Garis besar keamanan Azure untuk Container Registry

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Container Registry. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Container Registry.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Microsoft Defender untuk Cloud.

Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Container Registry telah dikecualikan. Untuk melihat bagaimana Container Registry sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Container Registry lengkap.

Profil keamanan

Profil keamanan meringkas perilaku berdampak tinggi dari Container Registry, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk Komputasi, Kontainer
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan FALSE
Menyimpan konten pelanggan saat tidak aktif True

Network security

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Dukungan Kelompok Keamanan Jaringan

Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.

Referensi: Menyambungkan secara privat ke registri kontainer Azure menggunakan Azure Private Link

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau dengan mengaktifkan pengaturan 'nonaktifkan akses jaringan publik' pada layanan.

Referensi: Menonaktifkan akses jaringan publik

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri tersebut akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 1.1.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Mengautentikasi dengan registri kontainer Azure

Metode Autentikasi Lokal untuk Akses Data Plane

Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.

Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Membuat token dengan izin cakupan repositori

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Referensi: Gunakan identitas terkelola Azure untuk mengautentikasi ke registri kontainer Azure

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Tambahan: Meskipun perwakilan layanan didukung oleh layanan sebagai pola untuk autentikasi, sebaiknya gunakan Identitas Terkelola jika memungkinkan sebagai gantinya.

Referensi: Azure Container Registry autentikasi dengan perwakilan layanan

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif

Fitur

Akun Admin Lokal

Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.

Panduan Konfigurasi: Jika tidak diperlukan untuk operasi administratif rutin, nonaktifkan atau batasi akun admin lokal apa pun hanya untuk penggunaan darurat. Setiap registri kontainer menyertakan akun pengguna admin, yang dinonaktifkan secara default.

Referensi: Mengautentikasi dengan registri kontainer Azure

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Azure Container Registry peran dan izin

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.

Referensi: Customer Lockbox untuk Microsoft Azure

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Nonaktifkan ekspor registri kontainer untuk memastikan data diakses hanya melalui sarana data ('docker pull'). Ini memastikan Data tidak dapat dipindahkan dari registri melalui 'acr import' atau melalui 'acr transfer'.

Referensi: Registri kontainer harus menonaktifkan ekspor

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Cara mengaktifkan TLS 1.2 di Azure Container Registry

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Mengenkripsi registri menggunakan kunci yang dikelola platform

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Mengenkripsi registri menggunakan kunci yang dikelola pelanggan

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.

Referensi: Kepatuhan audit registri kontainer Azure menggunakan Azure Policy

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Layanan / Penawaran Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk kemampuan deteksi ancaman bawaan Cloud dan aktifkan Microsoft Defender untuk sumber daya Container Registry Anda. Microsoft Defender untuk Container Registry menyediakan lapisan kecerdasan keamanan lainnya. Ini mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Container Registry Anda.

Referensi: Gambaran umum Microsoft Defender untuk Kontainer

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya Azure untuk Container Registry. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan untuk latihan forensik.

Referensi: Memantau Azure Container Registry

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Langkah berikutnya