Posílení zabezpečení pro hostitelský operační systém uzlu agenta AKS
Služba Azure Kubernetes Service (AKS) je jako Zabezpečená služba v souladu se standardy SOC, ISO, PCI DSS a HIPAA. Tento článek popisuje posílení zabezpečení použité pro hostitele virtuálních počítačů s AKS. Další informace o zabezpečení AKS najdete v tématu koncepty zabezpečení pro aplikace a clustery ve službě Azure Kubernetes Service (AKS).
Poznámka
Tento dokument je omezený na agenty Linux pouze v AKS.
Clustery AKS se nasazují v hostitelských počítačích, které spouštějí operační systém optimalizovaný pro zabezpečení, který se používá pro kontejnery běžící na AKS. Tento hostitelský operační systém vychází z image Ubuntu 18.04.5 LTS s dalšími možnostmi posílení zabezpečení a optimalizacemi.
Cílem hostitelského operačního systému s posíleným zabezpečením je snížit úroveň oblasti útoku a optimalizovat pro nasazení kontejnerů zabezpečeným způsobem.
Důležité
Nezabezpečený operační systém pro zabezpečení nezahrnuje CI srovnávací testy. I když se překrývá s srovnávacími testy modelu CI, cílem není nekompatibilní s SNS. Cílem posílení zabezpečení operačního systému hostitele je sblížení s úrovní zabezpečení v souladu s vlastními standardy zabezpečení interního hostitele Microsoftu.
Funkce posílení zabezpečení
AKS poskytuje ve výchozím nastavení hostitelský operační systém optimalizovaný pro zabezpečení, ale nemá možnost vybrat jiný operační systém.
Azure na AKS hostitelích virtuálních počítačů aplikuje každodenní opravy (včetně oprav zabezpečení).
- Některé z těchto oprav vyžadují restartování, jiné nikoli.
- Zodpovídáte za plánování restartování hostitele virtuálních počítačů AKS podle potřeby.
- Pokyny k automatizaci oprav AKS najdete v tématu věnovaném opravám AKS uzlů.
Co je nakonfigurované
| SLUŽBY | Popis auditu |
|---|---|
| 1.1.1.1 | Zajistěte, aby připojení systémů souborů CramFS bylo zakázané. |
| 1.1.1.2 | Zajistěte, aby připojení systémů souborů freevxfs bylo zakázané. |
| 1.1.1.3 | Zajistěte, aby připojení systémů souborů JFFS2 bylo zakázané. |
| 1.1.1.4 | Zajistěte, aby připojení systémů souborů HFS bylo zakázané. |
| 1.1.1.5 | Zajistěte, aby připojení systémů souborů HFS Plus bylo zakázané. |
| 1.4.3 | Ujistěte se, že je vyžadováno ověřování pro režim jednoho uživatele. |
| 1.7.1.2 | Ujistěte se, že je správně nakonfigurované upozornění na místní přihlášení. |
| 1.7.1.3 | Ujistěte se, že je správně nakonfigurované upozornění na vzdálené přihlášení. |
| 1.7.1.5 | Zajistěte, aby byla nakonfigurovaná oprávnění pro/etc/issue. |
| 1.7.1.6 | Zajistěte, aby byla nakonfigurovaná oprávnění pro/etc/issue.NET. |
| 2.1.5 | Ujistěte se, že--streaming-připojení-nečinné – časový limit není nastavený na 0. |
| 3.1.2 | Zajistěte, aby odesílání přesměrování paketů bylo zakázané. |
| 3.2.1 | Zajistěte, aby se nepřijaly zdrojové směrované balíčky. |
| 3.2.2 | Ujistěte se, že přesměrování protokolu ICMP nejsou přijata. |
| 3.2.3 | Ujistěte se, že zabezpečené přesměrování protokolu ICMP nejsou přijímány. |
| 3.2.4 | Zajistěte, aby byly zaznamenány podezřelé pakety. |
| 3.3.1 | Zajistěte, aby inzerování směrovače IPv6 nebyla přijata. |
| 3.5.1 | Ujistěte se, že je DCCP zakázané. |
| bodu | Ujistěte se, že je SCTP zakázané. |
| 3.5.3 | Ujistěte se, že je služba RDS zakázaná. |
| 3.5.4 | Ujistěte se, že je TIPC zakázané. |
| 4.2.1.2 | Ujistěte se, že je protokolování nakonfigurované. |
| 5.1.2 | Zajistěte, aby byla nakonfigurovaná oprávnění pro/etc/crontab. |
| 5.2.4 | Zajistěte, aby bylo předávání X11 SSH zakázané. |
| 5.2.5 | Ujistěte se, že je MaxAuthTries SSH nastavený na 4 nebo míň. |
| 5.2.8 | Zajistěte, aby bylo zablokované přihlašovací jméno SSH |
| 5.2.10 | Zajistěte, aby PermitUserEnvironment SSH bylo zakázané. |
| 5.2.11 | Zajistěte, aby se používaly jenom schválené maximální algoritmy. |
| 5.2.12 | Zajistěte, aby byl nakonfigurovaný časový limit nečinnosti SSH. |
| 5.2.13 | Ujistěte se, že je LoginGraceTime SSH nastavený na jednu minutu nebo míň. |
| 5.2.15 | Zajistěte, aby byl nakonfigurovaný výstražný banner SSH. |
| 5.3.1 | Ujistěte se, že jsou nakonfigurované požadavky na vytváření hesel. |
| 5.4.1.1 | Zajistěte, aby vypršení platnosti hesla bylo 90 dní nebo méně. |
| 5.4.1.4 | Zajistěte, aby byl neaktivní zámek hesla nastaven na 30 dní nebo méně. |
| 5.4.4 | Zajistěte, aby výchozí uživatel umask byl 027 nebo více omezující. |
| 5.6 | Zajistěte, aby byl omezený přístup k příkazu su |
Další poznámky
Aby bylo možné dále omezit prostor pro útoky, byly některé zbytečné ovladače modulu jádra v operačním systému zakázané.
SYSTÉM s posíleným zabezpečením se sestavuje a udržuje konkrétně pro AKS a není podporovaný mimo platformu AKS.
Další kroky
Další informace o zabezpečení AKS najdete v následujících článcích: