Baca dalam bahasa Inggris

Bagikan melalui


Tolok ukur Azure Linux Center for Internet Security (CIS)

Konfigurasi OS keamanan yang diterapkan ke gambar Azure Linux Container Host for AKS didasarkan pada garis besar keamanan Azure Linux, yang selaras dengan tolok ukur CIS. Sebagai layanan yang aman, AKS mematuhi standar SOC, ISO, PCI DSS, dan HIPAA. Untuk informasi selengkapnya tentang keamanan Azure Linux Container Host, lihat Konsep keamanan untuk kluster di AKS. Untuk mempelajari selengkapnya tentang tolok ukur CIS, lihat Tolok Ukur Center for Internet Security (CIS). Untuk informasi selengkapnya tentang garis besar keamanan Azure untuk Linux, lihat Garis besar keamanan Linux.

Azure Linux 2.0

Sistem operasi Azure Linux Container Host ini didasarkan pada gambar Azure Linux 2.0 dengan konfigurasi keamanan bawaan yang diterapkan.

Sebagai bagian dari sistem operasi yang dioptimalkan keamanan:

  • AKS dan Azure Linux menyediakan OS host yang dioptimalkan keamanan secara default tanpa opsi untuk memilih sistem operasi alternatif.
  • OS host yang dioptimalkan keamanannya dibuat dan dipelihara khusus untuk AKS dan tidak didukung di luar platform AKS.
  • Driver modul kernel yang tidak perlu telah dinonaktifkan di OS untuk mengurangi permukaan serangan.

Rekomendasi

Tabel di bawah ini memiliki empat bagian:

  • ID CIS: ID aturan terkait dengan setiap aturan garis besar.
  • Deskripsi rekomendasi: Deskripsi rekomendasi yang dikeluarkan oleh tolok ukur CIS.
  • Tingkat: L1, atau Tingkat 1, merekomendasikan persyaratan keamanan dasar penting yang dapat dikonfigurasi pada sistem apa pun dan harus menyebabkan sedikit atau tidak ada gangguan layanan atau fungsionalitas yang berkurang.
  • Status:
    • Lulus - Rekomendasi telah diterapkan.
    • Gagal - Rekomendasi belum diterapkan.
    • N/A - Rekomendasi berkaitan dengan persyaratan izin file manifes yang tidak relevan dengan AKS.
    • Bergantung pada Lingkungan - Rekomendasi diterapkan di lingkungan spesifik pengguna dan tidak dikontrol oleh AKS.
    • Kontrol yang Setara - Rekomendasi telah diterapkan dengan cara yang setara yang berbeda.
  • Alasan:
    • Dampak Operasi Potensial - Rekomendasi tidak diterapkan karena akan memiliki efek negatif pada layanan.
    • Tercakup di Tempat Lain - Rekomendasi dicakup oleh kontrol lain di komputasi cloud Azure.

Berikut ini adalah hasil dari rekomendasi CIS Azure Linux 2.0 Benchmark v1.0 berdasarkan aturan CIS:

ID CIS Deskripsi rekomendasi Status Alasan
1.1.4 Menonaktifkan Pemasangan Otomatis Lulus
1.1.1.1 Memastikan pemasangan filesystem cramfs dinonaktifkan Lulus
1.1.2.1 Pastikan /tmp adalah partisi terpisah Lulus
1.1.2.2 Memastikan opsi nodev diatur pada partisi /tmp Lulus
1.1.2.3 Memastikan opsi nodev diatur pada partisi /tmp Lulus
1.1.8.1 Memastikan opsi nodev diatur pada partisi /dev/shm Lulus
1.1.8.2 Memastikan opsi nosuid diatur pada partisi /dev/shm Lulus
1.2.1 Pastikan Gpgcheck DNF diaktifkan secara global Lulus
1.2.2 Pastikan Gpgcheck TDNF diaktifkan secara global Lulus
1.5.1 Pastikan penyimpanan cadangan inti dinonaktifkan Lulus
1.5.2 Pastikan backtrace cadangan inti dinonaktifkan Lulus
1.5.3 Memastikan pengacak tata letak ruang alamat (ASLR) diaktifkan Lulus
1.7.1 Memastikan banner peringatan masuk lokal dikonfigurasi dengan benar Lulus
1.7.2 Memastikan banner peringatan masuk dari jauh dikonfigurasi dengan benar Lulus
1.7.3 Memastikan izin pada /etc/motd dikonfigurasi Lulus
1.7.4 Memastikan izin pada /etc/issue dikonfigurasi Lulus
1.7.5 Memastikan izin pada /etc/issue.net dikonfigurasi Lulus
2.1.1 Memastikan sinkronisasi waktu sedang digunakan Lulus
2.1.2 Memastikan kroni dikonfigurasi Lulus
2.2.1 Pastikan xinetd tidak diinstal Lulus
2.2.2 Pastikan xorg-x11-server-common tidak diinstal Lulus
2.2.3 Pastikan avahi tidak diinstal Lulus
2.2.4 Pastikan server cetak tidak terinstal Lulus
2.2.5 Pastikan server dhcp tidak diinstal Lulus
2.2.6 Pastikan server dns tidak terinstal Lulus
2.2.7 Pastikan klien FTP tidak diinstal Lulus
2.2.8 Pastikan server ftp tidak diinstal Lulus
2.2.9 Pastikan server tftp tidak terinstal Lulus
2.2.10 Pastikan server web tidak terinstal Lulus
2.2.11 Pastikan server IMAP dan POP3 tidak terinstal Lulus
2.2.12 Pastikan Samba tidak diinstal Lulus
2.2.13 Pastikan Server Proksi HTTP tidak terinstal Lulus
2.2.14 Pastikan net-snmp tidak diinstal atau layanan snmpd tidak diaktifkan Lulus
2.2.15 Pastikan server NIS tidak diinstal Lulus
2.2.16 Pastikan telnet-server tidak diinstal Lulus
2.2.17 Memastikan agen transfer email dikonfigurasi untuk mode lokal saja Lulus
2.2.18 Pastikan nfs-utils tidak diinstal atau layanan nfs-server ditutupi Lulus
2.2.19 Pastikan rsync-daemon tidak diinstal atau layanan rsyncd ditutupi Lulus
2.3.1 Pastikan Klien NIS tidak diinstal Lulus
2.3.2 Pastikan klien rsh tidak diinstal Lulus
2.3.3 Pastikan klien bicara tidak terinstal Lulus
2.3.4 Pastikan klien telnet tidak diinstal Lulus
2.3.5 Pastikan klien LDAP tidak diinstal Lulus
2.3.6 Pastikan klien TFTP tidak terinstal Lulus
3.1.1 Pastikan IPv6 diaktifkan Lulus
3.2.1 Memastikan pengiriman pengalihan paket dinonaktifkan Lulus
3.3.1 Pastikan paket sumber yang dirutekan tidak diterima Lulus
3.3.2 Pastikan pengalihan ICMP tidak diterima Lulus
3.3.3 Pastikan pengalihan ICMP yang aman tidak diterima Lulus
3.3.4 Memastikan paket mencurigakan dicatat Lulus
3.3.5 Memastikan permintaan penyebarluasan ICMP diabaikan Lulus
3.3.6 Memastikan respons ICMP palsu diabaikan Lulus
3.3.7 Memastikan Pemfilteran Jalur Terbalik diaktifkan Lulus
3.3.8 Memastikan Cookie TCP SYN diaktifkan Lulus
3.3.9 Pastikan iklan router IPv6 tidak diterima Lulus
3.4.3.1.1 Pastikan paket iptables terinstal Lulus
3.4.3.1.2 Pastikan nftables tidak diinstal dengan iptables Lulus
3.4.3.1.3 Pastikan firewall tidak diinstal atau ditutupi dengan iptable Lulus
4.2 Memastikan logrotate dikonfigurasi Lulus
4.2.2 Pastikan semua file log memiliki akses yang sesuai yang dikonfigurasi Lulus
4.2.1.1 Memastikan rsyslog diinstal Lulus
4.2.1.2 Pastikan layanan rsyslog diaktifkan Lulus
4.2.1.3 Pastikan izin file default rsyslog dikonfigurasi Lulus
4.2.1.4 Memastikan pengelogan dikonfigurasi Lulus
4.2.1.5 Pastikan rsyslog tidak dikonfigurasi untuk menerima log dari klien jarak jauh Lulus
5.1.1 Pastikan daemon cron diaktifkan Lulus
5.1.2 Memastikan izin pada /etc/crontab dikonfigurasi Lulus
5.1.3 Memastikan izin pada /etc/cron.hourly dikonfigurasi Lulus
5.1.4 Memastikan izin pada /etc/cron.daily dikonfigurasi Lulus
5.1.5 Memastikan izin pada /etc/cron.weekly dikonfigurasi Lulus
5.1.6 Memastikan izin pada /etc/cron.monthly dikonfigurasi Lulus
5.1.7 Memastikan izin pada /etc/cron.d dikonfigurasi Lulus
5.1.8 Memastikan cron dibatasi untuk pengguna yang diotorisasi Lulus
5.1.9 Memastikan at dibatasi untuk pengguna yang diotorisasi Lulus
5.2.1 Memastikan izin pada /etc/ssh/sshd_config dikonfigurasi Lulus
5.2.2 Memastikan izin di file kunci host privat SSH dikonfigurasi Lulus
5.2.3 Memastikan izin di file kunci host publik SSH dikonfigurasi Lulus
5.2.4 Pastikan akses SSH terbatas Lulus
5.2.5 Memastikan SSH LogLevel sesuai Lulus
5.2.6 Memastikan SSH PAM diaktifkan Lulus
5.2.7 Memastikan masuk akar SSH dinonaktifkan Lulus
5.2.8 Memastikan SSH HostbasedAuthentication dinonaktifkan Lulus
5.2.9 Memastikan SSH PermitEmptyPasswords dinonaktifkan Lulus
5.2.10 Memastikan SSH PermitUserEnvironment dinonaktifkan Lulus
5.2.11 Memastikan SSH IgnoreRhosts diaktifkan Lulus
5.2.12 Memastikan hanya Cipher yang kuat yang digunakan Lulus
5.2.13 Memastikan hanya algoritme MAC yang kuat yang digunakan Lulus
5.2.14 Memastikan hanya algoritme Exchange Kunci yang kuat yang digunakan Lulus
5.2.15 Memastikan banner peringatan SSH dikonfigurasi Lulus
5.2.16 Memastikan SSH MaxAuthTries diatur ke 4 atau kurang Lulus
5.2.17 Memastikan SSH MaxStartups dikonfigurasi Lulus
5.2.18 Memastikan SSH LoginGraceTime diatur ke satu menit atau kurang Lulus
5.2.19 Pastikan SSH MaxSessions diatur ke 10 atau kurang Lulus
5.2.20 Memastikan SSH Idle Timeout Interval dikonfigurasi Lulus
5.3.1 Memastikan sudo terinstal Lulus
5.3.2 Pastikan aauthentikasi ulang untuk eskalasi hak istimewa tidak dinonaktifkan secara global Lulus
5.3.3 Pastikan batas waktu autentikasi sudo dikonfigurasi dengan benar Lulus
5.4.1 Memastikan persyaratan pembuatan kata sandi dikonfigurasi Lulus
5.4.2 Memastikan penguncian untuk upaya kata sandi yang gagal dikonfigurasi Lulus
5.4.3 Pastikan algoritma hash kata sandi adalah SHA-512 Lulus
5.4.4 Memastikan penggunaan kembali kata sandi dibatasi Lulus
5.5.2 Memastikan akun sistem diamankan Lulus
5.5.3 Pastikan grup default untuk akun root adalah GID 0 Lulus
5.5.4 Memastikan umask pengguna default adalah 027 atau lebih ketat Lulus
5.5.1.1 Memastikan waktu kedaluwarsa kata sandi adalah 365 hari atau kurang Lulus
5.5.1.2 Pastikan hari minimum antara perubahan kata sandi dikonfigurasi Lulus
5.5.1.3 Pastikan hari peringatan kedaluwarsa kata sandi adalah 7 atau lebih Lulus
5.5.1.4 Memastikan kunci kata sandi tidak aktif adalah 30 hari atau kurang Lulus
5.5.1.5 Pastikan semua pengguna terakhir kali mengubah tanggal kata sandi di masa lalu Lulus
6.1.1 Memastikan izin di /etc/passwd dikonfigurasi Lulus
6.1.2 Memastikan izin di /etc/passwd- dikonfigurasi Lulus
6.1.3 Memastikan izin di /etc/group dikonfigurasi Lulus
6.1.4 Memastikan izin di /etc/group- dikonfigurasi Lulus
6.1.5 Memastikan izin di /etc/shadow dikonfigurasi Lulus
6.1.6 Memastikan izin di /etc/shadow- dikonfigurasi Lulus
6.1.7 Memastikan izin di /etc/gshadow dikonfigurasi Lulus
6.1.8 Memastikan izin di /etc/gshadow- dikonfigurasi Lulus
6.1.9 Pastikan tidak ada file atau direktori yang tidak dikesampingkan atau tidak dikeluarkan Lulus
6.1.10 Pastikan file dan direktori yang dapat ditulis dunia diamankan Lulus
6.2.1 Pastikan bidang kata sandi tidak kosong Lulus
6.2.2 Memastikan semua grup dalam /etc/passwd ada di /etc/group Lulus
6.2.3 Memastikan tidak ada UID duplikat Lulus
6.2.4 Memastikan tidak ada GID duplikat Lulus
6.2.5 Memastikan tidak ada nama pengguna duplikat Lulus
6.2.6 Memastikan tidak ada nama grup duplikat Lulus
6.2.7 Memastikan Integritas PATH root Lulus
6.2.8 Memastikan root satu-satunya akun dengan UID 0 Lulus
6.2.9 Memastikan semua direktori asal pengguna ada Lulus
6.2.10 Memastikan direktori rumah pengguna memiliki direktori utama mereka Lulus
6.2.11 Memastikan izin direktori beranda pengguna adalah 750 atau lebih ketat Lulus
6.2.12 Pastikan file titik pengguna tidak dapat ditulis grup atau dunia Lulus
6.2.13 Pastikan file .netrc pengguna tidak dapat diakses grup atau dunia Lulus
6.2.14 Memastikan tidak ada pengguna yang memiliki file .forward Lulus
6.2.15 Memastikan tidak ada pengguna yang memiliki file .netrc Lulus
6.2.16 Memastikan tidak ada pengguna yang memiliki file .rhosts Lulus

Langkah berikutnya

Untuk informasi selengkapnya tentang keamanan Azure Linux Container Host, lihat artikel berikut ini: