Tárolók és tárolók vezénylése biztonsági követelményeinek megadása
Ez a lecke az Azure Kubernetes Service Azure-beli biztonsági alapkonfigurációit foglalja össze. Azokon a területeken, ahol sok az ellenőrzés, csak az első öt említett.
A Microsoft cloud security benchmark hátterének további hátteréért tekintse meg a Microsoft kiberbiztonsági referenciaarchitektúrájának és a felhőbiztonsági teljesítménytesztnek a bemutatása című témakört.
Az alábbi táblázatban a teljes alapkonfiguráció vezérlői szerepelnek, ahol:
- A biztonsági vezérlők támogatottak voltak, de alapértelmezés szerint nem voltak engedélyezve
- Explicit útmutatás volt, amely tartalmazta az ügyfél részéről végrehajtandó műveletet
Terület | Vezérlő | Útmutató összefoglalása |
---|---|---|
Hálózati biztonság | 1.1: Azure-erőforrások védelme virtuális hálózatokon belül | Alapértelmezés szerint a rendszer automatikusan létrehoz egy hálózati biztonsági csoportot és útvonaltáblát egy Microsoft Azure Kubernetes Service -fürt (AKS) létrehozásával. Az AKS automatikusan módosítja a hálózati biztonsági csoportokat a megfelelő forgalomhoz, mivel a szolgáltatások terheléselosztókkal, portleképezésekkel vagy bejövő útvonalakkal jönnek létre. |
1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása | Az Azure Kubernetes Service- (AKS-) fürtök által használt hálózati erőforrások védelméhez használja a Felhőhöz készült Microsoft Defender és kövesse a hálózatvédelmi ajánlásait. | |
1.3: Kritikus webalkalmazások védelme | Az AKS-fürt előtt egy Azure-alkalmazás Átjáróval kompatibilis webalkalmazási tűzfal (WAF) használatával további biztonsági réteget biztosíthat a webalkalmazások bejövő forgalmának szűrésével. Az Azure WAF az Open Web Application Security Project (OWASP) által biztosított szabályok halmazát használja a támadásokhoz, például a helyek közötti szkripteléshez vagy a forgalom elleni cookie-mérgezéshez. | |
1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása | Engedélyezze a Microsoft Distributed Denial-of-service (DDoS) Standard védelmet azon virtuális hálózatokon, ahol az Azure Kubernetes Service (AKS) összetevői üzembe vannak helyezve a DDoS-támadások elleni védelemhez. | |
1.5: Hálózati csomagok rögzítése | Használja a Network Watcher-csomagrögzítést a rendellenes tevékenységek kivizsgálásához. | |
Naplózás és monitorozás | 2.1: Jóváhagyott időszinkronizálási források használata | Az Azure Kubernetes Service -csomópontok ntp.ubuntu.com használnak az időszinkronizáláshoz, valamint a 123-es UDP-portot és a Hálózati idő protokollt (NTP). |
2.2: Központi biztonsági naplókezelés konfigurálása | Az Azure Kubernetes Services (AKS) fő összetevőiből, a kube-apiserverből és a kube-controller-managerből származó naplók engedélyezése felügyelt szolgáltatásként. | |
2.3: Naplózás engedélyezése Az Azure-erőforrások naplózásának engedélyezése | Tevékenységnaplók használatával figyelheti az Azure Kubernetes Service -erőforrások műveleteit az összes tevékenység és állapotuk megtekintéséhez. | |
2.4: Biztonsági naplók gyűjtése operációs rendszerekről | Engedélyezze a Log Analytics-ügynökök automatikus telepítését az AKS-fürtcsomópontok adatainak gyűjtéséhez. Emellett kapcsolja be az Azure Log Analytics monitorozási ügynökének automatikus üzembe helyezését Felhőhöz készült Microsoft Defender, mivel alapértelmezés szerint az automatikus kiépítés ki van kapcsolva. | |
2.5: A biztonsági naplók tárolási megőrzésének konfigurálása | Az Azure Kubernetes Service-példányok (AKS-példányok) előkészítése az Azure Monitorba, és állítsa be a megfelelő Azure Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi követelményei szerint. | |
