Tolok ukur Azure Linux Center for Internet Security (CIS)
Konfigurasi OS keamanan yang diterapkan ke gambar Azure Linux Container Host for AKS didasarkan pada garis besar keamanan Azure Linux, yang selaras dengan tolok ukur CIS. Sebagai layanan yang aman, AKS mematuhi standar SOC, ISO, PCI DSS, dan HIPAA. Untuk informasi selengkapnya tentang keamanan Azure Linux Container Host, lihat Konsep keamanan untuk kluster di AKS. Untuk mempelajari selengkapnya tentang tolok ukur CIS, lihat Tolok Ukur Center for Internet Security (CIS). Untuk informasi selengkapnya tentang garis besar keamanan Azure untuk Linux, lihat Garis besar keamanan Linux.
Azure Linux 2.0
Sistem operasi Azure Linux Container Host ini didasarkan pada gambar Azure Linux 2.0 dengan konfigurasi keamanan bawaan yang diterapkan.
Sebagai bagian dari sistem operasi yang dioptimalkan keamanan:
- AKS dan Azure Linux menyediakan OS host yang dioptimalkan keamanan secara default tanpa opsi untuk memilih sistem operasi alternatif.
- OS host yang dioptimalkan keamanannya dibuat dan dipelihara khusus untuk AKS dan tidak didukung di luar platform AKS.
- Driver modul kernel yang tidak perlu telah dinonaktifkan di OS untuk mengurangi permukaan serangan.
Rekomendasi
Tabel di bawah ini memiliki empat bagian:
- ID CIS: ID aturan terkait dengan setiap aturan garis besar.
- Deskripsi rekomendasi: Deskripsi rekomendasi yang dikeluarkan oleh tolok ukur CIS.
- Tingkat: L1, atau Tingkat 1, merekomendasikan persyaratan keamanan dasar penting yang dapat dikonfigurasi pada sistem apa pun dan harus menyebabkan sedikit atau tidak ada gangguan layanan atau fungsionalitas yang berkurang.
- Status:
- Lulus - Rekomendasi telah diterapkan.
- Gagal - Rekomendasi belum diterapkan.
- N/A - Rekomendasi berkaitan dengan persyaratan izin file manifes yang tidak relevan dengan AKS.
- Bergantung pada Lingkungan - Rekomendasi diterapkan di lingkungan spesifik pengguna dan tidak dikontrol oleh AKS.
- Kontrol yang Setara - Rekomendasi telah diterapkan dengan cara yang setara yang berbeda.
- Alasan:
- Dampak Operasi Potensial - Rekomendasi tidak diterapkan karena akan memiliki efek negatif pada layanan.
- Tercakup di Tempat Lain - Rekomendasi dicakup oleh kontrol lain di komputasi cloud Azure.
Berikut ini adalah hasil dari rekomendasi CIS Azure Linux 2.0 Benchmark v1.0 berdasarkan aturan CIS:
| ID CIS | Deskripsi rekomendasi | Status | Alasan |
|---|---|---|---|
| 1.1.4 | Menonaktifkan Pemasangan Otomatis | Lulus | |
| 1.1.1.1 | Memastikan pemasangan filesystem cramfs dinonaktifkan | Lulus | |
| 1.1.2.1 | Pastikan /tmp adalah partisi terpisah | Lulus | |
| 1.1.2.2 | Memastikan opsi nodev diatur pada partisi /tmp | Lulus | |
| 1.1.2.3 | Memastikan opsi nodev diatur pada partisi /tmp | Lulus | |
| 1.1.8.1 | Memastikan opsi nodev diatur pada partisi /dev/shm | Lulus | |
| 1.1.8.2 | Memastikan opsi nosuid diatur pada partisi /dev/shm | Lulus | |
| 1.2.1 | Pastikan Gpgcheck DNF diaktifkan secara global | Lulus | |
| 1.2.2 | Pastikan Gpgcheck TDNF diaktifkan secara global | Lulus | |
| 1.5.1 | Pastikan penyimpanan cadangan inti dinonaktifkan | Lulus | |
| 1.5.2 | Pastikan backtrace cadangan inti dinonaktifkan | Lulus | |
| 1.5.3 | Memastikan pengacak tata letak ruang alamat (ASLR) diaktifkan | Lulus | |
| 1.7.1 | Memastikan banner peringatan masuk lokal dikonfigurasi dengan benar | Lulus | |
| 1.7.2 | Memastikan banner peringatan masuk dari jauh dikonfigurasi dengan benar | Lulus | |
| 1.7.3 | Memastikan izin pada /etc/motd dikonfigurasi | Lulus | |
| 1.7.4 | Memastikan izin pada /etc/issue dikonfigurasi | Lulus | |
| 1.7.5 | Memastikan izin pada /etc/issue.net dikonfigurasi | Lulus | |
| 2.1.1 | Memastikan sinkronisasi waktu sedang digunakan | Lulus | |
| 2.1.2 | Memastikan kroni dikonfigurasi | Lulus | |
| 2.2.1 | Pastikan xinetd tidak diinstal | Lulus | |
| 2.2.2 | Pastikan xorg-x11-server-common tidak diinstal | Lulus | |
| 2.2.3 | Pastikan avahi tidak diinstal | Lulus | |
| 2.2.4 | Pastikan server cetak tidak terinstal | Lulus | |
| 2.2.5 | Pastikan server dhcp tidak diinstal | Lulus | |
| 2.2.6 | Pastikan server dns tidak terinstal | Lulus | |
| 2.2.7 | Pastikan klien FTP tidak diinstal | Lulus | |
| 2.2.8 | Pastikan server ftp tidak diinstal | Lulus | |
| 2.2.9 | Pastikan server tftp tidak terinstal | Lulus | |
| 2.2.10 | Pastikan server web tidak terinstal | Lulus | |
| 2.2.11 | Pastikan server IMAP dan POP3 tidak terinstal | Lulus | |
| 2.2.12 | Pastikan Samba tidak diinstal | Lulus | |
| 2.2.13 | Pastikan Server Proksi HTTP tidak terinstal | Lulus | |
| 2.2.14 | Pastikan net-snmp tidak diinstal atau layanan snmpd tidak diaktifkan | Lulus | |
| 2.2.15 | Pastikan server NIS tidak diinstal | Lulus | |
| 2.2.16 | Pastikan telnet-server tidak diinstal | Lulus | |
| 2.2.17 | Memastikan agen transfer email dikonfigurasi untuk mode lokal saja | Lulus | |
| 2.2.18 | Pastikan nfs-utils tidak diinstal atau layanan nfs-server ditutupi | Lulus | |
| 2.2.19 | Pastikan rsync-daemon tidak diinstal atau layanan rsyncd ditutupi | Lulus | |
| 2.3.1 | Pastikan Klien NIS tidak diinstal | Lulus | |
| 2.3.2 | Pastikan klien rsh tidak diinstal | Lulus | |
| 2.3.3 | Pastikan klien bicara tidak terinstal | Lulus | |
| 2.3.4 | Pastikan klien telnet tidak diinstal | Lulus | |
| 2.3.5 | Pastikan klien LDAP tidak diinstal | Lulus | |
| 2.3.6 | Pastikan klien TFTP tidak terinstal | Lulus | |
| 3.1.1 | Pastikan IPv6 diaktifkan | Lulus | |
| 3.2.1 | Memastikan pengiriman pengalihan paket dinonaktifkan | Lulus | |
| 3.3.1 | Pastikan paket sumber yang dirutekan tidak diterima | Lulus | |
| 3.3.2 | Pastikan pengalihan ICMP tidak diterima | Lulus | |
| 3.3.3 | Pastikan pengalihan ICMP yang aman tidak diterima | Lulus | |
| 3.3.4 | Memastikan paket mencurigakan dicatat | Lulus | |
| 3.3.5 | Memastikan permintaan penyebarluasan ICMP diabaikan | Lulus | |
| 3.3.6 | Memastikan respons ICMP palsu diabaikan | Lulus | |
| 3.3.7 | Memastikan Pemfilteran Jalur Terbalik diaktifkan | Lulus | |
| 3.3.8 | Memastikan Cookie TCP SYN diaktifkan | Lulus | |
| 3.3.9 | Pastikan iklan router IPv6 tidak diterima | Lulus | |
| 3.4.3.1.1 | Pastikan paket iptables terinstal | Lulus | |
| 3.4.3.1.2 | Pastikan nftables tidak diinstal dengan iptables | Lulus | |
| 3.4.3.1.3 | Pastikan firewall tidak diinstal atau ditutupi dengan iptable | Lulus | |
| 4.2 | Memastikan logrotate dikonfigurasi | Lulus | |
| 4.2.2 | Pastikan semua file log memiliki akses yang sesuai yang dikonfigurasi | Lulus | |
| 4.2.1.1 | Memastikan rsyslog diinstal | Lulus | |
| 4.2.1.2 | Pastikan layanan rsyslog diaktifkan | Lulus | |
| 4.2.1.3 | Pastikan izin file default rsyslog dikonfigurasi | Lulus | |
| 4.2.1.4 | Memastikan pengelogan dikonfigurasi | Lulus | |
| 4.2.1.5 | Pastikan rsyslog tidak dikonfigurasi untuk menerima log dari klien jarak jauh | Lulus | |
| 5.1.1 | Pastikan daemon cron diaktifkan | Lulus | |
| 5.1.2 | Memastikan izin pada /etc/crontab dikonfigurasi | Lulus | |
| 5.1.3 | Memastikan izin pada /etc/cron.hourly dikonfigurasi | Lulus | |
| 5.1.4 | Memastikan izin pada /etc/cron.daily dikonfigurasi | Lulus | |
| 5.1.5 | Memastikan izin pada /etc/cron.weekly dikonfigurasi | Lulus | |
| 5.1.6 | Memastikan izin pada /etc/cron.monthly dikonfigurasi | Lulus | |
| 5.1.7 | Memastikan izin pada /etc/cron.d dikonfigurasi | Lulus | |
| 5.1.8 | Memastikan cron dibatasi untuk pengguna yang diotorisasi | Lulus | |
| 5.1.9 | Memastikan at dibatasi untuk pengguna yang diotorisasi | Lulus | |
| 5.2.1 | Memastikan izin pada /etc/ssh/sshd_config dikonfigurasi | Lulus | |
| 5.2.2 | Memastikan izin di file kunci host privat SSH dikonfigurasi | Lulus | |
| 5.2.3 | Memastikan izin di file kunci host publik SSH dikonfigurasi | Lulus | |
| 5.2.4 | Pastikan akses SSH terbatas | Lulus | |
| 5.2.5 | Memastikan SSH LogLevel sesuai | Lulus | |
| 5.2.6 | Memastikan SSH PAM diaktifkan | Lulus | |
| 5.2.7 | Memastikan masuk akar SSH dinonaktifkan | Lulus | |
| 5.2.8 | Memastikan SSH HostbasedAuthentication dinonaktifkan | Lulus | |
| 5.2.9 | Memastikan SSH PermitEmptyPasswords dinonaktifkan | Lulus | |
| 5.2.10 | Memastikan SSH PermitUserEnvironment dinonaktifkan | Lulus | |
| 5.2.11 | Memastikan SSH IgnoreRhosts diaktifkan | Lulus | |
| 5.2.12 | Memastikan hanya Cipher yang kuat yang digunakan | Lulus | |
| 5.2.13 | Memastikan hanya algoritme MAC yang kuat yang digunakan | Lulus | |
| 5.2.14 | Memastikan hanya algoritme Exchange Kunci yang kuat yang digunakan | Lulus | |
| 5.2.15 | Memastikan banner peringatan SSH dikonfigurasi | Lulus | |
| 5.2.16 | Memastikan SSH MaxAuthTries diatur ke 4 atau kurang | Lulus | |
| 5.2.17 | Memastikan SSH MaxStartups dikonfigurasi | Lulus | |
| 5.2.18 | Memastikan SSH LoginGraceTime diatur ke satu menit atau kurang | Lulus | |
| 5.2.19 | Pastikan SSH MaxSessions diatur ke 10 atau kurang | Lulus | |
| 5.2.20 | Memastikan SSH Idle Timeout Interval dikonfigurasi | Lulus | |
| 5.3.1 | Memastikan sudo terinstal | Lulus | |
| 5.3.2 | Pastikan aauthentikasi ulang untuk eskalasi hak istimewa tidak dinonaktifkan secara global | Lulus | |
| 5.3.3 | Pastikan batas waktu autentikasi sudo dikonfigurasi dengan benar | Lulus | |
| 5.4.1 | Memastikan persyaratan pembuatan kata sandi dikonfigurasi | Lulus | |
| 5.4.2 | Memastikan penguncian untuk upaya kata sandi yang gagal dikonfigurasi | Lulus | |
| 5.4.3 | Pastikan algoritma hash kata sandi adalah SHA-512 | Lulus | |
| 5.4.4 | Memastikan penggunaan kembali kata sandi dibatasi | Lulus | |
| 5.5.2 | Memastikan akun sistem diamankan | Lulus | |
| 5.5.3 | Pastikan grup default untuk akun root adalah GID 0 | Lulus | |
| 5.5.4 | Memastikan umask pengguna default adalah 027 atau lebih ketat | Lulus | |
| 5.5.1.1 | Memastikan waktu kedaluwarsa kata sandi adalah 365 hari atau kurang | Lulus | |
| 5.5.1.2 | Pastikan hari minimum antara perubahan kata sandi dikonfigurasi | Lulus | |
| 5.5.1.3 | Pastikan hari peringatan kedaluwarsa kata sandi adalah 7 atau lebih | Lulus | |
| 5.5.1.4 | Memastikan kunci kata sandi tidak aktif adalah 30 hari atau kurang | Lulus | |
| 5.5.1.5 | Pastikan semua pengguna terakhir kali mengubah tanggal kata sandi di masa lalu | Lulus | |
| 6.1.1 | Memastikan izin di /etc/passwd dikonfigurasi | Lulus | |
| 6.1.2 | Memastikan izin di /etc/passwd- dikonfigurasi | Lulus | |
| 6.1.3 | Memastikan izin di /etc/group dikonfigurasi | Lulus | |
| 6.1.4 | Memastikan izin di /etc/group- dikonfigurasi | Lulus | |
| 6.1.5 | Memastikan izin di /etc/shadow dikonfigurasi | Lulus | |
| 6.1.6 | Memastikan izin di /etc/shadow- dikonfigurasi | Lulus | |
| 6.1.7 | Memastikan izin di /etc/gshadow dikonfigurasi | Lulus | |
| 6.1.8 | Memastikan izin di /etc/gshadow- dikonfigurasi | Lulus | |
| 6.1.9 | Pastikan tidak ada file atau direktori yang tidak dikesampingkan atau tidak dikeluarkan | Lulus | |
| 6.1.10 | Pastikan file dan direktori yang dapat ditulis dunia diamankan | Lulus | |
| 6.2.1 | Pastikan bidang kata sandi tidak kosong | Lulus | |
| 6.2.2 | Memastikan semua grup dalam /etc/passwd ada di /etc/group | Lulus | |
| 6.2.3 | Memastikan tidak ada UID duplikat | Lulus | |
| 6.2.4 | Memastikan tidak ada GID duplikat | Lulus | |
| 6.2.5 | Memastikan tidak ada nama pengguna duplikat | Lulus | |
| 6.2.6 | Memastikan tidak ada nama grup duplikat | Lulus | |
| 6.2.7 | Memastikan Integritas PATH root | Lulus | |
| 6.2.8 | Memastikan root satu-satunya akun dengan UID 0 | Lulus | |
| 6.2.9 | Memastikan semua direktori asal pengguna ada | Lulus | |
| 6.2.10 | Memastikan direktori rumah pengguna memiliki direktori utama mereka | Lulus | |
| 6.2.11 | Memastikan izin direktori beranda pengguna adalah 750 atau lebih ketat | Lulus | |
| 6.2.12 | Pastikan file titik pengguna tidak dapat ditulis grup atau dunia | Lulus | |
| 6.2.13 | Pastikan file .netrc pengguna tidak dapat diakses grup atau dunia | Lulus | |
| 6.2.14 | Memastikan tidak ada pengguna yang memiliki file .forward | Lulus | |
| 6.2.15 | Memastikan tidak ada pengguna yang memiliki file .netrc | Lulus | |
| 6.2.16 | Memastikan tidak ada pengguna yang memiliki file .rhosts | Lulus |
Langkah berikutnya
Untuk informasi selengkapnya tentang keamanan Azure Linux Container Host, lihat artikel berikut ini: