Referência do Ubuntu do CIS

Este documento descreve o nível de conformidade do Google Distributed Cloud com a CIS Ubuntu Benchmark.

Aceda ao teste de referência

A referência do Ubuntu do CIS está disponível no Website do CIS.

Perfil de configuração

No documento CIS Ubuntu Benchmark, pode ler acerca dos perfis de configuração. As imagens do Ubuntu usadas pelo Google Distributed Cloud são reforçadas para cumprir o perfil de servidor de nível 2.

Avaliação no Google Distributed Cloud

Usamos os seguintes valores para especificar o estado das recomendações do Ubuntu no Google Distributed Cloud.

Estado	Descrição
passar	Está em conformidade com uma recomendação de valor de referência.
falhar	Desvia-se de uma recomendação de referência.
notapplicable	Não é relevante para ser testado no sistema que está a ser avaliado.

Estado do Google Distributed Cloud

As imagens do Ubuntu usadas com o Google Distributed Cloud são reforçadas para cumprir o perfil de servidor do CIS nível 2. A tabela seguinte apresenta justificações para o facto de os componentes do Google Distributed Cloud não terem passado em determinadas recomendações. Os testes de referência com o estado Passed não estão incluídos na tabela seguinte.

Configure a tarefa cron do AIDE

O AIDE é uma ferramenta de verificação da integridade de ficheiros que valida a conformidade com a norma CIS L1 Server benchmark 1.4 Filesystem Integrity Checking. No Google Distributed Cloud, o processo AIDE tem causado problemas de utilização elevada de recursos.

O processo AIDE nos nós está desativado por predefinição para evitar problemas de recursos. Isto afeta a conformidade com a referência do servidor CIS L1 1.4.2: Ensure filesystem integrity is regularly checked.

Se quiser ativar a tarefa cron do AIDE, conclua os passos seguintes para reativar o AIDE:

1. Crie um DaemonSet.

   Segue-se um manifesto para um DaemonSet:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   No manifesto anterior:

   • A tarefa cron do AIDE só é executada no conjunto de nós pool-1, conforme especificado pelo cloud.google.com/gke-nodepool: pool-1nodeSelector. Pode configurar o processo AIDE para ser executado em quantos conjuntos de nós quiser, especificando os conjuntos no campo nodeSelector. Para executar o mesmo agendamento de tarefas cronológicas em diferentes conjuntos de nós, remova o campo nodeSelector. No entanto, para evitar congestionamentos de recursos do anfitrião, recomendamos que mantenha programações separadas.

   • A tarefa cron está agendada para ser executada diariamente às 05:30, conforme especificado pela configuração minute=30;hour=5. Pode configurar diferentes agendamentos para a tarefa cron do AIDE, conforme necessário.

2. Copie o manifesto para um ficheiro denominado enable-aide.yaml e crie o DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   em que USER_CLUSTER_KUBECONFIG é o caminho do ficheiro kubeconfig para o cluster de utilizadores.

Use a avaliação do protocolo de automatização de conteúdo de segurança (SCAP)

Recomendamos que analise a sua instalação para avaliar a respetiva conformidade de nível 2 com a referência do CIS do Ubuntu Linux. Estão disponíveis várias ferramentas para analisar os seus clusters e estação de trabalho de administrador. Pode usar os seguintes passos para instalar e executar o conjunto de ferramentas de código aberto OpenSCAP para fazer uma avaliação de segurança de nível 2:

1. Copie o script seguinte para um ficheiro denominado cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Torne o script executável:

   chmod +x cis-benchmark.sh
   

3. Execute o script:

   ./cis-benchmark.sh REPORTS_DIR
   

   Substitua REPORTS_DIR pelo caminho de um diretório existente onde quer guardar o relatório de avaliação gerado.

   Quando o script é concluído com êxito, o diretório REPORTS_DIR contém o ficheiro cis-report.html gerado.