואה לשוק.
לא רלוונטי	לא רלוונטי לבדיקה במערכת שנבדקת.

סטטוס של Google Distributed Cloud

תמונות Ubuntu שמשמשות עם Google Distributed Cloud מוקשחות כדי לעמוד בדרישות של CIS Level 2 – Server profile. בטבלה הבאה מפורטות הסיבות לכך שרכיבים של Google Distributed Cloud לא עברו המלצות מסוימות. הטבלה הבאה לא כוללת מדדי השוואה לשוק עם סטטוס Passed.

הגדרת משימת cron של AIDE

‫AIDE הוא כלי לבדיקת תקינות קבצים שמאמת את התאימות ל-CIS L1 Server benchmark 1.4 Filesystem Integrity Checking. ב-Google Distributed Cloud, תהליך AIDE גורם לבעיות שקשורות לשימוש גבוה במשאבים.

תהליך AIDE בצמתים מושבת כברירת מחדל כדי למנוע בעיות במשאבים. הפעולה הזו תשפיע על התאימות לבנצ'מרק של שרת CIS L1‏ 1.4.2: Ensure filesystem integrity is regularly checked.

כדי להפעיל את משימת ה-cron של AIDE, צריך לבצע את השלבים הבאים כדי להפעיל מחדש את AIDE:

1. יוצרים DaemonSet.

   קובץ מניפסט של DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   במניפסט הקודם:

   • משימת ה-cron של AIDE תפעל רק במאגר הצמתים pool-1 כפי שצוין ב-nodeSelector cloud.google.com/gke-nodepool: pool-1. אתם יכולים להגדיר את תהליך AIDE כך שיפעל על כמה מאגרי צמתים שתרצו, על ידי ציון המאגרים בשדה nodeSelector. כדי להריץ את אותו לוח זמנים של משימת cron בכמה מאגרי צמתים, מסירים את השדה nodeSelector. עם זאת, כדי למנוע עומס על משאבי המארח, מומלץ לשמור על לוחות זמנים נפרדים.

   • משימת ה-cron מתוזמנת להרצה מדי יום בשעה 5:30 בבוקר, כפי שצוין בהגדרה minute=30;hour=5. אפשר להגדיר ל-AIDE משימת cron לוחות זמנים שונים לפי הצורך.

2. מעתיקים את המניפסט לקובץ בשם enable-aide.yaml ויוצרים את ה-DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   ‫USER_CLUSTER_KUBECONFIG הוא הנתיב של קובץ ה-kubeconfig עבור אשכול המשתמשים.

שימוש בהערכה של Security Content Automation Protocol‏ (SCAP)

מומלץ לסרוק את ההתקנה בעצמכם כדי להעריך את התאימות שלה לרמה 2 בהשוואה למדד CIS של Ubuntu Linux. יש מגוון כלים לסריקת האשכולות ותחנת העבודה של האדמין. כדי לבצע הערכת אבטחה ברמה 2, אפשר לפעול לפי השלבים הבאים כדי להתקין ולהפעיל את ערכת הכלים OpenSCAP בקוד פתוח:

1. מעתיקים את הסקריפט הבא לקובץ בשם cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. הופכים את הסקריפט לניתן להרצה:

   chmod +x cis-benchmark.sh
   

3. מריצים את הסקריפט:

   ./cis-benchmark.sh REPORTS_DIR
   

   מחליפים את REPORTS_DIR בנתיב של ספרייה קיימת שבה רוצים לשמור את דוח ההערכה שנוצר.

   כשהסקריפט מסתיים בהצלחה, בספרייה REPORTS_DIR מופיע הקובץ cis-report.html שנוצר.