مركز أمان الإنترنت (CIS) معيار Azure Linux
يستند تكوين نظام تشغيل الأمان المطبق على Azure Linux Container Host لصورة AKS إلى أساس أمان Azure Linux، والذي يتوافق مع معيار CIS. كخدمة آمنة، تتوافق AKS مع معايير SOC و ISO و PCI DSS و HIPAA. لمزيد من المعلومات حول أمان مضيف حاوية Azure Linux، راجع مفاهيم الأمان للمجموعات في AKS. لمعرفة المزيد حول معيار CIS، راجع مركز معايير أمان الإنترنت (CIS). لمزيد من المعلومات حول خطوط أساس أمان Azure لنظام Linux، يجب مراجعة أساس أمان Linux.
Azure Linux 2.0
يستند نظام تشغيل Azure Linux Container Host هذا إلى صورة Azure Linux 2.0 مع تطبيق تكوينات الأمان المضمنة.
كجزء من نظام التشغيل المحسن للأمان:
- توفر AKS وAzure Linux نظام تشغيل مضيف محسن للأمان بشكل افتراضي مع عدم وجود خيار لتحديد نظام تشغيل بديل.
- صُمم نظام التشغيل الأمني المحصن وصيانته خصوصاً لـ AKS ولا يتم دعمه خارج منصة AKS.
- تم تعطيل برامج تشغيل وحدة النواة غير الضرورية في نظام التشغيل لتقليل سطح الهجوم.
التوصيات
يحتوي الجدول أدناه على أربعة أقسام:
- معرف CIS: معرف القاعدة المقترن بكل من قواعد الأساس.
- وصف التوصية: وصف التوصية الصادرة عن معيار CIS.
- المستوى: توصي L1 أو المستوى 1 بمتطلبات الأمان الأساسية الأساسية التي يمكن تكوينها على أي نظام ويجب أن تتسبب في انقطاع بسيط أو عدم انقطاع الخدمة أو انخفاض الوظائف.
- الحالة:
- Pass - تم تطبيق التوصية.
- فشل - لم يتم تطبيق التوصية.
- غير متاح - تتعلق التوصية بمتطلبات أذونات ملف البيان غير ذات الصلة ب AKS.
- يعتمد على البيئة - يتم تطبيق التوصية في بيئة المستخدم المحددة ولا يتم التحكم فيها بواسطة AKS.
- التحكم المكافئ - تم تنفيذ التوصية بطريقة مكافئة مختلفة.
- السبب:
- تأثير العملية المحتملة - لم يتم تطبيق التوصية لأنها سيكون لها تأثير سلبي على الخدمة.
- مغطى في مكان آخر - تتم تغطية التوصية بواسطة عنصر تحكم آخر في حساب سحابة Azure.
فيما يلي نتائج توصيات معيار CIS Azure Linux 2.0 الإصدار 1.0 استنادا إلى قواعد CIS:
معرّف CIS | وصف التوصية | الحالة | السبب |
---|---|---|---|
1.1.4 | تعطيل عملية التحميل التلقائي | نجاح | |
1.1.1.1 | ضمان تعطيل إدخال أنظمة ملفات cramfs | نجاح | |
1.1.2.1 | تأكد من أن /tmp هو قسم منفصل | نجاح | |
1.1.2.2 | التأكد من تعيين خيار nodev على قسم / tmp | نجاح | |
1.1.2.3 | التأكد من تعيين خيار nosuid على قسم / tmp | نجاح | |
1.1.8.1 | تأكد من تعيين خيار nodev على قسم / dev / shm | نجاح | |
1.1.8.2 | التأكد من تعيين خيار nosuid على قسم / dev / shm | نجاح | |
1.2.1 | تأكد من تنشيط DNF gpgcheck عالميا | نجاح | |
1.2.2 | تأكد من تنشيط TDNF gpgcheck عالميا | نجاح | |
1.5.1 | تأكد من تعطيل تخزين التفريغ الأساسي | نجاح | |
1.5.2 | تأكد من تعطيل الرسائل الاحتياطية للنسخ الاحتياطية للذاكرة الأساسية | نجاح | |
1.5.3 | التأكد من تمكين عشوائية تخطيط مساحة العنوان (ASLR) | نجاح | |
1.7.1 | التأكد من تكوين شعار تحذير تسجيل الدخول المحلي بشكل صحيح | نجاح | |
1.7.2 | التأكد من تكوين شعار تحذير تسجيل الدخول عن بعد بشكل صحيح | نجاح | |
1.7.3 | التأكد من تكوين أذونات الوصول الخاصة بـ/etc/issue | نجاح | |
1.7.4 | التأكد من تكوين أذونات الوصول على /etc/issue | نجاح | |
1.7.5 | التأكد من تكوين أذونات الوصول على /etc/issue.net | نجاح | |
2.1.1 | التأكد من استخدام مزامنة الوقت | نجاح | |
2.1.2 | التأكد من تكوين الترتيب الزمني | نجاح | |
2.2.1 | تأكد من عدم تثبيت xinetd | نجاح | |
2.2.2 | تأكد من عدم تثبيت xorg-x11-server-common | نجاح | |
2.2.3 | تأكد من عدم تثبيت أفاهي | نجاح | |
2.2.4 | تأكد من عدم تثبيت خادم طباعة | نجاح | |
2.2.5 | تأكد من عدم تثبيت خادم dhcp | نجاح | |
2.2.6 | تأكد من عدم تثبيت خادم dns | نجاح | |
2.2.7 | تأكد من عدم تثبيت عميل FTP | نجاح | |
2.2.8 | تأكد من عدم تثبيت خادم ftp | نجاح | |
2.2.9 | تأكد من عدم تثبيت خادم tftp | نجاح | |
2.2.10 | تأكد من عدم تثبيت خادم ويب | نجاح | |
2.2.11 | تأكد من عدم تثبيت خادم IMAP وPOP3 | نجاح | |
2.2.12 | تأكد من عدم تثبيت Samba | نجاح | |
2.2.13 | تأكد من عدم تثبيت خادم وكيل HTTP | نجاح | |
2.2.14 | تأكد من عدم تثبيت net-snmp أو عدم تمكين خدمة snmpd | نجاح | |
2.2.15 | تأكد من عدم تثبيت خادم NIS | نجاح | |
2.2.16 | تأكد من عدم تثبيت خادم telnet | نجاح | |
2.2.17 | التأكد من تكوين وكيل نقل البريد للوضع المحلي فقط | نجاح | |
2.2.18 | تأكد من عدم تثبيت nfs-utils أو إخفاء خدمة خادم nfs | نجاح | |
2.2.19 | تأكد من عدم تثبيت rsync-daemon أو إخفاء خدمة rsyncd | نجاح | |
2.3.1 | تأكد من عدم تثبيت عميل NIS | نجاح | |
2.3.2 | تأكد من عدم تثبيت عميل rsh | نجاح | |
2.3.3 | تأكد من عدم تثبيت عميل التحدث | نجاح | |
2.3.4 | تأكد من عدم تثبيت عميل telnet | نجاح | |
2.3.5 | تأكد من عدم تثبيت عميل LDAP | نجاح | |
2.3.6 | تأكد من عدم تثبيت عميل TFTP | نجاح | |
3.1.1 | تأكد من تمكين IPv6 | نجاح | |
3.2.1 | تأكد من تعطيل إرسال إعادة توجيه الحزمة | نجاح | |
3.3.1 | تأكد من عدم قبول الحزم التي تم توجيهها من المصدر | نجاح | |
3.3.2 | تأكد من عدم قبول عمليات إعادة توجيه ICMP | نجاح | |
3.3.3 | تأكد من عدم قبول عمليات إعادة توجيه ICMP الآمنة | نجاح | |
3.3.4 | تأكد من تسجيل حزم البيانات المشتبه بها | نجاح | |
3.3.5 | التأكد من تجاهل طلبات البث ICMP | نجاح | |
3.3.6 | التأكد من تجاهل استجابات ICMP الزائفة | نجاح | |
3.3.7 | تأكد من تمكين عامل تصفية المسار العكسي | نجاح | |
3.3.8 | التأكد من تمكين ملفات تعريف الارتباط TCP SYN | نجاح | |
3.3.9 | تأكد من عدم قبول إعلانات موجه IPv6 | نجاح | |
3.4.3.1.1 | تأكد من تثبيت حزمة iptables | نجاح | |
3.4.3.1.2 | تأكد من عدم تثبيت nftables مع iptables | نجاح | |
3.4.3.1.3 | تأكد من أن جدار الحماية إما غير مثبت أو مخفي مع iptables | نجاح | |
4.2 | التأكد من تكوين logrotate | نجاح | |
4.2.2 | تأكد من تكوين الوصول المناسب لجميع ملفات السجل | نجاح | |
4.2.1.1 | التأكد من تثبيت rsyslog | نجاح | |
4.2.1.2 | تأكد من تمكين خدمة rsyslog | نجاح | |
4.2.1.3 | تأكد من تكوين أذونات الملف الافتراضية ل rsyslog | نجاح | |
4.2.1.4 | التأكد من تكوين التسجيل | نجاح | |
4.2.1.5 | تأكد من عدم تكوين rsyslog لتلقي السجلات من عميل بعيد | نجاح | |
5.1.1 | تأكد من تمكين cron daemon | نجاح | |
5.1.2 | التأكد من تكوين أذونات الوصول على /etc/crontab | نجاح | |
5.1.3 | التأكد من تكوين الأذونات على /etc/cron.hourly | نجاح | |
5.1.4 | التأكد من تكوين الأذونات على /etc/cron.daily | نجاح | |
5.1.5 | التأكد من تكوين الأذونات على /etc/cron.weekly | نجاح | |
5.1.6 | التأكد من تكوين الأذونات على /etc/cron.monthly | نجاح | |
5.1.7 | التأكد من تكوين الأذونات على /etc/cron.d | نجاح | |
5.1.8 | التأكد من تقييد cron للمستخدمين المعتمدين | نجاح | |
5.1.9 | التأكد من أنه يقتصر على المستخدمين المصرح لهم | نجاح | |
5.2.1 | التأكد من تكوين الأذونات على /etc/ssh/sshd_config | نجاح | |
5.2.2 | التأكد من تكوين الأذونات على ملفات مفتاح المضيف الخاص SSH | نجاح | |
5.2.3 | التأكد من تكوين الأذونات على ملفات مفتاح المضيف العام SSH | نجاح | |
5.2.4 | التأكد من أن وصول SSH محدود | نجاح | |
5.2.5 | التأكد من أن SSH LogLevel مناسب | نجاح | |
5.2.6 | التأكد من تمكين SSH PAM | نجاح | |
5.2.7 | التأكد من تعطيل تسجيل الدخول إلى جذر SSH | نجاح | |
5.2.8 | التأكد من تعطيل SSH HostbasedAuthentication | نجاح | |
5.2.9 | التأكد من تعطيل SSH PermitEmptyPasswords | نجاح | |
5.2.10 | التأكد من تعطيل بيئة مستخدم تصريح SSH | نجاح | |
5.2.11 | التأكد من تمكين SSH IgnoreRhosts | نجاح | |
5.2.12 | التأكد من استخدام شفرات قوية فقط | نجاح | |
5.2.13 | التأكد من استخدام خوارزميات MAC القوية فقط | نجاح | |
5.2.14 | التأكد من استخدام خوارزميات Key Exchange القوية فقط | نجاح | |
5.2.15 | التأكد من تكوين شعار تحذير SSH | نجاح | |
5.2.16 | التأكد من تعيين SSH MaxAuthTries إلى 4 أو أقل | نجاح | |
5.2.17 | التأكد من تكوين SSH MaxStartups | نجاح | |
5.2.18 | التأكد من تعيين SSH LoginGraceTime إلى دقيقة واحدة أو أقل | نجاح | |
5.2.19 | تأكد من تعيين SSH MaxSessions إلى 10 أو أقل | نجاح | |
5.2.20 | التأكد من تكوين فاصل زمني لخمول SSH | نجاح | |
5.3.1 | التأكد من تثبيت sudo | نجاح | |
5.3.2 | تأكد من عدم تعطيل إعادة المصادقة لتصعيد الامتيازات عالميا | نجاح | |
5.3.3 | تأكد من تكوين مهلة مصادقة sudo بشكل صحيح | نجاح | |
5.4.1 | التأكد من تكوين متطلبات إنشاء كلمة المرور | نجاح | |
5.4.2 | التأكد من تكوين تأمين محاولات كلمة المرور الفاشلة | نجاح | |
5.4.3 | التأكد من أن خوارزمية تجزئة كلمة المرور هي SHA-512 | نجاح | |
5.4.4 | التأكد من أن إعادة استخدام كلمة المرور محدودة | نجاح | |
5.5.2 | التأكد من عملية تأمين حسابات النظام | نجاح | |
5.5.3 | التأكد من أن المجموعة الافتراضية للحساب الجذر هي GID 0 | نجاح | |
5.5.4 | التأكد من أن مكون تأكد من أن umask المستخدم الافتراضي هو 027 أو أكثر تقييدًا | نجاح | |
5.5.1.1 | التأكد من انتهاء صلاحية كلمة المرور خلال 365 يوماً أو أقل | نجاح | |
5.5.1.2 | تأكد من تكوين الحد الأدنى من الأيام بين تغييرات كلمة المرور | نجاح | |
5.5.1.3 | تأكد من أن أيام تحذير انتهاء صلاحية كلمة المرور هي 7 أو أكثر | نجاح | |
5.5.1.4 | التأكد من أن تأمين كلمة المرور غير النشط هو 30 يوماً أو أقل | نجاح | |
5.5.1.5 | التأكد من أن تاريخ تغيير كلمة المرور الأخير لجميع المستخدمين في الماضي | نجاح | |
6.1.1 | التأكد من تكوين الأذونات على / etc/passwd | نجاح | |
6.1.2 | التأكد من تكوين الأذونات على / etc/passwd | نجاح | |
6.1.3 | التأكد من تكوين الأذونات على / etc / group | نجاح | |
6.1.4 | التأكد من تكوين الأذونات على / etc/group | نجاح | |
6.1.5 | التأكد من تكوين أذونات الوصول على /etc/shadow | نجاح | |
6.1.6 | التأكد من تكوين أذونات الوصول على /etc/shadow | نجاح | |
6.1.7 | التأكد من تكوين أذونات الوصول على /etc/gshadow | نجاح | |
6.1.8 | التأكد من تكوين أذونات الوصول على /etc/gshadow | نجاح | |
6.1.9 | تأكد من عدم وجود ملفات أو أدلة غير منجزة أو غير تجميعية | نجاح | |
6.1.10 | تأكد من تأمين الملفات والدلائل القابلة للكتابة في العالم | نجاح | |
6.2.1 | التأكد من أن حقول كلمة المرور غير فارغة | نجاح | |
6.2.2 | التأكد من وجود جميع المجموعات في /etc/passwd في /etc/group | نجاح | |
6.2.3 | التأكد من عدم وجود واجهات مستخدم مكررة | نجاح | |
6.2.4 | التأكد من عدم وجود ملفات GID مكررة | نجاح | |
6.2.5 | التأكد من عدم وجود أسماء مستخدمين مكررة | نجاح | |
6.2.6 | التأكد من عدم وجود أسماء مجموعات مكررة | نجاح | |
6.2.7 | التأكد من تكامل مسار الجذر | نجاح | |
6.2.8 | التأكد من أن الجذر هو حساب UID 0 الوحيد | نجاح | |
6.2.9 | تأكد من وجود جميع الدلائل الرئيسية للمستخدمين | نجاح | |
6.2.10 | تأكد من أن المستخدمين يمتلكون دلائلهم الرئيسية | نجاح | |
6.2.11 | التأكد من أن أذونات الدلائل الرئيسية للمستخدمين 750 أو أكثر تقييدا | نجاح | |
6.2.12 | تأكد من أن الملفات المنقطة للمستخدمين غير قابلة للكتابة في المجموعة أو العالم | نجاح | |
6.2.13 | تأكد من أن ملفات .netrc للمستخدمين غير قابلة للوصول إلى المجموعة أو العالم | نجاح | |
6.2.14 | التأكد من عدم وجود ملفات .forward للمستخدمين | نجاح | |
6.2.15 | التأكد من عدم وجود ملفات .netrc للمستخدمين | نجاح | |
6.2.16 | التأكد من عدم وجود مستخدمين لديهم ملفات .rhosts | نجاح |
الخطوات التالية
لمزيد من المعلومات حول أمان Azure Linux Container Host، راجع المقالات التالية:
Azure Kubernetes Service
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