Important
この記事は、AKS によって使用される Azure Linux 3.0 と Azure Linux 3.0 コンテナー ホスト イメージにのみ適用されます。 推奨事項の状態とガイダンスには、CIS Azure Linux 3.0 Benchmark v1.0 とポイントインタイム Azure Linux 3.0 イメージ (2025 年 7 月 2 日リリース) が反映されています。 他の Azure Linux リリース (Azure Linux 2.0 など) には適用されない場合があります。 ガイダンスを適用する前に、OS のバージョンとベンチマークのバージョンを確認してください。
Azure Linux Container Host for AKS イメージに適用されるセキュリティ OS 構成は、CIS ベンチマークに合わせた Azure Linux セキュリティ ベースラインに基づいています。 セキュリティで保護されたサービスとして、AKS は SOC、ISO、PCI DSS、HIPAA の標準に準拠しています。 Azure Linux Container Host のセキュリティの詳細については、「Azure Kubernetes Service (AKS) のクラスターのセキュリティの概念」を参照してください。 CIS ベンチマークの詳細については、 Center for Internet Security (CIS) ベンチマークを参照してください。 Linux 用の Azure セキュリティ ベースラインの詳細については、 Linux のセキュリティ ベースラインに関するページを参照してください。
推奨事項
この表には、次の 4 つのセクションがあります。
- CIS ID: 各基準規則に関連付けられている規則 ID。
- 推奨事項の説明: CIS ベンチマークによって発行された推奨事項の説明。
- レベル: L1 またはレベル 1 では、基本的なセキュリティ要件が推奨されており、どのシステムでも構成でき、サービスの中断や機能の低下はほとんどまたはまったく発生しません。
-
地位:
- Pass - 推奨事項が適用されました。
- 失敗 - 推奨事項が適用されていません。
- N/A - 推奨事項は、AKS に関連しないマニフェスト ファイルのアクセス許可要件に関連します。
- 環境に依存 - 推奨事項はユーザーの特定の環境に適用され、AKS によって制御されません。
- 同等のコントロール - 推奨事項は、別の同等の方法で実装されています。
-
理由:
- 潜在的な操作への影響 - 推奨事項は、サービスに悪影響を及ぼす可能性があるため、適用されませんでした。
- 他の場所で説明 - 推奨事項は、Azure クラウド コンピューティングの別のコントロールによってカバーされます。
Azure Linux 3.0 ベンチマーク
CIS 規則に基づく CIS Azure Linux 3.0 Benchmark v1.0 の推奨事項の結果を次に示します。
| CIS ID | 推奨事項の説明 | ステータス | 理由 |
|---|---|---|---|
| 1.1.1.1 | cramfs カーネル モジュールが使用できないようにする | 通る | |
| 1.1.1.2 | freevxfs カーネル モジュールが使用できないようにする | 通る | |
| 1.1.1.3 | hfs カーネル モジュールが使用できないようにする | 通る | |
| 1.1.1.4 | hfsplus カーネル モジュールが使用できないようにする | 通る | |
| 1.1.1.5 | jffs2 カーネル モジュールが使用できないようにする | 通る | |
| 1.1.1.6 | 未使用のファイルシステムカーネルモジュールが使用できないようにする | N/A | |
| 1.1.2.1.1 | /tmp が別のパーティションであることを確認する | 通る | |
| 1.1.2.1.2 | /tmp パーティションで nodev オプションが設定されていることを確認する | 通る | |
| 1.1.2.1.3 | /tmp パーティションに nosuid オプションが設定されていることを確認する | 通る | |
| 1.1.2.2.1 | /dev/shm が別のパーティションであることを確認する | 通る | |
| 1.1.2.2.2 | /dev/shm パーティションで nodev オプションが設定されていることを確認する | 通る | |
| 1.1.2.2.3 | /dev/shm パーティションに nosuid オプションが設定されていることを確認する | 通る | |
| 1.2.1.1 | GPG キーが構成されていることを確認する | N/A | |
| 1.2.1.2 | gpgcheck が構成されていることを確認する | 通る | |
| 1.2.1.3 | TDNF gpgcheck がグローバルにアクティブ化されていることを確認する | 通る | |
| 1.2.1.4 | パッケージ マネージャー リポジトリが構成されていることを確認する | N/A | |
| 1.3.1 | アドレス空間レイアウトのランダム化が有効になっていることを確認する | 失敗する | CIS ID 1.3.1 では、OS で ASLR を有効にするための構成を明示的に設定する必要があります。 Azure Linux 3.0 では、これが既定の動作です。 ただし、このベンチマークを満たし、アップストリームの既定の変更に対する OS の回復性を確保するために、この構成は今後のリリースで明示的に設定されます。 |
| 1.3.2 | ptrace_scopeが制限されていることを確認する | 通る | |
| 1.3.3 | コア ダンプ バックトレースが無効になっていることを確認する | 通る | |
| 1.3.4 | コア ダンプ ストレージが無効になっていることを確認する | 通る | |
| 1.4.1 | ローカル ログイン警告バナーが正しく構成されていることを確認する | 通る | |
| 1.4.2 | リモート ログイン警告バナーが正しく構成されていることを確認する | 通る | |
| 1.4.3 | /etc/motd へのアクセスが構成されていることを確認する | 通る | |
| 1.4.4 | /etc/issue へのアクセスが構成されていることを確認する | 通る | |
| 1.4.5 | /etc/issue.net へのアクセスが構成されていることを確認する | 通る | |
| 2.1.1 | 時刻同期が使用されていることを確認する | 通る | |
| 2.1.2 | chrony が構成されていることを確認する | 通る | |
| 2.2.1 | xinetd がインストールされていないことを確認する | 通る | |
| 2.2.2 | xorg-x11-server-common がインストールされていないことを確認する | 通る | |
| 2.2.3 | avahi がインストールされていないことを確認する | 通る | |
| 2.2.4 | プリント サーバーがインストールされていないことを確認する | 通る | |
| 2.2.5 | dhcp サーバーがインストールされていないことを確認する | 通る | |
| 2.2.6 | DNS サーバーがインストールされていないことを確認する | 通る | |
| 2.2.7 | FTP クライアントがインストールされていないことを確認する | 通る | |
| 2.2.8 | ftp サーバーがインストールされていないことを確認する | 通る | |
| 2.2.9 | tftp サーバーがインストールされていないことを確認する | 通る | |
| 2.2.10 | Web サーバーがインストールされていないことを確認する | 通る | |
| 2.2.11 | IMAP および POP3 サーバーがインストールされていないことを確認する | 通る | |
| 2.2.12 | Samba がインストールされていないことを確認する | 通る | |
| 2.2.13 | HTTP プロキシ サーバーがインストールされていないことを確認する | 通る | |
| 2.2.14 | net-snmp がインストールされていないか、snmpd サービスが有効になっていないことを確認する | 通る | |
| 2.2.15 | NIS サーバーがインストールされていないことを確認する | 通る | |
| 2.2.16 | telnet-server がインストールされていないことを確認する | 通る | |
| 2.2.17 | メール転送エージェントがローカル専用モードで構成されていることを確認する | 通る | |
| 2.2.18 | nfs-utils がインストールされていないか、nfs-server サービスがマスクされていることを確認する | 通る | |
| 2.2.19 | rsync-daemon がインストールされていないか、rsyncd サービスがマスクされていることを確認する | 通る | |
| 2.3.1 | NIS クライアントがインストールされていないことを確認する | 通る | |
| 2.3.2 | rsh クライアントがインストールされていないことを確認する | 通る | |
| 2.3.3 | Talk クライアントがインストールされていないことを確認する | 通る | |
| 2.3.4 | telnet クライアントがインストールされていないことを確認する | 通る | |
| 2.3.5 | LDAP クライアントがインストールされていないことを確認する | 通る | |
| 2.3.6 | TFTP クライアントがインストールされていないことを確認する | 通る | |
| 3.1.1 | パケット リダイレクト送信が無効になっていることを確認する | 通る | |
| 3.1.2 | 偽の icmp 応答が無視されることを確認する | 通る | |
| 3.1.3 | ブロードキャスト icmp 要求が無視されることを確認する | 通る | |
| 3.1.4 | icmp リダイレクトが受け入れられないことを確認する | 通る | |
| 3.1.5 | セキュリティで保護された icmp リダイレクトが受け入れられないことを確認する | 通る | |
| 3.1.6 | 逆パス フィルター処理が有効になっていることを確認する | 通る | |
| 3.1.7 | 送信元ルーティング パケットが受け入れられないことを確認する | 通る | |
| 3.1.8 | 疑わしいパケットがログに記録されていることを確認する | 通る | |
| 3.1.9 | TCP Syn Cookie が有効になっていることを確認する | 通る | |
| 3.1.10 | ipv6 ルーターアドバタイズが受け入れられないことを確認する | 通る | |
| 4.1.1 | iptables がインストールされていることを確認する | 通る | |
| 4.1.2 | nftable が使用されていないことを確認する | 通る | |
| 4.1.3 | ファイアウォールが使用されていないことを確認する | 通る | |
| 5.1.1 | cron デーモンが有効になっていることを確認する | 通る | |
| 5.1.2 | /etc/crontab に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.3 | /etc/cron.hourly に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.4 | /etc/cron.daily に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.5 | /etc/cron.weekly に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.6 | /etc/cron.monthly に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.7 | /etc/cron.d に対するアクセス許可が構成されていることを確認する | 通る | |
| 5.1.8 | cron が承認されたユーザーに制限されていることを確認する | 通る | |
| 5.1.9 | 承認されたユーザーに制限されていることを確認する | 通る | |
| 5.2.1 | /etc/ssh/sshd_config へのアクセスが構成されていることを確認する | 通る | |
| 5.2.2 | SSH 秘密ホスト キー ファイルへのアクセスが構成されていることを確認する | 通る | |
| 5.2.3 | SSH 公開ホスト キー ファイルへのアクセスが構成されていることを確認する | 通る | |
| 5.2.4 | sshd 暗号が構成されていることを確認する | 通る | |
| 5.2.5 | sshd KexAlgorithms が構成されていることを確認する | 通る | |
| 5.2.6 | sshd MAC が構成されていることを確認する | 通る | |
| 5.2.7 | sshd アクセスが構成されていることを確認する | 通る | |
| 5.2.8 | sshd Banner が構成されていることを確認する | 通る | |
| 5.2.9 | sshd ClientAliveInterval と ClientAliveCountMax が構成されていることを確認する | 通る | |
| 5.2.10 | sshd HostbasedAuthentication が無効になっていることを確認する | 通る | |
| 5.2.11 | sshd IgnoreRhosts が有効になっていることを確認する | 通る | |
| 5.2.12 | sshd LoginGraceTime が構成されていることを確認する | 通る | |
| 5.2.13 | sshd LogLevel が構成されていることを確認する | 通る | |
| 5.2.14 | sshd MaxAuthTries が構成されていることを確認する | 通る | |
| 5.2.15 | sshd MaxStartups が構成されていることを確認する | 通る | |
| 5.2.16 | sshd MaxSessions が構成されていることを確認する | 通る | |
| 5.2.17 | sshd PermitEmptyPasswords が無効になっていることを確認する | 通る | |
| 5.2.18 | sshd PermitRootLogin が無効になっていることを確認する | 通る | |
| 5.2.19 | sshd PermitUserEnvironment が無効になっていることを確認する | 通る | |
| 5.2.20 | sshd UsePAM が有効になっていることを確認する | 通る | |
| 5.3.1 | sudo がインストールされていることを確認する | 通る | |
| 5.3.2 | 特権エスカレーションの再認証がグローバルに無効にされていないことを確認する | 通る | |
| 5.3.3 | sudo 認証タイムアウトが正しく構成されていることを確認する | 通る | |
| 5.4.1 | パスワード作成要件が構成されていることを確認する | 通る | |
| 5.4.2 | 失敗したパスワード試行のロックアウトが構成されていることを確認する | 通る | |
| 5.4.3 | パスワード ハッシュ アルゴリズムが SHA-512 であることを確認する | 通る | |