Identitás- és hozzáférés-vezérlés | 3.1: Felügyeleti fiókok leltárának karbantartása | Maga az Azure Kubernetes Service (AKS) nem biztosít identitáskezelési megoldást, amely rendszeres felhasználói fiókokat és jelszavakat tárol. A Microsoft Entra-integrációval hozzáférést biztosíthat a felhasználóknak vagy csoportoknak a Kubernetes-erőforrásokhoz egy névtérben vagy a fürtben. |
3.2: Az alapértelmezett jelszavak módosítása, ha vannak | Az Azure Kubernetes Service (AKS) nem rendelkezik a közös alapértelmezett jelszavak fogalmával, és nem biztosít identitáskezelési megoldást, ahol a rendszeres felhasználói fiókok és jelszavak tárolhatók. A Microsoft Entra-integrációval szerepköralapú hozzáférést biztosíthat az AKS-erőforrásokhoz egy névtérben vagy a fürtön belül. | |
3.3: Dedikált rendszergazdai fiókok használata | Az Azure Kubernetes Service-fürtök felhasználói hitelesítésének integrálása a Microsoft Entra-azonosítóval. Jelentkezzen be egy AKS-fürtbe egy Microsoft Entra hitelesítési jogkivonat használatával. | |
3.4: Egyszeri bejelentkezés (SSO) használata a Microsoft Entra-azonosítóval | Az Azure Kubernetes Service (AKS) egyszeri bejelentkezése a Microsoft Entra integrált hitelesítésével egy AKS-fürthöz. | |
3.5: Többtényezős hitelesítés használata minden Microsoft Entra ID-alapú hozzáféréshez | Az Azure Kubernetes Service (AKS) hitelesítésének integrálása a Microsoft Entra ID-val. | |
Data Protection | 4.1: Bizalmas információk leltárának karbantartása | Útmutató: Az Azure Kubernetes Service (AKS) üzemelő példányaival kapcsolatos erőforrások címkéivel segíthet nyomon követni a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat. |
4.2: Bizalmas információkat tartalmazó vagy feldolgozó rendszerek elkülönítése | Logikailag elkülönítheti az ugyanabban a fürtben lévő csapatokat és számítási feladatokat az Azure Kubernetes Service (AKS) szolgáltatással, hogy a lehető legkevesebb jogosultságot biztosíthassa, amely az egyes csapatok által igényelt erőforrásokra terjed ki. | |
4.3: Bizalmas adatok jogosulatlan átvitelének monitorozása és letiltása | Használjon egy külső megoldást az Azure Marketplace-ről a hálózat peremhálózatán, amely figyeli a bizalmas információk jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek. | |
4.4: Az átvitel alatt lévő bizalmas adatok titkosítása | Hozzon létre egy HTTPS bejövőforgalom-vezérlőt, és használja a saját TLS-tanúsítványait (vagy opcionálisan a Let's Encryptt) az Azure Kubernetes Service (AKS) üzemelő példányaihoz. | |
4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához | Az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el az Azure Storage- vagy számítási erőforrásokhoz. Ha a megfelelőség érdekében szükség van rá, implementálja a harmadik féltől származó megoldást. A Microsoft kezeli a mögöttes platformot, és minden ügyféltartalmat bizalmasként kezel, és nagy távolságra van az ügyfelek adatvesztése és kitettsége ellen. | |
Biztonságirés-kezelés | 5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása | A Felhőhöz készült Microsoft Defender használatával monitorozhatja az Azure Container Registryt, beleértve az Azure Kubernetes Service-példányokat is a biztonsági rések miatt. Engedélyezze a Tárolóregisztrációs adatbázisok csomagot Felhőhöz készült Microsoft Defender, hogy Felhőhöz készült Microsoft Defender készen álljon a beállításjegyzékbe leküldéses képek vizsgálatára. |
5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése | A rendszer automatikusan alkalmazza a biztonsági frissítéseket a Linux-csomópontokra az ügyfél Azure Kubernetes Service- (AKS-) fürtjeinek védelme érdekében. Ezek a frissítések közé tartoznak az operációs rendszer biztonsági javításai vagy a kernelfrissítések. Vegye figyelembe, hogy a Windows Server-csomópontok naprakészen tartásának folyamata eltér a Linuxot futtató csomópontoktól, mivel a Windows Server-csomópontok nem kapnak napi frissítéseket. | |
5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez | Manuális folyamat implementálása annak biztosítására, hogy az Azure Kubernetes Service (AKS) fürtcsomópont harmadik féltől származó alkalmazásai a fürt élettartama alatt is javítás alatt maradjanak. Ehhez szükség lehet az automatikus frissítések engedélyezésére, a csomópontok figyelésére vagy az időszakos újraindításokra. | |
5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása | Exportálja Felhőhöz készült Microsoft Defender vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket annak ellenőrzéséhez, hogy a biztonsági rések kijavítva lettek-e. | |
5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések szervizelésének rangsorolásához | Használja a Felhőhöz készült Microsoft Defender által biztosított súlyossági minősítést a biztonsági rések elhárításának rangsorolásához. | |
Leltár-és eszközfelügyelet | 6.1: Automatizált eszközfelderítési megoldás használata | Az Azure Resource Graph használatával lekérdezheti/felderítheti az előfizetéseken belüli összes erőforrást (például számítást, tárolást, hálózatot stb.). Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőjében, és képes számba venni az összes Azure-előfizetést és az előfizetéseken belüli erőforrásokat. |
6.2: Eszköz metaadatainak karbantartása | Címkéket alkalmazhat az Azure-erőforrásokra metaadatokkal, hogy logikailag rendszerezze őket egy osztályozásba. | |
6.3: Jogosulatlan Azure-erőforrások törlése | Ha szükséges, használjon címkézést, felügyeleti csoportokat és külön előfizetéseket az eszközök rendszerezéséhez és nyomon követéséhez. | |
6.4: Jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása | A vállalati üzleti igények alapján definiálhatja a jóváhagyott Azure-erőforrások és a számítási erőforrásokhoz jóváhagyott szoftverek listáját. | |
6.5: Nem jóváhagyott Azure-erőforrások monitorozása | Az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára a következő beépített szabályzatdefiníciók használatával: Nem engedélyezett erőforrástípusok, Engedélyezett erőforrástípusok | |
Biztonságos konfiguráció | 7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz | A "Microsoft.ContainerService" névtérben az Azure Policy-aliasok használatával egyéni szabályzatokat hozhat létre az Azure Kubernetes Service-példányok (AKS) konfigurációjának naplózásához vagy kikényszerítéséhez. Használjon beépített Azure Policy-definíciókat. |
7.2: Biztonságos operációsrendszer-konfigurációk létrehozása | Az Azure Kubernetes-fürtök (AKS)-fürtök biztonságilag optimalizált operációs rendszerrel rendelkező gazdagép virtuális gépeken vannak üzembe helyezve. A gazda operációs rendszer további biztonsági megkeményítési lépésekkel rendelkezik a támadás felületének csökkentése érdekében, és lehetővé teszi a tárolók biztonságos üzembe helyezését. | |
7.3: Biztonságos Azure-erőforráskonfigurációk karbantartása | Biztonságossá teheti az Azure Kubernetes Service-fürtöt podbiztonsági szabályzatokkal. Korlátozza, hogy mely podok ütemezhetők a fürt biztonságának javítása érdekében. | |
7.4: Biztonságos operációsrendszer-konfigurációk karbantartása | Az Azure Kubernetes Service-fürtök (AKS)-fürtök biztonságilag optimalizált operációs rendszerrel rendelkező gazdagép virtuális gépeken vannak üzembe helyezve. A gazda operációs rendszer további biztonsági megkeményítési lépésekkel rendelkezik a támadás felületének csökkentése érdekében, és lehetővé teszi a tárolók biztonságos üzembe helyezését. | |
7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása | Egyéni Azure Policy-definíciók használata esetén az Azure Repos használatával biztonságosan tárolhatja és kezelheti a konfigurációkat. Exportálja az Azure Kubernetes Service (AKS) konfigurációjának sablonját a JavaScript Object Notation (JSON) alkalmazásban az Azure Resource Managerrel. | |
Kártevők elleni védelem | 8.1: Központilag felügyelt kártevőirtó szoftverek használata | Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Linux-csomópontok esetén azonban démonkészletekkel telepítheti az egyéni szoftvereket, például kártevőirtó megoldást. |
8.2: A nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata | Az AKS-erőforrásokba feltöltött fájlok előzetes vizsgálata. Az adatszolgáltatások Felhőhöz készült Microsoft Defender fenyegetésészlelésével észlelheti a tárfiókokba feltöltött kártevőket, ha egy Azure Storage-fiókot használ adattárként, vagy nyomon követheti az AKS-fürt Terraform-állapotát. | |
8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása | Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Linux-csomópontok esetén azonban démonkészletekkel telepítheti az egyéni szoftvereket, például kártevőirtó megoldást. | |
Adat-helyreállítás | 9.1: Rendszeres automatikus biztonsági mentések biztosítása | Biztonsági másolatot készíthet az adatokról a tárolási típushoz megfelelő eszközzel, például a Veleroval, amely további fürterőforrások és konfigurációk mellett az állandó kötetekről is készíthet biztonsági másolatot. Rendszeresen ellenőrizze a biztonsági másolatok integritását és biztonságát. |
9.2: Teljes rendszerszintű biztonsági mentések és az ügyfél által felügyelt kulcsok biztonsági mentése | Biztonsági másolatot készíthet az adatokról a tárolási típushoz megfelelő eszközzel, például a Veleroval, amely további fürterőforrások és konfigurációk mellett az állandó kötetekről is készíthet biztonsági másolatot. | |
9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is | A Velero Backupban rendszeresen végez adat-visszaállítást. Szükség esetén tesztelje az izolált virtuális hálózatra való visszaállítást. | |
9.4: Biztonsági másolatok és ügyfél által felügyelt kulcsok védelmének biztosítása | Biztonsági másolatot készíthet az adatokról a tárolási típushoz megfelelő eszközzel, például a Veleroval, amely további fürterőforrások és konfigurációk mellett az állandó kötetekről is készíthet biztonsági másolatot. | |
Incidensmegoldás | 10.1: Incidenskezelési útmutató létrehozása | Hozzon létre egy incidenskezelési útmutatót a szervezet számára. Győződjön meg arról, hogy vannak olyan írásos incidenskezelési tervek, amelyek meghatározzák a személyzet összes szerepkörét, valamint az incidenskezelés/-kezelés fázisait az észleléstől az incidens utáni felülvizsgálatig. |
10.2: Incidenspontozási és rangsorolási eljárás létrehozása | Rangsorolja, hogy mely riasztásokat kell először kivizsgálni, Felhőhöz készült Microsoft Defender a riasztásokhoz rendelt súlyosságot. A súlyosság azon alapul, hogy mennyire megbízható a Felhőhöz készült Microsoft Defender a riasztás kibocsátásához használt keresésben vagy elemzésekben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék állt. | |
10.3: Biztonsági válasz eljárások tesztelése | Gyakorlatok végrehajtása a rendszerek incidenskezelési képességeinek rendszeres teszteléséhez. Azonosíthatja a gyenge pontokat és hiányosságokat, és szükség szerint felülvizsgálhatja az incidenskezelési terveket. | |
10.4: A biztonsági incidensek kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez | A Microsoft a biztonsági incidensek kapcsolattartási adatait használja fel, ha a Microsoft Security Response Center (MSRC) észleli, hogy az ügyfél adataihoz jogosulatlan vagy jogellenes fél fért hozzá. | |
10.5: Biztonsági riasztások beépítése az incidenskezelő rendszerbe | A folyamatos exportálás funkcióval exportálhatja Felhőhöz készült Microsoft Defender riasztásokat és javaslatokat. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. | |
Behatolási tesztek és Red Team-gyakorlatok | 11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése | Kövesse a Microsoft előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. |