Point de référence Kubernetes CIS (Center for Internet Security)
La configuration du système d’exploitation de sécurité appliquée à l’image hôte de conteneur Linux Azure pour AKS est basée sur la base de référence de sécurité Azure Linux, qui s’aligne sur le benchmark CIS. En tant que service sécurisé, Azure Kubernetes Service (AKS) est conforme aux normes SOC, ISO, PCI DSS et HIPAA. Pour plus d’informations sur la sécurité de l’hôte de conteneur Linux Azure, consultez Concepts de sécurité pour les clusters dans AKS. Pour plus d’informations sur le point de référence CIS, consultez Points de référence CIS (Center for Internet Security). Pour plus d’informations sur les bases de référence de sécurité Azure pour Linux, consultez Base de référence de sécurité Linux.
Azure Linux 2.0
Ce système d’exploitation hôte de conteneur Linux Azure est basé sur l’image Azure Linux 2.0 avec des configurations de sécurité intégrées appliquées.
Dans le cadre du système d’exploitation optimisé pour la sécurité :
- AKS et Azure Linux fournissent un système d’exploitation hôte optimisé pour la sécurité par défaut sans aucune option permettant de sélectionner un autre système d’exploitation.
- Le système d’exploitation hôte optimisé pour la sécurité est conçu et géré spécifiquement pour AKS. Il n’est pas pris en charge en dehors de la plateforme AKS.
- Certains pilotes de module de noyau inutiles ont été désactivés dans le système d’exploitation pour réduire la surface d’attaque.
Recommandations
Le tableau ci-dessous comporte quatre sections :
- ID CIS : L’ID de règle associé à chacune des règles de base.
- Description de la suggestion : Une description de la recommandation émise par le benchmark CIS.
- Niveau: L1 ou niveau 1, recommande des exigences de sécurité de base essentielles qui peuvent être configurées sur n’importe quel système et qui doivent entraîner peu ou pas d’interruption de service ni de réduction de fonctionnalités.
- Statut :
- Réussite – La recommandation a été appliquée.
- Échec: La recommandation n’a pas été appliquée.
- N/A – La recommandation concerne les exigences d’autorisation du fichier manifeste qui ne sont pas pertinentes pour AKS.
- Dépend de l’environnement: La recommandation est appliquée dans l’environnement spécifique de l’utilisateur et n’est pas contrôlée par AKS.
- Contrôle équivalent: La recommandation a été implémentée de manière équivalente et différente.
- Raison :
- Impact potentiel de l’opération: la suggestion n’a pas été appliquée, car elle aurait un effet négatif sur le service.
- Couverte ailleurs : la recommandation est couverte par un autre contrôle dans le calcul cloud Azure.
Voici les résultats des recommandations CIS Azure Linux 2.0 Benchmark v1.0 basées sur les règles CIS :
| Identifiants CIS | Description de la recommandation | Statut | Motif |
|---|---|---|---|
| 1.1.4 | Désactiver le montage automatique | Réussite | |
| 1.1.1.1 | Vérifier que le montage des systèmes de fichiers cramfs est désactivé | Réussite | |
| 1.1.2.1 | Vérifier que /tmp est une partition distincte | Réussite | |
| 1.1.2.2 | Vérifier que l’option nodev est définie sur la partition /tmp | Réussite | |
| 1.1.2.3 | Vérifier que l’option nosuid est définie sur la partition /tmp | Réussite | |
| 1.1.8.1 | Vérifier que l’option nodev est définie sur la partition /dev/shm | Réussite | |
| 1.1.8.2 | Vérifier que l’option nosuid est définie sur la partition /dev/shm | Réussite | |
| 1.2.1 | Vérifier que DNF gpgcheck est activé globalement | Réussite | |
| 1.2.2 | Vérifier que TDNF gpgcheck est activé globalement | Réussite | |
| 1.5.1 | Vérifier que le stockage de sauvegarde du cœur est désactivé | Réussite | |
| 1.5.2 | Vérifier que les backtraces de sauvegarde du cœur sont désactivés | Réussite | |
| 1.5.3 | Vérifier que la distribution aléatoire de l’espace d’adressage (ASLR, Address Space Layout Randomization) est activée | Réussite | |
| 1.7.1 | Vérifier que la bannière d’avertissement de connexion locale est correctement configurée | Réussite | |
| 1.7.2 | Vérifier que la bannière d’avertissement de connexion à distance est correctement configurée | Réussite | |
| 1.7.3 | Vérifier que les autorisations sont configurées sur /etc/motd | Réussite | |
| 1.7.4 | Vérifier que des autorisations sont configurées sur /etc/issue | Réussite | |
| 1.7.5 | Vérifier que des autorisations sont configurées sur /etc/issue.net | Réussite | |
| 2.1.1 | Vérifier que la synchronisation de l’heure est utilisée | Réussite | |
| 2.1.2 | Vérifier que chrony est configuré | Réussite | |
| 2.2.1 | Vérifier que xinetd n’est pas installé | Réussite | |
| 2.2.2 | Vérifier que xorg-x11-server-common n’est pas installé | Réussite | |
| 2.2.3 | Vérifier que avahi n’est pas installé | Réussite | |
| 2.2.4 | Vérifier qu’un serveur d’impression n’est pas installé | Réussite | |
| 2.2.5 | Vérifier qu’un serveur DHCP n’est pas installé | Réussite | |
| 2.2.6 | Vérifier qu’un serveur DNS n’est pas installé | Réussite | |
| 2.2.7 | Vérifier que le client FTP n’est pas installé | Réussite | |
| 2.2.8 | Vérifier qu’un serveur FTP n’est pas installé | Réussite | |
| 2.2.9 | Vérifier qu’un serveur TFTP n’est pas installé | Réussite | |
| 2.2.10 | Vérifier qu’un serveur web n’est pas installé | Réussite | |
| 2.2.11 | Vérifier qu’un serveur IMAP et POP3 n’est pas installé | Réussite | |
| 2.2.12 | Vérifier que Samba n’est pas installé | Réussite | |
| 2.2.13 | Vérifier que le serveur proxy HTTP n’est pas installé | Réussite | |
| 2.2.14 | Vérifier que net-snmp n’est pas installé ou que le service snmpd n’est pas activé | Réussite | |
| 2.2.15 | Vérifier que le serveur NIS n’est pas installé | Réussite | |
| 2.2.16 | Vérifier que telnet-server n’est pas installé | Réussite | |
| 2.2.17 | Vérifier que l’agent de transfert de courrier est configuré pour le mode local uniquement | Réussite | |
| 2.2.18 | Vérifier que nfs-utils n’est pas installé ou que le service nfs-server est masqué | Réussite | |
| 2.2.19 | Vérifiez que rsync-daemon n’est pas installé ou que le service rsyncd est masqué | Réussite | |
| 2.3.1 | Vérifier que le client NIS n’est pas installé | Réussite | |
| 2.3.2 | Vérifier que le client rsh n’est pas installé | Réussite | |
| 2.3.3 | Vérifier que le client de communication n’est pas installé | Réussite | |
| 2.3.4 | Vérifier que le client telnet n’est pas installé | Réussite | |
| 2.3.5 | Vérifier que le client LDAP n’est pas installé | Réussite | |
| 2.3.6 | Vérifier que le client TFTP n’est pas installé | Réussite | |
| 3.1.1 | Vérifier que IPv6 est activé | Réussite | |
| 3.2.1 | Vérifier que l’envoi de redirection de paquets est désactivé | Réussite | |
| 3.3.1 | Vérifier que les paquets acheminés par la source ne sont pas acceptés | Réussite | |
| 3.3.2 | Vérifier que les redirections ICMP ne sont pas acceptées | Réussite | |
| 3.3.3 | Vérifier que les redirections ICMP sécurisées ne sont pas acceptées | Réussite | |
| 3.3.4 | Vérifier que les paquets suspects sont consignés dans un journal | Réussite | |
| 3.3.5 | Vérifier que les demandes ICMP de diffusion sont ignorées | Réussite | |
| 3.3.6 | Vérifier que les réponses ICMP erronées sont ignorées | Réussite | |
| 3.3.7 | Vérifier que le filtrage par chemin inverse est activé | Réussite | |
| 3.3.8 | Vérifier que les cookies SYN TCP sont activés | Réussite | |
| 3.3.9 | Vérifier que les annonces de routeur IPv6 ne sont pas acceptées | Réussite | |
| 3.4.3.1.1 | Vérifier que le package iptables est installé | Réussite | |
| 3.4.3.1.2 | Vérifier que nftables n’est pas installé avec iptables | Réussite | |
| 3.4.3.1.3 | Vérifier que le pare-feu n’est pas installé ou n’est pas masqué avec iptables | Réussite | |
| 4,2 | Vérification que logrotate est configuré | Réussite | |
| 4.2.2 | Vérifier qu’un accès approprié a été configuré pour tous les fichiers journaux | Réussite | |
| 4.2.1.1 | Vérifier que rsyslog est installé | Réussite | |
| 4.2.1.2 | Vérifier que le service rsyslog est activé | Réussite | |
| 4.2.1.3 | Vérifier que les autorisations de fichier par défaut rsyslog sont configurées | Réussite | |
| 4.2.1.4 | Vérifier que la journalisation est configurée | Réussite | |
| 4.2.1.5 | Vérifier que rsyslog n’est pas configuré pour recevoir des journaux d’un client distant | Réussite | |
| 5.1.1 | Vérifier que le démon cron est activé | Réussite | |
| 5.1.2 | Vérifier que des autorisations sont configurées sur /etc/crontab | Réussite | |
| 5.1.3 | Vérifier que les autorisations sont configurées sur /etc/cron.hourly | Réussite | |
| 5.1.4 | Vérifier que les autorisations sont configurées sur /etc/cron.daily | Réussite | |
| 5.1.5 | Vérifier que les autorisations sont configurées sur /etc/cron.weekly | Réussite | |
| 5.1.6 | Vérifier que les autorisations sont configurées sur /etc/cron.monthly | Réussite | |
| 5.1.7 | Vérifier que les autorisations sont configurées sur /etc/cron.d | Réussite | |
| 5.1.8 | Vérifier que cron est restreint aux utilisateurs autorisés | Réussite | |
| 5.1.9 | Vérifier que at est restreint aux utilisateurs autorisés | Réussite | |
| 5.2.1 | Vérifier que les autorisations sont configurées sur /etc/ssh/sshd_config | Réussite | |
| 5.2.2 | Vérifier que les autorisations sont configurées sur les fichiers de clé d’hôte privé SSH | Réussite | |
| 5.2.3 | Vérifier que les autorisations sont configurées sur les fichiers de clé d’hôte public SSH | Réussite | |
| 5.2.4 | Assurez-vous que l’accès SSH est limité. | Réussite | |
| 5.2.5 | Vérifier que SSH LogLevel est approprié | Réussite | |
| 5.2.6 | Vérifier que SSH PAM est activé | Réussite | |
| 5.2.7 | Vérifier que la connexion racine SSH est désactivée | Réussite | |
| 5.2.8 | Vérifier que SSH HostbasedAuthentication est désactivé | Réussite | |
| 5.2.9 | Vérifier que SSH PermitEmptyPasswords est désactivé | Réussite | |
| 5.2.10 | Vérifier que SSH PermitUserEnvironment est désactivé | Réussite | |
| 5.2.11 | Vérifier que SSH IgnoreRhosts est activé | Réussite | |
| 5.2.12 | Vérifier que seuls des chiffrements forts sont utilisés | Réussite | |
| 5.2.13 | Vérifier que seuls des algorithmes MAC forts sont utilisés | Réussite | |
| 5.2.14 | Vérifier que seuls des algorithmes d’échange de clés forts sont utilisés | Réussite | |
| 5.2.15 | Vérifier que la bannière d’avertissement SSH est configurée | Réussite | |
| 5.2.16 | Vérifier que SSH MaxAuthTries est défini sur une valeur inférieure ou égale à 4 | Réussite | |
| 5.2.17 | Vérifier que SSH MaxStartups est configuré | Réussite | |
| 5.2.18 | Vérifier que SSH LoginGraceTime est défini sur une minute ou moins | Réussite | |
| 5.2.19 | Vérifier que SSH MaxAuthTries est défini sur une valeur inférieure ou égale à 10 | Réussite | |
| 5.2.20 | Vérifier que l’intervalle du délai d’inactivité SSH est configuré | Réussite | |
| 5.3.1 | Vérifier que sudo est installé | Réussite | |
| 5.3.2 | Vérifier que la réauthentification pour l’escalade des privilèges n’est pas désactivée globalement | Réussite | |
| 5.3.3 | Vérifier que le délai d’expiration de l’authentification sudo est correctement configuré | Réussite | |
| 5.4.1 | Vérifier que les critères de création de mot de passe sont configurés | Réussite | |
| 5.4.2 | Vérifier que le verrouillage est configuré lors d’échecs de tentatives de mot de passe | Réussite | |
| 5.4.3 | Vérifier que l’algorithme de hachage de mot de passe est SHA-512. | Réussite | |
| 5.4.4 | Vérifier que la réutilisation des mots de passe est limitée | Réussite | |
| 5.5.2 | Vérifier que les comptes système sont sécurisés | Réussite | |
| 5.5.3 | Vérifier que le groupe par défaut pour le compte racine est GID 0. | Réussite | |
| 5.5.4 | Vérifier que le masque umask d’utilisateur par défaut est 027 ou plus restrictif | Réussite | |
| 5.5.1.1 | Vérifier que l’expiration du mot de passe est de 365 jours maximum | Réussite | |
| 5.5.1.2 | Vérifier que le nombre minimal de jours entre les changements de mot de passe est configuré | Réussite | |
| 5.5.1.3 | Vérifier que le délai d’avertissement d’expiration du mot de passe est de 7 jours minimum | Réussite | |
| 5.5.1.4 | Vérifier que le verrouillage de mot de passe inactif est de 30 jours ou moins | Réussite | |
| 5.5.1.5 | Vérifier que la date du dernier changement de mot de passe de tous les utilisateurs se trouve dans le passé. | Réussite | |
| 6.1.1 | Vérifier que les autorisations sont configurées sur /etc/passwd | Réussite | |
| 6.1.2 | Vérifier que les autorisations sont configurées sur /etc/passwd- | Réussite | |
| 6.1.3 | Vérifier que les autorisations sont configurées sur /etc/group | Réussite | |
| 6.1.4 | Vérifier que les autorisations sont configurées sur /etc/group- | Réussite | |
| 6.1.5 | Vérifier que les autorisations sont configurées sur /etc/shadow | Réussite | |
| 6.1.6 | Vérifier que les autorisations sont configurées sur /etc/shadow- | Réussite | |
| 6.1.7 | Vérifier que les autorisations sont configurées sur /etc/gshadow | Réussite | |
| 6.1.8 | Vérifier que les autorisations sont configurées sur /etc/gshadow- | Réussite | |
| 6.1.9 | Vérifier qu’il n’existe aucun fichier ni répertoire non groupé | Réussite | |
| 6.1.10 | Vérifier que les fichiers et répertoires accessibles en écriture dans le monde sont sécurisés | Réussite | |
| 6.2.1 | Vérifier que les champs de mot de passe ne sont pas vides | Réussite | |
| 6.2.2 | Vérifier que tous les groupes dans /etc/passwd existent dans /etc/group. | Réussite | |
| 6.2.3 | Vérifier qu’il n’existe pas de doublons d’UID. | Réussite | |
| 6.2.4 | Vérifier qu’il n’existe pas de doublons de GID. | Réussite | |
| 6.2.5 | Vérifier qu’il n’existe aucun nom d’utilisateur en double. | Réussite | |
| 6.2.6 | Vérifier qu’il n’existe aucun nom de groupe en double | Réussite | |
| 6.2.7 | Garantir l’intégrité du PATH racine | Réussite | |
| 6.2.8 | Vérifier que la racine est le seul compte UID 0. | Réussite | |
| 6.2.9 | Vérifier que les répertoires de base de tous les utilisateurs existent. | Réussite | |
| 6.2.10 | Vérifier que les utilisateurs sont propriétaires de leurs répertoires de base | Réussite | |
| 6.2.11 | Vérifier que les autorisations des répertoires de base des utilisateurs sont de 750 ou sont plus restrictives | Réussite | |
| 6.2.12 | Vérifier que les fichiers dot des utilisateurs ne sont pas accessibles en écriture à un groupe ou à tout le monde | Réussite | |
| 6.2.13 | Vérifier que les fichiers .netrc des utilisateurs ne sont pas accessibles au groupe ou à tout le monde | Réussite | |
| 6.2.14 | Vérifier qu’aucun utilisateur n’a de fichiers .forward. | Réussite | |
| 6.2.15 | Vérifier qu’aucun utilisateur n’a de fichiers .netrc. | Réussite | |
| 6.2.16 | Vérifier qu’aucun utilisateur n’a de fichiers .rhosts. | Réussite |
Étapes suivantes
Pour plus d’informations sur la sécurité de l’hôte de conteneur Azure Linux, consultez les articles suivants :