Säkerhetshärdning för värdoperativsystem för AKS-agentnod
Som en säker tjänst uppfyller Azure Kubernetes Service (AKS) standarder för SOC, ISO, PCI DSS och HIPAA. Den här artikeln beskriver den säkerhetshärdning som tillämpas på värdar för virtuella AKS-datorer. Mer information om AKS-säkerhet finns i Säkerhetsbegrepp för program och kluster i Azure Kubernetes Service (AKS).
Anteckning
Det här dokumentet är endast omfånget för Linux-agenter i AKS.
AKS-kluster distribueras på virtuella värddator datorer, som kör ett säkerhetsoptimerat operativsystem som används för containrar som körs på AKS. Värdoperativsystemet baseras på en Ubuntu 18.04.5 LTS-avbildning med mer säkerhetshärdning och optimering.
Målet med det härdade värdoperativsystemet är att minska angreppsytan och optimera för distribution av containrar på ett säkert sätt.
Viktigt
Det härdade operativsystemet för säkerhet är inte CIS-prestandatestat. Även om det överlappar CIS-benchmarks är målet inte att vara CIS-kompatibelt. Målet för härdning av värdoperativsystem är att konvergera på en säkerhetsnivå som är konsekvent med Microsofts egna interna säkerhetsstandarder för värdar.
Säkerhetshärdningsfunktioner
AKS tillhandahåller ett säkerhetsoptimerat värdoperativsystem som standard, men inget alternativ för att välja ett alternativt operativsystem.
Azure tillämpar dagliga korrigeringar (inklusive säkerhetskorrigeringar) på virtuella AKS-datorvärdar.
- Vissa av de här korrigeringarna kräver en omstart, medan andra inte gör det.
- Du ansvarar för att schemalägga omstarter av AKS VM-värd efter behov.
- Anvisningar för hur du automatiserar AKS-korrigeringar finns i Korrigera AKS-noder.
Vad har konfigurerats
| CIS | Granskningsbeskrivning |
|---|---|
| 1.1.1.1 | Se till att montering av cramfs-filsystem är inaktiverat |
| 1.1.1.2 | Se till att montering av freevxfs-filsystem är inaktiverat |
| 1.1.1.3 | Kontrollera att montering av jffs2-filsystem är inaktiverat |
| 1.1.1.4 | Se till att monteringen av FILSYSTEM ÄR inaktiverad |
| 1.1.1.5 | Se till att monteringen avERINGS Plus-filsystem är inaktiverad |
| 1.4.3 | Kontrollera att autentisering krävs för enanvändarläge |
| 1.7.1.2 | Se till att varningsmeddelandet för lokal inloggning är korrekt konfigurerat |
| 1.7.1.3 | Kontrollera att varningsmeddelandet för fjärrinloggning är korrekt konfigurerat |
| 1.7.1.5 | Se till att behörigheter för /etc/issue har konfigurerats |
| 1.7.1.6 | Kontrollera att behörigheter för /etc/issue.net har konfigurerats |
| 2.1.5 | Kontrollera att --streaming-connection-indle-timeout inte har angetts till 0 |
| 3.1.2 | Se till att sändning av omdirigering av paket är inaktiverat |
| 3.2.1 | Se till att källvägende paket inte godkänns |
| 3.2.2 | Kontrollera att ICMP-omdirigeringar inte godkänns |
| 3.2.3 | Se till att säkra ICMP-omdirigeringar inte godkänns |
| 3.2.4 | Se till att misstänkta paket loggas |
| 3.3.1 | Kontrollera att IPv6-routerannonseringar inte godkänns |
| 3.5.1 | Kontrollera att D HAR INAKTIVERATS |
| 3.5.2 | Se till att SCTP är inaktiverat |
| 3.5.3 | Se till att fjärrskrivbordstjänster är inaktiverade |
| 3.5.4 | Se till att TIPC är inaktiverat |
| 4.2.1.2 | Kontrollera att loggning har konfigurerats |
| 5.1.2 | Kontrollera att behörigheter för /etc/crontab har konfigurerats |
| 5.2.4 | Kontrollera att SSH X11-vidarebefordran är inaktiverad |
| 5.2.5 | Kontrollera att SSH MaxAuthTries är inställt på 4 eller mindre |
| 5.2.8 | Se till att SSH-rotinloggningen är inaktiverad |
| 5.2.10 | Kontrollera att SSH PermitUserEnvironment är inaktiverat |
| 5.2.11 | Se till att endast godkända MAX-algoritmer används |
| 5.2.12 | Kontrollera att tidsgränsintervallet för inaktivitet i SSH har konfigurerats |
| 5.2.13 | Kontrollera att SSH LoginGraceTime är inställt på en minut eller mindre |
| 5.2.15 | Kontrollera att SSH-varningsbanderollen är konfigurerad |
| 5.3.1 | Se till att kraven för att skapa lösenord är konfigurerade |
| 5.4.1.1 | Kontrollera att lösenordets giltighetstid är 90 dagar eller mindre |
| 5.4.1.4 | Kontrollera att det inaktiva lösenordslåset är 30 dagar eller mindre |
| 5.4.4 | Se till att UMASK-standardanvändaren är 027 eller mer restriktiv |
| 5,6 | Se till att åtkomsten till su-kommandot är begränsad |
Ytterligare information
För att ytterligare minska attackytan har vissa onödiga kernelmoduldrivrutiner inaktiverats i operativsystemet.
Det härdade operativsystemet för säkerhet har skapats och underhålls specifikt för AKS och stöds inte utanför AKS-plattformen.
Nästa steg
Mer information om AKS-säkerhet finns i följande artiklar: