Azure Kubernetes Service için Azure güvenlik temeli (AKS)
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Kubernetes Service (AKS) sürümüne yönelik yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Kubernetes Service (AKS) için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Kubernetes Service (AKS) için geçerli olmayan özellikler dışlanmıştır. Azure Kubernetes Service (AKS) ile Microsoft bulut güvenliği karşılaştırmasının nasıl tamamen eşlenmediğini görmek için tam Azure Kubernetes Service (AKS) güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Azure Kubernetes Service (AKS) yüksek etkili davranışları özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
Hizmet Davranışı Özniteliği | Değer |
---|---|
Ürün Kategorisi | Kapsayıcılar |
Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: kubenet ağını Azure Kubernetes Service (AKS) içinde kendi IP adresi aralıklarınızla kullanma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Ağ güvenlik grupları
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
Başvuru: Özel Azure Kubernetes Service kümesi oluşturma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Özel bir Azure Kubernetes Service kümesinde Genel FQDN'yi devre dışı bırakmak için Azure CLI'yi kullanın.
Başvuru: Özel Azure Kubernetes Service kümesi oluşturma
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
---|---|---|---|
Kubernetes Services üzerinde yetkili IP aralıkları tanımlanmalıdır | API erişimini yalnızca belirli aralıklardaki IP adreslerine vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan gelen uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın.
Başvuru: AKS tarafından yönetilen Azure Active Directory Tümleştirmesi
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) kullanarak veya Azure Active Directory ve Azure RBAC kullanarak Kubernetes kümelerinin kimliğini doğrulayabilir, yetkilendirilebilir, güvenliği sağlayabilir ve erişimi denetleyebilirsiniz.
Başvuru: Azure Kubernetes Service (AKS) için erişim ve kimlik seçenekleri
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Özellik notları: Varsayılan olarak, AKS kümesi oluşturduğunuzda sistem tarafından atanan yönetilen kimlik otomatik olarak oluşturulur. Azure CLI'yi dağıtım için değil de kendi sanal ağınızı, bağlı Azure diskinizi, statik IP adresinizi, yönlendirme tablosunu veya çalışan düğümü kaynak grubunun dışındaki kullanıcı tarafından atanan kubelet kimliğini kullanıyorsanız, kullanıcı tarafından atanan denetim düzlemi kimliğini kullanmanız önerilir.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Kubernetes Service'de yönetilen kimlik kullanma
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Hizmet Sorumlusu Oluşturma
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.
Başvuru: Azure AD ve AKS ile Koşullu Erişim kullanma
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Gizli dizileri ve kimlik bilgilerini kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Başvuru: CSI Gizli Dizi Deposu
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) kullanarak veya Azure Active Directory ve Azure RBAC kullanarak Kubernetes kümelerinin kimliğini doğrulayabilir, yetkilendirilebilir, güvenliği sağlayabilir ve erişimi denetleyebilirsiniz.
Rutin yönetim işlemleri için gerekli değilse, yerel yönetici hesaplarını yalnızca acil kullanım için devre dışı bırakın veya kısıtlayın.
Başvuru: Azure Kubernetes Service (AKS) için erişim ve kimlik seçenekleri
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Yerleşik rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC rolleri kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atanabilir.
Başvuru: Kubernetes Yetkilendirmesi için Azure RBAC kullanma
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
---|---|---|---|
Kubernetes Services üzerinde Azure Role-Based Access Control (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Role-Based Access Control (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Microsoft'un veri erişim isteklerinin her birini gözden geçirmek, onaylamak veya reddetmek için Müşteri Kasası'na tıklayın.
Başvuru: Microsoft Azure için Müşteri Kasası
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri kaybı önleme (DLP) uyumluluğu için gerekirse, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimleri zorunlu kılmak için Azure Market'dan konak tabanlı bir DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.
Başvuru: Kapsayıcılar için Microsoft Defender etkinleştirme
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya sonraki bir sürümün kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Başvuru: Azure Kubernetes Service (AKS) üzerinde bir giriş denetleyicisi ile TLS kullanma
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
---|---|---|---|
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarına karşı korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre dışı | 8.1.0 |
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Konak tabanlı şifreleme, Azure Depolama tarafından kullanılan sunucu tarafı şifrelemesinden (SSE) farklıdır. Azure tarafından yönetilen diskler, verileri kaydederken bekleyen verileri otomatik olarak şifrelemek için Azure Depolama'yı kullanır. Konak tabanlı şifreleme, veriler Azure Depolama üzerinden akmadan önce şifrelemeyi işlemek için VM'nin ana bilgisayarını kullanır.
Yapılandırma Kılavuzu: Hizmet tarafından otomatik olarak yapılandırılmayan platform tarafından yönetilen (Microsoft tarafından yönetilen) anahtarları kullanarak bekleyen şifrelemede verileri etkinleştirin.
Başvuru: Azure Kubernetes Service (AKS) üzerinde konak tabanlı şifreleme
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Başvuru: Azure Kubernetes Service (AKS) üzerinde konak tabanlı şifreleme
DP-6: Güvenli bir anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlı bir zamanlamaya göre veya önemli bir kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault kayıtlı olduğundan ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvuruldığından emin olun. Hizmete kendi anahtarınızı (KAG) getirmeniz gerekiyorsa (örneğin, şirket içi HSM'lerinizden Azure Key Vault HSM korumalı anahtarları içeri aktarma), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Kubernetes Service (AKS) üzerinde konak tabanlı şifreleme
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'da Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sertifika oluşturma, içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault ve Azure hizmetinde sertifikanın otomatik döndürmesini (destekleniyorsa) tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlayın. Uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault ve uygulamadaki el ile yöntemler kullanılarak bunların hala döndürüldüğünden emin olun.
Başvuru: Gizli Dizi Deposu CSI Sürücüsü ile kendi sertifikalarınızla TLS kullanma
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [deny] ve [deploy if not exists] efektlerini kullanın.
Başvuru: AKS Yerleşik Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kapsayıcılar için Microsoft Defender, kümelerinizin, kapsayıcılarınızın ve bunların uygulamalarının güvenliğini iyileştirmek, izlemek ve korumak için kapsayıcılarınızın güvenliğini sağlamak için kullanılan buluta özel bir çözümdür.
Başvuru: Kapsayıcılar için Microsoft Defender etkinleştirme
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
---|---|---|---|
Azure Kubernetes Service kümelerde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edininhttps://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault bir anahtar kasasından gizli dizi alan eylemler için ek kaynak günlüklerini destekler ve Azure SQL veritabanına yönelik istekleri izleyen kaynak günlükleri vardır. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Kaynak günlüklerini toplama
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-3: İşlem kaynakları için güvenli yapılandırmalar oluşturma
Özellikler
Özel Kapsayıcı Görüntüleri
Kullanımdan kaldırma: Hizmet, belirli temel yapılandırmaların önceden uygulandığı, kullanıcı tarafından sağlanan kapsayıcı görüntülerinin veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Kubernetes Service (AKS) ile Azure Container Registry (ACR) kullanırken bir kimlik doğrulama mekanizması oluşturmanız gerekir. ACR ile AKS arasında gerekli izinleri yapılandırma işlemi Azure CLI, Azure PowerShell ve Azure portal kullanılarak gerçekleştirilebilir. AKS-ACR tümleştirmesi, AKS kümenizdeki aracı havuzuyla ilişkili Azure Active Directory (Azure AD) yönetilen kimliğine AcrPull rolünü atar.
Başvuru: Azure Container Registry Azure Kubernetes Service ile tümleştirme - Azure Kubernetes Service
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
Özellikler
Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi
Kimlik doğrulama: Hizmet, Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetleri eklenmiş güvenlik açığı değerlendirme özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS için Microsoft Defender dahil) kullanılarak güvenlik açığı taraması için taranabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Varsayılan olarak, planı Azure portal aracılığıyla etkinleştirirken Kapsayıcılar için Microsoft Defender varsayılan çalışma alanı ataması dahil olmak üzere plan tarafından sunulan korumaları sağlamak üzere gerekli bileşenleri otomatik olarak yükleyecek şekilde yapılandırılır.
Başvuru: Azure Kubernetes Service için güvenlik açığı yönetimi - Azure Kubernetes Service
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Backup etkinleştirin ve yedekleme kaynağını (Azure Sanal Makineler, SQL Server, HANA veritabanları veya Dosya Paylaşımları gibi) istenen sıklıkta ve istenen saklama süresiyle yapılandırın. Azure Sanal Makineler için otomatik yedeklemeleri etkinleştirmek için Azure İlkesi kullanabilirsiniz.
Başvuru: Azure Backup kullanarak Azure Kubernetes Service yedekleme
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin