Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure Kubernetes Service auf Azure Stack HCI an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die Inhalte werden nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Kubernetes Service auf Azure Stack HCI gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features , die nicht für Azure Kubernetes Service auf Azure Stack HCI gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Kubernetes Service auf Azure Stack HCI vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Azure Kubernetes Service on Azure Stack HCI Security Baseline Mapping File.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Kubernetes Service auf Azure Stack HCI zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Hybrid/Multi-Cloud |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Falsch |
| Ruhende Kundeninhalte werden gespeichert. | Falsch |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Sie können eine sichere Verbindung mit Kubernetes-API-Server mithilfe von Active Directory (AD)-Anmeldeinformationen (Single Sign-On, SSO) erstellen. Ohne Active Directory-Authentifizierung müssen Benutzer beim Herstellen einer Verbindung mit dem API-Server über den Kubectl-Befehl eine zertifikatbasierte Kubeconfig-Datei verwenden. Die KUBECONFIG-Datei enthält Geheimnisse, z. B. private Schlüssel und Zertifikate, die sorgfältig verteilt werden müssen. Dies kann ein erhebliches Sicherheitsrisiko darstellen.
Wenn AKS auf Stack HCI mit Azure Arc konfiguriert ist, kann der Zugriff auf die Kontrollebene des Kubernetes-Clusters mithilfe von Azure AD gesteuert werden. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Wenn AKS auf Stack HCI mit Azure Arc konfiguriert ist, können Sie Ihren AKS-Host für die Abrechnung mit einem Dienstprinzipal bei Azure registrieren.
Weitere Informationen finden Sie unter : /en-us/azure-stack/aks-hci/kubernetes-walkthrough-powershell
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Hinweise zur Funktion: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Einrichten mehrerer Administratoren
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Zertifikate werden verwendet, um eine sichere Kommunikation zwischen In-Cluster-Komponenten zu erstellen. Azure Kubernetes Service (AKS) auf der Azure Stack HCI und Windows Server bietet die standardmäßige Bereitstellung und Verwaltung von Zertifikaten ohne manuelles Eingreifen für integrierte Kubernetes-Komponenten.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Sichere Kommunikation mit Zertifikaten
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Auf dem Kubernetes-API-Server werden geheime Schlüssel gespeichert, bei denen es sich um einen hoch verfügbaren Schlüsselwertspeicher handelt, der als Kubernetes-Sicherungsspeicher für alle Clusterdaten verwendet wird. Azure Kubernetes Services (AKS) in Azure Stack HCI ermöglicht die Verschlüsselung von etcd-Geheimnissen und automatisiert die Verwaltung und Rotation von Verschlüsselungsschlüsseln.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Obwohl dieses Feature für AKS auf Stack HCI nicht unterstützt wird, kann der Kunde Bitlocker auf dem physischen Host aktivieren. Darüber hinaus verfügt AKS auf Azure Stack HCI und Windows Server über Verschlüsselung von geheimen Schlüsseln und automatisiert die Verwaltung und Drehung von Verschlüsselungsschlüsseln.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Haltung und Sicherheitsrisikomanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Benutzerdefinierte Containerimages
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.