次の方法で共有


Azure Kubernetes Service (AKS) の Azure セキュリティ ベースライン

このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0ガイダンスを Azure Kubernetes Service (AKS) に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Azure Kubernetes Service (AKS) に適用される関連ガイダンスによってグループ化されます。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。

機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Kubernetes Service (AKS) に適用できない機能 は除外されています。 Azure Kubernetes Service (AKS) が Microsoft クラウド セキュリティ ベンチマークにどのように完全にマップされるかについては、完全な Azure Kubernetes Service (AKS) セキュリティ ベースライン マッピング ファイルを参照してください

セキュリティ プロファイル

セキュリティ プロファイルは、Azure Kubernetes Service (AKS) の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。

サービス動作属性 Value
製品カテゴリ Containers
顧客が HOST または OS にアクセスできる アクセス許可なし
サービスを顧客の仮想ネットワークにデプロイできる True
顧客のコンテンツを保存する True

ネットワークのセキュリティ

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください

NS-1: ネットワーク セグメント化の境界を確立する

機能

Virtual Network 統合

[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。

リファレンス: Azure Kubernetes Service (AKS) で独自の IP アドレス範囲で kubenet ネットワークを使用する

ネットワーク セキュリティ グループのサポート

[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細情報。

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。

リファレンス: ネットワーク セキュリティ グループ

NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する

機能

[説明]: ネットワーク トラフィックをフィルター処理するための、サービスのネイティブ IP フィルタリング機能 (NSG または Azure Firewall とは異なります)。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Private Link 機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。

リファレンス: プライベート Azure Kubernetes Service クラスターを作成する

パブリック ネットワーク アクセスを無効にする

[説明]: サービスは、サービス レベルの IP ACL フィルタリング規則 (NSG または Azure Firewall ではなく) を使用した、または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用した、パブリック ネットワーク アクセスの無効化をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Azure CLI を使用して、プライベート Azure Kubernetes Service クラスターでパブリック FQDN を無効にします。

リファレンス: プライベート Azure Kubernetes Service クラスターを作成する

Microsoft Defender for Cloud による監視

Azure Policy 組み込み定義 - Microsoft.ContainerService:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 Audit、Disabled 2.0.1

ID 管理

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください

IM-1: 一元的な ID および認証システムを使用する

機能

データ プレーン アクセスに必要な Azure AD Authentication

[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。

リファレンス: AKS で管理される Azure Active Directory 統合

データ プレーン アクセスのローカル認証方法

[説明]: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

機能に関する注意事項: ローカル認証の方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。

構成ガイダンス: Kubernetes ロールベースのアクセス制御 (Kubernetes RBAC) を使用するか、Azure Active Directory と Azure RBAC を使用して、Kubernetes クラスターへのアクセスを認証、承認、セキュリティで保護、制御できます。

リファレンス: Azure Kubernetes Service (AKS) のアクセスと ID のオプション

IM-3: アプリケーション ID を安全かつ自動的に管理する

機能

マネージド ID

[説明]: データ プレーン アクションでマネージド ID を使用した認証がサポートされています。 詳細情報。

サポートされています 既定で有効 構成の責任
True True Microsoft

機能ノート: 既定では、AKS クラスターを作成すると、システム割り当てマネージド ID が自動的に作成されます。 デプロイに Azure CLI を使用せず、独自の VNet、接続された Azure ディスク、静的 IP アドレス、ルート テーブル、またはワーカー ノード リソース グループの外部にあるユーザー割り当て kubelet ID を使用する場合は、ユーザー割り当てコントロール プレーン ID を使用することをお勧めします。

構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。

リファレンス: Azure Kubernetes Service でマネージド ID を使用する

サービス プリンシパル

[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。

リファレンス: サービス プリンシパルを作成する

IM-7: 条件に基づいてリソースへのアクセスを制限する

機能

データ プレーンへの条件付きアクセス

[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) の条件付きアクセスに適用される条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対する組織が管理するデバイスの要求など、一般的なユース ケースを検討してください。

参照:

IM-8: 資格情報とシークレットの公開を制限する

機能

Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート

[説明]: データ プレーンは、資格情報とシークレット ストアのための Azure Key Vault のネイティブな使用をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: シークレットと資格情報は、コードまたは構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。

リファレンス: CSI シークレット ストア

特権アクセス

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください

PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する

機能

ローカル管理者アカウント

[説明]: サービスにはローカル管理者アカウントという概念があります。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

機能に関する注意事項: ローカル認証の方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。

構成ガイダンス: Kubernetes ロールベースのアクセス制御 (Kubernetes RBAC) を使用するか、Azure Active Directory と Azure RBAC を使用して、Kubernetes クラスターへのアクセスを認証、承認、セキュリティで保護、制御できます。

日常的な管理操作に必要ない場合は、緊急使用専用のローカル管理者アカウントを無効または制限します。

リファレンス: Azure Kubernetes Service (AKS) のアクセスと ID のオプション

PA-7: 必要十分な管理 (最小限の特権) の原則に従う

機能

Azure RBAC for Data Plane

[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: 組み込みのロールの割り当てを使用して Azure リソース アクセスを管理するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用します。 Azure RBAC ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。

リファレンス: Kubernetes 承認に Azure RBAC を使用する

Microsoft Defender for Cloud による監視

Azure Policy 組み込み定義 - Microsoft.ContainerService:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.3

PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する

機能

カスタマー ロックボックス

説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、Microsoft の各データ アクセス要求を承認または拒否します。

リファレンス: Microsoft Azure のカスタマー ロックボックス

データ保護

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください

DP-1:機密データを検出、分類、ラベル付けする

機能

機密データの検出と分類

説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細情報。

サポートされています 既定で有効 構成の責任
False 適用外 適用外

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。

DP-2: 機密データをターゲットにした異常と脅威を監視する

機能

データ漏えい/損失防止

説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: データ損失防止 (DLP) のコンプライアンスに必要な場合は、Azure Marketplace のホスト ベースの DLP ソリューションまたは Microsoft 365 DLP ソリューションを使用して、データ流出を防ぐために検出や予防の制御を適用できます。

リファレンス: Microsoft Defender for Containers を有効にする

DP-3: 転送中の機密データの暗号化

機能

転送中データの暗号化

[説明]: サービスはデータ プレーンの転送中データの暗号化をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスで、セキュリティで保護された転送を有効にします。 任意の Web アプリケーションとサービスに HTTPS を適用し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0、TLS v1.0 などのレガシ バージョンは無効にする必要があります。 Virtual Machines のリモート管理には、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。

リファレンス: Azure Kubernetes Service (AKS) のイングレス コントローラーで TLS を使用する

Microsoft Defender for Cloud による監視

Azure Policy 組み込み定義 - Microsoft.ContainerService:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.0

DP-4: 保存データ暗号化を既定で有効にする

機能

プラットフォーム キーを使用した保存データの暗号化

説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

機能ノート: ホストベースの暗号化は、Azure Storage で使用されるサーバー側暗号化 (SSE) とは異なります。 Azure マネージド ディスクでは、Azure Storage を使用してデータの保存時に保存データを自動的に暗号化します。 ホスト ベースの暗号化では、VM のホストを使用して、データが Azure Storage を通過する前に暗号化を処理します。

構成ガイダンス: サービスによって自動的に構成されないプラットフォームマネージド (Microsoft マネージド) キーを使用して、保存データの暗号化を有効にします。

リファレンス: Azure Kubernetes Service (AKS) でのホストベースの暗号化

DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する

機能

CMK を使用した保存データの暗号化

説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。

リファレンス: Azure Kubernetes Service (AKS) でのホストベースの暗号化

DP-6: セキュア キー管理プロセスの使用

機能

Azure Key Vault でのキー管理

説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。

リファレンス: Azure Kubernetes Service (AKS) でのホストベースの暗号化

DP-7: セキュリティで保護された証明書管理プロセスを使用する

機能

Azure Key Vault での証明書管理

説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Azure Key Vault を使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 証明書の生成が定義された標準に従っていて、不十分なキー サイズ、長すぎる有効期間、安全でない暗号化などのセキュリティで保護されていないプロパティを使用しないことを確認します。 Azure Key Vault と Azure サービス (サポートされている場合) に、定義されたスケジュールに基づく、または証明書の有効期限が切れたときの、証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。

リファレンス: シークレット ストア CSI ドライバーで独自の証明書で TLS を使用する

アセット管理

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください

AM-2: 承認済みのサービスのみを使用する

機能

Azure Policy のサポート

[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。

リファレンス: AKS 組み込みの Azure Policy

ログと脅威検出

詳細については、Microsoft クラウド セキュリティ ベンチマーク「 ログ記録と脅威検出」を参照してください。

LT-1: 脅威検出機能を有効にする

機能

サービス/製品のオファリングのための Microsoft Defender

説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Microsoft Defender for Containers は、クラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、および維持できるように、コンテナーをセキュリティで保護するために使用されるクラウドネイティブ ソリューションです。

リファレンス: Microsoft Defender for Containers を有効にする

Microsoft Defender for Cloud による監視

Azure Policy 組み込み定義 - Microsoft.ContainerService:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 Audit、Disabled 2.0.1

LT-4: セキュリティ調査のためのログを有効にする

機能

Azure リソース ログ

説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: サービスのリソース ログを有効にします。 たとえば、Key Vault では、キー コンテナーからシークレットを取得するアクションや、Azure SQL にデータベースへの要求を追跡するリソース ログを含むアクションの追加のリソース ログがサポートされています。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。

リファレンス: リソース ログの収集

体制と脆弱性の管理

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性の管理」を参照してください

PV-3: コンピューティング リソースのセキュリティで保護された構成を確立する

機能

カスタム コンテナー イメージ

Desription: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定のコンテナー イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細情報

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Azure Kubernetes Service (AKS) で Azure Container Registry (ACR) を使用する場合は、認証メカニズムを確立する必要があります。 ACR と AKS の間で必要なアクセス許可を構成するには、Azure CLI、Azure PowerShell、Azure portal を使用します。 AKS から ACR の統合により、AKS クラスター内のエージェント プールに関連付けられている Azure Active Directory (Azure AD) マネージド ID に AcrPull ロールが割り当てられます。

リファレンス: Azure Container Registry と Azure Kubernetes Service の統合 - Azure Kubernetes Service

PV-5: 脆弱性評価を実行する

機能

Microsoft Defender を使用した脆弱性評価

Desription: Microsoft Defender for Cloud またはその他の Microsoft Defender サービスの埋め込み脆弱性評価機能 (Microsoft Defender for server、コンテナー レジストリ、App Service、SQL、DNS など) を使用して、脆弱性スキャンをスキャンできます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: 既定では、Azure portal を使用してプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護を提供するために必要なコンポーネントを自動的にインストールするように構成されます。

リファレンス: Azure Kubernetes Service の脆弱性管理 - Azure Kubernetes Service

バックアップと回復

詳細については、「Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

機能

Azure Backup

説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細情報。

サポートされています 既定で有効 構成の責任
True False 顧客

構成ガイダンス: Azure Backup を有効にし、必要な保有期間で必要な頻度でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machines の場合、Azure Policy を使用して自動バックアップを有効にすることができます。

リファレンス: Azure Backup を使用して Azure Kubernetes Service をバックアップする

サービス ネイティブ バックアップ機能

[説明]: サービスは独自のネイティブ バックアップ機能 (Azure Backup を使用しない場合) をサポートします。 詳細情報。

サポートされています 既定で有効 構成の責任
False 適用外 適用外

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。

次のステップ