Standardní hodnoty zabezpečení Azure pro Container Registry

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 do služby Container Registry. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službě Container Registry.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují ke službě Container Registry, byly vyloučeny. Pokud chcete zjistit, jak služba Container Registry kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Container Registry.

Profil zabezpečení

Profil zabezpečení shrnuje chování služby Container Registry s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Výpočty, kontejnery
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ne
Ukládá neaktivní uložený obsah zákazníka. Ano

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidel skupin zabezpečení sítě v jejích podsítích. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

Funkce

Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.

Referenční informace: Privátní připojení k registru kontejneru Azure pomocí Azure Private Link

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby, nebo povolením nastavení zakázat přístup k veřejné síti ve službě.

Referenční informace: Zakázání přístupu k veřejné síti

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá pravidlo IP adresy nebo brány firewall nebo nakonfigurovanou virtuální síť, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o síťových pravidlech služby Container Registry najdete tady: https://aka.ms/acr/portal/public-network a tady https://aka.ms/acr/vnet. Audit, Odepřít, Zakázáno 1.1.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1

Správa identit

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD ověření vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Ověřování pomocí registru kontejneru Azure

Místní metody ověřování pro přístup k rovině dat

Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány, kdykoli je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny k konfiguraci: Omezení použití místních metod ověřování pro přístup k rovině dat Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD).

Referenční informace: Vytvoření tokenu s oprávněními vymezenými úložištěm

Im-3: Správa identit aplikací bezpečně a automaticky

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, otočené a chráněné platformou, aby se zabránilo pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Referenční informace: Použití spravované identity Azure k ověření ve službě Azure Container Registry

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Další pokyny: I když služba podporuje instanční objekty jako vzor pro ověřování, doporučujeme místo toho používat spravované identity.

Referenční informace: Azure Container Registry ověřování pomocí instančních objektů

Im-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup roviny dat lze řídit pomocí Azure AD zásad podmíněného přístupu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.

PA-1: Oddělení a omezení vysoce privilegovaných/administrativních uživatelů

Funkce

Místní účty Správa

Popis: Služba má koncept místního účtu pro správu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány, kdykoli je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny ke konfiguraci: Pokud není potřeba pro běžné operace správy, zakažte nebo omezte účty místního správce pouze pro nouzové použití. Každý registr kontejneru obsahuje uživatelský účet správce, který je ve výchozím nastavení zakázaný.

Referenční informace: Ověřování pomocí registru kontejneru Azure

PA-7: Postupujte podle zásady pouze dostatečné správy (nejnižší oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Azure Container Registry rolí a oprávnění

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox lze použít pro přístup k podpoře Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte žádosti o přístup k datům microsoftu.

Referenční informace: Customer Lockbox pro Microsoft Azure

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Funkce

Zjišťování a klasifikace citlivých dat

Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data

Funkce

Únik dat / prevence ztráty

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Zakázání exportů registru kontejneru za účelem zajištění přístupu k datům výhradně prostřednictvím roviny dat ("vyžádání dockeru"). Tím se zajistí, že data nelze přesunout z registru prostřednictvím importu acr nebo prostřednictvím přenosu acr.

Referenční informace: Registry kontejnerů by měly mít zakázané exporty.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Data v šifrování přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Povolení protokolu TLS 1.2 v Azure Container Registry

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Šifrování registru pomocí klíče spravovaného platformou

DP-5: Použití možnosti klíče spravovaného zákazníkem v neaktivních uložených datech v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníků uložený službou. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.

Referenční informace: Šifrování registru pomocí klíče spravovaného zákazníkem

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbytku obsahu vašich registrů. Ve výchozím nastavení jsou neaktivní uložená data šifrovaná pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují pro splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a odpovědnost za životní cyklus klíčů, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Správa aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa prostředků.

AM-2: Použití pouze schválených služeb

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Konfigurace v Programu Microsoft Defender pro cloud ke konfiguraci Azure Policy k auditování a vynucování konfigurací prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pomocí efektů Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč prostředky Azure.

Referenční informace: Audit dodržování předpisů registrů kontejnerů Azure pomocí Azure Policy

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Použití integrované funkce detekce hrozeb v programu Microsoft Defender pro cloud a povolení Microsoft Defenderu pro prostředky služby Container Registry Microsoft Defender for Container Registry poskytuje další vrstvu inteligentních funkcí zabezpečení. Detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům služby Container Registry nebo jejich zneužití.

Referenční informace: Přehled Microsoft Defenderu pro kontejnery

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Povolení protokolů prostředků Azure pro Container Registry Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a forenzních cvičení.

Referenční informace: Monitorování Azure Container Registry

Backup a obnovení

Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu lze zálohovat službou Azure Backup. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Další kroky