Center for Internet Security (CIS) Azure Linux ベンチマーク
AKS イメージ用 Azure Linux コンテナー ホストに適用されるセキュリティ OS 構成は、CIS ベンチマークと連携する Azure Linux セキュリティ ベースラインに基づいています。 AKS は安全なサービスとして、SOC、ISO、PCI DSS、HIPAA の各標準に準拠しています。 Azure Linux コンテナー ホストのセキュリティの詳細については、「AKS のクラスターのセキュリティの概念」を参照してください。 CIS ベンチマークの詳細については、「Center for Internet Security (CIS) ベンチマーク」を参照してください。 Linux 用の Azure セキュリティ ベースラインの詳細については、「Linux セキュリティ ベースライン」を参照してください。
Azure Linux 2.0
この Azure Linux コンテナー ホスト オペレーティング システムは、組み込みのセキュリティ構成が適用された Azure Linux 2.0 イメージに基づいています。
セキュリティ最適化オペレーティング システムの一環として、次が挙げられます。
- AKS と Azure Linux は、既定でセキュリティ最適化ホスト OS を提供しますが、別のオペレーティング システムを選択するオプションはありません。
- セキュリティ最適化されたホスト OS は、AKS 専用に構築および保守されており、AKS プラットフォーム以外ではサポートされていません。
- 攻撃面を減らすため、OS では不要なカーネル モジュール ドライバーが無効になっています。
推奨事項
次の表には 4 つのセクションがあります。
- CIS ID: 各ベースライン ルールに関連付けられているルール ID。
- 推奨事項の説明: CIS ベンチマークによって挙げられた推奨事項の説明。
- レベル: L1 (またはレベル 1) は、あらゆるシステムで構成可能で、サービスの中断や機能の低下をほとんど、またはまったく引き起こさない、不可欠で基本的なセキュリティ要件の推奨を行います。
- 状態:
- 合格 - 推奨事項が適用されています。
- "不合格" - 推奨事項が適用されていません。
- 該当なし - 推奨事項は、AKS に関連しないマニフェスト ファイルのアクセス許可の要件に関するものです。
- "環境に依存" - 推奨事項はユーザー固有の環境内で適用され、AKS によって制御されることはありません。
- "同等の制御" - 推奨事項は、同等の異なる方法で実装されています。
- 理由:
- "運用への影響の可能性" - 推奨事項は、サービスに悪影響を及ぼす可能性があるため、適用されませんでした。
- "その他でカバー" - 推奨事項は、Azure クラウド コンピューティングの別のコントロールによってカバーされています。
CIS ルールに基づく CIS Azure Linux 2.0 ベンチマーク v1.0 推奨事項の結果を次に示します。
| CIS ID | 推奨事項の説明 | Status | 理由 |
|---|---|---|---|
| 1.1.4 | 自動マウントを無効にする | 合格 | |
| 1.1.1.1 | cramfs ファイル システムのマウントが無効になっていることを確認する | 合格 | |
| 1.1.2.1 | /tmp が別のパーティションであることを確認する | 合格 | |
| 1.1.2.2 | /tmp パーティションに対して nodev オプションが設定されていることを確認する | 合格 | |
| 1.1.2.3 | /tmp パーティションに対して nosuid オプションが設定されていることを確認する | 合格 | |
| 1.1.8.1 | /dev/shm パーティションに対して nodev オプションが設定されていることを確認する | 合格 | |
| 1.1.8.2 | /dev/shm パーティションに対して nosuid オプションが設定されていることを確認する | 合格 | |
| 1.2.1 | DNF gpgcheck がグローバルにアクティブ化されていることを確認する | 合格 | |
| 1.2.2 | TDNF gpgcheck がグローバルにアクティブ化されていることを確認する | 合格 | |
| 1.5.1 | コア ダンプ ストレージが無効になっていることを確認する | 合格 | |
| 1.5.2 | コア ダンプ バックトレースが無効になっていることを確認する | 合格 | |
| 1.5.3 | アドレス空間配置のランダム化 (ASLR) が有効になっていることを確認する | 合格 | |
| 1.7.1 | ローカル ログイン警告バナーが正しく構成されていることを確認する | 合格 | |
| 1.7.2 | リモート ログイン警告バナーが正しく構成されていることを確認する | 合格 | |
| 1.7.3 | /etc/motd に対するアクセス許可が構成されていることを確認する | 合格 | |
| 1.7.4 | /etc/issue に対するアクセス許可が構成されていることを確認する | 合格 | |
| 1.7.5 | /etc/issue.net に対するアクセス許可が構成されていることを確認する | 合格 | |
| 2.1.1 | 時刻の同期が使用中であることを確認する | 合格 | |
| 2.1.2 | chrony が構成されていることを確認する | 合格 | |
| 2.2.1 | xinetd がインストールされていないことを確認する | パス | |
| 2.2.2 | xorg-x11-server-common がインストールされていないことを確認する | パス | |
| 2.2.3 | avahi がインストールされていないことを確認する | パス | |
| 2.2.4 | プリント サーバーがインストールされていないことを確認する | パス | |
| 2.2.5 | dhcp サーバーがインストールされていないことを確認する | パス | |
| 2.2.6 | dns サーバーがインストールされていないことを確認する | パス | |
| 2.2.7 | FTP クライアントがインストールされていないことを確認する | パス | |
| 2.2.8 | ftp サーバーがインストールされていないことを確認する | パス | |
| 2.2.9 | tftp サーバーがインストールされていないことを確認する | パス | |
| 2.2.10 | Web サーバーがインストールされていないことを確認する | パス | |
| 2.2.11 | IMAP と POP3 サーバーがインストールされていないことを確認する | パス | |
| 2.2.12 | Samba がインストールされていないことを確認する | パス | |
| 2.2.13 | HTTP プロキシ サーバーがインストールされていないことを確認する | パス | |
| 2.2.14 | net-snmp がインストールされていないこと、または snmpd サービスが有効になっていないことを確認する | パス | |
| 2.2.15 | NIS サーバーがインストールされていないことを確認する | パス | |
| 2.2.16 | telnet サーバーがインストールされていないことを確認する | パス | |
| 2.2.17 | メール転送エージェントがローカル専用モードで構成されていることを確認する | 合格 | |
| 2.2.18 | nfs-utils がインストールされていないこと、または nfs-server サービスがマスクされていることを確認する | パス | |
| 2.2.19 | rsync-daemon がインストールされていないこと、または rsyncd サービスがマスクされていることを確認する | パス | |
| 2.3.1 | NIS クライアントがインストールされていないことを確認する | パス | |
| 2.3.2 | rsh クライアントがインストールされていないことを確認する | パス | |
| 2.3.3 | talk クライアントがインストールされていないことを確認する | パス | |
| 2.3.4 | telnet クライアントがインストールされていないことを確認する | パス | |
| 2.3.5 | LDAP クライアントがインストールされていないことを確認する | パス | |
| 2.3.6 | TFTP クライアントがインストールされていないことを確認する | パス | |
| 3.1.1 | IPv6 が有効になっていることを確認する | 合格 | |
| 3.2.1 | パケット リダイレクト送信が無効になっていることを確認する | 合格 | |
| 3.3.1 | ソース ルーティング パケットが承認されていないことを確認する | 合格 | |
| 3.3.2 | ICMP リダイレクトが受け付けられないことを確認する | 合格 | |
| 3.3.3 | セキュリティで保護された ICMP リダイレクトが受け付けられないことを確認する | 合格 | |
| 3.3.4 | 疑わしいパケットがログに記録されることを確認する | 合格 | |
| 3.3.5 | ブロードキャスト ICMP 要求が無視されることを確認する | 合格 | |
| 3.3.6 | 偽の ICMP 応答が無視されることを確認する | 合格 | |
| 3.3.7 | パスの反転のフィルター処理が有効になっていることを確認する | 合格 | |
| 3.3.8 | TCP SYN Cookie が有効になっていることを確認する | 合格 | |
| 3.3.9 | IPv6 ルーター アドバタイズが受け付けられないことを確認する | パス | |
| 3.4.3.1.1 | iptables パッケージがインストールされていることを確認する | 合格 | |
| 3.4.3.1.2 | nftables が iptables と共にインストールされていないことを確認する | パス | |
| 3.4.3.1.3 | ファイアウォールがインストールされていないか、iptables でマスクされていることを確認する | 合格 | |
| 4.2 | logrotate が構成されていることを確認する | 合格 | |
| 4.2.2 | すべてのログ ファイルに適切なアクセスが構成されていることを確認する | パス | |
| 4.2.1.1 | rsyslog がインストールされていることを確認する | 合格 | |
| 4.2.1.2 | rsyslog サービスが有効になっていることを確認する | 合格 | |
| 4.2.1.3 | rsyslog の既定のファイル アクセス許可が構成されていることを確認する | 合格 | |
| 4.2.1.4 | ログ記録が構成されていることを確認する | 合格 | |
| 4.2.1.5 | rsyslog がリモート クライアントからログを受信するように構成されていないことを確認する | パス | |
| 5.1.1 | cron デーモンが有効であることを確認する | 合格 | |
| 5.1.2 | /etc/crontab に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.3 | /etc/cron.hourly に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.4 | /etc/cron.daily に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.5 | /etc/cron.weekly に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.6 | /etc/cron.monthly に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.7 | /etc/cron.d に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.1.8 | cron が認可されたユーザーに制限されていることを確認する | 合格 | |
| 5.1.9 | at が認可されたユーザーに制限されていることを確認する | 合格 | |
| 5.2.1 | /etc/ssh/sshd_config に対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.2.2 | SSH 非公開ホスト キー ファイルに対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.2.3 | SSH 公開ホスト キー ファイルに対するアクセス許可が構成されていることを確認する | 合格 | |
| 5.2.4 | SSH アクセスが制限されていることを確認します | 合格 | |
| 5.2.5 | SSH LogLevel が適切であることを確認する | 合格 | |
| 5.2.6 | SSH PAM が有効になっていることを確認する | 合格 | |
| 5.2.7 | SSH のルート ログインが無効になっていることを確認する | 合格 | |
| 5.2.8 | SSH HostbasedAuthentication が無効になっていることを確認する | 合格 | |
| 5.2.9 | SSH PermitEmptyPasswords が無効になっていることを確認する | 合格 | |
| 5.2.10 | SSH の PermitUserEnvironment が無効になっていることを確認する | 合格 | |
| 5.2.11 | SSH IgnoreRhosts が有効になっていることを確認する | 合格 | |
| 5.2.12 | 強力な暗号のみが使用されていることを確認する | 合格 | |
| 5.2.13 | 強力な MAC アルゴリズムのみが使用されていることを確認する | 合格 | |
| 5.2.14 | 強力なキー交換アルゴリズムのみが使用されていることを確認する | 合格 | |
| 5.2.15 | SSH の警告バナーが構成されていることを確認する | 合格 | |
| 5.2.16 | SSH の MaxAuthTries が 4 以下に設定されていることを確認する | 合格 | |
| 5.2.17 | SSH MaxStartups が構成されていることを確認する | 合格 | |
| 5.2.18 | SSH の LoginGraceTime が 1 分以下に設定されていることを確認する | 合格 | |
| 5.2.19 | SSH の MaxSessions が 10 以下に設定されていることを確認する | 合格 | |
| 5.2.20 | SSH のアイドル タイムアウト間隔が構成されていることを確認する | 合格 | |
| 5.3.1 | sudo がインストールされていることを確認する | 合格 | |
| 5.3.2 | 特権エスカレーションの再認証がグローバルで無効にされていないことを確認する | パス | |
| 5.3.3 | sudo 認証タイムアウトが正しく構成されていることを確認する | 合格 | |
| 5.4.1 | パスワード作成要件が構成されていることを確認する | 合格 | |
| 5.4.2 | 失敗したパスワード試行に対するロックアウトが構成されていることを確認する | 合格 | |
| 5.4.3 | パスワード ハッシュ アルゴリズムが SHA-512 であることを確認する | 合格 | |
| 5.4.4 | パスワードの再利用が制限されていることを確認する | 合格 | |
| 5.5.2 | システム アカウントがセキュリティで保護されていることを確認する | 合格 | |
| 5.5.3 | root アカウントの既定のグループの GID が 0 であることを確認する | 合格 | |
| 5.5.4 | 既定のユーザーの umask が 027 またはそれより厳しいことを確認する | 合格 | |
| 5.5.1.1 | パスワードの有効期間が 365 日以下であることを確認する | 合格 | |
| 5.5.1.2 | パスワード変更間の最小日数が構成されていることを確認する | パス | |
| 5.5.1.3 | パスワード期限切れの警告日が 7 以上であることを確認する | パス | |
| 5.5.1.4 | 非アクティブなパスワードのロックが 30 日以下であることを確認する | 合格 | |
| 5.5.1.5 | すべてのユーザーのパスワード最終変更日が過去であることを確認する | 合格 | |
| 6.1.1 | /etc/passwd に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.2 | /etc/passwd- に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.3 | /etc/group に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.4 | /etc/group- に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.5 | /etc/shadow に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.6 | /etc/shadow- に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.7 | /etc/gshadow に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.8 | /etc/gshadow- に対するアクセス許可が構成されていることを確認する | 合格 | |
| 6.1.9 | 未所有またはグループ化されていないファイルまたはディレクトリが存在しないことを確認する | 合格 | |
| 6.1.10 | ワールド書き込み可能なファイルとディレクトリがセキュリティで保護されていることを確認する | 合格 | |
| 6.2.1 | パスワード フィールドが空でないことを確認する | パス | |
| 6.2.2 | /etc/passwd のすべてのグループが /etc/group に存在していることを確認する | 合格 | |
| 6.2.3 | 重複した UID が存在していないことを確認する | 合格 | |
| 6.2.4 | 重複した GID が存在していないことを確認する | 合格 | |
| 6.2.5 | 重複したユーザー名が存在していないことを確認する | 合格 | |
| 6.2.6 | 重複したグループ名が存在していないことを確認する | 合格 | |
| 6.2.7 | ルート PATH の整合性を確認する | 合格 | |
| 6.2.8 | root が唯一の UID 0 アカウントであることを確認する | 合格 | |
| 6.2.9 | すべてのユーザーのホーム ディレクトリが存在することを確認する | 合格 | |
| 6.2.10 | ユーザーが自分のホーム ディレクトリの所有者であることを確認する | 合格 | |
| 6.2.11 | ユーザーのホーム ディレクトリのアクセス許可が 750 以上に制限されていることを確認する | 合格 | |
| 6.2.12 | ユーザーのドット ファイルへの書き込みがグループまたは全員に許可されていないことを確認する | パス | |
| 6.2.13 | ユーザーの .netrc ファイルがグループまたはワールド アクセスでないことを確認する | パス | |
| 6.2.14 | どのユーザーにも .forward ファイルが存在しないことを確認する | 合格 | |
| 6.2.15 | どのユーザーにも .netrc ファイルが存在しないことを確認する | 合格 | |
| 6.2.16 | どのユーザーにも .rhosts ファイルが存在しないことを確認する | 合格 |
次のステップ
Azure Linux コンテナー ホストのセキュリティの詳細については、次の記事を参照してください。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service