Azure biztonsági alapkonfiguráció az Azure Kubernetes Service -hez (AKS)
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Kubernetes Service-be (AKS). A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és az Azure Kubernetes Service (AKS) vonatkozó útmutatója csoportosítja.
Ezt a biztonsági alapkonfigurációt és javaslatait Felhőhöz készült Microsoft Defender használatával figyelheti. Az Azure Policy-definíciók a Felhőhöz készült Microsoft Defender portál oldalának Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Feljegyzés
Az Azure Kubernetes Service(AKS) szolgáltatásra nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy az Azure Kubernetes Service (AKS) hogyan képezi le teljesen a Microsoft felhőbiztonsági benchmarkját, tekintse meg az Azure Kubernetes Service (AKS) biztonsági alapkonfiguráció-leképezési fájlját.
Biztonsági profil
A biztonsági profil összefoglalja az Azure Kubernetes Service (AKS) nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | Tárolók |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Kubenet-hálózatkezelés használata saját IP-címtartományokkal az Azure Kubernetes Service-ben (AKS)
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Hálózati biztonsági csoportok
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Privát végpontok üzembe helyezése a Private Link szolgáltatást támogató összes Azure-erőforráshoz, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Referencia: Privát Azure Kubernetes Service-fürt létrehozása
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Az Azure CLI használatával letilthatja a nyilvános teljes tartománynevet egy privát Azure Kubernetes Service-fürtön.
Referencia: Privát Azure Kubernetes Service-fürt létrehozása
Felhőhöz készült Microsoft Defender monitorozás
Beépített Azure Policy-definíciók – Microsoft.ContainerService:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Az azure Active Directory (Azure AD) használata alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: AKS által felügyelt Azure Active Directory-integráció
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
Konfigurációs útmutató: Hitelesítheti, engedélyezheti, biztonságossá teheti és szabályozhatja a Kubernetes-fürtökhöz való hozzáférést a Kubernetes szerepköralapú hozzáférés-vezérlésével (Kubernetes RBAC) vagy az Azure Active Directory és az Azure RBAC használatával.
Referencia: Az Azure Kubernetes Service (AKS) hozzáférési és identitáskezelési lehetőségei
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatásjegyzetek: Alapértelmezés szerint egy AKS-fürt létrehozásakor automatikusan létrejön egy rendszer által hozzárendelt felügyelt identitás. Ha nem az Azure CLI-t használja az üzembe helyezéshez, hanem a saját virtuális hálózatát, a csatlakoztatott Azure-lemezt, a statikus IP-címet, az útvonaltáblát vagy a felhasználó által hozzárendelt kubelet-identitást, amely kívül esik a feldolgozó csomópont erőforráscsoportján, ajánlott felhasználó által hozzárendelt vezérlősík-identitást használni.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Felügyelt identitás használata az Azure Kubernetes Service-ben
Egyszerű szolgáltatások
Leírás: Az adatsík szolgáltatásnevek használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
Hivatkozás: Szolgáltatásnév létrehozása
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
Referencia:
- IM-1: Központosított identitás- és hitelesítési rendszer használata
- Feltételes hozzáférés használata az Azure AD-vel és az AKS-sel
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és hitelesítő adatok biztonságos helyeken, például az Azure Key Vaultban vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Referencia: CSI Titkos tár
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
Konfigurációs útmutató: Hitelesítheti, engedélyezheti, biztonságossá teheti és szabályozhatja a Kubernetes-fürtökhöz való hozzáférést a Kubernetes szerepköralapú hozzáférés-vezérlésével (Kubernetes RBAC) vagy az Azure Active Directory és az Azure RBAC használatával.
Ha a rutinszintű rendszergazdai műveletekhez nem szükséges, tiltsa le vagy korlátozza a helyi rendszergazdai fiókokat csak vészhelyzeti használatra.
Referencia: Az Azure Kubernetes Service (AKS) hozzáférési és identitáskezelési lehetőségei
PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.
Referencia: Az Azure RBAC használata Kubernetes-engedélyezéshez
Felhőhöz készült Microsoft Defender monitorozás
Beépített Azure Policy-definíciók – Microsoft.ContainerService:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Customer Lockbox for Microsoft Azure
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatáthelyezés monitorozásához (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Ha szükséges az adatveszteség-megelőzés (DLP) megfelelőségéhez, használhat gazdagépalapú DLP-megoldást az Azure Marketplace-ről vagy egy Microsoft 365 DLP-megoldást az adatkiszivárgás megakadályozása érdekében a detektív és/vagy megelőző vezérlők kényszerítéséhez.
Hivatkozás: A Microsoft Defender for Containers engedélyezése
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosításban
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, és a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: A TLS használata bejövőforgalom-vezérlővel az Azure Kubernetes Service-ben (AKS)
Felhőhöz készült Microsoft Defender monitorozás
Beépített Azure Policy-definíciók – Microsoft.ContainerService:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Funkciók
Inaktív adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Jellemzők megjegyzései: A gazdagépalapú titkosítás eltér a kiszolgálóoldali titkosítástól (SSE), amelyet az Azure Storage használ. Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a virtuális gép gazdagépével kezeli a titkosítást, mielőtt az adatok az Azure Storage-on keresztül áramolnak.
Konfigurációs útmutató: Inaktív adatok titkosításának engedélyezése platform által felügyelt (Microsoft által felügyelt) kulcsokkal, ahol a szolgáltatás nem konfigurálja automatikusan.
Referencia: Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Funkciók
Adatok inaktív titkosítással a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Adatok engedélyezése és implementálása inaktív titkosításkor az ügyfél által felügyelt kulccsal ezekhez a szolgáltatásokhoz.
Referencia: Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, kövesse a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és az Azure-szolgáltatásban (ha támogatott) meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az Azure Key Vaultban és az alkalmazásban manuális módszerekkel is elforgatja őket.
Referencia: A TLS használata saját tanúsítványokkal a Titkos kulcstár CSI-illesztőprogramjával
Eszközkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: A Felhőhöz készült Microsoft Defender használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérés észlelhető az erőforrásokon. Az Azure Policy [deny] és az [üzembe helyezés, ha nem létezik] effektusokkal kényszerítheti ki a biztonságos konfigurációt az Azure-erőforrások között.
Referencia: AKS beépített Azure Policy
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: A Microsoft Defender for Containers egy natív felhőbeli megoldás, amellyel biztonságossá teheti a tárolókat a fürtök, tárolók és alkalmazásaik biztonságának javítása, monitorozása és fenntartása érdekében.
Hivatkozás: A Microsoft Defender for Containers engedélyezése
Felhőhöz készült Microsoft Defender monitorozás
Beépített Azure Policy-definíciók – Microsoft.ContainerService:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Erőforrásnaplók engedélyezése a szolgáltatáshoz. A Key Vault például további erőforrásnaplókat támogat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy az Azure SQL rendelkezik olyan erőforrásnaplókkal, amelyek nyomon követik az adatbázishoz érkező kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Erőforrásnaplók gyűjtése
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Posture és biztonságirés-kezelés.
PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz
Funkciók
Egyéni tárolólemezképek
Desription: A szolgáltatás támogatja a felhasználó által biztosított tárolólemezképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információ
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Ha az Azure Container Registryt (ACR) az Azure Kubernetes Service-szel (AKS) használja, létre kell hoznia egy hitelesítési mechanizmust. Az ACR és az AKS közötti szükséges engedélyek konfigurálása az Azure CLI, az Azure PowerShell és az Azure Portal használatával végezhető el. Az AKS az ACR-integrációhoz hozzárendeli az AcrPull szerepkört az AKS-fürt ügynökkészletéhez társított Azure Active Directory (Azure AD) felügyelt identitáshoz.
Referencia: Az Azure Container Registry integrálása az Azure Kubernetes Service-szel – Azure Kubernetes Service
PV-5: Biztonsági rések felmérése
Funkciók
Sebezhetőségi felmérés a Microsoft Defender használatával
Desription: A szolgáltatás Felhőhöz készült Microsoft Defender vagy más Beágyazott Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójával (beleértve a Microsoft Defender kiszolgálóhoz, tárolóregisztrációs adatbázishoz, App Service-hez, SQL-hez és DNS-hez) használható sebezhetőségi vizsgálatokat. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: A csomag Azure Portalon keresztüli engedélyezésekor a Microsoft Defender for Containers alapértelmezés szerint úgy van konfigurálva, hogy automatikusan telepítse a szükséges összetevőket a csomag által biztosított védelem biztosításához, beleértve az alapértelmezett munkaterület hozzárendelését is.
Referencia: Az Azure Kubernetes Service sebezhetőségi kezelése – Azure Kubernetes Service
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Vevő |
Konfigurációs útmutató: Engedélyezze az Azure Backupot, és konfigurálja a biztonsági mentési forrást (például Azure Virtual Machines, SQL Server, HANA-adatbázisok vagy fájlmegosztások) a kívánt gyakorisággal és a kívánt megőrzési időtartammal. Az Azure Virtual Machines esetében az Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Az Azure Kubernetes Service biztonsági mentése az Azure Backup használatával
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési funkcióját (ha nem az Azure Backupot használja). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapkonfigurációiról