Base de referencia de seguridad de Azure para Azure Kubernetes Service

  • Artículo
  • Tiempo de lectura: 61 minutos

Esta base de referencia de seguridad aplica la guía de la versión 1.0 de Azure Security Benchmark a Azure Kubernetes. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por los controles de seguridad definidos por Azure Security Benchmark y las instrucciones relacionadas aplicables a Azure Kubernetes.

Nota

Se han excluido los Azure Kubernetes Service que no son aplicables a las Azure Kubernetes Service, o para los que la responsabilidad es de Microsoft. Para ver cómo se Azure Kubernetes Service completamente a Azure Security Benchmark, consulte el archivo de asignación Azure Kubernetes Service base de referencia de seguridad completo.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

1.1: Protección de los recursos de Azure dentro de las redes virtuales

Guía: De forma predeterminada, un grupo de seguridad de red y una tabla de rutas se crean automáticamente al crear un clúster de Microsoft Azure Kubernetes Service (AKS). AKS modifica automáticamente los grupos de seguridad de red para que el tráfico adecuado fluya a medida que se crean servicios con equilibradores de carga, asignaciones de puertos o rutas de entrada El grupo de seguridad de red se asocia automáticamente con los adaptadores de red virtuales en los nodos de cliente y la tabla de rutas con la subred en la red virtual.

Use las directivas de red de AKS para limitar el tráfico de red mediante la definición de reglas para el tráfico de entrada y salida entre los pods de Linux en un clúster según la elección de los espacios de nombres y los selectores de etiquetas. El uso de directivas de red requiere el complemento de Azure CNI con redes virtuales y subredes definidas y solo se puede habilitar al crear clústeres. No se pueden implementar en un clúster de AKS existente.

Puede implementar un clúster de AKS privado para asegurarse de que el tráfico de red entre el servidor de la API de AKS y los grupos de nodos solo se mantiene en la red privada. El plano de control o el servidor de la API reside en una suscripción a Azure administrada por AKS y usa direcciones IP internas (RFC1918), mientras que el grupo de clústeres o nodos del cliente se encuentra en su propia suscripción. El servidor y el grupo de clústeres o nodos se comunican entre sí mediante el servicio de Azure Private Link en la red virtual del servidor de la API y un punto de conexión privado expuesto en la subred del clúster de AKS del cliente. También puede usar un punto de conexión público para el servidor de la API de AKS, pero restringir el acceso con la característica de intervalos IP autorizados del servidor de la API de AKS.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Los intervalos IP autorizados deben definirse en los servicios de Kubernetes Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. Audit, Disabled 2.0.1

1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes y NIC

Guía:Use Microsoft Defender para la nube y siga sus recomendaciones de protección de red para proteger los recursos de red que usan los clústeres de Azure Kubernetes Service (AKS).

Habilite los registros de flujo de los grupos de seguridad de red y envíe los registros a una cuenta de Azure Storage para su auditoría. También puede enviar los registros de flujo a un área de trabajo de Log Analytics y, a continuación, usar el Análisis de tráfico para proporcionar información sobre los patrones de tráfico de la nube de Azure y visualizar la actividad de la red, identificar las zonas activas y las amenazas de seguridad, comprender los patrones de flujo de tráfico y detectar los errores de configuración de la red.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.3: Proteja las aplicaciones web críticas

Guía: Use Web Application Firewall (WAF) habilitado para Azure Application Gateway delante de un clúster de AKS a fin de proporcionar una capa adicional de seguridad al filtrar el tráfico entrante a sus aplicaciones web. Azure WAF usa un conjunto de reglas, que proporciona Open Web Application Security Project (OWASP), para detectar ataques, como el scripting entre sitios o el envenenamiento de cookies en este tráfico.

Use una puerta de enlace de API para la autenticación, la autorización, la limitación, el almacenamiento en caché, la transformación y la supervisión de las API que se usan en el entorno de AKS. Una puerta de enlace de API actúa como puerta principal de los microservicios, desacopla los clientes de los microservicios y reduce la complejidad de los microservicios al eliminar la carga que supone el control de las cuestiones transversales.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.4: Deniegue las comunicaciones con direcciones IP malintencionadas conocidas

Guía: Habilite la protección estándar de denegación de servicio distribuido (DDoS) de Microsoft en las redes virtuales en las que se implementan los componentes de Azure Kubernetes Service (AKS) para la protección contra ataques DDoS.

Instale el motor de directiva de red y cree directivas de red de Kubernetes para controlar el flujo de tráfico entre pods en AKS a medida que, de manera predeterminada, se permite todo el tráfico entre estos pods. La directiva de red solo se debe usar para los pods y los nodos basados en Linux de AKS. Para mejorar la seguridad, defina reglas que limiten la comunicación del pod.

Opte por permitir o denegar el tráfico según la configuración, como, por ejemplo, etiquetas asignadas, espacio de nombres o puerto de tráfico. Dado que los pods se crean dinámicamente en un clúster de AKS, se pueden aplicar automáticamente las directivas de red necesarias.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.5: Registro de los paquetes de red

Guía: Use la captura de paquetes de Network Watcher según sea necesario para investigar actividades anómalas.

Network Watcher se habilitará automáticamente en la región de la red virtual al crear o actualizar una red virtual en su suscripción. También puede crear nuevas instancias de Network Watcher con PowerShell, la CLI de Azure, la API REST o el método del cliente de Azure Resource Manager.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.6: Implementación de sistemas de prevención de intrusiones y detección de intrusiones (IDS/IPS) basados en la red

Guía: Proteja su clúster de Azure Kubernetes Service (AKS) con una instancia de Web Application Firewall (WAF) habilitada para Azure Application Gateway

Si la detección de intrusiones o la prevención basada en la inspección de la carga o el análisis del comportamiento no se consideran un requisito, se puede usar y configurar una instancia de Azure Application Gateway con WAF en "modo de detección" para registrar alertas y amenazas, o en "modo de prevención" para bloquear activamente las intrusiones y los ataques detectados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.8: Minimice la complejidad y la sobrecarga administrativa de las reglas de seguridad de red

Guía: use etiquetas de servicio de red virtual para definir controles de acceso a la red en los grupos de seguridad de red asociados a instancias de Azure Kubernetes Service. Se pueden usar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad a fin de permitir o denegar el tráfico para el servicio correspondiente si se especifica el nombre de la etiqueta de servicio.

Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Aplique una etiqueta de Azure a grupos de nodos de su clúster de AKS. Estas son diferentes de las etiquetas de servicio de red virtual, ya que se aplican a cada nodo dentro del grupo de nodos y se conservan a lo largo de las actualizaciones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.9: Mantenga las configuraciones de seguridad estándar para dispositivos de red

Guía: defina e implemente configuraciones de seguridad estándar con Azure Policy para los recursos de red asociados a los clústeres de Azure Kubernetes Service (AKS).

Utilice alias de Azure Policy en los espacios de nombres "Microsoft.ContainerService" y "Microsoft.Network" para crear directivas personalizadas que permitan auditar o aplicar la configuración de red de los clústeres de AKS.

Además, use definiciones de directivas integradas relacionadas con AKS, como las siguientes:

  • Los intervalos IP autorizados deben definirse en los servicios de Kubernetes

  • Exigir la entrada de HTTPS en el clúster de Kubernetes

  • Asegurarse de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes

Información adicional disponible en los vínculos indicados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.10: Documente las reglas de configuración de tráfico

Guía: use etiquetas para los grupos de seguridad de red y otros recursos para el flujo de tráfico hacia y desde clústeres de Azure Kubernetes Service (AKS). Use el campo "Descripción" para las reglas del grupo de seguridad de red a fin de especificar la duración o la necesidad del negocio y otra información de cualquier regla que permita el tráfico hacia o desde una red.

Use cualquiera de las definiciones integradas relacionadas con el etiquetado de Azure Policy, como "Requerir etiqueta y su valor", que garanticen que todos los recursos se crean con etiquetas y para recibir notificaciones para los recursos no etiquetados existentes.

Opte por permitir o denegar rutas de acceso de red específicas en el clúster en función de los espacios de nombres y los selectores de etiquetas con las directivas de red. Utilice estos espacios de nombres y estas etiquetas como descriptores para las reglas de configuración del tráfico. Use Azure PowerShell o la interfaz de la línea de comandos (CLI) de Azure para buscar los recursos o realizar acciones en ellos en función de sus etiquetas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

1.11: Use herramientas automatizadas para supervisar las configuraciones de recursos de red y detectar cambios

Guía: Use el registro de actividad de Azure para supervisar las configuraciones de los recursos de red y detectar cambios en los recursos de red relacionados con los clústeres de Azure Kubernetes Service (AKS).

Cree alertas en Azure Monitor que se desencadenarán cuando se produzcan cambios en los recursos de red críticos. Las entradas del usuario AzureContainerService en los registros de actividad se registran como acciones de plataforma.

Use los registros de Azure Monitor para habilitar y consultar los registros de AKS, los componentes maestros, kube-apiserver y kube-controller-manager. Cree y administre los nodos que ejecutan kubelet con el entorno de ejecución del contenedor, e implemente las aplicaciones mediante el servidor de API de Kubernetes administrado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Registro y supervisión

Para más información, consulte Azure Security Benchmark: registro y supervisión.

2.1: Uso de orígenes de sincronización de hora aprobados

Guía: Los nodos de Azure Kubernetes Service (AKS) usan ntp.ubuntu.com para la sincronización de hora, junto con el puerto UDP 123 y el protocolo de tiempo de red (NTP).

Asegúrese de que los nodos de clúster pueden acceder a los servidores NTP si usa servidores DNS personalizados.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

2.2: Configuración de la administración central de registros de seguridad

Guía: Habilite los registro de auditoría de los componentes principales de Azure Kubernetes Service (AKS), kube-apiserver y kube-controller-manager, que se proporcionan como un servicio administrado.

  • kube-auditaksService: el nombre para mostrar en el registro de auditoría de la operación de plano de control (desde hcpService).

  • masterclient: el nombre para mostrar en el registro de auditoría de MasterClientCertificate, el certificado que obtiene desde az aks get-credentials.

  • nodeclient: el nombre para mostrar de ClientCertificate, que los nodos de agente usan.

Habilite también otros registros de auditoría como kube-audit.

Exporte estos registros a Log Analytics u otra plataforma de almacenamiento. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

Habilite e inste estos datos a Microsoft Sentinel o a un SIEM de terceros en función de los requisitos empresariales de su organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.3: Habilitación del registro de auditoría para recursos de Azure

Guía: use los registros de actividad para supervisar las acciones en los recursos de Azure Kubernetes Service (AKS) y ver toda la actividad y su estado. Determine qué operaciones se efectuaron en los recursos de la suscripción con los registros de actividad:

  • quién inició la operación
  • cuándo tuvo lugar la operación
  • el estado de la operación
  • los valores de otras propiedades que podrían ayudarle en la investigación de la operación

puede recuperar información de los registros de actividad mediante Azure PowerShell, la interfaz de la línea de comandos (CLI) de Azure, la API REST de Azure o Azure Portal.

Habilite los registros de auditoría en los componentes maestros de AKS, como:

  • kube-auditaksService: el nombre para mostrar en el registro de auditoría de la operación de plano de control (desde hcpService).

  • masterclient: el nombre para mostrar en el registro de auditoría de MasterClientCertificate, el certificado que obtiene desde az aks get-credentials.

  • nodeclient: el nombre para mostrar de ClientCertificate, que los nodos de agente usan.

Habilite también otros registros de auditoría, como kube-audit.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.4: Recopilación de registros de seguridad de sistemas operativos

Guía: habilite la instalación automática de los agentes de Log Analytics para recopilar datos de los nodos de clúster de AKS. Además, active el aprovisionamiento automático del agente de supervisión de Azure Log Analytics desde Microsoft Defender para la nube, ya que, de forma predeterminada, el aprovisionamiento automático está desactivado. El agente también se puede instalar manualmente. Con el aprovisionamiento automático en marcha, Microsoft Defender para la nube implementa el agente de Log Analytics en todas las máquinas virtuales de Azure compatibles y en las nuevas que se crean.

Microsoft Defender para la nube recopila datos de Azure Virtual Machines (VM), conjuntos de escalado de máquinas virtuales y contenedores de IaaS, como nodos de clúster de Kubernetes, para supervisar las amenazas y vulnerabilidades de seguridad. Los datos se recopilan con el agente de Azure Log Analytics, que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos.

La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y detecciones de amenazas y mantenimiento.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

2.5: Configuración de la retención del almacenamiento de registros de seguridad

Guía: Incorpore las instancias de Azure Kubernetes Service (AKS) a Azure Monitor y establezca el período de retención del área de trabajo de Azure Log Analytics correspondiente según los requisitos de cumplimiento de su organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.6: Supervisión y registros de revisión

Guía: Incorpore las instancias de Azure Kubernetes Service (AKS) para Azure Monitor y establezca la configuración de diagnóstico para el clúster.

Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro. Los registros de Azure Monitor se habilitan y administran en Azure Portal o a través de la CLI y funcionan con los clústeres de control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) y los de AKS que no están habilitados para RBAC.

Vea los registros que generan los componentes maestros de AKS (kube-apiserver y kube-controllermanager) para solucionar problemas de la aplicación y los servicios. Habilite e inste los datos a Microsoft Sentinel o a un SIEM de terceros para la administración y supervisión centralizadas de registros.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.7: Habilitación de alertas para actividades anómalas

Guía:Use Azure Kubernetes Service (AKS) junto con Microsoft Defender para la nube para obtener una mayor visibilidad de los nodos de AKS.

Revise Alertas de Microsoft Defender para la nube sobre amenazas y actividad malintencionada detectada en el host y en el nivel de clúster. Microsoft Defender para la nube implementa el análisis continuo de los eventos de seguridad sin procesar que se producen en un clúster de AKS, como los datos de red, la creación de procesos y el registro de auditoría de Kubernetes. Determine si esta actividad es el comportamiento esperado o si la aplicación no se comporta correctamente. Use las métricas y los registros de Azure Monitor para apoyar sus conclusiones.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.8: Centralización del registro antimalware

Guía: Instale y habilite Microsoft Antimalware para Azure en máquinas virtuales de Azure Kubernetes Service (AKS) y nodos del conjunto de escalado de máquinas virtuales. Revise las alertas de Microsoft Defender para la nube para la corrección.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.9: Habilitación del registro de consultas DNS

Guía: Azure Kubernetes Service (AKS) usa el proyecto CoreDNS para la administración y la resolución DNS del clúster.

Para habilitar el registro de consultas de DNS, aplique la configuración documentada en coredns-custom ConfigMap.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

2.10: Habilitación del registro de auditoría de la línea de comandos

Guía: Use kubectl, un cliente de línea de comandos, en Azure Kubernetes Service (AKS) para administrar un clúster de Kubernetes y obtener sus registros del nodo de AKS a fin de solucionar problemas. Si usa Azure Cloud Shell, kubectl ya está instalado. Para instalar kubectl localmente, use el cmdlet "Install-AzAksKubectl".

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Identidad y Access Control

Para más información, consulte Azure Security Benchmark: identidad y control de acceso.

3.1: Mantenga un inventario de cuentas administrativas

Guía: Azure Kubernetes Service (AKS) por sí solo no proporciona una solución de administración de identidades en la que se almacenen contraseñas y cuentas de usuario normales. Con la integración de Azure Active Directory (Azure AD), puede conceder a los usuarios o grupos acceso a los recursos de Kubernetes de un espacio de nombres o del clúster.

Realice consultas ad hoc a fin de detectar cuentas que son miembros de grupos administrativos de AKS con el módulo de PowerShell de Azure AD.

Use la CLI de Azure para operaciones como "Get access credentials for a managed Kubernetes cluster" ("Obtener credenciales de acceso para un clúster de Kubernetes administrado") a fin de ayudar a conciliar el acceso de forma periódica. Implemente este proceso para mantener un inventario actualizado de las cuentas de servicio, que son otro tipo de usuario principal en AKS. Aplique Microsoft Defender para las recomendaciones de administración de identidades y acceso de la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.2: Cambie las contraseñas predeterminadas cuando proceda

Guía: Azure Kubernetes Service (AKS) no tiene el concepto de contraseñas predeterminadas comunes y no proporciona una solución de administración de identidades en la que se puedan almacenar las contraseñas y las cuentas de usuario normales. Con la integración de Azure Active Directory (Azure AD), puede conceder acceso basado en rol a los recursos de Kubernetes de un espacio de nombres o del clúster.

Realice consultas ad hoc a fin de detectar cuentas que son miembros de grupos administrativos de AKS con el módulo de PowerShell de Azure AD.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.3: Use cuentas administrativas dedicadas

Guía: Integre la autenticación de usuario para los clústeres de Azure Kubernetes Service (AKS) con Azure Active Directory (Azure AD). Inicie sesión en un clúster de AKS mediante un token de autenticación de Azure AD. Configure el control de acceso basado en rol de Kubernetes (Kubernetes RBAC) para habilitar el acceso administrativo a información y permisos de la configuración de Kubernetes (kubeconfig), espacios de nombres y recursos de clúster.

Cree directivas y procedimientos en torno al uso de cuentas administrativas dedicadas. Implemente recomendaciones de Microsoft Defender para la administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.4: Use el inicio de sesión único (SSO) con Azure Active Directory

Guía: Use el inicio de sesión único para Azure Kubernetes Service (AKS) con la autenticación integrada de Azure Active Directory (Azure AD) de un clúster de AKS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.5: Use la autenticación multifactor para todo el acceso basado en Azure Active Directory

Guía: Integre la autenticación para Azure Kubernetes Service (AKS) con Azure Active Directory (Azure AD).

Habilite Azure AD multifactor y siga las recomendaciones de Administración de identidades y acceso de Microsoft Defender para la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.6: Use máquinas dedicadas (estaciones de trabajo de acceso con privilegios) para todas las tareas administrativas

Guía: Use una estación de trabajo de acceso con privilegios (PAW), con Multi-Factor Authentication (MFA), configurada para iniciar sesión en los clústeres de Azure Kubernetes Service especificados y los recursos relacionados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.7: Registro y alerta de actividades sospechosas desde cuentas administrativas

Guía: use los informes de seguridad de Azure Active Directory (Azure AD) con la autenticación integrada de Azure AD para Azure Kubernetes Service (AKS). Se pueden generar alertas cuando se producen actividades sospechosas o no seguras en el entorno. Use Microsoft Defender para la nube para supervisar la actividad de identidad y acceso.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.8: Administración de los recursos de Azure solo desde ubicaciones aprobadas

Guía: use ubicaciones con nombre de acceso condicional para permitir el acceso a los clústeres de Azure Kubernetes Service (AKS) solo en agrupaciones lógicas específicas de intervalos de direcciones IP o países o regiones. Requiere la autenticación integrada para AKS con Azure Active Directory (Azure AD).

Limite el acceso al servidor de la API de AKS desde un conjunto limitado de intervalos de direcciones IP, a medida que recibe solicitudes para realizar acciones en el clúster con el fin de crear recursos o escalar el número de nodos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.9: Uso de Azure Active Directory

Guía: use Azure Active Directory (Azure AD) como sistema central de autenticación y autorización para Azure Kubernetes Service (AKS). Azure AD protege los datos mediante el cifrado seguro para datos en reposo y en tránsito, y también cifra con sal las credenciales de usuario, les aplica hash y las almacena de forma segura.

Use los roles integrados de AKS con el control de acceso basado en rol de Azure (RBAC de Azure) (colaborador y propietario de directivas de recursos) para las operaciones de asignación de directivas en el clúster de Kubernetes.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.10: Revise y concilie regularmente el acceso de los usuarios

Guía: use los informes de seguridad de Azure Active Directory (Azure AD) con la autenticación integrada de Azure AD para Azure Kubernetes Service (AKS). Busque registros de Azure AD para detectar cuentas obsoletas.

Realice revisiones de acceso de identidad de Azure para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Corrija las recomendaciones de identidad y acceso de Microsoft Defender para la nube.

Tenga en cuenta los roles que se usan para la compatibilidad o con fines de solución de problemas. Por ejemplo, las acciones de clúster que realiza el servicio de soporte técnico de Microsoft (con el consentimiento del usuario) se realizan en el rol "editar" integrado de Kubernetes que se denomina aks-support-rolebinding. La compatibilidad con AKS está habilitada con este rol para editar la configuración y los recursos del clúster a fin de solucionar y diagnosticar problemas del clúster. Sin embargo, este rol no puede modificar permisos ni crear roles ni enlaces de roles. El acceso a roles solo se habilita en incidencias de soporte técnico activas con acceso Just-in-Time (JIT).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.11: Supervisión de los intentos de acceso a credenciales desactivadas

Guía: Integre la autenticación del usuario para Azure Kubernetes Service (AKS) con Azure Active Directory (Azure AD). Cree una configuración de diagnóstico para Azure AD y envíe los registros de auditoría y de inicio de sesión a un área de trabajo de Azure Log Analytics. Configure las alertas que quiera (por ejemplo, cuando una cuenta desactivada intente iniciar sesión) de un área de trabajo de Azure Log Analytics.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

3.12: Alerte de las desviaciones de comportamiento en los inicios de sesión de las cuentas

Guía: Integre la autenticación del usuario para Azure Kubernetes Service (AKS) con Azure Active Directory (Azure AD). Use las características de protección de identidad y detección de riesgo de Azure AD para configurar respuestas automatizadas a las acciones sospechosas detectadas relacionadas con las identidades de los usuarios. Ingerir datos en Microsoft Sentinel para investigaciones mayor en función de las necesidades empresariales.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

4.1: Mantenimiento de un inventario de información confidencial

Guía: use etiquetas en los recursos relacionados con las implementaciones de Azure Kubernetes Service para ayudar a realizar un seguimiento de los recursos de Azure que almacenan o procesan información confidencial.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial

Guía: Aísle lógicamente los equipos y las cargas de trabajo en el mismo clúster con Azure Kubernetes Service (AKS) para proporcionar el número mínimo de privilegios, en el ámbito de los recursos necesarios para cada equipo.

Use el espacio de nombres en Kubernetes para crear un límite de aislamiento lógico. Considere la posibilidad de implementar características adicionales de Kubernetes para el aislamiento y la opción multiinquilino, como la programación, las redes, la autenticación, la autorización y los contenedores.

Implemente suscripciones o grupos de administración independientes para los entornos de desarrollo, pruebas y producción. Separe los clústeres de AKS con las redes mediante su implementación en distintas redes virtuales, que se etiquetan adecuadamente.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial

Guía: Use una solución de terceros de Azure Marketplace en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias, a la vez que alerta a los profesionales de seguridad de la información.

Microsoft administra la plataforma subyacente, trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.4: Cifrado de toda la información confidencial en tránsito

Guía: Cree un controlador de entrada HTTPS y use sus propios certificados TLS (o bien, de Let's Encrypt) para sus implementaciones de Azure Kubernetes Service (AKS).

El tráfico de salida de Kubernetes se cifra de forma predeterminada a través de HTTPS/TLS. Revise cualquier tráfico de salida potencialmente no cifrado de las instancias de AKS para realizar una supervisión adicional. Este puede incluir tráfico NTP, DNS o HTTP para recuperar actualizaciones en algunos casos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.5: Uso de una herramienta de detección activa para identificar datos confidenciales

Instrucciones: las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Storage ni los recursos de proceso. Implemente una solución de terceros, si es necesario, para fines de cumplimiento. Microsoft administra la plataforma subyacente, trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos.

Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.6: Uso de RBAC de Azure para administrar el acceso a los recursos

Guía: Use el sistema de autorización del control de acceso basado en rol de Azure (RBAC de Azure) que se basa en Azure Resource Manager a fin de proporcionar una administración de acceso específico de los recursos de Azure.

Configure Azure Kubernetes Service (AKS) para que utilice Azure Active Directory (Azure AD) para la autenticación de usuarios. Inicie sesión en un clúster de AKS mediante un token de autenticación de Azure AD con esta configuración.

Use los roles integrados de AKS con RBAC de Azure (colaborador y propietario de directivas de recursos) para las operaciones de asignación de directivas en el clúster de AKS.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.2

4.7: Uso de la prevención de pérdida de datos basada en host para aplicar el control de acceso

Guía: las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Storage ni los recursos de proceso. Implemente una solución de terceros, si es necesario, para fines de cumplimiento. Microsoft administra la plataforma subyacente, trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

4.8: Cifrado de información confidencial en reposo

Guía: Los dos tipos principales de almacenamiento proporcionados para volúmenes en Azure Kubernetes Service (AKS) están respaldados por Azure Disks o Azure Files. A fin de mejorar la seguridad, ambos tipos de almacenamiento usan Azure Storage Service Encryption (SSE) para cifrar los datos en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft.

El cifrado en reposo mediante claves administradas por el cliente está disponible para el cifrado de los discos de datos y del sistema operativo de los clústeres de AKS con tal de tener un mayor control sobre las claves de cifrado. Los clientes son responsables de las actividades de administración de claves, como la rotación o la copia de seguridad de estas. Actualmente no se pueden cifrar los discos con Azure Disk Encryption en el nivel de nodo de AKS.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

4.9: Registro y alerta de cambios en los recursos críticos de Azure

Guía: Use Azure Monitor para contenedores a fin de supervisar el rendimiento de las cargas de trabajo de contenedor implementadas en clústeres de Kubernetes administrados y hospedados en Azure Kubernetes Service (AKS).

Configure alertas para recibir notificaciones de manera proactiva o crear registros cuando el uso de la CPU y la memoria en nodos o contenedores supere los umbrales, o cuando se produzca un cambio en el estado de mantenimiento del clúster en la infraestructura o la acumulación de estado de los nodos.

Use el registro de actividad de Azure para supervisar los clústeres de AKS y los recursos relacionados en un nivel alto. Integrarse con Prometheus para ver las métricas de la aplicación y de la carga de trabajo que recopila de los nodos y Kubernetes mediante consultas para crear alertas personalizadas y paneles y realizar un análisis detallado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de vulnerabilidades.

5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado

Guía:Use Microsoft Defender para la nube para supervisar las Azure Container Registry, Azure Kubernetes Service instancias de Azure Kubernetes Service (AKS) en busca de vulnerabilidades. Habilite el conjunto de registros de contenedor en Microsoft Defender para la nube para asegurarse de que Microsoft Defender para la nube está listo para examinar imágenes que se insertan en el registro.

Reciba una notificación en el panel de Microsoft Defender para la nube cuando se encuentran problemas después de que Microsoft Defender for Cloud examina la imagen mediante Qualys. La característica de agrupación Registros de contenedor proporciona una visibilidad más profunda de las vulnerabilidades de las imágenes que se usan en Azure Resource Manager basados en contenedores.

Use Microsoft Defender para la nube para obtener recomendaciones prácticas para cada vulnerabilidad. Estas recomendaciones incluyen una clasificación de gravedad y una guía para la corrección.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada

Guía: Las actualizaciones de seguridad se aplican automáticamente a los nodos de Linux a fin de proteger los clústeres de Azure Kubernetes Service (AKS) del cliente. Estas actualizaciones incluyen las revisiones de seguridad del sistema operativo o las actualizaciones del kernel.

Tenga en cuenta que el proceso para mantener actualizados los nodos de Windows Server difiere de los nodos que ejecutan Linux, ya que los nodos de Windows Server no reciben actualizaciones diarias. En su lugar, los clientes deben realizar una actualización en los grupos de nodos de Windows Server de sus clústeres de AKS, que implementa nuevos nodos con la imagen base de Windows Server más reciente y revisiones mediante el panel de control de Azure o la CLI de Azure. Estas actualizaciones contienen mejoras de seguridad o funcionalidad para AKS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.3: Implementación de una solución de administración de revisiones automatizada de títulos de software de terceros

Guía: implemente un proceso manual para asegurarse de que las aplicaciones de terceros del nodo de clúster de Azure Kubernetes Service (AKS) permanecen revisadas durante la vigencia del clúster. Esto puede requerir la habilitación de actualizaciones automáticas, la supervisión de nodos o la realización de reinicios periódicos.

Responsabilidad: Customer

Supervisión de Microsoft Defenderpara la nube: Azure Security Benchmark es la iniciativa de directiva predeterminada para Microsoft Defender para la nube y es la base de las recomendaciones de Microsoft Defender para la nube. Microsoft Defender para la nube habilita automáticamente las definiciones de Azure Policy relacionadas con este control. Las alertas relacionadas con este control pueden requerir un plan de Microsoft Defender para los servicios relacionados.

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)		 Descripción Efectos Versión
(GitHub)
Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ Audit, Disabled 1.0.2

5.4: Compare los exámenes de vulnerabilidades opuestos

Guía:Exporte los resultados del examen de Microsoft Defender para la nube a intervalos coherentes y compare los resultados para comprobar que se han corregido las vulnerabilidades.

Use el cmdlet de PowerShell "Get-AzSecurityTask" para automatizar la recuperación de las tareas de seguridad que Microsoft Defender para la nube recomienda realizar con el fin de reforzar la posición de seguridad y corregir los resultados del examen de vulnerabilidades.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas

Guía:Use la clasificación de gravedad proporcionada por Microsoft Defender para la nube para dar prioridad a la corrección de vulnerabilidades.

Use Common Vulnerability Scoring System (CVSS) (u otros sistemas de puntuación que proporciona la herramienta de exploración) si usa una herramienta de evaluación de vulnerabilidades integrada (como Qualys o Rapid7, que ofrece Azure).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos y del inventario

Para más información, consulte Azure Security Benchmark: inventario y administración de recursos.

6.1: Uso de la solución de detección de recursos automatizada

Guía: use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, etc.) de sus suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones.

Aunque los recursos clásicos de Azure se pueden detectar a través de Resource Graph, se recomienda encarecidamente crear y usar los recursos basados en Azure Resource Manager en adelante.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.2: Mantenimiento de metadatos de recursos

Guía: aplique etiquetas a los recursos de Azure con metadatos para organizarlos de forma lógica en una taxonomía.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.3: Eliminación de recursos de Azure no autorizados

Instrucciones: Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos.

Aplique taints o etiquetas al crear un grupo de nodos de Azure Kubernetes Service (AKS). Todos los nodos de ese grupo de nodos también heredarán dicho taint o etiqueta.

Los taints o las etiquetas se pueden usar para conciliar el inventario periódicamente y asegurarse de que los recursos no autorizados se eliminan de la suscripción de manera oportuna.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados

Guía: defina una lista de recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades organizativas de la empresa.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.5: Supervisión de recursos de Azure no aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Use Azure Resource Graph para consultar o detectar recursos en las suscripciones. Asegúrese de que todos los recursos de Azure del entorno se aprueben según los requisitos organizativos de la empresa.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.6: Supervisión de aplicaciones de software no aprobadas en recursos de proceso

Guía: Use las características de Seguimiento de cambios e inventario de Azure Automation para averiguar el software que hay instalado en su entorno.

Recopile y vea el inventario de software, archivos, demonios de Linux, servicios de Windows y claves del Registro de Windows en los equipos y supervise las aplicaciones de software no aprobadas.

Realice un seguimiento de las configuraciones de sus máquinas a fin de identificar problemas de funcionamiento en el entorno y comprender mejor el estado de las máquinas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.7: Eliminación de aplicaciones de software y recursos de Azure no aprobadas

Guía: Use las características de Seguimiento de cambios e inventario de Azure Automation para averiguar el software que hay instalado en su entorno.

Recopile y vea el inventario de software, archivos, demonios de Linux, servicios de Windows y claves del Registro de Windows en los equipos y supervise las aplicaciones de software no aprobadas.

Realice un seguimiento de las configuraciones de sus máquinas a fin de identificar problemas de funcionamiento en el entorno y comprender mejor el estado de las máquinas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.8: Uso exclusivo de aplicaciones aprobadas

Guía: Use las características de Seguimiento de cambios e inventario de Azure Automation para averiguar el software que hay instalado en su entorno.

Recopile y vea el inventario de software, archivos, demonios de Linux, servicios de Windows y claves del Registro de Windows en los equipos y supervise las aplicaciones de software no aprobadas.

Realice un seguimiento de las configuraciones de sus máquinas a fin de identificar problemas de funcionamiento en el entorno y comprender mejor el estado de las máquinas.

Habilite el análisis de aplicaciones adaptables en Microsoft Defender para la nube para las aplicaciones que existen en su entorno.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.9: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas:

  • Tipos de recursos no permitidos

  • Tipos de recursos permitidos

Use Azure Resource Graph para consultar o detectar recursos en las suscripciones. Asegúrese de que todos los recursos de Azure presentes en el entorno estén aprobados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.10: Mantenimiento de un inventario de títulos de software aprobados

Guía: use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones con las definiciones de directiva integradas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.11: Limitación de la capacidad de los usuarios para interactuar con Azure Resource Manager

Instrucciones: use el acceso condicional de Azure para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de la opción "Bloquear acceso" en la aplicación "Administración de Microsoft Azure".

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.12: Limitación de la capacidad de los usuarios para ejecutar scripts en los recursos de proceso

Guía: Azure Kubernetes Service (AKS) por sí solo no proporciona una solución de administración de identidades en la que se almacenan contraseñas y cuentas de usuario normales. En su lugar, use Azure Active Directory (Azure AD) como solución de identidad integrada para los clústeres de AKS.

Conceda a los usuarios o grupos acceso a los recursos de Kubernetes de un espacio de nombres o del clúster mediante la integración de Azure AD.

Use el módulo de PowerShell de Azure AD para realizar consultas ad hoc a fin de detectar cuentas que forman parte de grupos administrativos de AKS y usarlas para conciliar el acceso periódicamente. Use la CLI de Azure para operaciones, como "Get access credentials for a managed Kubernetes cluster" ("Obtener credenciales de acceso para un clúster de Kubernetes administrado"). Implemente microsoft defender para las recomendaciones de administración de identidades y acceso en la nube.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

6.13: Segregación física o lógica de aplicaciones de alto riesgo

Guía: Use las características de Azure Kubernetes Service (AKS) a fin de aislar lógicamente los equipos y las cargas de trabajo en el mismo clúster para el número mínimo de privilegios, en el ámbito de los recursos necesarios para cada equipo.

Implemente el espacio de nombres en Kubernetes para crear un límite de aislamiento lógico. Use alias de Azure Policy en el espacio de nombres "Microsoft.ContainerService" para crear directivas personalizadas a fin de auditar o aplicar la configuración de las instancias de Azure Kubernetes Service (AKS).

Revise e implemente las características adicionales de Kubernetes y tenga en cuenta los aspectos relativos al aislamiento y la arquitectura multiinquilino para incluir lo siguiente: programación, redes, autenticación o autorización y contenedores. Así mismo, use suscripciones y grupos de administración independientes para los entornos de desarrollo, pruebas y producción. Separe los clústeres de AKS con redes virtuales y subredes que se etiquetan adecuadamente y se protegen con un firewall de aplicaciones web (WAF).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Configuración segura

Para más información, consulte Azure Security Benchmark: configuración segura.

7.1: Establezca configuraciones seguras para todos los recursos de Azure

Guía: Use alias de Azure Policy en el espacio de nombres "Microsoft.ContainerService" para crear directivas personalizadas a fin de auditar o aplicar la configuración de las instancias de Azure Kubernetes Service (AKS). Use definiciones de Azure Policy integradas.

Entre los ejemplos de las definiciones de directiva integradas para AKS se incluyen los siguientes:

  • Exigir la entrada de HTTPS en el clúster de Kubernetes

  • Los intervalos IP autorizados deben definirse en los servicios de Kubernetes

  • Se debe usar el control de acceso basado en rol en los servicios de Kubernetes

  • Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes

Exporte una plantilla de la configuración de AKS en notación de objetos JavaScript (JSON) con Azure Resource Manager. Revísela periódicamente para asegurarse de que estas configuraciones cumplan los requisitos de seguridad de su organización. Use las recomendaciones de Microsoft Defender para la nube como línea base de configuración segura para los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.2: Establezca configuraciones del sistema operativo seguras

Guía: Los clústeres de Azure Kubernetes Service (AKS) se implementan en máquinas virtuales del host con un sistema operativo optimizado para la seguridad. El sistema operativo del host cuenta con pasos adicionales de mejora de la seguridad incorporados para reducir el área expuesta de ataque y permitir la implementación de contenedores de manera segura.

Azure aplica revisiones diarias (lo que incluye revisiones de seguridad) a los hosts de máquina virtual de AKS con alunas revisiones que requieren un reinicio. Los clientes son responsables de programar los reinicios de host de máquina virtual de AKS según sea necesario.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

7.3: Mantenga configuraciones de recursos de Azure seguras

Guía: Proteja su clúster de Azure Kubernetes Service (AKS) mediante directivas de seguridad de pods. Para mejorar la seguridad del clúster, limite los pods que se pueden programar.

Los pods que solicitan recursos no permitidos no se pueden ejecutar en el clúster de AKS.

También puede usar los efectos [deny] y [deploy if not exist] de Azure Policy a fin de aplicar configuraciones seguras para los recursos de Azure relacionados con las implementaciones de AKS (como redes virtuales, subredes, firewalls de Azure, cuentas de almacenamiento, etc.).

Cree definiciones de Azure Policy personalizadas con alias de los siguientes espacios de nombres:

  • Microsoft.ContainerService

  • Microsoft.Network

Información adicional disponible en los vínculos indicados.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.4: Mantenga configuraciones del sistema operativo seguras

Guía: Los clústeres de Azure Kubernetes Service (AKS) se implementan en máquinas virtuales del host con un sistema operativo optimizado para la seguridad. El sistema operativo del host cuenta con pasos adicionales de mejora de la seguridad incorporados para reducir el área expuesta de ataque y permitir la implementación de contenedores de manera segura.

Consulte la lista de controles de Center for Internet Security (CIS) que están integrados en el sistema operativo del host.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.5: Almacene de forma segura la configuración de los recursos de Azure

Guía: Use Azure Repos para almacenar y administrar de forma segura las configuraciones si usa definiciones de Azure Policy personalizadas. Exporte una plantilla de la configuración de Azure Kubernetes Service (AKS) en notación de objetos JavaScript (JSON) con Azure Resource Manager. Revísela periódicamente para asegurarse de que las configuraciones cumplan los requisitos de seguridad de su organización.

Implemente soluciones de terceros, como Terraform, para crear un archivo de configuración que declare los recursos para el clúster de Kubernetes. Puede proteger la implementación de AKS si implementa los procedimientos recomendados de seguridad y almacena la configuración como código en una ubicación segura.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.6: Almacene imágenes de sistema operativo personalizadas de forma segura

Guía: No es aplicable a Azure Kubernetes Service (AKS). AKS proporciona de forma predeterminada un sistema operativo de host optimizado para la seguridad. Actualmente, no hay ninguna opción para seleccionar otro sistema operativo o uno personalizado.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.7: Implementación de herramientas de administración de configuración para recursos de Azure

Guía: use Azure Policy para aplicar restricciones en el tipo de recursos que se pueden crear en las suscripciones mediante definiciones de directiva integradas, así como alias de Azure Policy en el espacio de nombres "Microsoft.ContainerService".

Cree directivas personalizadas para auditar y aplicar configuraciones del sistema. Desarrolle un proceso y una canalización para administrar las excepciones de las directivas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.8: Implementación de herramientas de administración de la configuración para sistemas operativos

Guía: Los clústeres de Azure Kubernetes Service (AKS) se implementan en máquinas virtuales del host con un sistema operativo optimizado para la seguridad. El sistema operativo del host cuenta con pasos adicionales de mejora de la seguridad incorporados para reducir el área expuesta de ataque y permitir la implementación de contenedores de manera segura.

Consulte la lista de controles de Center for Internet Security (CIS) que están integrados en los hosts de AKS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.9: Implementación de la supervisión de la configuración automatizada para los recursos de Azure

Guía:Use Microsoft Defender para la nube para realizar exámenes de línea de base de recursos relacionados con Azure Kubernetes Service implementaciones de Azure Kubernetes Service (AKS). Entre los recursos de ejemplo se incluyen el propio clúster de AKS, la red virtual en la que se implementó el clúster de AKS, la cuenta de Azure Storage usada para realizar un seguimiento del estado de Terraform o las instancias de Azure Key Vault que se usan para las claves de cifrado de los discos de datos y del sistema operativo del clúster de AKS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.10: Implemente la supervisión de configuración automatizada para sistemas operativos

Guía:Use las recomendaciones de contenedores de Microsoft Defender para la nube en la sección "Aplicaciones de proceso" para realizar exámenes de línea de base Azure Kubernetes Service clústeres de Azure Kubernetes Service (AKS).

Reciba una notificación en el panel de Microsoft Defender para la nube cuando se encuentran problemas de configuración o vulnerabilidades. Esto requiere habilitar el conjunto opcional de registros de contenedor que permite a Microsoft Defender for Cloud examinar la imagen.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.11: Administre los secretos de Azure de forma segura

Guía: Integre Azure Key Vault con un clúster de Azure Kubernetes Service (AKS) mediante un controlador FlexVolume. Use Key Vault para almacenar y rotar periódicamente secretos, como credenciales, claves de cuenta de almacenamiento o certificados. El controlador FlexVolume permite que el clúster de AKS pueda recuperar de forma nativa las credenciales de Key Vault y proporcionárselas de forma segura solo al pod solicitante. Use una identidad administrada de pods para solicitar acceso a Key Vault y recuperar las credenciales que necesita mediante el controlador FlexVolume. Asegúrese de que la eliminación temporal de Key Vault esté habilitada.

Para limitar la exposición de credenciales, no defina credenciales en el código de la aplicación.

Evite el uso de credenciales fijas o compartidas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.12: Administre las identidades de forma segura y automática

Guía: No defina las credenciales en el código de aplicación como procedimiento recomendado de seguridad. Use identidades administradas para recursos de Azure con tal de permitir que un pod se autentique en cualquier servicio de Azure que lo admita, como Azure Key Vault. Se asigna una identidad de Azure al pod para que se autentique en Azure Active Directory (Azure AD) y reciba un token digital que se puede presentar en otros servicios de Azure que comprueban si el pod tiene autorización para acceder al servicio y realizar las acciones necesarias.

Tenga en cuenta que las identidades administradas de pods está pensadas para usarse únicamente con pods de Linux y las imágenes de contenedor. Aprovisione Azure Key Vault para almacenar y recuperar credenciales y claves digitales. Las claves como las que se usan para cifrar los discos del sistema operativo o los datos del clúster de AKS se pueden almacenar en Azure Key Vault.

Las entidades de servicio también se pueden usar en clústeres de AKS. Sin embargo, es posible que los clústeres que usan entidades de servicio terminen alcanzando un estado en el que es necesario renovar la entidad de servicio para mantener el clúster en funcionamiento. La administración de entidades de servicio agrega complejidad, por lo que es más fácil usar identidades administradas. Se aplican los mismos requisitos de permisos tanto en las entidades de servicio como en las identidades administradas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

7.13: Elimine la exposición de credenciales no intencionada

Instrucciones: Implemente el escáner de credenciales para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault, con recomendaciones.

Para limitar la exposición de credenciales, no defina credenciales en el código de la aplicación y evite el uso de credenciales compartidas. Azure Key Vault se debe usar para almacenar y recuperar claves digitales y credenciales. Use identidades administradas para los recursos de Azure para permitir que el pod solicite acceso a otros recursos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Defensa contra malware

Para más información, consulte Azure Security Benchmark: defensa contra malware.

8.1: Uso de software antimalware administrado centralmente

Guía: AKS administra el ciclo de vida y las operaciones de los nodos de agente en su nombre, por lo que no admite la modificación de los recursos de IaaS asociados a los nodos de agente. Sin embargo, en el caso de los nodos de Linux, puede usar conjuntos de demonio para instalar software personalizado como una solución antimalware.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso

Guía: Examine previamente los archivos que se cargan en los recursos de AKS. Use Microsoft Defender para la detección de amenazas en la nube para los servicios de datos para detectar malware cargado en cuentas de almacenamiento si usa una cuenta de Azure Storage como almacén de datos o para realizar un seguimiento del estado de Terraform para el clúster de AKS.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

8.3: Garantía de la actualización del software y las firmas antimalware

Guía: AKS administra el ciclo de vida y las operaciones de los nodos de agente en su nombre, por lo que no admite la modificación de los recursos de IaaS asociados a los nodos de agente. Sin embargo, en el caso de los nodos de Linux, puede usar conjuntos de demonio para instalar software personalizado como una solución antimalware.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Recuperación de datos

Para más información, consulte Azure Security Benchmark: recuperación de datos.

9.1: Garantía de copias de seguridad automáticas periódicas

Guía: Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales. Verifique de forma periódica la integridad y seguridad de las copias de seguridad.

Quite el estado de las aplicaciones antes de realizar la copia de seguridad. Cuando no sea posible, realice una copia de seguridad de los datos de los volúmenes persistentes y pruebe regularmente las operaciones de restauración para verificar la integridad de datos y los procesos necesarios.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.2: Copias de seguridad completas del sistema y copia de seguridad de las claves administradas por el cliente

Guía: Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales.

Realice copias de seguridad automatizadas periódicas de los certificados, las claves, las cuentas de almacenamiento administradas y los secretos de Key Vault con los comandos de PowerShell.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: Realice periódicamente la restauración de datos de contenido en la copia de seguridad de Velero. Si es necesario, pruebe la restauración en una red virtual o suscripción aislada.

Realice restauraciones de datos periódicas de los certificados, las claves, las cuentas de almacenamiento administradas y los secretos de Key Vault con los comandos de PowerShell.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente

Guía: Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales.

Habilite la eliminación temporal en Key Vault para proteger las claves contra la eliminación accidental o malintencionada si Azure Key Vault se usa con las implementaciones de Azure Kubernetes Service (AKS).

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Respuesta a los incidentes

Para más información, consulte Azure Security Benchmark: respuesta ante incidentes.

10.1: Creación de una guía de respuesta ante incidentes

Instrucciones: Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Guía:priorice las alertas que se deben investigar primero con la gravedad asignada a las alertas de Microsoft Defender para la nube. La gravedad se basa en la confianza de Microsoft Defender para la nube en la búsqueda o en el análisis usado para emitir la alerta, así como en el nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta. Marque las suscripciones de forma clara (por ejemplo, producción o no producción) y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.3: Prueba de los procedimientos de respuesta de seguridad

Guía: realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan de respuesta a los incidentes según sea necesario.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Guía: La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente.

Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Guía:Exporte alertas y recomendaciones de Microsoft Defender para la nube mediante su característica de exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua.

Elija el conector de datos de Microsoft Defender para la nube para transmitir las alertas a Microsoft Sentinel según las necesidades y en función de los requisitos empresariales de la organización.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

10.6: Automatización de la respuesta a las alertas de seguridad

Guía:use la característica Automatización de flujos de trabajo de Microsoft Defender para la nube para desencadenar automáticamente respuestas a través de "Logic Apps" en alertas y recomendaciones de seguridad.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pruebas de penetración y ejercicios del equipo rojo

Para más información, consulte Azure Security Benchmark: Pruebas de penetración y ejercicios del equipo rojo.

11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos

Guía: Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Más información sobre la estrategia y puesta en marcha de un equipo rojo de Microsoft, y las pruebas de penetración en sitios activos de la infraestructura en la nube, las aplicaciones y los servicios administrados por Microsoft en los vínculos a los que se hace referencia.

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes