Tárolóbiztonsági javaslatok

Cikk
08/15/2024

Ez a cikk felsorolja az összes olyan tárolóbiztonsági javaslatot, amely a Felhőhöz készült Microsoft Defender jelenhet meg.

A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.

Tipp.

Ha egy javaslat leírása szerint nincs kapcsolódó szabályzat, általában azért van, mert a javaslat egy másik javaslattól függ.

Az endpoint protection állapothibáinak kijavítása például a végpontvédelmi megoldás telepítésének ellenőrzésére szolgáló javaslaton alapul (az endpoint protection-megoldást telepíteni kell). Az alapul szolgáló javaslat rendelkezik szabályzattal. A szabályzatok csak alapszintű javaslatokra való korlátozása leegyszerűsíti a szabályzatkezelést.

Azure-tárolókra vonatkozó javaslatok

Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek

Leírás: A Kubernetes Azure Policy-bővítménye kibővíti a Gatekeeper v3-at, az Open Policy Agenthez (OPA) készült beléptető vezérlő webhookot, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek

Leírás: Az Azure Arc Defender bővítménye fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes vezérlősíkjának (fő) csomópontjáról, és elküldi azokat a felhőbeli Microsoft Defender for Kubernetes háttérrendszernek további elemzés céljából. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender profilt az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a Kubernetes Azure Policy bővítményével

Leírás: A KubernetesHez készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökön a nagy léptékű kényszerítéseket és védelmet. Felhőhöz készült Defender megköveteli a bővítményt a biztonsági képességek és a megfelelőség naplózásához és érvényesítéséhez a fürtökben. További információ. A Kubernetes 1.14.0-s vagy újabb verzióját igényli. (Kapcsolódó szabályzat: A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön.

Súlyosság: Magas

Típus: Vezérlősík

Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés)

Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (a Qualys működteti)

Leírás: A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.

Értékelési kulcs: dbd0cb49-b563-45e7-9724-889e799fa648

Típus: Sebezhetőségi felmérés

A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés)

Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket – (a Qualys működteti)

Leírás: A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a Kubernetes-fürtökön futó tárolólemezképeken, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. (Nincs kapcsolódó szabályzat)

Értékelési kulcs: 41503391-efa5-47ee-9282-4eff6131462c

Típus: Sebezhetőségi felmérés

A tároló processzor- és memóriakorlátait kötelező megadni

Leírás: A processzor- és memóriakorlátok kényszerítése megakadályozza az erőforrás-kimerülési támadásokat (a szolgáltatásmegtagadási támadás egy formája).

Javasoljuk, hogy a tárolókra vonatkozó korlátokat állítson be annak érdekében, hogy a futtatókörnyezet megakadályozza, hogy a tároló a konfigurált erőforráskorlátnál többet használjon.

(Kapcsolódó szabályzat: Győződjön meg arról, hogy a tároló cpu- és memóriaerőforrás-korlátai nem lépik túl a Kubernetes-fürtben megadott korlátokat.

Súlyosság: Közepes

Típus: Kubernetes-adatsík

A tárolólemezképeket csak megbízható adatbázisból kell üzembe helyezni

Leírás: A Kubernetes-fürtön futó képeknek ismert és figyelt tárolórendszerkép-nyilvántartásokból kell származnia. A megbízható adatbázis-adatbázisok csökkentik a fürt expozíciós kockázatát azáltal, hogy korlátozzák az ismeretlen biztonsági rések, biztonsági problémák és rosszindulatú képek bevezetésének lehetőségét.

(Kapcsolódó szabályzat: Győződjön meg arról, hogy csak az engedélyezett tárolólemezképek használhatók a Kubernetes-fürtben).

Súlyosság: Magas

Típus: Kubernetes-adatsík

[Előzetes verzió] Az Azure Registry tárolórendszerképeinek feloldva kell lennie a biztonságirés-megállapításoknak

Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést.

Az azure-beli beállításjegyzék-tárolólemezképekre vonatkozó javaslatok biztonsági réseit (Microsoft Defender biztonságirés-kezelés) a rendszer eltávolítja, amikor az új javaslat általánosan elérhető.

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

(Szükség esetén engedélyezve) A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani

Leírás: Az ügyfél által felügyelt kulcsok inaktív adatok titkosításához való használatára vonatkozó javaslatok alapértelmezés szerint nem értékelhetők, de elérhetőek az alkalmazható forgatókönyvek engedélyezéséhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról az ügyfél által felügyelt kulcsok áttekintésében. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani.

Súlyosság: Alacsony

Típus: Vezérlősík

A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést

Leírás: Az Azure tárolóregisztrációs adatbázisai alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, csak meghatározott nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Ha a beállításjegyzék nem rendelkezik IP-/tűzfalszabálysal vagy konfigurált virtuális hálózatokkal, akkor az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól a nyilvános IP-hálózati szabályok konfigurálása és a tárolóregisztrációs adatbázishoz való hozzáférés korlátozása egy Azure-beli virtuális hálózaton található szolgáltatásvégpont használatával. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést.

Súlyosság: Közepes

Típus: Vezérlősík

A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk.

Súlyosság: Közepes

Típus: Vezérlősík

[Előzetes verzió] Az Azure-ban futó tárolók biztonsági réseinek megoldására van szükség

Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a beállításjegyzék lemezképeihez létrehozott rendszerképek és biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Feljegyzés

2024. október 6-tól ez a javaslat úgy lett frissítve, hogy csak egyetlen tárolót jelentsen az egyes gyökérvezérlőkhöz. Ha például egy cronjob több feladatot hoz létre, ahol minden feladat egy podot hoz létre egy sebezhető tárolóval, a javaslat csak a feladatban lévő sebezhető tárolók egyetlen példányát jelenti. Ez a módosítás segít eltávolítani az azonos tárolók ismétlődő jelentéseinek eltávolítását, amelyek egyetlen műveletet igényelnek a szervizeléshez. Ha a módosítás előtt használta ezt a javaslatot, a javaslat példányainak számának csökkenésére kell számítania.
A fejlesztés támogatása érdekében a javaslat értékelési kulcsát frissítettük a következőre c5045ea3-afc6-4006-ab8f-86c8574dbf3d: . Ha jelenleg biztonságirés-jelentéseket kér le ebből a javaslatból az API-val, győződjön meg arról, hogy módosítja az API-hívást az új értékelési kulcs használatára.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Leírás: A tárolón kívüli jogosultságok eszkalálása elleni védelem érdekében kerülje a podok hozzáférését a kubernetes-fürtök bizalmas gazdagép-névtereihez (gazdagépfolyamat-azonosító és gazdagép IPC-hez). (Kapcsolódó szabályzat: A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A tárolók csak engedélyezett AppArmor-profilokat használhatnak

Leírás: A Kubernetes-fürtökön futó tárolóknak csak az engedélyezett AppArmor-profilokra kell korlátozódnia. Az AppArmor (Application Armor) egy linuxos biztonsági modul, amely megvédi az operációs rendszert és annak alkalmazásait a biztonsági fenyegetésektől. A használatához a rendszergazda hozzárendel egy AppArmor biztonsági profilt minden programhoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak.

Súlyosság: Magas

Típus: Kubernetes adatsík

A jogosultságok eszkalálásával rendelkező tárolót kerülni kell

Leírás: A tárolók nem futtathatók jogosultság-eszkalációval a Kubernetes-fürtön való gyökerezéshez. Az AllowPrivilegeEscalation attribútum szabályozza, hogy egy folyamat több jogosultságot szerezhet-e, mint a szülőfolyamata. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását).

Súlyosság: Közepes

Típus: Kubernetes adatsík

A Kubernetes-szolgáltatások diagnosztikai naplóit engedélyezni kell

Leírás: Engedélyezze a diagnosztikai naplókat a Kubernetes-szolgáltatásokban, és őrizze meg őket akár egy évig. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra biztonsági incidensek esetén. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

Típus: Vezérlősík

A tárolókhoz nem módosítható (írásvédett) gyökér fájlrendszert kell kényszeríteni

Leírás: A tárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk a Kubernetes-fürtben. A nem módosítható fájlrendszer megvédi a tárolókat a futtatáskor bekövetkező változásoktól, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A Kubernetes API-kiszolgálót korlátozott hozzáféréssel kell konfigurálni

Leírás: Annak érdekében, hogy csak az engedélyezett hálózatokból, gépekről vagy alhálózatokból származó alkalmazások férhessenek hozzá a fürthöz, korlátozza a Kubernetes API-kiszolgálóhoz való hozzáférést. A hozzáférést korlátozhatja az engedélyezett IP-tartományok meghatározásával, vagy az API-kiszolgálók privát fürtként való beállításával, ahogyan azt a Privát Azure Kubernetes Service-fürt létrehozása című témakörben leírtak ismertetik. (Kapcsolódó szabályzat: Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni.

Súlyosság: Magas

Típus: Vezérlősík

A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el

Leírás: A HTTPS használata biztosítja a hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információ: https://aka.ms/kubepolicydoc (Kapcsolódó szabályzat: HTTPS-bejövő forgalom kényszerítése a Kubernetes-fürtben).

Súlyosság: Magas

Típus: Kubernetes-adatsík

A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását

Leírás: Tiltsa le az API-hitelesítő adatok automatikus leválasztását, hogy megakadályozza, hogy egy potenciálisan sérült poderőforrás API-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtöknek le kell tiltania az automatikusan leválasztott API-hitelesítő adatokat).

Súlyosság: Magas

Típus: Kubernetes-adatsík

A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket

Leírás: A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Kubernetes adatsík

A Kubernetes-fürtök nem használhatják az alapértelmezett névteret

Leírás: A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem használhatják az alapértelmezett névteret).

Súlyosság: Alacsony

Típus: Kubernetes adatsík

A legkevésbé kiemelt Linux-képességeket a tárolókhoz kell kikényszeríteni

Leírás: A tároló támadási felületének csökkentéséhez korlátozza a Linux-képességeket, és adjon bizonyos jogosultságokat a tárolóknak a gyökérfelhasználó összes jogosultságának megadása nélkül. Javasoljuk, hogy az összes képességet elvetje, majd adja hozzá a szükséges képességeket (kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Engedélyezni kell a Microsoft Defender for Containers szolgáltatást

Leírás: A Microsoft Defender for Containers az Azure-, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.

A javaslat szervizelése díjjal jár a Kubernetes-fürtök védelméért. Ha nem rendelkezik Kubernetes-fürtökkel ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen Kubernetes-fürtöt hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

A kiemelt tárolókat kerülni kell

Leírás: A korlátlan gazdagéphozzáférés megakadályozása érdekében lehetőség szerint kerülje a kiemelt tárolókat.

A kiemelt tárolók a gazdagép összes gyökérképességével rendelkeznek. Ezek felhasználhatók belépési pontokként a támadásokhoz, és rosszindulatú kódok vagy kártevők terjesztésére a feltört alkalmazásokra, gazdagépekre és hálózatokra. (Kapcsolódó szabályzat: Ne engedélyezze a kiemelt tárolókat a Kubernetes-fürtben).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Szerepköralapú hozzáférés-vezérlést kell használni a Kubernetes Servicesben

Leírás: A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. (Kapcsolódó szabályzat: A szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni.

Súlyosság: Magas

Típus: Vezérlősík

Kerülni kell a tárolók gyökérfelhasználóként való futtatását

Leírás: A tárolók nem futtathatók gyökérfelhasználóként a Kubernetes-fürtben. A folyamat gyökérfelhasználóként való futtatása egy tárolóban gyökérként fut a gazdagépen. Ha biztonsági rés van, a támadó gyökerével rendelkezik a tárolóban, és a helytelen konfigurációk könnyebben kihasználhatóvá válnak. (Kapcsolódó szabályzat: A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futtathatók.

Súlyosság: Magas

Típus: Kubernetes-adatsík

A szolgáltatásoknak csak az engedélyezett portokon kell figyelnie

Leírás: A Kubernetes-fürt támadási felületének csökkentéséhez korlátozza a fürthöz való hozzáférést a szolgáltatások konfigurált portokhoz való hozzáférésének korlátozásával. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a szolgáltatások csak az engedélyezett portokon figyelnek a Kubernetes-fürtben).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Korlátozni kell a gazdagépek hálózatának és portjainak használatát

Leírás: A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. A hostNetwork attribútummal létrehozott podok megosztják a csomópont hálózati területét. Annak érdekében, hogy a sérült tároló ne sniffing hálózati forgalmat, javasoljuk, hogy ne helyezze a podokat a gazdahálózatra. Ha tárolóportot kell elérhetővé tennie a csomópont hálózatán, és a Kubernetes-szolgáltatás csomópontportjának használata nem felel meg az igényeinek, egy másik lehetőség a tárolóhoz tartozó hostPort megadása a pod specifikációjában. (Kapcsolódó szabályzat: A Kubernetes-fürt podjainak csak jóváhagyott gazdagéphálózatot és porttartományt kell használniuk.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A pod HostPath kötet-csatlakoztatásainak használatát egy ismert listára kell korlátozni, hogy a csomópontok hozzáférése korlátozva legyen a sérült tárolóktól

Leírás: Javasoljuk, hogy a Kubernetes-fürt pod HostPath-kötet-csatlakoztatásait a konfigurált engedélyezett gazdagépútvonalakra korlátozza. Ha biztonsági rés merül fel, a tárolócsomópont hozzáférését korlátozni kell a tárolókból. (Kapcsolódó szabályzat: A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak.

Súlyosság: Közepes

Típus: Kubernetes-adatsík

AWS-tárolójavaslatok

[Előzetes verzió] Az AWS-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításait meg kell oldani

Az AWS-adatbázis tárolólemezképeinek biztonsági résekkel kapcsolatos megállapításait (Microsoft Defender biztonságirés-kezelés) az új javaslat eltávolítja.

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

[Előzetes verzió] Az AWS-ben futó tárolók biztonságirés-megállapításait meg kell oldani

Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tároló számítási feladatról, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a beállításjegyzék lemezképeihez létrehozott rendszerképek és biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Feljegyzés

2024. október 6-tól ez a javaslat úgy lett frissítve, hogy csak egyetlen tárolót jelentsen az egyes gyökérvezérlőkhöz. Ha például egy cronjob több feladatot hoz létre, ahol minden feladat egy podot hoz létre egy sebezhető tárolóval, a javaslat csak a feladatban lévő sebezhető tárolók egyetlen példányát jelenti. Ez a módosítás segít eltávolítani az azonos tárolók ismétlődő jelentéseinek eltávolítását, amelyek egyetlen műveletet igényelnek a szervizeléshez. Ha a módosítás előtt használta ezt a javaslatot, a javaslat példányainak számának csökkenésére kell számítania.
A fejlesztés támogatása érdekében a javaslat értékelési kulcsát frissítettük a következőre 8749bb43-cd24-4cf9-848c-2a50f632043c: . Ha jelenleg biztonságirés-jelentéseket kér le ebből a javaslatból az API-val, győződjön meg arról, hogy frissíti az API-hívást az új értékelési kulcs használatára.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Az EKS-fürtöknek meg kell adniuk a szükséges AWS-engedélyeket a Felhőhöz készült Microsoft Defender

Leírás: A Microsoft Defender for Containers védelmet nyújt az EKS-fürtök számára. A fürt biztonsági réseinek és fenyegetéseinek figyeléséhez a Defender for Containers engedélyekkel rendelkezik az AWS-fiókhoz. Ezek az engedélyek lehetővé teszik a Kubernetes vezérlősík-naplózását a fürtön, és megbízható folyamatot hoznak létre a fürt és Felhőhöz készült Defender háttérrendszere között a felhőben. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

Az EKS-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével

Leírás: A Microsoft Defender fürtbővítménye biztonsági képességeket biztosít az EKS-fürtök számára. A bővítmény adatokat gyűjt egy fürtből és annak csomópontjaiból a biztonsági rések és fenyegetések azonosítása érdekében. A bővítmény az Azure Arc-kompatibilis Kubernetes szolgáltatással működik. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

Engedélyezni kell a Microsoft Defender for Containers szolgáltatást az AWS-összekötőken

Leírás: A Microsoft Defender for Containers valós idejű fenyegetésvédelmet biztosít a tárolóalapú környezetekhez, és riasztásokat hoz létre a gyanús tevékenységekről. Ezekkel az információkkal megerősítse a Kubernetes-fürtök biztonságát, és elhárítsa a biztonsági problémákat.

Amikor engedélyezi a Microsoft Defender for Containerst, és üzembe helyezi az Azure Arcot az EKS-fürtökön, megkezdődik a védelem – és a díjak . Ha nem telepíti az Azure Arcot egy fürtön, a Defender for Containers nem védi azt, és a fürthöz tartozó Microsoft Defender-csomagért nem merül fel díj.

Súlyosság: Magas

Adatsíkra vonatkozó javaslatok

Az Azure Policy kuberneteshez való engedélyezése után az AWS minden Kubernetes-adatsík biztonsági javaslatát támogatja.

GCP-tárolóra vonatkozó javaslatok

A Defender for Containers speciális konfigurációját engedélyezni kell a GCP-összekötőkben

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Annak érdekében, hogy a megoldás megfelelően legyen kiépítve, és a képességek teljes készlete elérhető legyen, engedélyezze az összes speciális konfigurációs beállítást.

Súlyosság: Magas

[Előzetes verzió] A tárolólemezképeknek a GCP-beállításjegyzékben meg kell oldaniuk a biztonságirés-megállapításokat

A javasolt GCP-tárolólemezképeknek feloldani kell a biztonságirés-megállapításokat (a Microsoft Defender biztonságirés-kezelésének segítségével az új javaslat általánosan elérhető lesz).

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

[Előzetes verzió] A GCP-ben futó tárolók biztonsági réseinek megállapításait meg kell oldani

Az új javaslat előzetes verzióban érhető el, és nem használható a biztonságos pontszám kiszámításához.

Feljegyzés

2024. október 6-tól ez a javaslat úgy lett frissítve, hogy csak egyetlen tárolót jelentsen az egyes gyökérvezérlőkhöz. Ha például egy cronjob több feladatot hoz létre, ahol minden feladat egy podot hoz létre egy sebezhető tárolóval, a javaslat csak a feladatban lévő sebezhető tárolók egyetlen példányát jelenti. Ez a módosítás segít eltávolítani az azonos tárolók ismétlődő jelentéseinek eltávolítását, amelyek egyetlen műveletet igényelnek a szervizeléshez. Ha a módosítás előtt használta ezt a javaslatot, a javaslat példányainak számának csökkenésére kell számítania.
A fejlesztés támogatása érdekében a javaslat értékelési kulcsát frissítettük a következőre 1b3abfa4-9e53-46f1-9627-51f2957f8bba: . Ha jelenleg biztonságirés-jelentéseket kér le ebből a javaslatból az API-val, győződjön meg arról, hogy frissíti az API-hívást az új értékelési kulcs használatára.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

A GKE-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével

Leírás: A Microsoft Defender fürtbővítménye biztonsági képességeket biztosít a GKE-fürtök számára. A bővítmény adatokat gyűjt egy fürtből és annak csomópontjaiból a biztonsági rések és fenyegetések azonosítása érdekében. A bővítmény az Azure Arc-kompatibilis Kubernetes szolgáltatással működik. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

A GKE-fürtöknek telepítve kell lenniük az Azure Policy-bővítménysel

Súlyosság: Magas

A Microsoft Defender for Containerst engedélyezni kell a GCP-összekötőken

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Engedélyezze a Tárolók csomagot a GCP-összekötőn, hogy megerősítse a Kubernetes-fürtök biztonságát, és elhárítsa a biztonsági problémákat. További információ a Microsoft Defender for Containers szolgáltatásról.

Súlyosság: Magas

Engedélyezni kell a GKE-fürt automatikus javítási funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz. key: autoRepair, value: true

Súlyosság: Közepes

Engedélyezni kell a GKE-fürt automatikus frissítési funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz. key: autoUpgrade, value: true

Súlyosság: Magas

Engedélyezni kell a GKE-fürtök monitorozását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt MonitoringService tulajdonsága tartalmazza-e azt a helyet, ahová a Felhőfigyelésnek metrikákat kell írnia.

Súlyosság: Közepes

Engedélyezni kell a GKE-fürtök naplózását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt loggingService tulajdonsága tartalmazza-e azt a helyet, amelyet a felhőnaplózásnak használnia kell a naplók írásához.

Súlyosság: Magas

A GKE webes irányítópultját le kell tiltani

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság kubernetesDashboard mezőjét a "disabled" (letiltva) kulcs-érték párhoz: false.

Súlyosság: Magas

Az örökölt hitelesítést le kell tiltani a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt legacyAbac tulajdonságát az "enabled" kulcs-érték párhoz: igaz.

Súlyosság: Magas

A vezérlősík által engedélyezett hálózatokat engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt masterAuthorizedNetworksConfig tulajdonságát az "enabled" kulcs-érték párhoz: hamis.

Súlyosság: Magas

A GKE-fürtöknek engedélyezniük kell az alias IP-tartományokat

Leírás: Ez a javaslat kiértékeli, hogy a fürtön lévő ipAllocationPolicy ipAllocationPolicy useIPAliases mezője hamis-e.

Súlyosság: Alacsony

A GKE-fürtöknek engedélyezniük kell a privát fürtöket

Leírás: Ez a javaslat kiértékeli, hogy a privateClusterConfig tulajdonság enablePrivateNodes mezője hamisra van-e állítva.

Súlyosság: Magas

A hálózati házirendet engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság networkPolicy mezőjét a "letiltva" kulcs-érték párhoz: igaz.

Súlyosság: Közepes

Adatsíkra vonatkozó javaslatok

Az Azure Policy kuberneteshez való engedélyezése után a GCP minden Kubernetes-adatsík biztonsági javaslatát támogatja.

Külső tárolóregisztrációs adatbázisokra vonatkozó javaslatok

[Előzetes verzió] A Docker Hub beállításjegyzékében lévő tárolólemezképek biztonságirés-megállapításait meg kell oldani

Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek elhárítása segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést."

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Megosztás a következőn keresztül:

Tárolóbiztonsági javaslatok

Azure-tárolókra vonatkozó javaslatok

AWS-tárolójavaslatok

Adatsíkra vonatkozó javaslatok

GCP-tárolóra vonatkozó javaslatok

Adatsíkra vonatkozó javaslatok

Külső tárolóregisztrációs adatbázisokra vonatkozó javaslatok

Kapcsolódó tartalom

Visszajelzés

További források