Skip to main content

CIS Benchmark

CIS - Center for Internet Security es una organización sin fines de lucro que se dedica a mejorar la seguridad cibernética y la resiliencia de las organizaciones en todo el mundo. Fundado en 2000, el CIS es ampliamente reconocido por sus mejores prácticas de seguridad, frameworks y benchmarks que ayudan a las organizaciones a proteger sus sistemas y datos.

El CIS es ampliamente utilizado por organizaciones de todos los tamaños y sectores, incluyendo gobiernos, empresas e instituciones académicas, como una fuente confiable de directrices y herramientas para mejorar la seguridad cibernética. Las prácticas recomendadas y los benchmarks del CIS ayudan a las organizaciones a protegerse contra amenazas cibernéticas, a cumplir requisitos regulatorios y a mejorar su postura de seguridad de manera general.

Principales Actividades y Productos del CIS

Desarrollado a través de un proceso único basado en consenso, compuesto por profesionales de seguridad cibernética y expertos en la materia de todo el mundo.

  • CIS Controls: Un conjunto de prácticas recomendadas de seguridad cibernética, organizadas en una lista de acciones prioritarias que ayudan a mitigar las amenazas más comunes. Estas prácticas son frecuentemente usadas como una guía para la implementación de políticas de seguridad efectivas.

  • CIS Benchmarks: Estándares de configuración para sistemas operativos, software y redes que son reconocidos globalmente. Los benchmarks proporcionan directrices detalladas sobre cómo configurar sistemas de manera segura, ayudando a reducir vulnerabilidades y aumentar la resiliencia de los sistemas contra ataques.

  • CIS Hardened Images: Imágenes de máquinas virtuales preconfiguradas, basadas en los CIS Benchmarks, que están disponibles en plataformas de nube pública como AWS, Azure y Google Cloud. Estas imágenes son usadas para garantizar que las VMs estén configuradas con los estándares de seguridad recomendados desde el inicio.

  • CIS SecureSuite: Un conjunto de herramientas y recursos que ofrece a los miembros acceso a benchmarks, automatización de seguridad y otras herramientas que ayudan en la implementación y mantenimiento de los estándares de seguridad recomendados por el CIS.

  • Otros...

Lo que nos interesa es el CIS Benchmarks para Kubernetes. Seguir todas las orientaciones de la CIS para tener un cluster seguro.

  • Ellos definen reglas estándar de seguridad para Kubernetes. Como administradores podemos aplicar estas reglas, dándonos una buena base de seguridad. Los servicios de Kubernetes ofrecidos por las clouds ya aplican estas reglas, pero hacen personalizaciones.

Si no quiere registrarse en CIS para hacer el download, voy a disponibilizar el PDF aquí para que sea más fácil.

Observe que podríamos hacer el download de las recomendaciones para las principales clouds, pero como es el examen del CKS vamos a usar el Kubernetes estándar.

alt text

Esta es la última versión que tenemos disponible para bajar, 1.9.0, y en la página número 8 en Overview tenemos diciendo este documento vale para Kubernetes 1.27 hasta 1.29. Aunque estamos en la versión 1.30 no tenemos ningún documento mejor para seguir, entonces vamos a usar este mismo.

root@cks-master:~/default# k get nodes
NAME         STATUS   ROLES           AGE    VERSION
cks-master   Ready    control-plane   3d4h   v1.30.3
cks-worker   Ready    <none>          3d4h   v1.30.3

alt text

Este documento provee todas las reglas que necesitamos para hacer un cluster más seguro, pero no es necesario que hagamos la verificación de las reglas una por una. Con seguridad existe alguna automatización para esto y es lo que vamos a hacer usando el kube-bench.

Haga un overview sobre el kube-bench.