Az Azure biztonsági alapkonfigurációja Azure Kubernetes Service

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Kubernetesre. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Kubernetesre vonatkozó kapcsolódó útmutató szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Kubernetes Service nem alkalmazható vagy a Microsoft felelősségi körébe tartozó vezérlők ki lettek zárva. Annak megtekintéséhez, hogy Azure Kubernetes Service hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Kubernetes Service biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Alapértelmezés szerint a rendszer automatikusan létrehoz egy hálózati biztonsági csoportot és útvonaltáblát egy Microsoft Azure Kubernetes Service -fürt (AKS) létrehozásával. Az AKS automatikusan módosítja a hálózati biztonsági csoportokat a megfelelő forgalomhoz, mivel a szolgáltatások terheléselosztókkal, portleképezésekkel vagy bejövő útvonalakkal jönnek létre. A hálózati biztonsági csoport automatikusan társítva van az ügyfélcsomópontokon lévő virtuális hálózati adapterekkel és a virtuális hálózat alhálózatával rendelkező útvonaltáblával.

Az AKS hálózati házirendjeinek használatával korlátozhatja a hálózati forgalmat a fürt Linux-podjai közötti bejövő és kimenő forgalomra vonatkozó szabályok meghatározásával a névterek és a címkeválasztók kiválasztása alapján. A hálózati szabályzat használatához az Azure CNI beépülő modul szükséges meghatározott virtuális hálózattal és alhálózatokkal, és csak fürtlétrehozáskor engedélyezhető. Meglévő AKS-fürtön nem helyezhetők üzembe.

Privát AKS-fürtöt is implementálhat, hogy az AKS API-kiszolgáló és a csomópontkészletek közötti hálózati forgalom csak a magánhálózaton maradjon. A vezérlősík vagy API-kiszolgáló egy AKS által felügyelt Azure-előfizetésben található, és belső (RFC1918) IP-címeket használ, míg az ügyfél fürtje vagy csomópontkészlete a saját előfizetésében található. A kiszolgáló és a fürt vagy a csomópontkészlet az API-kiszolgáló virtuális hálózatának Azure Private Link szolgáltatásával és egy privát végponttal kommunikálnak egymással, amely az ügyfél AKS-fürtjének alhálózatán érhető el. Azt is megteheti, hogy nyilvános végpontot használ az AKS API-kiszolgálóhoz, de korlátozza a hozzáférést az AKS API-kiszolgáló Engedélyezett IP-tartományok funkciójával.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.ContainerService:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy csak adott tartományokBAN lévő IP-címekhez biztosít API-hozzáférést. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1

1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és kövesse a hálózatvédelmi javaslatokat a Azure Kubernetes Service (AKS-) fürtök által használt hálózati erőforrások védelméhez.

Engedélyezze a hálózati biztonsági csoportok folyamatnaplóit, és küldje el a naplókat egy Azure Storage-fiókba naplózás céljából. A folyamatnaplókat egy Log Analytics-munkaterületre is elküldheti, majd a Traffic Analytics használatával betekintést nyerhet az Azure-felhő forgalmi mintáiba, így megjelenítheti a hálózati tevékenységeket, azonosíthatja a gyakori pontokat és a biztonsági fenyegetéseket, megértheti a forgalmi mintákat, és rögzítheti a hálózati helytelen konfigurációkat.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Az AKS-fürt előtt egy Azure Application Gateway engedélyezett Web Application Firewall (WAF) használatával további biztonsági réteget biztosíthat a webalkalmazások bejövő forgalmának szűrésével. Az Azure WAF az Open Web Application Security Project (OWASP) által biztosított szabályok egy készletét használja a forgalom elleni támadásokhoz, például a webhelyek közötti szkripteléshez vagy a cookie-mérgezéshez.

API-átjáró használata az AKS-környezetben használt API-k hitelesítéséhez, engedélyezéséhez, szabályozásához, gyorsítótárazásához, átalakításához és monitorozásához. Az API-átjárók a mikroszolgáltatások bejárati kapujaként szolgálnak, leválasztják az ügyfeleket a mikroszolgáltatásokról, és csökkentik a mikroszolgáltatások összetettségét azáltal, hogy megszüntetik a keresztvágási problémák kezelésének terheit.

Felelősség: Ügyfél

1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze a Microsoft Distributed Denial-of-service (DDoS) standard szintű védelmét azon virtuális hálózatokon, ahol Azure Kubernetes Service (AKS) összetevők vannak üzembe helyezve a DDoS-támadások elleni védelemhez.

Telepítse a hálózati házirendmotort, és hozzon létre Kubernetes-hálózati házirendeket az AKS-ben lévő podok közötti forgalom szabályozásához, mivel alapértelmezés szerint minden forgalom engedélyezett ezen podok között. A hálózati szabályzat csak Linux-alapú csomópontokhoz és podokhoz használható az AKS-ben. Olyan szabályok meghatározása, amelyek korlátozzák a podok kommunikációját a nagyobb biztonság érdekében.

Engedélyezheti vagy letilthatja a forgalmat olyan beállítások alapján, mint a hozzárendelt címkék, a névtér vagy a forgalomport. A szükséges hálózati házirendek automatikusan alkalmazhatók, mivel a podok dinamikusan jönnek létre egy AKS-fürtben.

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: A rendellenes tevékenységek kivizsgálásához használja Network Watcher csomagrögzítést.

Network Watcher automatikusan engedélyezve van a virtuális hálózat régiójában, amikor létrehoz vagy frissít egy virtuális hálózatot az előfizetésében. Új Network Watcher-példányokat is létrehozhat a PowerShell, az Azure CLI, a REST API vagy az Azure Resource Manager Client metódus használatával

Felelősség: Ügyfél

1.6: Hálózati behatolásészlelési/behatolás-megelőzési rendszerek (IDS/IPS) üzembe helyezése

Útmutató: A Azure Kubernetes Service (AKS) fürt biztonságossá tétele egy Web Application Firewall (WAF) engedélyezett Azure Application Gateway használatával.

Ha a behatolásészlelés és/vagy a behatolás megakadályozása nem követelmény a hasznos adatok vizsgálatán vagy viselkedéselemzésén alapul, a WAF-et használó Azure Application Gateway "észlelési módban" is használható és konfigurálható riasztások és fenyegetések naplózására, illetve "megelőzési mód" az észlelt behatolások és támadások aktív blokkolására.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: Virtuális hálózati szolgáltatáscímkék használata a Azure Kubernetes Service (AKS) példányokhoz társított hálózati biztonsági csoportok hálózati hozzáférés-vezérlésének meghatározásához. A szolgáltatáscímkék adott IP-címek helyett használhatók a megfelelő szolgáltatás forgalmának engedélyezésére vagy letiltására vonatkozó biztonsági szabályok létrehozásakor a szolgáltatáscímke nevének megadásával.

A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Azure-címkét alkalmazhat az AKS-fürt csomópontkészleteire. Ezek eltérnek a virtuális hálózati szolgáltatáscímkékétől, és a csomópontkészletben lévő összes csomópontra érvényesek, és frissítésekkel megmaradnak.

Felelősség: Ügyfél

1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása Azure Policy a Azure Kubernetes Service (AKS-) fürtökhöz társított hálózati erőforrásokhoz.

A "Microsoft.ContainerService" és a "Microsoft.Network" névterekben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az AKS-fürtök hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Az AKS-hez kapcsolódó beépített szabályzatdefiníciókat is használjon, például:

  • Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni

  • HTTPS bejövő forgalom kényszerítése Kubernetes-fürtben

  • Győződjön meg arról, hogy a szolgáltatások csak az engedélyezett portokon figyelnek a Kubernetes-fürtben

További információk a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Címkék használata hálózati biztonsági csoportokhoz és más erőforrásokhoz Azure Kubernetes Service (AKS)-fürtökbe és -fürtökről érkező forgalomhoz. Az egyes hálózati biztonsági csoportokra vonatkozó szabályok "Leírás" mezőjében megadhatja az üzleti szükségletet és/vagy időtartamot stb. minden olyan szabály esetében, amely engedélyezi a hálózatra irányuló vagy onnan érkező forgalmat.

Használja a beépített Azure Policy címkézéssel kapcsolatos definíciókat, például a "Címke és érték megkövetelése" beállítást, amely biztosítja, hogy minden erőforrás címkékkel legyen létrehozva, és értesítéseket kapjon a meglévő címkézetlen erőforrásokról.

Dönthet úgy, hogy engedélyezi vagy megtagadja a fürt bizonyos hálózati elérési útvonalait a névterek és a hálózati házirendeket tartalmazó címkeválasztók alapján. Ezeket a névtereket és címkéket a forgalomkonfigurációs szabályok leírójaként használhatja. A Azure PowerShell vagy az Azure parancssori felületének (CLI) használatával megkeresheti vagy végrehajthatja az erőforrásokon végzett műveleteket a címkék alapján.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával monitorozza a hálózati erőforrások konfigurációit, és észleli a Azure Kubernetes Service (AKS) fürtökhöz kapcsolódó hálózati erőforrások változásait.

Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati erőforrások módosításakor aktiválódik. Az AzureContainerService-felhasználó tevékenységnaplókban szereplő bejegyzéseit a rendszer platformműveletekként naplózza.

Az Azure Monitor-naplók használatával engedélyezheti és lekérdezheti a naplókat az AKS-ből a fő összetevők, a kube-apiserver és a kube-controller-manager használatával. Hozza létre és kezelje a kubeletet tároló-futtatókörnyezettel futtató csomópontokat, és helyezze üzembe az alkalmazásait a felügyelt Kubernetes API-kiszolgálón keresztül.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.1: Jóváhagyott időszinkronizálási források használata

Útmutató: Azure Kubernetes Service (AKS) csomópontok ntp.ubuntu.com használnak az időszinkronizáláshoz, valamint a 123-es UDP-portot és a Hálózati idő protokollt (NTP).

Egyéni DNS-kiszolgálók használata esetén győződjön meg arról, hogy az NTP-kiszolgálók elérhetők a fürtcsomópontok számára.

Felelősség: Megosztott

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Az Azure Kubernetes Services (AKS) fő összetevőiből, a kube-apiserverből és a kube-controller-managerből származó auditnaplók engedélyezése, amelyek felügyelt szolgáltatásként érhetők el.

  • kube-auditaksService: A vezérlősík műveletének megjelenített neve az auditnaplóban (a hcpService-ből)

  • masterclient: A MasterClientCertificate naplójának megjelenített neve, az az aks get-credentials által kapott tanúsítvány

  • nodeclient: A ClientCertificate megjelenítendő neve, amelyet az ügynökcsomópontok használnak

Más auditnaplók, például a kube-audit engedélyezése is.

Exportálja ezeket a naplókat a Log Analyticsbe vagy egy másik tárolási platformra. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Engedélyezheti és továbbíthatja ezeket az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek a szervezeti üzleti követelményei alapján.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Tevékenységnaplók használatával figyelheti Azure Kubernetes Service (AKS) erőforrásain végzett műveleteket az összes tevékenység és állapotuk megtekintéséhez. Határozza meg, hogy milyen műveleteket hajtottak végre az előfizetés erőforrásain tevékenységnaplókkal:

  • aki elindította a műveletet
  • a művelet végrehajtásakor
  • a művelet állapota
  • más tulajdonságok értékei, amelyek segíthetnek a művelet kutatásában

Információk lekérése a tevékenységnaplóból az Azure PowerShell, az Azure parancssori felület (CLI), az Azure REST API vagy a Azure Portal segítségével.

Naplók engedélyezése az AKS fő összetevőin, például:

  • kube-auditaksService: A vezérlősík műveletének megjelenített neve az auditnaplóban (a hcpService-ből)

  • masterclient: A MasterClientCertificate naplójának megjelenített neve, az az aks get-credentials által kapott tanúsítvány

  • nodeclient: A ClientCertificate megjelenítendő neve, amelyet az ügynökcsomópontok használnak

Kapcsolja be az egyéb auditnaplókat is, például a kube-auditot.

Felelősség: Ügyfél

2.4: Biztonsági naplók gyűjtése operációs rendszerekről

Útmutató: Log Analytics-ügynökök automatikus telepítésének engedélyezése az AKS-fürtcsomópontokról történő adatgyűjtéshez. Emellett kapcsolja be az Azure Log Analytics Monitoring Agent automatikus kiépítését a Microsoft Defender for Cloudból, mivel alapértelmezés szerint az automatikus kiépítés ki van kapcsolva. Az ügynök manuálisan is telepíthető. Az automatikus kiépítéssel a Microsoft Defender for Cloud üzembe helyezi a Log Analytics-ügynököt az összes támogatott Azure-beli virtuális gépen és az újonnan létrehozott gépeken.

A Microsoft Defender for Cloud adatokat gyűjt az Azure Virtual Machines (VM), a virtuálisgép-méretezési csoportokból és az IaaS-tárolókból, például a Kubernetes-fürtcsomópontokból a biztonsági rések és fenyegetések monitorozása érdekében. Az adatok gyűjtése az Azure Log Analytics-ügynök használatával történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a munkaterületre.

Adatgyűjtésre van szükség a hiányzó frissítések, a helytelenül konfigurált operációsrendszer-biztonsági beállítások, a végpontvédelmi állapot, valamint az állapot- és fenyegetésészlelések láthatóságának biztosításához.

Felelősség: Megosztott

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: A Azure Kubernetes Service -példányok (AKS-példányok) előkészítése az Azure Monitorba, és a megfelelő Azure Log Analytics-munkaterület-megőrzési időtartam beállítása a szervezet megfelelőségi követelményei szerint.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: A Azure Kubernetes Service -példányok (AKS-példányok) előkészítése az Azure Monitorba, és a fürt diagnosztikai beállításainak konfigurálása.

Az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon. Az Azure Monitor-naplók engedélyezése és kezelése a Azure Portal vagy a parancssori felületen keresztül történik, és a Kubernetes szerepköralapú hozzáférés-vezérléssel (Kubernetes RBAC), az Azure RBAC-vel és a nem RBAC-kompatibilis AKS-fürtökkel is használható.

Tekintse meg az AKS fő összetevői (kube-apiserver és kube-controllermanager) által létrehozott naplókat az alkalmazás és a szolgáltatások hibaelhárításához. Adatok engedélyezése és előkészítése a Microsoft Sentinelnek vagy egy külső SIEM-nek a központi naplókezelés és -monitorozás érdekében.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: A Azure Kubernetes Service (AKS) és a Microsoft Defender for Cloud együttes használatával mélyebb betekintést nyerhet az AKS-csomópontokba.

Tekintse át a Microsoft Defender for Cloud riasztásait a gazdagépen és a fürt szintjén észlelt fenyegetésekről és rosszindulatú tevékenységekről. A Microsoft Defender for Cloud folyamatosan elemzi az AKS-fürtökben előforduló nyers biztonsági eseményeket, például a hálózati adatokat, a folyamatlétrehozást és a Kubernetes-auditnaplót. Állapítsa meg, hogy ez a tevékenység várt viselkedés-e, vagy hogy az alkalmazás helytelenül működik-e. Az eredmények alátámasztása érdekében metrikákat és naplókat használhat az Azure Monitorban.

Felelősség: Ügyfél

2.8: A kártevőirtó naplózás központosítása

Útmutató: Telepítse és engedélyezze a Microsoft Anti-malware for Azure-t a Azure Kubernetes Service (AKS) virtuális gépekhez és a virtuálisgép-méretezési csoport csomópontjaihoz. Tekintse át a Microsoft Defender for Cloud riasztásainak szervizelését.

Felelősség: Ügyfél

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: a Azure Kubernetes Service (AKS) a CoreDNS-projektet használja a fürt DNS-kezeléséhez és megoldásához.

Engedélyezze a DNS-lekérdezések naplózását, ha dokumentált konfigurációt alkalmaz a coredns-custom ConfigMap-ban.

Felelősség: Ügyfél

2.10: Parancssori naplózás engedélyezése

Útmutató: A kubectl parancssori ügyfélalkalmazással Azure Kubernetes Service (AKS) segítségével felügyelhet egy Kubernetes-fürtöt, és hibaelhárítási célból lekérheti a naplóit az AKS-csomópontról. Az Azure Cloud Shell használata esetén a Kubectl már telepítve van. A kubectl helyi telepítéséhez használja az Install-AzAksKubectl parancsmagot.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: maga a Azure Kubernetes Service (AKS) nem biztosít olyan identitáskezelési megoldást, amely rendszeres felhasználói fiókokat és jelszavakat tárol. Az Azure Active Directory (Azure AD) integrációjával hozzáférést biztosíthat a felhasználóknak vagy csoportoknak a Kubernetes-erőforrásokhoz egy névtéren vagy a fürtön belül.

Alkalmi lekérdezések végrehajtásával felderítheti az AKS felügyeleti csoportjainak tagjait a Azure AD PowerShell-modullal

Az Azure CLI-t olyan műveletekhez használhatja, mint a "Hozzáférési hitelesítő adatok lekérése felügyelt Kubernetes-fürtökhöz" a hozzáférés rendszeres egyeztetéséhez. Ezt a folyamatot úgy valósíthatja meg, hogy naprakészen tarthassa a szolgáltatásfiókok leltárát, amelyek az AKS egy másik elsődleges felhasználótípusát képezik. A Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatainak kikényszerítése.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: a Azure Kubernetes Service (AKS) nem rendelkezik a gyakori alapértelmezett jelszavak fogalmával, és nem biztosít identitáskezelési megoldást, ahol a rendszeres felhasználói fiókok és jelszavak tárolhatók. Az Azure Active Directory (Azure AD) integrációjával szerepköralapú hozzáférést biztosíthat az AKS-erőforrásokhoz egy névtérben vagy a fürtön belül.

Alkalmi lekérdezések végrehajtásával felderítheti az AKS felügyeleti csoportjainak tagjait a Azure AD PowerShell-modullal

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: A Azure Kubernetes Service -fürtök felhasználói hitelesítésének integrálása az Azure Active Directoryval (Azure AD). Jelentkezzen be egy AKS-fürtbe egy Azure AD hitelesítési jogkivonattal. Konfigurálja a Kubernetes szerepköralapú hozzáférés-vezérlését (Kubernetes RBAC) a Kubernetes konfigurációs (kubeconfig) adataihoz és engedélyeihez, névtereihez és fürterőforrásaihoz való rendszergazdai hozzáféréshez.

Szabályzatok és eljárások létrehozása a dedikált rendszergazdai fiókok használatával. A Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatainak implementálása.

Felelősség: Ügyfél

3.4: Egyszeri bejelentkezés (SSO) használata az Azure Active Directoryval

Útmutató: Egyszeri bejelentkezés használata Azure Kubernetes Service (AKS) és az Azure Active Directory (Azure AD) integrált hitelesítéséhez egy AKS-fürthöz.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: A Azure Kubernetes Service (AKS) hitelesítésének integrálása az Azure Active Directoryval (Azure AD).

Engedélyezze Azure AD többtényezős hitelesítést, és kövesse a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.6: Dedikált gépek (Privileged Access-munkaállomások) használata minden felügyeleti feladathoz

Útmutató: Használjon emelt szintű hozzáférési munkaállomást (PAW) többtényezős hitelesítéssel (MFA), amely úgy van konfigurálva, hogy bejelentkezhessen a megadott Azure Kubernetes Service (AKS) fürtökbe és a kapcsolódó erőforrásokba.

Felelősség: Ügyfél

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) biztonsági jelentéseinek használata Azure AD integrált hitelesítéssel a Azure Kubernetes Service (AKS) számára. Riasztások hozhatók létre, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Microsoft Defender for Cloud használatával monitorozza az identitás- és hozzáférési tevékenységeket.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával engedélyezheti a hozzáférést Azure Kubernetes Service (AKS) fürtökhöz csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból. Ehhez integrált hitelesítésre van szükség az AKS-hez az Azure Active Directoryval (Azure AD).

Korlátozza az AKS API-kiszolgálóhoz való hozzáférést korlátozott IP-címtartományokból, mivel kéréseket kap a fürtben az erőforrások létrehozásához vagy a csomópontok számának skálázásához szükséges műveletek végrehajtására.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata a Azure Kubernetes Service (AKS) központi hitelesítési és engedélyezési rendszereként. Azure AD az inaktív és az átvitel alatt álló adatok erős titkosításával védi az adatokat, kivonatokat használ, és biztonságosan tárolja a felhasználói hitelesítő adatokat.

A beépített AKS-szerepkörök használata Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) – Erőforrás-szabályzat közreműködője és tulajdonosa, szabályzat-hozzárendelési műveletekhez a Kubernetes-fürthöz

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) biztonsági jelentéseinek használata Azure AD integrált hitelesítéssel a Azure Kubernetes Service (AKS) számára. Keressen Azure AD naplókra az elavult fiókok felderítéséhez.

Azure Identity Access-felülvizsgálatok elvégzése a csoporttagságok, a vállalati alkalmazásokhoz való hozzáférés és a szerepkör-hozzárendelések hatékony kezeléséhez. A Microsoft Defender for Cloud identitás- és hozzáférési javaslatainak szervizelése.

Vegye figyelembe a támogatási vagy hibaelhárítási célokra használt szerepköröket. A Microsoft ügyfélszolgálata által (felhasználói hozzájárulással) végrehajtott fürtműveletek például az aks-support-rolebinding név beépített Kubernetes "szerkesztési" szerepköre alatt hajthatók végre. Ezzel a szerepkörrel engedélyezve van az AKS támogatása a fürtkonfiguráció és az erőforrások szerkesztéséhez a fürtproblémák elhárításához és diagnosztizálásához. Ez a szerepkör azonban nem módosíthatja az engedélyeket, és nem hozhat létre szerepköröket vagy szerepkörkötéseket. Ez a szerepkör-hozzáférés csak igény szerinti (JIT) hozzáféréssel rendelkező aktív támogatási jegyek esetén engedélyezett.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek monitorozása

Útmutató: A Azure Kubernetes Service (AKS) felhasználói hitelesítésének integrálása az Azure Active Directoryval (Azure AD). Hozzon létre diagnosztikai beállításokat Azure AD, és küldje el az audit- és bejelentkezési naplókat egy Azure Log Analytics-munkaterületre. Konfigurálja a kívánt riasztásokat (például amikor egy inaktivált fiók megpróbál bejelentkezni) egy Azure Log Analytics-munkaterületen.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: A Azure Kubernetes Service (AKS) felhasználói hitelesítésének integrálása az Azure Active Directoryval (Azure AD). A Azure AD Kockázatészlelések és Identitásvédelem funkciójával automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. Adatok betöltése a Microsoft Sentinelbe az üzleti igényeken alapuló további vizsgálatokhoz.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használata Azure Kubernetes Service (AKS) üzemelő példányokhoz kapcsolódó erőforrásokon a bizalmas adatokat tároló vagy feldolgozó Azure-erőforrások nyomon követéséhez.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Logikailag elkülönítheti az ugyanabban a fürtben lévő csapatokat és számítási feladatokat a Azure Kubernetes Service (AKS) használatával, hogy a lehető legkevesebb jogosultságot biztosítsa, az egyes csapatok által igényelt erőforrásokra korlátozva.

A Kubernetes névterével logikai elkülönítési határt hozhat létre. Fontolja meg további Kubernetes-funkciók implementálását az elkülönítéshez és a több-bérlős környezethez, például az ütemezéshez, a hálózatkezeléshez, a hitelesítéshez/engedélyezéshez és a tárolókhoz.

Külön előfizetéseket és/vagy felügyeleti csoportokat implementálhat fejlesztési, tesztelési és éles környezetekhez. Különítse el az AKS-fürtöket a hálózatkezeléssel úgy, hogy különböző virtuális hálózatokon helyezi üzembe őket, amelyek megfelelően vannak címkézve.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Útmutató: Olyan külső megoldás használata a Azure Marketplace hálózat peremhálózatán, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben figyelmezteti az információbiztonsági szakembereket.

A Microsoft kezeli az alapul szolgáló platformot, és minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Hozzon létre egy HTTPS bejövőforgalom-vezérlőt, és használja a saját TLS-tanúsítványait (vagy opcionálisan a Let's Encryptet) a Azure Kubernetes Service (AKS) üzemelő példányaihoz.

A Kubernetes kimenő forgalma alapértelmezés szerint HTTPS/TLS protokollon keresztül van titkosítva. További figyelés céljából tekintse át az AKS-példányok esetlegesen titkosítatlan kimenő forgalmát. Ilyen lehet például az NTP-forgalom, a DNS-forgalom, a frissítések lekéréséhez szükséges HTTP-forgalom.

Felelősség: Ügyfél

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el az Azure Storage- vagy számítási erőforrásokhoz. Ha a megfelelőséghez szükség van rá, implementálja a harmadik féltől származó megoldást. A Microsoft kezeli az alapul szolgáló platformot, és minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen.

Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés kezeléséhez

Útmutató: Az Azure Resource Manager épülő Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) engedélyezési rendszer használatával részletes hozzáférés-kezelést biztosíthat az Azure-erőforrásokhoz.

Konfigurálja Azure Kubernetes Service (AKS) az Azure Active Directory (Azure AD) használatára a felhasználói hitelesítéshez. Jelentkezzen be egy AKS-fürtbe Azure AD hitelesítési jogkivonattal ezzel a konfigurációval.

Az AKS beépített szerepköreinek használata az Azure RBAC-erőforrásházirend-közreműködővel és -tulajdonossal az AKS-fürt szabályzat-hozzárendelési műveleteihez

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.ContainerService:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Szerepköralapú Access Control (RBAC) kell használni a Kubernetes Servicesben A felhasználók által végrehajtható műveletek részletes szűréséhez Role-Based Access Control (RBAC) használatával kezelheti a Kubernetes-szolgáltatásfürtök engedélyeit, és konfigurálhatja a vonatkozó engedélyezési szabályzatokat. Naplózás, letiltva 1.0.2

4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez

Útmutató: Az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el az Azure Storage- vagy számítási erőforrásokhoz. Ha a megfelelőséghez szükség van rá, implementálja a harmadik féltől származó megoldást. A Microsoft kezeli az alapul szolgáló platformot, és minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: A kötetekhez biztosított két elsődleges tárolótípust Azure Kubernetes Service (AKS) az Azure Disks vagy Azure Files biztosítja. Mindkét tárolótípus az Azure Storage Service Encryptiont (SSE) használja, amely titkosítja az inaktív adatokat a biztonság javítása érdekében. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva.

A titkosítási kulcsok további szabályozása érdekében az inaktív állapotú titkosítás ügyfél által felügyelt kulcsokkal is használható az operációs rendszer és az adatlemezek titkosításához az AKS-fürtökön. Az ügyfelek felelősek a kulcskezelési tevékenységekért, például a kulcsok biztonsági mentéséért és rotálásáért. A lemezek jelenleg nem titkosíthatók az Azure Disk Encryption használatával az AKS-csomópont szintjén.

Felelősség: Megosztott

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: A tárolókhoz készült Azure Monitor használatával monitorozhatja a Azure Kubernetes Service (AKS) által üzemeltetett felügyelt Kubernetes-fürtökön üzembe helyezett tárolóalapú számítási feladatok teljesítményét.

Riasztások konfigurálása proaktív értesítéshez vagy naplólétrehozáshoz, ha a csomópontok vagy tárolók processzor- és memóriahasználata meghaladja a meghatározott küszöbértékeket, vagy ha az infrastruktúra vagy a csomópontok állapotának változása történik a fürtben az infrastruktúra vagy a csomópontok állapotának összesítésekor.

Az Azure-tevékenységnaplóval magas szinten figyelheti az AKS-fürtöket és a kapcsolódó erőforrásokat. Integrálható a Prometheussal a csomópontokról és a Kubernetesből gyűjtött alkalmazás- és számításifeladat-metrikák megtekintéséhez lekérdezések használatával egyéni riasztások, irányítópultok létrehozása és részletes elemzések végrehajtása céljából.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információkért lásd az Azure Biztonsági teljesítményteszt: Sebezhetőségi felügyelet című témakört.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: A Microsoft Defender for Cloud használatával figyelheti a Azure Container Registry, beleértve a biztonsági réseket Azure Kubernetes Service (AKS- ) példányokat is. Engedélyezze a Tárolóregisztrációs adatbázisok csomagot a Microsoft Defender for Cloudban, hogy a Microsoft Defender for Cloud készen álljon a regisztrációs adatbázisba leküldett képek vizsgálatára.

Értesítést kaphat a Microsoft Defender for Cloud irányítópultján, ha problémák merülnek fel, miután a Microsoft Defender for Cloud a Qualys használatával megvizsgálja a képet. A Tárolóregisztrációs adatbázisok csomag funkciója mélyebb betekintést nyújt az Azure Resource Manager-alapú regisztrációs adatbázisokban használt rendszerképek biztonsági réseibe.

A Microsoft Defender for Cloud használatával végrehajtható javaslatokat tesz minden biztonsági résre vonatkozóan. Ezek a javaslatok tartalmazzák a súlyossági besorolást és a szervizeléshez szükséges útmutatást.

Felelősség: Ügyfél

5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése

Útmutató: A rendszer automatikusan alkalmazza a biztonsági frissítéseket a Linux-csomópontokra az ügyfél Azure Kubernetes Service (AKS) fürtjeinek védelme érdekében. Ezek a frissítések közé tartoznak az operációs rendszer biztonsági javításai vagy a kernelfrissítések.

Vegye figyelembe, hogy a Windows Server-csomópontok naprakészen tartásának folyamata eltér a Linux rendszerű csomópontoktól, mivel a Windows Server-csomópontok nem kapják meg a napi frissítéseket. Ehelyett az ügyfeleknek frissíteniük kell a Windows Server-csomópontkészleteket az AKS-fürtöikben, amely új csomópontokat helyez üzembe a legújabb alap Windows Server-rendszerképpel és javításokkal az Azure vezérlőpultján vagy az Azure CLI-vel. Ezek a frissítések az AKS biztonsági vagy funkciófejlesztéseit tartalmazzák.

Felelősség: Ügyfél

5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez

Útmutató: Manuális folyamat implementálása annak biztosítására, hogy Azure Kubernetes Service (AKS) fürtcsomópont külső alkalmazásait a fürt teljes élettartama alatt javítások maradjanak. Ehhez szükség lehet az automatikus frissítések engedélyezésére, a csomópontok figyelésére vagy rendszeres újraindításokra.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.ContainerService:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A Kubernetes Servicest nem sebezhető Kubernetes-verzióra kell frissíteni Frissítse a Kubernetes-szolgáltatásfürtöt egy újabb Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés javítva lett a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában Naplózás, letiltva 1.0.2

5.4: A back-to-back biztonságirés-vizsgálatok összehasonlítása

Útmutató: Exportálja a Microsoft Defender for Cloud vizsgálati eredményeit konzisztens időközönként, és hasonlítsa össze az eredményeket a biztonsági rések elhárításának ellenőrzéséhez.

A "Get-AzSecurityTask" PowerShell-parancsmaggal automatizálhatja a Microsoft Defender for Cloud által javasolt biztonsági feladatok lekérését a biztonsági helyzet és a biztonságirés-ellenőrzési eredmények javítása érdekében.

Felelősség: Ügyfél

5.5: Kockázatminősítési folyamat használata a felderített biztonsági rések elhárításának rangsorolására

Útmutató: A Microsoft Defender for Cloud által biztosított súlyossági minősítéssel rangsorolhatja a biztonsági rések elhárítását.

Használja a gyakori biztonságirés-értékelési rendszert (CVSS) (vagy a vizsgálati eszköz által biztosított más pontozó rendszereket) egy beépített sebezhetőségi felmérési eszköz (például a Qualys vagy a Rapid7) használata esetén, amelyet az Azure kínál.

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetések összes erőforrását (például számítási, tárolási, hálózati stb.). Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés és az előfizetésen belüli erőforrások számbavételére.

Bár a klasszikus Azure-erőforrások felderíthetők Resource Graph keresztül, erősen ajánlott az Azure Resource Manager-alapú erőforrások létrehozása és használata.

Felelősség: Ügyfél

6.2: Az eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása az Azure-erőforrásokra metaadatokkal, hogy logikailag rendszerezze őket egy osztályozásba.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Az eszközök rendszerezéséhez és nyomon követéséhez szükség szerint használjon címkézést, felügyeleti csoportokat és külön előfizetéseket.

Fertőzöttség, címkék vagy címkék alkalmazása Azure Kubernetes Service (AKS) csomópontkészlet létrehozásakor. A csomópontkészlet összes csomópontja is örökli ezt a fertőzöttet, címkét vagy címkét.

A fertőzöttek, címkék vagy címkék segítségével rendszeresen egyeztethetők a leltárak, és biztosítható, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésekből.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: A jóváhagyott Azure-erőforrások és jóváhagyott szoftverek listájának meghatározása a számítási erőforrásokhoz a szervezeti üzleti igények alapján.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás a szervezeti üzleti követelmények alapján van jóváhagyva.

Felelősség: Ügyfél

6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül

Útmutató: A környezetben telepített szoftverek megkereséséhez használja Azure Automation változáskövetés és leltározás funkciókat.

A számítógépeken található szoftverek, fájlok, Linux-démonok, Windows-szolgáltatások és Windows beállításkulcsok leltárának összegyűjtése és megtekintése, valamint a nem jóváhagyott szoftveralkalmazások figyelése.

A gépek konfigurációjának nyomon követésével könnyebben megállapíthatja a környezet működési problémáit, és jobban megértheti a gépek állapotát.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és -szoftveralkalmazások eltávolítása

Útmutató: A környezetben telepített szoftverek megkereséséhez használja Azure Automation változáskövetés és leltározás funkciókat.

A számítógépeken található szoftverek, fájlok, Linux-démonok, Windows-szolgáltatások és Windows beállításkulcsok leltárának összegyűjtése és megtekintése, valamint a nem jóváhagyott szoftveralkalmazások figyelése.

A gépek konfigurációjának nyomon követésével könnyebben megállapíthatja a környezet működési problémáit, és jobban megértheti a gépek állapotát.

Felelősség: Ügyfél

6.8: Csak jóváhagyott alkalmazások használata

Útmutató: A környezetben telepített szoftverek megkereséséhez használja Azure Automation változáskövetés és leltározás funkciókat.

A számítógépeken található szoftverek, fájlok, Linux-démonok, Windows-szolgáltatások és Windows beállításkulcsok leltárának összegyűjtése és megtekintése, valamint a nem jóváhagyott szoftveralkalmazások figyelése.

A gépek konfigurációjának nyomon követésével könnyebben megállapíthatja a környezet működési problémáit, és jobban megértheti a gépek állapotát.

Engedélyezze az adaptív alkalmazáselemzést a Microsoft Defender for Cloudban a környezetében található alkalmazásokhoz.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás jóvá van hagyva.

Felelősség: Ügyfél

6.10: A jóváhagyott szoftvercímek leltárának karbantartása

Útmutató: A Azure Policy használatával korlátozásokat állíthat be az előfizetéseiben létrehozható erőforrások típusára a beépített szabályzatdefiníciók használatával.

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Feltételes hozzáférés használatával korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

6.12: A felhasználók szkriptek számítási erőforrásokban való végrehajtásának korlátozása

Útmutató: maga az Azure Kubernetes Service (AKS) nem biztosít identitáskezelési megoldást a normál felhasználói fiókok és jelszavak tárolására. Ehelyett használja az Azure Active Directoryt (Azure AD) az AKS-fürtök integrált identitáskezelési megoldásaként.

Hozzáférést biztosíthat a felhasználóknak vagy csoportoknak a Kubernetes-erőforrásokhoz egy névtéren vagy a fürtön belül Azure AD integrációval.

A Azure AD PowerShell-modullal alkalmi lekérdezéseket hajthat végre az AKS felügyeleti csoportjainak tagjait tartalmazó fiókok felderítéséhez és a hozzáférés rendszeres egyeztetéséhez. Használja az Azure CLI-t olyan műveletekhez, mint a "Hozzáférési hitelesítő adatok lekérése felügyelt Kubernetes-fürthöz. A Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatainak implementálása.

Felelősség: Ügyfél

6.13: A magas kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Az Azure Kubernetes Service (AKS) funkcióival logikailag elkülönítheti az ugyanabban a fürtben lévő csapatokat és számítási feladatokat a lehető legkevesebb jogosultság érdekében, az egyes csapatok által igényelt erőforrásokra korlátozva.

Implementálja a névteret a Kubernetesben egy logikai elkülönítési határ létrehozásához. A "Microsoft.ContainerService" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure Kubernetes Service -példányok (AKS-) példányok konfigurációjának naplózásához vagy kikényszerítéséhez.

Tekintse át és valósítson meg további Kubernetes-szolgáltatásokat és szempontokat az elkülönítéshez és a több-bérlős használathoz, hogy tartalmazza a következőket: ütemezés, hálózatkezelés, hitelesítés/engedélyezés és tárolók. Emellett használjon külön előfizetéseket és felügyeleti csoportokat a fejlesztéshez, teszteléshez és éles környezethez. Válassza el az AKS-fürtöket virtuális hálózatokkal, megfelelő címkével ellátott alhálózatokkal és Web Application Firewall (WAF) védve.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: A "Microsoft.ContainerService" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure Kubernetes Service -példányok (AKS-) példányok konfigurációjának naplózásához vagy kikényszerítéséhez. Használjon beépített Azure Policy-definíciókat.

Példák az AKS beépített szabályzatdefinícióira:

  • HTTPS bejövő forgalom kényszerítése Kubernetes-fürtben

  • Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni

  • Szerepköralapú Access Control (RBAC) kell használni a Kubernetes Servicesben

  • Annak biztosítása, hogy csak engedélyezett tárolólemezképek legyenek a Kubernetes-fürtben

Exportálja az AKS-konfiguráció sablonját JavaScript Object Notation (JSON) nyelven az Azure Resource Manager használatával. Rendszeresen tekintse át, és győződjön meg arról, hogy ezek a konfigurációk megfelelnek a szervezet biztonsági követelményeinek. Használja a Microsoft Defender for Cloud javaslatait az Azure-erőforrások biztonságos konfigurációs alapkonfigurációjaként.

Felelősség: Ügyfél

7.2: Biztonságos operációsrendszer-konfigurációk létrehozása

Útmutató: Az Azure Kubernetes-fürtök (AKS-fürtök) biztonsági optimalizált operációs rendszerrel rendelkező gazdagépeken vannak üzembe helyezve. A gazda operációs rendszer további biztonsági korlátozási lépésekkel rendelkezik a támadási felület csökkentése és a tárolók biztonságos üzembe helyezése érdekében.

Az Azure napi javításokat (beleértve a biztonsági javításokat) alkalmaz az AKS virtuálisgép-gazdagépekre, amelyeken bizonyos javítások újraindítást igényelnek. Az ügyfelek feladata az AKS virtuálisgép-gazdagép újraindításainak igény szerinti ütemezése.

Felelősség: Megosztott

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Biztonságossá teheti Azure Kubernetes Service (AKS-) fürtöt podbiztonsági szabályzatok használatával. Korlátozza, hogy mely podok ütemezhetők a fürt biztonságának javítása érdekében.

Azok a podok, amelyek nem engedélyezett erőforrásokat igényelnek, nem futtathatók az AKS-fürtön.

Emellett Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] hatásokkal kényszerítheti ki az AKS-környezetekhez (például virtuális hálózatokhoz, alhálózatokhoz, Azure-tűzfalakhoz, tárfiókokhoz stb.) kapcsolódó Azure-erőforrások biztonságos beállításait.

Hozzon létre egyéni Azure Policy-definíciókat a következő névterek aliasai használatával:

  • Microsoft.ContainerService

  • Microsoft.Network

További információk a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

7.4: Biztonságos operációsrendszer-konfigurációk fenntartása

Útmutató: Azure Kubernetes Service (AKS-) fürtök biztonsági optimalizált operációs rendszerrel rendelkező gazdagépeken vannak üzembe helyezve. A gazda operációs rendszer további biztonsági korlátozási lépésekkel rendelkezik a támadási felület csökkentése és a tárolók biztonságos üzembe helyezése érdekében.

Tekintse meg a gazda operációs rendszerbe beépített Center for Internet Security (CIS) vezérlők listáját.

Felelősség: Ügyfél

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Egyéni Azure Policy-definíciók használata esetén az Azure Repos használatával biztonságosan tárolhatja és kezelheti a konfigurációkat. Exportálja a Azure Kubernetes Service (AKS) konfigurációjának sablonját JavaScript Object Notation (JSON) nyelven az Azure Resource Manager használatával. Rendszeresen ellenőrizze, hogy a konfigurációk megfelelnek-e a szervezet biztonsági követelményeinek.

Implementáljon külső megoldásokat, például a Terraformot egy konfigurációs fájl létrehozásához, amely deklarálja a Kubernetes-fürt erőforrásait. Az AKS üzembe helyezését megerősítheti a biztonsági ajánlott eljárások implementálásával, és a konfigurációt kódként tárolhatja egy biztonságos helyen.

Felelősség: Ügyfél

7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása

Útmutató: Nem alkalmazható a Azure Kubernetes Service (AKS) szolgáltatásra. Az AKS alapértelmezés szerint biztonsági optimalizált gazdagép-operációs rendszert (OS) biztosít. Jelenleg nincs lehetőség alternatív vagy egyéni operációs rendszer kiválasztására.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: Az Azure Policy használatával korlátozásokat állíthat be az előfizetésekben létrehozható erőforrások típusára a beépített szabályzatdefiníciók, valamint a "Microsoft.ContainerService" névtérben található Azure Policy aliasok használatával.

Egyéni szabályzatok létrehozása a rendszerkonfigurációk naplózásához és kényszerítéséhez. Szabályzatkivételeket kezelő folyamat és folyamat fejlesztése.

Felelősség: Ügyfél

7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez

Útmutató: Azure Kubernetes Service (AKS-) fürtök biztonsági optimalizált operációs rendszerrel rendelkező gazdagépeken vannak üzembe helyezve. A gazda operációs rendszer további biztonsági korlátozási lépésekkel rendelkezik a támadási felület csökkentése és a tárolók biztonságos üzembe helyezése érdekében.

Tekintse meg az AKS-gazdagépekbe beépített Center for Internet Security (CIS) vezérlők listáját.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet a Azure Kubernetes Service (AKS) üzemelő példányaihoz kapcsolódó erőforrásokon. Ilyen erőforrások például az AKS-fürt, a virtuális hálózat, ahol az AKS-fürt üzembe lett helyezve, a Terraform állapotának nyomon követéséhez használt Azure Storage-fiók, vagy az AKS-fürt operációs rendszerének és adatlemezeinek titkosítási kulcsaihoz használt Azure Key Vault-példányok.

Felelősség: Ügyfél

7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez

Útmutató: A Microsoft Defender for Cloud tárolóra vonatkozó javaslatainak használata a "Számítási & alkalmazások" szakaszban a Azure Kubernetes Service -fürtök alapkonfigurációjának vizsgálatához.

Értesítést kaphat a Microsoft Defender for Cloud irányítópultján, ha konfigurációs problémákat vagy biztonsági réseket talál. Ehhez engedélyeznie kell az opcionális Tárolóregisztrációs adatbázisok csomagot, amely lehetővé teszi a Microsoft Defender for Cloud számára a rendszerkép vizsgálatát.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: Az Azure Key Vault integrálása egy Azure Kubernetes Service (AKS-) fürttel FlexVolume meghajtó használatával. Az Azure Key Vault használatával tárolhatja és rendszeresen elforgathatja a titkos kulcsokat, például a hitelesítő adatokat, a tárfiókkulcsokat vagy a tanúsítványokat. A FlexVolume illesztőprogram lehetővé teszi, hogy az AKS-fürt natív módon kérje le a hitelesítő adatokat Key Vault, és csak a kérelmező podnak adja meg őket biztonságosan. Pod által felügyelt identitással kérjen hozzáférést Key Vault, és kérje le a szükséges hitelesítő adatokat a FlexVolume illesztőprogramon keresztül. Győződjön meg arról, hogy Key Vault helyreállítható törlés engedélyezve van.

Korlátozza a hitelesítő adatok kitettségét azáltal, hogy nem határozza meg a hitelesítő adatokat az alkalmazás kódjában.

Kerülje a rögzített vagy megosztott hitelesítő adatok használatát.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: Ne határozza meg a hitelesítő adatokat az alkalmazáskódban biztonsági ajánlott eljárásként. Az Azure-erőforrások felügyelt identitásainak használatával lehetővé teszi, hogy egy pod hitelesítse magát az azt támogató bármely Azure-szolgáltatáson, beleértve az Azure Key Vault. A podhoz azure-identitás van rendelve az Azure Active Directoryban való hitelesítéshez (Azure AD), és kap egy digitális jogkivonatot, amely más Azure-szolgáltatások számára is bemutatható, és ellenőrzi, hogy a pod jogosult-e a szolgáltatás elérésére és a szükséges műveletek végrehajtására.

Vegye figyelembe, hogy a podok által felügyelt identitások csak Linux-podokkal és tárolólemezképekkel használhatók. Az Azure Key Vault kiépítése digitális kulcsok és hitelesítő adatok tárolására és lekérésére. Az olyan kulcsok, mint az operációsrendszer-lemezek titkosításához használt kulcsok, az AKS-fürt adatai az Azure Key Vault tárolhatók.

A szolgáltatásnevek AKS-fürtökben is használhatók. A szolgáltatásneveket használó fürtök azonban végül olyan állapotba kerülhetnek, amelyben a szolgáltatásnevet meg kell újítani a fürt működésének fenntartása érdekében. A szolgáltatásnevek kezelése összetettebbé teszi a szolgáltatást, ezért egyszerűbb a felügyelt identitások használata. Ugyanezek az engedélykövetelmények vonatkoznak a szolgáltatásnevekre és a felügyelt identitásokra is.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner azt is javasolja, hogy a felderített hitelesítő adatokat biztonságosabb helyekre, például az Azure Key Vault, javaslatokkal helyezzék át.

Korlátozza a hitelesítő adatok kitettségét azáltal, hogy nem határozza meg a hitelesítő adatokat az alkalmazás kódjában. és kerülje a megosztott hitelesítő adatok használatát. Az Azure Key Vault kell használni a digitális kulcsok és hitelesítő adatok tárolására és lekérésére. Az Azure-erőforrások felügyelt identitásainak használatával lehetővé teszi, hogy a pod hozzáférést kérjen más erőforrásokhoz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.1: Központilag felügyelt kártevőirtó szoftverek használata

Útmutató: Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Linux-csomópontok esetén azonban démonkészletek használatával is telepíthet egyéni szoftvereket, például kártevőirtó megoldásokat.

Felelősség: Megosztott

8.2: Nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata

Útmutató: Az AKS-erőforrásokba feltöltött fájlok előzetes vizsgálata. A Microsoft Defender for Cloud adatszolgáltatásokhoz készült fenyegetésészlelési funkciójával észlelheti a tárfiókokba feltöltött kártevőket, ha egy Azure Storage-fiókot használ adattárként, vagy nyomon követi az AKS-fürt Terraform-állapotát.

Felelősség: Ügyfél

8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Linux-csomópontok esetén azonban démonkészletek használatával is telepíthet egyéni szoftvereket, például kártevőirtó megoldásokat.

Felelősség: Megosztott

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Biztonsági másolatot készíthet adatairól a tárolótípusának megfelelő eszközzel, például a Velero használatával, amely az állandó kötetekről, valamint további fürterőforrásokról és konfigurációkról is képes biztonsági másolatot készíteni. Rendszeresen ellenőrizze a biztonsági másolatok integritását és biztonságát.

A biztonsági mentés előtt távolítsa el az állapotot az alkalmazásokból. Olyan esetekben, amikor ez nem végezhető el, készítsen biztonsági másolatot az adatokról az állandó kötetekről, és rendszeresen tesztelje a visszaállítási műveleteket az adatok integritásának és a szükséges folyamatok ellenőrzéséhez.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Biztonsági másolatot készíthet adatairól a tárolótípusának megfelelő eszközzel, például a Velero használatával, amely az állandó kötetekről, valamint további fürterőforrásokról és konfigurációkról is képes biztonsági másolatot készíteni.

PowerShell-parancsokkal rendszeres automatikus biztonsági mentést végezhet Key Vault tanúsítványokról, kulcsokról, felügyelt tárfiókokról és titkos kódokról.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Adatok rendszeres visszaállítása a Velero Backupban. Ha szükséges, tesztelje a visszaállítást egy elkülönített virtuális hálózatra.

PowerShell-parancsokkal rendszeres időközönként végezhet adat-visszaállítást Key Vault tanúsítványok, kulcsok, felügyelt tárfiókok és titkos kódok esetében.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Biztonsági másolatot készíthet adatairól a tárolótípusának megfelelő eszközzel, például a Velero használatával, amely az állandó kötetekről, valamint további fürterőforrásokról és konfigurációkról is képes biztonsági másolatot készíteni.

Engedélyezze Soft-Delete a Key Vault-ben, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törlés ellen, ha az Azure Key Vault Azure Kubernetes Service (AKS) üzemelő példányokhoz használja.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: Rangsorolja, hogy mely riasztásokat kell először kivizsgálni, ha a Microsoft Defender for Cloud súlyosságot rendel a riasztásokhoz. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll. Egyértelműen jelölje meg az előfizetéseket (például éles, nem éles), és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosíthatja a gyenge pontokat és hiányosságokat, és szükség szerint felülvizsgálhatja az incidensmegoldási terveket.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) azt észleli, hogy az ügyfél adataihoz jogellenes vagy jogosulatlan fél fért hozzá.

Tekintse át az incidenseket, hogy biztosan megoldódjanak a problémák.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a folyamatos exportálás funkciójával. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását.

Válassza ki a Microsoft Defender for Cloud adatösszekötőt a riasztások Microsoft Sentinelbe való streameléséhez igény szerint, a szervezeti üzleti követelmények alapján.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft előjegyzési szabályait annak ellenőrzéséhez, hogy a behatolási tesztek nem sértik-e a Microsoft szabályzatait. A Hivatkozott hivatkozásokon további információt talál a Microsoft által felügyelt felhőinfrastruktúra, -szolgáltatások és -alkalmazások red teaming és élő webhelybe történő behatolási tesztelésének stratégiájáról és végrehajtásáról.

Felelősség: Megosztott

Következő lépések