Базовый план безопасности Azure для службы Azure Kubernetes

Эта базовая конфигурация безопасности применяет рекомендации Azure Security Benchmark версии 1.0 к Azure Kubernetes. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и связанному руководству, применимому к службе Azure Kubernetes.

Эти базовые показатели безопасности и рекомендации можно отслеживать с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если в разделе есть соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Службе Azure Kubernetes или находятся в зоне ответственности корпорации Майкрософт, исключены. Сведения о том, как обеспечить для Службы Azure Kubernetes полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Руководство. По умолчанию при создании кластера Microsoft Azure Kubernetes Service (AKS) автоматически создаются группа безопасности сети и таблица маршрутов. AKS автоматически изменяет группы безопасности сети для соответствующего потока трафика, так как службы создаются с помощью подсистем балансировки нагрузки, сопоставления портов или маршрутов входа. Группа безопасности сети автоматически связывается с виртуальными сетевыми адаптерами на узлах клиентов, а таблица маршрутов — с подсетью в виртуальной сети.

Использование политик сети AKS позволяет ограничить сетевой трафик путем определения правил для входящего и исходящего трафика между модулями Linux в кластере на основе выбора пространств имен и селекторов меток. Для использования сетевых политик требуется подключаемый модуль Azure CNI с заданной виртуальной сетью и подсетями. Его можно включить только при создании кластера. Они не могут быть развернуты в существующем кластере AKS.

Вы можете реализовать частный кластер AKS, чтобы гарантировать, что сетевой трафик между сервером API AKS и пулами узлов будет оставаться только в частной сети. Плоскость управления или сервер API находятся в подписке Azure, управляемой AKS, и используют внутренние IP-адреса (RFC1918), тогда как кластер или пул узлов клиента находятся в собственной подписке. Сервер и кластер или пул узлов взаимодействуют друг с другом через службу "Приватный канал Azure" в виртуальной сети сервера API и частной конечной точки, находящейся в подсети кластера AKS клиента. Кроме того, можно использовать общедоступную конечную точку для сервера API AKS, но ограничить доступ с помощью функции разрешенных диапазонов IP-адресов сервера AKS API.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.ContainerService:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1

1.2. Мониторинг и регистрация конфигурации и трафика виртуальных сетей, подсетей и сетевых адаптеров

Рекомендации. Используйте Microsoft Defender для облака и следуйте рекомендациям по защите сети, чтобы защитить сетевые ресурсы, используемые кластерами Azure Kubernetes Service (AKS).

Включите журналы потоков для групп безопасности сети и отправьте журналы в учетную запись хранения Azure для аудита. Можно также отправить журналы последовательностей в рабочую область Log Analytics, а затем использовать Аналитику трафика для предоставления ценных сведений о характерных видах трафика в облаке Azure для визуализации сетевых операций, выявления проблем с гиперобъектами и угрозами безопасности, понимания шаблонов потоков трафика и определения параметров сети.

Ответственность: Customer

1.3. Защита критических веб-приложений

Руководство. Используйте Брандмауэр веб-приложений (WAF) с поддержкой Шлюза приложений Azure перед кластером AKS для обеспечения дополнительного уровня безопасности путем фильтрации входящего трафика в веб-приложения. Azure WAF использует набор правил, предоставляемых Открытым проектом безопасности веб-приложений (OWASP) для атак, таких как межсайтовый скриптинг или отравление веб-кэша в отношении этого трафика.

Используйте шлюз API для проверки подлинности, авторизации, регулирования, кэширования, преобразования и мониторинга для API-интерфейсов, используемых в среде AKS. Шлюз API выступает в качестве точки входа микрослужб, отделяет клиентов от микрослужб и уменьшает сложность микрослужб за счет устранения проблем, связанных с обработкой перекрестных задач.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Руководство. Включите службу защиты от распределенных атак типа «отказ в обслуживании» (DDoS-атак) Майкрософт в виртуальных сетях, где развернуты компоненты службы Azure Kubernetes (AKS), для защиты от DDoS-атак.

Установите обработчик политики сети и создайте сетевые политики Kubernetes для управления потоком трафика между модулями Pod в AKS, так как по умолчанию между этими модулями разрешается весь трафик. Политику сети следует использовать только для узлов под управлением Linux и групп pod в AKS. В целях безопасности определите правила, ограничивающие связь модулей Pod.

Выберите, разрешать или запрещать трафик в зависимости от параметров, например назначенных меток, пространства имен или порта трафика. Поскольку контейнеры Pod динамически создаются в кластере AKS, необходимые политики сети могут применяться автоматически.

Ответственность: Customer

1.5. Запись сетевых пакетов

Руководство. Используйте запись пакетов Наблюдателя за сетями, если это требуется для изучения аномальных действий.

При создании или обновлении виртуальной сети в подписке Наблюдатель за сетями включается автоматически в регионе вашей виртуальной сети. Можно также создать новые экземпляры Наблюдателя за сетями с помощью PowerShell, Azure CLI, REST API или метода клиента Azure Resource Manager.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Руководство. Защитите кластер Azure Kubernetes Service (AKS) с помощью Шлюза приложений Azure с брандмауэром веб-приложения (WAF).

Если обнаружение и/или предотвращение вторжения на основе анализа полезной нагрузки или аналитики поведения не является обязательным, Шлюз приложений Azure с WAF можно использовать и настроить на "режим обнаружения" для ведения журнала предупреждений и угроз, или "режим предотвращения" для активной блокировки обнаруженных вторжений и атак.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Руководство. Используйте теги службы виртуальной сети для определения элементов управления доступом к сети для групп безопасности сети, связанных с экземплярами службы Azure Kubernetes Service (AKS). Теги службы можно использовать вместо конкретных IP-адресов при создании правил безопасности, чтобы разрешить или запретить трафик для соответствующей службы, указав имя тега этой службы.

Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Тег Azure можно применить к пулам узлов в кластере AKS. Эти теги отличаются от тегов службы виртуальной сети, применяются к каждому узлу в пуле узлов и сохраняются при обновлениях.

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Руководство. Определите и реализуйте стандартные конфигурации безопасности для сетевых ресурсов, связанных с пространством имен служебной шины Azure, с помощью Политики Azure.

Используйте псевдонимы Политики Azure в пространствах имен Microsoft.ContainerService и Microsoft.Network, чтобы создать настраиваемые политики для аудита или принудительного применения конфигурации сети кластеров AKS.

Кроме того, используйте встроенные определения политик, связанные с AKS, например:

  • В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов.

  • Обеспечить прием входящего HTTPS-трафика в кластере Kubernetes

  • Обеспечить ожидание передачи данных службами только на разрешенных портах в кластере Kubernetes

Дополнительные сведения можно найти по приведенным ссылкам.

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Руководство. Используйте теги для групп безопасности сети и других ресурсов для передачи трафика в кластеры Azure Kubernetes Service (AKS) и из них. Используйте поле "Описание", чтобы указать бизнес-потребности и длительность (и т. д.) любых правил, которые разрешают трафик в сеть и из нее.

Используйте любые встроенные определения политик Azure, связанные с пометкой тегами, например "Требовать тег и его значение", чтобы обеспечить создание всех ресурсов с тегами и получать уведомления о существующих ресурсах без тегов.

С помощью политик сети можно разрешить или запретить определенные сетевые пути в кластере на основе пространств имен и селекторов меток. Используйте эти пространства имен и метки в качестве дескрипторов для правил конфигурации трафика. Используйте Azure PowerShell или интерфейс командной строки Azure (CLI) для поиска или выполнения действий с ресурсами в зависимости от их тегов.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Руководство. Используйте журнал действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений для сетевых ресурсов, связанных со Azure Kubernetes Service (AKS).

Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов. Все записи от пользователя AzureContainerService в журналах действий регистрируются как действия платформы.

Используйте журналы Azure Monitor, чтобы включать и запрашивать журналы из основных компонентов AKS, kube-apiserver и kube-controller-manager. Создавайте узлы, где будут запущены kubelet и среда выполнения контейнера, и управляйте ими, а также развертывайте свои приложения через управляемый сервер API Kubernetes.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.1. Использование утвержденных источников синхронизации времени

Руководство. Узлы службы Azure Kubernetes (AKS) используют NTP.Ubuntu.com для синхронизации времени, наряду с UDP-портом 123 и протоколом NTP.

При использовании пользовательских DNS-серверов убедитесь, что серверы NTP доступны для узлов кластера.

Ответственность: Совмещаемая блокировка

2.2. Настройка централизованного управления журналами безопасности

Руководство. Включите журналы аудита из главных компонентов Azure Kubernetes Services (AKS), kube-apiserver и kube-controller-manager, которые предоставляются как управляемая служба.

  • kube-auditaksService: отображаемое имя в журнале аудита для операции уровня управления (из hcpService)

  • masterclient: отображаемое имя в журнале аудита для MasterClientCertificate — сертификата, полученного из команды az aks get-credentials

  • nodeclient: отображаемое имя для ClientCertificate, которое используется узлами агента

Включите также другие журналы аудита, например kube-audit.

Экспортируйте эти журналы в Log Analytics или на другую платформу хранения. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Также можно включить Microsoft Sentinel или стороннюю систему SIEM (управления информационной безопасностью и событиями безопасности) и передавать данные в такую систему.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Руководство. Используйте журналы действий для мониторинга действий над ресурсами Azure Kubernetes Service (AKS), чтобы просматривать все действия и их состояния. Определите, какие операции были выполнены с ресурсами в подписке с помощью журналов действий.

  • кто запустил операцию;
  • когда была выполнена операция;
  • состояние операции;
  • значения других свойств, которые могут помочь в изучении операции.

Информацию из журналов действий можно получать с помощью Azure PowerShell, интерфейса командной строки (CLI) Azure, интерфейса REST API Azure или портала Microsoft Azure.

Включите журналы аудита в основных компонентах AKS, например:

  • kube-auditaksService: отображаемое имя в журнале аудита для операции уровня управления (из hcpService)

  • masterclient: отображаемое имя в журнале аудита для MasterClientCertificate — сертификата, полученного из команды az aks get-credentials

  • nodeclient: отображаемое имя для ClientCertificate, которое используется узлами агента

Включите также другие журналы аудита, например kube-audit.

Ответственность: Customer

2.4. Сбор журналов безопасности из операционных систем

Руководство. Включите автоматическую установку агентов Log Analytics для сбора данных с узлов кластера AKS. Кроме того, включите автоматическую подготовку агента мониторинга Log Analytics Azure из Microsoft Defender для облака. По умолчанию автоматическая подготовка отключена. Агент также можно установить вручную. Если автоматическая подготовка включена, Microsoft Defender для облака развертывает агент Log Analytics на всех поддерживаемых существующих и новых виртуальных машинах Azure.

Microsoft Defender для облака собирает данные с виртуальных машин Azure, масштабируемых наборов виртуальных машин и контейнеров IaaS, таких как узлы кластера Kubernetes, для отслеживания уязвимостей и угроз безопасности. Для сбора данных используется агент Azure Log Analytics, который считывает различные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область для анализа.

Сбор данных необходим, чтобы обнаруживать недостающие обновления и неправильно настроенные параметры безопасности ОС, узнавать, включена ли защита конечных точек, а также определять работоспособность и обнаруживать угрозы.

Ответственность: Совмещаемая блокировка

2.5. Настройка хранения журнала безопасности

Руководство. Подключите экземпляры службы Azure Kubernetes Service (AKS) к Azure Monitor и настройте соответствующий срок хранения для рабочей области Azure Log Analytics в соответствии с требованиями вашей организации.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Руководство. Подключите экземпляры службы Azure Kubernetes Service (AKS) к Azure Monitor и настройте параметры диагностики для кластера.

Используйте рабочую область Log Analytics в Azure Monitor для просмотра журналов и выполнения запросов к данным журнала. Журналы Azure Monitor активируются и управляются через портал Azure или с помощью интерфейса командной строки, а также работают с управлением доступом на основе ролей Kubernetes (Kubernetes RBAC), Azure RBAC и не поддерживающими RBAC AKS кластерами.

Просмотрите журналы, созданные главными компонентами AKS (kube-apiserver и kube-controllermanager), для устранения неполадок в приложении и службах. Настройте Microsoft Sentinel или стороннюю систему SIEM для централизованного управления журналами и мониторинга.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Рекомендации. Используйте службу Azure Kubernetes Service (AKS) в сочетании с Microsoft Defender для облака, чтобы получить более подробную информацию об узлах AKS.

Просмотрите оповещения Microsoft Defender для облака об угрозах и вредоносных действиях, обнаруженных на узле и на уровне кластера. Microsoft Defender для облака реализует непрерывный анализ необработанных событий безопасности, происходящих в кластере AKS, таких как данные сети, создание процессов и журнал аудита Kubernetes. Определите, является ли действие ожидаемым или поведение приложения некорректным. Для подтверждения результатов используйте метрики и журналы Azure Monitor,

Ответственность: Customer

2.8. Централизованное ведение журнала защиты от вредоносных программ

Руководство. Установите и включите защиту от вредоносных программ Майкрософт для виртуальных машин Azure Kubernetes Service (AKS) и узлов масштабируемых наборов виртуальных машин. Ознакомьтесь с оповещениями в Microsoft Defender для облака, которые требуют устранения.

Ответственность: Customer

2.9. Включение ведения журнала запросов DNS

Руководство. Служба Kubernetes Azure (AKS) использует проект CoreDNS для управления кластерами DNS и их разрешения.

Включите ведение журнала запросов DNS, применив задокументированную конфигурацию в coredns-custom ConfigMap.

Ответственность: Customer

2.10. Включение ведения журнала аудита для командной строки

Руководство. Используйте клиент командной строки kubectl в службе Kubernetes Azure (AKS) для управления кластером Kubernetes и получения журналов из узла AKS для устранения неполадок. Если вы используете Azure Cloud Shell, Kubectl уже установлен. Чтобы установить Kubectl локально, используйте командлет Install-AzAksKubectl.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Руководство. Сама служба Azure Kubernetes Service (AKS) не предоставляет решение для управления удостоверениями, в котором хранятся обычные учетные записи пользователей и пароли. При использовании интеграции Azure Active Directory (Azure AD) можно предоставить пользователям или группам доступ к ресурсам Kubernetes, размещенным в определенном пространстве имен или кластере.

Выполняйте с помощью модуля Azure AD PowerShell нерегламентированные запросы для обнаружения учетных записей, входящих в группы администраторов AKS.

Используйте Azure CLI для таких операций, как "Получить учетные данные доступа для управляемого кластера Kubernetes", чтобы упростить согласование доступа на регулярной основе. Реализуйте этот процесс, чтобы поддерживать обновленными данные об учетных записях служб, которые являются еще одним основным типом пользователей в AKS. Обеспечьте применение рекомендаций по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Руководство. Служба Azure Kubernetes (AKS) не имеет концепции общих паролей по умолчанию и не предоставляет решение для управления идентификаторами, в котором можно хранить обычные учетные записи пользователей и пароли. При использовании интеграции Azure Active Directory (Azure AD), можно предоставить заданным ролям доступ к ресурсам AKS, размещенным в определенном пространстве имен или кластере.

Выполняйте с помощью модуля Azure AD PowerShell нерегламентированные запросы для обнаружения учетных записей, входящих в группы администраторов AKS.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Руководство. Интегрируйте проверку подлинности пользователей для кластеров службы Azure Kubernetes Service (AKS) с Azure Active Directory (Azure AD). Входите в кластер AKS с помощью маркера проверки подлинности Azure AD. Настройте управление доступом на основе ролей Kubernetes (Kubernetes RBAC) для административного доступа к сведениям и разрешениям конфигурации Kubernetes (kubeconfig), пространству имен и ресурсам кластера.

Создайте политики и процедуры для использования выделенных административных учетных записей. Реализуйте рекомендации Microsoft Defender для облака по управлению идентификацией и доступом.

Ответственность: Customer

3.4. Использование единого входа с Azure Active Directory

Руководство. Используйте единый вход для службы Azure Kubernetes Service (AKS) с интегрированной проверкой подлинности Azure Active Directory (Azure AD) для кластера AKS.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Руководство. Интегрируйте проверку подлинности для кластеров службы Azure Kubernetes Service (AKS) с Azure Active Directory (Azure AD).

Включите многофакторную проверку подлинности Azure Active Directory (AAD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Руководство. Используйте рабочую станцию привилегированного доступа (PAW) с многофакторной проверкой подлинности (MFA), настроенной для входа в указанные кластеры Azure Kubernetes Service (AKS) и связанные ресурсы.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Руководство. Используйте отчеты по безопасности Azure Active Directory (Azure AD) с интегрированной проверкой подлинности Azure Active Directory (Azure AD) для кластера AKS. При возникновении подозрительных или ненадежных действий в среде могут создаваться оповещения. Используйте Microsoft Defender для облака, чтобы отслеживать действия по идентификации и доступу.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Руководство. Используйте именованные расположения с условным доступом, чтобы разрешить доступ к кластерам Azure Kubernetes Service (AKS) только из конкретных логических групп диапазонов IP-адресов или стран и регионов. Для этого требуется встроенная аутентификация для AKS с Azure Active Directory (Azure AD).

Ограничьте доступ к серверу API AKS из ограниченного набора диапазонов IP-адресов, так как он получает запросы на выполнение действий в кластере для создания ресурсов или масштабирования количества узлов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Руководство. Используйте Azure Active Directory (Azure AD) как центральную систему проверки подлинности и авторизации для службы Azure Kubernetes Service (AKS). AAD защищает данные с помощью надежного шифрования для неактивных и передаваемых данных, а также добавляет случайные данные, выполняет хэширование и обеспечивает безопасное хранение учетных данных пользователя.

Используйте встроенные роли AKS с управлением доступом на основе ролей Azure (Azure RBAC) — "участник политики ресурсов" и "владелец" для операций назначения политик в кластере Kubernetes

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Руководство. Используйте отчеты по безопасности Azure Active Directory (Azure AD) с интегрированной проверкой подлинности Azure Active Directory (Azure AD) для кластера AKS. Найдите журналы Azure AD для облегчения поиска устаревших учетных записей.

Используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Примите меры в соответствии с рекомендациями Microsoft Defender для облака по идентификации и доступу.

Не забывайте о ролях, используемых для поддержки или устранения неполадок. Например, любые действия кластера, выполняемые службой поддержки Майкрософт (с согласия пользователя), выполняются во встроенной роли Kubernetes "Edit" с именем aks-support-rolebinding. Для этой роли включена поддержка AKS для изменения конфигурации кластера и ресурсов для устранения неполадок и диагностики проблем с кластером. Однако эта роль не может изменять разрешения, а также создавать роли или привязки ролей. Доступ к этой роли доступен только в рамках активных запросов в службу поддержки с JIT-доступом.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Руководство. Интегрируйте проверку подлинности пользователей для кластеров службы Azure Kubernetes Service (AKS) с Azure Active Directory (Azure AD). Создайте параметры диагностики для Azure AD, отправив журналы аудита и входа в рабочую область Azure Log Analytics. Настройте нужные оповещения (например, когда деактивированная учетная запись пытается войти в систему) в рабочей области Azure Log Analytics.

Ответственность: Customer

3.12. Предупреждение при подозрительном входе в учетную запись

Руководство. Интегрируйте проверку подлинности пользователей для кластеров службы Azure Kubernetes Service (AKS) с Azure Active Directory (Azure AD). Используйте функции защиты идентификации и обнаружения рисков Azure AD, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий, связанных с удостоверениями пользователей. Принимайте данные в Microsoft Sentinel для дальнейшего исследования в зависимости от бизнес-потребностей.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Руководство. Используйте теги для ресурсов, связанных с развертываниями Azure Kubernetes Service (AKS), чтобы упростить отслеживание ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Руководство. Логически изолируйте команды и рабочие нагрузки в одном кластере с помощью службы Azure Kubernetes Service (AKS), чтобы предоставить минимальный набор привилегий для ресурсов, необходимых каждой группе.

Используйте пространство имен в Kubernetes, чтобы создать периметр логической изоляции. Рассмотрите возможность реализации дополнительных функций Kubernetes для изоляции и многопользовательской связи, таких как планирование, сеть, проверка подлинности, авторизация и контейнеры.

Реализуйте отдельные подписки и группы управления для разработки, тестирования и производственной среды. Разделяйте кластеры AKS с помощью сети, развернув их в различных виртуальных сетях, которые имеют соответствующие метки.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Руководство. Используйте на периметрах сети стороннее решение из Azure Marketplace, которое будет отслеживать несанкционированную передачу конфиденциальных данных и блокировать ее, оповещая специалистов по информационной безопасности.

Корпорация Майкрософт управляет базовой платформой, считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты данных клиентов от потери и раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.4. Шифрование любой конфиденциальной информации при передаче

Руководство. Создайте контроллер входящего трафика HTTPS и используйте собственные сертификаты TLS (или, при необходимости, Let's Encrypt) для развертываний службы Azure Kubernetes Service (AKS).

По умолчанию исходящий трафик Kubernetes шифруется по протоколу HTTPS/TLS. Проверьте любой потенциально незашифрованный трафик исходящего трафика из экземпляров AKS для дополнительного мониторинга. В некоторых случаях это может включать NTP-трафик, трафик DNS, HTTP-трафик для получения обновлений.

Ответственность: Customer

4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных

Рекомендации. Функции идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или вычислительных ресурсов. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям. Корпорация Майкрософт управляет базовой платформой, считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты данных клиентов от потери и раскрытия.

Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Customer

4.6. Управление доступом к ресурсам с помощью Azure RBAC

Руководство. Управление доступом на основе ролей в Azure (Azure RBAC) — это система авторизации на базе Azure Resource Manager, которая обеспечивает высокодетализированное управление доступом к ресурсам Azure.

Настройте службу Azure Kubernetes (AKS) на использование Azure Active Directory (Azure AD) для проверки подлинности пользователей. Войдите в кластер AKS с помощью маркера проверки подлинности Azure AD в этой конфигурации.

Используйте встроенные роли AKS с Azure RBAC — "Участник политики ресурсов" и "Владелец" — для операций назначения Политик в кластере Kubernetes

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.ContainerService:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.2

4.7. Использование защиты от потери данных на основе узла для обеспечения контроля доступа

Рекомендации. Функции идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или вычислительных ресурсов. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям. Корпорация Майкрософт управляет базовой платформой, считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты данных клиентов от потери и раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Customer

4.8. Шифрование конфиденциальной информации при хранении

Руководство. Два основных типа хранилища, предоставляемые для томов в Службе контейнеров Azure Kubernetes Service (AKS), основаны на службах дисков или хранилища Файлов Azure. Чтобы повысить безопасность, оба типа хранилища по умолчанию используют Шифрование службы хранилища Azure (SSE), которое шифрует неактивные данные. По умолчанию данные шифруются с помощью ключей, управляемых корпорацией Майкрософт.

Шифрование неактивных данных с помощью управляемых клиентом ключей доступно для шифрования дисков операционной системы и дисков с данными в кластерах AKS для дополнительного контроля над ключами шифрования. Клиенты ответственны за действия по управлению ключами, такие как резервное копирование и ротация ключей. Сейчас диски нельзя шифровать с помощью шифрования дисков Azure на уровне узлов Службы контейнеров Azure.

Ответственность: Совмещаемая блокировка

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Руководство. Используйте Azure Monitor для контейнеров для контроля производительности рабочих нагрузок контейнеров, развертываемых в кластерах управляемой среды Kubernetes в Службе Azure Kubernetes (AKS).

Настройте оповещения для упреждающего создания уведомлений или журналов, когда загрузка ЦП и памяти на узлах или контейнерах превышает заданные пороговые значения или когда состояние работоспособности в кластере находится в свертке работоспособности инфраструктуры или узлов.

Используйте журнал действий Azure для мониторинга кластеров AKS и связанных ресурсов на высоком уровне. Осуществите интеграцию с Prometheus для просмотра метрик приложений и рабочих нагрузок, собираемых из узлов, и Kubernetes с использованием запросов для создания настраиваемых оповещений, панелей мониторинга и подробного анализа.

Ответственность: Customer

Управление уязвимостями

Дополнительные сведения см. в статье Azure Security Benchmark: управление уязвимостями.

5.1. Выполнение автоматизированных средств анализа уязвимостей

Рекомендации. Используйте Microsoft Defender для облака, чтобы организовать мониторинг Реестра контейнеров Azure, в том числе экземпляров Azure Kubernetes Service (AKS), на наличие уязвимостей. Включите пакет реестров контейнеров в Microsoft Defender для облака, чтобы Microsoft Defender для облака был готов к сканированию образов, помещаемых в реестр.

Получайте на панели мониторинга Microsoft Defender для облака оповещения об обнаружении проблем по результатам сканирования образа в Microsoft Defender для облака с использованием Qualys. Функция пакета реестров контейнеров обеспечивает более подробную информацию об уязвимостях образов, используемых в реестре на основе Azure Resource Manager.

Используйте Microsoft Defender для облака, чтобы получить практические рекомендации для каждой уязвимости. Эти рекомендации включают классификацию серьезности и рекомендации по исправлению.

Ответственность: Customer

5.2. Развертывание автоматизированного решения для управления исправлениями операционной системы

Руководство. Обновления безопасности автоматически применяются к узлам Linux для защиты кластеров Azure Kubernetes Service (AKS) клиента. Учитываются такие обновления, как исправления безопасности для операционной системы и обновления ядра.

Обратите внимание, что процесс обновления узлов Windows Server отличается от такового для узлов под управлением Linux, так как узлы Windows Server не получают ежедневных обновлений. Вместо этого клиентам необходимо выполнять обновление пулов узлов Windows Server в их кластерах AKS, которое развертывает новые узлы с новейшим базовым образом Windows Server и исправлениями с помощью панели управления Azure или Azure CLI. Это относится к обновлениям, которые содержат улучшения системы безопасности или функциональности AKS.

Ответственность: Customer

5.3. Развертывание автоматизированного решения по управлению исправлениями для программного обеспечения сторонних производителей

Руководство. Реализуйте ручной процесс, чтобы убедиться, что сторонние приложения узла кластера Azure Kubernetes Service (AKS) остаются исправленными в течение всего времени существования кластера. Для этого может потребоваться включить автоматическое обновление, отслеживать узлы или выполнять периодические перезагрузки.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.ContainerService:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+ Audit, Disabled 1.0.2

5.4. Сравнение проверок смежных уязвимостей

Рекомендации. Экспортируйте результаты сканирования Microsoft Defender для облака через регулярные интервалы и сравнивайте их, чтобы удостовериться, что уязвимости устранены.

Используйте командлет PowerShell Get-AzSecurityTask, чтобы автоматизировать получение сведений о задачах безопасности, которые Microsoft Defender для облака рекомендует выполнить, чтобы усилить результаты проверки уязвимостей в области безопасности и исправления.

Ответственность: Customer

5.5. Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей

Рекомендации. Используйте уровень серьезности, предоставляемый в Microsoft Defender для облака, для определения приоритета исправления уязвимостей.

Используйте общую систему оценки уязвимостей (CVSS) (или другие системы оценки, предоставляемые средством сканирования), если используется встроенное средство оценки уязвимостей (например, Qualys или Rapid7, предлагаемое Azure).

Ответственность: Customer

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети и т. д.) в ваших подписках. Убедитесь, что у вас есть соответствующие разрешения (на чтение) в клиенте и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы на основе Azure Resource Manager.

Ответственность: Customer

6.2. Ведение метаданных активов

Руководство. Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Рекомендации. При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы.

Применяйте отметки (taint), метки или теги при создании пула узлов Azure Kubernetes Service (AKS). Все узлы в этом пуле узлов будут также наследовать соответствующие отметку (taint), метку или тег.

С помощью отметок (taint), меток и тегов можно регулярно сверять ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписок.

Ответственность: Customer

6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure

Руководство. Определите список утвержденных ресурсов Azure и утвержденного программного обеспечения для вычисления ресурсов на основе бизнес-потребностей организации.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках. Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены на основе организационных потребностей вашего предприятия.

Ответственность: Customer

6.6. Отслеживание неутвержденных программных приложений в рамках ресурсов вычислений

Руководство. Используйте функций службы автоматизации Azure для Отслеживания изменений и инвентаризации для поиска программного обеспечения, установленного в вашей среде.

Собирайте и просматривайте сведения об установленных на компьютерах программном обеспечении, файлах, управляющих программах, службах и разделах реестра Windows и отслеживайте неодобренные программные приложения.

Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.

Ответственность: Customer

6.7. Удаление неутвержденных ресурсов Azure и программных приложений

Руководство. Используйте функций службы автоматизации Azure для Отслеживания изменений и инвентаризации для поиска программного обеспечения, установленного в вашей среде.

Собирайте и просматривайте сведения об установленных на компьютерах программном обеспечении, файлах, управляющих программах, службах и разделах реестра Windows и отслеживайте неодобренные программные приложения.

Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.

Ответственность: Customer

6.8. Использование только утвержденных приложений

Руководство. Используйте функций службы автоматизации Azure для Отслеживания изменений и инвентаризации для поиска программного обеспечения, установленного в вашей среде.

Собирайте и просматривайте сведения об установленных на компьютерах программном обеспечении, файлах, управляющих программах, службах и разделах реестра Windows и отслеживайте неодобренные программные приложения.

Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.

Включите адаптивный анализ приложений в Microsoft Defender для облака для приложений, которые есть в вашей среде.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках. Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены.

Ответственность: Customer

6.10. Проведение инвентаризации для утвержденных программных продуктов

Руководство. Используйте Политику Azure, чтобы ограничить тип ресурсов, которые могут быть созданы в ваших подписках, используя следующие встроенные определения политик.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Руководство. Используйте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки "Блокировать доступ" для приложения "Управление Microsoft Azure".

Ответственность: Customer

6.12. Ограничение возможностей пользователей выполнять сценарии в вычислительных ресурсах

Руководство. Сама служба Azure Kubernetes Service (AKS) не предоставляет решение для управления удостоверениями, в котором хранятся обычные учетные записи пользователей и пароли. Вместо этого используйте Azure Active Directory (Azure AD) в качестве интегрированного решения для идентификации кластеров AKS.

При использовании интеграции с Azure AD можно предоставить пользователям или группам доступ к ресурсам Kubernetes, размещенным в определенном пространстве имен или кластере.

Используйте модуль Azure AD PowerShell для выполнения узкоспециализированных запросов, чтобы обнаружить учетные записи, являющиеся членами административных групп AKS, и использовать их для регулярного согласования доступа. Используйте Azure CLI для таких операций, как "Получить учетные данные доступа к управляемому кластеру Kubernetes". Реализуйте рекомендации Microsoft Defender для облака по управлению идентификацией и доступом.

Ответственность: Customer

6.13. Физическое или логическое разделение приложений с высоким риском

Руководство. Логически изолируйте команды и рабочие нагрузки в одном кластере с помощью службы Azure Kubernetes Service (AKS), чтобы предоставить минимальный набор привилегий для ресурсов, необходимых каждой группе.

Реализуйте пространство имен в Kubernetes, чтобы создать периметр логической изоляции. Используйте псевдонимы Политик Azure в пространстве имен Microsoft.ContainerService для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации для экземпляров службы Azure Kubernetes Service (AKS).

Изучите и реализуйте дополнительные функции Kubernetes и рекомендации по изоляции и наличию нескольких клиентов, включая планирование, сеть, проверку подлинности, авторизацию и контейнеры. Также используйте отдельные подписки и группы управления для разработки, тестирования и производства. Разделяйте кластеры AKS с помощью виртуальных сетей, подсетей, которые помечаются соответствующим образом и защищаются Брандмауэром веб-приложений (WAF).

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Руководство. Используйте псевдонимы Политик Azure в пространстве имен Microsoft.ContainerService для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации для экземпляров службы Azure Kubernetes Service (AKS). Используйте встроенные определения Политики Azure.

Примеры встроенных определений политик для AKS:

  • Обеспечить прием входящего HTTPS-трафика в кластере Kubernetes

  • В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов.

  • В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC)

  • Обеспечить использование только допустимых образов контейнера в кластере Kubernetes

Экспортируйте шаблон конфигурации AKS в нотацию объектов JavaScript (JSON) при помощи Azure Resource Manager. Периодически просматривайте его, чтобы убедиться, что эти конфигурации соответствуют требованиям безопасности вашей организации. Примените рекомендации Microsoft Defender для облака в качестве конфигурационной базы безопасности для ресурсов Azure.

Ответственность: Customer

7.2. Сохранение безопасных конфигураций для операционных систем

Руководство. Кластеры Azure Kubernetes (AKS) развертываются на виртуальных машинах с оптимизированной для системы безопасности ОС. Операционная система узла включает дополнительные меры по усилению безопасности, что позволяет сократить контактную зону атаки и обеспечить безопасность развертывания контейнеров.

Azure применяет ежедневные исправления (включая исправления безопасности) для узлов виртуальных машин AKS с некоторыми исправлениями, требующими перезагрузки. Планирование перезагрузки узла виртуальной машины AKS по мере необходимости должны осуществлять клиенты.

Ответственность: Совмещаемая блокировка

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Руководство. Защитите кластер с помощью политик безопасности модулей Pod в службе Azure Kubernetes. Чтобы повысить безопасность кластера AKS, можно ограничить количество модулей в расписании.

Модули Pod, которые запрашивают недопустимые ресурсы, не могут выполняться в кластере AKS.

Кроме того, используйте политики Azure [deny] (запретить) и [deploy if not exist] (развернуть, если не существует) для применения параметров безопасности для ресурсов Azure, относящихся к развертываниям AKS (таких как виртуальные сети, подсети, брандмауэры Azure, учетные записи хранения и т. д.).

Создайте пользовательские определения политик Azure с помощью псевдонимов из следующих пространств имен:

  • Microsoft.ContainerService

  • Microsoft.Network.

Дополнительные сведения можно найти по приведенным ссылкам.

Ответственность: Customer

7.4. Сохранение безопасных конфигураций для операционных систем

Руководство. Кластеры службы Azure Kubernetes (AKS) развертываются на виртуальных машинах с оптимизированной для системы безопасности ОС. Операционная система узла включает дополнительные меры по усилению безопасности, что позволяет сократить контактную зону атаки и обеспечить безопасность развертывания контейнеров.

См. список центров для элементов управления Internet Security (CIS), встроенных в ОС узла.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Руководство. Если вы применяете настраиваемые определения Политики Azure, используйте Azure Repos для безопасного хранения кода и управления им. Экспортируйте шаблон конфигурации Azure Kubernetes Service (AKS) в нотацию объектов JavaScript (JSON) при помощи Azure Resource Manager. Периодически просматривайте его, чтобы убедиться, что эти конфигурации соответствуют требованиям безопасности вашей организации.

Реализуйте сторонние решения, такие как Terraform, чтобы создать файл конфигурации, объявляющий ресурсы для кластера Kubernetes. Защитить развертывание AKS можно, выполнив рекомендации по обеспечению безопасности и сохранив конфигурацию в виде кода в безопасном месте.

Ответственность: Customer

7.6. Безопасное хранение пользовательских образов операционной системы

Руководство. Неприменимо к службе Azure Kubernetes (AKS). AKS предоставляет по умолчанию операционную систему сервера, оптимизированную для системы безопасности. На данный момент нет варианта выбора альтернативной или настраиваемой операционной системы.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Руководство. Используйте Политику Azure для наложения ограничений на тип ресурсов, которые могут создаваться в подписках, с использованием встроенных определений политик, а также псевдонимов политик Azure в пространстве имен Microsoft.ContainerService.

Создайте настраиваемые политики для аудита и принудительно примените конфигурации системы. Разработайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.8. Развертывание средств управления конфигурацией для операционных систем

Руководство. Кластеры службы Azure Kubernetes (AKS) развертываются на виртуальных машинах с оптимизированной для системы безопасности ОС. Операционная система узла включает дополнительные меры по усилению безопасности, что позволяет сократить контактную зону атаки и обеспечить безопасность развертывания контейнеров.

См. список центров для элементов управления Internet Security (CIS), встроенных в узлах AKS.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Рекомендации. Используйте Microsoft Defender для облака, чтобы выполнять проверки базовых показателей для ресурсов, связанных с развертываниями службы Azure Kubernetes Service (AKS). Примеры ресурсов включают в себя следующее, но не ограничиваются этим: сам кластер AKS, виртуальную сеть, в которой развернут кластер AKS, учетную запись хранения Azure, используемую для отслеживания состояния Terraform, или экземпляры Azure Key Vault, используемые для ключей шифрования дисков ОС и дисков данных кластера AKS.

Ответственность: Customer

7.10. Реализация автоматизированного мониторинга конфигурации для операционных систем

Рекомендации. Используйте рекомендации Azure по контейнерам в разделе "Compute & apps" (Вычисления и приложения), чтобы выполнять проверки базовых показателей для кластеров службы Azure Kubernetes Service (AKS).

Получайте уведомления на информационной панели Microsoft Defender для облака при обнаружении проблем конфигурации или уязвимостей. Для этого нужно включить дополнительный пакет реестров контейнеров, который позволяет Microsoft Defender для облака сканировать образ.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Руководство. Интегрируйте Azure Key Vault с кластером Azure Kubernetes Service (AKS) с помощью диска FlexVolume. Azure Key Vault позволяет хранить и регулярно менять секреты, в том числе учетные данные, ключи учетной записи хранения или сертификаты. Драйвер FlexVolume позволяет кластеру Службы контейнеров собственными средствами получать учетные данные из Key Vault и безопасно предоставлять их только запрашивающей группе pod. Управляемое удостоверение модуля Pod позволяет запрашивать доступ к Key Vault и получать нужные учетные данные через драйвер FlexVolume. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Ограничьте раскрытие учетных данных, не определяя учетные данные в коде приложения.

Избегайте использования фиксированных или общих учетных данных.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Руководство. Не определяйте учетные данные в коде приложения в интересах обеспечения безопасности. Используйте управляемые удостоверения для ресурсов Azure, чтобы позволить модулю Pod пройти проверку подлинности для любой службы в Azure, которая поддерживает ее, включая Azure Key Vault. Модулю назначается удостоверение Azure для проверки подлинности в Azure Active Directory (Azure AD) и получения цифрового маркера, который можно представить другим службам Azure, проверяющим, имеет ли модуль Pod права на доступ к службе и выполняющим необходимые действия.

Обратите внимание, что удостоверения, управляемые модулями Pod, предназначены для использования только с образами контейнеров и модулями Pod Linux. Подготовьте Azure Key Vault к хранению и извлечению цифровых ключей и учетных данных. Такие ключи, как используемые для шифрования дисков ОС и данных кластера AKS, могут храниться в Azure Key Vault.

В кластерах AKS также можно использовать субъекты-службы. Однако в конечном итоге кластеры, использующие субъекты-службы, могут достичь состояния, в котором необходимо будет обновить субъект-службу, чтобы обеспечить работу кластера. Управление субъектами-службами повышает сложность работы, поэтому проще использовать управляемые удостоверения. И к субъектам-службам, и к управляемым удостоверениям применяются схожие требования к разрешениям.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует переместить обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault с рекомендациями.

Ограничьте раскрытие учетных данных, не определяя учетные данные в коде приложения. и избегайте использования общих учетных данных. Azure Key Vault следует использовать для хранения и извлечения цифровых ключей и учетных данных. Используйте управляемые удостоверения ресурсов Azure, чтобы позволить группе pod запрашивать доступ к другим ресурсам.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.1. Использование централизованно управляемого ПО для защиты от вредоносных программ

Руководство. AKS управляет жизненным циклом и операциями узлов агента от имени клиентов. Изменение ресурсов IaaS, связанных с узлами агента, не поддерживается. Тем не менее для узлов Linux можно использовать наборы управляющих программ для установки пользовательского ПО, например решения для защиты от вредоносных программ.

Ответственность: Совмещаемая блокировка

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными

Руководство. Проводите предварительную проверку всех файлов, передаваемых в ресурсы AKS. Используйте обнаружение угроз для служб хранения данных в Microsoft Defender для облака, чтобы обнаруживать вредоносные программы, переданных в учетные записи хранения, при использовании учетной записи хранения Azure в качестве хранилища данных, или для отслеживания состояния Terraform для кластера AKS.

Ответственность: Customer

8.3. Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей

Руководство. AKS управляет жизненным циклом и операциями узлов агента от имени клиентов. Изменение ресурсов IaaS, связанных с узлами агента, не поддерживается. Тем не менее для узлов Linux можно использовать наборы управляющих программ для установки пользовательского ПО, например решения для защиты от вредоносных программ.

Ответственность: Совмещаемая блокировка

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Руководство. Осуществляйте резервное копирование данных с помощью соответствующего средства для хранилища, такого как Velero. Оно позволяет создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями. Периодически проверяйте целостность и безопасность этих резервных копий.

Перед резервным копированием удалите состояние из приложений. Если это невозможно, создавайте резервные копии данных из постоянных томов и регулярно проверяйте операции восстановления, чтобы гарантировать целостность данных и надежность процессов.

Ответственность: Customer

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Руководство. Осуществляйте резервное копирование данных с помощью соответствующего средства для хранилища, такого как Velero. Оно позволяет создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями.

Регулярно проводите автоматизированное резервное копирование данных сертификатов Key Vault, ключей, управляемых учетных записей хранения и секретов с помощью команд PowerShell.

Ответственность: Customer

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Руководство. Осуществляйте периодическое восстановление данных в Velero Backup. При необходимости протестируйте восстановление в изолированной виртуальной сети.

Периодически выполняйте восстановление данных сертификатов Key Vault, ключей, управляемых учетных записей хранения и секретов с помощью команд PowerShell.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Руководство. Осуществляйте резервное копирование данных с помощью соответствующего средства для хранилища, такого как Velero. Оно позволяет создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями.

Включите Soft-Delete в Key Vault, чтобы защитить ключи от случайного или злонамеренного удаления, если Azure Key Vault используется при развертываниях службы Azure Kubernetes Service (AKS).

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Определите приоритеты предупреждений, которые должны быть исследованы первыми, на основании серьезности, назначенной в Microsoft Defender для облака. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению. Четко пометьте подписки (например, "производственные", "непроизводственные") и создайте систему именования, чтобы четко определить и классифицировать ресурсы Azure.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Руководство. Проводите тренировки, чтобы периодически тестировать возможности ваших систем реагировать на угрозы. Выявляйте слабые точки и упущения и пересматривайте свой план реагирования в соответствии с обнаруженным.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Рекомендации. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим пользовательским данным был получен незаконный или несанкционированный доступ.

Проверяйте инциденты после факта обращения, чтобы убедиться в том, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Используйте функцию непрерывного экспорта для оповещений и рекомендаций Microsoft Defender для облака. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме.

Выберите соединитель данных Microsoft Defender для облака, чтобы организовать потоковую передачу оповещений в Microsoft Sentinel в соответствии с требованиями вашей организации.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте возможности автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически реагировать на оповещения и рекомендации по безопасности через Logic Apps.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Руководство. Следуйте правилам взаимодействия Майкрософт, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Дополнительные сведения о стратегии Майкрософт и выполнении Red Teaming, а также о тестировании на проникновение в управляемую Майкрософт облачную инфраструктуру, службы и приложения можно найти по приведенным ссылкам.

Ответственность: Совмещаемая блокировка

Дальнейшие действия