Skip to main content

CIS Benchmark

CIS - Center for Internet Security é uma organização sem fins lucrativos que se dedica a melhorar a segurança cibernética e a resiliência das organizações em todo o mundo. Fundado em 2000, o CIS é amplamente reconhecido por suas melhores práticas de segurança, frameworks, e benchmarks que ajudam as organizações a protegerem seus sistemas e dados.

O CIS é amplamente utilizado por organizações de todos os tamanhos e setores, incluindo governos, empresas e instituições acadêmicas, como uma fonte confiável de diretrizes e ferramentas para melhorar a segurança cibernética. As práticas recomendadas e os benchmarks do CIS ajudam as organizações a se protegerem contra ameaças cibernéticas, a cumprirem requisitos regulatórios, e a melhorarem sua postura de segurança de maneira geral.

Principais Atividades e Produtos do CIS

Desenvolvido por meio de um processo exclusivo baseado em consenso, composto por profissionais de segurança cibernética e especialistas no assunto em todo o mundo.

  • CIS Controls: Um conjunto de práticas recomendadas de segurança cibernética, organizadas em uma lista de ações prioritárias que ajudam a mitigar as ameaças mais comuns. Essas práticas são frequentemente usadas como um guia para a implementação de políticas de segurança eficazes.

  • CIS Benchmarks: Padrões de configuração para sistemas operacionais, softwares e redes que são reconhecidos globalmente. Os benchmarks fornecem diretrizes detalhadas sobre como configurar sistemas de maneira segura, ajudando a reduzir vulnerabilidades e aumentar a resiliência dos sistemas contra ataques.

  • CIS Hardened Images: Imagens de máquinas virtuais pré-configuradas, baseadas nos CIS Benchmarks, que estão disponíveis em plataformas de nuvem pública como AWS, Azure e Google Cloud. Essas imagens são usadas para garantir que as VMs estejam configuradas com os padrões de segurança recomendados desde o início.

  • CIS SecureSuite: Um conjunto de ferramentas e recursos que oferece aos membros acesso a benchmarks, automação de segurança, e outras ferramentas que auxiliam na implementação e manutenção dos padrões de segurança recomendados pelo CIS.

  • Outros...

O que nos interesse é o CIS Benchmarks para kubernetes. Seguir todas as orientações da CIS para ter um cluster seguro.

  • Eles definem regras padrões de segurança para o kubernetes. Como administradores podemos aplicar essas regras, nos dando uma boa base de segurança. Os serviços de kubernetes oferecidos pelas clouds já aplicam essas regras, mas fazem customizações.

Se não quiser se registrar no CIS para fazer o download, vou dipsoniblizar o pdf aqui aqui para ficar mais fácil.

Observe que poderíamos fazer o download das recomendações para as principais clouds, mas como é o exame do CKS vamos usar o kubernetes padrão.

alt text

Essa é a última versão que temos disponível para baixar, 1.9.0, e na página número 8 em Overview temos dizendo este documento vale para o kubernetes 1.27 até 1.29. Apesar de estarmos na versão 1.30 não temos nenhum documento melhor para seguir, então vamo usar este mesmo.

root@cks-master:~/default# k get nodes
NAME         STATUS   ROLES           AGE    VERSION
cks-master   Ready    control-plane   3d4h   v1.30.3
cks-worker   Ready    <none>          3d4h   v1.30.3

alt text

Esse documento provê todas as regras que precisamos para tornar um cluster mais seguro, mas não é necessário que façamos a verificação das regras uma por uma. Com certeza existe alguma automação para isso e é o que vamos fazer usando o kube-bench.

Faça um overview sobre o kube-bench.