Azure Stack HCI 上Azure Kubernetes 服务的 Azure 安全基线
此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于 Azure Stack HCI 上的Azure Kubernetes 服务。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按Microsoft云安全基准定义的安全控制以及适用于 Azure Stack HCI 上的Azure Kubernetes 服务的相关指南进行分组。
可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy 定义将在 Microsoft Defender for Cloud 门户页的“监管合规”部分中列出。
当某个功能具有相关的 Azure Policy 定义时,它们会在此基线中列出,以帮助你衡量是否符合 Microsoft 云安全基准控制和建议。 某些建议可能需要使用付费 Microsoft Defender 计划来启用特定的安全方案。
备注
Azure Stack HCI 上不适用于Azure Kubernetes 服务的功能已被排除。 若要查看 Azure Stack HCI 上的Azure Kubernetes 服务如何完全映射到Microsoft云安全基准,请参阅 Azure Stack HCI 安全基线映射文件中的完整Azure Kubernetes 服务。
安全配置文件汇总了 Azure Stack HCI 上Azure Kubernetes 服务的高影响行为,这可能会导致安全注意事项增加。
| 服务行为属性 | 值 |
|---|---|
| 产品类别 | 混合/多云 |
| 客户可以访问主机 / OS | 完全访问权限 |
| 可将服务部署到客户的虚拟网络中 | False |
| 静态存储客户内容 | False |
有关详细信息,请参阅 Microsoft云安全基准:标识管理。
说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:可以使用 Active Directory (AD) 单一登录 (SSO) 凭据创建与 Kubernetes API 服务器的安全连接。 如果没有 Active Directory 身份验证,用户必须在通过 kubectl 命令连接到 API 服务器时依赖于基于证书的 kubeconfig 文件。 kubeconfig 文件包含需要谨慎分发的私钥和证书等秘密,这可能会带来重大的安全风险。
此外,如果使用 Azure Arc 配置了 Stack HCI 上的 AKS,则可以使用 Azure AD 控制 Kubernetes 群集的控制平面。 避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请尽可能改用 Azure AD 进行身份验证。
配置指南:在默认部署上启用此配置时,不需要其他配置。
说明:数据平面支持使用服务主体进行身份验证。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| False | 不适用 | 不适用 |
功能说明:如果 Stack HCI 上的 AKS 配置了 Azure Arc,则可以将 AKS 主机注册到 Azure,以便使用服务主体进行计费。
有关详细信息,请访问:/en-us/azure-stack/aks-hci/kubernetes-walkthrough-powershell
配置指导:不支持使用此功能来保护此服务。
有关详细信息,请参阅 Microsoft云安全基准:特权访问。
说明:该服务具有本地管理员帐户的概念。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:请避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请尽可能改用 Azure AD 进行身份验证。
配置指南:在默认部署上启用此配置时,不需要其他配置。
参考: 设置多个管理员
有关详细信息,请参阅 Microsoft云安全基准:数据保护。
说明:该服务支持数据平面的传输中数据加密。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:证书用于在群集内组件之间生成安全通信。 Azure Stack HCI 和 Windows Server 上的 Azure Kubernetes 服务 (AKS) 为内置 Kubernetes 组件提供了零接触、开箱即用的证书预配和管理。
配置指南:在默认部署上启用此配置时,不需要其他配置。
参考: 保护与证书的通信
说明:支持使用平台密钥进行静态数据加密,使用这些Microsoft托管密钥对静态任何客户内容进行加密。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:在 Kubernetes API 服务器中,机密存储在 etcd 中,这是一种高度可用的密钥值存储,用作所有群集数据的 Kubernetes 支持存储。 Azure Stack HCI 和 Windows Server 上的 Azure Kubernetes Service (AKS) 带有 etcd 机密加密,并会自动管理和轮换加密密钥。
配置指南:在默认部署上启用此配置时,不需要其他配置。
参考:加密 Azure Stack HCI 和 Windows Server 群集Azure Kubernetes 服务中的 etcd 机密
说明:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| False | 不适用 | 不适用 |
功能说明:尽管 Stack HCI 上的 AKS 不支持此功能,但客户可以在物理主机上启用 Bitlocker。 此外,Azure Stack HCI 和 Windows Server 上的 AKS 还附带了 etcd 机密的加密,并自动执行加密密钥的管理和轮换。
配置指导:不支持使用此功能来保护此服务。
有关详细信息,请参阅Microsoft云安全基准:状况和漏洞管理。
说明:服务支持使用用户提供的容器映像或来自市场的预生成映像,并预应用了某些基线配置。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
配置指南:在默认部署上启用此配置时,不需要其他配置。
有关详细信息,请参阅 Microsoft云安全基准:备份和恢复。
说明:该服务支持其自己的原生备份功能(如果未使用 Azure 备份)。 了解详细信息。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| False | 不适用 | 不适用 |
配置指导:不支持使用此功能来保护此服务。