| 5.4.4 | パスワードの再利用が制限されていることを確認する | 通る | |
| 5.5.1.1 | パスワードの有効期限が 365 日以下であることを確認する | 通る | |
| 5.5.1.2 | パスワード変更の最小日数が構成されていることを確認する | 通る | |
| 5.5.1.3 | パスワードの有効期限の警告日が 7 日以上であることを確認する | 通る | |
| 5.5.1.4 | 非アクティブなパスワード ロックが 30 日以下であることを確認する | 通る | |
| 5.5.1.5 | すべてのユーザーのパスワードの最終変更日が過去であることを確認する | 通る | |
| 5.5.2 | システム アカウントがセキュリティで保護されていることを確認する | 通る | |
| 5.5.3 | ルート アカウントの既定のグループが GID 0 であることを確認する | 通る | |
| 5.5.4 | 既定のユーザー umask が 027 以上の制限を持っていることを確認する | 通る | |
| 6.1.1.1.1 | ジャーナル サービスがアクティブであることを確認する | 通る | |
| 6.1.1.1.2 | ジャーナルされたログ ファイルへのアクセスが構成されていることを確認する | N/A | |
| 6.1.1.1.3 | ジャーナルされた ForwardToSyslog が構成されていることを確認する | 通る | |
| 6.1.1.1.4 | systemd-journal-remote サービスが使用されていないことを確認する | 通る | |
| 6.1.1.1.5 | ジャーナルストレージが構成されていることを確認する | 通る | |
| 6.1.1.1.6 | journald Compress が構成されていることを確認する | 通る | |
| 6.1.2.1 | rsyslog サービスが有効でアクティブであることを確認する | 通る | |
| 6.1.2.2 | rsyslog ログ ファイル作成モードが構成されていることを確認する | 通る | |
| 6.1.2.3 | リモート クライアントからログを受信するように rsyslog が構成されていないことを確認する | 通る | |
| 6.1.3.1 | すべてのログ ファイルへのアクセスが構成されていることを確認する | 通る | |
| 6.2 | logrotate が構成されていることを確認する | N/A | |
| 7.1.1 | /etc/passwd へのアクセスが構成されていることを確認する | 通る | |
| 7.1.2 | /etc/passwd- へのアクセスが構成されていることを確認する | 通る | |
| 7.1.3 | /etc/group へのアクセスが構成されていることを確認する | 通る | |
| 7.1.4 | /etc/group- へのアクセスが構成されていることを確認する | 通る | |
| 7.1.5 | /etc/shadow へのアクセスが構成されていることを確認する | 通る | |
| 7.1.6 | /etc/shadow- へのアクセスが構成されていることを確認する | 通る | |
| 7.1.7 | /etc/gshadow へのアクセスが構成されていることを確認する | 通る | |
| 7.1.8 | /etc/gshadow- へのアクセスが構成されていることを確認する | 通る | |
| 7.1.9 | /etc/shells へのアクセスが構成されていることを確認する | 通る | |
| 7.1.10 | /etc/security/opasswd へのアクセスが構成されていることを確認する | 通る | |
| 7.1.11 | 世界の書き込み可能なファイルとディレクトリがセキュリティで保護されていることを確認する | 通る | |
| 7.1.12 | 所有者とグループのないファイルまたはディレクトリが存在しないことを確認する | 通る | |
| 7.2.1 | /etc/passwd のアカウントでシャドウされたパスワードを使用していることを確認する | 通る | |
| 7.2.2 | /etc/shadow パスワード フィールドが空でないことを確認する | 通る | |
| 7.2.3 | /etc/passwd 内のすべてのグループが /etc/group に存在することを確認する | 通る | |
| 7.2.4 | 重複する UID が存在しないことを確認する | 通る | |
| 7.2.5 | 重複する GID が存在しないことを確認する | 通る | |
| 7.2.6 | 重複するユーザー名が存在しないことを確認する | 通る | |
| 7.2.7 | 重複するグループ名が存在しないことを確認する | 通る | |
| 7.2.8 | ローカルの対話型ユーザー ホーム ディレクトリが構成されていることを確認する | 通る | |
| 7.2.9 | ローカルの対話型ユーザー ドット ファイル アクセスが構成されていることを確認する | 通る |
次のステップ
Azure Linux Container Host のセキュリティの詳細については、次の記事を参照してください。