Linha de base de segurança do Azure para o Registro de Contêiner
Esta linha de base de segurança aplica as orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Container Registry. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao Container Registry.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao Registro de Contêiner foram excluídos. Para ver como o Registro de Contêiner mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do Registro de Contêiner.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Registro de Contêiner, o que pode resultar em considerações de segurança maiores.
| Atributo comportamento do serviço | Value |
|---|---|
| Categoria do Produto | Computação, Contêineres |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | False |
| Armazena o conteúdo do cliente inativo | True |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Conectar-se de forma privada a um registro de contêiner do Azure usando o Azure Private Link
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: desative o acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço ou habilitando a configuração "desabilitar acesso à rede pública" no serviço.
Referência: Desativar o acesso à rede pública
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerRegistry:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Autenticar com um registro de contêiner do Azure
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Criar um token com permissões com escopo de repositório
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Usar uma identidade gerenciada do Azure para autenticar em um registro de contêiner do Azure
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação adicional: Embora as entidades de serviço sejam suportadas pelo serviço como um padrão para autenticação, recomendamos o uso de Identidades Gerenciadas sempre que possível.
Referência: Autenticação do Registro de Contêiner do Azure com entidades de serviço
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientações de configuração: Se não for necessário para operações administrativas de rotina, desative ou restrinja quaisquer contas de administrador local apenas para uso emergencial. Cada registo de contentor inclui uma conta de utilizador administrador, que está desativada por predefinição.
Referência: Autenticar com um registro de contêiner do Azure
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: funções e permissões do Registro de Contêiner do Azure
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Customer Lockbox for Microsoft Azure
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: desative as exportações do registro de contêiner para garantir que os dados sejam acessados somente por meio do plano de dados ('docker pull'). Isso garante que os dados não possam ser movidos para fora do registro via 'acr import' ou via 'acr transfer'.
Referência: Os registos de contentores devem ter as exportações desativadas
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Como habilitar o TLS 1.2 no Registro de Contêiner do Azure
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: criptografar o registro usando uma chave gerenciada pela plataforma
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Referência: Criptografar o registro usando uma chave gerenciada pelo cliente
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerRegistry:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Auditar a conformidade dos registros de contêiner do Azure usando a Política do Azure
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o recurso interno de deteção de ameaças do Microsoft Defender for Cloud e habilite o Microsoft Defender para seus recursos do Registro de contêiner. O Microsoft Defender for Container Registry fornece outra camada de inteligência de segurança. Ele deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seus recursos do Registro de Contêiner.
Referência: Visão geral do Microsoft Defender for Containers
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: habilite os logs de recursos do Azure para o Registro de Contêiner. Você pode usar o Microsoft Defender for Cloud e o Azure Policy para habilitar logs de recursos e coleta de dados de log. Esses registros podem ser críticos para investigar incidentes de segurança e para exercícios forenses.
Referência: Monitorar o Registro de Contêiner do Azure
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Próximos passos
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure