Azure-säkerhetsbaslinje för Azure Kubernetes Service

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 1.0 till Azure Kubernetes. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Kubernetes.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Kubernetes Service, eller för vilka ansvaret är Microsofts, har exkluderats. Information om hur Azure Kubernetes Service helt mappar till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Kubernetes Service säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Som standard skapas en nätverkssäkerhetsgrupp och routningstabell automatiskt när ett Microsoft Azure Kubernetes Service-kluster (AKS) skapas. AKS ändrar automatiskt nätverkssäkerhetsgrupper för lämpligt trafikflöde när tjänster skapas med lastbalanserare, portmappningar eller inkommande vägar. Nätverkssäkerhetsgruppen associeras automatiskt med de virtuella nätverkskorten på kundnoder och routningstabellen med undernätet i det virtuella nätverket.

Använd AKS-nätverksprinciper för att begränsa nätverkstrafiken genom att definiera regler för inkommande och utgående trafik mellan Linux-poddar i ett kluster baserat på val av namnrymder och etikettväljare. Nätverksprincipanvändning kräver Azure CNI-plugin-programmet med definierat virtuellt nätverk och undernät och kan bara aktiveras när klustret skapas. De kan inte distribueras i ett befintligt AKS-kluster.

Du kan implementera ett privat AKS-kluster för att säkerställa att nätverkstrafiken mellan AKS API-servern och nodpoolerna endast finns kvar i det privata nätverket. Kontrollplanet eller API-servern finns i en AKS-hanterad Azure-prenumeration och använder interna IP-adresser (RFC1918), medan kundens kluster- eller nodpool finns i sin egen prenumeration. Servern och klustret eller nodpoolen kommunicerar med varandra med hjälp av Azure Private Link-tjänsten i det virtuella API-servernätverket och en privat slutpunkt som exponeras i undernätet för kundens AKS-kluster. Du kan också använda en offentlig slutpunkt för AKS API-servern men begränsa åtkomsten med AKS API-serverns auktoriserade IP-intervallfunktion.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerService:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverkskort

Vägledning: Använd Microsoft Defender för molnet och följ dess nätverksskyddsrekommendationer för att skydda de nätverksresurser som används av dina Azure Kubernetes Service-kluster (AKS).

Aktivera flödesloggar för nätverkssäkerhetsgrupper och skicka loggarna till ett Azure Storage-konto för granskning. Du kan också skicka flödesloggarna till en Log Analytics-arbetsyta och sedan använda Traffic Analytics för att ge insikter om trafikmönster i Azure-molnet för att visualisera nätverksaktivitet, identifiera hotpunkter och säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.3: Skydda kritiska webbprogram

Vägledning: Använd en Azure Application Gateway aktiverad Web Application Firewall (WAF) framför ett AKS-kluster för att ge ytterligare ett säkerhetslager genom att filtrera inkommande trafik till dina webbprogram. Azure WAF använder en uppsättning regler som tillhandahålls av Open Web Application Security Project (OWASP) för attacker, till exempel skript mellan webbplatser eller cookieförgiftning mot den här trafiken.

Använd en API-gateway för autentisering, auktorisering, begränsning, cachelagring, transformering och övervakning för API:er som används i AKS-miljön. En API-gateway fungerar som en ytterdörr till mikrotjänsterna, frikopplar klienter från dina mikrotjänster och minskar komplexiteten hos dina mikrotjänster genom att ta bort hanteringen av övergripande problem.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Aktivera Standardskydd för Microsoft Distributed Denial-of-Service (DDoS) i de virtuella nätverk där Azure Kubernetes Service (AKS) komponenter distribueras för skydd mot DDoS-attacker.

Installera nätverksprincipmotorn och skapa Kubernetes-nätverksprinciper för att styra trafikflödet mellan poddar i AKS eftersom all trafik som standard tillåts mellan dessa poddar. Nätverksprincip bör endast användas för Linux-baserade noder och poddar i AKS. Definiera regler som begränsar poddkommunikationen för förbättrad säkerhet.

Välj att tillåta eller neka trafik baserat på inställningar som tilldelade etiketter, namnområde eller trafikport. De nätverksprinciper som krävs kan tillämpas automatiskt eftersom poddar skapas dynamiskt i ett AKS-kluster.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: Använd Network Watcher paketinsamling som krävs för att undersöka avvikande aktivitet.

Network Watcher aktiveras automatiskt i det virtuella nätverkets region när du skapar eller uppdaterar ett virtuellt nätverk i din prenumeration. Du kan också skapa nya instanser av Network Watcher med hjälp av PowerShell, Azure CLI, REST API eller Azure Resource Manager Client-metoden

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Skydda ditt Azure Kubernetes Service-kluster (AKS) med en Azure Application Gateway aktiverad med en Web Application Firewall (WAF).

Om intrångsidentifiering och/eller skydd baserat på nyttolastgranskning eller beteendeanalys inte är ett krav kan en Azure Application Gateway med WAF användas och konfigureras i "identifieringsläge" för att logga aviseringar och hot, eller "förebyggande läge" för att aktivt blockera identifierade intrång och attacker.

Ansvar: Kund

1.8: Minimera komplexitet och administrativa kostnader för nätverkssäkerhetsregler

Vägledning: Använd tjänsttaggar för virtuella nätverk för att definiera nätverksåtkomstkontroller för nätverkssäkerhetsgrupper som är associerade med Azure Kubernetes Service-instanser (AKS). Tjänsttaggar kan användas i stället för specifika IP-adresser när du skapar säkerhetsregler för att tillåta eller neka trafik för motsvarande tjänst genom att ange namnet på tjänsttaggen.

Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Tillämpa en Azure-tagg på nodpooler i ditt AKS-kluster. De skiljer sig från tjänsttaggar för virtuella nätverk och tillämpas på varje nod i nodpoolen och bevaras genom uppgraderingar.

Ansvar: Kund

1.9: Underhåll standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer med Azure Policy för nätverksresurser som är associerade med dina Azure Kubernetes Service-kluster (AKS).

Använd Azure Policy alias i namnrymderna "Microsoft.ContainerService" och "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina AKS-kluster.

Använd också inbyggda principdefinitioner relaterade till AKS, till exempel:

  • Auktoriserade IP-intervall ska definieras på Kubernetes Services

  • Använder inkommande HTTPS i Kubernetes-kluster

  • Se till att tjänsterna endast lyssnar på tillåtna portar i Kubernetes-kluster

Ytterligare information finns på de refererade länkarna.

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Använd taggar för nätverkssäkerhetsgrupper och andra resurser för trafikflöde till och från Azure Kubernetes Service-kluster (AKS). Använd fältet Beskrivning för enskilda regler för nätverkssäkerhetsgrupper för att ange affärsbehov och/eller varaktighet och så vidare för alla regler som tillåter trafik till/från ett nätverk.

Använd någon av de inbyggda Azure Policy taggningsrelaterade definitionerna, till exempel "Kräv tagg och dess värde" som säkerställer att alla resurser skapas med taggar och för att ta emot meddelanden om befintliga otaggade resurser.

Välj att tillåta eller neka specifika nätverkssökvägar i klustret baserat på namnområden och etikettväljare med nätverksprinciper. Använd dessa namnrymder och etiketter som beskrivningar för trafikkonfigurationsregler. Använd Azure PowerShell eller Azures kommandoradsgränssnitt (CLI) för att söka efter eller utföra åtgärder på resurser baserat på deras taggar.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka nätverksresurskonfigurationer och identifiera ändringar för nätverksresurser relaterade till Azure Kubernetes Service-kluster (AKS).

Skapa aviseringar i Azure Monitor som utlöses när ändringar av kritiska nätverksresurser sker. Alla poster från AzureContainerService-användaren i aktivitetsloggarna loggas som plattformsåtgärder.

Använd Azure Monitor-loggar för att aktivera och fråga loggarna från AKS huvudkomponenterna kube-apiserver och kube-controller-manager. Skapa och hantera noderna som kör kubelet med containerkörning och distribuera deras program via den hanterade Kubernetes API-servern.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.1: Använd godkända tidssynkroniseringskällor

Vägledning: Azure Kubernetes Service noder (AKS) använder ntp.ubuntu.com för tidssynkronisering, tillsammans med UDP-port 123 och NTP (Network Time Protocol).

Se till att NTP-servrar är tillgängliga för klusternoderna om du använder anpassade DNS-servrar.

Ansvar: Delad

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Aktivera granskningsloggar från AKS-huvudkomponenter (Azure Kubernetes Services), kube-apiserver och kube-controller-manager, som tillhandahålls som en hanterad tjänst.

  • kube-auditaksService: Visningsnamnet i granskningsloggen för kontrollplanets åtgärd (från hcpService)

  • masterclient: Visningsnamnet i granskningsloggen för MasterClientCertificate, certifikatet du får från az aks get-credentials

  • nodeclient: Visningsnamnet för ClientCertificate, som används av agentnoder

Aktivera även andra granskningsloggar, till exempel kube-audit.

Exportera loggarna till Log Analytics eller en annan lagringsplattform. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivlagring.

Aktivera och publicera dessa data till Microsoft Sentinel eller en SIEM från tredje part baserat på organisationens affärskrav.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Använd aktivitetsloggar för att övervaka åtgärder på Azure Kubernetes Service-resurser (AKS) för att visa all aktivitet och deras status. Ta reda på vilka åtgärder som vidtogs för resurserna i din prenumeration med aktivitetsloggar:

  • som startade åtgärden
  • när åtgärden inträffade
  • status för åtgärden
  • värdena för andra egenskaper som kan hjälpa dig att undersöka åtgärden

Hämta information från aktivitetsloggen via Azure PowerShell, Azure Command Line Interface (CLI), Azure REST API eller Azure Portal.

Aktivera granskningsloggar på AKS-huvudkomponenter, till exempel:

  • kube-auditaksService: Visningsnamnet i granskningsloggen för kontrollplanets åtgärd (från hcpService)

  • masterclient: Visningsnamnet i granskningsloggen för MasterClientCertificate, certifikatet du får från az aks get-credentials

  • nodeclient: Visningsnamnet för ClientCertificate, som används av agentnoder

Aktivera även andra granskningsloggar, till exempel kube-audit.

Ansvar: Kund

2.4: Samla in säkerhetsloggar från operativsystem

Vägledning: Aktivera automatisk installation av Log Analytics-agenter för insamling av data från AKS-klusternoderna. Aktivera även automatisk etablering av Azure Log Analytics-övervakningsagenten från Microsoft Defender för molnet, som standard är automatisk etablering inaktiverad. Agenten kan också installeras manuellt. Med automatisk etablering på distribuerar Microsoft Defender för molnet Log Analytics-agenten på alla virtuella Azure-datorer som stöds och eventuella nya som skapas.

Microsoft Defender för molnet samlar in data från Azure Virtual Machines (VM), VM-skalningsuppsättningar och IaaS-containrar, till exempel Kubernetes-klusternoder, för att övervaka säkerhetsrisker och hot. Data samlas in med Azure Log Analytics-agenten, som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din arbetsyta för analys.

Datainsamling krävs för att ge insyn i saknade uppdateringar, felkonfigurerade os-säkerhetsinställningar, slutpunktsskyddsstatus och hälso- och hotidentifieringar.

Ansvar: Delad

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: Registrera dina Azure Kubernetes Service-instanser (AKS) till Azure Monitor och ange motsvarande kvarhållningsperiod för Azure Log Analytics-arbetsytan enligt organisationens efterlevnadskrav.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Registrera dina Azure Kubernetes Service-instanser (AKS) i Azure Monitor och konfigurera diagnostikinställningar för klustret.

Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor på loggdata. Azure Monitor-loggar aktiveras och hanteras i Azure Portal, eller via CLI, och fungerar med både Kubernetes rollbaserad åtkomstkontroll (Kubernetes RBAC), Azure RBAC och icke-RBAC-aktiverade AKS-kluster.

Visa loggarna som genereras av AKS-huvudkomponenterna (kube-apiserver och kube-controllermanager) för felsökning av program och tjänster. Aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part för central logghantering och övervakning.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Använd Azure Kubernetes Service (AKS) tillsammans med Microsoft Defender för molnet för att få djupare insyn i AKS-noder.

Granska Microsoft Defender for Cloud-aviseringar om hot och skadlig aktivitet som identifierats på värden och på klusternivå. Microsoft Defender för molnet implementerar kontinuerlig analys av råa säkerhetshändelser som inträffar i ett AKS-kluster, till exempel nätverksdata, skapande av processer och Kubernetes-granskningsloggen. Kontrollera om den här aktiviteten är förväntat beteende eller om programmet fungerar felaktigt. Använd mått och loggar i Azure Monitor för att underbygga dina resultat.

Ansvar: Kund

2.8: Centralisera loggning av skadlig kod

Vägledning: Installera och aktivera Microsoft Anti-malware för Azure för att Azure Kubernetes Service (AKS) virtuella datorer och vm-skalningsuppsättningsnoder. Granska aviseringar i Microsoft Defender för molnet för reparation.

Ansvar: Kund

2.9: Aktivera DNS-frågeloggning

Vägledning: Azure Kubernetes Service (AKS) använder CoreDNS-projektet för dns-klusterhantering och -matchning.

Aktivera DNS-frågeloggning genom att tillämpa dokumenterad konfiguration i din coredns-anpassade ConfigMap.

Ansvar: Kund

2.10: Aktivera loggning av kommandoradsgranskning

Vägledning: Använd kubectl, en kommandoradsklient, i Azure Kubernetes Service (AKS) för att hantera ett Kubernetes-kluster och hämta loggarna från AKS-noden i felsökningssyfte. Kubectl är redan installerat om du använder Azure Cloud Shell. Om du vill installera kubectl lokalt använder du cmdleten Install-AzAksKubectl.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identity and Access Control (Azure Security Benchmark: Identity and Access Control).

3.1: Upprätthålla en förteckning över administrativa konton

Vägledning: Azure Kubernetes Service (AKS) tillhandahåller inte en identitetshanteringslösning som lagrar vanliga användarkonton och lösenord. Med Azure Active Directory-integrering (Azure AD) kan du ge användare eller grupper åtkomst till Kubernetes-resurser i ett namnområde eller i hela klustret.

Utföra ad hoc-frågor för att identifiera konton som är medlemmar i AKS-administrativa grupper med Azure AD PowerShell-modulen

Använd Azure CLI för åtgärder som "Hämta autentiseringsuppgifter för åtkomst för ett hanterat Kubernetes-kluster" för att underlätta avstämning av åtkomst regelbundet. Implementera den här processen för att hålla en uppdaterad inventering av tjänstkontona, som är en annan primär användartyp i AKS. Framtvinga microsoft Defender för molnets rekommendationer för identitets- och åtkomsthantering.

Ansvar: Kund

3.2: Ändra standardlösenord där det är tillämpligt

Vägledning: Azure Kubernetes Service (AKS) har inte begreppet vanliga standardlösenord och tillhandahåller ingen identitetshanteringslösning där vanliga användarkonton och lösenord kan lagras. Med Azure Active Directory-integrering (Azure AD) kan du bevilja rollbaserad åtkomst till AKS-resurser inom ett namnområde eller i hela klustret.

Utföra ad hoc-frågor för att identifiera konton som är medlemmar i AKS-administrativa grupper med Azure AD PowerShell-modulen

Ansvar: Kund

3.3: Använda dedikerade administrativa konton

Vägledning: Integrera användarautentisering för dina Azure Kubernetes Service-kluster (AKS) med Azure Active Directory (Azure AD). Logga in på ett AKS-kluster med en Azure AD autentiseringstoken. Konfigurera Rollbaserad åtkomstkontroll för Kubernetes (Kubernetes RBAC) för administrativ åtkomst till Kubernetes-konfigurationsinformation (kubeconfig), namnrymder och klusterresurser.

Skapa principer och procedurer kring användningen av dedikerade administrativa konton. Implementera rekommendationer för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

3.4: Använd enkel inloggning (SSO) med Azure Active Directory

Vägledning: Använd enkel inloggning för Azure Kubernetes Service (AKS) med Azure Active Directory -integrerad autentisering (Azure AD) för ett AKS-kluster.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Integrera autentisering för Azure Kubernetes Service (AKS) med Azure Active Directory (Azure AD).

Aktivera Azure AD multifaktorautentisering och följ rekommendationerna för Identitets- och åtkomsthantering i Microsoft Defender för molnet.

Ansvar: Kund

3.6: Använd dedikerade datorer (privilegierade arbetsstationer för åtkomst) för alla administrativa uppgifter

Vägledning: Använd en PAW (Privileged Access Workstation), med Multi-Factor Authentication (MFA), konfigurerad för att logga in på dina angivna Azure Kubernetes Service-kluster (AKS) och relaterade resurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Använd Azure Active Directory-säkerhetsrapporter (Azure AD) med Azure AD-integrerad autentisering för Azure Kubernetes Service (AKS). Aviseringar kan genereras när misstänkt eller osäker aktivitet inträffar i miljön. Använd Microsoft Defender för molnet för att övervaka identitets- och åtkomstaktivitet.

Ansvar: Kund

3.8: Hantera endast Azure-resurser från godkända platser

Vägledning: Använd namngivna platser för villkorlig åtkomst för att tillåta åtkomst till Azure Kubernetes Service-kluster (AKS) från endast specifika logiska grupperingar av IP-adressintervall eller länder/regioner. Detta kräver integrerad autentisering för AKS med Azure Active Directory (Azure AD).

Begränsa åtkomsten till AKS API-servern från en begränsad uppsättning IP-adressintervall, eftersom den tar emot begäranden om att utföra åtgärder i klustret för att skapa resurser eller skala antalet noder.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som det centrala autentiserings- och auktoriseringssystemet för Azure Kubernetes Service (AKS). Azure AD skyddar data genom att använda stark kryptering för vilande data och under överföring och salter, hashvärden och på ett säkert sätt lagrar användarautentiseringsuppgifter.

Använd de inbyggda AKS-rollerna med rollbaserad åtkomstkontroll i Azure (Azure RBAC) – Resursprincipdeltagare och ägare för principtilldelningsåtgärder till ditt Kubernetes-kluster

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Använd Azure Active Directory-säkerhetsrapporter (Azure AD) med Azure AD-integrerad autentisering för Azure Kubernetes Service (AKS). Sök Azure AD loggar för att identifiera inaktuella konton.

Utför Åtkomstgranskningar av Azure Identity för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Åtgärda rekommendationer för identitet och åtkomst från Microsoft Defender för molnet.

Var medveten om roller som används för support- eller felsökningsändamål. Till exempel utförs alla klusteråtgärder som vidtas av Microsofts support (med användarmedgivande) under en inbyggd Kubernetes-roll "redigera" för namnet aks-support-rolebinding. AKS-stöd är aktiverat med den här rollen för att redigera klusterkonfiguration och resurser för att felsöka och diagnostisera klusterproblem. Den här rollen kan dock inte ändra behörigheter eller skapa roller eller rollbindningar. Den här rollåtkomsten aktiveras endast under aktiva supportärenden med jit-åtkomst (just-in-time).

Ansvar: Kund

3.11: Övervaka försök att komma åt inaktiverade autentiseringsuppgifter

Vägledning: Integrera användarautentisering för Azure Kubernetes Service (AKS) med Azure Active Directory (Azure AD). Skapa diagnostikinställningar för Azure AD och skicka gransknings- och inloggningsloggarna till en Azure Log Analytics-arbetsyta. Konfigurera önskade aviseringar (till exempel när ett inaktiverat konto försöker logga in) på en Azure Log Analytics-arbetsyta.

Ansvar: Kund

3.12: Avisering om kontoinloggningsbeteendeavvikelse

Vägledning: Integrera användarautentisering för Azure Kubernetes Service (AKS) med Azure Active Directory (Azure AD). Använd Azure AD funktionen Riskidentifieringar och identitetsskydd för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter. Mata in data i Microsoft Sentinel för ytterligare undersökningar baserat på affärsbehov.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Upprätthålla en inventering av känslig information

Vägledning: Använd taggar för resurser som rör Azure Kubernetes Service-distributioner (AKS) för att spåra Azure-resurser som lagrar eller bearbetar känslig information.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Isolera team och arbetsbelastningar logiskt i samma kluster med Azure Kubernetes Service (AKS) för att ge minst antal privilegier, begränsade till de resurser som krävs av varje team.

Använd namnområdet i Kubernetes för att skapa en logisk isoleringsgräns. Överväg att implementera ytterligare Kubernetes-funktioner för isolering och flera innehavare, till exempel schemaläggning, nätverk, autentisering/auktorisering och containrar.

Implementera separata prenumerationer och/eller hanteringsgrupper för utvecklings-, test- och produktionsmiljöer. Avgränsa AKS-kluster med nätverk genom att distribuera dem till distinkta virtuella nätverk, som är taggade på rätt sätt.

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: Använd en tredjepartslösning från Azure Marketplace på nätverksperimeter som övervakar obehörig överföring av känslig information och blockerar sådana överföringar samtidigt som informationssäkerhetspersonal varnas.

Microsoft hanterar den underliggande plattformen och behandlar allt kundinnehåll som känsligt och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.4: Kryptera all känslig information under överföring

Vägledning: Skapa en HTTPS-ingresskontrollant och använd dina egna TLS-certifikat (eller eventuellt Let's Encrypt) för dina Azure Kubernetes Service-distributioner (AKS).

Kubernetes utgående trafik krypteras som standard via HTTPS/TLS. Granska eventuell okrypterad utgående trafik från dina AKS-instanser för ytterligare övervakning. Detta kan inkludera NTP-trafik, DNS-trafik, HTTP-trafik för att hämta uppdateringar i vissa fall.

Ansvar: Kund

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: Funktioner för dataidentifiering, klassificering och förlustskydd är ännu inte tillgängliga för Azure Storage- eller beräkningsresurser. Implementera en tredjepartslösning om det behövs i efterlevnadssyfte. Microsoft hanterar den underliggande plattformen och behandlar allt kundinnehåll som känsligt och gör stora åtgärder för att skydda mot förlust och exponering av kunddata.

För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Kund

4.6: Använd Azure RBAC för att hantera åtkomst till resurser

Vägledning: Använd auktoriseringssystemet azure-rollbaserad åtkomstkontroll (Azure RBAC) som bygger på Azure Resource Manager för att ge detaljerad åtkomsthantering av Azure-resurser.

Konfigurera Azure Kubernetes Service (AKS) att använda Azure Active Directory (Azure AD) för användarautentisering. Logga in på ett AKS-kluster med Azure AD autentiseringstoken med den här konfigurationen.

Använd de inbyggda AKS-rollerna med Azure RBAC – Resursprincipdeltagare och ägare för principtilldelningsåtgärder till DITT AKS-kluster

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerService:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2

4.7: Använd värdbaserad dataförlustskydd för att framtvinga åtkomstkontroll

Vägledning: Funktioner för dataidentifiering, klassificering och förlustskydd är ännu inte tillgängliga för Azure Storage- eller beräkningsresurser. Implementera en tredjepartslösning om det behövs i efterlevnadssyfte. Microsoft hanterar den underliggande plattformen och behandlar allt kundinnehåll som känsligt och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Kund

4.8: Kryptera känslig information i vila

Vägledning: De två primära typerna av lagring som tillhandahålls för volymer i Azure Kubernetes Service (AKS) backas upp av Azure Disks eller Azure Files. Båda typerna av lagring använder Azure Storage Service Encryption (SSE), som krypterar vilande data för att förbättra säkerheten. Som standard krypteras data med Microsoft-hanterade nycklar.

Kryptering i vila med kundhanterade nycklar är tillgängligt för kryptering av både OPERATIVSYSTEM- och datadiskar i AKS-kluster för ytterligare kontroll över krypteringsnycklar. Kunderna äger ansvaret för viktiga hanteringsaktiviteter som nyckelsäkerhetskopiering och rotation. Diskar kan för närvarande inte krypteras med Azure Disk Encryption på AKS-nodnivå.

Ansvar: Delad

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Använd Azure Monitor för containrar för att övervaka prestanda för containerarbetsbelastningar som distribuerats till hanterade Kubernetes-kluster som finns på Azure Kubernetes Service (AKS).

Konfigurera aviseringar för proaktiva meddelanden eller loggskapande när PROCESSOR- och minnesanvändning på noder eller containrar överskrider definierade tröskelvärden, eller när en hälsotillståndsändring sker i klustret i infrastrukturen eller nodernas hälsosammanslagning.

Använd Azure-aktivitetsloggen för att övervaka dina AKS-kluster och relaterade resurser på en hög nivå. Integrera med Prometheus för att visa program- och arbetsbelastningsmått som samlas in från noder och Kubernetes med hjälp av frågor för att skapa anpassade aviseringar, instrumentpaneler och detaljerad analys.

Ansvar: Kund

Sårbarhetshantering

Mer information finns i Azure Security Benchmark: Vulnerability Management( Azure Security Benchmark: Vulnerability Management).

5.1: Kör automatiserade verktyg för sårbarhetsgenomsökning

Vägledning: Använd Microsoft Defender för molnet för att övervaka dina Azure Container Registry inklusive Azure Kubernetes Service (AKS)-instanser för sårbarheter. Aktivera containerregisterpaketet i Microsoft Defender för molnet för att säkerställa att Microsoft Defender för molnet är redo att skanna avbildningar som skickas till registret.

Få ett meddelande på microsoft Defender för molnet-instrumentpanelen när problem hittas när Microsoft Defender för molnet genomsöker avbildningen med Hjälp av Qualys. Paketfunktionen Container Registries ger djupare insyn i sårbarheter i de avbildningar som används i Azure Resource Manager-baserade register.

Använd Microsoft Defender för molnet för åtgärdsinriktade rekommendationer för varje säkerhetsrisk. Dessa rekommendationer innehåller en allvarlighetsgrad och vägledning för reparation.

Ansvar: Kund

5.2: Distribuera automatiserad lösning för korrigeringshantering av operativsystem

Vägledning: Säkerhetsuppdateringar tillämpas automatiskt på Linux-noder för att skydda kundens Azure Kubernetes Service-kluster (AKS). Dessa uppdateringar omfattar os-säkerhetskorrigeringar eller kerneluppdateringar.

Observera att processen för att hålla Windows Server-noder uppdaterade skiljer sig från noder som kör Linux eftersom Windows-servernoder inte får dagliga uppdateringar. I stället måste kunderna uppgradera Windows Server-nodpoolerna i sina AKS-kluster som distribuerar nya noder med den senaste grundläggande Windows Server-avbildningen och korrigeringar med hjälp av Azure-kontrollpanelen eller Azure CLI. De här uppdateringarna innehåller säkerhets- eller funktionsförbättringar för AKS.

Ansvar: Kund

5.3: Distribuera en automatiserad korrigeringshanteringslösning för programvarutitlar från tredje part

Vägledning: Implementera en manuell process för att säkerställa att Azure Kubernetes Service (AKS) klusternodens program från tredje part förblir korrigerade under klusterlivslängden. Detta kan kräva aktivering av automatiska uppdateringar, övervakning av noderna eller periodiska omstarter.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerService:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända säkerhetsrisker i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes-versionerna 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granskning, inaktiverad 1.0.2

5.4: Jämför sårbarhetsgenomsökningar från back-to-back

Vägledning: Exportera genomsökningsresultat för Microsoft Defender för molnet med jämna mellanrum och jämför resultaten för att kontrollera att säkerhetsrisker har åtgärdats.

Använd PowerShell-cmdleten "Get-AzSecurityTask" för att automatisera hämtningen av säkerhetsuppgifter som Microsoft Defender för molnet rekommenderar att du utför för att förbättra din säkerhetsstatus och genomsökningsresultat för säkerhetsrisker.

Ansvar: Kund

5.5: Använd en riskklassificeringsprocess för att prioritera reparationen av identifierade säkerhetsrisker

Vägledning: Använd allvarlighetsgrad som tillhandahålls av Microsoft Defender för molnet för att prioritera reparationen av säkerhetsrisker.

Använd Common Vulnerability Scoring System (CVSS) (eller ett annat bedömningssystem som tillhandahålls av genomsökningsverktyget) om du använder ett inbyggt verktyg för sårbarhetsbedömning (till exempel Qualys eller Rapid7, som erbjuds av Azure).

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management(Azure Security Benchmark: Inventering och tillgångshantering).

6.1: Använd en automatiserad lösning för identifiering av tillgångar

Vägledning: Använd Azure Resource Graph för att fråga/identifiera alla resurser (till exempel beräkning, lagring, nätverk och så vidare) i dina prenumerationer. Se till att du har rätt (läsbehörighet) i din klientorganisation och kan räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Även om klassiska Azure-resurser kan identifieras via Resource Graph rekommenderar vi starkt att du skapar och använder Azure Resource Manager-baserade resurser framöver.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Tillämpa taggar på Azure-resurser med metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra tillgångar.

Använd taints, etiketter eller taggar när du skapar en Azure Kubernetes Service -nodpool (AKS). Alla noder i nodpoolen ärver också den taint-, etikett- eller taggen.

Taints, etiketter eller taggar kan användas för att stämma av inventering regelbundet och se till att obehöriga resurser tas bort från prenumerationer i tid.

Ansvar: Kund

6.4: Definiera och underhålla en inventering av godkända Azure-resurser

Vägledning: Definiera en lista över godkända Azure-resurser och godkänd programvara för beräkningsresurser baserat på organisationens affärsbehov.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att ange begränsningar för vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper

  • Tillåtna resurstyper

Använd Azure Resource Graph för att fråga/identifiera resurser i dina prenumerationer. Se till att alla Azure-resurser som finns i miljön är godkända baserat på organisationens affärskrav.

Ansvar: Kund

6.6: Övervaka för icke godkända program i beräkningsresurser

Vägledning: Använd Azure Automation Ändringsspårning och inventering-funktioner för att ta reda på programvara som är installerad i din miljö.

Samla in och visa inventering för programvara, filer, Linux-daemons, Windows-tjänster och Windows-registernycklar på dina datorer och övervaka för icke godkända program.

Spåra konfigurationerna av dina datorer för att hjälpa dig att hitta driftsproblem i din miljö och bättre förstå tillståndet för dina datorer.

Ansvar: Kund

6.7: Ta bort ej godkända Azure-resurser och program

Vägledning: Använd Azure Automation Ändringsspårning och inventering-funktioner för att ta reda på programvara som är installerad i din miljö.

Samla in och visa inventering för programvara, filer, Linux-daemons, Windows-tjänster och Windows-registernycklar på dina datorer och övervaka för icke godkända program.

Spåra konfigurationerna av dina datorer för att hjälpa dig att hitta driftsproblem i din miljö och bättre förstå tillståndet för dina datorer.

Ansvar: Kund

6.8: Använd endast godkända program

Vägledning: Använd Azure Automation Ändringsspårning och inventering funktioner för att ta reda på programvara som är installerad i din miljö.

Samla in och visa inventering för programvara, filer, Linux-daemons, Windows-tjänster och Windows-registernycklar på dina datorer och övervaka för program som inte har godkänts.

Spåra konfigurationerna av dina datorer för att hjälpa dig att identifiera driftsproblem i din miljö och bättre förstå tillståndet för dina datorer.

Aktivera analys av anpassningsbara program i Microsoft Defender för molnet för program som finns i din miljö.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper

  • Tillåtna resurstyper

Använd Azure Resource Graph för att fråga/identifiera resurser i dina prenumerationer. Kontrollera att alla Azure-resurser som finns i miljön är godkända.

Ansvar: Kund

6.10: Underhåll en inventering av godkända programvarutitlar

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer med hjälp av inbyggda principdefinitioner.

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Ansvar: Kund

6.12: Begränsa användarnas möjlighet att köra skript i beräkningsresurser

Vägledning: Azure Kubernetes Service (AKS) tillhandahåller inte en identitetshanteringslösning där vanliga användarkonton och lösenord lagras. Använd i stället Azure Active Directory (Azure AD) som den integrerade identitetslösningen för dina AKS-kluster.

Ge användare eller grupper åtkomst till Kubernetes-resurser i ett namnområde eller i klustret med hjälp av Azure AD integrering.

Använd Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i dina ADMINISTRATIVA AKS-grupper och använda den för att stämma av åtkomst regelbundet. Använd Azure CLI för åtgärder som "Hämta autentiseringsuppgifter för åtkomst för ett hanterat Kubernetes-kluster. Implementera rekommendationer för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

6.13: Fysiskt eller logiskt avgränsa högriskprogram

Vägledning: Använd Azure Kubernetes Service-funktioner (AKS) för att logiskt isolera team och arbetsbelastningar i samma kluster för minst antal behörigheter, begränsade till de resurser som krävs av varje team.

Implementera namnrymd i Kubernetes för att skapa en logisk isoleringsgräns. Använd Azure Policy alias i namnområdet "Microsoft.ContainerService" för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Azure Kubernetes Service-instanser (AKS).

Granska och implementera ytterligare Kubernetes-funktioner och överväganden för isolering och flera innehavare för att inkludera följande: schemaläggning, nätverk, autentisering/auktorisering och containrar. Använd även separata prenumerationer och hanteringsgrupper för utveckling, testning och produktion. Avgränsa AKS-kluster med virtuella nätverk, undernät som är taggade på rätt sätt och skyddade med en Web Application Firewall (WAF).

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Använd Azure Policy alias i namnområdet "Microsoft.ContainerService" för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Azure Kubernetes Service-instanser (AKS). Använd inbyggda Azure Policy definitioner.

Exempel på inbyggda principdefinitioner för AKS är:

  • Använder inkommande HTTPS i Kubernetes-kluster

  • Auktoriserade IP-intervall ska definieras på Kubernetes Services

  • Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services

  • Ser till att endast tillåtna containeravbildningar finns i Kubernetes-klustret

Exportera en mall för AKS-konfigurationen i JavaScript Object Notation (JSON) med Azure Resource Manager. Granska det regelbundet för att säkerställa att dessa konfigurationer uppfyller säkerhetskraven för din organisation. Använd rekommendationerna från Microsoft Defender för molnet som en säker konfigurationsbaslinje för dina Azure-resurser.

Ansvar: Kund

7.2: Upprätta säkra operativsystemkonfigurationer

Vägledning: AkS-kluster (Azure Kubernetes Clusters) distribueras på virtuella värddatorer med ett säkerhetsoptimerat operativsystem. Värdoperativsystemet har ytterligare säkerhetshärdningssteg som ingår i det för att minska attackytan och möjliggör distribution av containrar på ett säkert sätt.

Azure tillämpar dagliga korrigeringar (inklusive säkerhetskorrigeringar) på virtuella AKS-värdar med vissa korrigeringar som kräver omstart. Kunderna ansvarar för att schemalägga omstarter av AKS Virtual Machine-värd efter behov.

Ansvar: Delad

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Skydda ditt Azure Kubernetes Service-kluster (AKS) med hjälp av poddsäkerhetsprinciper. Begränsa vilka poddar som kan schemaläggas för att förbättra säkerheten för klustret.

Poddar som begär resurser som inte tillåts kan inte köras i AKS-klustret.

Använd också Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säkra inställningar för Azure-resurser som är relaterade till dina AKS-distributioner (till exempel virtuella nätverk, undernät, Azure Firewalls, lagringskonton och så vidare).

Skapa anpassade Azure Policy definitioner med hjälp av alias från följande namnområden:

  • Microsoft.ContainerService

  • Microsoft.Network

Ytterligare information finns på de refererade länkarna.

Ansvar: Kund

7.4: Underhålla säkra operativsystemkonfigurationer

Vägledning: Azure Kubernetes Service-kluster (AKS) distribueras på virtuella värddatorer med ett säkerhetsoptimerat operativsystem. Värdoperativsystemet har ytterligare säkerhetshärdningssteg som ingår i det för att minska attackytan och möjliggör distribution av containrar på ett säkert sätt.

Se listan över CIS-kontroller (Center for Internet Security) som är inbyggda i värdoperativsystemet.

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Använd Azure Repos för att lagra och hantera dina konfigurationer på ett säkert sätt om du använder anpassade Azure Policy definitioner. Exportera en mall för aks-konfigurationen (Azure Kubernetes Service) i JavaScript Object Notation (JSON) med Azure Resource Manager. Granska den regelbundet för att säkerställa att konfigurationerna uppfyller säkerhetskraven för din organisation.

Implementera lösningar från tredje part, till exempel Terraform, för att skapa en konfigurationsfil som deklarerar resurserna för Kubernetes-klustret. Du kan förstärka AKS-distributionen genom att implementera metodtips för säkerhet och lagra konfigurationen som kod på en skyddad plats.

Ansvar: Kund

7.6: Lagra anpassade operativsystemavbildningar på ett säkert sätt

Vägledning: Gäller inte för Azure Kubernetes Service (AKS). AKS tillhandahåller som standard ett säkerhetsoptimerad värdoperativsystem (OS). Det finns inget aktuellt alternativ för att välja ett alternativt eller anpassat operativsystem.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i prenumerationer med hjälp av inbyggda principdefinitioner samt Azure Policy alias i namnområdet "Microsoft.ContainerService".

Skapa anpassade principer för granskning och framtvinga systemkonfigurationer. Utveckla en process och pipeline för att hantera principfel.

Ansvar: Kund

7.8: Distribuera konfigurationshanteringsverktyg för operativsystem

Vägledning: Azure Kubernetes Service-kluster (AKS) distribueras på virtuella värddatorer med ett säkerhetsoptimerat operativsystem. Värdoperativsystemet har ytterligare säkerhetshärdningssteg som ingår i det för att minska attackytan och möjliggör distribution av containrar på ett säkert sätt.

Se listan över CIS-kontroller (Center for Internet Security) som är inbyggda i AKS-värdar.

Ansvar: Kund

7.9: Implementera automatisk konfigurationsövervakning för Azure-resurser

Vägledning: Använd Microsoft Defender för molnet för att utföra baslinjegenomsökningar efter resurser som är relaterade till dina Azure Kubernetes Service-distributioner (AKS). Exempelresurser inkluderar men är inte begränsade till själva AKS-klustret, det virtuella nätverk där AKS-klustret distribuerades, Det Azure Storage-konto som används för att spåra Terraform-tillstånd eller Azure Key Vault-instanser som används för krypteringsnycklarna för AKS-klustrets operativsystem och datadiskar.

Ansvar: Kund

7.10: Implementera automatisk konfigurationsövervakning för operativsystem

Vägledning: Använd containerrekommendationerna för Microsoft Defender för molnet under avsnittet "Beräkningsappar&" för att utföra baslinjegenomsökningar för dina Azure Kubernetes Service-kluster (AKS).

Få ett meddelande på instrumentpanelen för Microsoft Defender för molnet när konfigurationsproblem eller sårbarheter hittas. Detta kräver att du aktiverar det valfria containerregisterpaketet som gör att Microsoft Defender för molnet kan skanna avbildningen.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: Integrera Azure Key Vault med ett Azure Kubernetes Service-kluster (AKS) med hjälp av en FlexVolume-enhet. Använd Azure Key Vault för att lagra och regelbundet rotera hemligheter som autentiseringsuppgifter, lagringskontonycklar eller certifikat. Med FlexVolume-drivrutinen kan AKS-klustret hämta autentiseringsuppgifter från Key Vault och på ett säkert sätt endast tillhandahålla dem till den begärande podden. Använd en poddhanterad identitet för att begära åtkomst till Key Vault och hämta nödvändiga autentiseringsuppgifter via FlexVolume-drivrutinen. Kontrollera Key Vault Mjuk borttagning är aktiverat.

Begränsa exponeringen av autentiseringsuppgifter genom att inte definiera autentiseringsuppgifter i programkoden.

Undvik att använda fasta eller delade autentiseringsuppgifter.

Ansvar: Kund

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Vägledning: Definiera inte autentiseringsuppgifter i programkoden som bästa praxis för säkerhet. Använd hanterade identiteter för Azure-resurser för att låta en podd autentisera sig mot alla tjänster i Azure som stöder den, inklusive Azure Key Vault. Podden tilldelas en Azure-identitet för att autentisera till Azure Active Directory (Azure AD) och ta emot en digital token som kan visas för andra Azure-tjänster som kontrollerar om podden har behörighet att komma åt tjänsten och utföra nödvändiga åtgärder.

Observera att poddhanterade identiteter endast är avsedda att användas med Linux-poddar och containeravbildningar. Etablera Azure Key Vault för att lagra och hämta digitala nycklar och autentiseringsuppgifter. Nycklar som de som används för att kryptera OS-diskar, AKS-klusterdata kan lagras i Azure Key Vault.

Tjänstens huvudnamn kan också användas i AKS-kluster. Kluster som använder tjänstens huvudnamn kan dock så småningom nå ett tillstånd där tjänstens huvudnamn måste förnyas för att hålla klustret igång. Att hantera tjänstens huvudnamn ökar komplexiteten, vilket är anledningen till att det är enklare att använda hanterade identiteter i stället. Samma behörighetskrav gäller för både tjänstens huvudnamn och hanterade identiteter.

Ansvar: Kund

7.13: Eliminera exponering av oavsiktliga autentiseringsuppgifter

Vägledning: Implementera skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod. Genomsökning av autentiseringsuppgifter uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser som Azure Key Vault med rekommendationer.

Begränsa exponeringen av autentiseringsuppgifter genom att inte definiera autentiseringsuppgifter i programkoden. och undvik att använda delade autentiseringsuppgifter. Azure Key Vault ska användas för att lagra och hämta digitala nycklar och autentiseringsuppgifter. Använd hanterade identiteter för Azure-resurser för att tillåta att podden begär åtkomst till andra resurser.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.1: Använd centralt hanterad programvara mot skadlig kod

Vägledning: AKS hanterar livscykeln och driften av agentnoder åt dig – det går inte att ändra de IaaS-resurser som är associerade med agentnoderna. För Linux-noder kan du dock använda daemonuppsättningar för att installera anpassad programvara som en lösning mot skadlig kod.

Ansvar: Delad

8.2: Förgenomsöka filer som ska laddas upp till azure-resurser som inte beräknas

Vägledning: Genomsök alla filer som laddas upp till dina AKS-resurser i förväg. Använd Microsoft Defender för molnets hotidentifiering för datatjänster för att identifiera skadlig kod som laddats upp till lagringskonton om du använder ett Azure Storage-konto som ett datalager eller för att spåra Terraform-tillstånd för ditt AKS-kluster.

Ansvar: Kund

8.3: Se till att program och signaturer mot skadlig kod uppdateras

Vägledning: AKS hanterar livscykeln och driften av agentnoder åt dig – det går inte att ändra de IaaS-resurser som är associerade med agentnoderna. För Linux-noder kan du dock använda daemonuppsättningar för att installera anpassad programvara som en lösning mot skadlig kod.

Ansvar: Delad

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Säkerhetskopiera dina data med ett lämpligt verktyg för din lagringstyp, till exempel Velero, som kan säkerhetskopiera beständiga volymer tillsammans med ytterligare klusterresurser och konfigurationer. Kontrollera regelbundet integriteten och säkerheten för dessa säkerhetskopior.

Ta bort tillstånd från dina program före säkerhetskopieringen. I de fall då detta inte kan göras säkerhetskopierar du data från beständiga volymer och testar regelbundet återställningsåtgärderna för att verifiera dataintegriteten och de processer som krävs.

Ansvar: Kund

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiering av kundhanterade nycklar

Vägledning: Säkerhetskopiera dina data med ett lämpligt verktyg för din lagringstyp, till exempel Velero, som kan säkerhetskopiera beständiga volymer tillsammans med ytterligare klusterresurser och konfigurationer.

Utför regelbundna automatiserade säkerhetskopieringar av Key Vault certifikat, nycklar, hanterade lagringskonton och hemligheter med PowerShell-kommandon.

Ansvar: Kund

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Utför regelbundet dataåterställning av innehåll i Velero Backup. Om det behövs testar du återställningen till ett isolerat virtuellt nätverk.

Utför regelbundet dataåterställning av Key Vault certifikat, nycklar, hanterade lagringskonton och hemligheter med PowerShell-kommandon.

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Säkerhetskopiera dina data med ett lämpligt verktyg för din lagringstyp, till exempel Velero, som kan säkerhetskopiera beständiga volymer tillsammans med ytterligare klusterresurser och konfigurationer.

Aktivera Soft-Delete i Key Vault för att skydda nycklar mot oavsiktlig eller skadlig borttagning om Azure Key Vault används med för Azure Kubernetes Service -distributioner (AKS).

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Prioritera vilka aviseringar som måste undersökas först med Microsoft Defender för molnet tilldelad allvarlighetsgrad till aviseringar. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen. Markera prenumerationer (till exempel produktion, icke-produktion) och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemets incidenthanteringsfunktioner regelbundet. Identifiera svaga punkter och luckor och ändra incidenthanteringsplaner efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation för säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att kundens data har använts av en otillåten eller obehörig part.

Granska i efterhand incidenter för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med hjälp av funktionen Kontinuerlig export. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt.

Välj dataanslutningsappen Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel efter behov och baserat på organisationens affärsbehov.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsofts regler för engagemang för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Ytterligare information om Microsofts strategi och utförande av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program, finns på de refererade länkarna.

Ansvar: Delad

Nästa steg