Baseline di sicurezza di Azure per servizio Azure Kubernetes (servizio Azure Kubernetes)
Questa baseline di sicurezza applica linee guida dal benchmark di sicurezza cloud Microsoft versione 1.0 a servizio Azure Kubernetes (servizio Azure Kubernetes). Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle indicazioni correlate applicabili a servizio Azure Kubernetes (servizio Azure Kubernetes).
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per il cloud. Le definizioni di Criteri di Azure verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender per il cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, queste vengono elencate in questa baseline per facilitare la misurazione della conformità ai controlli e alle raccomandazioni di Microsoft Cloud Security Benchmark. Alcuni consigli potrebbero includere l'utilizzo di un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili a servizio Azure Kubernetes (servizio Azure Kubernetes) sono state escluse. Per informazioni sul mapping completo di servizio Azure Kubernetes (servizio Azure Kubernetes) al benchmark della sicurezza cloud Microsoft, vedere il file di mapping completo servizio Azure Kubernetes della baseline di sicurezza del servizio Azure Kubernetes.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di servizio Azure Kubernetes (servizio Azure Kubernetes), con conseguente aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | Contenitori |
| Il cliente può accedere a HOST/sistema operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Sicurezza di rete.
NS-1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente( VNet). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Supporto dei gruppi di sicurezza di rete
Descrizione: il traffico di rete del servizio rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Gruppi di sicurezza di rete
NS-2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità collegamento privato, per stabilire un punto di accesso privato per le risorse.
Riferimento: Creare un cluster di servizio Azure Kubernetes privato
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: usare l'interfaccia della riga di comando di Azure per disabilitare il nome di dominio completo pubblico in un cluster servizio Azure Kubernetes privato.
Riferimento: Creare un cluster di servizio Azure Kubernetes privato
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ContainerService:
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
Gestione delle identità
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Informazioni di riferimento: Integrazione di Azure Active Directory gestita dal servizio Azure Kubernetes
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.
Linee guida sulla configurazione: è possibile autenticare, autorizzare, proteggere e controllare l'accesso ai cluster Kubernetes usando il controllo degli accessi in base al ruolo di Kubernetes o usando Azure Active Directory e il controllo degli accessi in base al ruolo di Azure.
Riferimento: Opzioni di accesso e identità per servizio Azure Kubernetes (servizio Azure Kubernetes)
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando le identità gestite. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Vero | Microsoft |
Note sulla funzionalità: per impostazione predefinita, quando si crea un cluster del servizio Azure Kubernetes viene creata automaticamente un'identità gestita assegnata dal sistema. Se non si usa l'interfaccia della riga di comando di Azure per la distribuzione, ma si usa la propria rete virtuale, il disco di Azure collegato, l'indirizzo IP statico, la tabella di route o l'identità kubelet assegnata dall'utente all'esterno del gruppo di risorse del nodo di lavoro, è consigliabile usare l'identità del piano di controllo assegnata dall'utente.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: usare un'identità gestita in servizio Azure Kubernetes
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida sulla configurazione: non sono disponibili linee guida microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Creare un'entità servizio
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Considerare casi d'uso comuni, ad esempio bloccare o concedere l'accesso da posizioni specifiche, bloccare il comportamento di accesso rischioso o richiedere dispositivi gestiti dall'organizzazione per applicazioni specifiche.
Reference:
- IM-1: Usare un sistema centralizzato di identità e autenticazione
- Usare l'accesso condizionale con Azure AD e il servizio Azure Kubernetes
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida sulla configurazione: assicurarsi che i segreti e le credenziali siano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o di configurazione.
Riferimento: Archivio segreti CSI
Accesso con privilegi
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account amministratore locale
Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: evitare l'utilizzo dei metodi o degli account di autenticazione locali, questi devono essere disabilitati laddove possibile. Usare invece Azure AD per eseguire l'autenticazione dove possibile.
Linee guida sulla configurazione: è possibile autenticare, autorizzare, proteggere e controllare l'accesso ai cluster Kubernetes usando il controllo degli accessi in base al ruolo di Kubernetes o usando Azure Active Directory e il controllo degli accessi in base al ruolo di Azure.
Se non è necessario per le operazioni amministrative di routine, disabilitare o limitare gli account amministratore locali solo per uso di emergenza.
Riferimento: Opzioni di accesso e identità per servizio Azure Kubernetes (servizio Azure Kubernetes)
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per piano dati
Descrizione: il Controllo di accesso basato sui ruoli di Azure può essere usato per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse di Azure tramite assegnazioni di ruolo predefinite. I ruoli controllo degli accessi in base al ruolo di Azure possono essere assegnati a utenti, gruppi, entità servizio e identità gestite.
Informazioni di riferimento: Usare il controllo degli accessi in base al ruolo di Azure per l'autorizzazione kubernetes
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ContainerService:
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto tecnico Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, quindi approvare o rifiutare ognuna delle richieste di accesso ai dati di Microsoft.
Riferimento: Customer Lockbox per Microsoft Azure
Protezione dei dati
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
Funzionalità
Prevenzione della perdita/perdita di dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida sulla configurazione: se necessario per la conformità della prevenzione della perdita dei dati (DLP), è possibile usare una soluzione DLP basata su host da Azure Marketplace o una soluzione DLP di Microsoft 365 per applicare controlli detective e/o preventivi per impedire l'esfiltrazione dei dati.
Riferimento: Abilitare Microsoft Defender per contenitori
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui è presente una funzionalità nativa di crittografia dei dati in transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che venga usato TLS v1.2 o versione successiva. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Riferimento: usare TLS con un controller di ingresso in servizio Azure Kubernetes (servizio Azure Kubernetes)
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ContainerService:
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Note sulle funzionalità: la crittografia basata su host è diversa dalla crittografia lato server (SSE), usata da Archiviazione di Azure. I dischi gestiti da Azure usano Archiviazione di Azure per crittografare automaticamente i dati inattivi durante il salvataggio dei dati. La crittografia basata su host usa l'host della macchina virtuale per gestire la crittografia prima che i dati vengano trasmessi attraverso Archiviazione di Azure.
Linee guida per la configurazione: abilitare la crittografia dei dati inattivi usando chiavi gestite dalla piattaforma (gestite da Microsoft) in cui non sono configurati automaticamente dal servizio.
Riferimento: Crittografia basata su host su servizio Azure Kubernetes (servizio Azure Kubernetes)
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Crittografia basata su host su servizio Azure Kubernetes (servizio Azure Kubernetes)
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Assicurarsi che le chiavi siano registrate con Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Riferimento: Crittografia basata su host su servizio Azure Kubernetes (servizio Azure Kubernetes)
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per i certificati dei clienti. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione, importazione, rotazione, revoca, archiviazione e eliminazione del certificato. Assicurarsi che la generazione di certificati segua gli standard definiti senza usare proprietà non sicure, ad esempio: dimensioni della chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura. Configurare la rotazione automatica del certificato in Azure Key Vault e il servizio di Azure (se supportato) in base a una pianificazione definita o quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione, assicurarsi che siano ancora ruotate usando metodi manuali in Azure Key Vault e nell'applicazione.
Riferimento: usare TLS con certificati personalizzati con il driver CSI dell'archivio segreti
Gestione cespiti
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: usare Microsoft Defender per il cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Criteri di Azure predefiniti del servizio Azure Kubernetes
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione Microsoft Defender specifica per l'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: Microsoft Defender per contenitori è la soluzione nativa del cloud usata per proteggere i contenitori in modo da poter migliorare, monitorare e mantenere la sicurezza dei cluster, dei contenitori e delle relative applicazioni.
Riferimento: Abilitare Microsoft Defender per contenitori
Monitoraggio di Microsoft Defender for Cloud
Criteri di Azure definizioni predefinite - Microsoft.ContainerService:
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito al cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio genera log delle risorse che possono fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro Log Analytics. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL dispone di log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Riferimento: Raccogliere i log delle risorse
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark della sicurezza del cloud Microsoft: Postura e gestione delle vulnerabilità.
PV-3: Stabilire configurazioni sicure per le risorse di calcolo
Funzionalità
Immagini di contenitori personalizzate
Desription: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Ulteriori informazioni
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: quando si usa Registro Azure Container (ACR) con servizio Azure Kubernetes (AKS), è necessario stabilire un meccanismo di autenticazione. È possibile configurare le autorizzazioni necessarie tra Registro Azure Container e servizio Azure Kubernetes usando l'interfaccia della riga di comando di Azure, Azure PowerShell e portale di Azure. L'integrazione del servizio Azure Kubernetes a Registro Azure Container assegna il ruolo AcrPull all'identità gestita di Azure Active Directory (Azure AD) associata al pool di agenti nel cluster del servizio Azure Kubernetes.
Riferimento: Integrare Registro Azure Container con servizio Azure Kubernetes - servizio Azure Kubernetes
PV-5: Eseguire valutazioni delle vulnerabilità
Funzionalità
Valutazione della vulnerabilità con Microsoft Defender
Rimozione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per il cloud o altre funzionalità di valutazione delle vulnerabilità incorporate di Microsoft Defender Services (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Indicazioni sulla configurazione: per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per installare automaticamente i componenti necessari per fornire le protezioni offerte dal piano, inclusa l'assegnazione di un'area di lavoro predefinita.
Riferimento: Gestione delle vulnerabilità per servizio Azure Kubernetes - servizio Azure Kubernetes
Backup e ripristino
Per altre informazioni, vedere Il benchmark della sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | False | Customer |
Linee guida per la configurazione: abilitare Backup di Azure e configurare l'origine di backup (ad esempio Azure Macchine virtuali, SQL Server, database HANA o condivisioni file) in base alla frequenza desiderata e con un periodo di conservazione desiderato. Per Azure Macchine virtuali, è possibile usare Criteri di Azure per abilitare i backup automatici.
Riferimento: Eseguire il backup di servizio Azure Kubernetes usando Backup di Azure
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni.
| Supportata | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure