İnternet Güvenliği Merkezi (CIS) Azure Linux karşılaştırması
AKS görüntüsü için Azure Linux Container Host'a uygulanan güvenlik işletim sistemi yapılandırması, CIS karşılaştırmasıyla uyumlu olan Azure Linux güvenlik temelini temel alır. Aks, güvenli bir hizmet olarak SOC, ISO, PCI DSS ve HIPAA standartlarına uygundur. Azure Linux Container Host güvenliği hakkında daha fazla bilgi için bkz . AKS'deki kümeler için güvenlik kavramları. CIS karşılaştırması hakkında daha fazla bilgi edinmek için bkz . Internet Güvenliği Merkezi (CIS) Karşılaştırmaları. Linux için Azure güvenlik temelleri hakkında daha fazla bilgi için bkz . Linux güvenlik temeli.
Azure Linux 2.0
Bu Azure Linux Container Host işletim sistemi, yerleşik güvenlik yapılandırmalarının uygulandığı Azure Linux 2.0 görüntüsünü temel alır.
Güvenlik için iyileştirilmiş işletim sisteminin bir parçası olarak:
- AKS ve Azure Linux, alternatif bir işletim sistemi seçme seçeneği olmadan varsayılan olarak güvenlik için iyileştirilmiş bir konak işletim sistemi sağlar.
- Güvenlik için iyileştirilmiş ana bilgisayar işletim sistemi aks için özel olarak derlenir ve korunur ve AKS platformu dışında desteklenmez .
- Saldırı yüzeyini azaltmak için işletim sisteminde gereksiz çekirdek modülü sürücüleri devre dışı bırakıldı.
Öneriler
Aşağıdaki tabloda dört bölüm vardır:
- CIS Kimliği: Temel kuralların her biriyle ilişkili kural kimliği.
- Öneri açıklaması: CIS karşılaştırması tarafından verilen önerinin açıklaması.
- Düzey: L1 veya Düzey 1, herhangi bir sistemde yapılandırılabilir temel temel güvenlik gereksinimlerini önerir ve hizmette veya azaltılmış işlevsellikte çok az kesintiye veya hiç neden olmamalıdır.
- Durum:
- Geçiş - Öneri uygulandı.
- Başarısız - Öneri uygulanmadı.
- Yok - Öneri, AKS ile ilgili olmayan bildirim dosyası izin gereksinimleriyle ilgilidir.
- Ortama bağlıdır - Öneri kullanıcının belirli ortamına uygulanır ve AKS tarafından denetlenmiyor.
- Eşdeğer Denetim - Öneri farklı bir eşdeğer şekilde uygulandı.
- Neden:
- Olası İşlem Etkisi - Hizmet üzerinde olumsuz bir etkisi olacağından öneri uygulanmadı.
- Başka Bir Yerde Ele Alınmıştır - Öneri, Azure bulut işlemindeki başka bir denetim tarafından ele alınmıştır.
CIS kurallarını temel alan CIS Azure Linux 2.0 Benchmark v1.0 önerilerinden elde edilen sonuçlar şunlardır:
| CIS Kimliği | Öneri açıklaması | Durum | Nedeni |
|---|---|---|---|
| 1.1.4 | Otomatik Bağlamayı Devre Dışı Bırak | Başarılı | |
| 1.1.1.1 | Cramfs dosya sistemlerinin montajının devre dışı bırakıldığından emin olun | Başarılı | |
| 1.1.2.1 | /tmp'nin ayrı bir bölüm olduğundan emin olun | Başarılı | |
| 1.1.2.2 | /tmp bölümünde nodev seçeneğinin ayarlandığından emin olun | Başarılı | |
| 1.1.2.3 | /tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun | Başarılı | |
| 1.1.8.1 | /dev/shm bölümünde nodev seçeneğinin ayarlandığından emin olun | Başarılı | |
| 1.1.8.2 | /dev/shm bölümünde nosuid seçeneğinin ayarlandığından emin olun | Başarılı | |
| 1.2.1 | DNF gpgcheck'in genel olarak etkinleştirildiğinden emin olun | Başarılı | |
| 1.2.2 | TDNF gpgcheck'in genel olarak etkinleştirildiğinden emin olun | Başarılı | |
| 1.5.1 | Çekirdek döküm depolamanın devre dışı bırakıldığından emin olun | Başarılı | |
| 1.5.2 | Çekirdek döküm geri çekmelerinin devre dışı bırakıldığından emin olun | Başarılı | |
| 1.5.3 | Adres alanı düzeni rastgele seçiminin (ASLR) etkinleştirildiğinden emin olun | Başarılı | |
| 1.7.1 | Yerel oturum açma uyarısı başlığının düzgün yapılandırıldığından emin olun | Başarılı | |
| 1.7.2 | Uzaktan oturum açma uyarı başlığının düzgün yapılandırıldığından emin olun | Başarılı | |
| 1.7.3 | /etc/motd üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 1.7.4 | /etc/issue üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 1.7.5 | /etc/issue.net üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 2.1.1 | Zaman eşitlemenin kullanımda olduğundan emin olun | Başarılı | |
| 2.1.2 | Kroni'nin yapılandırıldığından emin olun | Başarılı | |
| 2.2.1 | xinetd'in yüklü olmadığından emin olun | Başarılı | |
| 2.2.2 | xorg-x11-server-common'ın yüklü olmadığından emin olun | Başarılı | |
| 2.2.3 | Avahi'nin yüklü olmadığından emin olun | Başarılı | |
| 2.2.4 | Yazdırma sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.5 | Dhcp sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.6 | Dns sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.7 | FTP istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 2.2.8 | Ftp sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.9 | Tftp sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.10 | Web sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.11 | IMAP ve POP3 sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.12 | Samba'nın yüklü olmadığından emin olun | Başarılı | |
| 2.2.13 | HTTP Proxy Sunucusu'nun yüklü olmadığından emin olun | Başarılı | |
| 2.2.14 | net-snmp'nin yüklü olmadığından veya snmpd hizmetinin etkinleştirilmediğinden emin olun | Başarılı | |
| 2.2.15 | NIS sunucusunun yüklü olmadığından emin olun | Başarılı | |
| 2.2.16 | telnet-server'ın yüklü olmadığından emin olun | Başarılı | |
| 2.2.17 | Posta aktarım aracısının yalnızca yerel mod için yapılandırıldığından emin olun | Başarılı | |
| 2.2.18 | nfs-utils'in yüklenmediğinden veya nfs-server hizmetinin maskelendiğinden emin olun | Başarılı | |
| 2.2.19 | rsync-daemon'un yüklü olmadığından veya rsyncd hizmetinin maskelendiğinden emin olun | Başarılı | |
| 2.3.1 | NIS İstemcisi'nin yüklü olmadığından emin olun | Başarılı | |
| 2.3.2 | rsh istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 2.3.3 | Talk istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 2.3.4 | Telnet istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 2.3.5 | LDAP istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 2.3.6 | TFTP istemcisinin yüklü olmadığından emin olun | Başarılı | |
| 3.1.1 | IPv6'nın etkinleştirildiğinden emin olun | Başarılı | |
| 3.2.1 | Paket yeniden yönlendirme göndermenin devre dışı bırakıldığından emin olun | Başarılı | |
| 3.3.1 | Kaynak yönlendirilmiş paketlerin kabul etmediğinden emin olun | Başarılı | |
| 3.3.2 | ICMP yeniden yönlendirmelerinin kabul etmediğinden emin olun | Başarılı | |
| 3.3.3 | Güvenli ICMP yeniden yönlendirmelerinin kabul etmediğinden emin olun | Başarılı | |
| 3.3.4 | Şüpheli paketlerin günlüğe kaydedildiğinden emin olun | Başarılı | |
| 3.3.5 | Yayın ICMP isteklerinin yoksayıldığından emin olun | Başarılı | |
| 3.3.6 | Sahte ICMP yanıtlarının yoksayıldığından emin olun | Başarılı | |
| 3.3.7 | Ters Yol Filtreleme'nin etkinleştirildiğinden emin olun | Başarılı | |
| 3.3.8 | TCP SYN Tanımlama Bilgilerinin etkinleştirildiğinden emin olun | Başarılı | |
| 3.3.9 | IPv6 yönlendirici tanıtımlarının kabul etmediğinden emin olun | Başarılı | |
| 3.4.3.1.1 | Iptables paketinin yüklü olduğundan emin olun | Başarılı | |
| 3.4.3.1.2 | nftable'ların iptable'larla yüklenmediğinden emin olun | Başarılı | |
| 3.4.3.1.3 | Güvenlik duvarının yüklü olmadığından veya iptable'larla maskelenmediğinden emin olun | Başarılı | |
| 4.2 | Logrotate'in yapılandırıldığından emin olun | Başarılı | |
| 4.2.2 | Tüm günlük dosyalarının yapılandırılmış uygun erişime sahip olduğundan emin olun | Başarılı | |
| 4.2.1.1 | rsyslog'un yüklü olduğundan emin olun | Başarılı | |
| 4.2.1.2 | rsyslog hizmetinin etkinleştirildiğinden emin olun | Başarılı | |
| 4.2.1.3 | rsyslog varsayılan dosya izinlerinin yapılandırıldığından emin olun | Başarılı | |
| 4.2.1.4 | Günlüğün yapılandırıldığından emin olun | Başarılı | |
| 4.2.1.5 | rsyslog'un uzak istemciden günlükleri alacak şekilde yapılandırılmadığından emin olun | Başarılı | |
| 5.1.1 | Cron daemon'un etkinleştirildiğinden emin olun | Başarılı | |
| 5.1.2 | /etc/crontab üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.3 | /etc/cron.hourly üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.4 | /etc/cron.daily üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.5 | /etc/cron.weekly üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.6 | /etc/cron.monthly üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.7 | /etc/cron.d üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.1.8 | Cron'un yetkili kullanıcılarla sınırlı olduğundan emin olun | Başarılı | |
| 5.1.9 | konumunda yetkili kullanıcılarla sınırlı olduğundan emin olun | Başarılı | |
| 5.2.1 | /etc/ssh/sshd_config izinlerinin yapılandırıldığından emin olun | Başarılı | |
| 5.2.2 | SSH özel ana bilgisayar anahtarı dosyalarındaki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.2.3 | SSH ortak ana bilgisayar anahtarı dosyalarındaki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 5.2.4 | SSH erişiminin sınırlı olduğundan emin olun | Başarılı | |
| 5.2.5 | SSH LogLevel'in uygun olduğundan emin olun | Başarılı | |
| 5.2.6 | SSH PAM'nin etkinleştirildiğinden emin olun | Başarılı | |
| 5.2.7 | SSH kök oturum açmanın devre dışı bırakıldığından emin olun | Başarılı | |
| 5.2.8 | SSH HostbasedAuthentication'ın devre dışı bırakıldığından emin olun | Başarılı | |
| 5.2.9 | SSH PermitEmptyPasswords'un devre dışı bırakıldığından emin olun | Başarılı | |
| 5.2.10 | SSH PermitUserEnvironment'ın devre dışı bırakıldığından emin olun | Başarılı | |
| 5.2.11 | SSH IgnoreRhosts'un etkinleştirildiğinden emin olun | Başarılı | |
| 5.2.12 | Yalnızca güçlü Şifrelemelerin kullanıldığından emin olun | Başarılı | |
| 5.2.13 | Yalnızca güçlü MAC algoritmalarının kullanıldığından emin olun | Başarılı | |
| 5.2.14 | Yalnızca güçlü Anahtar Değişimi algoritmalarının kullanıldığından emin olun | Başarılı | |
| 5.2.15 | SSH uyarı başlığının yapılandırıldığından emin olun | Başarılı | |
| 5.2.16 | SSH MaxAuthTries değerinin 4 veya daha az olarak ayarlandığından emin olun | Başarılı | |
| 5.2.17 | SSH MaxStartups'ın yapılandırıldığından emin olun | Başarılı | |
| 5.2.18 | SSH LoginGraceTime değerinin bir dakika veya daha kısa olarak ayarlandığından emin olun | Başarılı | |
| 5.2.19 | SSH MaxSessions değerinin 10 veya daha az olarak ayarlandığından emin olun | Başarılı | |
| 5.2.20 | SSH Boşta Kalma Zaman Aşımı Aralığı'nın yapılandırıldığından emin olun | Başarılı | |
| 5.3.1 | Sudo'un yüklü olduğundan emin olun | Başarılı | |
| 5.3.2 | Ayrıcalık yükseltme için yeniden kimlik doğrulamanın genel olarak devre dışı bırakılmadığından emin olun | Başarılı | |
| 5.3.3 | Sudo kimlik doğrulaması zaman aşımının doğru yapılandırıldığından emin olun | Başarılı | |
| 5.4.1 | Parola oluşturma gereksinimlerinin yapılandırıldığından emin olun | Başarılı | |
| 5.4.2 | Başarısız parola girişimleri için kilitlemenin yapılandırıldığından emin olun | Başarılı | |
| 5.4.3 | Parola karma algoritmasının SHA-512 olduğundan emin olun | Başarılı | |
| 5.4.4 | Parola yeniden kullanmanın sınırlı olduğundan emin olun | Başarılı | |
| 5.5.2 | Sistem hesaplarının güvenliğinin sağlandığından emin olun | Başarılı | |
| 5.5.3 | Kök hesabın varsayılan grubunun GID 0 olduğundan emin olun | Başarılı | |
| 5.5.4 | Varsayılan kullanıcı umask değerinin 027 veya daha kısıtlayıcı olduğundan emin olun | Başarılı | |
| 5.5.1.1 | Parola süre sonunun 365 gün veya daha kısa olduğundan emin olun | Başarılı | |
| 5.5.1.2 | Parola değişiklikleri arasındaki minimum günlerin yapılandırıldığından emin olun | Başarılı | |
| 5.5.1.3 | Parola süre sonu uyarı günlerinin 7 veya daha fazla olduğundan emin olun | Başarılı | |
| 5.5.1.4 | Etkin olmayan parola kilidinin 30 gün veya daha kısa olduğundan emin olun | Başarılı | |
| 5.5.1.5 | Tüm kullanıcıların son parola değiştirme tarihinin geçmişte olduğundan emin olun | Başarılı | |
| 6.1.1 | /etc/passwd üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.2 | /etc/passwd- üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.3 | /etc/group üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.4 | /etc/group- üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.5 | /etc/shadow üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.6 | /etc/shadow- üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.7 | /etc/gshadow üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.8 | /etc/gshadow- üzerindeki izinlerin yapılandırıldığından emin olun | Başarılı | |
| 6.1.9 | Eklenmemiş veya gruplandırılmamış dosya veya dizin olmadığından emin olun | Başarılı | |
| 6.1.10 | Dünya yazılabilir dosya ve dizinlerinin güvenliğinin sağlandığından emin olun | Başarılı | |
| 6.2.1 | Parola alanlarının boş olmadığından emin olun | Başarılı | |
| 6.2.2 | /etc/passwd içindeki tüm grupların /etc/group içinde mevcut olduğundan emin olun | Başarılı | |
| 6.2.3 | Yinelenen UID olmadığından emin olun | Başarılı | |
| 6.2.4 | Yinelenen GUID olmadığından emin olun | Başarılı | |
| 6.2.5 | Yinelenen kullanıcı adlarının olmadığından emin olun | Başarılı | |
| 6.2.6 | Yinelenen grup adı olmadığından emin olun | Başarılı | |
| 6.2.7 | Kök PATH Bütünlüğünü Sağlama | Başarılı | |
| 6.2.8 | Kökün tek UID 0 hesabı olduğundan emin olun | Başarılı | |
| 6.2.9 | Tüm kullanıcıların giriş dizinlerinin mevcut olduğundan emin olun | Başarılı | |
| 6.2.10 | Kullanıcıların kendi ana dizinlerine sahip olduğundan emin olun | Başarılı | |
| 6.2.11 | Kullanıcıların giriş dizinlerinin izinlerinin 750 veya daha fazla kısıtlayıcı olduğundan emin olun | Başarılı | |
| 6.2.12 | Kullanıcıların nokta dosyalarının gruplanabilir veya dünya yazılabilir olmadığından emin olun | Başarılı | |
| 6.2.13 | Kullanıcıların .netrc dosyalarının grup veya dünyaya erişilebilir olmadığından emin olun | Başarılı | |
| 6.2.14 | Hiçbir kullanıcının .forward dosyası olmadığından emin olun | Başarılı | |
| 6.2.15 | Hiçbir kullanıcının .netrc dosyası olmadığından emin olun | Başarılı | |
| 6.2.16 | Kullanıcıların .rhosts dosyası olmadığından emin olun | Başarılı |
Sonraki adımlar
Azure Linux Container Host güvenliği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
Azure Kubernetes Service