Центр оценки безопасности Интернета (CIS) Azure Linux
Конфигурация операционной системы безопасности, применяемая к узлу контейнеров Linux Для AKS, основана на базовой конфигурации безопасности Linux Azure, которая соответствует тесту CIS. В качестве безопасной службы AKS соответствует стандартам SOC, ISO, PCI DSS и HIPAA. Дополнительные сведения о безопасности узла контейнеров Azure Linux см . в концепциях безопасности кластеров в AKS. Дополнительные сведения о тесте CIS см . в разделе "Центр интернет-безопасности (CIS) Benchmarks. Дополнительные сведения о базовом плане безопасности Azure для Linux см. в разделе Базовые показатели безопасности Linux.
Azure Linux 2.0
Эта операционная система узла контейнеров Linux Azure основана на образе Azure Linux 2.0 со встроенными конфигурациями безопасности.
В рамках оптимизированной для безопасности операционной системы:
- AKS и Azure Linux предоставляют операционную систему, оптимизированную для безопасности, по умолчанию без возможности выбора альтернативной операционной системы.
- Операционная система с усиленной безопасностью разработана специально для AKS и используется только вместе с ней. За пределами платформы AKS данная ОС не поддерживается.
- Ненужные драйверы модуля ядра были отключены в ОС, чтобы уменьшить область атаки.
Рекомендации
В следующей таблице приведены четыре раздела:
- Идентификатор CIS: связанный идентификатор правила с каждым из базовых правил.
- Описание рекомендации. Описание рекомендации, выданной показателем CIS.
- Уровень: L1 или Level 1 рекомендует основные требования к безопасности, которые могут быть настроены в любой системе и не должны вызывать мало или не прерывать работу службы или сократить функциональные возможности.
- Состояние:
- Пройдено — рекомендация была применена.
- Сбой . Рекомендация не была применена.
- N/A . Рекомендация относится к требованиям к разрешениям файла манифеста, которые не относятся к AKS.
- Зависит от среды . Рекомендация применяется в конкретной среде пользователя и не контролируется AKS.
- Эквивалентный элемент управления — рекомендация реализована по-другому.
- Причина.
- Потенциальное влияние операции — рекомендация не была применена, так как она окажет негативное влияние на службу.
- В других местах — рекомендация рассматривается другим элементом управления в облачных вычислениях Azure.
Ниже приведены результаты рекомендаций CIS Для Linux 2.0 Benchmark версии 1.0 на основе правил CIS:
| Идентификатор CIS | Описание рекомендации | Состояние | Причина |
|---|---|---|---|
| 1.1.4 | Отключение автоподключения | Пройдено | |
| 1.1.1.1 | Проверка, что подключение файловой системы cramfs отключено | Пройдено | |
| 1.1.2.1 | Убедитесь, что /tmp является отдельной секцией | Пройдено | |
| 1.1.2.2 | Проверка, что для раздела /tmp установлен параметр nodev | Пройдено | |
| 1.1.2.3 | Проверка, что для раздела /tmp установлен параметр nosuid | Пройдено | |
| 1.1.8.1 | Проверка, что для раздела /dev/shm установлен параметр nodev | Пройдено | |
| 1.1.8.2 | Проверка, что для раздела /dev/shm установлен параметр nosuid | Пройдено | |
| 1.2.1 | Обеспечение глобальной активации DNF gpgcheck | Пройдено | |
| 1.2.2 | Убедитесь, что gpgcheck TDNF активируется глобально | Пройдено | |
| 1.5.1 | Убедитесь, что хранилище основного дампа отключено | Пройдено | |
| 1.5.2 | Убедитесь, что отключаются откаты основного дампа | Пройдено | |
| 1.5.3 | Проверка активации случайного распределения адресного пространства (ASLR) | Пройдено | |
| 1.7.1 | Проверка, что предупреждающий баннер локального входа в систему настроен правильно | Пройдено | |
| 1.7.2 | Проверка, что предупреждающий баннер удаленного входа в систему настроен правильно | Пройдено | |
| 1.7.3 | Проверка, что для /etc/motd настроены разрешения | Пройдено | |
| 1.7.4 | Проверка, что настроены разрешения для /etc/issue | Пройдено | |
| 1.7.5 | Проверка, что настроены разрешения для /etc/issue.net | Пройдено | |
| 2.1.1 | Проверка, что используется синхронизация времени | Пройдено | |
| 2.1.2 | Проверка, что настроена хронология | Пройдено | |
| 2.2.1 | Убедитесь, что xinetd не установлен | Пройдено | |
| 2.2.2 | Убедитесь, что xorg-x11-server-common не установлен | Пройдено | |
| 2.2.3 | Убедитесь, что avahi не установлен | Пройдено | |
| 2.2.4 | Убедитесь, что сервер печати не установлен | Пройдено | |
| 2.2.5 | Убедитесь, что dhcp-сервер не установлен | Пройдено | |
| 2.2.6 | Убедитесь, что dns-сервер не установлен | Пройдено | |
| 2.2.7 | Убедитесь, что ftp-клиент не установлен | Пройдено | |
| 2.2.8 | Убедитесь, что ftp-сервер не установлен | Пройдено | |
| 2.2.9 | Убедитесь, что сервер tftp не установлен | Пройдено | |
| 2.2.10 | Убедитесь, что веб-сервер не установлен | Пройдено | |
| 2.2.11 | Убедитесь, что сервер IMAP и POP3 не установлены | Пройдено | |
| 2.2.12 | Убедитесь, что Samba не установлен | Пройдено | |
| 2.2.13 | Убедитесь, что прокси-сервер HTTP не установлен | Пройдено | |
| 2.2.14 | Убедитесь, что net-snmp не установлен или служба snmpd не включена | Пройдено | |
| 2.2.15 | Убедитесь, что сервер NIS не установлен | Пройдено | |
| 2.2.16 | Убедитесь, что telnet-server не установлен | Пройдено | |
| 2.2.17 | Проверка, что агент передачи почты настроен для работы только в локальном режиме | Пройдено | |
| 2.2.18 | Убедитесь, что nfs-utils не установлен или служба nfs-server маскируется | Пройдено | |
| 2.2.19 | Убедитесь, что программа rsync-daemon не установлена или служба rsyncd маскируется | Пройдено | |
| 2.3.1 | Убедитесь, что клиент NIS не установлен | Пройдено | |
| 2.3.2 | Убедитесь, что клиент rsh не установлен | Пройдено | |
| 2.3.3 | Убедитесь, что клиент talk не установлен | Пройдено | |
| 2.3.4 | Убедитесь, что клиент telnet не установлен | Пройдено | |
| 2.3.5 | Убедитесь, что клиент LDAP не установлен | Пройдено | |
| 2.3.6 | Убедитесь, что клиент TFTP не установлен | Пройдено | |
| 3.1.1 | Убедитесь, что IPv6 включен | Пройдено | |
| 3.2.1 | Проверка, что отправка перенаправления пакетов отключена | Пройдено | |
| 3.3.1 | Убедитесь, что исходные маршрутируемые пакеты не принимаются | Пройдено | |
| 3.3.2 | Убедитесь, что перенаправления ICMP не принимаются | Пройдено | |
| 3.3.3 | Убедитесь, что безопасные перенаправления ICMP не принимаются | Пройдено | |
| 3.3.4 | Проверка, что подозрительные пакеты регистрируются | Пройдено | |
| 3.3.5 | Проверка, что широковещательные запросы ICMP игнорируются | Пройдено | |
| 3.3.6 | Проверка, что фиктивные ответы протокола ICMP игнорируются | Пройдено | |
| 3.3.7 | Проверка, что включена фильтрация обратного пути | Пройдено | |
| 3.3.8 | Проверка, что файлы cookie для TCP SYN включены | Пройдено | |
| 3.3.9 | Убедитесь, что объявления маршрутизатора IPv6 не принимаются | Пройдено | |
| 3.4.3.1.1 | Убедитесь, что установлен пакет iptables | Пройдено | |
| 3.4.3.1.2 | Убедитесь, что nftables не установлены с iptables | Пройдено | |
| 3.4.3.1.3 | Убедитесь, что брандмауэр не установлен или маскирован с iptables | Пройдено | |
| 4.2 | Проверка, что logrotate настроен | Пройдено | |
| 4.2.2 | Убедитесь, что все файлы журнала настроены соответствующим образом. | Пройдено | |
| 4.2.1.1 | Проверка, что rsyslog установлен | Пройдено | |
| 4.2.1.2 | Убедитесь, что служба rsyslog включена | Пройдено | |
| 4.2.1.3 | Убедитесь, что разрешения файла по умолчанию rsyslog настроены | Пройдено | |
| 4.2.1.4 | Проверка настройки ведения журнала | Пройдено | |
| 4.2.1.5 | Убедитесь, что rsyslog не настроен для получения журналов от удаленного клиента. | Пройдено | |
| 5.1.1 | Убедитесь, что управляющая программа cron включена | Пройдено | |
| 5.1.2 | Проверка настройки разрешений для /etc/crontab | Пройдено | |
| 5.1.3 | Проверка, что для /etc/cron.hourly настроены разрешения | Пройдено | |
| 5.1.4 | Проверка, что для /etc/cron.daily настроены разрешения | Пройдено | |
| 5.1.5 | Проверка, что для /etc/cron.weekly настроены разрешения | Пройдено | |
| 5.1.6 | Проверка, что для /etc/cron.monthly настроены разрешения | Пройдено | |
| 5.1.7 | Проверка, что для /etc/cron.d настроены разрешения | Пройдено | |
| 5.1.8 | Проверка, что доступ к cron есть только у полномочных пользователей | Пройдено | |
| 5.1.9 | Проверка, что доступ к at есть только у полномочных пользователей | Пройдено | |
| 5.2.1 | Проверка, что в настроены разрешения для /etc/ssh/sshd_config | Пройдено | |
| 5.2.2 | Проверка, что для файлов ключей открытого узла SSH настроены разрешения | Пройдено | |
| 5.2.3 | Проверка, что для файлов ключей открытого узла SSH настроены разрешения | Пройдено | |
| 5.2.4 | Обеспечение ограниченного доступа по протоколу SSH | Пройдено | |
| 5.2.5 | Проверка, что SSH LogLevel подходит | Пройдено | |
| 5.2.6 | MAC, что SSH PAM включен | Пройдено | |
| 5.2.7 | Проверка отключения корневого имени входа SSH | Пройдено | |
| 5.2.8 | Проверка отключения SSH HostbasedAuthentication | Пройдено | |
| 5.2.9 | Проверка отключения SSH PermitEmptyPasswords | Пройдено | |
| 5.2.10 | Проверка отключения PermitUserEnvironment SSH | Пройдено | |
| 5.2.11 | Проверка, что SSH IgnoreRhosts включен | Пройдено | |
| 5.2.12 | Проверка, что используются только надежные шифры | Пройдено | |
| 5.2.13 | Проверка, что используются только надежные алгоритмы MAC | Пройдено | |
| 5.2.14 | Проверка, что используются только надежные алгоритмы обмена ключами | Пройдено | |
| 5.2.15 | Проверка настройки предупреждающего баннера SSH | Пройдено | |
| 5.2.16 | Проверка, что для MaxAuthTries SSH задано значение 4 или меньше | Пройдено | |
| 5.2.17 | Проверка, что SSH MaxStartups настроен | Пройдено | |
| 5.2.18 | Проверка, что для LoginGraceTime SSH задано значение одна минута или меньше | Пройдено | |
| 5.2.19 | Убедитесь, что для SSH MaxSessions задано значение 10 или меньше | Пройдено | |
| 5.2.20 | Проверка настройки интервала тайм-аута простоя SSH | Пройдено | |
| 5.3.1 | Проверка, что sudo установлен | Пройдено | |
| 5.3.2 | Убедитесь, что повторная проверка подлинности для эскалации привилегий не отключена глобально | Пройдено | |
| 5.3.3 | Убедитесь, что время ожидания проверки подлинности sudo настроено правильно | Пройдено | |
| 5.4.1 | Проверка настройки требований для создания пароля | Пройдено | |
| 5.4.2 | Проверка, что настроена блокировка для неудачных попыток ввода пароля | Пройдено | |
| 5.4.3 | Убедитесь, что используется алгоритм хэширования паролей SHA-512. | Пройдено | |
| 5.4.4 | Проверка, что повторное использование пароля ограничено | Пройдено | |
| 5.5.2 | Проверка, что системные учетные записи защищены | Пройдено | |
| 5.5.3 | Убедитесь, что для учетной записи root указана группа по умолчанию с идентификатором GID 0. | Пройдено | |
| 5.5.4 | Проверка, что umask пользователя по умолчанию — 027 или еще строже | Пройдено | |
| 5.5.1.1 | Проверка, что срок действия пароля не превышает 365 дней | Пройдено | |
| 5.5.1.2 | Убедитесь, что настроены минимальные дни между изменениями паролей | Пройдено | |
| 5.5.1.3 | Убедитесь, что срок действия пароля не превышает 7 или более дней. | Пройдено | |
| 5.5.1.4 | Проверка, что неактивная блокировка пароля не более 30 дней | Пройдено | |
| 5.5.1.5 | Убедитесь, что для всех пользователей дата последнего изменения находится в прошлом. | Пройдено | |
| 6.1.1 | Проверка, что для /etc/passwd- настроены разрешения | Пройдено | |
| 6.1.2 | Проверка, что для /etc/passwd- настроены разрешения | Пройдено | |
| 6.1.3 | Проверка, что для /etc/group настроены разрешения | Пройдено | |
| 6.1.4 | Проверка, что для /etc/group- настроены разрешения | Пройдено | |
| 6.1.5 | Проверка, что для /etc/shadow настроены разрешения | Пройдено | |
| 6.1.6 | Проверка, что для /etc/shadow- настроены разрешения | Пройдено | |
| 6.1.7 | Проверка, что для /etc/gshadow настроены разрешения | Пройдено | |
| 6.1.8 | Проверка, что для /etc/gshadow- настроены разрешения | Пройдено | |
| 6.1.9 | Убедитесь, что нет неуправляемых или негруппированных файлов или каталогов | Пройдено | |
| 6.1.10 | Обеспечение защиты файлов и каталогов, доступных для записи | Пройдено | |
| 6.2.1 | Убедитесь, что поля паролей не пусты | Пройдено | |
| 6.2.2 | Убедитесь, что все включенные в файл /etc/passwd группы существуют в файле /etc/group. | Пройдено | |
| 6.2.3 | Убедитесь, что отсутствуют повторяющиеся идентификаторы UID. | Пройдено | |
| 6.2.4 | Убедитесь, что отсутствуют повторяющиеся идентификаторы GID. | Пройдено | |
| 6.2.5 | Убедитесь, что имена пользователей не дублируются. | Пройдено | |
| 6.2.6 | Проверка, что имена групп не дублируются | Пройдено | |
| 6.2.7 | Обеспечение целостности корневого пути | Пройдено | |
| 6.2.8 | Убедитесь, что root является единственной учетной записью с идентификатором UID 0. | Пройдено | |
| 6.2.9 | Убедитесь, что у всех пользователей есть домашние каталоги. | Пройдено | |
| 6.2.10 | Убедитесь, что пользователи имеют собственные каталоги для дома | Пройдено | |
| 6.2.11 | Проверка, что разрешения домашних каталогов пользователей имеют ограничение 750 или более строгое ограничение | Пройдено | |
| 6.2.12 | Убедитесь, что файлы точек пользователей не являются группами или мировыми записываемыми | Пройдено | |
| 6.2.13 | Убедитесь, что файлы .netrc пользователей не являются группами или миром доступными | Пройдено | |
| 6.2.14 | Убедитесь, что у пользователей нет файлов FORWARD. | Пройдено | |
| 6.2.15 | Убедитесь, что у пользователей нет файлов NETRC. | Пройдено | |
| 6.2.16 | Убедитесь, что у пользователей нет файлов RHOSTS. | Пройдено |
Следующие шаги
Дополнительные сведения о безопасности узла контейнеров Linux в Azure см. в следующих статьях:
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Azure Kubernetes Service