Conformidade com a auditoria dos registos de contentores da Azure utilizando Azure Policy

Azure Policy é um serviço em Azure que usa para criar, atribuir e gerir definições políticas. Estas definições de política impõem diferentes regras e efeitos sobre os seus recursos, para que esses recursos permaneçam conformes com os seus padrões corporativos e acordos de nível de serviço.

Este artigo introduz definições políticas incorporadas para Azure Container Registry. Utilize estas definições para auditar novos registos existentes para o cumprimento.

Não há nenhuma acusação para usar Azure Policy.

Definições políticas incorporadas

As seguintes definições de política incorporadas são específicas para Azure Container Registry:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: [Pré-visualização]: O registo do contentor deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
Configure os registos de contentores para desativar a autenticação anónima. Desative a atrção anónima do seu registo para que os dados não estejam acessíveis por utilizador não autenticado. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desativar 1.0.0
Configure os registos de contentores para desativar a autenticação do símbolo do público da ARM. Desative os tokens de audiência do Azure Ative Directory ARM para autenticação no seu registo. Apenas Azure Container Registry fichas de audiência (ACR) serão usadas para autenticação. Isto garantirá que apenas os tokens destinados à utilização no registo podem ser utilizados para a autenticação. A desativação dos tokens de audiência da ARM não afeta a autenticação dos tokens de acesso do utilizador administrativo ou do alcance. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desativar 1.0.0
Configure os registos de contentores para desativar a conta de administração local. Desativar a conta de administração para que não seja acessível por administração local. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desativar 1.0.1
Configure registos de contentores para desativar o acesso à rede pública Desative o acesso à rede pública para o seu recurso de registo de contentores para que não seja acessível através da internet pública. Isto pode reduzir os riscos de fuga de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. . Modificar, Desativar 1.0.0
Configure os registos de contentores para desativar o token de acesso de resíduo. Desative os tokens de acesso do repositório para o seu registo para que os repositórios não sejam acessíveis por fichas. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desativar 1.0.0
Configure registos de contentores com pontos finais privados Os pontos finais privados ligam a sua rede virtual aos serviços Azure sem endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus recursos de registo de contentores premium, pode reduzir os riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link. ImplementarIfNotExists, Desativado 1.0.0
Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente Utilize as chaves geridas pelo cliente para gerir a encriptação no resto do conteúdo dos seus registos. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/acr/CMK. Auditoria, Negar, Deficientes 1.1.2
Os registos de contentores devem ter a autenticação anónima desativada. Desative a atrção anónima do seu registo para que os dados não estejam acessíveis por utilizador não autenticado. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Auditoria, Negar, Deficientes 1.0.0
Os registos de contentores devem ter a autenticação do símbolo do público ARM desativada. Desative os tokens de audiência do Azure Ative Directory ARM para autenticação no seu registo. Apenas Azure Container Registry fichas de audiência (ACR) serão usadas para autenticação. Isto garantirá que apenas os tokens destinados à utilização no registo podem ser utilizados para a autenticação. A desativação dos tokens de audiência da ARM não afeta a autenticação dos tokens de acesso do utilizador administrativo ou do alcance. Saiba mais em: https://aka.ms/acr/authentication. Auditoria, Negar, Deficientes 1.0.0
Os registos de contentores devem ter exportações desativadas A desativação das exportações melhora a segurança, garantindo que os dados num registo são acedidos unicamente através do plano de dados ('docker pull'). Os dados não podem ser retirados do registo através da "importação de acr" ou através de "transferência acr". Para facilitar as exportações, o acesso à rede pública deve ser desativado. Saiba mais em: https://aka.ms/acr/export-policy. Auditoria, Negar, Deficientes 1.0.0
Os registos de contentores devem ter a conta de administração local desativada. Desativar a conta de administração para que não seja acessível por administração local. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Auditoria, Negar, Deficientes 1.0.1
Os registos de contentores devem ter o repositório de acesso desativado. Desative os tokens de acesso do repositório para o seu registo para que os repositórios não sejam acessíveis por fichas. A desativação de métodos locais de autenticação como o utilizador administrativo, os tokens de acesso de âmbito de repositório e a atração anónima melhora a segurança, garantindo que os registos de contentores requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://aka.ms/acr/authentication. Auditoria, Negar, Deficientes 1.0.0
Os registos de contentores devem ter SKUs que suportem links privados Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os registos dos seus contentores em vez de todo o serviço, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Negar, Deficientes 1.0.0
Os registos de contentores não devem permitir o acesso ilimitado à rede Os registos de contentores Azure por padrão aceitam ligações através da internet de anfitriões em qualquer rede. Para proteger os seus registos de ameaças potenciais, permita o acesso a partir de apenas pontos finais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registo não tiver regras de rede configuradas, aparecerá nos recursos pouco saudáveis. Saiba mais sobre as regras da rede de registo de contentores aqui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
Imagens de registo de contentores devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade da imagem do contentor verifica o seu registo de vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 2.0.1
O acesso à rede pública deve ser desativado para registos de contentores A desativação do acesso à rede pública melhora a segurança, garantindo que os registos de contentores não sejam expostos na internet pública. A criação de pontos finais privados pode limitar a exposição dos recursos de registo de contentores. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. Auditoria, Negar, Deficientes 1.0.0

Criar atribuições políticas

Nota

Depois de criar ou atualizar uma atribuição de política, a atribuição leva algum tempo para avaliar os recursos no âmbito definido. Consulte informações sobre os gatilhos de avaliação de políticas.

Rever cumprimento da política

Aceder a informações de conformidade geradas pelas suas atribuições de política utilizando as ferramentas de linha de comando portal do Azure, Azure ou os Azure Policy SDKs. Para mais informações, consulte obter dados de conformidade dos recursos da Azure.

Quando um recurso não é conforme, existem muitas razões possíveis. Para determinar a razão ou para encontrar a alteração responsável, consulte determinar o incumprimento.

Conformidade da política no portal:

  1. Selecione Todos os serviços e procure por Política.

  2. Selecione Compliance.

  3. Utilize os filtros para limitar os estados de conformidade ou para procurar políticas.

    Conformidade de política no portal

  4. Selecione uma política para rever detalhes e eventos de conformidade agregados. Se desejar, selecione um registo específico para a conformidade com os recursos.

Conformidade da política no CLI do Azure

Também pode utilizar o CLI Azure para obter dados de conformidade. Por exemplo, utilize o comando da lista de atribuição de políticas az no CLI para obter os IDs de política das políticas Azure Container Registry que são aplicadas:

az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table

Resultado do exemplo:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access           /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK)  /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a

Em seguida , executar a lista de estado de política az para devolver o estado de conformidade formatado json para todos os recursos sob uma determinada iD de política:

az policy state list \
  --resource <policyID>

Ou executar a lista de estados de política az para devolver o estado de conformidade formatado pelo JSON de um recurso de registo específico, como o myregistry:

az policy state list \
 --resource myregistry \
 --namespace Microsoft.ContainerRegistry \
 --resource-type registries \
 --resource-group myresourcegroup

Passos seguintes