Dokumen ini menjelaskan tingkat kepatuhan yang dimiliki Google Distributed Cloud terhadap CIS Ubuntu Benchmark.
Mengakses benchmark
Tolok Ukur Ubuntu CIS tersedia di situs CIS.
Profil konfigurasi
Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh Google Distributed Cloud di-harden untuk memenuhi profil Server - Level 2.
Evaluasi di Google Distributed Cloud
Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di Google Distributed Cloud.
Status | Deskripsi |
---|---|
Lulus | Mematuhi rekomendasi tolok ukur. |
Gagal | Tidak mematuhi rekomendasi tolok ukur. |
Kontrol setara | Tidak mematuhi persyaratan yang sama persis dengan rekomendasi tolok ukur, tetapi mekanisme lain di Google Distributed Cloud memberikan kontrol keamanan yang setara. |
Bergantung pada lingkungan | Google Distributed Cloud tidak mengonfigurasi item yang terkait dengan rekomendasi benchmark. Konfigurasi Anda menentukan apakah lingkungan Anda mematuhi rekomendasi. |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi mengapa
komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
Benchmark yang memiliki status Passed
tidak disertakan dalam tabel
berikut.
1,31
Versi
Bagian ini merujuk pada versi berikut:
Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
---|---|---|---|
1,31 | 22.04 LTS | v1.0.0 | Server Level 2 |
# | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
---|---|---|---|---|
1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
1,30
Versi
Bagian ini merujuk pada versi berikut:
Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
---|---|---|---|
1,30 | 22.04 LTS | v1.0.0 | Server Level 2 |
# | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
---|---|---|---|---|
1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
1,29
Versi
Bagian ini merujuk pada versi berikut:
Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
---|---|---|---|
1,29 | 22.04 LTS | v1.0.0 | Server Level 2 |
# | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
---|---|---|---|---|
1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Node non-admin-master Seesaw |
3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
Mengonfigurasi cron job AIDE
AIDE adalah alat pemeriksaan integritas file yang memastikan kepatuhan terhadap benchmark Server CIS L1
1.4 Filesystem Integrity Checking
. Di Google Distributed Cloud,
proses AIDE telah menyebabkan masalah penggunaan resource yang tinggi.
Proses AIDE di node dinonaktifkan secara default untuk mencegah masalah
resource. Hal ini akan memengaruhi kepatuhan terhadap tolok ukur Server L1 CIS 1.4.2: Ensure
filesystem integrity is regularly checked.
Jika Anda ingin ikut serta menjalankan tugas cron AIDE, selesaikan langkah-langkah berikut untuk mengaktifkan kembali AIDE:
Buat DaemonSet.
Berikut adalah manifes untuk DaemonSet:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /
Dalam manifes di atas:
Tugas cron AIDE hanya akan berjalan di node pool
pool-1
seperti yang ditentukan oleh nodeSelectorcloud.google.com/gke-nodepool: pool-1
. Anda dapat mengonfigurasi proses AIDE untuk berjalan di sebanyak mungkin node pool yang Anda inginkan dengan menentukan node pool di kolomnodeSelector
. Untuk menjalankan jadwal tugas cron yang sama di berbagai node pool, hapus kolomnodeSelector
. Namun, untuk menghindari kemacetan resource host, sebaiknya Anda mempertahankan jadwal terpisah.Cron job dijadwalkan untuk berjalan setiap hari pukul 05.30 seperti yang ditentukan oleh konfigurasi
minute=30;hour=5
. Anda dapat mengonfigurasi jadwal yang berbeda untuk tugas cron AIDE sesuai kebutuhan.
Salin manifes ke file bernama
enable-aide.yaml
, lalu buat DaemonSet:kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
dengan USER_CLUSTER_KUBECONFIG adalah jalur file kubeconfig untuk cluster pengguna Anda.