Beveiligingsbeveiliging voor het hostbesturingssysteem van het AKS-agent-knooppunt
Als beveiligde service voldoet Azure Kubernetes Service (AKS) aan de SOC-, ISO-, PCI DSS- en HIPAA-standaarden. In dit artikel wordt de beveiligingsbeveiliging beschreven die wordt toegepast op VM-hosts (virtuele AKS-machines). Zie Beveiligingsconcepten voor toepassingen en clusters in Azure Kubernetes Service (AKS) voor meer informatie over AKS-beveiliging.
Notitie
Dit document is alleen van toepassing op Linux-agents in AKS.
AKS-clusters worden geïmplementeerd op host-VM's waarop een voor beveiliging geoptimaliseerd besturingssysteem wordt uitgevoerd dat wordt gebruikt voor containers die worden uitgevoerd op AKS. Dit hostbesturingssysteem is gebaseerd op een Ubuntu 18.04.5 LTS-installatie afbeelding met meer beveiliging en optimalisaties toegepast.
Het doel van het beveiligde hostbesturingssysteem is om de kans op aanvallen surface area verminderen en de implementatie van containers op een veilige manier te optimaliseren.
Belangrijk
Het besturingssysteem met beveiliging wordt niet als CIS-benchmark gebruikt. Hoewel deze overlapt met CIS-benchmarks, is het doel niet om CIS-compatibel te zijn. Het doel voor beveiliging van hostbesturingssystemen is om te convergeren op een beveiligingsniveau dat consistent is met de beveiligingsstandaarden van de eigen interne host van Microsoft.
Beveiligingsbeveiligingsfuncties
AKS biedt standaard een hostbesturingssysteem dat is geoptimaliseerd voor beveiliging, maar er is geen optie om een alternatief besturingssysteem te selecteren.
Azure past dagelijkse patches (inclusief beveiligingspatches) toe op hosts van virtuele AKS-machines.
- Sommige van deze patches moeten opnieuw worden opgestart, andere niet.
- U bent verantwoordelijk voor het plannen van het opnieuw opstarten van de AKS-VM-host wanneer dat nodig is.
- Zie Patching AKS nodes (AKS-knooppunten patchen) voor hulp bij het automatiseren van AKS-patches.
Wat is geconfigureerd
| GOS | Beschrijving van controle |
|---|---|
| 1.1.1.1 | Controleren of het monteren van cramfs-bestandssystemen is uitgeschakeld |
| 1.1.1.2 | Controleren of het toevoegen van freevxfs-bestandssystemen is uitgeschakeld |
| 1.1.1.3 | Controleren of het toevoegen van jffs2-bestandssystemen is uitgeschakeld |
| 1.1.1.4 | Controleren of het maken van een HFS-bestandssysteem is uitgeschakeld |
| 1.1.1.5 | Controleren of het monteren van HFS Plus-bestandssystemen is uitgeschakeld |
| 1.4.3 | Verificatie vereisen voor de modus voor één gebruiker |
| 1.7.1.2 | Zorg ervoor dat de banner met lokale aanmeldingswaarschuwingen juist is geconfigureerd |
| 1.7.1.3 | Zorg ervoor dat de waarschuwingsbanner voor externe aanmelding juist is geconfigureerd |
| 1.7.1.5 | Zorg ervoor dat de machtigingen voor /etc/issue zijn geconfigureerd |
| 1.7.1.6 | Zorg ervoor dat de machtigingen voor /etc/issue.net zijn geconfigureerd |
| 2.1.5 | Zorg ervoor dat --streaming-connection-idle-timeout niet is ingesteld op 0 |
| 3.1.2 | Controleren of verzenden van pakketomleiding is uitgeschakeld |
| 3.2.1 | Zorg ervoor dat bron-gerouteerd pakketten niet worden geaccepteerd |
| 3.2.2 | Controleren of ICMP-omleidingen niet worden geaccepteerd |
| 3.2.3 | Ervoor zorgen dat beveiligde ICMP-omleidingen niet worden geaccepteerd |
| 3.2.4 | Controleren of verdachte pakketten worden geregistreerd |
| 3.3.1 | Controleren of IPv6-router-aankondigingen niet worden geaccepteerd |
| 3.5.1 | Controleren of DCCP is uitgeschakeld |
| 3.5.2 | Zorg ervoor dat SCTP is uitgeschakeld |
| 3.5.3 | Controleren of RDS is uitgeschakeld |
| 3.5.4 | Controleren of TIPC is uitgeschakeld |
| 4.2.1.2 | Zorg ervoor dat logboekregistratie is geconfigureerd |
| 5.1.2 | Zorg ervoor dat de machtigingen voor /etc/crontab zijn geconfigureerd |
| 5.2.4 | Controleren of doorsturen via SSH X11 is uitgeschakeld |
| 5.2.5 | Zorg ervoor dat SSH MaxAuthTries is ingesteld op 4 of minder |
| 5.2.8 | Zorg ervoor dat SSH-hoofdaanmelding is uitgeschakeld |
| 5.2.10 | Zorg ervoor dat SSH PermitUserEnvironment is uitgeschakeld |
| 5.2.11 | Zorg ervoor dat alleen goedgekeurde MAX-algoritmen worden gebruikt |
| 5.2.12 | Zorg ervoor dat time-outinterval voor inactieve SSH is geconfigureerd |
| 5.2.13 | Zorg ervoor dat SSH LoginGraceTime is ingesteld op één minuut of minder |
| 5.2.15 | Controleren of de SSH-waarschuwingsbanner is geconfigureerd |
| 5.3.1 | Zorg ervoor dat de vereisten voor het maken van wachtwoorden zijn geconfigureerd |
| 5.4.1.1 | Zorg ervoor dat de wachtwoordverlooptijd 90 dagen of minder is |
| 5.4.1.4 | Zorg ervoor dat de inactieve wachtwoordvergrendeling 30 dagen of minder is |
| 5.4.4 | Zorg ervoor dat de standaardgebruikersmasker 027 of meer beperkend is |
| 5.6 | Zorg ervoor dat de toegang tot de opdracht su is beperkt |
Aanvullende opmerkingen
Om de kans op aanvallen surface area te verminderen, zijn sommige onnodige stuurprogramma's voor kernelmodules uitgeschakeld in het besturingssysteem.
Het besturingssysteem met beveiliging wordt speciaal gebouwd en onderhouden voor AKS en wordt niet ondersteund buiten het AKS-platform.
Volgende stappen
Zie de volgende artikelen voor meer informatie over AKS-beveiliging: