Garis besar keamanan Azure untuk Azure Kubernetes Service

Garis dasar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Azure Kubernetes. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Kubernetes.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Kubernetes Service, atau yang menjadi tanggung jawab Microsoft, telah dikecualikan. Untuk melihat bagaimana Azure Kubernetes Service sepenuhnya dipetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Kubernetes Service yang lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Secara default, grup keamanan jaringan dan tabel rute secara otomatis dibuat dengan pembuatan kluster Microsoft Azure Kubernetes Service (AKS). AKS secara otomatis memodifikasi grup keamanan jaringan untuk arus lalu lintas yang sesuai karena layanan dibuat dengan penyeimbang muatan, pemetaan port, atau rute masuk. Grup keamanan jaringan secara otomatis dikaitkan dengan NIC virtual pada node pelanggan dan tabel rute dengan subnet pada jaringan virtual.

Gunakan kebijakan jaringan AKS untuk membatasi lalu lintas jaringan dengan mendefinisikan aturan untuk lalu lintas masuk dan keluar antara pod Linux dalam kluster berdasarkan pilihan namespace layanan dan pemilih label. Penggunaan kebijakan jaringan memerlukan plug-in Azure CNI dengan jaringan virtual dan subnet yang ditentukan dan hanya dapat diaktifkan pada pembuatan kluster. Mereka tidak dapat disebarkan pada kluster AKS yang ada.

Anda dapat mengimplementasikan kluster AKS pribadi untuk memastikan lalu lintas jaringan antara server API AKS dan kumpulan simpul hanya tetap berada di jaringan pribadi. Sarana kontrol atau server API, berada di langganan Azure yang dikelola AKS dan menggunakan alamat IP internal (RFC1918), sementara kluster atau kumpulan simpul pelanggan berada dalam langganan mereka sendiri. Server dan kluster atau kumpulan node berkomunikasi satu sama lain menggunakan layanan Azure Private Link di jaringan virtual server API dan titik akhir pribadi yang terekspos di subnet kluster AKS pelanggan. Atau, gunakan titik akhir publik untuk server API AKS tetapi batasi akses dengan fitur Rentang IP Terotorisasi AKS API Server.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerService:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Rentang IP terotorisasi harus ditentukan di Layanan Kubernetes Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.1

1.2: Pantau serta catat konfigurasi dan lalu lintas jaringan virtual, subnet, dan NIC

Panduan: Gunakan Microsoft Defender untuk Cloud dan ikuti rekomendasi perlindungan jaringannya untuk mengamankan sumber daya jaringan yang digunakan oleh kluster Azure Kubernetes Service (AKS) Anda.

Aktifkan log alur kelompok keamanan jaringan dan kirim log ke akun Azure Storage untuk diaudit. Anda juga dapat mengirim log alur ke ruang kerja Analitik Log lalu menggunakan Traffic Analytics guna memberikan insight ke pola lalu lintas di cloud Azure Anda. Dengan cara ini, Anda dapat memvisualisasikan aktivitas jaringan, mengidentifikasi spot panas dan ancaman keamanan, memahami pola arus lalu lintas, serta menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Gunakan Azure Application Gateway yang mengaktifkan Web Application Firewall (WAF) di depan kluster AKS untuk memberikan lapisan keamanan tambahan dengan memfilter lalu lintas masuk ke aplikasi web Anda. Azure WAF menggunakan seperangkat aturan, yang disediakan oleh The Open Web Application Security Project (OWASP), untuk memberikan perlindungan terhadap serangan, seperti pembuatan skrip lintas situs atau pembajakan cookie terhadap lalu lintas ini.

Gunakan API gateway untuk autentikasi, otorisasi, pembatasan, penembolokan, transformasi, dan pemantauan untuk API yang digunakan di lingkungan AKS Anda. Gateway API berfungsi sebagai pintu depan untuk layanan mikro, memisahkan klien dari layanan mikro, dan mengurangi kompleksitas layanan mikro Anda dengan menghapus beban penanganan masalah pemotongan silang.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Aktifkan perlindungan Standar Penolakan Layanan Terdistribusi (DDoS) Microsoft pada jaringan virtual tempat penyebaran komponen Azure Kubernetes Service (AKS) untuk perlindungan terhadap serangan DDoS.

Pasang mesin kebijakan jaringan dan buat kebijakan jaringan Kubernetes untuk mengontrol alur lalu lintas antar pod di AKS secara default agar semua lalu lintas diperbolehkan di antara pod ini. Kebijakan jaringan hanya boleh digunakan untuk node dan pod berbasis Linux di AKS. Tentukan aturan yang membatasi komunikasi pod untuk meningkatkan keamanan.

Pilih untuk mengizinkan atau menolak lalu lintas berdasarkan setelan seperti label yang ditetapkan, namespace layanan, atau portal lalu lintas. Kebijakan jaringan yang diperlukan dapat diterapkan secara otomatis karena pod dibuat secara dinamis dalam kluster AKS.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Gunakan pengambilan paket Azure Network Watcher yang diperlukan untuk menyelidiki aktivitas anomali.

Network Watcher diaktifkan secara otomatis di wilayah jaringan virtual saat Anda membuat atau memperbarui jaringan virtual di langganan Anda. Anda juga dapat membuat instance Network Watcher baru menggunakan PowerShell, Azure CLI, REST API, atau metode Klien Azure Resource Manager

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan

Panduan: Amankan kluster Azure Kubernetes Service (AKS) Anda dengan Azure Application Gateway yang diaktifkan dengan Web Application Firewall (WAF).

Jika deteksi intrusi dan/atau pencegahan berdasarkan inspeksi payload atau analitik perilaku bukan persyaratan, Azure Application Gateway dengan WAF dapat digunakan dan dikonfigurasi dalam "mode deteksi" untuk mencatat peringatan dan ancaman, atau "mode pencegahan" ke dalam log guna memblokir gangguan dan serangan yang terdeteksi secara aktif.

Tanggung Jawab: Pelanggan

1.8: Memperkecil kompleksitas dan biaya tambahan administrasi pada aturan keamanan jaringan

Panduan: Gunakan tag layanan jaringan virtual untuk menentukan kontrol akses jaringan pada grup keamanan jaringan yang terkait dengan instance Azure Kubernetes Service (AKS). Tag layanan dapat digunakan sebagai alamat IP tertentu saat membuat aturan keamanan guna mengizinkan atau menolak lalu lintas untuk layanan yang sesuai dengan menentukan nama tag layanan.

Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Terapkan tag Azure ke kumpulan simpul di kluster AKS Anda. Tag tersebut berbeda dari tag layanan jaringan virtual, dan diterapkan ke setiap simpul dalam kumpulan node dan bertahan melalui peningkatan.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Tentukan dan terapkan konfigurasi keamanan standar dengan Azure Policy untuk sumber daya jaringan yang terkait dengan kluster Azure Kubernetes Service (AKS) Anda.

Gunakan alias Azure Policy di namespace layanan "Microsoft.ContainerService" dan "Microsoft.Network" untuk membuat kebijakan kustom guna mengaudit atau menerapkan konfigurasi jaringan kluster AKS Anda.

Selain itu, gunakan definisi kebijakan bawaan yang terkait dengan AKS, seperti:

  • Rentang IP terotorisasi harus ditentukan di Layanan Kubernetes

  • Menerapkan ingress HTTPS di kluster Kubernetes

  • Pastikan layanan hanya mendengarkan pada port yang diizinkan di kluster Kubernetes

Informasi tambahan tersedia di tautan yang direferensikan.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Gunakan tag untuk grup keamanan jaringan dan sumber daya lainnya untuk alur lalu lintas dari dan ke kluster Azure Kubernetes Service (AKS). Untuk aturan grup keamanan individual, gunakan bidang "Deskripsi" untuk menentukan kebutuhan bisnis dan/atau durasi, dan sebagainya, untuk setiap aturan yang mengizinkan lalu lintas masuk ke/dari jaringan.

Gunakan salah satu definisi kebijakan Azure bawaan yang terkait dengan pemberian tag, seperti "Perlu tag dan nilainya" untuk memastikan bahwa semua sumber daya dibuat dengan tag dan untuk menerima pemberitahuan tentang sumber daya yang belum diberi tag.

Pilih untuk mengizinkan atau menolak jalur jaringan tertentu dalam kluster berdasarkan namespace layanan dan pemilih label dengan kebijakan jaringan. Gunakan namespace layanan dan label ini sebagai deskriptor untuk aturan konfigurasi lalu lintas. Gunakan Azure PowerShell atau Azure command-line interface (CLI) untuk mencari atau melakukan tindakan pada sumber daya berdasarkan tag mereka.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan Azure Activity Log untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan untuk sumber daya jaringan yang terkait dengan kluster Azure Kubernetes Service (AKS).

Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya jaringan penting terjadi. Setiap entri dari pengguna Azure Container Service dalam log aktivitas dicatat dalam log sebagai tindakan platform.

Gunakan log Azure Monitor untuk mengaktifkan dan mengkueri log dari AKS komponen master, kube-apiserver dan kube-controller-manager. Buat dan kelola simpul yang menjalankan kubelet dan runtime kontainer, serta sebarkan aplikasi Anda melalui server Kubernetes API terkelola.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Pembuatan Log dan Pemantauan.

2.1: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Simpul Azure Kubernetes Service (AKS) menggunakan ntp.ubuntu.com untuk sinkronisasi waktu, bersama dengan port UDP 123 dan Network Time Protocol (NTP).

Pastikan server NTP dapat diakses oleh node kluster jika menggunakan server DNS kustom.

Tanggung Jawab: Dibagikan

2.2: Mengonfigurasi manajemen log keamanan pusat

Panduan: Aktifkan log audit dari komponen master Azure Kubernetes Services (AKS), kube-apiserver dan kube-controller-manager, yang disediakan sebagai layanan terkelola.

  • kube-auditaksService: Nama tampilan dalam log audit untuk operasi sarana kontrol (dari hcpService)

  • masterclient: Nama tampilan dalam log audit untuk MasterClientCertificate, yaitu sertifikat yang Anda dapatkan dari az aks get-credentials

  • nodeclient: Nama tampilan untuk ClientCertificate, yang digunakan oleh simpul agen

Aktifkan log audit lain seperti kube-audit juga.

Ekspor log ini ke Analitik Log atau platform penyimpanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, dan gunakan akun Azure Storage untuk penyimpanan jangka panjang dan arsip.

Aktifkan dan masukkan data ini ke Microsoft Sentinel atau SIEM pihak ketiga berdasarkan persyaratan bisnis organisasi Anda.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Gunakan log Aktivitas untuk memantau tindakan pada sumber daya Azure Kubernetes Service (AKS) untuk melihat semua aktivitas dan statusnya. Tentukan operasi apa yang diambil pada sumber daya dalam langganan dengan log aktivitas:

  • siapa yang memulai operasi
  • kapan operasi terjadi
  • status operasi
  • nilai properti lain yang mungkin membantu Anda meneliti operasi

Ambil informasi dari log aktivitas melalui Azure PowerShell, Azure Command Line Interface (CLI), REST API Azure, atau portal Microsoft Azure.

Aktifkan log audit pada komponen master AKS, seperti:

  • kube-auditaksService: Nama tampilan dalam log audit untuk operasi sarana kontrol (dari hcpService)

  • masterclient: Nama tampilan dalam log audit untuk MasterClientCertificate, yaitu sertifikat yang Anda dapatkan dari az aks get-credentials

  • nodeclient: Nama tampilan untuk ClientCertificate, yang digunakan oleh simpul agen

Aktifkan log audit lain seperti kube-audit juga.

Tanggung Jawab: Pelanggan

2.4: Mengumpulkan log keamanan dari sistem operasi

Panduan: Aktifkan instalasi otomatis agen Analitik Log untuk mengumpulkan data dari simpul kluster AKS. Selain itu, aktifkan penyediaan otomatis Agen Pemantauan Analitik Log Azure dari Microsoft Defender untuk Cloud, karena secara default, penyediaan otomatis dinonaktifkan. Agen juga dapat dipasang secara manual. Dengan penyediaan otomatis aktif, Microsoft Defender untuk Cloud menyebarkan agen Analisis Log pada semua VM Azure yang didukung dan semua VM baru yang dibuat.

Microsoft Defender untuk Cloud mengumpulkan data dari Azure Virtual Machines (VM), set skala mesin virtual, dan kontainer IaaS, seperti node kluster Kubernetes, untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan Agen Analitik Log Azure, yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari mesin dan menyalin data ke ruang kerja Anda untuk analisis.

Pengumpulan data diperlukan untuk memberikan visibilitas ke dalam pembaruan yang hilang, pengaturan keamanan OS yang salah dikonfigurasi, status perlindungan titik akhir, dan deteksi kesehatan dan ancaman.

Tanggung Jawab: Dibagikan

2.5: mengkonfigurasikan retensi penyimpanan log keamanan

Panduan: Onboard instans Azure Kubernetes Service (AKS) ke Azure Monitor dan tetapkan periode retensi ruang kerja Azure Log Analitik yang sesuai menurut persyaratan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau Log

Panduan: Onboard instans Azure Kubernetes Service (AKS) instance ke Azure Monitor dan mengonfigurasi pengaturan diagnostik untuk kluster Anda.

Gunakan ruang kerja Analitik Log Azure Monitor untuk mengulas log dan melakukan kueri pada data log. Log Azure Monitor diaktifkan dan dikelola di portal Microsoft Azure, atau melalui CLI, dan menangani kontrol akses berbasis peran Kubernetes (Kubernetes RBAC), Azure RBAC, dan kluster AKS non-RBAC yang diaktifkan.

Lihat log yang dihasilkan oleh komponen master AKS (kube-apiserver dan kube-controllermanager) untuk memecahkan masalah aplikasi dan layanan Anda. Aktifkan dan on-board data ke Microsoft Sentinel atau SIEM pihak ketiga untuk pengelolaan dan pemantauan log terpusat.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Gunakan Azure Kubernetes Service (AKS) bersama dengan Microsoft Defender untuk Cloud untuk mendapatkan visibilitas yang lebih dalam ke node AKS.

Tinjau peringatan Microsoft Defender untuk Cloud tentang ancaman dan aktivitas berbahaya yang terdeteksi di host dan di tingkat kluster. Microsoft Defender untuk Cloud mengimplementasikan analisis berkelanjutan dari peristiwa keamanan mentah yang terjadi di kluster AKS, seperti data jaringan, pembuatan proses, dan log audit Kubernetes. Tentukan apakah aktivitas ini adalah perilaku yang terprediksi atau apakah perilaku aplikasi tidak normal. Gunakan metrik dan log dalam Azure Monitor untuk membuktikan temuan Anda.

Tanggung Jawab: Pelanggan

2.8: Sentralisasi pembuatan log anti-malware

Panduan: Memasang dan mengaktifkan Microsoft Anti-malware untuk Azure ke komputer virtual Azure Kubernetes Service (AKS) dan simpul set skala komputer virtual. Tinjau peringatan di Microsoft Defender untuk Cloud untuk perbaikan.

Tanggung Jawab: Pelanggan

2.9: Mengaktifkan pembuatan log kueri DNS

Panduan: Azure Kubernetes Service (AKS) menggunakan proyek CoreDNS untuk manajemen dan resolusi DNS kluster.

Aktifkan pengelogan kueri DNS dengan menerapkan konfigurasi terdokumentasi di ConfigMap coredns-custom Anda.

Tanggung Jawab: Pelanggan

2.10: Mengaktifkan pembuatan log audit baris perintah

Panduan: Gunakan kubectl, klien baris perintah, di Azure Kubernetes Service (AKS) untuk mengelola kluster Kubernetes dan mendapatkan log dari simpul AKS untuk tujuan pemecahan masalah. Kubectl sudah dipasang jika Anda menggunakan Azure Cloud Shell. Untuk memasang kubectl secara lokal, gunakan cmdlet 'Install-AzAksKubectl'.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Mempertahankan inventaris akun administratif

Panduan: Azure Kubernetes Service (AKS) sendiri tidak menyediakan solusi manajemen identitas yang menyimpan akun pengguna dan kata sandi reguler. Dengan integrasi Azure Active Directory (Azure AD), Anda dapat memberi pengguna atau grup akses ke sumber daya Kubernetes dalam namespace layanan atau di seluruh kluster.

Melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif AKS dengan modul Microsoft Azure AD PowerShell

Gunakan Azure CLI untuk operasi seperti 'Dapatkan kredensial akses untuk kluster Kubernetes terkelola' untuk membantu merekonsiliasi akses secara berkala. Terapkan proses ini untuk menyimpan inventaris akun layanan yang diperbarui, yang merupakan jenis pengguna utama lainnya di AKS. Terapkan rekomendasi Manajemen Akses dan identitas Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.2: Mengubah kata sandi default jika memungkinkan

Panduan: Azure Kubernetes Service (AKS) tidak memiliki konsep kata sandi default umum dan tidak menyediakan solusi manajemen identitas di mana akun pengguna dan kata sandi reguler dapat disimpan. Dengan integrasi Azure Active Directory (Azure AD), Anda dapat memberi pengguna atau grup akses ke sumber daya AKS dalam namespace layanan atau di seluruh kluster.

Melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif AKS dengan modul Microsoft Azure AD PowerShell

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Integrasikan autentikasi pengguna untuk kluster Azure Kubernetes Service (AKS) dengan Azure Active Directory (Azure AD). Masuk ke kluster AKS menggunakan token autentikasi Microsoft Azure Active Directory. Mengonfigurasi kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) untuk akses administratif ke informasi konfigurasi Kubernetes (kubeconfig) dan izin, namespace layanan, dan sumber daya kluster.

Buat kebijakan dan prosedur seputar penggunaan akun administratif khusus. Menerapkan rekomendasi Identitas Microsoft Defender untuk Cloud dan Access Management.

Tanggung Jawab: Pelanggan

3.4: Gunakan akses menyeluruh (SSO) dengan Azure Active Directory

Panduan: Gunakan SSO untuk Azure Kubernetes Service (AKS) dengan autentikasi terintegrasi Azure Active Directory (Azure AD) untuk kluster AKS.

Tanggung Jawab: Pelanggan

3.5: Gunakan autentikasi multifaktor untuk semua akses berbasis Microsoft Azure Active Directory

Panduan: Integrasikan Autentikasi untuk Azure Kubernetes Service (AKS) dengan Azure Active Directory (Azure AD).

Aktifkan autentikasi multifaktor Microsoft Azure AD dan ikuti rekomendasi Manajemen Akses Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif

Panduan: Gunakan Privileged Access Workstation (PAW), dengan Autentikasi MultiFaktor (MFA), yang dikonfigurasi untuk masuk ke kluster Azure Kubernetes Service (AKS) yang ditentukan dan sumber daya terkait.

Tanggung Jawab: Pelanggan

3.7: Mencatat dan beritahukan aktivitas mencurigakan dari akun administratif

Panduan: Gunakan laporan keamanan Azure Active Directory (Azure AD) dengan autentikasi terintegrasi Azure Active Directory (Azure AD) untuk Azure Kubernetes Service (AKS). Pemberitahuan dapat dihasilkan ketika aktivitas mencurigakan atau tidak aman terjadi di lingkungan. Gunakan Microsoft Defender untuk Cloud guna memantau identitas dan aktivitas akses.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Gunakan Lokasi Bernama Akses Bersyarat untuk mengizinkan akses ke Azure Kubernetes Service (AKS) hanya dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah. Hal ini memerlukan autentikasi terintegrasi untuk AKS dengan Azure Active Directory (Azure AD).

Batasi akses ke server API AKS dari serangkaian rentang alamat IP terbatas, karena menerima permintaan untuk melakukan tindakan di kluster untuk membuat sumber daya atau menskalakan jumlah simpul.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat untuk Azure Kubernetes Service (AKS) Anda. Azure AD melindungi data dengan menggunakan enkripsi yang kuat untuk keseluruhan data tidak aktif dan saat transit, dan juga melakukan salt, hash, dan menyimpan kredensial pengguna dengan aman.

Gunakan peran bawaan AKS dengan kontrol akses berbasis peran Azure (Azure RBAC) - Kontributor dan Pemilik Kebijakan Sumber Daya, untuk operasi penetapan kebijakan ke kluster Kubernetes Anda

Tanggung Jawab: Pelanggan

3.10: Meninjau dan selaraskan akses pengguna secara teratur

Panduan: Gunakan laporan keamanan Azure Active Directory (Azure AD) dengan autentikasi terintegrasi Azure Active Directory (Azure AD) untuk Azure Kubernetes Service (AKS). Menelusuri log Azure Active Directory untuk membantu menemukan akun kedaluwarsa.

Lakukan Tinjauan Akses Identitas Azure untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Remediasi rekomendasi Akses dan Identitas dari Microsoft Defender untuk Cloud.

Ketahui peran yang digunakan untuk tujuan dukungan atau pemecahan masalah. Misalnya, setiap tindakan kluster yang diambil oleh dukungan Microsoft (dengan persetujuan pengguna) dibuat di bagian peran "edit" Kubernetes bawaan dari nama aks-support-rolebinding. Dukungan AKS diaktifkan dengan peran ini untuk mengedit konfigurasi kluster dan sumber daya untuk memecahkan masalah dan mendiagnosis masalah kluster. Namun, peran ini tidak dapat mengubah izin atau membuat peran atau ikatan peran. Akses peran ini hanya diaktifkan di bagian tiket dukungan aktif dengan akses just-in-time (JIT).

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Integrasikan autentikasi pengguna untuk Azure Kubernetes Service (AKS) dengan Azure Active Directory (Azure AD). Buat Pengaturan Diagnostik untuk Azure Active Directory, mengirim log audit dan masuk ke ruang kerja Analitik Log Azure. Mengonfigurasi Pemberitahuan yang diinginkan (seperti saat akun yang dinonaktifkan mencoba masuk) dalam ruang kerja Log Analitik Azure.

Tanggung Jawab: Pelanggan

3.12: Pemberitahuan tentang penyimpangan perilaku masuk akun

Panduan: Integrasikan autentikasi pengguna untuk Azure Kubernetes Service (AKS) dengan Azure Active Directory (Azure AD). Gunakan fitur Perlindungan Deteksi Risiko dan Identitas Azure Active Directory untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna. Serap data ke dalam Microsoft Sentinel untuk penyelidikan lebih lanjut berdasarkan kebutuhan bisnis.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag pada sumber daya yang terkait dengan penyebaran Azure Kubernetes Service (AKS) Anda untuk membantu melacak sumber daya Azure yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Mengisolasi tim dan beban kerja secara logis dalam kluster yang sama dengan Azure Kubernetes Service (AKS) untuk memberikan jumlah hak istimewa yang paling sedikit, yang tercakup dalam sumber daya yang diperlukan oleh masing-masing tim.

Gunakan namespace layanan di Kubernetes untuk membuat batas isolasi logis. Pertimbangkan untuk mengimplementasikan fitur Kubernetes tambahan untuk isolasi dan multi-penyewaan, seperti, penjadwalan, jaringan, autentikasi/otorisasi, dan kontainer.

Terapkan langganan terpisah dan/atau grup manajemen untuk lingkungan pengembangan, pengujian, dan produksi. Pisahkan kluster AKS dengan jaringan dengan menyebarkannya ke jaringan virtual yang berbeda, yang ditandai dengan tepat.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Gunakan solusi pihak ketiga dari Marketplace Azure di perimeter jaringan yang memantau transfer informasi sensitif yang tidak sah dan memblokir transfer tersebut sambil memberi tahu profesional keamanan informasi.

Microsoft mengelola platform yang mendasarinya dan memperlakukan semua konten pelanggan sebagai sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Buat pengontrol ingress HTTPS dan gunakan sertifikat TLS Anda sendiri (atau secara opsional, Mari Enkripsi) untuk penyebaran Azure Kubernetes Service (AKS).

Lalu lintas egress Kubernetes dienkripsi melalui HTTPS/TLS secara default. Tinjau lalu lintas egress yang berpotensi tidak dienkripsi dari instans AKS Anda untuk pemantauan tambahan. Ini mungkin termasuk lalu lintas NTP, lalu lintas DNS, lalu lintas HTTP untuk mengambil pembaruan dalam beberapa kasus.

Tanggung Jawab: Pelanggan

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Fitur identifikasi, klasifikasi, dan pencegahan kerugian data belum tersedia untuk Azure Storage atau sumber daya komputasi. Terapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan. Microsoft mengelola platform yang mendasarinya dan memperlakukan semua konten pelanggan sebagai sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data.

Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Pelanggan

4.6: Menggunakan Azure RBAC untuk mengelola akses ke sumber daya

Guidance: Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang dibuat di Azure Resource Manager yang memberikan manajemen akses mendetail untuk sumber daya Azure.

Mengonfigurasi Azure Kubernetes Service (AKS) untuk menggunakan Azure Active Directory (Azure AD) untuk autentikasi pengguna. Masuk ke kluster AKS menggunakan token autentikasi Azure Active Directory menggunakan konfigurasi ini.

