Базовый план безопасности Azure для реестра контейнеров

Этот базовый план безопасности применяет рекомендации из Azure Security Benchmark версии 3.0 к Реестру контейнеров. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным в Azure Security Benchmark и связанных руководствах, применимых к реестру контейнеров.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Функции , неприменимые к реестру контейнеров, исключены. Сведения о том, как реестр контейнеров полностью сопоставляется с Azure Security Benchmark, см. в полном файле сопоставления базового плана безопасности для Реестра контейнеров.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении реестра контейнеров, что может привести к повышению безопасности.

Атрибут поведения службы Значение
Категория продуктов Вычисления, контейнеры
Клиент может получить доступ к HOST / OS Нет доступа
Службу можно развернуть в виртуальной сети клиента. Неверно
Хранит неактивный контент клиента True

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Поддержка группы безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов.

Справочник.Частное подключение к реестру контейнеров Azure с помощью Приватный канал Azure

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ACL для IP-адресов уровня обслуживания или включите параметр "Отключить доступ к общедоступной сети" в службе.

Справка.Отключение доступа к общедоступной сети

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.ContainerRegistry.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с определенных общедоступных IP-адресов или диапазонов адресов. Если для реестра нет правила IP-адресов или брандмауэра либо настроенной виртуальной сети, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. Audit, Deny, Disabled 1.1.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: Управление удостоверениями.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справка.Проверка подлинности с помощью реестра контейнеров Azure

Методы локальной проверки подлинности для доступа к плоскости данных

Описание. Методы локальной проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справочные материалы. Создание маркера с разрешениями на уровне репозитория

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте управляемые удостоверения Azure вместо субъектов-служб по возможности, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

Справочник.Использование управляемого удостоверения Azure для проверки подлинности в реестре контейнеров Azure

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Дополнительное руководство. Хотя субъекты-службы поддерживаются службой в качестве шаблона для проверки подлинности, рекомендуется использовать управляемые удостоверения, где это возможно.

Справочные материалы.Реестр контейнеров Azure аутентификации с помощью субъектов-служб

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в тесте производительности безопасности Azure: привилегированный доступ.

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной учетной записи администратора. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Если не требуется для обычных административных операций, отключите или ограничьте все учетные записи локального администратора только для экстренного использования. Каждый реестр контейнеров содержит учетную запись администратора, которая отключена по умолчанию.

Справка.Проверка подлинности с помощью реестра контейнеров Azure

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управления доступом к действиям плоскости данных службы. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справочные материалы. Реестр контейнеров Azure роли и разрешения

PA-8. Определение процесса доступа для поддержки поставщиков облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа в службу поддержки Майкрософт. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. В сценариях поддержки, когда корпорации Майкрософт требуется доступ к данным, используйте защищенное хранилище для проверки, а затем утвердите или отклоните все запросы на доступ к данным Майкрософт.

Справочник.Защищенное хранилище для Microsoft Azure

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение конфиденциальных данных и классификация

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Утечка данных и предотвращение потери

Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключите экспорт реестра контейнеров, чтобы обеспечить доступ к данным исключительно через плоскость данных (docker pull). Это гарантирует, что данные не могут быть перемещены из реестра с помощью импорта acr или с помощью acr transfer.

Справочник.Реестры контейнеров должны иметь отключенные операции экспорта

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справочник.Включение TLS 1.2 в Реестр контейнеров Azure

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, все неактивное содержимое клиента шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справочник.Шифрование реестра с помощью ключа, управляемого платформой

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область службы, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.

Справочник.Шифрование реестра с помощью ключа, управляемого клиентом

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.ContainerRegistry.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Подробная информация собрана на странице https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление активами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную настройку в ресурсах Azure.

Справочник.Аудит соответствия реестров контейнеров Azure с помощью Политика Azure

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для службы или предложения продуктов

Описание. Служба предлагает решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте встроенную функцию обнаружения угроз в Microsoft Defender для облака и включите Microsoft Defender для ресурсов реестра контейнеров. Microsoft Defender для Реестра контейнеров обеспечивает еще один слой аналитики безопасности. Он выявляет необычные и потенциально опасные попытки получить доступ к ресурсам Реестра контейнеров или воспользоваться ими.

Справочные материалы. Обзор Microsoft Defender для контейнеров

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять улучшенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включение журналов ресурсов Azure для реестра контейнеров. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.

Справочник.Мониторинг Реестр контейнеров Azure

Резервное копирование и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: Резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание: служба может создать резервную копию службы Azure Backup. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность резервного копирования в собственном коде службы

Описание: служба поддерживает собственную собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие действия