Comparativo de mercado do Ubuntu da CIS

Este documento descreve o nível de conformidade que o Google Distributed Cloud tem com o comparativo de mercado CIS do Ubuntu.

Acessar o comparativo de mercado

O comparativo de mercado do Ubuntu da CIS está disponível no site da CIS:

Perfil de configuração

No documento do comparativo de mercado do Ubuntu da CIS, é possível ler sobre os perfis de configuração. As imagens do Ubuntu usadas pelo Google Distributed Cloud são reforçadas para atender aos Nível 2: perfil do servidor.

Avaliação no Google Distributed Cloud

Usamos os seguintes valores para especificar o status das recomendações do Ubuntu no Google Distributed Cloud.

Status	Descrição
pass	Está em conformidade com uma recomendação do comparativo de mercado.
errada	Diverge de uma recomendação de comparativo de mercado.
notapplicable	Não é relevante para ser testado no sistema em avaliação.

Status do Google Distributed Cloud

As imagens do Ubuntu usadas com o Google Distributed Cloud são reforçadas para atender à CIS Nível 2: perfil do servidor. A tabela a seguir fornece justificativas por que os componentes do Google Distributed Cloud não receberam determinadas recomendações. Os comparativos de mercado com status Passed não estão incluídos na tabela a seguir.

Configurar cron job do AIDE

O AIDE é uma ferramenta de verificação de integridade de arquivos que verifica a conformidade com a referência de servidor CIS L1 1.4 Filesystem Integrity Checking. No Google Distributed Cloud, o processo de AIDE causa problemas de uso elevado de recursos.

O processo AIDE em nós é desativado por padrão para evitar que recursos problemas. Isso afetará a conformidade com o comparativo de mercado do servidor CIS L1 1.4.2: Ensure filesystem integrity is regularly checked.

Se você quiser ativar a execução do cron job do AIDE, conclua as etapas a seguir para reativá-lo:

1. Crie um DaemonSet.

   Aqui está um manifesto para um BackendConfig.

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
   name: enable-aide-pool1
   spec:
   selector:
     matchLabels:
       app: enable-aide-pool1
   template:
     metadata:
       labels:
         app: enable-aide-pool1
     spec:
       hostIPC: true
       hostPID: true
       nodeSelector:
         cloud.google.com/gke-nodepool: pool-1
       containers:
       - name: update-audit-rule
         image: ubuntu
         command: ["chroot", "/host", "bash", "-c"]
         args:
         - |
           set -x
           while true; do
             # change daily cronjob schedule
             minute=30;hour=5
             sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
   
             # enable aide
             chmod 755 /etc/cron.daily/aide
   
             sleep 3600
           done
         volumeMounts:
         - name: host
           mountPath: /host
         securityContext:
           privileged: true
       volumes:
       - name: host
         hostPath:
           path: /
   

   No manifesto anterior:

   • O job cron do AIDE só será executado no pool de nós pool-1 conforme especificado pelo nodeSelector cloud.google.com/gke-nodepool: pool-1. É possível configurar o processo do AIDE para ser executado em quantos pools de nós você quiser especificando os pools no campo nodeSelector. Para executar a mesma programação de cron jobs em diferentes pools de nós, remova o campo nodeSelector. No entanto, para evitar congestionamentos de recursos de host, recomendamos manter programações separadas.

   • O cron job está programado para ser executado diariamente às 5h30, conforme especificado pela configuração minute=30;hour=5. É possível configurar programações diferentes para o cron job do AIDE, conforme necessário.

2. Copie o manifesto para um arquivo chamado enable-aide.yaml e crie o DaemonSet:

   kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
   

   em que USER_CLUSTER_KUBECONFIG é o caminho do arquivo kubeconfig do cluster de usuário.

Usar a avaliação do Protocolo de Automação de Conteúdo de Segurança (SCAP)

Recomendamos que você faça uma verificação na sua instalação para avaliar a conformidade de nível 2 com o benchmark do CIS para Ubuntu Linux. Há várias ferramentas disponíveis para verificar seus clusters e a estação de trabalho do administrador. Siga estas etapas para instalar e executar o conjunto de ferramentas de código aberto OpenSCAP (em inglês) e realizar uma avaliação de segurança de nível 2:

1. Copie o script a seguir para um arquivo chamado cis-benchmark.sh:

   #!/bin/bash
   
   set -x
   
   REPORTS_DIR="$1"
   
   mkdir -p "${REPORTS_DIR}"
   
   echo "Start CIS L2 benchmark evaluation..."
   apt update
   apt install libopenscap8
   sudo oscap xccdf eval \
       --profile cis_level2_server_customized \
       --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
       --results "${REPORTS_DIR}"/cis-results.xml \
       --report "${REPORTS_DIR}"/cis-report.html \
       --verbose INFO \
       --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
       /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
   chmod -R 755 "${REPORTS_DIR}/.."
   echo "Done CIS L2 benchmark evaluation"
   

2. Torne o script executável:

   chmod +x cis-benchmark.sh
   

3. Execute o script:

   ./cis-benchmark.sh REPORTS_DIR
   

   Substitua REPORTS_DIR pelo caminho de um diretório em que você quer salvar o relatório de avaliação gerado.

   Quando o script for concluído, o diretório REPORTS_DIR vai conter o arquivo cis-report.html gerado.