Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Este artigo e as recomendações abaixo se aplicam somente ao Azure Linux 2.0. Os status de configuração e as orientações refletem o CIS Azure Linux 2.0 Benchmark v1.0 e a imagem Azure Linux 2.0 Container Host usada pelo AKS. Eles podem não se aplicar a outras versões do Azure Linux, imagens personalizadas ou distribuições de terceiros.
Importante
A partir de 30 de novembro de 2025, o AKS (Serviço de Kubernetes do Azure) não dá mais suporte ou fornece atualizações de segurança para o Azure Linux 2.0. A imagem do nó do Azure no Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens de nó serão removidas e não será possível escalar os grupos de nós. Migre para uma versão do Azure Linux com suporte atualizando os pools de nós para uma versão do Kubernetes com suporte ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte [Desativação] Pools de nós do Azure Linux 2.0 no AKS.
A configuração de sistema operacional de segurança aplicada à imagem do Host de Contêiner Azure Linux 2.0 para AKS baseia-se na linha de base de segurança do Azure Linux, que se alinha ao benchmark CIS. Como um serviço seguro, o AKS está em conformidade com os padrões SOC, ISO, PCI DSS e HIPAA. Para obter mais informações sobre a segurança do Azure Linux Container Host, confira Conceitos de segurança para clusters no AKS. Para saber mais sobre o parâmetro de comparação do CIS, veja Parâmetros de comparação do CIS (Center for Internet Security). Para obter mais informações sobre as linhas de base de segurança do Azure para Linux, consulte Linha de base de segurança do Linux.
Visão geral do Azure Linux 2.0
Esse sistema operacional Host de Contêiner do Azure Linux 2.0 baseia-se na imagem do Azure Linux 2.0 com configurações de segurança internas aplicadas.
Como parte do sistema operacional com otimização de segurança:
- O AKS e o Azure Linux 2.0 fornecem um sistema operacional host com otimização de segurança por padrão, sem opção para selecionar um sistema operacional alternativo.
- O sistema operacional do host otimizado para segurança é criado e mantido especificamente para o AKS e não tem suporte fora da plataforma AKS.
- Os drivers de módulo de kernel desnecessários foram desabilitados no sistema operacional para reduzir a área de superfície de ataque.
Recomendações
A tabela abaixo tem quatro seções:
- ID do CIS: a ID da regra associada a cada uma das regras da linha de base.
- Descrição da recomendação: uma descrição da recomendação emitida pelo parâmetro de comparação do CIS.
- Nível: o L1, ou Nível 1, recomenda requisitos básicos de segurança essenciais que podem ser configurados em qualquer sistema e devem causar pouca ou nenhuma interrupção do serviço ou funcionalidade reduzida.
-
Status:
- Aprovado - a recomendação foi aplicada.
- Reprovada — A recomendação não foi aplicada.
- N/A – a recomendação está relacionada aos requisitos de permissão de arquivo de manifesto que não são relevantes para o AKS.
- Depende do ambiente — A recomendação é aplicada no ambiente específico do usuário e não é controlada pelo AKS.
- Controle equivalente — A recomendação foi implementada de uma maneira diferente e equivalente.
-
Motivo:
- Possível impacto da operação — A recomendação não foi aplicada porque iria afetar o serviço negativamente.
- Coberta em Outro Lugar - a recomendação é coberta por um outro controle na computação em nuvem do Azure.
Azure Linux 2.0 Testes de Desempenho
Veja a seguir os resultados das recomendações do CIS Azure Linux 2.0 Benchmark v1.0 com base nas regras do CIS:
| ID do CIS | Descrição da recomendação | Status | Motivo |
|---|---|---|---|
| 1.1.4 | Desabilitar a montagem automática | Aprovado | |
| 1.1.1.1 | Verifique se a montagem dos sistemas de arquivos cramfs está desabilitada | Aprovado | |
| 1.1.2.1 | Certifique-se de que /tmp seja uma partição separada | Aprovado | |
| 1.1.2.2 | Verifique se a opção nodev foi definida na partição /tmp | Aprovado | |
| 1.1.2.3 | Verifique se a opção nosuid foi definida na partição /tmp | Aprovado | |
| 1.1.8.1 | Verifique se a opção nodev foi definida na partição /dev/shm | Aprovado | |
| 1.1.8.2 | Verifique se a opção nosuid foi definida na partição /dev/shm | Aprovado | |
| 1.2.1 | Certifique-se de que o gpgcheck do DNF esteja ativado globalmente | Aprovado | |
| 1.2.2 | Certifique-se de que o gpgcheck do TDNF esteja ativado globalmente | Aprovado | |
| 1.5.1 | Certifique-se de que o armazenamento de despejo de núcleos esteja desabilitado | Aprovado | |
| 1.5.2 | Certifique-se de que os backtraces de despejo de núcleo estejam desabilitados | Aprovado | |
| 1.5.3 | Certifique-se de que a randomização do layout de espaço de endereço (ASLR) esteja habilitada | Aprovado | |
| 1.7.1 | Verifique se a faixa de aviso de logon local foi configurada corretamente | Aprovado | |
| 1.7.2 | Verifique se a faixa de aviso de logon remoto foi configurada corretamente | Aprovado | |
| 1.7.3 | Verifique se as permissões em /etc/motd foram configuradas | Aprovado | |
| 1.7.4 | Verifique se as permissões em /etc/issue foram configuradas | Aprovado | |
| 1.7.5 | Verifique se as permissões em /etc/issue.net foram configuradas | Aprovado | |
| 2.1.1 | Verifique se a sincronização de tempo está em uso | Aprovado | |
| 2.1.2 | Verifique se chrony está configurado | Aprovado | |
| 2.2.1 | Certifique-se de que o xinetd não esteja instalado | Aprovado | |
| 2.2.2 | Certifique-se de que o xorg-x11-server-common não esteja instalado | Aprovado | |
| 2.2.3 | Certifique-se de que o avahi não esteja instalado | Aprovado | |
| 2.2.4 | Certifique-se de que um servidor de impressão não esteja instalado | Aprovado | |
| 2.2.5 | Certifique-se de que o servidor dhcp não esteja instalado | Aprovado | |
| 2.2.6 | Certifique-se de que um servidor dns não esteja instalado | Aprovado | |
| 2.2.7 | Certifique-se de que o cliente FTP não esteja instalado | Aprovado | |
| 2.2.8 | Certifique-se de que um servidor ftp não esteja instalado | Aprovado | |
| 2.2.9 | Certifique-se de que um servidor tftp não esteja instalado | Aprovado | |
| 2.2.10 | Certifique-se de que um servidor web não esteja instalado | Aprovado | |
| 2.2.11 | Certifique-se de que os servidores IMAP e POP3 não estejam instalados | Aprovado | |
| 2.2.12 | Certifique-se de que o Samba não esteja instalado | Aprovado | |
| 2.2.13 | Certifique-se de que o servidor proxy HTTP não esteja instalado | Aprovado | |
| 2.2.14 | Certifique-se de que o net-snmp não esteja instalado ou de que o serviço snmpd não esteja habilitado | Aprovado | |
| 2.2.15 | Certifique-se de que o servidor NIS não esteja instalado | Aprovado | |
| 2.2.16 | Certifique-se de que o telnet-server não esteja instalado | Aprovado | |
| 2.2.17 | Verifique se o agente de transferência de email está configurado para o modo somente local | Aprovado | |
| 2.2.18 | Certifique-se de que o nfs-utils não esteja instalado ou de que o serviço nfs-server esteja mascarado | Aprovado | |
| 2.2.19 | Certifique-se de que o rsync-daemon não esteja instalado ou de que o serviço rsyncd esteja mascarado | Aprovado | |
| 2.3.1 | Certifique-se de que o cliente NIS não esteja instalado | Aprovado | |
| 2.3.2 | Certifique-se de que o cliente rsh não esteja instalado | Aprovado | |
| 2.3.3 | Certifique-se de que o cliente do Talk não esteja instalado. | Aprovado | |
| 2.3.4 | Certifique-se de que o cliente telnet não esteja instalado | Aprovado | |
| 2.3.5 | Certifique-se de que o cliente LDAP não esteja instalado | Aprovado | |
| 2.3.6 | Certifique-se de que o cliente TFTP não esteja instalado | Aprovado | |
| 3.1.1 | Certifique-se de que o IPv6 esteja habilitado | Aprovado | |
| 3.2.1 | Verifique se o envio de redirecionamento de pacotes foi desabilitado | Aprovado | |
| 3.3.1 | Certifique-se de que os pacotes roteados de origem não sejam aceitos | Aprovado | |
| 3.3.2 | Certifique-se de que os redirecionamentos ICMP não sejam aceitos | Aprovado | |
| 3.3.3 | Certifique-se de que os redirecionamentos ICMP seguros não sejam aceitos | Aprovado | |
| 3.3.4 | Verifique se pacotes suspeitos estão sendo registrados | Aprovado | |
| 3.3.5 | Verifique se as solicitações ICMP de difusão são ignoradas | Aprovado | |
| 3.3.6 | Verifique se as respostas falsas do ICMP foram ignoradas | Aprovado | |
| 3.3.7 | Verifique se a Filtragem de Caminho Reverso está habilitada | Aprovado | |
| 3.3.8 | Verifique se os Cookies SYN do TCP estão habilitados | Aprovado | |
| 3.3.9 | Certifique-se de que os anúncios do roteador IPv6 não sejam aceitos | Aprovado | |
| 3.4.3.1.1 | Certifique-se de que o pacote iptables esteja instalado | Aprovado | |
| 3.4.3.1.2 | Certifique-se de que nftables não estejam instalados com iptables | Aprovado | |
| 3.4.3.1.3 | Certifique-se de que o firewalld não esteja instalado ou mascarado com iptables | Aprovado | |
| 4.2 | Verifique se logrotate está configurado | Aprovado | |
| 4.2.2 | Certifique-se de que todos os arquivos de log tenham um acesso adequado configurado | Aprovado | |
| 4.2.1.1 | Verifique se rsyslog está instalado | Aprovado | |
| 4.2.1.2 | Certifique-se de que o serviço rsyslog esteja habilitado | Aprovado | |
| 4.2.1.3 | Certifique-se de que as permissões de arquivo padrão do rsyslog estejam configuradas | Aprovado | |
| 4.2.1.4 | Verifique se o registro em log foi configurado | Aprovado | |
| 4.2.1.5 | Certifique-se de que o rsyslog não esteja configurado para receber logs de um cliente remoto | Aprovado | |
| 5.1.1 | Certifique-se de que o daemon cron esteja habilitado | Aprovado | |
| 5.1.2 | Verifique se as permissões em /etc/crontab foram configuradas | Aprovado | |
| 5.1.3 | Verifique se as permissões em /etc/cron.hourly foram configuradas | Aprovado | |
| 5.1.4 | Verifique se as permissões em /etc/cron.daily foram configuradas | Aprovado | |
| 5.1.5 | Verifique se as permissões em /etc/cron.weekly foram configuradas | Aprovado | |
| 5.1.6 | Verifique se as permissões em /etc/cron.monthly foram configuradas | Aprovado | |
| 5.1.7 | Verifique se as permissões em /etc/cron.d foram configuradas | Aprovado | |
| 5.1.8 | Verifique se cron está restrito aos usuários autorizados | Aprovado | |
| 5.1.9 | Verifique se at está restrito aos usuários autorizados | Aprovado | |
| 5.2.1 | Verifique se as permissões em /etc/ssh/sshd_config foram definidas | Aprovado | |
| 5.2.2 | Verifique se as permissões nos arquivos chave de host SSH privado estão configuradas | Aprovado | |
| 5.2.3 | Verifique se as permissões nos arquivos chave de host SSH público estão configuradas | Aprovado | |
| 5.2.4 | Garantir que o acesso SSH seja limitado | Aprovado | |
| 5.2.5 | Verifique se SSH LogLevel é apropriado | Aprovado | |
| 5.2.6 | Verifique se o SSH PAM está habilitado | Aprovado | |
| 5.2.7 | Verifique se o logon raiz do SSH está desabilitado | Aprovado | |
| 5.2.8 | Verifique se SSH HostbasedAuthentication está desabilitado | Aprovado | |
| 5.2.9 | Verifique se o SSH PermitEmptyPasswords está desabilitado | Aprovado | |
| 5.2.10 | Verifique se o PermitUserEnvironment do SSH está desabilitado | Aprovado | |
| 5.2.11 | Verifique se SSH IgnoreRhosts está habilitado | Aprovado | |
| 5.2.12 | Verifique se apenas criptografias fortes são usadas | Aprovado | |
| 5.2.13 | Verifique se apenas algoritmos MAC fortes são usados | Aprovado | |
| 5.2.14 | Verifique se apenas algoritmos Key Exchange fortes são usados | Aprovado | |
| 5.2.15 | Verifique se a faixa de aviso do SSH está configurada | Aprovado | |
| 5.2.16 | Verifique se o MaxAuthTries do SSH está definido como 4 ou menos | Aprovado | |
| 5.2.17 | Verifique se o SSH MaxStartups está configurado | Aprovado | |
| 5.2.18 | Verifique se o LoginGraceTime do SSH está definido para um minuto ou menos | Aprovado | |
| 5.2.19 | Certifique-se de que o MaxSessions de SSH esteja configurado como 10 ou menos | Aprovado | |
| 5.2.20 | Verifique se o intervalo de tempo limite de ociosidade do SSH está configurado | Aprovado | |
| 5.3.1 | Verifique se sudo está instalado | Aprovado | |
| 5.3.2 | Certifique-se de que a reautenticação para escalonamento de privilégios não esteja desabilitada globalmente | Aprovado | |
| 5.3.3 | Certifique-se de que o tempo limite da autenticação sudo esteja configurado corretamente | Aprovado | |
| 5.4.1 | Verifique se os requisitos de criação de senha foram configurados | Aprovado | |
| 5.4.2 | Verifique se o bloqueio de tentativas de senha com falha foi configurado | Aprovado | |
| 5.4.3 | Verifique se o algoritmo de hash da senha é SHA-512 | Aprovado | |
| 5.4.4 | Verifique se a reutilização de senha é limitada | Aprovado | |
| 5.5.2 | Verifique se as contas do sistema estão seguras | Aprovado | |
| 5.5.3 | Verifique se o grupo padrão da conta raiz é GID 0 | Aprovado | |
| 5.5.4 | Verifique se o usuário padrão umask é 027 ou mais restritivo | Aprovado | |
| 5.5.1.1 | Verifique se a expiração da senha é de 365 dias ou menos | Aprovado | |
| 5.5.1.2 | Verifique se o mínimo de dias entre as alterações de senha foi configurado | Aprovado | |
| 5.5.1.3 | Certifique-se de que o tempo de aviso de expiração da senha seja de 7 dias ou mais | Aprovado | |
| 5.5.1.4 | Verifique se o bloqueio de senha inativa é de 30 dias ou menos | Aprovado | |
| 5.5.1.5 | Verifique se a última data de alteração de senha de todos os usuários está no passado | Aprovado | |
| 6.1.1 | Verifique se as permissões em /etc/passwd foram configuradas | Aprovado | |
| 6.1.2 | Verifique se as permissões em /etc/passwd- foram configuradas | Aprovado | |
| 6.1.3 | Verifique se as permissões em /etc/group foram configuradas | Aprovado | |
| 6.1.4 | Verifique se as permissões em /etc/group- foram configuradas | Aprovado | |
| 6.1.5 | Verifique se as permissões em /etc/shadow foram configuradas | Aprovado | |
| 6.1.6 | Verifique se as permissões em /etc/shadow- foram configuradas | Aprovado | |
| 6.1.7 | Verifique se as permissões em /etc/gshadow foram configuradas | Aprovado | |
| 6.1.8 | Verifique se as permissões em /etc/gshadow- foram configuradas | Aprovado | |
| 6.1.9 | Certifique-se de que não existam arquivos ou diretórios desagrupados ou sem um proprietário | Aprovado | |
| 6.1.10 | Certifique-se de que os arquivos e diretórios graváveis do mundo estejam protegidos | Aprovado | |
| 6.2.1 | Certifique-se de que os campos de senha não estejam vazios | Aprovado | |
| 6.2.2 | Verifique se todos os grupos em /etc/passwd existem em /etc/Group | Aprovado | |
| 6.2.3 | Verifique se não existem UIDs duplicados | Aprovado | |
| 6.2.4 | Verifique se não existem GIDs duplicados | Aprovado | |
| 6.2.5 | Verifique se não existem nomes de usuário duplicados | Aprovado | |
| 6.2.6 | Verifique se não existem nomes de grupos duplicados | Aprovado | |
| 6.2.7 | Verifique a integridade raiz do PATH | Aprovado | |
| 6.2.8 | Verifique se a raiz é a única conta UID 0 | Aprovado | |
| 6.2.9 | Verifique se existem todos os diretórios base | Aprovado | |
| 6.2.10 | Certifique-se de que os usuários sejam proprietários de seus diretórios home | Aprovado | |
| 6.2.11 | Verifique se as permissões de diretórios base dos usuários são 750 ou mais restritivas | Aprovado | |
| 6.2.12 | Verifique se os arquivos de ponto dos usuários não são graváveis em grupo ou no mundo | Aprovado | |
| 6.2.13 | Certifique-se de que os arquivos .netrc dos usuários não sejam acessíveis pelo grupo ou pelo mundo | Aprovado | |
| 6.2.14 | Verifique se os usuário não possuem arquivos .forward | Aprovado | |
| 6.2.15 | Verifique se os usuários não possuem arquivos .netrc | Aprovado | |
| 6.2.16 | Verifique se os usuários não possem arquivos .rhosts | Aprovado |
Próximas etapas
Para obter mais informações sobre a segurança do Host de Contêiner do Linux do Azure, confira os seguintes artigos: