Parâmetro de comparação do Center for Internet Security (CIS) para o Linux do Azure
A configuração de segurança do sistema operacional aplicada à imagem do Host de Contêiner do Linux do Azure para AKS é baseada na base de referência de segurança do Linux do Azure, que se alinha ao parâmetro de comparação do CIS. Como um serviço seguro, o AKS está em conformidade com os padrões SOC, ISO, PCI DSS e HIPAA. Para obter mais informações sobre a segurança do Host de Contêiner do Linux do Azure, confira Conceitos de segurança para clusters no AKS. Para saber mais sobre o parâmetro de comparação do CIS, confira Parâmetros de comparação do Center for Internet Security (CIS). Para obter mais informações sobre as linhas de base de segurança do Azure para Linux, consulte Linha de base de segurança do Linux.
Azure Linux 2.0
Esse sistema operacional do Host de Contêiner do Linux do Azure é baseado na imagem do Linux 2.0 do Azure com as configurações de segurança integradas aplicadas.
Como parte do sistema operacional com otimização de segurança:
- O AKS e o Linux do Azure fornecem por padrão um sistema operacional host com otimização de segurança, sem nenhuma opção para selecionar um sistema operacional alternativo.
- O sistema operacional do host otimizado para segurança é criado e mantido especificamente para o AKS e não tem suporte fora da plataforma AKS.
- Os drivers de módulo de kernel desnecessários foram desabilitados no sistema operacional para reduzir a área de superfície de ataques.
Recomendações
A tabela abaixo tem quatro seções:
- ID do CIS: a ID da regra associada a cada uma das regras da base de referência.
- Descrição da recomendação: uma descrição da recomendação emitida pelo parâmetro de comparação do CIS.
- Nível: o L1, ou Nível 1, recomenda requisitos básicos de segurança essenciais que podem ser configurados em qualquer sistema e devem causar pouca ou nenhuma interrupção do serviço ou funcionalidade reduzida.
- Status:
- Aprovado - a recomendação foi aplicada.
- Reprovada: a recomendação não foi aplicada.
- N/A – a recomendação está relacionada aos requisitos de permissão de arquivo de manifesto que não são relevantes para o AKS.
- Depende do Ambiente: a recomendação é aplicada no ambiente específico do usuário e não é controlada pelo AKS.
- Controle Equivalente: a recomendação foi implementada de uma maneira equivalente diferente.
- Motivo:
- Possível Impacto da Operação: a recomendação não foi aplicada porque iria afetar o serviço negativamente.
- Coberta em Outro Lugar: a recomendação é coberta por um outro controle na computação em nuvem do Azure.
Veja a seguir os resultados das recomendações do Parâmetro de Comparação do CIS para Linux 2.0 do Azure v1.0 com base nas regras do CIS:
| ID do CIS | Descrição da recomendação | Status | Motivo |
|---|---|---|---|
| 1.1.4 | Desabilitar a montagem automática | Aprovado | |
| 1.1.1.1 | Verifique se a montagem dos sistemas de arquivos cramfs está desabilitada | Aprovado | |
| 1.1.2.1 | Certifique-se de que /tmp seja uma partição separada | Aprovado | |
| 1.1.2.2 | Verifique se a opção nodev foi definida na partição /tmp | Aprovado | |
| 1.1.2.3 | Verifique se a opção nosuid foi definida na partição /tmp | Aprovado | |
| 1.1.8.1 | Verifique se a opção nodev foi definida na partição /dev/shm | Aprovado | |
| 1.1.8.2 | Verifique se a opção nosuid foi definida na partição /dev/shm | Aprovado | |
| 1.2.1 | Certifique-se de que o gpgcheck do DNF esteja ativado globalmente | Aprovado | |
| 1.2.2 | Certifique-se de que o gpgcheck do TDNF esteja ativado globalmente | Aprovado | |
| 1.5.1 | Certifique-se de que o armazenamento de despejo de núcleos esteja desabilitado | Aprovado | |
| 1.5.2 | Certifique-se de que os backtraces de despejo de núcleo estejam desabilitados | Aprovado | |
| 1.5.3 | Verifique se o ASLR (layout de espaço de endereço aleatório) está habilitada | Aprovado | |
| 1.7.1 | Verifique se a faixa de aviso de logon local foi configurada corretamente | Aprovado | |
| 1.7.2 | Verifique se a faixa de aviso de logon remoto foi configurada corretamente | Aprovado | |
| 1.7.3 | Verifique se as permissões em /etc/motd foram configuradas | Aprovado | |
| 1.7.4 | Verifique se as permissões em /etc/issue foram configuradas | Aprovado | |
| 1.7.5 | Verifique se as permissões em /etc/issue.net foram configuradas | Aprovado | |
| 2.1.1 | Verifique se a sincronização de tempo está em uso | Aprovado | |
| 2.1.2 | Verifique se chrony está configurado | Aprovado | |
| 2.2.1 | Certifique-se de que o xinetd não esteja instalado | Passar | |
| 2.2.2 | Certifique-se de que o xorg-x11-server-common não esteja instalado | Passar | |
| 2.2.3 | Certifique-se de que o avahi não esteja instalado | Passar | |
| 2.2.4 | Certifique-se de que um servidor de impressão não esteja instalado | Passar | |
| 2.2.5 | Certifique-se de que o servidor dhcp não esteja instalado | Passar | |
| 2.2.6 | Certifique-se de que um servidor dns não esteja instalado | Passar | |
| 2.2.7 | Certifique-se de que o cliente FTP não esteja instalado | Passar | |
| 2.2.8 | Certifique-se de que um servidor ftp não esteja instalado | Passar | |
| 2.2.9 | Certifique-se de que um servidor tftp não esteja instalado | Passar | |
| 2.2.10 | Certifique-se de que um servidor web não esteja instalado | Passar | |
| 2.2.11 | Certifique-se de que os servidores IMAP e POP3 não estejam instalados | Passar | |
| 2.2.12 | Certifique-se de que o Samba não esteja instalado | Passar | |
| 2.2.13 | Certifique-se de que o servidor proxy HTTP não esteja instalado | Passar | |
| 2.2.14 | Certifique-se de que o net-snmp não esteja instalado ou de que o serviço snmpd não esteja habilitado | Passar | |
| 2.2.15 | Certifique-se de que o servidor NIS não esteja instalado | Passar | |
| 2.2.16 | Certifique-se de que o telnet-server não esteja instalado | Passar | |
| 2.2.17 | Verifique se o agente de transferência de email está configurado para o modo somente local | Aprovado | |
| 2.2.18 | Certifique-se de que o nfs-utils não esteja instalado ou de que o serviço nfs-server esteja mascarado | Passar | |
| 2.2.19 | Certifique-se de que o rsync-daemon não esteja instalado ou de que o serviço rsyncd esteja mascarado | Passar | |
| 2.3.1 | Certifique-se de que o cliente NIS não esteja instalado | Passar | |
| 2.3.2 | Certifique-se de que o cliente rsh não esteja instalado | Passar | |
| 2.3.3 | Certifique-se de que o cliente do Talk não esteja instalado. | Passar | |
| 2.3.4 | Certifique-se de que o cliente telnet não esteja instalado | Passar | |
| 2.3.5 | Certifique-se de que o cliente LDAP não esteja instalado | Passar | |
| 2.3.6 | Certifique-se de que o cliente TFTP não esteja instalado | Passar | |
| 3.1.1 | Certifique-se de que o IPv6 esteja habilitado | Aprovado | |
| 3.2.1 | Verifique se o envio de redirecionamento de pacotes foi desabilitado | Aprovado | |
| 3.3.1 | Certifique-se de que os pacotes roteados de origem não sejam aceitos | Aprovado | |
| 3.3.2 | Certifique-se de que os redirecionamentos ICMP não sejam aceitos | Aprovado | |
| 3.3.3 | Certifique-se de que os redirecionamentos ICMP seguros não sejam aceitos | Aprovado | |
| 3.3.4 | Verifique se pacotes suspeitos estão sendo registrados | Aprovado | |
| 3.3.5 | Verifique se as solicitações ICMP de difusão são ignoradas | Aprovado | |
| 3.3.6 | Verifique se as respostas falsas do ICMP foram ignoradas | Aprovado | |
| 3.3.7 | Verifique se a Filtragem de Caminho Reverso está habilitada | Aprovado | |
| 3.3.8 | Verifique se os Cookies SYN do TCP estão habilitados | Aprovado | |
| 3.3.9 | Certifique-se de que os anúncios do roteador IPv6 não sejam aceitos | Passar | |
| 3.4.3.1.1 | Certifique-se de que o pacote iptables esteja instalado | Aprovado | |
| 3.4.3.1.2 | Certifique-se de que nftables não estejam instalados com iptables | Passar | |
| 3.4.3.1.3 | Certifique-se de que o firewalld não esteja instalado ou mascarado com iptables | Aprovado | |
| 4.2 | Verifique se logrotate está configurado | Aprovado | |
| 4.2.2 | Certifique-se de que todos os arquivos de log tenham um acesso adequado configurado | Passar | |
| 4.2.1.1 | Verifique se rsyslog está instalado | Aprovado | |
| 4.2.1.2 | Certifique-se de que o serviço rsyslog esteja habilitado | Aprovado | |
| 4.2.1.3 | Certifique-se de que as permissões de arquivo padrão do rsyslog estejam configuradas | Aprovado | |
| 4.2.1.4 | Verifique se o registro em log foi configurado | Aprovado | |
| 4.2.1.5 | Certifique-se de que o rsyslog não esteja configurado para receber logs de um cliente remoto | Passar | |
| 5.1.1 | Certifique-se de que o daemon cron esteja habilitado | Aprovado | |
| 5.1.2 | Verifique se as permissões em /etc/crontab foram configuradas | Aprovado | |
| 5.1.3 | Verifique se as permissões em /etc/cron.hourly foram configuradas | Aprovado | |
| 5.1.4 | Verifique se as permissões em /etc/cron.daily foram configuradas | Aprovado | |
| 5.1.5 | Verifique se as permissões em /etc/cron.weekly foram configuradas | Aprovado | |
| 5.1.6 | Verifique se as permissões em /etc/cron.monthly foram configuradas | Aprovado | |
| 5.1.7 | Verifique se as permissões em /etc/cron.d foram configuradas | Aprovado | |
| 5.1.8 | Verifique se cron está restrito aos usuários autorizados | Aprovado | |
| 5.1.9 | Verifique se at está restrito aos usuários autorizados | Aprovado | |
| 5.2.1 | Verifique se as permissões em /etc/ssh/sshd_config foram definidas | Aprovado | |
| 5.2.2 | Verifique se as permissões nos arquivos chave de host SSH privado estão configuradas | Aprovado | |
| 5.2.3 | Verifique se as permissões nos arquivos chave de host SSH público estão configuradas | Aprovado | |
| 5.2.4 | Garantir que o acesso SSH seja limitado | Aprovado | |
| 5.2.5 | Verifique se SSH LogLevel é apropriado | Aprovado | |
| 5.2.6 | Verifique se o SSH PAM está habilitado | Aprovado | |
| 5.2.7 | Verifique se o logon raiz do SSH está desabilitado | Aprovado | |
| 5.2.8 | Verifique se SSH HostbasedAuthentication está desabilitado | Aprovado | |
| 5.2.9 | Verifique se o SSH PermitEmptyPasswords está desabilitado | Aprovado | |
| 5.2.10 | Verifique se o PermitUserEnvironment do SSH está desabilitado | Aprovado | |
| 5.2.11 | Verifique se SSH IgnoreRhosts está habilitado | Aprovado | |
| 5.2.12 | Verifique se apenas criptografias fortes são usadas | Aprovado | |
| 5.2.13 | Verifique se apenas algoritmos MAC fortes são usados | Aprovado | |
| 5.2.14 | Verifique se apenas algoritmos Key Exchange fortes são usados | Aprovado | |
| 5.2.15 | Verifique se a faixa de aviso do SSH está configurada | Aprovado | |
| 5.2.16 | Verifique se o MaxAuthTries do SSH está definido como 4 ou menos | Aprovado | |
| 5.2.17 | Verifique se o SSH MaxStartups está configurado | Aprovado | |
| 5.2.18 | Verifique se o LoginGraceTime do SSH está definido para um minuto ou menos | Aprovado | |
| 5.2.19 | Certifique-se de que o MaxSessions de SSH esteja configurado como 10 ou menos | Aprovado | |
| 5.2.20 | Verifique se o intervalo de tempo limite de ociosidade do SSH está configurado | Aprovado | |
| 5.3.1 | Verifique se sudo está instalado | Aprovado | |
| 5.3.2 | Certifique-se de que a reautenticação para escalonamento de privilégios não esteja desabilitada globalmente | Passar | |
| 5.3.3 | Certifique-se de que o tempo limite da autenticação sudo esteja configurado corretamente | Aprovado | |
| 5.4.1 | Verifique se os requisitos de criação de senha foram configurados | Aprovado | |
| 5.4.2 | Verifique se o bloqueio de tentativas de senha com falha foi configurado | Aprovado | |
| 5.4.3 | Verifique se o algoritmo de hash da senha é SHA-512 | Aprovado | |
| 5.4.4 | Verifique se a reutilização de senha é limitada | Aprovado | |
| 5.5.2 | Verifique se as contas do sistema estão seguras | Aprovado | |
| 5.5.3 | Verifique se o grupo padrão da conta raiz é GID 0 | Aprovado | |
| 5.5.4 | Verifique se o usuário padrão umask é 027 ou mais restritivo | Aprovado | |
| 5.5.1.1 | Verifique se a expiração da senha é de 365 dias ou menos | Aprovado | |
| 5.5.1.2 | Verifique se o mínimo de dias entre as alterações de senha foi configurado | Passar | |
| 5.5.1.3 | Certifique-se de que o tempo de aviso de expiração da senha seja de 7 dias ou mais | Passar | |
| 5.5.1.4 | Verifique se o bloqueio de senha inativa é de 30 dias ou menos | Aprovado | |
| 5.5.1.5 | Verifique se a última data de alteração de senha de todos os usuários está no passado | Aprovado | |
| 6.1.1 | Verifique se as permissões em /etc/passwd foram configuradas | Aprovado | |
| 6.1.2 | Verifique se as permissões em /etc/passwd- foram configuradas | Aprovado | |
| 6.1.3 | Verifique se as permissões em /etc/group foram configuradas | Aprovado | |
| 6.1.4 | Verifique se as permissões em /etc/group- foram configuradas | Aprovado | |
| 6.1.5 | Verifique se as permissões em /etc/shadow foram configuradas | Aprovado | |
| 6.1.6 | Verifique se as permissões em /etc/shadow- foram configuradas | Aprovado | |
| 6.1.7 | Verifique se as permissões em /etc/gshadow foram configuradas | Aprovado | |
| 6.1.8 | Verifique se as permissões em /etc/gshadow- foram configuradas | Aprovado | |
| 6.1.9 | Certifique-se de que não existam arquivos ou diretórios desagrupados ou sem um proprietário | Aprovado | |
| 6.1.10 | Certifique-se de que os arquivos e diretórios graváveis do mundo estejam protegidos | Aprovado | |
| 6.2.1 | Certifique-se de que os campos de senha não estejam vazios | Passar | |
| 6.2.2 | Verifique se todos os grupos em /etc/passwd existem em /etc/Group | Aprovado | |
| 6.2.3 | Verifique se não existem UIDs duplicados | Aprovado | |
| 6.2.4 | Verifique se não existem GIDs duplicados | Aprovado | |
| 6.2.5 | Verifique se não existem nomes de usuário duplicados | Aprovado | |
| 6.2.6 | Verifique se não existem nomes de grupos duplicados | Aprovado | |
| 6.2.7 | Verifique a integridade raiz do PATH | Aprovado | |
| 6.2.8 | Verifique se a raiz é a única conta UID 0 | Aprovado | |
| 6.2.9 | Verifique se existem todos os diretórios base | Aprovado | |
| 6.2.10 | Certifique-se de que os usuários sejam proprietários de seus diretórios home | Aprovado | |
| 6.2.11 | Verifique se as permissões de diretórios base dos usuários são 750 ou mais restritivas | Aprovado | |
| 6.2.12 | Verifique se os arquivos dot dos usuários não são editáveis por um grupo ou de usuários ou qualquer usuário | Passar | |
| 6.2.13 | Certifique-se de que os arquivos .netrc dos usuários não sejam acessíveis pelo grupo ou pelo mundo | Passar | |
| 6.2.14 | Verifique se os usuário não possuem arquivos .forward | Aprovado | |
| 6.2.15 | Verifique se os usuários não possuem arquivos .netrc | Aprovado | |
| 6.2.16 | Verifique se os usuários não possem arquivos .rhosts | Aprovado |
Próximas etapas
Para obter mais informações sobre a segurança do Host de Contêiner do Linux do Azure, confira os seguintes artigos:
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
Azure Kubernetes Service