Gunakan peran bawaan AKS dengan Kontributor dan Pemilik Kebijakan Sumber Daya RBAC Azure, untuk operasi penetapan kebijakan ke kluster Kubernetes Anda

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerService:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. Audit, Dinonaktifkan 1.0.2

4.7: Menggunakan pencegahan kehilangan data berbasis host untuk menegakkan kontrol akses

Panduan: Fitur identifikasi, klasifikasi, dan pencegahan kerugian data belum tersedia untuk Azure Storage atau sumber daya komputasi. Terapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan. Microsoft mengelola platform yang mendasarinya dan memperlakukan semua konten pelanggan sebagai sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Pelanggan

4.8: Mengeknripsi informasi sensitif yang tidak aktif

Panduan: Dua jenis penyimpanan utama yang disediakan untuk volume di Azure Kubernetes Service (AKS) didukung oleh Azure Disks atau Azure Files. Kedua jenis penyimpanan menggunakan Azure Storage Service Encryption (SSE), yang mengenkripsi data tidak aktif untuk meningkatkan keamanan. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft.

Enkripsi tidak aktif menggunakan kunci yang dikelola pelanggan tersedia untuk mengenkripsi OS dan disk data pada kluster AKS untuk kontrol tambahan atas kunci enkripsi. Pelanggan memiliki tanggung jawab untuk kegiatan manajemen utama seperti pencadangan dan rotasi utama. Disk saat ini tidak dapat dienkripsi menggunakan Azure Disk Encryption pada tingkat simpul AKS.

Tanggung Jawab: Dibagikan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Gunakan Azure Monitor untuk kontainer guna memantau kinerja beban kerja kontainer yang disebarkan ke kluster Kubernetes terkelola yang dihosting di Azure Kubernetes Service (AKS).

Konfigurasikan peringatan untuk pemberitahuan proaktif atau pembuatan log ketika CPU dan pemanfaatan memori pada simpul atau kontainer melebihi ambang batas yang ditentukan, atau ketika perubahan status kesehatan terjadi di kluster pada rollup kesehatan infrastruktur atau simpul.

Gunakan Log Aktivitas Azure untuk memantau kluster AKS dan sumber daya terkait di tingkat tinggi. Integrasikan dengan Prometheus untuk melihat metrik aplikasi dan beban kerja yang dikumpulkannya dari simpul dan Kubernetes menggunakan kueri untuk membuat peringatan khusus, dasbor, dan analisis terperinci.

Tanggung Jawab: Pelanggan

Manajemen Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelolaan Kerentanan.

5.1: Menjalankan alat pemindaian kerentanan otomatis

Panduan: Gunakan Microsoft Defender untuk Cloud guna memantau Azure Container Registry Anda termasuk instans Azure Kubernetes Service (AKS) untuk kerentanan. Aktifkan bundel Kontainer Registries di Microsoft Defender untuk Cloud guna memastikan bahwa Microsoft Defender untuk Cloud siap memindai gambar yang dikirim ke registri.

Dapatkan pemberitahuan di dasbor Microsoft Defender untuk Cloud ketika masalah ditemukan setelah Microsoft Defender untuk Cloud memindai gambar menggunakan Qualys. Fitur bundel Kontainer Registries memberikan visibilitas yang lebih dalam ke kerentanan gambar yang digunakan dalam registri berbasis Azure Resource Manager.

Gunakan Microsoft Defender untuk Cloud untuk rekomendasi yang dapat ditindaklanjuti untuk setiap kerentanan. Rekomendasi ini mencakup klasifikasi tingkat keparahan dan panduan untuk remediasi.

Tanggung Jawab: Pelanggan

5.2: Menyebarkan solusi pengelolaan patch sistem operasi otomatis

Panduan: Pembaruan keamanan secara otomatis diterapkan pada simpul Linux untuk melindungi kluster Azure Kubernetes Service (AKS) pelanggan. Pembaruan ini mencakup perbaikan keamanan OS atau pembaruan kernel.

Perhatikan bahwa proses untuk menjaga simpul Windows Server tetap terbaru berbeda dari simpul yang menjalankan Linux karena simpul server Windows tidak menerima pembaruan harian. Sebaliknya, pelanggan perlu melakukan peningkatan pada kumpulan simpul Windows Server di kluster AKS mereka yang menyebarkan simpul baru dengan citra dan patch Windows Server dasar terbaru menggunakan panel kontrol Azure atau Azure CLI. Pembaruan ini berisi peningkatan keamanan atau fungsionalitas untuk AKS.

Tanggung Jawab: Pelanggan

5.3: Menerapkan solusi manajemen tambalan otomatis untuk judul perangkat lunak pihak ketiga

Panduan: Menerapkan proses manual untuk memastikan aplikasi pihak ketiga simpul kluster Azure Kubernetes Service (AKS) tetap ditambal selama masa pakai kluster. Ini mungkin memerlukan mengaktifkan pembaruan otomatis, memantau simpul, atau melakukan reboot berkala.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerService:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ Audit, Dinonaktifkan 1.0.2

5.4: Membandingkan pemindaian kerentanan bolak-balik

Panduan: Ekspor hasil pemindaian Microsoft Defender untuk Cloud pada interval yang konsisten dan bandingkan hasilnya untuk memverifikasi bahwa kerentanan telah diperbaiki.

Gunakan cmdlet PowerShell "Get-AzSecurityTask" untuk mengotomatiskan pengambilan tugas keamanan yang direkomendasikan oleh Microsoft Defender untuk Cloud untuk Anda lakukan guna memperkuat postur keamanan dan temuan pemindaian kerentanan perbaikan.

Tanggung Jawab: Pelanggan

5.5: Menggunakan proses peringkat risiko untuk mengutamakan perbaikan kerentanan yang ditemukan

Panduan: Gunakan peringkat keparahan yang disediakan oleh Microsoft Defender untuk Cloud guna memprioritaskan perbaikan kerentanan.

Gunakan Common Vulnerability Scoring System (CVSS) (atau sistem penilaian lain yang disediakan oleh alat pemindaian Anda) jika menggunakan alat penilaian kerentanan bawaan (seperti Qualys atau Rapid7, yang ditawarkan oleh Azure).

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya (seperti komputasi, penyimpanan, jaringan, port, dan protokol, dst.) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai dalam penyewa dan dapat menghitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Resource Graph, sebaiknya buat dan gunakan sumber daya Azure Resource Manager untuk ke depannya.

Tanggung Jawab: Pelanggan

6.2: Memelihara metadata aset

Panduan: Terapkan tag ke sumber daya Azure dengan metadata untuk mengaturnya secara logis ke dalam taksonomi.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan pemberian tag, grup manajemen, dan langganan terpisah, jika sesuai, untuk menata dan melacak aset.

Menerapkan taint, label, atau tag saat membuat kumpulan simpul Azure Kubernetes Service (AKS). Semua simpul dalam kumpulan simpul tersebut juga akan mewarisi taint, label, atau tag tersebut.

Taint, label, atau tag dapat digunakan untuk merekonsiliasi inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu.

Tanggung Jawab: Pelanggan

6.4: Menentukan dan memelihara inventaris sumber daya Azure yang disetujui

Panduan: Tentukan daftar sumber daya Azure yang disetujui dan perangkat lunak yang disetujui untuk sumber daya komputasi berdasarkan kebutuhan bisnis organisasi.

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Gunakan Azure Resource Graph untuk mengkueri/menemukan sumber daya dalam langganan Anda. Pastikan bahwa semua sumber daya Azure yang ada di lingkungan disetujui berdasarkan persyaratan bisnis organisasi.

Tanggung Jawab: Pelanggan

6.6: Memantau untuk aplikasi perangkat lunak yang tidak disetujui dalam sumber daya komputasi

Panduan: Gunakan fitur Pelacakan Perubahan dan Inventaris Azure Automation untuk mengetahui perangkat lunak yang dipasang di lingkungan Anda.

Kumpulkan dan lihat inventaris untuk perangkat lunak, file, daemon Linux, layanan Windows, dan kunci Windows Registry di komputer Anda dan pantau aplikasi perangkat lunak yang tidak disetujui.

Lacak konfigurasi komputer Anda untuk membantu menentukan masalah operasional di seluruh lingkungan Anda dan lebih memahami keadaan komputer Anda.

Tanggung Jawab: Pelanggan

6.7: Menghapus sumber daya dan aplikasi perangkat lunak Azure yang tidak disetujui

Panduan: Gunakan fitur Pelacakan Perubahan dan Inventaris Azure Automation untuk mengetahui perangkat lunak yang dipasang di lingkungan Anda.

Kumpulkan dan lihat inventaris untuk perangkat lunak, file, daemon Linux, layanan Windows, dan kunci Windows Registry di komputer Anda dan pantau aplikasi perangkat lunak yang tidak disetujui.

Lacak konfigurasi komputer Anda untuk membantu menentukan masalah operasional di seluruh lingkungan Anda dan lebih memahami keadaan komputer Anda.

Tanggung Jawab: Pelanggan

6.8: Menggunakan hanya aplikasi yang disetujui

Panduan: Gunakan fitur Pelacakan Perubahan dan Inventaris Azure Automation untuk mengetahui perangkat lunak yang dipasang di lingkungan Anda.

Kumpulkan dan lihat inventaris untuk perangkat lunak, file, daemon Linux, layanan Windows, dan kunci Windows Registry di komputer Anda dan pantau aplikasi perangkat lunak yang tidak disetujui.

Lacak konfigurasi komputer Anda untuk membantu menentukan masalah operasional di seluruh lingkungan Anda dan lebih memahami keadaan komputer Anda.

Aktifkan analisis Aplikasi Adaptif di Microsoft Defender untuk Cloud untuk aplikasi yang ada di lingkungan Anda.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Gunakan Azure Resource Graph untuk mengkueri/menemukan sumber daya dalam langganan Anda. Pastikan bahwa semua sumber daya Azure yang berada di lingkungan disetujui.

Tanggung Jawab: Pelanggan

6.10: Mempertahankan inventaris dari judul perangkat lunak yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan menggunakan definisi kebijakan bawaan berikut.

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Gunakan Akses Bersyarat Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengkonfigurasi "akses blok" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

6.12: Membatasi kemampuan pengguna untuk mengeksekusi skrip dalam sumber daya komputasi

Panduan: Azure Kubernetes Service (AKS) sendiri tidak menyediakan solusi manajemen identitas yang menyimpan akun pengguna dan kata sandi reguler. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai solusi identitas terintegrasi untuk kluster AKS Anda.

Beri pengguna atau grup akses ke sumber daya Kubernetes dalam namespace layanan atau di seluruh kluster menggunakan integrasi Azure Active Directory.

Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif AKS Anda dan menggunakannya untuk merekonsiliasi akses secara teratur. Gunakan Azure CLI untuk operasi seperti 'Dapatkan kredensial akses untuk kluster Kubernetes terkelola. Menerapkan rekomendasi Identitas Microsoft Defender untuk Cloud dan Access Management.

Tanggung Jawab: Pelanggan

6.13: Mengumpulkan aplikasi berisiko tinggi secara fisik atau logis

Panduan: Menggunakan fitur Azure Kubernetes Service (AKS) untuk mengisolasi tim dan beban kerja secara logis di kluster yang sama untuk jumlah hak istimewa yang paling sedikit, yang tercakup dalam sumber daya yang diperlukan oleh masing-masing tim.

Terapkan namespace layanan di Kubernetes untuk membuat batas isolasi logis. Gunakan alias Azure Policy di namespace layanan "Microsoft.ContainerService" untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi instans Azure Kubernetes Service (AKS) Anda.

Tinjau dan terapkan fitur serta pertimbangan Kubernetes tambahan untuk isolasi dan multi-penyewa untuk mencakup hal-hal berikut: penjadwalan, jaringan, autentikasi/otorisasi, dan kontainer. Gunakan juga langganan terpisah dan grup manajemen untuk pengembangan, pengujian, dan produksi. Pisahkan kluster AKS dengan jaringan virtual, subnet yang ditandai dengan tepat, dan diamankan dengan Web Application Firewall (WAF).

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Gunakan alias Azure Policy di namespace layanan "Microsoft.ContainerService" untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi instans Azure Kubernetes Service (AKS) Anda. Gunakan definisi Azure Policy Bawaan.

Contoh definisi kebijakan bawaan untuk AKS meliputi:

  • Menerapkan ingress HTTPS di kluster Kubernetes

  • Rentang IP terotorisasi harus ditentukan di Layanan Kubernetes

  • Kontrol Akses Berbasis Peran (RBAC) harus digunakan di Layanan Kubernetes

  • Memastikan bahwa hanya citra kontainer yang diizinkan di kluster Kubernetes

Ekspor templat konfigurasi AKS Anda di JavaScript Object Notation (JSON) dengan Azure Resource Manager. Tinjau secara berkala untuk memastikan bahwa konfigurasi ini memenuhi persyaratan keamanan untuk organisasi Anda. Gunakan rekomendasi dari Microsoft Defender untuk Cloud sebagai garis besar konfigurasi yang aman untuk sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

7.2: Menetapkan konfigurasi sistem operasi yang aman

Panduan: Kluster Azure Kubernetes (AKS) disebarkan pada komputer virtual host dengan OS yang dioptimalkan keamanan. OS host memiliki langkah pengerasan keamanan tambahan yang dimasukkan ke dalamnya untuk mengurangi area permukaan serangan dan memungkinkan penyebaran kontainer dengan cara yang aman.

Azure menerapkan patch harian (termasuk patch keamanan) ke host komputer virtual AKS dengan beberapa patch yang memerlukan reboot. Pelanggan bertanggung jawab untuk menjadwalkan reboot host AKS Virtual Machine sesuai kebutuhan.

Tanggung Jawab: Dibagikan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Mengamankan kluster menggunakan kebijakan pod di Azure Kubernetes Service (AKS). Batasi pod apa saja yang dapat dijadwalkan untuk meningkatkan keamanan kluster.

Pod yang meminta sumber daya yang tidak diperbolehkan tidak dapat berjalan di kluster AKS.

Gunakan juga efek Azure Policy [deny] dan [deploy if not exist] untuk memberlakukan pengaturan aman untuk sumber daya Azure yang terkait dengan penyebaran AKS Anda (seperti Virtual Networks, Subnets, Azure Firewalls, Storage Account, dan sebagainya).

Buat definisi Azure Policy kustom menggunakan alias dari namespace layanan berikut:

  • Microsoft.ContainerService

  • Microsoft.Network

Informasi tambahan tersedia di tautan yang direferensikan.

Tanggung Jawab: Pelanggan

7.4: Menetapkan konfigurasi sistem operasi yang aman

Panduan: Kluster Azure Kubernetes (AKS) disebarkan pada komputer virtual host dengan OS yang dioptimalkan keamanan. OS host memiliki langkah pengerasan keamanan tambahan yang dimasukkan ke dalamnya untuk mengurangi area permukaan serangan dan memungkinkan penyebaran kontainer dengan cara yang aman.

Lihat daftar kontrol Center for Internet Security (CIS) yang disertakan dalam OS host.

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Gunakan Azure Repos untuk secara aman menyimpan dan mengelola konfigurasi Anda jika menggunakan definisi Azure Policy. Ekspor templat konfigurasi Azure Kubernetes Service (AKS) Anda di JavaScript Object Notation (JSON) dengan Azure Resource Manager. Tinjau secara berkala untuk memastikan bahwa konfigurasi ini memenuhi persyaratan keamanan untuk organisasi Anda.

Terapkan solusi pihak ketiga seperti Terraform untuk membuat file konfigurasi yang mendeklarasikan resource untuk kluster Kubernetes. Anda dapat mengeraskan penyebaran AKS dengan Menerapkan praktik terbaik keamanan dan menyimpan konfigurasi Anda sebagai kode di lokasi yang aman.

Tanggung Jawab: Pelanggan

7.6: Menyimpan gambar sistem operasi kustom dengan aman

Panduan: Tidak berlaku untuk Layanan Azure Kubernetes (AKS). AKS menyediakan sistem operasi (OS) host yang dioptimalkan keamanan secara default. Tidak ada opsi saat ini untuk memilih sistem operasi alternatif atau kustom.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Gunakan Azure Policy untuk menempatkan pembatasan pada jenis sumber daya yang dapat dibuat dalam langganan menggunakan definisi kebijakan bawaan serta alias Azure Policy di namespace layanan "Microsoft.ContainerService".

Buat kebijakan khusus untuk mengaudit dan menerapkan konfigurasi sistem. Sebarkan proses dan alur untuk mengelola pengecualian kebijakan.

Tanggung Jawab: Pelanggan

7.8: Menyebarkan alat manajemen konfigurasi untuk sistem operasi

Panduan: Kluster Azure Kubernetes (AKS) disebarkan pada komputer virtual host dengan OS yang dioptimalkan keamanan. OS host memiliki langkah pengerasan keamanan tambahan yang dimasukkan ke dalamnya untuk mengurangi area permukaan serangan dan memungkinkan penyebaran kontainer dengan cara yang aman.

Lihat daftar kontrol Center for Internet Security (CIS) yang dibangun dalam host AKS.

Tanggung Jawab: Pelanggan

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Gunakan Microsoft Defender untuk Cloud guna melakukan pemindaian garis besar untuk sumber daya yang terkait dengan penerapan Azure Kubernetes Service (AKS) Anda. Contoh sumber daya termasuk tetapi tidak terbatas pada kluster AKS itu sendiri, jaringan virtual tempat kluster AKS digunakan, Akun Azure Storage yang digunakan untuk melacak status Terraform, atau instans Azure Key Vault yang digunakan untuk kunci enkripsi untuk OS dan disk data kluster AKS Anda.

Tanggung Jawab: Pelanggan

7.10: Menerapkan pemantauan konfigurasi otomatis untuk sistem operasi

Panduan: Gunakan rekomendasi kontainer Microsoft Defender untuk Cloud di bagian "Komputasi aplikasi &" guna melakukan pemindaian garis besar untuk kluster Azure Kubernetes Service (AKS) Anda.

Dapatkan pemberitahuan di dasbor Microsoft Defender untuk Cloud saat ditemukan masalah konfigurasi atau kerentanan. Hal ini memang memerlukan pengaktifan bundel Kontainer Registries opsional yang memungkinkan Microsoft Defender untuk Cloud untuk memindai gambar.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Integrasikan Azure Key Vault dengan kluster Azure Kubernetes Service (AKS) menggunakan drive FlexVolume. Gunakan Azure Key Vault untuk menyimpan dan memutar rahasia secara teratur seperti kredensial, kunci akun penyimpanan, atau sertifikat. Dengan driver FlexVolume, kluster AKS dapat mengambil kredensial dari Key Vault secara asli dan dengan aman hanya memberikannya kepada pod yang meminta. Gunakan identitas yang dikelola pod untuk meminta akses ke Key Vault dan mengambil kredensial yang diperlukan melalui driver FlexVolume. Pastikan Penghapusan Sementara Key Vault diaktifkan.

Batasi paparan kredensial dengan tidak mendefinisikan kredensial dalam kode aplikasi Anda.

Hindari penggunaan kredensial tetap atau bersama.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Jangan mendefinisikan kredensial dalam kode aplikasi Anda sebagai praktik terbaik keamanan. Gunakan identitas terkelola untuk sumber daya Azure untuk membiarkan pod mengautentikasi dirinya sendiri terhadap layanan apa pun di Azure yang mendukungnya, termasuk Azure Key Vault. Pod ini diberi Azure Identity untuk diautentikasi ke Azure Active Directory (Azure AD) dan menerima token digital yang dapat disajikan ke layanan Azure lainnya yang memeriksa apakah pod diberikan otorisasi untuk mengakses layanan dan melakukan tindakan yang diperlukan.

Perhatikan bahwa identitas yang dikelola Pod hanya ditujukan untuk digunakan dengan pod Linux dan container gambar. Provisikan Azure Key Vault untuk menyimpan dan mengambil kunci dan kredensial digital. Kunci seperti yang digunakan untuk mengenkripsi disk OS, data kluster AKS dapat disimpan di Azure Key Vault.

Perwakilan layanan juga dapat digunakan dalam kluster AKS. Namun, kluster yang menggunakan perwakilan layanan akhirnya dapat mencapai keadaan di mana perwakilan layanan harus diperbarui untuk menjaga kluster tetap bekerja. Mengelola perwakilan layanan menambah kompleksitas, itulah sebabnya lebih mudah untuk menggunakan identitas terkelola sebagai gantinya. Persyaratan izin yang sama berlaku untuk kedua perwakilan layanan dan identitas terkelola.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai Kredensial juga akan mendorong pemindaian kredensial yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault dengan rekomendasi.

Batasi paparan kredensial dengan tidak mendefinisikan kredensial dalam kode aplikasi Anda. dan hindari penggunaan kredensial bersama. Azure Key Vault harus digunakan untuk menyimpan dan mengambil kunci digital dan kredensial digital. Gunakan identitas terkelola untuk sumber daya Azure untuk memungkinkan pod meminta akses ke sumber daya lain.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.1: Menggunakan perangkat lunak anti-malware yang dikelola secara terpusat

Panduan: AKS mengelola siklus hidup dan operasi node agen atas nama Anda - memodifikasi sumber daya IaaS yang terkait dengan node agen tidak didukung. Namun, untuk node Linux Anda dapat menggunakan daemon set untuk menginstal perangkat lunak kustom seperti solusi anti-malware.

Tanggung Jawab: Dibagikan

8.2: Lakukan pemindaian terlebih dahulu pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan: Pra-pindai file apa pun yang diunggah ke sumber daya AKS Anda. Gunakan deteksi ancaman Microsoft Defender untuk Cloud untuk layanan data guna mendeteksi malware yang diunggah ke akun penyimpanan jika menggunakan Akun Azure Storage sebagai penyimpanan data atau untuk melacak status Terraform untuk kluster AKS Anda.

Tanggung Jawab: Pelanggan

8.3: Memastikan perangkat lunak dan anti-malware diperbarui

Panduan: AKS mengelola siklus hidup dan operasi node agen atas nama Anda - memodifikasi sumber daya IaaS yang terkait dengan node agen tidak didukung. Namun, untuk node Linux Anda dapat menggunakan daemon set untuk menginstal perangkat lunak kustom seperti solusi anti-malware.

Tanggung Jawab: Dibagikan

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan otomatis reguler

Panduan: Cadangkan data Anda menggunakan alat yang sesuai untuk jenis penyimpanan Anda seperti Velero, yang dapat mencadangkan volume persisten bersama dengan sumber daya dan konfigurasi kluster tambahan. Secara berkala, verifikasi integritas, dan keamanan, dari cadangan tersebut.

Hapus status dari aplikasi Anda sebelum pencadangan. Dalam kasus jika hal ini tidak dapat dilakukan, cadangkan data dari volume persisten dan uji operasi pemulihan secara teratur untuk memverifikasi integritas data dan proses yang diperlukan.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan cadangkan kunci yang dikelola pelanggan

Panduan: Cadangkan data Anda menggunakan alat yang sesuai untuk jenis penyimpanan Anda seperti Velero, yang dapat mencadangkan volume persisten bersama dengan sumber daya dan konfigurasi kluster tambahan.

Lakukan pencadangan otomatis reguler dari Sertifikat Key Vault, Kunci, Akun Penyimpanan Terkelola, dan Rahasia Anda, dengan perintah PowerShell berikut.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Lakukan pemulihan data konten dalam Velero Backup secara berkala. Jika perlu, uji pemulihan ke jaringan virtual yang terisolasi.

Lakukan restorasi data secara berkala dari Sertifikat Key Vault, Kunci, Akun Penyimpanan Terkelola, dan Rahasia Anda, dengan perintah PowerShell berikut:

Tanggung Jawab: Pelanggan

9.4: Memastikan adanya perlindungan cadangan dan kunci yang dikelola pelanggan

Panduan: Cadangkan data Anda menggunakan alat yang sesuai untuk jenis penyimpanan Anda seperti Velero, yang dapat mencadangkan volume persisten bersama dengan sumber daya dan konfigurasi kluster tambahan.

Aktifkan Penghapusan Sementara Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya jika Azure Key Vault digunakan untuk penyebaran Azure Kubernetes Service (AKS).

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Prioritaskan peringatan mana yang harus diselidiki terlebih dahulu dengan Microsoft Defender untuk Cloud yang menetapkan tingkat keparahan untuk peringatan. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk mengeluarkan peringatan serta tingkat kepercayaan bahwa ada niat jahat di balik aktivitas yang menyebabkan peringatan tersebut. Tandai langganan dengan jelas (misalnya, produksi, non-produksi) dan buat sistem penamaan untuk mengidentifikasi dan mengkategorikan sumber daya Azure dengan jelas.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam ritme biasa. Identifikasi titik lemah dan celah dan revisi rencana respons insiden sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang.

Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Ekspor peringatan dan rekomendasi Microsoft Defender untuk Cloud menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan.

Pilih konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel, sesuai kebutuhan dan berdasarkan persyaratan bisnis organisasi.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi sumber daya Azure secara rutin dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Microsoft untuk memastikan Uji Penetrasi Anda tidak melanggar kebijakan Microsoft. Informasi tambahan tentang strategi Microsoft dan pelaksanaan Tim Merah dan pengujian penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi awan yang dikelola Microsoft di tautan yang direferensikan.

Tanggung Jawab: Bersama

Langkah berikutnya