Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette base de référence de sécurité applique des conseils du benchmark de sécurité cloud Microsoft version 1.0 à Azure Kubernetes Service sur Azure Stack HCI. Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les instructions associées applicables à Azure Kubernetes Service sur Azure Stack HCI.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail de Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles du benchmark de sécurité cloud Microsoft. Certaines suggestions peuvent nécessiter un plan Microsoft Defender payant pour activer des scénarios particuliers de sécurité.
Remarque
Les fonctionnalités non applicables à Azure Kubernetes Service sur Azure Stack HCI ont été exclues. Pour voir comment Azure Kubernetes Service sur Azure Stack HCI est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier complet de mappage de référence de la sécurité Azure Kubernetes Service sur Azure Stack HCI.
Profil de sécurité
Le profil de sécurité résume les comportements à impact élevé d’Azure Kubernetes Service sur Azure Stack HCI, ce qui peut entraîner une augmentation des considérations de sécurité.
| Attribut comportement du service | Valeur |
|---|---|
| Catégorie de produit | Hybride/multicloud |
| Le client peut accéder à HOST/OS | Accès complet |
| Le service peut être déployé dans le réseau virtuel du client | Faux |
| Stocke le contenu du client au repos | Faux |
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Méthodes d’authentification locales pour l’accès au plan de données
Description : Méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles que le nom d’utilisateur local et le mot de passe. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Remarques de fonctionnalité : Vous pouvez créer une connexion sécurisée au serveur d’API Kubernetes à l’aide des informations d’identification de l’authentification unique Active Directory (AD). Sans l’authentification Active Directory, les utilisateurs doivent s’appuyer sur un fichier kubeconfig basé sur un certificat lors de la connexion au serveur d’API via la commande kubectl. Le fichier kubeconfig contient des secrets, tels que des clés privées et des certificats, qui doivent être distribués avec soin, ce qui peut présenter un risque important pour la sécurité.
En outre, si AKS sur Stack HCI est configuré avec Azure Arc, l’accès au plan de contrôle du cluster Kubernetes peut être contrôlé à l’aide d’Azure AD. Évitez l’utilisation des méthodes ou comptes d’authentification locaux, celles-ci doivent être désactivées dans la mesure du possible. Utilisez plutôt Azure AD pour l’authentification, lorsque cela est possible.
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Principaux de service
Description : Le plan de données prend en charge l’authentification en utilisant des principaux de service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Notes de fonctionnalité : Si AKS sur Stack HCI est configuré avec Azure Arc, vous pouvez inscrire votre hôte AKS dans Azure pour la facturation à l’aide d’un principal de service.
Pour plus d’informations, consultez : /en-us/azure-stack/aks-hci/kubernetes-walkthrough-powershell
Aide sur la configuration : Cette fonctionnalité n’est pas prise en charge pour la sécurisation de ce service.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-1 : séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes d’administrateur local
Description : Le service présente le concept d’un compte administratif local. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Notes sur la fonctionnalité : Dans la mesure du possible, évitez d’utiliser des méthodes d’authentification ou des comptes locaux. Ceux-ci doivent être désactivés. Utilisez plutôt Azure AD pour l’authentification, lorsque cela est possible.
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Configurer plusieurs administrateurs
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement de données en transit pour le plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Notes de fonctionnalité : Les certificats sont utilisés pour créer une communication sécurisée entre les composants du cluster. Azure Kubernetes Service (AKS) sur Azure Stack HCI et Windows Server fournit un provisionnement clé en main sans intervention et la gestion des certificats pour les composants Kubernetes intégrés.
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Sécuriser la communication avec des certificats
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Notes de fonctionnalité : Dans le serveur d’API Kubernetes, les secrets sont stockés dans etcd, qui est un magasin de valeurs de clés hautement disponible utilisé comme magasin de stockage Kubernetes pour toutes les données de cluster. Azure Kubernetes Service (AKS) sur Azure Stack HCI et Windows Server est fourni avec le chiffrement des secrets etcd et automatise la gestion et la rotation des clés de chiffrement.
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Chiffrer les secrets etcd dans Azure Kubernetes Service sur les clusters Azure Stack HCI et Windows Server
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Remarques sur les fonctionnalités : bien que cette fonctionnalité ne soit pas prise en charge pour AKS sur Stack HCI, le client peut activer Bitlocker sur l’hôte physique. En outre, AKS sur Azure Stack HCI et Windows Server est fourni avec le chiffrement des secrets etcd et automatise la gestion et la rotation des clés de chiffrement.
Aide sur la configuration : Cette fonctionnalité n’est pas prise en charge pour la sécurisation de ce service.
Gestion des postures et des vulnérabilités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Posture et gestion des vulnérabilités.
PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul
Fonctionnalités
Images de conteneurs personnalisées
Description : le service prend en charge l’utilisation d’images conteneur fournies par l’utilisateur ou d’images prédéfini à partir de la Place de marché avec certaines configurations de référence pré-appliquées. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatiques régulières
Fonctionnalités
Fonctionnalité de sauvegarde native du service
Description : Le service prend en charge sa propre fonctionnalité de sauvegarde native (si vous n’utilisez pas Sauvegarde Azure). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Aide sur la configuration : Cette fonctionnalité n’est pas prise en charge pour la sécurisation de ce service.
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure