Base de référence de sécurité Azure pour Kubernetes avec Azure Arc
Article
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Kubernetes avec Azure Arc. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Kubernetes avec Azure Arc.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Le profil de sécurité résume les comportements à fort impact de Kubernetes avec Azure Arc, ce qui peut entraîner des considérations de sécurité accrues.
Attribut de comportement du service
Valeur
Catégorie de produit
Conteneurs, hybrides/multiclouds
Le client peut accéder à HOST/OS
Aucun accès
Le service peut être déployé dans le réseau virtuel du client
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Remarques sur les fonctionnalités : l’objectif kubernetes avec Arc est d’étendre le plan de contrôle d’Azure à l’environnement client. Les services opèrent au sein du réseau du client.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : Fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (à ne pas confondre avec le groupe de sécurité réseau ou Pare-feu Azure).
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : le client doit configurer la prise en charge des liaisons privées. Cette fonctionnalité est sur le point d’être disponible en préversion publique.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Désactiver l’accès public au réseau
Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ».
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Méthodes d’authentification locales pour l’accès au plan de données
Description : méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Principaux de service
Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
IM-7 : restreindre l’accès aux ressources en fonction des conditions
Fonctionnalités
Accès conditionnel pour le plan de données
Description : L’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Vrai
False
Customer
Conseils de configuration : à l’aide de la fonctionnalité Azure RBAC, vous pouvez utiliser Azure Active Directory (Azure AD) et les attributions de rôles dans Azure pour contrôler les vérifications d’autorisation sur le cluster. Cela implique que vous pouvez désormais utiliser les attributions de rôles Azure pour contrôler de manière précise qui peut lire, écrire et supprimer des objets Kubernetes comme deployment, pod et service.
Vous pouvez ajouter une configuration supplémentaire pour activer l’accès conditionnel. Voir le lien de référence ci-dessous.
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes Administration locaux
Description : le service a le concept d’un compte d’administration local.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
Fonctionnalités
Azure RBAC pour le plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Vrai
False
Customer
Conseils de configuration : Kubernetes avec Azure Arc prend en charge les environnements locaux et d’autres environnements cloud qui sont intégrés à différents systèmes de gestion des identités et des accès. En plus du contrôle d’accès en fonction du rôle de cluster Kubernetes (RBAC) existant, Kubernetes avec Azure Arc prend en charge Azure RBAC pour unifier la gestion des accès sur les clusters Kubernetes et réduire la surcharge opérationnelle.
Remarque : La fonctionnalité Azure RBAC pour les opérations de plan de données ne peut être configurée que sur des clusters Kubernetes qui autorisent la configuration de leurs serveurs d’API. Cette fonctionnalité n’est pas prise en charge pour les clusters managés tels que EKS et GKE.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (comme Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Remarques sur les fonctionnalités : Nous utilisons Cosmos DB pour stocker les données de service, qui sont chiffrées au repos par défaut.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : Étant donné que nous ne stockons pas les données client au repos pendant plus de 48 heures, nous n’avons pas ajouté la prise en charge de CMK.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-6 : Utiliser un processus sécurisé de gestion de clés
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : bien que cette fonctionnalité n’ait pas besoin d’être « activée », le client doit configurer l’extension de cluster AKV pour tirer parti de cette fonctionnalité.
Cette fonctionnalité est également disponible en préversion.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-7 : utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : bien que la fonctionnalité n’ait pas besoin d’être « activée », le client doit configurer l’extension de cluster AKV pour tirer parti de cette fonctionnalité.
Cette fonctionnalité est également disponible en préversion.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : Le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Vrai
False
Customer
Remarques sur les fonctionnalités : bien que cette fonctionnalité n’ait pas besoin d’être « activée », le client doit configurer l’extension de cluster Defender pour tirer parti de cette fonctionnalité.
Conseils de configuration : Microsoft Defender pour le cloud est un outil natif cloud qui permet d’implémenter des garde-fous, des contrôles, des rapports, des alertes et des tâches de correction de manière automatisée à grande échelle. En le combinant avec Kubernetes avec Azure Arc, vous pouvez étendre les contrôles de sécurité à n’importe quel cluster Kubernetes dans votre environnement local et/ou multicloud.
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : Nous n’avons pas de prise en charge pour envoyer (push) les journaux et les métriques de service (agent Arc) à un la/récepteur de données appartenant au client ; Toutefois, un client peut configurer l’extension de cluster Container Insights pour envoyer (push) les journaux et les métriques de charge de travail client à LA.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Comprendre les fonctionnalités de sécurité des serveurs avec Azure Arc. Découvrez les avantages des serveurs avec Azure Arc et la manière de les intégrer à Microsoft Defender pour le cloud, Microsoft Defender pour les serveurs et Microsoft Sentinel.
Démontrez les compétences nécessaires afin de mettre en œuvre des contrôles de sécurité, de maintenir la posture de sécurité d’une organisation, et d’identifier et de remédier aux vulnérabilités en matière de sécurité.
Kubernetes avec Azure Arc vous permet de joindre des clusters Kubernetes s’exécutant n’importe où afin de pouvoir les gérer et les configurer dans Azure.
Les scénarios activés par Kubernetes avec Azure Arc impliquent l’échange de configurations d’état souhaitées, de métadonnées et de données opérationnelles spécifiques d’autres scénarios.