Az Azure biztonsági alapkonfigurációja Container Instances
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Container Instances. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Container Instances vonatkozó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Container Instances nem alkalmazható funkciók ki lettek zárva. A teljes Container Instances biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogy Container Instances hogyan felel meg teljesen a Microsoft felhőbiztonsági teljesítménytesztjének.
Biztonsági profil
A biztonsági profil összefoglalja a Container Instances nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Számítás, tárolók |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Tárolja az inaktív ügyféltartalmakat | Hamis |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Helyezze üzembe a szolgáltatást egy virtuális hálózaton. Rendeljen magánhálózati IP-címeket az erőforráshoz (ha van ilyen), kivéve, ha komoly oka van a nyilvános IP-címek közvetlen hozzárendelésének az erőforráshoz.
Referencia: Tárolópéldányok üzembe helyezése Virtual Network
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: NSG-szabályok használata az alhálózatokhoz vagy más hálózati erőforrásokhoz való tárolóhozzáférés szabályozásához
Megjegyzés: Az Azure Load Balancer hálózati tárolócsoportban lévő tárolópéldányok elé helyezése nem támogatott.
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkció megjegyzései: Az ügyfél létrehozhatja a használatot vagy a rendszer által hozzárendelt felügyelt identitást az erőforrások biztonságos eléréséhez az ARM-ben
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Felügyelt identitások használata Azure-erőforrásokhoz kód futtatásához olyan Azure Container Instances, amely más Azure-szolgáltatásokkal kommunikál – anélkül, hogy titkos kulcsokat vagy hitelesítő adatokat tartana fenn a kódban. A szolgáltatás egy Azure Container Instances üzembe helyezést biztosít automatikusan felügyelt identitással az Azure Active Directoryban.
Referencia: Felügyelt identitások használata Azure Container Instances
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha felhőalapú magánregisztrációs adatbázist(például Azure Container Registry) használ Azure Container Instances, használja az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) az Azure-tárolóregisztrációs adatbázisban lévő adatokhoz és erőforrásokhoz való hozzáférés kezeléséhez.
Referencia: Biztonsági javaslatok Azure Container Instances
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Microsoft |
Konfigurációs útmutató: Inaktív adatok titkosításának engedélyezése platform által felügyelt (Microsoft által felügyelt) kulcsokkal, ahol a szolgáltatás nem konfigurálja automatikusan.
Referencia: Azure Container Instances – üzembehelyezési adatok titkosítása
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Referencia: Azure Container Instances – üzembehelyezési adatok titkosítása
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával hozhatja létre és szabályozhatja a tárolópéldány ügyfél által felügyelt kulcsalapú titkosításához használt titkosítási kulcsok életciklusát.
Referencia: Key Vault erőforrás létrehozása
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure Container Instances támogatja a szabályzat konfigurálását 2 szolgáltatáshoz (CMK és privát virtuális hálózaton üzemelő példányok)
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Referencia: Azure Policy beépített definíciók Azure Container Instances
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Log Analytics-munkaterületek központi helyet biztosítanak a naplóadatok tárolásához és lekérdezéséhez nemcsak az Azure-erőforrásokból, hanem a helyszíni erőforrásokból és más felhőkben lévő erőforrásokból is. Azure Container Instances beépített támogatást nyújt a naplók és az eseményadatok Azure Monitor-naplókba való küldéséhez.
Referencia: Tárolócsoport- és példánynaplózás Azure Monitor-naplókkal
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Állapot nélküli alkalmazásokhoz ajánlott az ACI, és nem kínálunk biztonsági mentési szolgáltatást. Az ügyfél választhat olyan régiókat, amelyek támogatják az AZ-támogatást az üzemelő példányok ugyanabban a régióban történő visszaállításához. Régiók közötti használatra biztonsági mentési és vészhelyreállítási megoldást kell tervezniük, ha alkalmazásaikat több régióban helyezik üzembe az ACI-ben, és a forgalom forgalomirányítóval való irányításával kezelik a vészhelyreállítási használati eseteket.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről