Center for Internet Security (CIS) Azure Linux-benchmark
De configuratie van het besturingssysteem voor beveiliging die wordt toegepast op de Azure Linux Container Host voor AKS-installatiekopie is gebaseerd op de Azure Linux-beveiligingsbasislijn, die overeenkomt met de CIS-benchmark. AKS voldoet als een veilige service aan SOC-, ISO-, PCI DSS- en HIPAA-standaarden. Zie Beveiligingsconcepten voor clusters in AKS voor meer informatie over de beveiliging van Azure Linux Container Host. Zie Center for Internet Security (CIS) Benchmarks voor meer informatie over de CIS-benchmark. Zie de Basislijn voor Linux-beveiliging voor meer informatie over de Azure-beveiligingsbasislijnen voor Linux.
Azure Linux 2.0
Dit besturingssysteem Azure Linux Container Host is gebaseerd op de Installatiekopie van Azure Linux 2.0 waarop ingebouwde beveiligingsconfiguraties zijn toegepast.
Als onderdeel van het besturingssysteem dat is geoptimaliseerd voor beveiliging:
- AKS en Azure Linux bieden standaard een voor beveiliging geoptimaliseerd hostbesturingssysteem zonder optie om een alternatief besturingssysteem te selecteren.
- Het voor beveiliging geoptimaliseerde hostbesturingssysteem wordt speciaal voor AKS gebouwd en onderhouden en wordt niet ondersteund buiten het AKS-platform.
- Onnodige kernelmodulestuurprogramma's zijn uitgeschakeld in het besturingssysteem om het kwetsbaarheid voor aanvallen te verminderen.
Aanbevelingen
De onderstaande tabel bevat vier secties:
- CIS-id: de bijbehorende regel-id met elk van de basislijnregels.
- Beschrijving van aanbeveling: een beschrijving van de aanbeveling die is uitgegeven door de CIS-benchmark.
- Niveau: L1 of Niveau 1 raadt essentiële basisbeveiligingsvereisten aan die op elk systeem kunnen worden geconfigureerd en die weinig of geen onderbreking van de service of verminderde functionaliteit moeten veroorzaken.
- Status:
- Pass : de aanbeveling is toegepast.
- Mislukt - De aanbeveling is niet toegepast.
- N.v.t. De aanbeveling heeft betrekking op de machtigingsvereisten voor manifestbestanden die niet relevant zijn voor AKS.
- Is afhankelijk van de omgeving : de aanbeveling wordt toegepast in de specifieke omgeving van de gebruiker en wordt niet beheerd door AKS.
- Gelijkwaardig beheer : de aanbeveling is op een andere, gelijkwaardige manier geïmplementeerd.
- Reden:
- Mogelijke invloed op bewerkingen: de aanbeveling is niet toegepast omdat deze een negatief effect zou hebben op de service.
- Gedekt elders : de aanbeveling wordt gedekt door een ander besturingselement in Azure Cloud Compute.
Hieronder volgen de resultaten van de aanbevelingen van CIS Azure Linux 2.0 Benchmark v1.0 op basis van de CIS-regels:
| CIS-id | Beschrijving van aanbeveling | Status | Reden |
|---|---|---|---|
| 1.1.4 | Automatisch ontkoppelen uitschakelen | Geslaagd | |
| 1.1.1.1 | Zorg ervoor dat het koppelen van cramfs-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.2.1 | Zorg ervoor dat /tmp een afzonderlijke partitie is | Geslaagd | |
| 1.1.2.2 | Zorg ervoor dat de knooppuntv-optie is ingesteld op /tmp-partitie | Geslaagd | |
| 1.1.2.3 | Zorg ervoor dat de nosuid-optie is ingesteld op /tmp-partitie | Geslaagd | |
| 1.1.8.1 | Zorg ervoor dat de knooppuntv-optie is ingesteld op /dev/shm-partitie | Geslaagd | |
| 1.1.8.2 | Zorg ervoor dat de nosuid-optie is ingesteld op /dev/shm-partitie | Geslaagd | |
| 1.2.1 | Controleren of DNF gpgcheck globaal is geactiveerd | Geslaagd | |
| 1.2.2 | Controleren of TDNF gpgcheck globaal is geactiveerd | Geslaagd | |
| 1.5.1 | Controleren of de opslag van kerndumps is uitgeschakeld | Geslaagd | |
| 1.5.2 | Controleren of backtraces voor kerndumps zijn uitgeschakeld | Geslaagd | |
| 1.5.3 | Zorg ervoor dat randomisatie van de indeling van de adresruimte (ASLR) is ingeschakeld | Geslaagd | |
| 1.7.1 | Controleren of de waarschuwingsbanner voor lokale aanmelding correct is geconfigureerd | Geslaagd | |
| 1.7.2 | Controleren of de waarschuwingsbanner voor externe aanmelding correct is geconfigureerd | Geslaagd | |
| 1.7.3 | Zorg ervoor dat machtigingen voor /etc/motd zijn geconfigureerd | Geslaagd | |
| 1.7.4 | Zorg ervoor dat machtigingen voor /etc/issue zijn geconfigureerd | Geslaagd | |
| 1.7.5 | Zorg ervoor dat machtigingen op /etc/issue.net zijn geconfigureerd | Geslaagd | |
| 2.1.1 | Controleren of tijdsynchronisatie wordt gebruikt | Geslaagd | |
| 2.1.2 | Controleren of chrony is geconfigureerd | Geslaagd | |
| 2.2.1 | Controleren of xinetd niet is geïnstalleerd | Geslaagd | |
| 2.2.2 | Zorg ervoor dat xorg-x11-server-common niet is geïnstalleerd | Geslaagd | |
| 2.2.3 | Controleren of avahi niet is geïnstalleerd | Geslaagd | |
| 2.2.4 | Controleren of er geen afdrukserver is geïnstalleerd | Geslaagd | |
| 2.2.5 | Controleren of een DHCP-server niet is geïnstalleerd | Geslaagd | |
| 2.2.6 | Controleren of er geen DNS-server is geïnstalleerd | Geslaagd | |
| 2.2.7 | Controleren of de FTP-client niet is geïnstalleerd | Geslaagd | |
| 2.2.8 | Zorg ervoor dat er geen FTP-server is geïnstalleerd | Geslaagd | |
| 2.2.9 | Controleren of er geen tftp-server is geïnstalleerd | Geslaagd | |
| 2.2.10 | Controleren of er geen webserver is geïnstalleerd | Geslaagd | |
| 2.2.11 | Controleren of de IMAP- en POP3-server niet is geïnstalleerd | Geslaagd | |
| 2.2.12 | Controleren of Samba niet is geïnstalleerd | Geslaagd | |
| 2.2.13 | Controleren of de HTTP-proxyserver niet is geïnstalleerd | Geslaagd | |
| 2.2.14 | Zorg ervoor dat net-snmp niet is geïnstalleerd of dat de snmpd-service niet is ingeschakeld | Geslaagd | |
| 2.2.15 | Controleren of de NIS-server niet is geïnstalleerd | Geslaagd | |
| 2.2.16 | Controleren of telnet-server niet is geïnstalleerd | Geslaagd | |
| 2.2.17 | Controleren of de agent voor e-mailoverdracht is geconfigureerd voor de modus Alleen-lokaal | Geslaagd | |
| 2.2.18 | Zorg ervoor dat nfs-utils niet is geïnstalleerd of dat de nfs-server-service is gemaskeerd | Geslaagd | |
| 2.2.19 | Zorg ervoor dat rsync-daemon niet is geïnstalleerd of dat de rsyncd-service is gemaskeerd | Geslaagd | |
| 2.3.1 | Controleren of NIS-client niet is geïnstalleerd | Geslaagd | |
| 2.3.2 | Controleren of de rsh-client niet is geïnstalleerd | Geslaagd | |
| 2.3.3 | Controleren of de talkclient niet is geïnstalleerd | Geslaagd | |
| 2.3.4 | Controleren of telnet-client niet is geïnstalleerd | Geslaagd | |
| 2.3.5 | Controleren of de LDAP-client niet is geïnstalleerd | Geslaagd | |
| 2.3.6 | Controleren of DE TFTP-client niet is geïnstalleerd | Geslaagd | |
| 3.1.1 | Controleren of IPv6 is ingeschakeld | Geslaagd | |
| 3.2.1 | Controleren of verzenden van pakketomleiding is uitgeschakeld | Geslaagd | |
| 3.3.1 | Zorg ervoor dat bronpakketten niet worden geaccepteerd | Geslaagd | |
| 3.3.2 | Zorg ervoor dat ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.3 | Zorg ervoor dat beveiligde ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.4 | Zorg ervoor dat verdachte pakketten worden geregistreerd | Geslaagd | |
| 3.3.5 | Controleren of ICMP-broadcast-aanvragen worden genegeerd | Geslaagd | |
| 3.3.6 | Zorg ervoor dat valse ICMP-antwoorden worden genegeerd | Geslaagd | |
| 3.3.7 | Controleren of reverse path filtering is ingeschakeld | Geslaagd | |
| 3.3.8 | Controleren of TCP SYN-cookies zijn ingeschakeld | Geslaagd | |
| 3.3.9 | Zorg ervoor dat IPv6-routeradvertenties niet worden geaccepteerd | Geslaagd | |
| 3.4.3.1.1 | Controleren of het iptables-pakket is geïnstalleerd | Geslaagd | |
| 3.4.3.1.2 | Controleren of nftables niet zijn geïnstalleerd met iptables | Geslaagd | |
| 3.4.3.1.3 | Zorg ervoor dat firewall niet is geïnstalleerd of gemaskeerd met iptables | Geslaagd | |
| 4.2 | Controleren of logrotate is geconfigureerd | Geslaagd | |
| 4.2.2 | Zorg ervoor dat alle logboekbestanden de juiste toegang hebben geconfigureerd | Geslaagd | |
| 4.2.1.1 | Controleren of rsyslog is geïnstalleerd | Geslaagd | |
| 4.2.1.2 | Controleren of rsyslog-service is ingeschakeld | Geslaagd | |
| 4.2.1.3 | Controleren of standaardbestandsmachtigingen voor rsyslog zijn geconfigureerd | Geslaagd | |
| 4.2.1.4 | Controleren of logboekregistratie is geconfigureerd | Geslaagd | |
| 4.2.1.5 | Controleren of rsyslog niet is geconfigureerd voor het ontvangen van logboeken van een externe client | Geslaagd | |
| 5.1.1 | Controleren of cron-daemon is ingeschakeld | Geslaagd | |
| 5.1.2 | Zorg ervoor dat machtigingen voor /etc/crontab zijn geconfigureerd | Geslaagd | |
| 5.1.3 | Zorg ervoor dat machtigingen op /etc/cron.hourly zijn geconfigureerd | Geslaagd | |
| 5.1.4 | Zorg ervoor dat machtigingen voor /etc/cron.daily zijn geconfigureerd | Geslaagd | |
| 5.1.5 | Zorg ervoor dat machtigingen voor /etc/cron.wekelijks zijn geconfigureerd | Geslaagd | |
| 5.1.6 | Zorg ervoor dat machtigingen voor /etc/cron.monthly zijn geconfigureerd | Geslaagd | |
| 5.1.7 | Zorg ervoor dat machtigingen voor /etc/cron.d zijn geconfigureerd | Geslaagd | |
| 5.1.8 | Controleren of cron is beperkt tot geautoriseerde gebruikers | Geslaagd | |
| 5.1.9 | Controleren op is beperkt tot geautoriseerde gebruikers | Geslaagd | |
| 5.2.1 | Zorg ervoor dat machtigingen voor /etc/ssh/sshd_config zijn geconfigureerd | Geslaagd | |
| 5.2.2 | Zorg ervoor dat machtigingen voor persoonlijke SSH-hostsleutelbestanden zijn geconfigureerd | Geslaagd | |
| 5.2.3 | Zorg ervoor dat machtigingen voor bestanden met openbare SSH-hostsleutels zijn geconfigureerd | Geslaagd | |
| 5.2.4 | Zorg ervoor dat SSH-toegang beperkt is | Geslaagd | |
| 5.2.5 | Zorg ervoor dat SSH LogLevel geschikt is | Geslaagd | |
| 5.2.6 | Controleren of SSH PAM is ingeschakeld | Geslaagd | |
| 5.2.7 | Controleren of aanmelding via de SSH-hoofdmap is uitgeschakeld | Geslaagd | |
| 5.2.8 | Zorg ervoor dat SSH HostbasedAuthentication is uitgeschakeld | Geslaagd | |
| 5.2.9 | Controleren of SSH PermitEmptyPasswords is uitgeschakeld | Geslaagd | |
| 5.2.10 | Controleren of SSH PermitUserEnvironment is uitgeschakeld | Geslaagd | |
| 5.2.11 | Controleren of SSH IgnoreRhosts is ingeschakeld | Geslaagd | |
| 5.2.12 | Zorg ervoor dat alleen sterke coderingen worden gebruikt | Geslaagd | |
| 5.2.13 | Zorg ervoor dat alleen sterke MAC-algoritmen worden gebruikt | Geslaagd | |
| 5.2.14 | Zorg ervoor dat alleen sterke algoritmen voor sleuteluitwisseling worden gebruikt | Geslaagd | |
| 5.2.15 | Controleren of de SSH-waarschuwingsbanner is geconfigureerd | Geslaagd | |
| 5.2.16 | Zorg ervoor dat SSH MaxAuthTries is ingesteld op 4 of minder | Geslaagd | |
| 5.2.17 | Controleren of SSH MaxStartups is geconfigureerd | Geslaagd | |
| 5.2.18 | Zorg ervoor dat SSH LoginGraceTime is ingesteld op één minuut of minder | Geslaagd | |
| 5.2.19 | Zorg ervoor dat SSH MaxSessions is ingesteld op 10 of minder | Geslaagd | |
| 5.2.20 | Zorg ervoor dat het time-outinterval voor inactiviteit van SSH is geconfigureerd | Geslaagd | |
| 5.3.1 | Controleren of sudo is geïnstalleerd | Geslaagd | |
| 5.3.2 | Zorg ervoor dat herauthenticatie voor escalatie van bevoegdheden niet wereldwijd is uitgeschakeld | Geslaagd | |
| 5.3.3 | Controleren of sudo-verificatietime-out juist is geconfigureerd | Geslaagd | |
| 5.4.1 | Zorg ervoor dat vereisten voor het maken van wachtwoorden zijn geconfigureerd | Geslaagd | |
| 5.4.2 | Controleren of de vergrendeling voor mislukte wachtwoordpogingen is geconfigureerd | Geslaagd | |
| 5.4.3 | Controleren of het algoritme voor wachtwoord-hashing SHA-512 is | Geslaagd | |
| 5.4.4 | Controleren of het opnieuw gebruiken van wachtwoorden beperkt is | Geslaagd | |
| 5.5.2 | Controleren of systeemaccounts zijn beveiligd | Geslaagd | |
| 5.5.3 | Zorg ervoor dat de standaardgroep voor het hoofdaccount GID 0 is | Geslaagd | |
| 5.5.4 | Zorg ervoor dat de standaardgebruikers-umask 027 of meer beperkend is | Geslaagd | |
| 5.5.1.1 | Controleren of het verlopen van wachtwoorden 365 dagen of minder is | Geslaagd | |
| 5.5.1.2 | Zorg ervoor dat minimale dagen tussen wachtwoordwijzigingen zijn geconfigureerd | Geslaagd | |
| 5.5.1.3 | Zorg ervoor dat waarschuwingsdagen voor wachtwoordverlooptijd 7 of meer zijn | Geslaagd | |
| 5.5.1.4 | Zorg ervoor dat de inactieve wachtwoordvergrendeling 30 dagen of minder is | Geslaagd | |
| 5.5.1.5 | Zorg ervoor dat alle gebruikers de laatste datum van wachtwoordwijziging in het verleden hebben | Geslaagd | |
| 6.1.1 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.2 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.3 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.4 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.5 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.6 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.7 | Zorg ervoor dat machtigingen voor /etc/gshadow zijn geconfigureerd | Geslaagd | |
| 6.1.8 | Zorg ervoor dat machtigingen voor /etc/gshadow- zijn geconfigureerd | Geslaagd | |
| 6.1.9 | Zorg ervoor dat er geen niet-eigenaar of niet-gegroepeerde bestanden of mappen bestaan | Geslaagd | |
| 6.1.10 | Zorg ervoor dat schrijfbare wereldbestanden en mappen zijn beveiligd | Geslaagd | |
| 6.2.1 | Zorg ervoor dat wachtwoordvelden niet leeg zijn | Geslaagd | |
| 6.2.2 | Zorg ervoor dat alle groepen in /etc/passwd aanwezig zijn in /etc/group | Geslaagd | |
| 6.2.3 | Zorg ervoor dat er geen dubbele UID's bestaan | Geslaagd | |
| 6.2.4 | Zorg ervoor dat er geen dubbele GID's bestaan | Geslaagd | |
| 6.2.5 | Zorg ervoor dat er geen dubbele gebruikersnamen bestaan | Geslaagd | |
| 6.2.6 | Zorg ervoor dat er geen dubbele groepsnamen bestaan | Geslaagd | |
| 6.2.7 | Hoofdpadintegriteit garanderen | Geslaagd | |
| 6.2.8 | Controleren of de hoofdmap het enige UID 0-account is | Geslaagd | |
| 6.2.9 | Zorg ervoor dat de basismappen van alle gebruikers bestaan | Geslaagd | |
| 6.2.10 | Ervoor zorgen dat gebruikers hun eigen thuismappen hebben | Geslaagd | |
| 6.2.11 | Zorg ervoor dat de machtigingen voor thuismappen van gebruikers 750 of meer beperkend zijn | Geslaagd | |
| 6.2.12 | Zorg ervoor dat de dot-bestanden van gebruikers niet zijn gegroepeerd of schrijfbaar zijn | Geslaagd | |
| 6.2.13 | Zorg ervoor dat de .netrc-bestanden van gebruikers niet groeps- of wereldtoegang hebben | Geslaagd | |
| 6.2.14 | Zorg ervoor dat er geen gebruikers .forward-bestanden hebben | Geslaagd | |
| 6.2.15 | Zorg ervoor dat er geen .netrc-bestanden zijn | Geslaagd | |
| 6.2.16 | Zorg ervoor dat er geen gebruikers .rhosts-bestanden hebben | Geslaagd |
Volgende stappen
Zie de volgende artikelen voor meer informatie over azure Linux Container Host-beveiliging:
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
Azure Kubernetes Service