Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Kubernetes Service (AKS)
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Kubernetes Service (AKS). Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące usługi Azure Kubernetes Service (AKS).
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu Microsoft Defender dla Chmury. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender dla Chmury.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do usługi Azure Kubernetes Service (AKS), zostały wykluczone. Aby zobaczyć, jak usługa Azure Kubernetes Service (AKS) całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Kubernetes Service (AKS).
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Kubernetes Service (AKS), co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Kontenery |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: używanie sieci kubenet z własnymi zakresami adresów IP w usłudze Azure Kubernetes Service (AKS)
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Sieciowe grupy zabezpieczeń
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: tworzenie prywatnego klastra usługi Azure Kubernetes Service
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj interfejsu wiersza polecenia platformy Azure, aby wyłączyć publiczną nazwę FQDN w prywatnym klastrze usługi Azure Kubernetes Service.
Dokumentacja: tworzenie prywatnego klastra usługi Azure Kubernetes Service
monitorowanie Microsoft Defender dla Chmury
Wbudowane definicje usługi Azure Policy — Microsoft.ContainerService:
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: Integracja z usługą Azure Active Directory zarządzaną przez usługę AKS
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: możesz uwierzytelnić, autoryzować, zabezpieczyć i kontrolować dostęp do klastrów Kubernetes przy użyciu kontroli dostępu opartej na rolach (Kubernetes RBAC) lub przy użyciu usługi Azure Active Directory i kontroli dostępu opartej na rolach platformy Azure.
Dokumentacja: Opcje dostępu i tożsamości dla usługi Azure Kubernetes Service (AKS)
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: domyślnie podczas tworzenia klastra usługi AKS jest automatycznie tworzona tożsamość zarządzana przypisana przez system. Jeśli nie używasz interfejsu wiersza polecenia platformy Azure do wdrożenia, ale używasz własnej sieci wirtualnej, dołączonego dysku platformy Azure, statycznego adresu IP, tabeli tras lub tożsamości kubelet przypisanej przez użytkownika, która znajduje się poza grupą zasobów węzła roboczego, zaleca się użycie tożsamości płaszczyzny sterowania przypisanej przez użytkownika.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Używanie tożsamości zarządzanej w usłudze Azure Kubernetes Service
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: tworzenie jednostki usługi
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
Reference:
- IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
- Używanie dostępu warunkowego z usługami Azure AD i AKS
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Poświadczenia usługi i wpisy tajne obsługują integrację i magazyn w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzania ich w kodzie lub plikach konfiguracji.
Dokumentacja: CSI Secret Store
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: możesz uwierzytelnić, autoryzować, zabezpieczyć i kontrolować dostęp do klastrów Kubernetes przy użyciu kontroli dostępu opartej na rolach (Kubernetes RBAC) lub przy użyciu usługi Azure Active Directory i kontroli dostępu opartej na rolach platformy Azure.
Jeśli nie jest to wymagane w przypadku rutynowych operacji administracyjnych, wyłącz lub ogranicz konta administratora lokalnego tylko do użytku awaryjnego.
Dokumentacja: Opcje dostępu i tożsamości dla usługi Azure Kubernetes Service (AKS)
PA-7: przestrzeganie zasady minimalnego wystarczającego zakresu administracji (zasada najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Role RBAC platformy Azure można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.
Dokumentacja: Używanie kontroli dostępu opartej na rolach platformy Azure na potrzeby autoryzacji na platformie Kubernetes
monitorowanie Microsoft Defender dla Chmury
Wbudowane definicje usługi Azure Policy — Microsoft.ContainerService:
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta, aby przejrzeć, a następnie zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft.
Dokumentacja: Skrytka klienta dla platformy Microsoft Azure
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Jeśli jest to wymagane w celu zapewnienia zgodności z zapobieganiem utracie danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z witryny Azure Marketplace lub rozwiązania DLP platformy Microsoft 365 w celu wymuszenia mechanizmów wykrywania i/lub środków zapobiegawczych w celu zapobiegania eksfiltracji danych.
Dokumentacja: Włączanie usługi Microsoft Defender dla kontenerów
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włącz bezpieczny transfer w usługach, w których wbudowane są natywne dane przesyłane. Wymuś protokół HTTPS w dowolnych aplikacjach internetowych i usługach i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Dokumentacja: Używanie protokołu TLS z kontrolerem ruchu przychodzącego w usłudze Azure Kubernetes Service (AKS)
monitorowanie Microsoft Defender dla Chmury
Wbudowane definicje usługi Azure Policy — Microsoft.ContainerService:
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane, każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: szyfrowanie oparte na hoście różni się od szyfrowania po stronie serwera (SSE), które jest używane przez usługę Azure Storage. Dyski zarządzane platformy Azure używają usługi Azure Storage do automatycznego szyfrowania danych magazynowanych podczas zapisywania danych. Szyfrowanie oparte na hoście używa hosta maszyny wirtualnej do obsługi szyfrowania przed przepływem danych przez usługę Azure Storage.
Wskazówki dotyczące konfiguracji: Włączanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez platformę (zarządzanych przez firmę Microsoft), które nie są automatycznie konfigurowane przez usługę.
Dokumentacja: szyfrowanie oparte na hoście w usłudze Azure Kubernetes Service (AKS)
DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Dokumentacja: szyfrowanie oparte na hoście w usłudze Azure Kubernetes Service (AKS)
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyne za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Dokumentacja: szyfrowanie oparte na hoście w usłudze Azure Kubernetes Service (AKS)
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie, importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania żadnych niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że nadal są obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.
Dokumentacja: Używanie protokołu TLS z własnymi certyfikatami za pomocą sterownika CSI magazynu wpisów tajnych
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender dla Chmury, aby skonfigurować usługę Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj funkcji Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację w zasobach platformy Azure.
Dokumentacja: Wbudowana usługa Azure Policy w usłudze AKS
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Usługa Microsoft Defender dla usług/oferta produktów
Opis: Usługa oferuje rozwiązanie usługi Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury, które służy do zabezpieczania kontenerów, co umożliwia ulepszanie, monitorowanie i utrzymywanie zabezpieczeń klastrów, kontenerów i aplikacji.
Dokumentacja: Włączanie usługi Microsoft Defender dla kontenerów
monitorowanie Microsoft Defender dla Chmury
Wbudowane definicje usługi Azure Policy — Microsoft.ContainerService:
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w usłudze https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Inspekcja, wyłączone | 2.0.1 |
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub usługa Azure SQL zawiera dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Dokumentacja: Zbieranie dzienników zasobów
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Niestandardowe obrazy kontenerów
Desription: usługa obsługuje korzystanie z obrazów kontenerów dostarczonych przez użytkownika lub wstępnie skompilowanych obrazów z witryny Marketplace z określonymi konfiguracjami odniesienia wstępnie zastosowanymi. Dowiedz się więcej
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadku korzystania z usługi Azure Container Registry (ACR) z usługą Azure Kubernetes Service (AKS) należy ustanowić mechanizm uwierzytelniania. Skonfigurowanie wymaganych uprawnień między usługą ACR i usługą AKS można wykonać przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell i witryny Azure Portal. Integracja usługi AKS z usługą ACR przypisuje rolę AcrPull do tożsamości zarządzanej usługi Azure Active Directory (Azure AD) skojarzonej z pulą agentów w klastrze usługi AKS.
Dokumentacja: integracja usługi Azure Container Registry z usługą Azure Kubernetes Service — Azure Kubernetes Service
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu usługi Microsoft Defender
Desription: Usługa może być skanowana pod kątem skanowania luk w zabezpieczeniach przy użyciu Microsoft Defender dla Chmury lub innych funkcji oceny luk w zabezpieczeniach usługi Microsoft Defender (w tym usługi Microsoft Defender dla serwera, rejestru kontenerów, usługi App Service, SQL i DNS). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.
Dokumentacja: Zarządzanie lukami w zabezpieczeniach dla usługi Azure Kubernetes Service — Azure Kubernetes Service
Tworzenie kopii zapasowych i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Włączanie usługi Azure Backup i konfigurowanie źródła kopii zapasowej (na przykład usługi Azure Virtual Machines, bazy danych SQL Server, bazy danych HANA lub udziały plików) z żądaną częstotliwością i żądanym okresem przechowywania. W przypadku usługi Azure Virtual Machines można użyć usługi Azure Policy do włączenia automatycznych kopii zapasowych.
Dokumentacja: Tworzenie kopii zapasowej usługi Azure Kubernetes Service przy użyciu usługi Azure Backup
Możliwości tworzenia kopii zapasowej natywnej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Następne kroki
- Zobacz omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure