Azure-beveiligingsbasislijn voor Container Instances
Artikel
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Container Instances. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Container Instances.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: NSG-regels gebruiken om containertoegang tot subnetten of andere netwerkbronnen te beheren
Opmerking: het plaatsen van een Azure Load Balancer vóór containerinstanties in een netwerkcontainergroep wordt niet ondersteund.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Functieopmerkingen: de klant kan een door het systeem toegewezen beheerde identiteit maken voor veilige toegang tot resources in ARM
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Gebruik beheerde identiteiten voor Azure-resources om code uit te voeren in Azure Container Instances die communiceert met andere Azure-services, zonder geheimen of referenties in code te onderhouden. De functie biedt een Azure Container Instances implementatie met een automatisch beheerde identiteit in Azure Active Directory.
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-7: toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlakken kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
IM-8: beperk de blootstelling van referenties en geheimen
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, gebruikt u Op rollen gebaseerd toegangsbeheer (Azure RBAC) om de toegang tot gegevens en resources in een Azure-containerregister te beheren.
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Microsoft
Configuratierichtlijnen: Schakel data-at-rest-versleuteling in met behulp van door het platform beheerde (Door Microsoft beheerde) sleutels, waarbij deze niet automatisch door de service worden geconfigureerd.
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren die worden gebruikt voor de door de klant beheerde versleuteling voor uw containerinstantie.
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Opmerkingen bij de functie: Azure Container Instances ondersteunt het configureren van beleid voor 2 functies (CMK en implementaties in een virtueel particulier netwerk)
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Log Analytics-werkruimten bieden een centrale locatie voor het opslaan en opvragen van logboekgegevens, niet alleen van Azure-resources, maar ook van on-premises resources en resources in andere clouds. Azure Container Instances bevat ingebouwde ondersteuning voor het verzenden van logboeken en gebeurtenisgegevens naar Azure Monitor-logboeken.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Opmerkingen bij functies: ACI wordt aanbevolen voor stateless toepassingen en we bieden geen back-upservice. Klanten kunnen kiezen voor regio's die ondersteuning bieden voor AZ-ondersteuning om hun implementaties in dezelfde regio te ondersteunen. Voor meerdere regio's moeten ze een oplossing voor back-up en herstel na noodgevallen ontwerpen door hun apps in ACI in meerdere regio's te implementeren en verkeer te routeren met traffic manager om use cases voor herstel na noodgevallen af te handelen.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Evalueer of Azure Backup geschikt is om te gebruiken voor uw back-upbehoeften en beschrijf hoe de functies van Azure Backup werken om back-upoplossingen te bieden voor uw behoeften.
Demonstreert de basisprincipes van gegevensbeveiliging, levenscyclusbeheer, informatiebeveiliging en naleving om een Microsoft 365-implementatie te beschermen.