Linha de base de segurança do Azure para Azure Kubernetes Service (AKS)
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Azure Kubernetes Service (AKS). A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Kubernetes Service (AKS).
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao Azure Kubernetes Service (AKS) foram excluídas. Para ver como Azure Kubernetes Service (AKS) mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança Azure Kubernetes Service (AKS).
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Azure Kubernetes Service (AKS), o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Contentores |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: utilize a rede kubenet com os seus próprios intervalos de endereços IP no Azure Kubernetes Service (AKS)
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Grupos de segurança de rede
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: Criar um cluster de Azure Kubernetes Service privado
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize a CLI do Azure para desativar o FQDN Público num cluster de Azure Kubernetes Service privado.
Referência: Criar um cluster de Azure Kubernetes Service privado
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ContainerService:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os intervalos de IP autorizados devem ser definidos no Kubernetes Services | Restringir o acesso à API de Gestão de Serviços do Kubernetes ao conceder acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas as aplicações de redes permitidas podem aceder ao cluster. | Auditoria, Desativado | 2.0.1 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Integração do Azure Active Directory gerida pelo AKS
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: pode autenticar, autorizar, proteger e controlar o acesso aos clusters do Kubernetes com o controlo de acesso baseado em funções do Kubernetes (RBAC do Kubernetes) ou com o Azure Active Directory e o RBAC do Azure.
Referência: Opções de acesso e identidade para Azure Kubernetes Service (AKS)
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: por predefinição, quando cria um cluster do AKS, é criada automaticamente uma identidade gerida atribuída pelo sistema. Se não estiver a utilizar a CLI do Azure para implementação, mas a utilizar a sua própria VNet, o disco do Azure anexado, o endereço IP estático, a tabela de rotas ou a identidade do kubelet atribuída pelo utilizador fora do grupo de recursos do nó de trabalho, recomenda-se que utilize a identidade do plano de controlo atribuída pelo utilizador.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Utilizar uma identidade gerida no Azure Kubernetes Service
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Criar um Principal de Serviço
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Referência: Utilizar o Acesso Condicional com o Azure AD e o AKS
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Referência: Csi Secret Store
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: pode autenticar, autorizar, proteger e controlar o acesso aos clusters do Kubernetes com o controlo de acesso baseado em funções do Kubernetes (RBAC do Kubernetes) ou com o Azure Active Directory e o RBAC do Azure.
Se não for necessário para operações administrativas de rotina, desative ou restrinja quaisquer contas de administrador local apenas para utilização de emergência.
Referência: Opções de acesso e identidade para Azure Kubernetes Service (AKS)
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. As funções RBAC do Azure podem ser atribuídas a utilizadores, grupos, principais de serviço e identidades geridas.
Referência: Utilizar o RBAC do Azure para Autorização do Kubernetes
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ContainerService:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Role-Based Controlo de Acesso (RBAC) deve ser utilizado no Kubernetes Services | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Controlo de Acesso (RBAC) para gerir permissões nos Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Customer Lockbox for Microsoft Azure (Caixa de Bloqueio do Cliente para o Microsoft Azure)
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade da prevenção de perda de dados (DLP), pode utilizar uma solução DLP baseada no anfitrião a partir de Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controlos de detective e/ou preventivos para impedir a exfiltração de dados.
Referência: Ativar Microsoft Defender para Contentores
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative a transferência segura em serviços onde existe uma funcionalidade de encriptação de trânsito incorporada em dados nativos. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como o SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.
Referência: Utilizar o TLS com um controlador de entrada no Azure Kubernetes Service (AKS)
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ContainerService:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os clusters do Kubernetes só devem estar acessíveis através de HTTPS | A utilização de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de escuta da camada de rede. Esta capacidade está atualmente disponível para o Kubernetes Service (AKS) e em pré-visualização do Kubernetes compatível com o Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditoria, Auditoria, negação, Negar, desativado, Desativado | 8.1.0 |
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: a encriptação baseada no anfitrião é diferente da encriptação do lado do servidor (SSE), que é utilizada pelo Armazenamento do Azure. Os discos geridos pelo Azure utilizam o Armazenamento do Azure para encriptar automaticamente dados inativos ao guardar dados. A encriptação baseada no anfitrião utiliza o anfitrião da VM para processar a encriptação antes dos fluxos de dados através do Armazenamento do Azure.
Orientação de Configuração: ative a encriptação inativa através de chaves geridas pela plataforma (geridas pela Microsoft) onde não são configuradas automaticamente pelo serviço.
Referência: encriptação baseada no anfitrião no Azure Kubernetes Service (AKS)
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Referência: encriptação baseada no anfitrião no Azure Kubernetes Service (AKS)
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: encriptação baseada no anfitrião no Azure Kubernetes Service (AKS)
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Referência: Utilizar o TLS com os seus próprios certificados com o Controlador CSI do Arquivo de Segredos
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Azure Policy Incorporado do AKS
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: Microsoft Defender para Contentores é a solução nativa da cloud que é utilizada para proteger os seus contentores para que possa melhorar, monitorizar e manter a segurança dos seus clusters, contentores e respetivas aplicações.
Referência: Ativar Microsoft Defender para Contentores
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ContainerService:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Azure Kubernetes Service clusters devem ter o perfil do Defender ativado | Microsoft Defender para Contentores fornece capacidades de segurança do Kubernetes nativas da cloud, incluindo proteção do ambiente, proteção de cargas de trabalho e proteção de tempo de execução. Quando ativa o SecurityProfile.AzureDefender no cluster de Azure Kubernetes Service, é implementado um agente no cluster para recolher dados de eventos de segurança. Saiba mais sobre Microsoft Defender para Contentores nohttps://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditar, Desativado | 2.0.1 |
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou SQL do Azure têm registos de recursos que monitorizam pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Recolher registos de recursos
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de posturas e vulnerabilidades.
PV-3: Estabelecer configurações seguras para recursos de computação
Funcionalidades
Imagens de Contentor Personalizadas
Eliminação: o serviço suporta a utilização de imagens de contentor fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ao utilizar Azure Container Registry (ACR) com Azure Kubernetes Service (AKS), tem de estabelecer um mecanismo de autenticação. A configuração das permissões necessárias entre o ACR e o AKS pode ser efetuada com a CLI do Azure, Azure PowerShell e portal do Azure. A integração do AKS para o ACR atribui a função AcrPull à identidade gerida do Azure Active Directory (Azure AD) associada ao conjunto de agentes no cluster do AKS.
Referência: Integrar Azure Container Registry com Azure Kubernetes Service - Azure Kubernetes Service
PV-5: Realizar avaliações de vulnerabilidades
Funcionalidades
Avaliação de Vulnerabilidades com Microsoft Defender
Eliminação: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou para outros serviços de Microsoft Defender com capacidade de avaliação de vulnerabilidades incorporada (incluindo Microsoft Defender para servidor, registo de contentor, Serviço de Aplicações, SQL e DNS). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: por predefinição, ao ativar o plano através do portal do Azure, o Microsoft Defender para Contentores é configurado para instalar automaticamente os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de uma área de trabalho predefinida.
Referência: Gestão de vulnerabilidades para Azure Kubernetes Service - Azure Kubernetes Service
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative Azure Backup e configure a origem da cópia de segurança (como o Azure Máquinas Virtuais, SQL Server, bases de dados HANA ou Partilhas de Ficheiros) numa frequência pretendida e com um período de retenção desejado. Para o Azure Máquinas Virtuais, pode utilizar Azure Policy para ativar cópias de segurança automáticas.
Referência: Fazer uma cópia de segurança de Azure Kubernetes Service com Azure Backup
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Passos seguintes
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure