Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Оператор Azure Nexus разработан и построен для обнаружения и защиты от последних угроз безопасности и соблюдения строгих требований государственных и отраслевых стандартов безопасности. Два краеугольных камня образуют основу своей архитектуры безопасности:
- Безопасность по умолчанию — устойчивость безопасности является неотъемлемой частью платформы без изменений конфигурации, необходимых для безопасного использования.
- Предположение о нарушении - Базовое предположение заключается в том, что любая система может быть скомпрометирована, и, следовательно, цель заключается в том, чтобы свести к минимуму влияние нарушения безопасности, если оно произойдет.
Оператор Azure Nexus достигает этого, используя облачные средства безопасности от Microsoft, которые дают возможность улучшить положение с безопасностью вашего облака, одновременно позволяя защитить рабочие нагрузки оператора.
Защита на уровне платформы с помощью Microsoft Defender для облака
Microsoft Defender для облака — это облачная платформа защиты приложений (CNAPP), которая обеспечивает возможности безопасности, необходимые для защиты ресурсов, управления безопасностью, защиты от кибератак и упрощения управления безопасностью. Ниже приведены некоторые ключевые функции Defender для облака, которые применяются к платформе Оператора Azure Nexus:
- Оценка уязвимостей для виртуальных машин и реестров контейнеров— легко позволяет решениям для оценки уязвимостей обнаруживать, управлять и устранять уязвимости. Просматривайте, анализируйте и устраняйте обнаруженные проблемы непосредственно в Defender для облака.
- Гибридная облачная безопасность — получение единого представления безопасности во всех локальных и облачных рабочих нагрузках. Применяйте политики безопасности и непрерывно оценивайте безопасность гибридных облачных рабочих нагрузок, чтобы обеспечить соответствие стандартам безопасности. Собирайте, ищите и анализируйте данные безопасности из нескольких источников, включая брандмауэры и другие партнерские решения.
- Оповещения защиты от угроз — расширенная аналитика поведения и Microsoft Intelligent Security Graph предоставляют преимущество перед развивающимися кибератаками. Встроенные средства анализа поведения и машинного обучения помогают выявлять атаки и уязвимости нулевого дня. Следите за сетями, компьютерами, Azure Хранилищем и облачными службами для входящих атак и последующих действий после нарушения безопасности. Упрощение расследований с помощью интерактивных средств и контекстной аналитики угроз.
- Оценка соответствия различным стандартам безопасности. Defender для облака непрерывно оценивает гибридную облачную среду для анализа факторов риска в соответствии с элементами управления и рекомендациями в Azure Security Benchmark. При включении расширенных функций безопасности можно применить ряд других отраслевых стандартов, нормативных стандартов и эталонных показателей в соответствии с потребностями вашей организации. Добавьте стандарты и отслеживайте их соблюдение на панели мониторинга соответствия нормативным требованиям.
- Функции безопасности контейнеров. Используйте преимущества управление уязвимостями и защиты от угроз в реальном времени в контейнерных средах.
Существуют расширенные параметры безопасности, позволяющие защитить локальные серверы узлов, а также кластеры Kubernetes, которые выполняют рабочие нагрузки оператора. Эти параметры описаны ниже.
Защита операционной системы узла на "голом железе" с помощью Microsoft Defender для Endpoint
Безоперационные машины Azure Operator Nexus (BMM), на которых размещаются локальные серверы инфраструктуры, защищены при включении решения Microsoft Defender для конечной точки. Microsoft Defender для конечной точки предоставляет возможности антивирусной программы (AV), обнаружение и нейтрализация атак на конечные точки (EDR) и управление уязвимостями.
Вы можете включить Microsoft Defender для конечной точки защиту после выбора и активации плана Microsoft Defender для серверов, так как активация плана Defender для серверов является обязательным условием для Microsoft Defender для конечной точки. После включения конфигурация Microsoft Defender для конечной точки управляется платформой, чтобы обеспечить оптимальную безопасность и производительность, а также снизить риск неправильной настройки.
Защита рабочей нагрузки кластера Kubernetes с помощью Microsoft Defender для контейнеров
Локальные кластеры Kubernetes, выполняющие рабочие нагрузки оператора, защищаются при выборе включения решения Microsoft Defender для контейнеров. Microsoft Defender для контейнеров обеспечивает защиту от угроз во время выполнения для кластеров и узлов Linux, а также защиту среды кластера от неправильной настройки.
Вы можете включить защиту Defender для контейнеров в Defender для облака, активировав план Defender для контейнеров.
Безопасность в облаке — это общая ответственность
Важно понимать, что в облачной среде безопасность является общей ответственностью между вами и поставщиком облачных служб. Обязанности зависят от типа облачной службы, в которой выполняются рабочие нагрузки, будь то программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) или инфраструктура как услуга (IaaS), а также место размещения рабочих нагрузок в пределах облачных поставщиков или собственных локальных центров обработки данных.
Рабочие нагрузки Оператора Azure Nexus выполняются на серверах в центрах обработки данных, поэтому вы управляете изменениями в локальной среде. Корпорация Майкрософт периодически делает новые выпуски платформы доступными для обеспечения безопасности и других обновлений. Затем необходимо решить, когда внедрять эти обновления в вашу среду в соответствии с бизнес-потребностями вашей организации.
Проверка теста безопасности Kubernetes
Стандартные средства проверки безопасности в отрасли используются для сканирования платформы Оператора Azure Nexus для обеспечения соответствия безопасности. К этим средствам относятся OpenSCAP, чтобы оценить соответствие элементам управления Технической реализации Kubernetes (STIG) и Kube-Bench в Aqua Security, чтобы оценить соответствие требованиям Центра безопасности Интернета (CIS) Kubernetes Benchmarks.
Некоторые элементы управления технически неосуществимы для реализации в среде Оператора Azure Nexus, и эти исключенные элементы управления описаны ниже для применимых слоев Nexus.
Такие средства управления окружающей средой, как RBAC и тесты учетной записи службы, не оцениваются этими средствами, так как результаты могут отличаться в зависимости от требований клиентов.
NTF = не является технически возможным
OpenSCAP STIG — V2R2
Гроздь
| Идентификатор STIG | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| V-242386 | Сервер API Kubernetes должен иметь небезопасный флаг порта отключен | NTF | Эта проверка устарела в версии 1.24.0 и больше |
| V-242397 | Kubernetes kubelet staticPodPath не должен активировать статические поды | NTF | Включено только для узлов управления, необходимо для kubeadm. |
| V-242403 | Сервер API Kubernetes должен создавать записи аудита, которые определяют тип события, определяют источник события, содержат результаты событий, определяют всех пользователей и определяют все контейнеры, связанные с событием. | NTF | Некоторые запросы и ответы API содержат секреты, поэтому не фиксируются в журналах аудита. |
| V-242424 | Kubernetes Kubelet должен включить tlsPrivateKeyFile для проверки подлинности клиента для защиты службы | NTF | Kubelet SAN содержит только имя узла |
| V-242425 | Kubernetes Kubelet должен включить tlsCertFile для проверки подлинности клиента для защиты службы. | NTF | Kubelet SAN содержит только имя узла |
| V-242434 | Kubernetes Kubelet должен включить защиту ядра. | NTF | Включение защиты ядра невозможно для kubeadm в Nexus |
Кластер Nexus Kubernetes
| Идентификатор STIG | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| V-242386 | Сервер API Kubernetes должен иметь небезопасный флаг порта отключен | NTF | Эта проверка устарела в версии 1.24.0 и больше |
| V-242397 | Kubernetes kubelet staticPodPath не должен активировать статические поды | NTF | Включено только для узлов управления, необходимо для kubeadm. |
| V-242403 | Сервер API Kubernetes должен создавать записи аудита, которые определяют тип события, определяют источник события, содержат результаты событий, определяют всех пользователей и определяют все контейнеры, связанные с событием. | NTF | Некоторые запросы и ответы API содержат секреты, поэтому не фиксируются в журналах аудита. |
| V-242424 | Kubernetes Kubelet должен включить tlsPrivateKeyFile для проверки подлинности клиента для защиты службы | NTF | Kubelet SAN содержит только имя узла |
| V-242425 | Kubernetes Kubelet должен включить tlsCertFile для проверки подлинности клиента для защиты службы. | NTF | Kubelet SAN содержит только имя узла |
| V-242434 | Kubernetes Kubelet должен включить защиту ядра. | NTF | Включение защиты ядра невозможно для kubeadm в Nexus |
Диспетчер кластеров — Azure Kubernetes
Служба Azure Kubernetes (AKS), будучи защищенной службой, соответствует стандартам SOC, ISO, PCI DSS и HIPAA. На следующем рисунке показаны исключения разрешений файла OpenSCAP для реализации менеджера кластеров AKS.
Aquasec Kube-Bench - CIS 1.9
Гроздь
| Идентификатор CIS | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| 1 | Компоненты уровня управления | ||
| 1,1 | Файлы конфигурации управляющего узла | ||
| 1.1.12 | Убедитесь, что для владельца каталога данных etcd задано значение etcd:etcd |
NTF | Nexus is root:root, пользователь etcd не настроен для kubeadm |
| 1.2 | Сервер API | ||
| 1.1.12 | Убедитесь, что аргумент --kubelet-certificate-authority задан соответствующим образом. |
NTF | SAN Kubelet включает только имя хоста |
Кластер Nexus Kubernetes
| Идентификатор CIS | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| 1 | Компоненты уровня управления | ||
| 1,1 | Файлы конфигурации управляющего узла | ||
| 1.1.12 | Убедитесь, что для владельца каталога данных etcd задано значение etcd:etcd |
NTF | Nexus is root:root, пользователь etcd не настроен для kubeadm |
| 1.2 | Сервер API | ||
| 1.1.12 | Убедитесь, что аргумент --kubelet-certificate-authority задан соответствующим образом. |
NTF | SAN Kubelet включает только имя хоста |
Диспетчер кластеров — Azure Kubernetes
Оператор Nexus Cluster Manager — это реализация AKS. На следующем рисунке показаны исключения Kube-Bench для диспетчера кластеров. Полный отчет об оценке контроля CIS Benchmark для Azure Kubernetes Service (AKS) можно найти здесь.
Шифрование данных в состоянии покоя
Оператор Azure Nexus предоставляет постоянное хранилище для виртуализированных и контейнерных рабочих нагрузок. Данные хранятся и шифруются в состоянии покоя на устройствах хранения в агрегаторной стойке Azure Operator Nexus. Дополнительные сведения см. в справочной документации по устройству хранения.
Кластеры Nexus Kubernetes и виртуальные машины Nexus используют хранилище с локального диска. Данные, хранящиеся на локальных дисках, шифруются с помощью LUKS2 с алгоритмом AES256 в режиме XTS. Все ключи шифрования управляются платформой.