Garis besar keamanan Azure untuk Azure Kubernetes Service (AKS)
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Kubernetes Service (AKS). Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Kubernetes Service (AKS).
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure Kubernetes Service (AKS) telah dikecualikan. Untuk melihat bagaimana Azure Kubernetes Service (AKS) sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Kubernetes Service (AKS) lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Azure Kubernetes Service (AKS), yang dapat mengakibatkan peningkatan pertimbangan keamanan.
Atribut Perilaku Layanan | Nilai |
---|---|
Produk Kategori | Kontainer |
Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
Layanan dapat disebarkan ke jaringan virtual pelanggan | Benar |
Menyimpan konten pelanggan saat tidak aktif | Benar |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Virtual Network
Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Gunakan jaringan kubenet dengan rentang alamat IP Anda sendiri di Azure Kubernetes Service (AKS)
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Kelompok keamanan jaringan
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Tautan Privat Azure
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Referensi: Membuat kluster Azure Kubernetes Service privat
Nonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Azure CLI untuk menonaktifkan FQDN Publik pada kluster Azure Kubernetes Service privat.
Referensi: Membuat kluster Azure Kubernetes Service privat
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ContainerService:
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
Pengelolaan identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure ACTIVE Directory Diperlukan untuk Akses Data Plane
Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Integrasi Azure Active Directory yang dikelola AKS
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Anda dapat mengautentikasi, mengotorisasi, mengamankan, dan mengontrol akses ke kluster Kubernetes menggunakan kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) atau dengan menggunakan Azure Active Directory dan Azure RBAC.
Referensi: Opsi akses dan identitas untuk Azure Kubernetes Service (AKS)
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Benar | Microsoft |
Catatan fitur: Secara default, saat Anda membuat kluster AKS, identitas terkelola yang ditetapkan sistem dibuat secara otomatis. Jika Anda tidak menggunakan Azure CLI untuk penyebaran tetapi menggunakan VNet Anda sendiri, disk Azure terlampir, alamat IP statis, tabel rute, atau identitas kubelet yang ditetapkan pengguna yang berada di luar grup sumber daya simpul pekerja, disarankan untuk menggunakan identitas sarana kontrol yang ditetapkan pengguna.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Menggunakan identitas terkelola di Azure Kubernetes Service
Perwakilan layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Membuat Perwakilan Layanan
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyar Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.
Reference:
- IM-1: Gunakan sistem identitas dan autentikasi terpusat
- Menggunakan Akses Bersyarkat dengan Azure ACTIVE Directory dan AKS
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.
Referensi: Penyimpanan Rahasia CSI
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Anda dapat mengautentikasi, mengotorisasi, mengamankan, dan mengontrol akses ke kluster Kubernetes menggunakan kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) atau dengan menggunakan Azure Active Directory dan Azure RBAC.
Jika tidak diperlukan untuk operasi administratif rutin, nonaktifkan atau batasi akun admin lokal hanya untuk penggunaan darurat.
Referensi: Opsi akses dan identitas untuk Azure Kubernetes Service (AKS)
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Kontrol Akses Berbasis Peran Azure (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan untuk pengguna, grup, perwakilan layanan, dan identitas terkelola.
Referensi: Menggunakan Azure RBAC untuk Otorisasi Kubernetes
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ContainerService:
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.3 |
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Referensi: Customer Lockbox untuk Microsoft Azure
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Perlindungan Informasi Azure) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Salah | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host dari Marketplace Azure atau solusi Microsoft 365 DLP untuk memberlakukan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.
Referensi: Mengaktifkan Pertahanan Microsoft untuk Kontainer
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk data plane. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan. Untuk manajemen jarak jauh Komputer Virtual, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.
Referensi: Gunakan TLS dengan pengontrol ingress di Azure Kubernetes Service (AKS)
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ContainerService:
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Data saat Enkripsi Tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Catatan fitur: Enkripsi berbasis host berbeda dari enkripsi sisi server (SSE), yang digunakan oleh Azure Storage. Disk yang dikelola Azure menggunakan Azure Storage untuk mengenkripsi data saat tidak aktif secara otomatis saat menyimpan data. Enkripsi berbasis host menggunakan host Mesin Virtual untuk menangani enkripsi sebelum data mengalir melalui Azure Storage.
Panduan Konfigurasi: Aktifkan enkripsi data tidak aktif menggunakan kunci yang dikelola platform (dikelola Microsoft) di mana tidak dikonfigurasi secara otomatis oleh layanan.
Referensi: Enkripsi berbasis host pada Azure Kubernetes Service (AKS)
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Tidak Aktif Data Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Referensi: Enkripsi berbasis host pada Azure Kubernetes Service (AKS)
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau saat ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Referensi: Enkripsi berbasis host pada Azure Kubernetes Service (AKS)
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan pembersihan sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan rotasi masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Referensi: Gunakan TLS dengan sertifikat Anda sendiri dengan Secrets Store CSI Driver
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Referensi: Azure Policy Bawaan AKS
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Pertahanan Microsoft khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Pertahanan Microsoft untuk Kontainer adalah solusi cloud-native yang digunakan untuk mengamankan kontainer Anda sehingga Anda dapat meningkatkan, memantau, dan memelihara keamanan kluster, kontainer, dan aplikasi mereka.
Referensi: Mengaktifkan Pertahanan Microsoft untuk Kontainer
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ContainerService:
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Dinonaktifkan | 2.0.1 |
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis sumber daya dan layanan Azure.
Referensi: Mengumpulkan log sumber daya
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Postur dan pengelolaan kerentanan.
PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi
Fitur
Gambar Kontainer Kustom
Desripsi: Layanan mendukung penggunaan gambar kontainer yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Saat menggunakan Azure Container Registry (ACR) dengan Azure Kubernetes Service (AKS), Anda perlu membuat mekanisme autentikasi. Mengonfigurasi izin yang diperlukan antara ACR dan AKS dapat dicapai menggunakan Azure CLI, Azure PowerShell, dan portal Azure. Integrasi AKS ke ACR menetapkan peran AcrPull ke identitas terkelola Azure Active Directory (Azure AD) yang terkait dengan kumpulan agen di kluster AKS Anda.
Referensi: Mengintegrasikan Azure Container Registry dengan Azure Kubernetes Service - Azure Kubernetes Service
PV-5: Melakukan penilaian kerentanan
Fitur
Penilaian Kerentanan menggunakan Pertahanan Microsoft
Desripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan yang disematkan layanan Pertahanan Microsoft lainnya (termasuk Pertahanan Microsoft untuk server, registri kontainer, App Service, SQL, dan DNS). Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Secara default, saat mengaktifkan paket melalui portal Azure, Pertahanan Microsoft untuk Kontainer dikonfigurasi untuk menginstal komponen yang diperlukan secara otomatis untuk memberikan perlindungan yang ditawarkan oleh paket, termasuk penugasan ruang kerja default.
Referensi: Manajemen kerentanan untuk Azure Kubernetes Service - Azure Kubernetes Service
Cadangan dan pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Memastikan pencadangan otomatis regular
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Benar | Salah | Pelanggan |
Panduan Konfigurasi: Aktifkan Azure Backup dan konfigurasikan sumber cadangan (seperti Azure Virtual Machines, SQL Server, database HANA, atau Berbagi File) pada frekuensi yang diinginkan dan dengan periode retensi yang diinginkan. Untuk Azure Virtual Machines, Anda dapat menggunakan Azure Policy untuk mengaktifkan pencadangan otomatis.
Referensi: Mencadangkan Azure Kubernetes Service menggunakan Azure Backup
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.
Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
---|---|---|
Salah | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang garis besar keamanan Azure