Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento směrný plán zabezpečení vychází z předchozí verze srovnávacího testu Microsoft Cloud Security (v1.0) a může obsahovat zastaralé pokyny. Nejnovější pokyny k zabezpečení najdete v dokumentaci ke službě Azure Kubernetes Service (AKS).
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Službu Azure Kubernetes Service (AKS). Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny souvisejícími s Azure Kubernetes Service (AKS).
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na službu Azure Kubernetes Service (AKS), byly vyloučeny. Pokud chcete zjistit, jak se služba Azure Kubernetes Service (AKS) kompletně mapuje na srovnávací normu zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardů zabezpečení služby Azure Kubernetes Service (AKS).
Profil zabezpečení
Profil zabezpečení shrnuje vysoce dopadová chování služby Azure Kubernetes Service (AKS), což může mít za následek zvýšené úvahy o zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Containers |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Pravdivé |
| Ukládá obsah zákazníka v klidu. | Pravdivé |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Features
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Použití sítě kubenet s vlastními rozsahy IP adres ve službě Azure Kubernetes Service (AKS)
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby dodržuje pravidla přiřazená skupinám zabezpečení sítě na svých podsítích. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Skupiny zabezpečení sítě
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Features
Azure Private Link
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Vytvoření privátního clusteru Azure Kubernetes Service
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Pomocí Azure CLI zakažte veřejný plně kvalifikovaný název domény v privátním clusteru Azure Kubernetes Service.
Referenční informace: Vytvoření privátního clusteru Azure Kubernetes Service
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.ContainerService:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, deaktivováno | 2.0.1 |
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Features
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Integrace Azure Active Directory spravovaná službou AKS
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Můžete ověřovat, autorizovat, zabezpečit a řídit přístup ke clusterům Kubernetes pomocí řízení přístupu na základě role Kubernetes (Kubernetes RBAC) nebo pomocí Azure Active Directory a Azure RBAC.
Referenční informace: Možnosti přístupu a identity pro Službu Azure Kubernetes Service (AKS)
IM-3: Zabezpečená a automatická správa identit aplikací
Features
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Poznámky k funkcím: Při vytváření clusteru AKS se automaticky vytvoří spravovaná identita přiřazená systémem. Pokud k nasazení nepoužíváte Azure CLI, ale používáte vlastní virtuální síť, připojený disk Azure, statickou IP adresu, směrovací tabulku nebo identitu kubeletu přiřazenou uživatelem, která nepatří do skupiny prostředků pracovního uzlu, doporučujeme použít identitu řídicí roviny přiřazené uživatelem.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Použití spravované identity ve službě Azure Kubernetes Service
Principál služby
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Vytvoření objektu služby
IM-7: Omezení přístupu k prostředkům na základě podmínek
Features
Podmíněný přístup pro datovou rovinu
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace:
- IM-1: Použití centralizovaného systému identit a ověřování
- Použití podmíněného přístupu se službou Azure AD a AKS
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Features
Podpora integrace a úložiště ověřovacích údajů a tajných informací ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne jejich vkládání do kódu nebo konfiguračních souborů.
Referenční informace: Úložiště tajných kódů CSI
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Features
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Můžete ověřovat, autorizovat, zabezpečit a řídit přístup ke clusterům Kubernetes pomocí řízení přístupu na základě role Kubernetes (Kubernetes RBAC) nebo pomocí Azure Active Directory a Azure RBAC.
Pokud nejsou vyžadovány pro rutinní operace správy, zakažte nebo omezte všechny účty místního správce pouze pro nouzové použití.
Referenční informace: Možnosti přístupu a identity pro Službu Azure Kubernetes Service (AKS)
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Features
Azure RBAC pro datovou vrstvu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití řízení přístupu na základě role v Azure (Azure RBAC) ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.
Referenční informace: Použití Azure RBAC pro autorizaci Kubernetes
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.ContainerService:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Role-Based řízení přístupu (RBAC) by se mělo používat ve službách Kubernetes. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte Azure Role-Based Řízení přístupu (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, deaktivováno | 1.0.3 |
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Features
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Referenční informace: Customer Lockbox pro Microsoft Azure
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Features
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Features
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: V případě potřeby dodržování předpisů ochrany před únikem informací můžete použít řešení ochrany před únikem informací na základě hostitele z Azure Marketplace nebo řešení microsoftu 365 pro ochranu před únikem informací k vynucení detektivů nebo preventivních ovládacích prvků, které brání exfiltraci dat.
Referenční informace: Povolení Microsoft Defenderu pro kontejnery
DP-3: Šifrování citlivých dat během přenosu
Features
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Referenční informace: Použití protokolu TLS s kontrolerem příchozího přenosu dat ve službě Azure Kubernetes Service (AKS)
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.ContainerService:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Zamítnout, Zamítnout, Neaktivní, Neaktivní | 8.1.0 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Features
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Šifrování na základě hostitele se liší od šifrování na straně serveru (SSE), které používá Azure Storage. Disky spravované v Azure používají Azure Storage k automatickému šifrování neaktivních uložených dat při ukládání dat. Šifrování na základě hostitele používá hostitele virtuálního počítače ke zpracování šifrování než data proudí přes *Azure Storage*.
Pokyny ke konfiguraci: Povolení šifrování neaktivních uložených dat pomocí klíčů spravovaných platformou (spravovaných Microsoftem), kde služba nekonfiguruje automaticky.
Referenční informace: Šifrování na základě hostitele ve službě Azure Kubernetes Service (AKS)
DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno
Features
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Šifrování na základě hostitele ve službě Azure Kubernetes Service (AKS)
DP-6: Použití zabezpečeného procesu správy klíčů
Features
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a jsou referencovány pomocí ID klíčů, zejména ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční informace: Šifrování na základě hostitele ve službě Azure Kubernetes Service (AKS)
DP-7: Použití zabezpečeného procesu správy certifikátů
Features
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření, importu, obměny, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátů dodržuje definované standardy bez použití nezabezpečených vlastností, například: nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie. Nastavení automatické obměny certifikátu ve službě Azure Key Vault a služby Azure (pokud je podporováno) na základě definovaného plánu nebo vypršení platnosti certifikátu. Pokud v aplikaci není automatická rotace podporovaná, ujistěte se, že klíče případně neustále rotují pomocí ručních metod ve službě Azure Key Vault a v aplikaci.
Referenční informace: Použití protokolu TLS s vlastními certifikáty s ovladačem CSI úložiště tajných kódů
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Features
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinovaná služba AKS v Azure Policy
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Features
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Microsoft Defender for Containers je cloudové nativní řešení, které slouží k zabezpečení kontejnerů, abyste mohli zlepšit, monitorovat a udržovat zabezpečení clusterů, kontejnerů a jejich aplikací.
Referenční informace: Povolení Microsoft Defenderu pro kontejnery
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.ContainerService:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o programu Microsoft Defender for Containers v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, deaktivováno | 2.0.1 |
LT-4: Povolení protokolování pro vyšetřování bezpečnosti
Features
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které mohou nabízet rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu Key Vault například podporuje další protokoly prostředků pro akce, které z trezoru klíčů získávají tajný kód, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Shromažďování protokolů prostředků
Správa bezpečnostní pozice a zranitelností
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
Features
Vlastní image kontejnerů
Desription: Služba podporuje použití uživatelsky zadaných imagí kontejnerů nebo předem připravených imagí z marketplace s předem použitými konkrétními standardními konfiguracemi. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Při použití služby Azure Container Registry (ACR) se službou Azure Kubernetes Service (AKS) je potřeba vytvořit mechanismus ověřování. Ke konfiguraci požadovaných oprávnění mezi ACR a AKS můžete použít Azure CLI, Azure PowerShell a Azure Portal. Integrace AKS do ACR přiřadí roli AcrPull spravované identitě Azure Active Directory (Azure AD) přidružené k fondu agentů ve vašem clusteru AKS.
Referenční informace: Integrace služby Azure Container Registry se službou Azure Kubernetes Service – Azure Kubernetes Service
PV-5: Provádění posouzení ohrožení zabezpečení
Features
Posouzení ohrožení zabezpečení pomocí programu Microsoft Defender
Desription: Službu je možné provést kontrolu zranitelnosti pomocí Microsoft Defender for Cloud nebo jiných služeb Microsoft Defender s vloženou schopností hodnocení zranitelnosti (včetně Microsoft Defender pro server, registr kontejnerů, App Service, SQL a DNS). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Při povolování plánu prostřednictvím webu Azure Portal je Ve výchozím nastavení nakonfigurovaný program Microsoft Defender for Containers tak, aby automaticky nainstaloval požadované součásti pro zajištění ochrany, které plán nabízí, včetně přiřazení výchozího pracovního prostoru.
Referenční informace: Správa ohrožení zabezpečení pro službu Azure Kubernetes Service – Azure Kubernetes Service
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Features
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolte Službu Azure Backup a nakonfigurujte zdroj zálohování (například virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky) na požadované frekvenci a s požadovanou dobou uchovávání. Pro azure Virtual Machines můžete pomocí služby Azure Policy povolit automatické zálohování.
Referenční informace: Zálohování služby Azure Kubernetes Service pomocí služby Azure Backup
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu.
- Další informace o standardních hodnotách zabezpečení Azure