Compartir a través de


Punto de referencia de Centro para la seguridad de Internet (CIS) para Azure Linux

La configuración del sistema operativo de seguridad aplicada a Azure Linux Container Host para AKS se basa en la línea de base de seguridad de Linux de Azure, que se alinea con la prueba comparativa de CIS. Como servicio seguro, AKS es compatible con los estándares SOC, ISO, PCI DSS e HIPAA. Para más información sobre la seguridad de Azure Linux Container Host, consulte Conceptos de seguridad para clústeres en AKS. Para obtener más información sobre el punto de referencia de CIS, vea Puntos de referencia de Center for Internet Security (CIS). Para más información sobre las líneas base de seguridad de Azure para Linux, consulte Línea de base de seguridad de Linux.

Azure Linux 2.0

El sistema operativo Azure Linux Container Host se basa en la imagen de Azure Linux 2.0 con configuraciones de seguridad integradas aplicadas.

Como parte del sistema operativo optimizado para seguridad:

  • AKS y Azure Linux proporcionan un sistema operativo de host optimizado para seguridad de manera predeterminada sin opción para seleccionar un sistema operativo alternativo.
  • El sistema operativo del host con seguridad optimizada se crea y se mantiene específicamente para AKS y no se admite fuera de la plataforma AKS.
  • Para reducir el área expuesta a ataques, se han deshabilitado en el sistema operativo algunos controladores de módulos de kernel que no eran necesarios.

Recomendaciones

La tabla siguiente tiene cuatro secciones:

  • Identificador de CIS: identificador de regla asociado con cada una de las reglas de línea base.
  • Descripción de la recomendación: descripción de la recomendación emitida por el banco de pruebas CIS.
  • Nivel: L1, o Nivel 1, recomienda requisitos de seguridad básicos esenciales que se pueden configurar en cualquier sistema y que deberían minimizar o eliminar cualquier interrupción del servicio o de las funciones.
  • Estado:
    • Sin errores: se ha aplicado la recomendación.
    • Con errores: la recomendación no se ha aplicado.
    • N/D: La recomendación está relacionada con los requisitos de permisos del archivo de manifiesto que no son pertinentes para AKS.
    • Depende del entorno: la recomendación se aplica en el entorno específico del usuario y AKS no la controla.
    • Control equivalente: la recomendación se ha implementado de forma distinta pero equivalente.
  • Motivo:
    • Posible impacto en la operación: no se aplicó la recomendación porque tendría un efecto negativo en el servicio.
    • Cubierta en otro lugar: la recomendación está cubierta por otro control en el proceso en la nube de Azure.

A continuación se muestran los resultados de las recomendaciones de CIS Azure Linux 2.0 Benchmark v1.0 basadas en las reglas de CIS:

Id. de CIS Descripción de la recomendación Status Motivo
1.1.4 Deshabilitar el montaje automático Aprobado
1.1.1.1 Asegurarse de que el montaje de sistemas de archivos cramfs está deshabilitado Aprobado
1.1.2.1 Asegurarse de que /tmp es una partición independiente Aprobado
1.1.2.2 Asegurarse de que la opción nodev está establecida en la partición /tmp Aprobado
1.1.2.3 Asegurarse de que la opción nosuid está establecida en la partición /tmp Aprobado
1.1.8.1 Asegurarse de que la opción nodev está establecida en la partición /dev/shm Aprobado
1.1.8.2 Asegurarse de que la opción nosuid está establecida en la partición /dev/shm Aprobado
1.2.1 Asegurarse de que la comprobación gpgcheck de DNF está activada globalmente Aprobado
1.2.2 Asegurarse de que la comprobación gpgcheck de TDNF está activada globalmente Aprobado
1.5.1 Asegurarse de que el almacenamiento de volcado de memoria principal está deshabilitado Aprobado
1.5.2 Asegurarse de que los retrocesos del volcado de memoria principal están deshabilitados Aprobado
1.5.3 Asegurarse de que la selección aleatoria del diseño del espacio de direcciones (ASLR) está habilitada Aprobado
1.7.1 Asegurarse de que el banner de advertencia de inicio de sesión local está configurado correctamente Aprobado
1.7.2 Asegurarse de que el banner de advertencia de inicio de sesión remoto está configurado correctamente Aprobado
1.7.3 Asegurarse de que los permisos en /etc/motd están configurados Aprobado
1.7.4 Asegurarse de que están configurados los permisos en/etc/issue Aprobado
1.7.5 Asegurarse de que están configurados los permisos en/etc/issue.net Aprobado
2.1.1 Asegurarse de que la sincronización de hora está en uso Aprobado
2.1.2 Asegurarse de que chrony está configurado Aprobado
2.2.1 Asegúrese de que xinetd no está instalado Correcto
2.2.2 Asegúrese de que xorg-x11-server-common no está instalado Correcto
2.2.3 Asegúrese de que avahi no está instalado Correcto
2.2.4 Asegúrese de que un servidor de impresión no está instalado Correcto
2.2.5 Asegúrese de que un servidor dhcp no está instalado Correcto
2.2.6 Asegúrese de que un servidor DNS no está instalado Correcto
2.2.7 Asegúrese de que el cliente FTP no está instalado Correcto
2.2.8 Asegúrese de que un servidor ftp no está instalado Correcto
2.2.9 Asegúrese de que un servidor tftp no está instalado Correcto
2.2.10 Asegúrese de que un servidor web no está instalado Correcto
2.2.11 Asegúrese de que el servidor IMAP y POP3 no están instalados Correcto
2.2.12 Asegúrese de que Samba no esté instalado Correcto
2.2.13 Asegúrese de que el servidor proxy HTTP no esté instalado Correcto
2.2.14 Asegúrese de que net-snmp no está instalado o que el servicio snmpd no está habilitado Correcto
2.2.15 Asegúrese de que el servidor NIS no está instalado Correcto
2.2.16 Asegúrese de que telnet-server no está instalado Correcto
2.2.17 Asegurarse de que el agente de transferencia de correo está configurado para el modo solo local Aprobado
2.2.18 Asegúrese de que nfs-utils no está instalado o que el servicio nfs-server está enmascarado Correcto
2.2.19 Asegúrese de que rsync-daemon no está instalado o que el servicio rsyncd está enmascarado Correcto
2.3.1 Asegúrese de que el cliente NIS no esté instalado Correcto
2.3.2 Asegúrese de que el cliente rsh no esté instalado Correcto
2.3.3 Asegúrese de que el cliente talk no esté instalado Correcto
2.3.4 Asegúrese de que el cliente telnet no esté instalado Correcto
2.3.5 Asegúrese de que el cliente LDAP no esté instalado Correcto
2.3.6 Asegúrese de que el cliente TFTP no está instalado Correcto
3.1.1 Asegurarse de que IPv6 está habilitado Aprobado
3.2.1 Asegurarse de que el envío de redireccionamiento de paquetes está deshabilitado Aprobado
3.3.1 Asegúrese de que no se acepten paquetes enrutados de origen Aprobado
3.3.2 Asegúrese de que no se acepten los redireccionamientos de ICMP Aprobado
3.3.3 Asegúrese de que no se acepten los redireccionamientos de ICMP seguros Aprobado
3.3.4 Asegurarse de que se registran los paquetes sospechosos Aprobado
3.3.5 Asegurarse de que se omiten las solicitudes ICMP de difusión Aprobado
3.3.6 Asegurarse de que se omiten las respuestas ICMP ficticias Aprobado
3.3.7 Asegurarse de que el filtrado de Invertir trazado está habilitado Aprobado
3.3.8 Asegurarse de que las cookies SYN de TCP están habilitadas Aprobado
3.3.9 Asegúrese de que no se acepten anuncios de enrutadores IPv6 Correcto
3.4.3.1.1 Asegurarse de que el paquete iptables está instalado Aprobado
3.4.3.1.2 Asegúrese de que nftables no está instalado con iptables Correcto
3.4.3.1.3 Asegurarse de que firewalld no está instalado o de que está enmascarado con iptables Aprobado
4,2 Asegurarse de que logrotate está configurado Aprobado
4.2.2 Asegúrese de que todos los archivos de registro tienen el acceso adecuado configurado Correcto
4.2.1.1 Asegurarse de que rsyslog está instalado Aprobado
4.2.1.2 Asegurarse de que el servicio rsyslog está habilitado Aprobado
4.2.1.3 Asegurarse de que los permisos de archivo predeterminados de rsyslog están configurados Aprobado
4.2.1.4 Asegurarse de que el registro está configurado Aprobado
4.2.1.5 Asegúrese de que rsyslog no está configurado para recibir registros de un cliente remoto Correcto
5.1.1 Asegurarse de que el demonio cron está habilitado Aprobado
5.1.2 Asegurarse de que están configurados los permisos en/etc/crontab Aprobado
5.1.3 Asegurarse de que los permisos en /etc/cron.hourly están configurados Aprobado
5.1.4 Asegurarse de que los permisos en /etc/cron.daily están configurados Aprobado
5.1.5 Asegurarse de que los permisos en /etc/cron.weekly están configurados Aprobado
5.1.6 Asegurarse de que los permisos en /etc/cron.monthly están configurados Aprobado
5.1.7 Asegurarse de que los permisos en /etc/cron.d están configurados Aprobado
5.1.8 Asegurarse de cron está restringido a los usuarios autorizados Aprobado
5.1.9 Asegurarse de que at está restringido a los usuarios autorizados Aprobado
5.2.1 Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config Aprobado
5.2.2 Asegurarse de que los permisos en los archivos de clave privada de host SSH están configurados Aprobado
5.2.3 Asegurarse de que los permisos en los archivos de clave pública de host SSH están configurados Aprobado
5.2.4 Asegúrese de que el acceso SSH esté limitado. Aprobado
5.2.5 Asegurarse de que LogLevel de SSH es apropiado Aprobado
5.2.6 Asegurarse de que PAM de SSH está habilitado Aprobado
5.2.7 Asegurarse de que el inicio de sesión de la raíz de SSH está deshabilitado Aprobado
5.2.8 Asegurarse de que HostbasedAuthentication de SSH está deshabilitado Aprobado
5.2.9 Asegurarse de que PermitEmptyPasswords de SSH está deshabilitado Aprobado
5.2.10 Asegúrese de que SSH PermitUserEnvironment está deshabilitado Aprobado
5.2.11 Asegurarse de que IgnoreRhosts de SSH está habilitado Aprobado
5.2.12 Asegurarse de que solo se usan cifrados seguros Aprobado
5.2.13 Asegurarse de que solo se usen algoritmos MAC seguros Aprobado
5.2.14 Asegurarse de que solo se usan algoritmos de intercambio de claves seguros Aprobado
5.2.15 Asegurarse de que está configurado el banner de advertencia de SSH Aprobado
5.2.16 Asegúrese de que el valor de SSH MaxAuthTries es 4, o menos Aprobado
5.2.17 Asegurarse de que SSH MaxStartups está configurado Aprobado
5.2.18 Asegúrese de que el valor de LoginGraceTime de SSH es un minuto, o menos Aprobado
5.2.19 Asegurarse de que el valor de SSH MaxSessions sea 10 o menos Aprobado
5.2.20 Asegúrese de que está configurado el intervalo de tiempo de espera de inactividad de SSH Aprobado
5.3.1 Asegurarse de que sudo está instalado Aprobado
5.3.2 Asegúrese de que la reautenticación de la escalación de privilegios no está deshabilitada globalmente Correcto
5.3.3 Asegurarse de que el tiempo de espera de autenticación de sudo está configurado correctamente Aprobado
5.4.1 Asegurarse de que están configurados los requisitos para la creación de contraseñas Aprobado
5.4.2 Asegurarse de que se ha configurado el bloqueo de intentos de contraseña erróneos Aprobado
5.4.3 Asegurarse de que el algoritmo de hash de contraseña es SHA-512. Aprobado
5.4.4 Asegurarse de que la reutilización de la contraseña está limitada Aprobado
5.5.2 Asegurarse de que las cuentas del sistema están protegidas Aprobado
5.5.3 Asegurarse de que el grupo predeterminado de la cuenta raíz es GID 0. Aprobado
5.5.4 Asegurarse de que el umask de usuario predeterminado es 027, o incluso más restrictivo Aprobado
5.5.1.1 Asegurarse de que la contraseña expira en un plazo máximo de 365 días Aprobado
5.5.1.2 Asegúrese de que se configuran los días mínimos entre los cambios de contraseña Correcto
5.5.1.3 Asegúrese de que los días de advertencia de expiración de contraseñas son 7 o más Correcto
5.5.1.4 Asegurarse de que el plazo máximo del bloqueo de contraseñas inactivas es 30 días Aprobado
5.5.1.5 Asegurarse de que todos los usuarios tienen la última fecha de cambio de contraseña en el pasado. Aprobado
6.1.1 Asegurarse de que los permisos de /etc/passwd están configurados Aprobado
6.1.2 Asegurarse de que los permisos de /etc/passwd- están configurados Aprobado
6.1.3 Asegurarse de que los permisos de /etc/group están configurados Aprobado
6.1.4 Asegurarse de que los permisos de /etc/group- están configurados Aprobado
6.1.5 Asegurarse de que los permisos de /etc/shadow están configurados Aprobado
6.1.6 Asegurarse de que los permisos de /etc/shadow- están configurados Aprobado
6.1.7 Asegurarse de que los permisos de /etc/gshadow están configurados Aprobado
6.1.8 Asegurarse de que los permisos de /etc/gshadow- están configurados Aprobado
6.1.9 Asegurarse de que no existen archivos o directorios desagrupados o sin propietarios Aprobado
6.1.10 Asegurarse de que los archivos y directorios grabables por cualquiera están protegidos Aprobado
6.2.1 Asegúrese de que los campos de contraseña no estén vacíos Correcto
6.2.2 Asegurarse de que todos los grupos en /etc/passwd existen en /etc/group. Aprobado
6.2.3 Asegurarse de que no existen UID duplicados. Aprobado
6.2.4 Asegurarse de que no existe ningún GID duplicado. Aprobado
6.2.5 Asegurarse de que no existe ningún nombre de usuario duplicado. Aprobado
6.2.6 Asegurarse de que no existe ningún nombre de grupo duplicado Aprobado
6.2.7 Garantizar la integridad de la variable PATH raíz Aprobado
6.2.8 Asegurarse de que la raíz es la única cuenta de UID 0. Aprobado
6.2.9 Asegurarse de que existen todos los directorios principales de los usuarios. Aprobado
6.2.10 Asegurarse de que los usuarios son propietarios de sus directorios principales Aprobado
6.2.11 Asegurarse de que los permisos de los directorios principales de los usuarios sean 750 o más restrictivos Aprobado
6.2.12 Asegúrese de que los archivos que comiencen por punto de los usuarios no sean de grupo ni de escritura internacional Correcto
6.2.13 Asegúrese de que los archivos .netrc de los usuarios no son accesibles por grupos o mundo Correcto
6.2.14 Asegurarse de que ningún usuario tiene archivos .forward. Aprobado
6.2.15 Asegurarse de que ningún usuario tiene archivos .netrc. Aprobado
6.2.16 Asegurarse de que ningún usuario tiene archivos .rhosts. Aprobado

Pasos siguientes

Para más información sobre la seguridad de Azure Linux Container Host, consulte los artículos siguientes: