Azure Linux-benchmark för Center for Internet Security (CIS)
Konfigurationen av säkerhetsoperativsystemet som tillämpas på Azure Linux Container Host for AKS-avbildningen baseras på Säkerhetsbaslinjen för Azure Linux, som överensstämmer med CIS-riktmärket. Som en säker tjänst uppfyller AKS SOC-, ISO-, PCI DSS- och HIPAA-standarder. Mer information om Säkerhet för Azure Linux Container Host finns i Säkerhetsbegrepp för kluster i AKS. Mer information om CIS-benchmark finns i Center for Internet Security (CIS) Benchmarks. Mer information om Azures säkerhetsbaslinjer för Linux finns i Säkerhetsbaslinje för Linux.
Azure Linux 2.0
Det här Azure Linux Container Host-operativsystemet baseras på Azure Linux 2.0-avbildningen med inbyggda säkerhetskonfigurationer.
Som en del av det säkerhetsoptimerade operativsystemet:
- AKS och Azure Linux tillhandahåller ett säkerhetsoptimerad värdoperativsystem som standard utan alternativ för att välja ett alternativt operativsystem.
- Det säkerhetsoptimerade värdoperativsystemet skapas och underhålls specifikt för AKS och stöds inte utanför AKS-plattformen.
- Onödiga kernelmoduldrivrutiner har inaktiverats i operativsystemet för att minska attackytan.
Rekommendationer
Tabellen nedan innehåller fyra avsnitt:
- CIS-ID: Det associerade regel-ID:t med var och en av baslinjereglerna.
- Rekommendationsbeskrivning: En beskrivning av rekommendationen som utfärdats av CIS-riktmärket.
- Nivå: L1, eller Nivå 1, rekommenderar grundläggande grundläggande säkerhetskrav som kan konfigureras på alla system och bör orsaka lite eller inget avbrott i tjänsten eller nedsatt funktionalitet.
- Status:
- Pass – rekommendationen har tillämpats.
- Misslyckas – rekommendationen har inte tillämpats.
- N/A – rekommendationen gäller behörighetskrav för manifestfiler som inte är relevanta för AKS.
- Beror på miljö – Rekommendationen tillämpas i användarens specifika miljö och styrs inte av AKS.
- Motsvarande kontroll – rekommendationen har implementerats på ett annat motsvarande sätt.
- Orsak:
- Potentiell åtgärdspåverkan – rekommendationen tillämpades inte eftersom den skulle ha en negativ effekt på tjänsten.
- Omfattas någon annanstans – rekommendationen omfattas av en annan kontroll i Azure Cloud Compute.
Följande är resultaten från CIS Azure Linux 2.0 Benchmark v1.0-rekommendationerna baserat på CIS-reglerna:
| CIS-ID | Beskrivning av rekommendation | Status | Anledning |
|---|---|---|---|
| 1.1.4 | Inaktivera automontering | Godkänd | |
| 1.1.1.1 | Se till att monteringen av cramfs-filsystem är inaktiverad | Godkänd | |
| 1.1.2.1 | Kontrollera att /tmp är en separat partition | Godkänd | |
| 1.1.2.2 | Kontrollera att nodev-alternativet är inställt på /tmp-partitionen | Godkänd | |
| 1.1.2.3 | Se till att alternativet nosuid är inställt på /tmp-partitionen | Godkänd | |
| 1.1.8.1 | Kontrollera att alternativet nodev har angetts för partitionen /dev/shm | Godkänd | |
| 1.1.8.2 | Se till att alternativet nosuid är inställt på /dev/shm-partitionen | Godkänd | |
| 1.2.1 | Kontrollera att DNF gpgcheck är globalt aktiverat | Godkänd | |
| 1.2.2 | Kontrollera att TDNF gpgcheck är globalt aktiverat | Godkänd | |
| 1.5.1 | Se till att lagring av kärndumpar är inaktiverat | Godkänd | |
| 1.5.2 | Kontrollera att backtraces för kärndumpar är inaktiverade | Godkänd | |
| 1.5.3 | Se till att slumpmässig adressutrymmeslayout (ASLR) är aktiverat | Godkänd | |
| 1.7.1 | Kontrollera att den lokala inloggningsvarningsbanderollen är korrekt konfigurerad | Godkänd | |
| 1.7.2 | Kontrollera att varningsbanderollen för fjärrinloggning är korrekt konfigurerad | Godkänd | |
| 1.7.3 | Se till att behörigheter för /etc/motd är konfigurerade | Godkänd | |
| 1.7.4 | Se till att behörigheter för /etc/issue har konfigurerats | Godkänd | |
| 1.7.5 | Se till att behörigheter för /etc/issue.net är konfigurerade | Godkänd | |
| 2.1.1 | Kontrollera att tidssynkronisering används | Godkänd | |
| 2.1.2 | Kontrollera att chrony har konfigurerats | Godkänd | |
| 2.2.1 | Kontrollera att xinetd inte är installerat | Godkänd | |
| 2.2.2 | Kontrollera att xorg-x11-server-common inte är installerat | Godkänd | |
| 2.2.3 | Kontrollera att avahi inte är installerat | Godkänd | |
| 2.2.4 | Kontrollera att en utskriftsserver inte är installerad | Godkänd | |
| 2.2.5 | Kontrollera att en dhcp-server inte är installerad | Godkänd | |
| 2.2.6 | Kontrollera att en DNS-server inte är installerad | Godkänd | |
| 2.2.7 | Kontrollera att FTP-klienten inte är installerad | Godkänd | |
| 2.2.8 | Kontrollera att en ftp-server inte är installerad | Godkänd | |
| 2.2.9 | Kontrollera att en tftp-server inte är installerad | Godkänd | |
| 2.2.10 | Kontrollera att en webbserver inte är installerad | Godkänd | |
| 2.2.11 | Kontrollera att IMAP- och POP3-servern inte är installerade | Godkänd | |
| 2.2.12 | Kontrollera att Samba inte är installerat | Godkänd | |
| 2.2.13 | Kontrollera att HTTP-proxyservern inte är installerad | Godkänd | |
| 2.2.14 | Kontrollera att net-snmp inte är installerat eller att snmpd-tjänsten inte är aktiverad | Godkänd | |
| 2.2.15 | Kontrollera att NIS-servern inte är installerad | Godkänd | |
| 2.2.16 | Kontrollera att telnet-server inte är installerad | Godkänd | |
| 2.2.17 | Kontrollera att e-postöverföringsagenten är konfigurerad för lokalt läge | Godkänd | |
| 2.2.18 | Kontrollera att nfs-utils inte är installerat eller att nfs-servertjänsten är maskerad | Godkänd | |
| 2.2.19 | Kontrollera att rsync-daemon inte är installerat eller att rsyncd-tjänsten är maskerad | Godkänd | |
| 2.3.1 | Kontrollera att NIS-klienten inte är installerad | Godkänd | |
| 2.3.2 | Kontrollera att rsh-klienten inte är installerad | Godkänd | |
| 2.3.3 | Kontrollera att talk-klienten inte är installerad | Godkänd | |
| 2.3.4 | Kontrollera att telnet-klienten inte är installerad | Godkänd | |
| 2.3.5 | Kontrollera att LDAP-klienten inte är installerad | Godkänd | |
| 2.3.6 | Kontrollera att TFTP-klienten inte är installerad | Godkänd | |
| 3.1.1 | Kontrollera att IPv6 är aktiverat | Godkänd | |
| 3.2.1 | Kontrollera att sändning av omdirigering av paket är inaktiverat | Godkänd | |
| 3.3.1 | Se till att källroutade paket inte accepteras | Godkänd | |
| 3.3.2 | Se till att ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.3 | Se till att säkra ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.4 | Se till att misstänkta paket loggas | Godkänd | |
| 3.3.5 | Se till att sändnings-ICMP-begäranden ignoreras | Godkänd | |
| 3.3.6 | Se till att falska ICMP-svar ignoreras | Godkänd | |
| 3.3.7 | Kontrollera att filtrering av omvänd sökväg är aktiverat | Godkänd | |
| 3.3.8 | Kontrollera att TCP SYN Cookies är aktiverat | Godkänd | |
| 3.3.9 | Se till att IPv6-routerannonser inte accepteras | Godkänd | |
| 3.4.3.1.1 | Kontrollera att iptables-paketet är installerat | Godkänd | |
| 3.4.3.1.2 | Kontrollera att nftables inte är installerat med iptables | Godkänd | |
| 3.4.3.1.3 | Kontrollera att brandväggen antingen inte är installerad eller maskerad med iptables | Godkänd | |
| 4.2 | Kontrollera att logrotate har konfigurerats | Godkänd | |
| 4.2.2 | Kontrollera att alla loggfiler har rätt åtkomst konfigurerad | Godkänd | |
| 4.2.1.1 | Kontrollera att rsyslog är installerat | Godkänd | |
| 4.2.1.2 | Kontrollera att rsyslog-tjänsten är aktiverad | Godkänd | |
| 4.2.1.3 | Kontrollera att rsyslog att standardfilbehörigheter har konfigurerats | Godkänd | |
| 4.2.1.4 | Kontrollera att loggningen är konfigurerad | Godkänd | |
| 4.2.1.5 | Kontrollera att rsyslog inte är konfigurerat för att ta emot loggar från en fjärrklient | Godkänd | |
| 5.1.1 | Kontrollera att cron-daemon är aktiverat | Godkänd | |
| 5.1.2 | Se till att behörigheter på /etc/crontab är konfigurerade | Godkänd | |
| 5.1.3 | Kontrollera att behörigheter för /etc/cron.hourly är konfigurerade | Godkänd | |
| 5.1.4 | Se till att behörigheter för /etc/cron.daily har konfigurerats | Godkänd | |
| 5.1.5 | Se till att behörigheter för /etc/cron.weekly har konfigurerats | Godkänd | |
| 5.1.6 | Se till att behörigheter för /etc/cron.monthly har konfigurerats | Godkänd | |
| 5.1.7 | Se till att behörigheter för /etc/cron.d har konfigurerats | Godkänd | |
| 5.1.8 | Se till att cron är begränsad till behöriga användare | Godkänd | |
| 5.1.9 | Se till att at är begränsad till behöriga användare | Godkänd | |
| 5.2.1 | Se till att behörigheter för /etc/ssh/sshd_config har konfigurerats | Godkänd | |
| 5.2.2 | Se till att behörigheter för privata SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.2.3 | Se till att behörigheter för offentliga SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.2.4 | Se till att SSH-åtkomsten är begränsad | Godkänd | |
| 5.2.5 | Kontrollera att SSH LogLevel är lämpligt | Godkänd | |
| 5.2.6 | Kontrollera att SSH PAM är aktiverat | Godkänd | |
| 5.2.7 | Kontrollera att SSH-rotinloggning är inaktiverad | Godkänd | |
| 5.2.8 | Kontrollera att SSH HostbasedAuthentication är inaktiverat | Godkänd | |
| 5.2.9 | Kontrollera att SSH PermitEmptyPasswords är inaktiverat | Godkänd | |
| 5.2.10 | Kontrollera att SSH PermitUserEnvironment är inaktiverat | Godkänd | |
| 5.2.11 | Kontrollera att SSH IgnoreRhosts är aktiverat | Godkänd | |
| 5.2.12 | Se till att endast starka chiffer används | Godkänd | |
| 5.2.13 | Se till att endast starka MAC-algoritmer används | Godkänd | |
| 5.2.14 | Se till att endast starka Key Exchange-algoritmer används | Godkänd | |
| 5.2.15 | Kontrollera att SSH-varningsbanderollen är konfigurerad | Godkänd | |
| 5.2.16 | Kontrollera att SSH MaxAuthTries är inställt på 4 eller mindre | Godkänd | |
| 5.2.17 | Kontrollera att SSH MaxStartups har konfigurerats | Godkänd | |
| 5.2.18 | Kontrollera att SSH LoginGraceTime är inställt på en minut eller mindre | Godkänd | |
| 5.2.19 | Kontrollera att SSH MaxSessions är inställt på 10 eller mindre | Godkänd | |
| 5.2.20 | Kontrollera att tidsgränsintervallet för SSH-inaktivitet är konfigurerat | Godkänd | |
| 5.3.1 | Kontrollera att sudo är installerat | Godkänd | |
| 5.3.2 | Se till att omautentisering för behörighetseskalering inte är inaktiverad globalt | Godkänd | |
| 5.3.3 | Kontrollera att tidsgränsen för sudo-autentisering är korrekt konfigurerad | Godkänd | |
| 5.4.1 | Se till att kraven för att skapa lösenord är konfigurerade | Godkänd | |
| 5.4.2 | Se till att utelåsning för misslyckade lösenordsförsök har konfigurerats | Godkänd | |
| 5.4.3 | Kontrollera att algoritmen för lösenordshashing är SHA-512 | Godkänd | |
| 5.4.4 | Se till att återanvändning av lösenord är begränsad | Godkänd | |
| 5.5.2 | Se till att systemkonton är skyddade | Godkänd | |
| 5.5.3 | Kontrollera att standardgruppen för rotkontot är GID 0 | Godkänd | |
| 5.5.4 | Kontrollera att standardanvändarens umask är 027 eller mer restriktiv | Godkänd | |
| 5.5.1.1 | Kontrollera att lösenordets giltighetstid är 365 dagar eller mindre | Godkänd | |
| 5.5.1.2 | Se till att minsta antal dagar mellan lösenordsändringar har konfigurerats | Godkänd | |
| 5.5.1.3 | Kontrollera att varningsdagarna för lösenordets giltighetstid är 7 eller fler | Godkänd | |
| 5.5.1.4 | Kontrollera att inaktivt lösenordslås är 30 dagar eller mindre | Godkänd | |
| 5.5.1.5 | Kontrollera att alla användares senaste datum för lösenordsändring är tidigare | Godkänd | |
| 6.1.1 | Se till att behörigheter för /etc/passwd har konfigurerats | Godkänd | |
| 6.1.2 | Se till att behörigheter för /etc/passwd – har konfigurerats | Godkänd | |
| 6.1.3 | Se till att behörigheter för /etc/group har konfigurerats | Godkänd | |
| 6.1.4 | Se till att behörigheter för /etc/group – har konfigurerats | Godkänd | |
| 6.1.5 | Se till att behörigheter för /etc/shadow är konfigurerade | Godkänd | |
| 6.1.6 | Se till att behörigheter för /etc/shadow - har konfigurerats | Godkänd | |
| 6.1.7 | Se till att behörigheter för /etc/gshadow är konfigurerade | Godkänd | |
| 6.1.8 | Se till att behörigheter för /etc/gshadow – har konfigurerats | Godkänd | |
| 6.1.9 | Se till att det inte finns några filer eller kataloger som inte är ägda eller inte grupperade | Godkänd | |
| 6.1.10 | Se till att skrivbara filer och kataloger i världen skyddas | Godkänd | |
| 6.2.1 | Kontrollera att lösenordsfälten inte är tomma | Godkänd | |
| 6.2.2 | Se till att alla grupper i /etc/passwd finns i /etc/group | Godkänd | |
| 6.2.3 | Kontrollera att inga duplicerade användargränssnitt finns | Godkänd | |
| 6.2.4 | Kontrollera att inga duplicerade GID:er finns | Godkänd | |
| 6.2.5 | Kontrollera att inga duplicerade användarnamn finns | Godkänd | |
| 6.2.6 | Kontrollera att det inte finns några duplicerade gruppnamn | Godkänd | |
| 6.2.7 | Kontrollera rotens PATH-integritet | Godkänd | |
| 6.2.8 | Kontrollera att roten är det enda UID 0-kontot | Godkänd | |
| 6.2.9 | Se till att alla användares hemkataloger finns | Godkänd | |
| 6.2.10 | Se till att användarna äger sina hemkataloger | Godkänd | |
| 6.2.11 | Se till att användarnas behörigheter för hemkataloger är 750 eller mer restriktiva | Godkänd | |
| 6.2.12 | Se till att användarnas punktfiler inte är skrivbara i grupp eller i världen | Godkänd | |
| 6.2.13 | Se till att användarnas .netrc-filer inte är grupp- eller världstillgängliga | Godkänd | |
| 6.2.14 | Se till att inga användare har vidarebefordrade filer | Godkänd | |
| 6.2.15 | Se till att inga användare har .netrc-filer | Godkänd | |
| 6.2.16 | Kontrollera att inga användare har .rhosts-filer | Godkänd |
Nästa steg
Mer information om Azure Linux Container Host-säkerhet finns i följande artiklar:
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Azure Kubernetes Service