Punkt odniesienia zabezpieczeń platformy Azure dla Azure Kubernetes Service

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do platformy Azure Kubernetes. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Kubernetes.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Azure Kubernetes Service lub za które ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby dowiedzieć się, jak Azure Kubernetes Service całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Kubernetes Service.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Domyślnie sieciowa grupa zabezpieczeń i tabela tras są tworzone automatycznie przy użyciu tworzenia klastra microsoft Azure Kubernetes Service (AKS). Usługa AKS automatycznie modyfikuje sieciowe grupy zabezpieczeń dla odpowiedniego przepływu ruchu w miarę tworzenia usług przy użyciu modułów równoważenia obciążenia, mapowań portów lub tras ruchu przychodzącego. Sieciowa grupa zabezpieczeń jest automatycznie skojarzona z wirtualnymi kartami sieciowymi w węzłach klienta i tabelą tras z podsiecią w sieci wirtualnej.

Zasady sieciowe usługi AKS umożliwiają ograniczenie ruchu sieciowego przez zdefiniowanie reguł ruchu przychodzącego i wychodzącego między zasobnikami systemu Linux w klastrze w oparciu o wybór przestrzeni nazw i selektorów etykiet. Użycie zasad sieciowych wymaga wtyczki CNI platformy Azure ze zdefiniowaną siecią wirtualną i podsieciami i można je włączyć tylko podczas tworzenia klastra. Nie można ich wdrożyć w istniejącym klastrze usługi AKS.

Możesz zaimplementować prywatny klaster usługi AKS, aby zapewnić ruch sieciowy między serwerem interfejsu API usługi AKS i pulami węzłów pozostaje tylko w sieci prywatnej. Płaszczyzna sterowania lub serwer interfejsu API znajdują się w subskrypcji platformy Azure zarządzanej przez usługę AKS i używają wewnętrznych (RFC1918) adresów IP, podczas gdy pula klastrów lub węzłów klienta znajduje się we własnej subskrypcji. Serwer i pula klastrów lub węzłów komunikują się ze sobą przy użyciu usługi Azure Private Link w sieci wirtualnej serwera interfejsu API i prywatnego punktu końcowego uwidocznionego w podsieci klastra usługi AKS klienta. Alternatywnie należy użyć publicznego punktu końcowego dla serwera interfejsu API usługi AKS, ale ograniczyć dostęp do funkcji Autoryzowane zakresy adresów IP serwera interfejsu API usługi AKS.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ContainerService:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. Inspekcja, Wyłączone 2.0.1

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Wskazówki: Użyj usługi Microsoft Defender for Cloud i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby zabezpieczyć zasoby sieciowe używane przez klastry Azure Kubernetes Service (AKS).

Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta usługi Azure Storage na potrzeby inspekcji. Możesz również wysłać dzienniki przepływu do obszaru roboczego usługi Log Analytics, a następnie użyć usługi Traffic Analytics, aby zapewnić wgląd w wzorce ruchu w chmurze platformy Azure, aby wizualizować aktywność sieciową, identyfikować punkty aktywne i zagrożenia bezpieczeństwa, rozumieć wzorce przepływu ruchu i wskazywać błędy konfiguracji sieci.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: Użyj Azure Application Gateway włączonej Web Application Firewall (WAF) przed klastrem usługi AKS, aby zapewnić dodatkową warstwę zabezpieczeń przez filtrowanie ruchu przychodzącego do aplikacji internetowych. Zapora aplikacji internetowej platformy Azure używa zestawu reguł udostępnianych przez program Open Web Application Security Project (OWASP) do ataków, takich jak wykonywanie skryptów między witrynami lub zatrucie plików cookie przed tym ruchem.

Użyj bramy interfejsu API do uwierzytelniania, autoryzacji, ograniczania przepustowości, buforowania, przekształcania i monitorowania interfejsów API używanych w środowisku usługi AKS. Brama interfejsu API służy jako brama frontonu do mikrousług, oddziela klientów od mikrousług i zmniejsza złożoność mikrousług, usuwając obciążenie związane z obsługą problemów związanych z cięciem krzyżowym.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Włącz ochronę standardową typu "odmowa usługi" (DDoS) firmy Microsoft w sieciach wirtualnych, w których składniki Azure Kubernetes Service (AKS) są wdrażane w celu ochrony przed atakami DDoS.

Zainstaluj aparat zasad sieciowych i utwórz zasady sieci Kubernetes, aby kontrolować przepływ ruchu między zasobnikami w usłudze AKS, ponieważ domyślnie cały ruch jest dozwolony między tymi zasobnikami. Zasady sieciowe powinny być używane tylko dla węzłów i zasobników opartych na systemie Linux w usłudze AKS. Zdefiniuj reguły ograniczające komunikację zasobnika w celu zwiększenia bezpieczeństwa.

Wybierz opcję zezwalania na ruch lub odmawiania go na podstawie ustawień, takich jak przypisane etykiety, przestrzeń nazw lub port ruchu. Wymagane zasady sieciowe można automatycznie stosować, gdy zasobniki są tworzone dynamicznie w klastrze usługi AKS.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: użyj funkcji przechwytywania pakietów Network Watcher zgodnie z wymaganiami do badania nietypowych działań.

Network Watcher jest włączana automatycznie w regionie sieci wirtualnej podczas tworzenia lub aktualizowania sieci wirtualnej w ramach subskrypcji. Możesz również tworzyć nowe wystąpienia Network Watcher przy użyciu programu PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub metody klienta usługi Azure Resource Manager

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: Zabezpieczanie klastra Azure Kubernetes Service (AKS) przy użyciu Azure Application Gateway włączonego za pomocą zapory aplikacji Web Application Firewall internetowej (WAF).

Jeśli wykrywanie włamań i/lub zapobieganie na podstawie inspekcji ładunku lub analizy zachowań nie jest wymagane, Azure Application Gateway z zaporą aplikacji internetowej można używać i konfigurować w trybie wykrywania w celu rejestrowania alertów i zagrożeń lub "trybu zapobiegania", aby aktywnie blokować wykryte włamania i ataki.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń skojarzonych z wystąpieniami usługi Azure Kubernetes Service (AKS). Tagi usług mogą być używane zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń, aby zezwolić na ruch dla odpowiedniej usługi lub go odrzucić, określając nazwę tagu usługi.

Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Zastosuj tag platformy Azure do pul węzłów w klastrze usługi AKS. Różnią się one od tagów usługi sieci wirtualnej i są stosowane do każdego węzła w puli węzłów i utrwalane przez uaktualnienia.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń przy użyciu Azure Policy dla zasobów sieciowych skojarzonych z klastrami Azure Kubernetes Service (AKS).

Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.ContainerService" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci klastrów usługi AKS.

Ponadto użyj wbudowanych definicji zasad związanych z usługą AKS, takich jak:

  • Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services

  • Wymuszaj ruch przychodzący HTTPS w klastrze Kubernetes

  • Upewnij się, że usługi nasłuchują tylko na dozwolonych portach w klastrze Kubernetes

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów dla przepływu ruchu do i z klastrów Azure Kubernetes Service (AKS). Użyj pola "Opis" dla poszczególnych reguł sieciowej grupy zabezpieczeń, aby określić potrzebę biznesową i/lub czas trwania itd. dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Użyj dowolnej z wbudowanych definicji związanych z tagowaniem Azure Policy, na przykład "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i otrzymywać powiadomienia o istniejących nieoznakowanych zasobach.

Wybierz opcję zezwalania lub odrzucania określonych ścieżek sieciowych w klastrze na podstawie przestrzeni nazw i selektorów etykiet z zasadami sieciowymi. Użyj tych przestrzeni nazw i etykiet jako deskryptorów dla reguł konfiguracji ruchu. Użyj interfejsu wiersza polecenia platformy Azure Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z klastrami Azure Kubernetes Service (AKS).

Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych. Wszystkie wpisy użytkownika usługi AzureContainerService w dziennikach aktywności są rejestrowane jako akcje platformy.

Użyj dzienników usługi Azure Monitor, aby włączyć i wysyłać zapytania do dzienników z usługi AKS składników głównych, kube-apiserver i kube-controller-manager. Utwórz węzły kubelet i zarządzaj nimi przy użyciu środowiska uruchomieniowego kontenera i wdrażaj aplikacje za pośrednictwem zarządzanego serwera interfejsu API Kubernetes.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.1. Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: węzły Azure Kubernetes Service (AKS) używają ntp.ubuntu.com do synchronizacji czasu wraz z portem UDP 123 i protokołem NTP (Network Time Protocol).

Upewnij się, że serwery NTP są dostępne dla węzłów klastra, jeśli używasz niestandardowych serwerów DNS.

Odpowiedzialność: Współużytkowane

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: Włączanie dzienników inspekcji z głównych składników usługi Azure Kubernetes Services (AKS), kube-apiserver i kube-controller-manager, które są udostępniane jako usługa zarządzana.

  • kube-auditaksService: nazwa wyświetlana w dzienniku inspekcji dla operacji płaszczyzny sterowania (z hcpService)

  • masterclient: nazwa wyświetlana w dzienniku inspekcji dla klasy MasterClientCertificate, certyfikat otrzymany z polecenia az aks get-credentials

  • nodeclient: nazwa wyświetlana clientCertificate, która jest używana przez węzły agenta

Włącz również inne dzienniki inspekcji, takie jak kube-audit.

Wyeksportuj te dzienniki do usługi Log Analytics lub innej platformy magazynu. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Włącz i dołączaj te dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy na podstawie wymagań biznesowych organizacji.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Użyj dzienników aktywności, aby monitorować akcje dotyczące zasobów Azure Kubernetes Service (AKS), aby wyświetlić wszystkie działania i ich stan. Ustal, jakie operacje zostały wykonane na zasobach w subskrypcji przy użyciu dzienników aktywności:

  • kto rozpoczął operację
  • kiedy wystąpiła operacja
  • stan operacji
  • wartości innych właściwości, które mogą pomóc w badaniu operacji

Pobierz informacje z dziennika aktywności za pośrednictwem Azure PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST platformy Azure lub Azure Portal.

Włącz dzienniki inspekcji w składnikach głównych usługi AKS, takich jak:

  • kube-auditaksService: nazwa wyświetlana w dzienniku inspekcji dla operacji płaszczyzny sterowania (z hcpService)

  • masterclient: nazwa wyświetlana w dzienniku inspekcji dla klasy MasterClientCertificate, certyfikat otrzymany z polecenia az aks get-credentials

  • nodeclient: nazwa wyświetlana clientCertificate, która jest używana przez węzły agenta

Włącz również inne dzienniki inspekcji, takie jak kube-audit.

Odpowiedzialność: Klient

2.4. Zbieranie dzienników zabezpieczeń z systemów operacyjnych

Wskazówki: Włączanie automatycznej instalacji agentów usługi Log Analytics na potrzeby zbierania danych z węzłów klastra usługi AKS. Ponadto włącz automatyczną aprowizację agenta monitorowania usługi Azure Log Analytics z usługi Microsoft Defender for Cloud, ponieważ domyślnie automatyczna aprowizacja jest wyłączona. Agent można również zainstalować ręcznie. Dzięki automatycznej aprowizacji usługa Microsoft Defender for Cloud wdraża agenta usługi Log Analytics na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych.

Usługa Microsoft Defender for Cloud zbiera dane z usługi Azure Virtual Machines (VM), zestawów skalowania maszyn wirtualnych i kontenerów IaaS, takich jak węzły klastra Kubernetes, w celu monitorowania luk w zabezpieczeniach i zagrożeń. Dane są zbierane przy użyciu agenta usługi Azure Log Analytics, który odczytuje różne konfiguracje i dzienniki zdarzeń związanych z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego na potrzeby analizy.

Zbieranie danych jest wymagane w celu zapewnienia wglądu w brakujące aktualizacje, nieprawidłowo skonfigurowane ustawienia zabezpieczeń systemu operacyjnego, stan ochrony punktu końcowego oraz wykrywanie kondycji i zagrożeń.

Odpowiedzialność: Współużytkowane

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: dołącz wystąpienia Azure Kubernetes Service (AKS) do usługi Azure Monitor i ustaw odpowiedni okres przechowywania obszaru roboczego usługi Azure Log Analytics zgodnie z wymaganiami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: dołączanie wystąpień Azure Kubernetes Service (AKS) do usługi Azure Monitor i konfigurowanie ustawień diagnostycznych dla klastra.

Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor, aby przejrzeć dzienniki i wykonywać zapytania dotyczące danych dzienników. Dzienniki usługi Azure Monitor są włączone i zarządzane w Azure Portal lub za pośrednictwem interfejsu wiersza polecenia oraz działają zarówno z kontrolą dostępu opartą na rolach platformy Kubernetes (Kubernetes RBAC), kontrolą dostępu na podstawie ról platformy Azure i klastrami AKS z włączoną kontrolą dostępu opartą na rolach.

Wyświetl dzienniki generowane przez składniki główne usługi AKS (kube-apiserver i kube-controllermanager), aby rozwiązać problemy z aplikacją i usługami. Włączanie i dołączanie danych do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy w celu scentralizowanego zarządzania dziennikami i monitorowania.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: użyj Azure Kubernetes Service (AKS) razem z usługą Microsoft Defender for Cloud, aby uzyskać lepszy wgląd w węzły usługi AKS.

Przejrzyj alerty usługi Microsoft Defender for Cloud dotyczące zagrożeń i złośliwych działań wykrytych na hoście i na poziomie klastra. Usługa Microsoft Defender for Cloud implementuje ciągłą analizę nieprzetworzonych zdarzeń zabezpieczeń występujących w klastrze usługi AKS, takich jak dane sieciowe, tworzenie procesów i dziennik inspekcji platformy Kubernetes. Ustal, czy to działanie jest oczekiwane, czy aplikacja działa nieprawidłowo. Użyj metryk i dzienników w usłudze Azure Monitor, aby uzasadnić wyniki.

Odpowiedzialność: Klient

2.8: Scentralizowane rejestrowanie chroniące przed złośliwym oprogramowaniem

Wskazówki: Instalowanie i włączanie ochrony przed złośliwym oprogramowaniem firmy Microsoft dla platformy Azure w celu Azure Kubernetes Service (AKS) maszyn wirtualnych i węzłów zestawu skalowania maszyn wirtualnych. Przejrzyj alerty w usłudze Microsoft Defender for Cloud w celu skorygowania.

Odpowiedzialność: Klient

2.9: Włączanie rejestrowania zapytań DNS

Wskazówki: Azure Kubernetes Service (AKS) używa projektu CoreDNS do zarządzania i rozpoznawania nazw DNS klastra.

Włącz rejestrowanie zapytań DNS, stosując udokumentowaną konfigurację w obiekcie coredns-custom ConfigMap.

Odpowiedzialność: Klient

2.10: Włączanie rejestrowania inspekcji wiersza polecenia

Wskazówki: Użyj narzędzia kubectl, klienta wiersza polecenia w usłudze Azure Kubernetes Service (AKS), aby zarządzać klastrem Kubernetes i pobierać dzienniki z węzła usługi AKS na potrzeby rozwiązywania problemów. Narzędzie Kubectl jest już zainstalowane, jeśli używasz usługi Azure Cloud Shell. Aby zainstalować narzędzie kubectl lokalnie, użyj polecenia cmdlet "Install-AzAksKubectl".

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: sam Azure Kubernetes Service (AKS) nie zapewnia rozwiązania do zarządzania tożsamościami, które przechowuje zwykłe konta użytkowników i hasła. Dzięki integracji usługi Azure Active Directory (Azure AD) można udzielić użytkownikom lub grupom dostępu do zasobów Kubernetes w przestrzeni nazw lub w klastrze.

Wykonywanie zapytań ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych usługi AKS przy użyciu modułu Azure AD PowerShell

Użyj interfejsu wiersza polecenia platformy Azure do wykonywania operacji, takich jak "Uzyskiwanie poświadczeń dostępu dla zarządzanego klastra Kubernetes", aby regularnie pomagać w uzgadnianiu dostępu. Zaimplementuj ten proces, aby zachować zaktualizowany spis kont usług, które są innym podstawowym typem użytkownika w usłudze AKS. Wymuszanie zaleceń usługi Microsoft Defender for Cloud dotyczących zarządzania tożsamościami i dostępem.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Azure Kubernetes Service (AKS) nie ma pojęcia typowych haseł domyślnych i nie zapewnia rozwiązania do zarządzania tożsamościami, w którym można przechowywać zwykłe konta użytkowników i hasła. Dzięki integracji usługi Azure Active Directory (Azure AD) można udzielić dostępu opartego na rolach do zasobów usługi AKS w przestrzeni nazw lub w klastrze.

Wykonywanie zapytań ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych usługi AKS przy użyciu modułu Azure AD PowerShell

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Integrowanie uwierzytelniania użytkowników dla klastrów Azure Kubernetes Service (AKS) z usługą Azure Active Directory (Azure AD). Zaloguj się do klastra usługi AKS przy użyciu tokenu uwierzytelniania Azure AD. Skonfiguruj kontrolę dostępu opartą na rolach (RBAC) platformy Kubernetes na potrzeby dostępu administracyjnego do informacji i uprawnień konfiguracji kubernetes (kubeconfig), przestrzeni nazw i zasobów klastra.

Tworzenie zasad i procedur dotyczących korzystania z dedykowanych kont administracyjnych. Implementowanie zaleceń usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego w usłudze Azure Active Directory

Wskazówki: Używanie logowania jednokrotnego dla usługi Azure Kubernetes Service (AKS) przy użyciu zintegrowanego uwierzytelniania usługi Azure Active Directory (Azure AD) dla klastra usługi AKS.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Integrowanie uwierzytelniania dla usługi Azure Kubernetes Service (AKS) z usługą Azure Active Directory (Azure AD).

Włącz Azure AD uwierzytelnianie wieloskładnikowe i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych

Wskazówka: Użyj stacji roboczej z dostępem uprzywilejowanym (PAW) z usługą Multi-Factor Authentication (MFA), skonfigurowanej do logowania się do określonych klastrów Azure Kubernetes Service (AKS) i powiązanych zasobów.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Korzystanie z raportów zabezpieczeń usługi Azure Active Directory (Azure AD) z uwierzytelnianiem zintegrowanym z Azure AD na potrzeby Azure Kubernetes Service (AKS). Alerty mogą być generowane, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie. Monitorowanie działań związanych z tożsamościami i dostępem za pomocą usługi Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówka: Użyj nazwanych lokalizacji dostępu warunkowego, aby zezwolić na dostęp do klastrów Azure Kubernetes Service (AKS) tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów. Wymaga to zintegrowanego uwierzytelniania dla usługi AKS z usługą Azure Active Directory (Azure AD).

Ogranicz dostęp do serwera interfejsu API usługi AKS z ograniczonego zestawu zakresów adresów IP, ponieważ odbiera żądania wykonania akcji w klastrze w celu utworzenia zasobów lub skalowania liczby węzłów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji dla usługi Azure Kubernetes Service (AKS). Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych, skrótów i bezpiecznego przechowywania poświadczeń użytkownika.

Używanie wbudowanych ról usługi AKS z kontrolą dostępu opartą na rolach platformy Azure (Azure RBAC) — Współautor i Właściciel zasad zasobów na potrzeby operacji przypisywania zasad do klastra Kubernetes

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Korzystanie z raportów zabezpieczeń usługi Azure Active Directory (Azure AD) z uwierzytelnianiem zintegrowanym z Azure AD na potrzeby Azure Kubernetes Service (AKS). Wyszukaj dzienniki Azure AD, aby ułatwić odnajdywanie nieaktualnych kont.

Wykonaj przeglądy dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Korygowanie zaleceń dotyczących tożsamości i dostępu z usługi Microsoft Defender dla Chmury.

Należy pamiętać o rolach używanych do celów pomocy technicznej lub rozwiązywania problemów. Na przykład wszystkie akcje klastra podejmowane przez pomoc techniczną firmy Microsoft (z zgodą użytkownika) są wykonywane w ramach wbudowanej roli "edytuj" platformy Kubernetes o nazwie aks-support-rolebinding. Obsługa usługi AKS jest włączona z tą rolą w celu edytowania konfiguracji klastra i zasobów w celu rozwiązywania i diagnozowania problemów z klastrem. Jednak ta rola nie może modyfikować uprawnień ani tworzyć ról ani powiązań ról. Dostęp do tej roli jest włączony tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: Integrowanie uwierzytelniania użytkowników dla usługi Azure Kubernetes Service (AKS) z usługą Azure Active Directory (Azure AD). Utwórz ustawienia diagnostyczne dla Azure AD, wysyłając dzienniki inspekcji i logowania do obszaru roboczego usługi Azure Log Analytics. Skonfiguruj żądane alerty (np. gdy dezaktywowane konto próbuje się zalogować) w obszarze roboczym usługi Azure Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania konta

Wskazówki: integrowanie uwierzytelniania użytkowników dla Azure Kubernetes Service (AKS) z usługą Azure Active Directory (Azure AD). Użyj funkcji wykrywania ryzyka i ochrony tożsamości Azure AD, aby skonfigurować automatyczne odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Pozyskiwanie danych do usługi Microsoft Sentinel w celu przeprowadzenia dalszych badań na podstawie potrzeb biznesowych.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: używanie tagów dotyczących zasobów związanych z wdrożeniami Azure Kubernetes Service (AKS), aby ułatwić śledzenie zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: Logicznie izoluj zespoły i obciążenia w tym samym klastrze z Azure Kubernetes Service (AKS), aby zapewnić najmniejszą liczbę uprawnień, zakres zasobów wymaganych przez każdy zespół.

Użyj przestrzeni nazw na platformie Kubernetes, aby utworzyć granicę izolacji logicznej. Rozważ zaimplementowanie dodatkowych funkcji platformy Kubernetes na potrzeby izolacji i wielu dzierżaw, takich jak planowanie, sieć, uwierzytelnianie/autoryzacja i kontenery.

Zaimplementuj oddzielne subskrypcje i/lub grupy zarządzania dla środowisk programistycznych, testowych i produkcyjnych. Oddzielaj klastry usługi AKS z siecią, wdrażając je w różnych sieciach wirtualnych, które są odpowiednio oznakowane.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: Użyj rozwiązania innej firmy z Azure Marketplace na obwodach sieci, które monitoruje nieautoryzowany transfer poufnych informacji i blokuje takie transfery podczas zgłaszania alertów specjalistom ds. zabezpieczeń informacji.

Firma Microsoft zarządza podstawową platformą i traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: utwórz kontroler ruchu przychodzącego HTTPS i użyj własnych certyfikatów TLS (lub opcjonalnie, Let's Encrypt) dla wdrożeń Azure Kubernetes Service (AKS).

Ruch wychodzący kubernetes jest domyślnie szyfrowany za pośrednictwem protokołu HTTPS/TLS. Przejrzyj potencjalnie niezaszyfrowany ruch wychodzący z wystąpień usługi AKS, aby uzyskać dodatkowe monitorowanie. Może to obejmować ruch NTP, ruch DNS, ruch HTTP do pobierania aktualizacji w niektórych przypadkach.

Odpowiedzialność: Klient

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla usługi Azure Storage ani zasobów obliczeniowych. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności. Firma Microsoft zarządza podstawową platformą i traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów.

Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.6: Zarządzanie dostępem do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: użyj systemu autoryzacji opartej na rolach platformy Azure (RBAC) opartego na rolach platformy Azure opartego na Resource Manager, aby zapewnić szczegółowe zarządzanie dostępem do zasobów platformy Azure.

Skonfiguruj Azure Kubernetes Service (AKS) do korzystania z usługi Azure Active Directory (Azure AD) na potrzeby uwierzytelniania użytkowników. Zaloguj się do klastra usługi AKS przy użyciu tokenu uwierzytelniania Azure AD przy użyciu tej konfiguracji.

Używanie wbudowanych ról usługi AKS z kontrolą dostępu opartą na rolach platformy Azure — współautorem zasad zasobów i właścicielem w celu wykonywania operacji przypisywania zasad do klastra usługi AKS

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ContainerService:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Access Control oparte na rolach (RBAC) powinny być używane w usługach Kubernetes Services Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj Role-Based Access Control (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i skonfigurować odpowiednie zasady autoryzacji. Inspekcja, Wyłączone 1.0.2

4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla usługi Azure Storage ani zasobów obliczeniowych. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności. Firma Microsoft zarządza podstawową platformą i traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: dwa podstawowe typy magazynu udostępniane dla woluminów w usłudze Azure Kubernetes Service (AKS) są obsługiwane przez usługę Azure Disks lub Azure Files. Oba typy magazynu używają usługi Azure Storage Service Encryption (SSE), która szyfruje dane magazynowane w celu zwiększenia bezpieczeństwa. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta jest dostępne do szyfrowania zarówno dysków systemu operacyjnego, jak i danych w klastrach usługi AKS w celu uzyskania dodatkowej kontroli nad kluczami szyfrowania. Klienci są właścicielami odpowiedzialności za działania związane z zarządzaniem kluczami, takie jak tworzenie kopii zapasowych kluczy i rotacja. Dyski nie mogą być obecnie szyfrowane przy użyciu usługi Azure Disk Encryption na poziomie węzła usługi AKS.

Odpowiedzialność: Współużytkowane

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: używanie usługi Azure Monitor dla kontenerów do monitorowania wydajności obciążeń kontenerów wdrożonych w zarządzanych klastrach Kubernetes hostowanych w usłudze Azure Kubernetes Service (AKS).

Skonfiguruj alerty dotyczące proaktywnego tworzenia powiadomień lub dzienników, gdy użycie procesora CPU i pamięci w węzłach lub kontenerach przekracza zdefiniowane progi lub gdy zmiana stanu kondycji wystąpi w klastrze w zestawie kondycji infrastruktury lub węzłów.

Użyj dziennika aktywności platformy Azure, aby monitorować klastry usługi AKS i powiązane zasoby na wysokim poziomie. Integracja z rozwiązaniem Prometheus w celu wyświetlania metryk aplikacji i obciążenia zbieranych z węzłów i platformy Kubernetes przy użyciu zapytań w celu tworzenia niestandardowych alertów, pulpitów nawigacyjnych i szczegółowej analizy.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: korzystanie z usługi Microsoft Defender for Cloud do monitorowania Azure Container Registry, w tym wystąpień Azure Kubernetes Service (AKS) pod kątem luk w zabezpieczeniach. Włącz pakiet Rejestry kontenerów w usłudze Microsoft Defender for Cloud, aby upewnić się, że usługa Microsoft Defender for Cloud jest gotowa do skanowania obrazów wypychanych do rejestru.

Otrzymuj powiadomienia na pulpicie nawigacyjnym usługi Microsoft Defender for Cloud po znalezieniu problemów po skanowaniu obrazu za pomocą rozwiązania Qualys w usłudze Microsoft Defender for Cloud. Funkcja pakietu Rejestry kontenerów zapewnia lepszy wgląd w luki w zabezpieczeniach obrazów używanych w rejestrach opartych na usłudze Azure Resource Manager.

Użyj usługi Microsoft Defender for Cloud, aby uzyskać zalecenia umożliwiające podejmowanie działań dla każdej luki w zabezpieczeniach. Zalecenia te obejmują klasyfikację ważności i wskazówki dotyczące korygowania.

Odpowiedzialność: Klient

5.2. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami systemu operacyjnego

Wskazówki: Aktualizacje zabezpieczeń są automatycznie stosowane do węzłów systemu Linux w celu ochrony klastrów Azure Kubernetes Service klienta (AKS). Te aktualizacje obejmują poprawki zabezpieczeń systemu operacyjnego lub aktualizacje jądra.

Należy pamiętać, że proces aktualizowania węzłów systemu Windows Server różni się od węzłów z systemem Linux, ponieważ węzły serwera systemu Windows nie odbierają codziennych aktualizacji. Zamiast tego klienci muszą przeprowadzić uaktualnienie w pulach węzłów systemu Windows Server w klastrach usługi AKS, które wdrażają nowe węzły z najnowszym podstawowym obrazem systemu Windows Server i poprawkami przy użyciu panelu sterowania platformy Azure lub interfejsu wiersza polecenia platformy Azure. Te aktualizacje zawierają ulepszenia zabezpieczeń lub funkcjonalności usługi AKS.

Odpowiedzialność: Klient

5.3. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami dla tytułów oprogramowania innych firm

Wskazówki: Zaimplementuj proces ręczny, aby zapewnić, że aplikacje innych firm innych firm w węźle klastra Azure Kubernetes Service (AKS) pozostaną poprawkami w okresie istnienia klastra. Może to wymagać włączenia automatycznych aktualizacji, monitorowania węzłów lub przeprowadzania okresowych ponownych uruchomień.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ContainerService:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługi Kubernetes Services powinny zostać uaktualnione do wersji platformy Kubernetes, która nie jest podatna na zagrożenia Uaktualnij klaster usługi Kubernetes do nowszej wersji platformy Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji platformy Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w usłudze Kubernetes w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ Inspekcja, Wyłączone 1.0.2

5.4. Porównanie skanów luk w zabezpieczeniach z powrotem

Wskazówki: Eksportowanie wyników skanowania usługi Microsoft Defender for Cloud w spójnych odstępach czasu i porównanie wyników w celu sprawdzenia, czy luki w zabezpieczeniach zostały skorygowane.

Użyj polecenia cmdlet programu PowerShell "Get-AzSecurityTask", aby zautomatyzować pobieranie zadań zabezpieczeń, które zaleca usługa Microsoft Defender for Cloud, aby zwiększyć stan zabezpieczeń i wyniki skanowania luk w zabezpieczeniach.

Odpowiedzialność: Klient

5.5. Użyj procesu oceny ryzyka, aby określić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: użyj oceny ważności udostępnianej przez usługę Microsoft Defender for Cloud, aby określić priorytety korygowania luk w zabezpieczeniach.

Użyj wspólnego systemu oceniania luk w zabezpieczeniach (CVSS) (lub innego systemu oceniania zgodnie z narzędziem do skanowania), jeśli korzystasz z wbudowanego narzędzia do oceny luk w zabezpieczeniach (takiego jak Qualys lub Rapid7, oferowanego przez platformę Azure).

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Używanie usługi Azure Resource Graph do wykonywania zapytań i odnajdywania wszystkich zasobów (takich jak obliczenia, magazyn, sieć itd.) w ramach subskrypcji. Upewnij się, że masz odpowiednie (odczyt) uprawnienia w dzierżawie i możesz wyliczyć wszystkie subskrypcje platformy Azure oraz zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów opartych na usłudze Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów platformy Azure z metadanymi w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów.

Zastosuj znaki, etykiety lub tagi podczas tworzenia puli węzłów Azure Kubernetes Service (AKS). Wszystkie węzły w tej puli węzłów będą również dziedziczyć ten znak, etykietę lub tag.

Taints, etykiety lub tagi mogą służyć do regularnego uzgadniania spisu i zapewnienia, że nieautoryzowane zasoby zostaną usunięte z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Definiowanie listy zatwierdzonych zasobów platformy Azure i zatwierdzonego oprogramowania dla zasobów obliczeniowych na podstawie potrzeb biznesowych organizacji.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Użyj usługi Azure Resource Graph, aby wykonywać zapytania o zasoby w ramach subskrypcji i odnajdywać je. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku są zatwierdzane na podstawie wymagań biznesowych organizacji.

Odpowiedzialność: Klient

6.6: Monitorowanie niezatwierdzonych aplikacji oprogramowania w ramach zasobów obliczeniowych

Wskazówki: użyj funkcji Azure Automation Śledzenie zmian i spis, aby dowiedzieć się, jakie oprogramowanie jest zainstalowane w danym środowisku.

Zbieranie i wyświetlanie spisu oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows na komputerach oraz monitorowanie niezatwierdzonych aplikacji oprogramowania.

Śledź konfiguracje maszyn, aby pomóc w określeniu problemów operacyjnych w środowisku i lepiej zrozumieć stan maszyn.

Odpowiedzialność: Klient

6.7: Usuwanie niezatwierdzonych zasobów platformy Azure i aplikacji oprogramowania

Wskazówki: użyj funkcji Azure Automation Śledzenie zmian i spis, aby dowiedzieć się, jakie oprogramowanie jest zainstalowane w danym środowisku.

Zbieranie i wyświetlanie spisu oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows na komputerach oraz monitorowanie niezatwierdzonych aplikacji oprogramowania.

Śledź konfiguracje maszyn, aby pomóc w określeniu problemów operacyjnych w środowisku i lepiej zrozumieć stan maszyn.

Odpowiedzialność: Klient

6.8: Używanie tylko zatwierdzonych aplikacji

Wskazówki: użyj funkcji Azure Automation Śledzenie zmian i spis, aby dowiedzieć się, jakie oprogramowanie jest zainstalowane w danym środowisku.

Zbieranie i wyświetlanie spisu oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows na komputerach oraz monitorowanie niezatwierdzonych aplikacji oprogramowania.

Śledź konfiguracje maszyn, aby pomóc w określeniu problemów operacyjnych w środowisku i lepiej zrozumieć stan maszyn.

Włącz analizę adaptacyjnej aplikacji w usłudze Microsoft Defender for Cloud dla aplikacji, które istnieją w danym środowisku.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Użyj usługi Azure Resource Graph, aby wykonywać zapytania o zasoby w ramach subskrypcji i odnajdywać je. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku zostały zatwierdzone.

Odpowiedzialność: Klient

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach przy użyciu wbudowanych definicji zasad.

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.12: Ogranicz możliwość wykonywania skryptów przez użytkowników w zasobach obliczeniowych

Wskazówki: sam Azure Kubernetes Service (AKS) nie zapewnia rozwiązania do zarządzania tożsamościami, w którym są przechowywane zwykłe konta użytkowników i hasła. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako zintegrowanego rozwiązania tożsamości dla klastrów usługi AKS.

Udziel użytkownikom lub grupom dostępu do zasobów Kubernetes w przestrzeni nazw lub w klastrze przy użyciu integracji Azure AD.

Użyj modułu Azure AD programu PowerShell, aby regularnie wykrywać konta należące do grup administracyjnych usługi AKS i używać go do regularnego uzgadniania dostępu. Interfejs wiersza polecenia platformy Azure umożliwia wykonywanie operacji, takich jak "Uzyskiwanie poświadczeń dostępu dla zarządzanego klastra Kubernetes". Zaimplementuj zalecenia dotyczące zarządzania tożsamościami i dostępem w usłudze Microsoft Defender dla chmury.

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: Użyj funkcji Azure Kubernetes Service (AKS), aby logicznie odizolować zespoły i obciążenia w tym samym klastrze dla najmniejszej liczby uprawnień, w zakresie zasobów wymaganych przez każdy zespół.

Zaimplementuj przestrzeń nazw na platformie Kubernetes, aby utworzyć granicę izolacji logicznej. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ContainerService", aby utworzyć niestandardowe zasady do inspekcji lub wymuszenia konfiguracji wystąpień Azure Kubernetes Service (AKS).

Przejrzyj i zaimplementuj dodatkowe funkcje i zagadnienia dotyczące izolacji i wielu dzierżaw, aby uwzględnić następujące kwestie: planowanie, sieć, uwierzytelnianie/autoryzacja i kontenery. Ponadto należy używać oddzielnych subskrypcji i grup zarządzania do tworzenia, testowania i produkcji. Oddzielne klastry usługi AKS z sieciami wirtualnymi, podsieciami, które są odpowiednio oznakowane i zabezpieczone za pomocą Web Application Firewall (WAF).

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ContainerService", aby utworzyć niestandardowe zasady do inspekcji lub wymuszenia konfiguracji wystąpień Azure Kubernetes Service (AKS). Użyj wbudowanych definicji Azure Policy.

Przykłady wbudowanych definicji zasad dla usługi AKS obejmują:

  • Wymuszaj ruch przychodzący HTTPS w klastrze Kubernetes

  • Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services

  • Access Control oparte na rolach (RBAC) powinny być używane w usługach Kubernetes Services

  • Zapewnij stosowanie tylko dozwolonych obrazów kontenerów w klastrze Kubernetes

Wyeksportuj szablon konfiguracji usługi AKS w formacie JavaScript Object Notation (JSON) przy użyciu usługi Azure Resource Manager. Okresowo przejrzyj je, aby upewnić się, że te konfiguracje spełniają wymagania dotyczące zabezpieczeń organizacji. Skorzystaj z zaleceń usługi Microsoft Defender for Cloud jako bezpiecznego punktu odniesienia konfiguracji dla zasobów platformy Azure.

Odpowiedzialność: Klient

7.2. Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Klastry usługi Azure Kubernetes Clusters (AKS) są wdrażane na maszynach wirtualnych hosta przy użyciu zoptymalizowanego pod kątem zabezpieczeń systemu operacyjnego. System operacyjny hosta ma dodatkowe kroki wzmacniania zabezpieczeń włączone do niego w celu zmniejszenia obszaru podatnego na ataki i umożliwia wdrażanie kontenerów w bezpieczny sposób.

Platforma Azure stosuje codzienne poprawki (w tym poprawki zabezpieczeń) do hostów maszyn wirtualnych usługi AKS z niektórymi poprawkami wymagającymi ponownego uruchomienia. Klienci są odpowiedzialni za planowanie ponownych uruchomień hosta maszyny wirtualnej usługi AKS zgodnie z potrzebami.

Odpowiedzialność: Współużytkowane

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: Zabezpieczanie klastra Azure Kubernetes Service (AKS) przy użyciu zasad zabezpieczeń zasobnika. Ogranicz harmonogram zasobników, aby zwiększyć bezpieczeństwo klastra.

Zasobniki, które żądają zasobów, które nie są dozwolone, nie mogą być uruchamiane w klastrze usługi AKS.

Użyj również Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia dla zasobów platformy Azure związanych z wdrożeniami usługi AKS (takimi jak sieci wirtualne, podsieci, zapory platformy Azure, konta magazynu itd.).

Utwórz niestandardowe definicje Azure Policy przy użyciu aliasów z następujących przestrzeni nazw:

  • Microsoft.ContainerService

  • Microsoft.Network

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

7.4. Obsługa bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: klastry Azure Kubernetes Service (AKS) są wdrażane na maszynach wirtualnych hosta z systemem operacyjnym zoptymalizowanym pod kątem zabezpieczeń. System operacyjny hosta ma dodatkowe kroki wzmacniania zabezpieczeń włączone do niego w celu zmniejszenia obszaru podatnego na ataki i umożliwia wdrażanie kontenerów w bezpieczny sposób.

Zapoznaj się z listą kontrolek Center for Internet Security (CIS), które są wbudowane w system operacyjny hosta.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Repos, aby bezpiecznie przechowywać konfiguracje i zarządzać nimi, jeśli używasz niestandardowych definicji Azure Policy. Wyeksportuj szablon konfiguracji Azure Kubernetes Service (AKS) w formacie JavaScript Object Notation (JSON) przy użyciu usługi Azure Resource Manager. Okresowo należy je przejrzeć, aby upewnić się, że konfiguracje spełniają wymagania dotyczące zabezpieczeń organizacji.

Zaimplementuj rozwiązania innych firm, takie jak Terraform, aby utworzyć plik konfiguracji, który deklaruje zasoby dla klastra Kubernetes. Wdrożenie usługi AKS można wzmacniać, implementując najlepsze rozwiązania w zakresie zabezpieczeń i przechowując konfigurację jako kod w zabezpieczonej lokalizacji.

Odpowiedzialność: Klient

7.6. Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Wskazówki: Nie dotyczy Azure Kubernetes Service (AKS). Usługa AKS domyślnie udostępnia zoptymalizowany pod kątem zabezpieczeń system operacyjny hosta. Nie ma bieżącej opcji wyboru alternatywnego lub niestandardowego systemu operacyjnego.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach przy użyciu wbudowanych definicji zasad, a także Azure Policy aliasów w przestrzeni nazw "Microsoft.ContainerService".

Tworzenie niestandardowych zasad do inspekcji i wymuszanie konfiguracji systemu. Opracowywanie procesu i potoku do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.8. Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Wskazówki: klastry Azure Kubernetes Service (AKS) są wdrażane na maszynach wirtualnych hosta z systemem operacyjnym zoptymalizowanym pod kątem zabezpieczeń. System operacyjny hosta ma dodatkowe kroki wzmacniania zabezpieczeń włączone do niego w celu zmniejszenia obszaru podatnego na ataki i umożliwia wdrażanie kontenerów w bezpieczny sposób.

Zapoznaj się z listą kontrolek Usługi Center for Internet Security (CIS), które są wbudowane w hosty usługi AKS.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj usługi Microsoft Defender for Cloud, aby przeprowadzić skanowanie według planu bazowego dla zasobów związanych z wdrożeniami Azure Kubernetes Service (AKS). Przykłady zasobów obejmują, ale nie są ograniczone do samego klastra usługi AKS, sieci wirtualnej, w której wdrożono klaster usługi AKS, konta usługi Azure Storage używanego do śledzenia stanu programu Terraform lub wystąpień platformy Azure Key Vault używanych dla kluczy szyfrowania dla systemu operacyjnego i dysków danych klastra usługi AKS.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówki: skorzystaj z zaleceń kontenera usługi Microsoft Defender for Cloud w sekcji "Aplikacje obliczeniowe&", aby wykonać skanowanie punktów odniesienia dla klastrów Azure Kubernetes Service (AKS).

Otrzymuj powiadomienia na pulpicie nawigacyjnym usługi Microsoft Defender for Cloud po znalezieniu problemów z konfiguracją lub lukami w zabezpieczeniach. Wymaga to włączenia opcjonalnego pakietu rejestrów kontenerów, co umożliwia usłudze Microsoft Defender for Cloud skanowanie obrazu.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: integrowanie usługi Azure Key Vault z klastrem Azure Kubernetes Service (AKS) przy użyciu dysku FlexVolume. Użyj usługi Azure Key Vault do przechowywania i regularnego obracania wpisów tajnych, takich jak poświadczenia, klucze konta magazynu lub certyfikaty. Sterownik FlexVolume umożliwia klastrowi usługi AKS natywne pobieranie poświadczeń z Key Vault i bezpieczne dostarczanie ich tylko do zasobnika żądającego. Użyj tożsamości zarządzanej zasobnika, aby zażądać dostępu do Key Vault i pobrać wymagane poświadczenia za pośrednictwem sterownika FlexVolume. Upewnij się, że włączono Key Vault usuwanie nietrwałe.

Ogranicz ekspozycję poświadczeń, nie definiując poświadczeń w kodzie aplikacji.

Unikaj używania stałych lub udostępnionych poświadczeń.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: nie należy definiować poświadczeń w kodzie aplikacji jako najlepszych rozwiązań w zakresie zabezpieczeń. Użyj tożsamości zarządzanych dla zasobów platformy Azure, aby umożliwić zasobnikowi uwierzytelnienie się względem dowolnej usługi na platformie Azure, która ją obsługuje, w tym na platformie Azure Key Vault. Zasobnik ma przypisaną tożsamość platformy Azure do uwierzytelniania w usłudze Azure Active Directory (Azure AD) i odbiera token cyfrowy, który można przedstawić innym usługom platformy Azure, które sprawdzają, czy zasobnik ma autoryzację dostępu do usługi i wykonuje wymagane akcje.

Należy pamiętać, że tożsamości zarządzane zasobnika są przeznaczone tylko do użytku z zasobnikami systemu Linux i obrazami kontenerów. Aprowizuj Key Vault platformy Azure do przechowywania i pobierania kluczy cyfrowych i poświadczeń. Klucze, takie jak te używane do szyfrowania dysków systemu operacyjnego, dane klastra usługi AKS można przechowywać w usłudze Azure Key Vault.

Jednostki usługi mogą być również używane w klastrach usługi AKS. Jednak klastry korzystające z jednostek usługi w końcu mogą osiągnąć stan, w którym jednostka usługi musi zostać odnowiona, aby zachować działanie klastra. Zarządzanie jednostkami usługi zwiększa złożoność, dlatego łatwiej jest zamiast tego używać tożsamości zarządzanych. Te same wymagania dotyczące uprawnień dotyczą zarówno jednostek usługi, jak i tożsamości zarządzanych.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak azure Key Vault z zaleceniami.

Ogranicz ekspozycję poświadczeń, nie definiując poświadczeń w kodzie aplikacji. i unikaj używania poświadczeń udostępnionych. Usługa Azure Key Vault powinna służyć do przechowywania i pobierania kluczy cyfrowych i poświadczeń. Użyj tożsamości zarządzanych dla zasobów platformy Azure, aby umożliwić zasobnikowi żądanie dostępu do innych zasobów.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1. Korzystanie z oprogramowania chroniącego przed złośliwym oprogramowaniem zarządzanym centralnie

Wskazówki: usługa AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu — modyfikowanie zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwane. Jednak w przypadku węzłów systemu Linux można użyć zestawów demonów do zainstalowania niestandardowego oprogramowania, takiego jak rozwiązanie chroniące przed złośliwym oprogramowaniem.

Odpowiedzialność: Współużytkowane

8.2: Wstępne skanowanie plików, które mają zostać przekazane do zasobów platformy Azure, które nie są obliczane

Wskazówki: Wstępne skanowanie wszystkich plików przekazywanych do zasobów usługi AKS. Wykrywanie zagrożeń w usługach danych w usłudze Microsoft Defender for Cloud umożliwia wykrywanie złośliwego oprogramowania przekazanego na konta magazynu w przypadku korzystania z konta usługi Azure Storage jako magazynu danych lub śledzenia stanu programu Terraform dla klastra usługi AKS.

Odpowiedzialność: Klient

8.3. Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym kodem są aktualizowane

Wskazówki: usługa AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu — modyfikowanie zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwane. Jednak w przypadku węzłów systemu Linux można użyć zestawów demonów do zainstalowania niestandardowego oprogramowania, takiego jak rozwiązanie chroniące przed złośliwym oprogramowaniem.

Odpowiedzialność: Współużytkowane

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: tworzenie kopii zapasowych danych przy użyciu odpowiedniego narzędzia dla typu magazynu, takiego jak Velero, które może tworzyć kopie zapasowe woluminów trwałych wraz z dodatkowymi zasobami klastra i konfiguracjami. Okresowo weryfikuje integralność i zabezpieczenia tych kopii zapasowych.

Usuń stan z aplikacji przed utworzeniem kopii zapasowej. W przypadkach, gdy nie można tego zrobić, wykonaj kopię zapasową danych z woluminów trwałych i regularnie przetestuj operacje przywracania, aby zweryfikować integralność danych i wymagane procesy.

Odpowiedzialność: Klient

9.2. Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: tworzenie kopii zapasowych danych przy użyciu odpowiedniego narzędzia dla typu magazynu, takiego jak Velero, które może tworzyć kopie zapasowe woluminów trwałych wraz z dodatkowymi zasobami klastra i konfiguracjami.

Regularne automatyczne kopie zapasowe certyfikatów Key Vault, kluczy, zarządzanych kont magazynu i wpisów tajnych za pomocą poleceń programu PowerShell.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo przeprowadzaj przywracanie danych zawartości w usłudze Velero Backup. W razie potrzeby przetestuj przywracanie do izolowanej sieci wirtualnej.

Okresowo wykonuje przywracanie danych Key Vault certyfikatów, kluczy, zarządzanych kont magazynu i wpisów tajnych za pomocą poleceń programu PowerShell.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: tworzenie kopii zapasowych danych przy użyciu odpowiedniego narzędzia dla typu magazynu, takiego jak Velero, które może tworzyć kopie zapasowe woluminów trwałych wraz z dodatkowymi zasobami klastra i konfiguracjami.

Włącz Soft-Delete w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem, jeśli usługa Azure Key Vault jest używana w przypadku wdrożeń Azure Kubernetes Service (AKS).

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: określanie priorytetów, które alerty należy zbadać, należy najpierw zbadać przy użyciu ważności przypisanej przez usługę Microsoft Defender for Cloud do alertów. Ważność jest oparta na tym, jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu. Wyraźnie oznacz subskrypcje (na przykład produkcyjne, nieprodukcyjne) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemie w regularnym tempie. Zidentyfikuj słabe punkty i luki oraz popraw plany reagowania na zdarzenia zgodnie z potrzebami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktowe zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dane klienta zostały użyte przez bezprawną lub nieautoryzowaną stronę.

Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Eksportowanie alertów i rekomendacji usługi Microsoft Defender for Cloud przy użyciu funkcji ciągłego eksportowania. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w ciągły, ciągły sposób.

Wybierz łącznik danych usługi Microsoft Defender for Cloud, aby przesyłać strumieniowo alerty do usługi Microsoft Sentinel zgodnie z potrzebami i na podstawie wymagań biznesowych organizacji.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówki: użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w zakresie alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami zaangażowania firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Dodatkowe informacje na temat strategii firmy Microsoft i wykonywania testów penetracyjnych na żywo i red teamingu na żywo w odniesieniu do zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze znajdują się w linkach, do których odwołuje się odwołanie.

Odpowiedzialność: Współużytkowane

Następne kroki