Aracılığıyla paylaş


Container Instances için Azure güvenlik temeli

Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Container Instances yönergelerini uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Container Instances için geçerli olan ilgili kılavuza göre gruplandırılır.

Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.

Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.

Not

Container Instances için geçerli olmayan özellikler dışlanmıştır. Container Instances tamamen Microsoft bulut güvenlik karşılaştırmasına nasıl eşlediğini görmek için tam Container Instances güvenlik temeli eşleme dosyasına bakın.

Güvenlik profili

Güvenlik profili, Container Instances yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.

Hizmet Davranışı Özniteliği Değer
Ürün Kategorisi İşlem, Kapsayıcılar
Müşteri HOST / işletim sistemine erişebilir Erişim Yok
Hizmet müşterinin sanal ağına dağıtılabilir Doğru
Bekleyen müşteri içeriğini depolar Yanlış

Ağ güvenliği

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.

NS-1: Ağ segmentasyon sınırları oluşturma

Özellikler

Sanal Ağ Tümleştirmesi

Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).

Başvuru: Kapsayıcı örneklerini Sanal Ağ dağıtma

Ağ Güvenlik Grubu Desteği

Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasına saygı gösterir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Alt ağlara veya diğer ağ kaynaklarına kapsayıcı erişimini denetlemek için NSG kurallarını kullanma

Not: Ağ bağlantılı bir kapsayıcı grubundaki kapsayıcı örneklerinin önüne Azure Load Balancer yerleştirme desteklenmez.

NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama

Özellikler

Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Genel Ağ Erişimini Devre Dışı Bırak

Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Kimlik yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.

IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma

Özellikler

veri düzlemi erişimi için gerekli Azure AD kimlik doğrulaması

Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Özellik notları: Müşteri ARM'deki kaynaklara güvenli bir şekilde erişmek için kullanım veya sistem tarafından atanan Yönetilen kimlik oluşturabilir

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri

Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme

Özellikler

Yönetilen Kimlikler

Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Kodda gizli dizileri veya kimlik bilgilerini korumadan diğer Azure hizmetleriyle etkileşim kuran Azure Container Instances kod çalıştırmak için Azure kaynakları için yönetilen kimlikleri kullanın. Bu özellik, Azure Active Directory'de otomatik olarak yönetilen bir kimlikle Azure Container Instances dağıtımı sağlar.

Başvuru: yönetilen kimlikleri Azure Container Instances ile kullanma

Hizmet Sorumluları

Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

IM-7: Koşullara göre kaynak erişimini kısıtlama

Özellikler

Veri Düzlemi için Koşullu Erişim

Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.

IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama

Özellikler

Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği

Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Ayrıcalıklı erişim

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.

PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin

Özellikler

Veri Düzlemi için Azure RBAC

Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Azure Container Instances ile Azure Container Registry gibi bulut tabanlı bir özel kayıt defteri kullanıyorsanız, Azure kapsayıcı kayıt defterindeki verilere ve kaynaklara erişimi yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın.

Başvuru: Azure Container Instances için güvenlik önerileri

PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme

Özellikler

Müşteri Kasası

Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Veri koruma

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.

DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme

Özellikler

Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme

Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Microsoft

Yapılandırma Kılavuzu: Hizmet tarafından otomatik olarak yapılandırılmayan platform tarafından yönetilen (Microsoft tarafından yönetilen) anahtarları kullanarak bekleyen şifrelemede verileri etkinleştirin.

Başvuru: Azure Container Instances - dağıtım verilerini şifreleme

DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Özellikler

CMK Kullanarak Bekleyen Verileri Şifreleme

Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.

Başvuru: Azure Container Instances - Dağıtım verilerini şifreleme

DP-6: Güvenli bir anahtar yönetim işlemi kullanma

Özellikler

Azure Key Vault'de Anahtar Yönetimi

Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Kapsayıcı örneğinizde müşteri tarafından yönetilen anahtar tabanlı şifreleme için kullanılan şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın.

Başvuru: Key Vault kaynağı oluşturma

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

Özellikler

Azure Key Vault'de Sertifika Yönetimi

Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Varlık yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.

AM-2: Yalnızca onaylanan hizmetleri kullanın

Özellikler

Azure İlkesi Desteği

Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Azure Container Instances 2 özellik için ilke yapılandırmayı destekler (özel sanal ağda CMK ve dağıtımlar)

Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.

Başvuru: Azure Container Instances için yerleşik tanımları Azure İlkesi

Günlüğe kaydetme ve tehdit algılama

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.

LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme

Özellikler

Azure Kaynak Günlükleri

Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Log Analytics çalışma alanları yalnızca Azure kaynaklarından değil, şirket içi kaynaklardan ve diğer bulutlardaki kaynaklardan günlük verilerini depolamak ve sorgulamak için merkezi bir konum sağlar. Azure Container Instances, Azure İzleyici günlüklerine günlükleri ve olay verilerini göndermek için yerleşik destek içerir.

Başvuru: Azure İzleyici günlükleriyle kapsayıcı grubu ve örnek günlüğü

Yedekleme ve kurtarma

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.

BR-1: Düzenli otomatik yedeklemelerden emin olun

Özellikler

Azure Backup

Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Özellik notları: Durum bilgisi olmayan uygulamalar için ACI önerilir ve yedekleme hizmeti sunmuyoruz. Müşteri, aynı bölgedeki dağıtımlarını desteklemek için AZ desteğini destekleyen bölgeleri tercih edebilir. Bölgeler arası için uygulamalarını ACI'da birden çok bölgeye dağıtarak yedekleme ve olağanüstü durum kurtarma çözümü tasarlamaları ve olağanüstü durum kurtarma kullanım durumlarını işlemek için traffic manager kullanarak trafiği yönlendirmeleri gerekir.

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Hizmet Yerel Yedekleme Özelliği

Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Sonraki adımlar