Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una visión general sobre la seguridad de las implementaciones de múltiples racks de Azure Local.
Las implementaciones de varios racks de Azure Local están diseñadas y creadas para detectar y proteger contra las amenazas de seguridad más recientes. Estas implementaciones también cumplen los estrictos requisitos de los estándares de seguridad gubernamentales y del sector. La posición de seguridad de Azure Local se basa en los dos principios siguientes:
- Seguridad de forma predeterminada: la plataforma incluye inherentemente resistencia de seguridad con pocos o ningún cambio de configuración necesario para usarlo de forma segura.
- Asumir vulneración: suponga que cualquier sistema se puede poner en peligro. Minimice el impacto si se produce una infracción de seguridad.
Use las herramientas de seguridad nativas de la nube de Microsoft para mejorar la posición de seguridad de la nube y proteger las cargas de trabajo.
Importante
Esta característica está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Protección para toda la plataforma a través de Microsoft Defender for Cloud
Microsoft Defender for Cloud es una plataforma de protección de aplicaciones nativas de la nube (CNAPP). Le ayuda a proteger los recursos, administrar su posición de seguridad, protegerse frente a ciberataques y simplificar la administración de la seguridad. Entre las características clave se incluyen:
- Evaluación de vulnerabilidades: examine las máquinas virtuales y los registros de contenedor para encontrar puntos débiles de seguridad. Puede ver y corregir estos problemas directamente en Defender for Cloud.
- Seguridad en la nube híbrida: consulte el estado de seguridad tanto en cargas de trabajo locales como en la nube en un solo lugar. Aplique directivas de seguridad para asegurarse de que el entorno híbrido cumple los estándares de seguridad. Recopile y analice datos de seguridad de firewalls y otros orígenes.
- Alertas de protección contra amenazas: obtenga alertas cuando se detecten ataques. El sistema usa análisis de comportamiento y aprendizaje automático para identificar ataques y vulnerabilidades de seguridad de día cero. Supervise las redes, máquinas, almacenamiento y servicios en la nube para detectar amenazas. Use herramientas de investigación para comprender y responder a ataques.
- Evaluación de cumplimiento: Defender for Cloud comprueba el entorno con estándares de seguridad como Azure Security Benchmark. También puede realizar un seguimiento del cumplimiento de los estándares del sector y los requisitos normativos. Vea el estado de cumplimiento en el panel de cumplimiento normativo.
- Seguridad de los contenedores: proteja los entornos en contenedores con el examen de vulnerabilidades y la detección de amenazas en tiempo real.
Las opciones de seguridad mejoradas permiten proteger los servidores host locales (también denominados máquinas sin sistema operativo), así como los clústeres locales de Azure que ejecutan las cargas de trabajo. Estas opciones se describen en las secciones siguientes.
Protección del sistema operativo del host de máquina física a través de Microsoft Defender para Endpoint
Cuando activas Microsoft Defender for Endpoint, protege a los servidores locales (máquinas bare-metal o BMM). Defender para punto de conexión proporciona antivirus preventivo (AV), detección y respuesta de puntos de conexión (EDR) y funcionalidades de administración de vulnerabilidades.
Para habilitar Defender para punto de conexión, active primero un plan de Microsoft Defender para servidores . La plataforma administra automáticamente la configuración para lograr una seguridad y un rendimiento óptimos.
Protección de cargas de trabajo del clúster local de Azure a través de Microsoft Defender para contenedores
Microsoft Defender para contenedores protege los clústeres locales de Azure al proporcionar detección de amenazas para clústeres y nodos de Linux, y mediante la protección contra errores de configuración. Habilite Defender para contenedores activando el plan en Defender for Cloud.
La seguridad en la nube es una responsabilidad compartida
En un entorno de nube, usted y el proveedor de nube comparten la responsabilidad de la seguridad. Las responsabilidades varían en función del tipo de servicio en la nube en el que se ejecutan las cargas de trabajo, tanto si es software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS). Las responsabilidades también varían en función de dónde hospede las cargas de trabajo, dentro del proveedor de nube o de sus propias ubicaciones locales.
Las implementaciones multibastidor se ejecutan en su infraestructura local, lo que le permite controlar los cambios en su entorno local. Microsoft pone periódicamente nuevas versiones de plataforma disponibles que contienen seguridad y otras actualizaciones. Debe decidir cuándo aplicar estas versiones a su entorno en función de las necesidades empresariales de su organización.
Examen de pruebas comparativas de seguridad de Kubernetes
Para buscar el cumplimiento de seguridad, use las siguientes herramientas de pruebas comparativas de seguridad estándar del sector:
- OpenSCAP para evaluar el cumplimiento de los controles de la Guía de implementación técnica de seguridad de Kubernetes (STIG).
- Kube-Bench de Aqua Security para evaluar el cumplimiento con los Benchmarks de Kubernetes del Centro para la Seguridad de Internet (CIS).
Algunos controles no son técnicamente factibles de implementar en implementaciones multibastidor. Los controles exceptuados están documentados en las secciones siguientes para las capas aplicables.
Estas herramientas no evalúan controles de entorno como RBAC y pruebas de cuentas de servicio, ya que los resultados pueden diferir en función de los requisitos del cliente.
OpenSCAP STIG - V2R2
El estado de los controles exceptuados se conoce como No Técnicamente Factible o NTF.
Clúster
| ID de STIG | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| V-242386 | El servidor de API de Kubernetes debe tener deshabilitada la marca de puerto no segura. | NTF | Esta comprobación está en desuso en v1.24.0 y versiones posteriores. |
| V-242397 | El staticPodPath del kubelet de Kubernetes no debe habilitar pods estáticos. | NTF | Solo está habilitado para los nodos de control, necesarios para kubeadm. |
| V-242403 | El servidor de API de Kubernetes debe generar registros de auditoría que identifiquen qué tipo de evento se produjo, identificar el origen del evento, contener los resultados del evento, identificar a los usuarios e identificar los contenedores asociados al evento. | NTF | Algunas solicitudes y respuestas de API contienen secretos y, por tanto, no se capturan en los registros de auditoría. |
| V-242424 | Kubelet de Kubernetes debe habilitar tlsPrivateKeyFile para la autenticación de cliente para proteger el servicio. | NTF | Las SAN de Kubelet solo contienen el nombre de host. |
| V-242425 | Kubelet de Kubernetes debe habilitar tlsCertFile para la autenticación de cliente para proteger el servicio. | NTF | Las SAN de Kubelet solo contienen el nombre de host. |
| V-242434 | Kubelet de Kubernetes debe habilitar la protección del kernel. | NTF | La habilitación de la protección del kernel no es factible para kubeadm en despliegues de varios racks. |
Administrador de clústeres
El administrador de clústeres usa Azure Kubernetes Service (AKS). Como servicio seguro, AKS es compatible con los estándares SOC, ISO, PCI DSS e HIPAA. En la imagen siguiente se muestran las excepciones de permisos de archivo OpenSCAP para el Administrador de clústeres mediante AKS.
Aquasec Kube-Bench - CIS 1.9
El estado de los controles exceptuados se conoce como No Técnicamente Factible o NTF.
Clúster
| Id. de CIS | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| 1 | Componentes del plano de control | ||
| 1.1 | Archivos de configuración del nodo del plano de control | ||
| 1.1.12 | Asegúrese de que la propiedad del directorio de datos etcd esté establecida en etcd:etcd. |
NTF | Multi-rack es root:root, el usuario de etcd no está configurado para kubeadm. |
| 1.2 | Servidor de API | ||
| 1.1.12 | Asegúrese de que el --kubelet-certificate-authority argumento esté establecido según corresponda. |
NTF | Los SAN de Kubelet solo incluyen el nombre de host. |
Administrador de clústeres
En la imagen siguiente se muestran las excepciones de Kube-Bench para el Cluster Manager. Consulte un informe completo de la evaluación de control de CIS Benchmark para Azure Kubernetes Service (AKS).
Cifrado en reposo
Los despliegues multi-rack proporcionan almacenamiento persistente para cargas de trabajo virtualizadas y en contenedores. Los datos se almacenan y se cifran mientras están en reposo en el almacenamiento SAN del bastidor de agregación.
Los clústeres locales de Azure y las máquinas virtuales locales de Azure consumen almacenamiento desde un disco local. Los datos almacenados en discos locales se cifran mediante LUKS2 con el algoritmo AES256-bit en modo XTS. Todas las claves de cifrado son administradas por la plataforma.