Поделиться через


Центр оценки безопасности Интернета (CIS) Azure Linux

Конфигурация операционной системы безопасности, применяемая к узлу контейнеров Linux Для AKS, основана на базовой конфигурации безопасности Linux Azure, которая соответствует тесту CIS. В качестве безопасной службы AKS соответствует стандартам SOC, ISO, PCI DSS и HIPAA. Дополнительные сведения о безопасности узла контейнеров Azure Linux см . в концепциях безопасности кластеров в AKS. Дополнительные сведения о тесте CIS см . в разделе "Центр интернет-безопасности (CIS) Benchmarks. Дополнительные сведения о базовом плане безопасности Azure для Linux см. в разделе Базовые показатели безопасности Linux.

Azure Linux 2.0

Эта операционная система узла контейнеров Linux Azure основана на образе Azure Linux 2.0 со встроенными конфигурациями безопасности.

В рамках оптимизированной для безопасности операционной системы:

  • AKS и Azure Linux предоставляют операционную систему, оптимизированную для безопасности, по умолчанию без возможности выбора альтернативной операционной системы.
  • Операционная система с усиленной безопасностью разработана специально для AKS и используется только вместе с ней. За пределами платформы AKS данная ОС не поддерживается.
  • Ненужные драйверы модуля ядра были отключены в ОС, чтобы уменьшить область атаки.

Рекомендации

В следующей таблице приведены четыре раздела:

  • Идентификатор CIS: связанный идентификатор правила с каждым из базовых правил.
  • Описание рекомендации. Описание рекомендации, выданной показателем CIS.
  • Уровень: L1 или Level 1 рекомендует основные требования к безопасности, которые могут быть настроены в любой системе и не должны вызывать мало или не прерывать работу службы или сократить функциональные возможности.
  • Состояние:
    • Пройдено — рекомендация была применена.
    • Сбой . Рекомендация не была применена.
    • N/A . Рекомендация относится к требованиям к разрешениям файла манифеста, которые не относятся к AKS.
    • Зависит от среды . Рекомендация применяется в конкретной среде пользователя и не контролируется AKS.
    • Эквивалентный элемент управления — рекомендация реализована по-другому.
  • Причина.
    • Потенциальное влияние операции — рекомендация не была применена, так как она окажет негативное влияние на службу.
    • В других местах — рекомендация рассматривается другим элементом управления в облачных вычислениях Azure.

Ниже приведены результаты рекомендаций CIS Для Linux 2.0 Benchmark версии 1.0 на основе правил CIS:

Идентификатор CIS Описание рекомендации Состояние Причина
1.1.4 Отключение автоподключения Пройдено
1.1.1.1 Проверка, что подключение файловой системы cramfs отключено Пройдено
1.1.2.1 Убедитесь, что /tmp является отдельной секцией Пройдено
1.1.2.2 Проверка, что для раздела /tmp установлен параметр nodev Пройдено
1.1.2.3 Проверка, что для раздела /tmp установлен параметр nosuid Пройдено
1.1.8.1 Проверка, что для раздела /dev/shm установлен параметр nodev Пройдено
1.1.8.2 Проверка, что для раздела /dev/shm установлен параметр nosuid Пройдено
1.2.1 Обеспечение глобальной активации DNF gpgcheck Пройдено
1.2.2 Убедитесь, что gpgcheck TDNF активируется глобально Пройдено
1.5.1 Убедитесь, что хранилище основного дампа отключено Пройдено
1.5.2 Убедитесь, что отключаются откаты основного дампа Пройдено
1.5.3 Проверка активации случайного распределения адресного пространства (ASLR) Пройдено
1.7.1 Проверка, что предупреждающий баннер локального входа в систему настроен правильно Пройдено
1.7.2 Проверка, что предупреждающий баннер удаленного входа в систему настроен правильно Пройдено
1.7.3 Проверка, что для /etc/motd настроены разрешения Пройдено
1.7.4 Проверка, что настроены разрешения для /etc/issue Пройдено
1.7.5 Проверка, что настроены разрешения для /etc/issue.net Пройдено
2.1.1 Проверка, что используется синхронизация времени Пройдено
2.1.2 Проверка, что настроена хронология Пройдено
2.2.1 Убедитесь, что xinetd не установлен Пройдено
2.2.2 Убедитесь, что xorg-x11-server-common не установлен Пройдено
2.2.3 Убедитесь, что avahi не установлен Пройдено
2.2.4 Убедитесь, что сервер печати не установлен Пройдено
2.2.5 Убедитесь, что dhcp-сервер не установлен Пройдено
2.2.6 Убедитесь, что dns-сервер не установлен Пройдено
2.2.7 Убедитесь, что ftp-клиент не установлен Пройдено
2.2.8 Убедитесь, что ftp-сервер не установлен Пройдено
2.2.9 Убедитесь, что сервер tftp не установлен Пройдено
2.2.10 Убедитесь, что веб-сервер не установлен Пройдено
2.2.11 Убедитесь, что сервер IMAP и POP3 не установлены Пройдено
2.2.12 Убедитесь, что Samba не установлен Пройдено
2.2.13 Убедитесь, что прокси-сервер HTTP не установлен Пройдено
2.2.14 Убедитесь, что net-snmp не установлен или служба snmpd не включена Пройдено
2.2.15 Убедитесь, что сервер NIS не установлен Пройдено
2.2.16 Убедитесь, что telnet-server не установлен Пройдено
2.2.17 Проверка, что агент передачи почты настроен для работы только в локальном режиме Пройдено
2.2.18 Убедитесь, что nfs-utils не установлен или служба nfs-server маскируется Пройдено
2.2.19 Убедитесь, что программа rsync-daemon не установлена или служба rsyncd маскируется Пройдено
2.3.1 Убедитесь, что клиент NIS не установлен Пройдено
2.3.2 Убедитесь, что клиент rsh не установлен Пройдено
2.3.3 Убедитесь, что клиент talk не установлен Пройдено
2.3.4 Убедитесь, что клиент telnet не установлен Пройдено
2.3.5 Убедитесь, что клиент LDAP не установлен Пройдено
2.3.6 Убедитесь, что клиент TFTP не установлен Пройдено
3.1.1 Убедитесь, что IPv6 включен Пройдено
3.2.1 Проверка, что отправка перенаправления пакетов отключена Пройдено
3.3.1 Убедитесь, что исходные маршрутируемые пакеты не принимаются Пройдено
3.3.2 Убедитесь, что перенаправления ICMP не принимаются Пройдено
3.3.3 Убедитесь, что безопасные перенаправления ICMP не принимаются Пройдено
3.3.4 Проверка, что подозрительные пакеты регистрируются Пройдено
3.3.5 Проверка, что широковещательные запросы ICMP игнорируются Пройдено
3.3.6 Проверка, что фиктивные ответы протокола ICMP игнорируются Пройдено
3.3.7 Проверка, что включена фильтрация обратного пути Пройдено
3.3.8 Проверка, что файлы cookie для TCP SYN включены Пройдено
3.3.9 Убедитесь, что объявления маршрутизатора IPv6 не принимаются Пройдено
3.4.3.1.1 Убедитесь, что установлен пакет iptables Пройдено
3.4.3.1.2 Убедитесь, что nftables не установлены с iptables Пройдено
3.4.3.1.3 Убедитесь, что брандмауэр не установлен или маскирован с iptables Пройдено
4.2 Проверка, что logrotate настроен Пройдено
4.2.2 Убедитесь, что все файлы журнала настроены соответствующим образом. Пройдено
4.2.1.1 Проверка, что rsyslog установлен Пройдено
4.2.1.2 Убедитесь, что служба rsyslog включена Пройдено
4.2.1.3 Убедитесь, что разрешения файла по умолчанию rsyslog настроены Пройдено
4.2.1.4 Проверка настройки ведения журнала Пройдено
4.2.1.5 Убедитесь, что rsyslog не настроен для получения журналов от удаленного клиента. Пройдено
5.1.1 Убедитесь, что управляющая программа cron включена Пройдено
5.1.2 Проверка настройки разрешений для /etc/crontab Пройдено
5.1.3 Проверка, что для /etc/cron.hourly настроены разрешения Пройдено
5.1.4 Проверка, что для /etc/cron.daily настроены разрешения Пройдено
5.1.5 Проверка, что для /etc/cron.weekly настроены разрешения Пройдено
5.1.6 Проверка, что для /etc/cron.monthly настроены разрешения Пройдено
5.1.7 Проверка, что для /etc/cron.d настроены разрешения Пройдено
5.1.8 Проверка, что доступ к cron есть только у полномочных пользователей Пройдено
5.1.9 Проверка, что доступ к at есть только у полномочных пользователей Пройдено
5.2.1 Проверка, что в настроены разрешения для /etc/ssh/sshd_config Пройдено
5.2.2 Проверка, что для файлов ключей открытого узла SSH настроены разрешения Пройдено
5.2.3 Проверка, что для файлов ключей открытого узла SSH настроены разрешения Пройдено
5.2.4 Обеспечение ограниченного доступа по протоколу SSH Пройдено
5.2.5 Проверка, что SSH LogLevel подходит Пройдено
5.2.6 MAC, что SSH PAM включен Пройдено
5.2.7 Проверка отключения корневого имени входа SSH Пройдено
5.2.8 Проверка отключения SSH HostbasedAuthentication Пройдено
5.2.9 Проверка отключения SSH PermitEmptyPasswords Пройдено
5.2.10 Проверка отключения PermitUserEnvironment SSH Пройдено
5.2.11 Проверка, что SSH IgnoreRhosts включен Пройдено
5.2.12 Проверка, что используются только надежные шифры Пройдено
5.2.13 Проверка, что используются только надежные алгоритмы MAC Пройдено
5.2.14 Проверка, что используются только надежные алгоритмы обмена ключами Пройдено
5.2.15 Проверка настройки предупреждающего баннера SSH Пройдено
5.2.16 Проверка, что для MaxAuthTries SSH задано значение 4 или меньше Пройдено
5.2.17 Проверка, что SSH MaxStartups настроен Пройдено
5.2.18 Проверка, что для LoginGraceTime SSH задано значение одна минута или меньше Пройдено
5.2.19 Убедитесь, что для SSH MaxSessions задано значение 10 или меньше Пройдено
5.2.20 Проверка настройки интервала тайм-аута простоя SSH Пройдено
5.3.1 Проверка, что sudo установлен Пройдено
5.3.2 Убедитесь, что повторная проверка подлинности для эскалации привилегий не отключена глобально Пройдено
5.3.3 Убедитесь, что время ожидания проверки подлинности sudo настроено правильно Пройдено
5.4.1 Проверка настройки требований для создания пароля Пройдено
5.4.2 Проверка, что настроена блокировка для неудачных попыток ввода пароля Пройдено
5.4.3 Убедитесь, что используется алгоритм хэширования паролей SHA-512. Пройдено
5.4.4 Проверка, что повторное использование пароля ограничено Пройдено
5.5.2 Проверка, что системные учетные записи защищены Пройдено
5.5.3 Убедитесь, что для учетной записи root указана группа по умолчанию с идентификатором GID 0. Пройдено
5.5.4 Проверка, что umask пользователя по умолчанию — 027 или еще строже Пройдено
5.5.1.1 Проверка, что срок действия пароля не превышает 365 дней Пройдено
5.5.1.2 Убедитесь, что настроены минимальные дни между изменениями паролей Пройдено
5.5.1.3 Убедитесь, что срок действия пароля не превышает 7 или более дней. Пройдено
5.5.1.4 Проверка, что неактивная блокировка пароля не более 30 дней Пройдено
5.5.1.5 Убедитесь, что для всех пользователей дата последнего изменения находится в прошлом. Пройдено
6.1.1 Проверка, что для /etc/passwd- настроены разрешения Пройдено
6.1.2 Проверка, что для /etc/passwd- настроены разрешения Пройдено
6.1.3 Проверка, что для /etc/group настроены разрешения Пройдено
6.1.4 Проверка, что для /etc/group- настроены разрешения Пройдено
6.1.5 Проверка, что для /etc/shadow настроены разрешения Пройдено
6.1.6 Проверка, что для /etc/shadow- настроены разрешения Пройдено
6.1.7 Проверка, что для /etc/gshadow настроены разрешения Пройдено
6.1.8 Проверка, что для /etc/gshadow- настроены разрешения Пройдено
6.1.9 Убедитесь, что нет неуправляемых или негруппированных файлов или каталогов Пройдено
6.1.10 Обеспечение защиты файлов и каталогов, доступных для записи Пройдено
6.2.1 Убедитесь, что поля паролей не пусты Пройдено
6.2.2 Убедитесь, что все включенные в файл /etc/passwd группы существуют в файле /etc/group. Пройдено
6.2.3 Убедитесь, что отсутствуют повторяющиеся идентификаторы UID. Пройдено
6.2.4 Убедитесь, что отсутствуют повторяющиеся идентификаторы GID. Пройдено
6.2.5 Убедитесь, что имена пользователей не дублируются. Пройдено
6.2.6 Проверка, что имена групп не дублируются Пройдено
6.2.7 Обеспечение целостности корневого пути Пройдено
6.2.8 Убедитесь, что root является единственной учетной записью с идентификатором UID 0. Пройдено
6.2.9 Убедитесь, что у всех пользователей есть домашние каталоги. Пройдено
6.2.10 Убедитесь, что пользователи имеют собственные каталоги для дома Пройдено
6.2.11 Проверка, что разрешения домашних каталогов пользователей имеют ограничение 750 или более строгое ограничение Пройдено
6.2.12 Убедитесь, что файлы точек пользователей не являются группами или мировыми записываемыми Пройдено
6.2.13 Убедитесь, что файлы .netrc пользователей не являются группами или миром доступными Пройдено
6.2.14 Убедитесь, что у пользователей нет файлов FORWARD. Пройдено
6.2.15 Убедитесь, что у пользователей нет файлов NETRC. Пройдено
6.2.16 Убедитесь, что у пользователей нет файлов RHOSTS. Пройдено

Следующие шаги

Дополнительные сведения о безопасности узла контейнеров Linux в Azure см. в следующих статьях: