Azure-säkerhetsbaslinje för Container Registry

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 för Container Registry. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas av de säkerhetskontroller som definieras av Azure Security Benchmark och tillhörande vägledning som gäller för Container Registry.

Anteckning

Kontroller som inte Container Registry och de för vilka den globala vägledningen rekommenderas ordagrann har undantagits. Information om hur Container Registry mappning helt till Azure Security Benchmark finns i den fullständiga Container Registry säkerhetsbaslinjemappningsfilen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning:Begränsa åtkomsten till ditt privata Azure-containerregister från ett virtuellt Azure-nätverk så att endast godkända resurser kan komma åt registret. För scenarier på flera platser kan du också konfigurera brandväggsregler för att endast tillåta registeråtkomst från specifika IP-adresser. Konfigurera brandväggsåtkomstregler och tjänsttaggar bakom en brandvägg för att få åtkomst till ditt containerregister.

Ansvar: Kund

Microsoft Defender för molnövervakning:Azure Security Benchmark är standardprincipinitiativ för Microsoft Defender för moln och är grunden för Microsoft Defender för molnrekommendationer. De Azure Policy som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender for Cloud. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Du kan skydda dina register mot potentiella hot genom att tillåta åtkomst från endast specifika offentliga IP-adresser eller adressintervall. Om registret inte har någon IP-/brandväggsregel eller något konfigurerat virtuellt nätverk visas den i de resurser som inte är fel. Läs mer om Container Registry här: https://aka.ms/acr/portal/public-network och här https://aka.ms/acr/vnet . Granska, Neka, Inaktiverad 1.1.0

NS-2: Anslut privata nätverk tillsammans

Vägledning:När du aktiverar privat slutpunkt för Azure Container Registry måste du upprätta en privat nätverksanslutning. Använd Azure ExpressRoute azure virtual private network (VPN) för att skapa privata anslutningar mellan Azure-datacenter som är värdar för dina containerregister och lokal infrastruktur i en samplaceringsmiljö. Om du vill ansluta två eller flera virtuella nätverk i Azure använder du peering för virtuella nätverk.

Nätverkstrafiken mellan peer-ade virtuella nätverk är privat och sparas i Azure-stamnätverket.

Ansvar: Kund

Microsoft Defender för molnövervakning:Azure Security Benchmark är standardprincipinitiativ för Microsoft Defender för moln och är grunden för Microsoft Defender för molnrekommendationer. De Azure Policy som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender for Cloud. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Containerregister ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link . Granska, inaktiverad 1.0.1

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning:Använd Azure Private Link att aktivera privat åtkomst till Container Registry från dina virtuella nätverk utan att korsa Internet.

Privat åtkomst är ett annat djupgående skydd för den autentiserings- och trafiksäkerhet som erbjuds av Azure-tjänster.

Ansvar: Kund

Microsoft Defender för molnövervakning:Azure Security Benchmark är standardprincipinitiativ för Microsoft Defender för moln och är grunden för Microsoft Defender för molnrekommendationer. De Azure Policy som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender for Cloud. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Containerregister ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link . Granska, inaktiverad 1.0.1

NS-4: Skydda program och tjänster mot externa nätverksattacker

Vägledning:Skydda dina Azure Container Registry mot attacker från externa nätverk. Konfigurera dem med Private Link för att förhindra extern nätverksåtkomst till dina containerregister. I situationer där virtuella nätverk och Private Link inte kan användas kan Container Registry att ange brandväggsåtkomstregler för att begränsa åtkomsten till vissa nätverk.

Azure Container Registry är inte avsedd att vara värd för webbprogram. Det är en hanterad, privat Docker-registertjänst. Annan nätverksbaserad programsäkerhet som brandväggar för webbaserade program eller DDoS gäller inte för den här tjänsten.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning:För resurser som behöver åtkomst till containerregistret använder du tjänsttaggar för virtuella nätverk för Azure Container Registry-tjänsten för att definiera nätverksåtkomstkontroller för nätverkssäkerhetsgrupper eller nätverkssäkerhetsgrupper Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler.

Genom att ange tjänsttaggnamnet "AzureContainerRegistry" i rätt käll- eller målfält för en regel kan du tillåta eller neka trafiken för motsvarande tjänst. Microsoft hanterar de adressprefix som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

NS-7: Secure Domain Name Service (DNS)

Vägledning:Container Registry inte exponerar dess underliggande DNS-konfigurationer. De här inställningarna underhålls av Microsoft.

Ansvar:Microsoft

Microsoft Defender för molnövervakning:Ingen

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning:Container Registry använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser. Resurserna är: – Azure Portal

    • Azure Storage
    • Azure Linux och Windows virtuella datorer
    • Azure Key Vault
    • Plattform som en tjänst (PaaS)
    • SaaS-program (programvara som en tjänst)
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör vara en hög prioritet i din organisations molnsäkerhetspraxis. ger en identitetssäkerhetspoäng som hjälper dig att jämföra din identitetssäkerhetsstatus med Microsofts rekommendationer om bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Tjänsten Azure Container Registry har stöd för en uppsättning inbyggda Azure-roller som ger olika behörighetsnivåer till ett Azure-containerregister. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tilldela specifika behörigheter till användare, tjänstens huvudnamn eller andra identiteter som behöver interagera med ett register. Du kan till exempel använda den för att tilldela behörigheter för att hämta eller push-skicka containeravbildningar.

Det finns flera sätt att autentisera med ett Azure-containerregister. Var och en kan användas i ett eller flera registeranvändningsscenarier.

Rekommenderade sätt är:

  • Autentisera till ett register direkt via individuell inloggning
  • Program- och containerorkestrerare kan utföra obevakad eller "huvudlös" autentisering med hjälp av azure AD-tjänstens huvudnamn
  • Om du använder ett containerregister med Azure Kubernetes Service (AKS) eller ett annat Kubernetes-kluster kan du gå till Scenarier för att autentisera med Azure Container Registry från Kubernetes.

Mer information finns i:

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning:Container Registry har stöd för flera olika sätt att autentisera mot ett kundregister:

  • Hanterade identiteter (rekommenderas) – Kunder kan autentisera mot sina Container Registry med hjälp av systemidentiteter eller användartilldejade identiteter.- Azure AD-program – Kunder kan använda ett Azure AD-program/tjänsthuvudnamn för att autentisera till sina Container Registry.

Mer information finns i:

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning:Container Registry använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. Identiteter omfattar företagsidentiteter som anställda och externa identiteter som partner, leverantörer och leverantörer. Med Azure AD kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens lokala och molnbaserade data och resurser.

Anslut alla dina användare, program och enheter till Azure AD. Azure AD erbjuder sömlös, säker åtkomst och bättre synlighet och kontroll.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning:Container Registry kunder kan distribuera resurskonfigurationer som Azure Resource Manager mallar som potentiellt kan innehålla identiteter och hemligheter. Vi rekommenderar att du implementerar skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod eller konfigurationer. Skanner för autentiseringsuppgifter uppmuntrar också att identifierade autentiseringsuppgifter flyttas till säkrare platser som Azure Key Vault.

För GitHub kan du använda funktionen för intern genomsökning av hemligheter för att identifiera autentiseringsuppgifter eller andra typer av hemligheter i koden.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning:De viktigaste inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör. Användare som har tilldelats dessa två roller kan delegera administratörsroller:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD och tjänster som använder Azure AD-identiteter.

  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD och i Azure AD Privileged Identity Management (PIM). Den här rollen möjliggör även hantering av alla aspekter av PIM och administrativa enheter.

Obs! Du kan ha andra kritiska roller som måste styras om du använder anpassade roller med vissa tilldelade privilegierade behörigheter. Du kanske också vill tillämpa liknande kontroller som administratörskontot för kritiska affärstillgångar.

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en högre nivå. Användare med den här behörigheten kan direkt eller indirekt läsa och ändra varje resurs i Azure-miljön.

Du kan aktivera privilegierad jit-åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT ger tillfälliga behörigheter att endast utföra privilegierade uppgifter när användare behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i Azure AD-organisationen.

Skapa standardprocedurer för användning av dedikerade administrativa konton.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning:Container Registry använder Azure AD-konton för att hantera dess resurser och granska användarkonton. Åtkomsttilldelningar regelbundet för att se till att kontona och deras åtkomst är giltiga. Du kan använda Azure AD-åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD-rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också skapa arbetsflöden för åtkomstgranskningsrapport i Azure AD PIM för att underlätta granskningsprocessen.

Du kan också konfigurera Azure AD PIM för att varna dig när det finns för många administratörskonton. PIM kan identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

Tjänsten Azure Container Registry har stöd för en uppsättning inbyggda Azure-roller som ger olika behörighetsnivåer till ett Azure-containerregister. Använd Azure RBAC för att tilldela specifika behörigheter till användare, tjänstens huvudnamn eller andra identiteter som behöver interagera med ett register. Du kan till exempel använda den för att tilldela behörigheter för att hämta eller push-skicka containeravbildningar.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning:Skyddade, isolerade arbetsstationer är ytterst viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbets arbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure AD, Microsoft Defender Avancerat skydd (ATP) och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstationer för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säker konfiguration som:

  • Stark autentisering

  • Baslinjer för programvara och maskinvara

  • Begränsad logisk åtkomst och nätverksåtkomst.

Mer information finns i:

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning:Container Registry integreras med Azure RBAC för att hantera dess resurser. Med RBAC kan du hantera Åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. Begränsa de behörigheter som du tilldelar till resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden i Azure AD PIM. Granska roller och tilldelningar regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs. Tjänsten Azure Container Registry stöder en uppsättning inbyggda Azure-roller som ger olika behörighetsnivåer till ett Azure-containerregister. Använd Azure RBAC för att tilldela specifika behörigheter till användare, tjänstens huvudnamn eller andra identiteter som behöver interagera med ett register. Du kan till exempel använda den för att tilldela behörigheter för att hämta eller push-skicka containeravbildningar.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PA-8: Välj godkännandeprocess för Microsoft Support

Vägledning:I supportscenarier där Microsoft behöver åtkomst till kunddata har Container Registry stöd för Customer Lockbox. Den innehåller ett gränssnitt där du kan granska och godkänna eller avvisa begäranden om kunddataåtkomst.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning:Skydda känsliga data genom att begränsa åtkomsten med hjälp av Azure RBAC, nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster som kryptering. För att säkerställa konsekvent åtkomstkontroll, justera alla typer av åtkomstkontroll med din strategi för företagssegmentering. Informera strategin för företagssegmentering om platsen för känsliga eller affärskritiska data och system. För den underliggande plattformen (som hanteras av Microsoft) behandlar Microsoft allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Genom att skapa token kan en registerägare ge användare eller tjänster begränsad åtkomst till lagringsplatsen för att hämta eller skicka avbildningar eller utföra andra åtgärder. En token ger mer omfattande behörigheter än andra alternativ för registerautentisering, som omfattar behörigheter till ett helt register.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning:Aktivera funktionen granskningsloggar för att Azure Container Registry övervaka vem som gör push- och pull-åtgärder i registret. Ange aviseringar och vidarebefordra loggarna till din SIEM. Konfigurera utlösare för aktiviteter som är misstänkta eller som utgör ett oregelbundet åtkomstmönster.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

DP-4: Kryptera känslig information under överföring

Vägledning:Skydda data under överföring mot "out-of-band"-attacker (till exempel trafikinfångst) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure Container Registry fram datakryptering under överföring till tjänsten och kräver att alla säkra anslutningar från servrar och program använder TLS 1.2. Aktivera TLS 1.2 med valfri nyligen genomförd Docker-klient (version 18.03.0 eller senare). Stöd för TLS 1.0 och 1.1 har dragits tillbaka.

Ansvar: Delad

Microsoft Defender för molnövervakning:Ingen

DP-5: Kryptera känsliga data i vila

Vägledning:För att komplettera åtkomstkontroller Container Registry data i vila för att skydda mot "out-of-band"-attacker (t.ex. åtkomst till underliggande lagring) med hjälp av kryptering. Det hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilodata som standard. För mycket känsliga data har du alternativ för att implementera mer kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller även alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster för att uppfylla regelkrav.

Ansvar:Microsoft

Microsoft Defender för molnövervakning:Azure Security Benchmark är standardprincipinitiativ för Microsoft Defender for Cloud och är grunden för Microsoft Defender for Clouds rekommendationer. De Azure Policy som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender for Cloud. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Containerregister ska krypteras med en kund hanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i vila av innehållet i dina register. Som standard krypteras data i vila med tjänst hanterade nycklar, men kundbaserade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK . Granska, Neka, Inaktiverad 1.1.2

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning:Se till att säkerhetsteam beviljas behörighet som säkerhetsläsare i din Azure-klientorganisation och prenumerationer, så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Sammanställ alltid säkerhetsinsikter och risker centralt i en organisation.

Du kan använda behörigheter för säkerhetsläsare brett för en hel klientorganisations rothanteringsgrupp eller omfångsbehörigheter för specifika hanteringsgrupper eller prenumerationer.

Obs! Det kan krävas fler behörigheter för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning:Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Container Registry. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD-grupp som ska innehålla organisationens auktoriserade säkerhetsteam och tilldela den läsbehörighet till alla Container Registry resurser. Du kan förenkla processen med en enda rolltilldelning på hög nivå i din prenumeration.

Tillämpa taggar på dina Azure-resurser, resursgrupper och prenumerationer för att organisera dem logiskt i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på virtuella datorer. Programnamn, version, Publisher och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar Windows händelseloggar till en Log Analytics-arbetsyta.

Använd Microsoft Defender för anpassningsbara programkontroller i molnet för att ange vilka filtyper som en regel kan eller kanske inte gäller för.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

AM-3: Använd bara godkända Azure-tjänster

Vägledning:Använd Azure Policy för att granska och begränsa vilka tjänster användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning:Använd den inbyggda funktionen för hotidentifiering i Microsoft Defender för molnet och aktivera Microsoft Defender för dina Container Registry resurser. Microsoft Defender for Container Registry tillhandahåller ytterligare ett lager med säkerhetsintelligens. Den identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Container Registry resurser.

Vidarebefordra alla loggar från Container Registry till din SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar efter potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva resultat som analytiker kan sortera igenom. Aviseringar kan komma från loggdata, agenter eller andra data.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning:Azure AD tillhandahåller följande användarloggar. Du kan visa loggarna i Azure AD-rapportering. Du kan integrera med Azure Monitor, Microsoft Sentinel eller andra SIEM- och övervakningsverktyg för avancerade användningsfall för övervakning och analys.

  • Inloggningar – Inloggningsrapporten innehåller information om användningen av hanterade program och användarloggar.- Granskningsloggar – Ger spårning via loggar för alla ändringar som görs av olika Azure AD-funktioner. Granskningsloggar innehåller ändringar som görs i alla resurser i Azure AD. Ändringar omfattar att lägga till eller ta bort användare, appar, grupper, roller och principer.
  • Riskfyllda inloggningar – En indikator för inloggningsförsök av någon som kanske inte är legitim ägare till ett användarkonto.
  • Användare som har flaggats för risk – En riskabel användare är en indikator för ett användarkonto som kan ha komprometterats. Microsoft Defender för moln kan också varna dig om vissa misstänkta aktiviteter, till exempel ett stort antal misslyckade autentiseringsförsök. Inaktuella konton i prenumerationen kan också utlösa aviseringar. Microsoft Defender för moln kan också varna dig om misstänkta aktiviteter, till exempel ett stort antal misslyckade autentiseringsförsök eller om inaktuella konton.

Förutom grundläggande övervakning av säkerhetshygien kan Microsoft Defender for Clouds Threat Protection-modul samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser som virtuella datorer, containrar och App Service
  • Dataresurser som Azure SQL Database och Azure Storage
  • Azure-tjänstlager

Den här funktionen ger dig insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning:Aktivera dessa loggar:

  • Resursloggar för nätverkssäkerhetsgrupp (NSG)

  • NSG flödesloggar

  • Azure Firewall loggar

Samla in loggarna för säkerhetsanalys. Använd dem för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.

Container Registry skapar eller bearbetar inte DNS-frågeloggar.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

LT-4: Aktivera loggning för Azure-resurser

Vägledning:Aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-, men inte GET-, åtgärder för Container Registry resurser. Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare ändrade resurser.

Aktivera Azure-resursloggar för Container Registry. Du kan använda Microsoft Defender för molnet och Azure Policy att aktivera resursloggar och samla in loggdata. De här loggarna kan vara kritiska för att undersöka säkerhetsincidenter och för kriminaltekniska övningar.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

LT-6: Konfigurera kvarhållning av loggar

Vägledning:För lagringskonton eller Log Analytics-arbetsytor som lagrar Container Registry loggar anger du en kvarhållningsperiod för loggar som uppfyller organisationens efterlevnadsregler.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning:Azure Container Registry stöder inte konfiguration av dina egna tidssynkroniseringskällor. Tjänsten Container Registry förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.

Ansvar:Microsoft

Microsoft Defender för molnövervakning:Ingen

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning:Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer i en enda skissdefinition. Miljöer för:

  • Azure Resources Manager-mallar

  • Kontroller och principer för Azure RBAC

Använd Azure Blueprints för att automatisera distribution och konfiguration av Azure Container Registry resurs, inklusive:

  • Azure Resources Manager-mallar
  • Rolltilldelningar för Azure RBAC
  • Azure Policy tilldelningar

Använd Azure Policy eller Microsoft Defender for Cloud för att underhålla säkerhetskonfigurationer för alla Azure Container Registry resurser. Azure Policy är en tjänst i Azure som används till att skapa, tilldela och hantera principer. De här principerna tillämpar olika regler och effekter på dina resurser så att resurserna efterlever dina företagsstandarder och serviceavtal.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning:Använd Microsoft Defender för molnet för att övervaka din konfigurationsbaslinje. Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration över Azure-beräkningsresurser, inklusive virtuella datorer, containrar med mera.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PV-5: Lagra anpassat operativsystem och containeravbildningar på ett säkert sätt

Vägledning:Container Registry kunder kan hantera operativsystemavbildningar eller containeravbildningar. Använd Azure Shared Image Gallery att dela dina avbildningar med olika användare, tjänstens huvudnamn eller Azure AD-grupper i din organisation. Lagra containeravbildningar i Azure Container Registry och använd Azure RBAC för att se till att endast behöriga användare har åtkomst.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

PV-6: Utföra sårbarhetsbedömningar av programvara

Vägledning:Container Registry tillåter tjänstdistribution i sin miljö.

Följ rekommendationerna från Microsoft Defender for Cloud för att utföra sårbarhetsbedömningar på dina distribuerade tjänster:

  • Virtuella Azure-datorer
  • Containeravbildningar
  • SQL-servrar

Microsoft Defender for Cloud har en inbyggd sårbarhetsskanner för virtuella datorer, containeravbildningar och SQL databas.

Exportera genomsökningsresultat med konsekventa intervall vid behov och jämför resultaten med tidigare genomsökningar för att verifiera att sårbarheter har åtgärdats. När du hantering av säkerhetsrisker rekommendationerna som föreslås av Microsoft Defender for Cloud kan du gå till den valda lösningens portal för att visa historiska genomsökningsdata.

Microsoft utför hantering av säkerhetsrisker på de underliggande system som stöder Container Registry.

Ansvar: Delad

Microsoft Defender för molnövervakning:Azure Security Benchmark är standardprincipinitiativ för Microsoft Defender för moln och är grunden för Microsoft Defender för molnrekommendationer. De Azure Policy som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender for Cloud. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ContainerRegistry:

Name
(Azure Portal)
Description Effekt(er) Version
(GitHub)
Sårbarheter i Azure Container Registry avbildningar bör åtgärdas Sårbarhetsbedömningen av containeravbildningen söker igenom registret efter säkerhetsrisker på varje push-push-containeravbildning och visar detaljerade resultat för varje avbildning (drivs av Qualys). Genom att lösa säkerhetsriskerna kan du avsevärt förbättra dina containrars säkerhetsposition och skydda dem mot attacker. AuditIfNotExists, Disabled 2.0.0

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning:Inte tillämpligt. Den här rekommendationen är avsedd för beräkningsresurser. Azure Container Registry distribuerar inte kundriktade beräkningsresurser som kunder skulle behöva konfigurera.

Ansvar: Delad

Microsoft Defender för molnövervakning:Ingen

PV-8: Utför regelbundna angreppssimuleringar

Vägledning:Utför intrångstester eller röda teamaktiviteter på dina Azure-resurser efter behov. Se till att åtgärda alla viktiga säkerhetsresultat.

Följ Microsofts regler för intrångstestning i molnet för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts Red Teaming-strategi och -körning. Genomför intrångstester av live-webbplatser mot Microsoft-hanterad molninfrastruktur, -tjänster och -program.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Slutpunktssäkerhet

Mer information finns i Benchmark för Azure-säkerhet: Endpoint Security.

ES-3: Se till att program mot skadlig programvara och signaturer uppdateras

Vägledning:Se till att signaturer för program mot skadlig programvara uppdateras snabbt och konsekvent.

Följ rekommendationerna i Microsoft Defender for Cloud: Compute Apps för att se till att & alla slutpunkter är uppdaterade med de senaste signaturerna. Microsoft Antimalware automatiskt de senaste signaturerna och motoruppdateringarna som standard.

Microsoft hanterar program mot skadlig programvara för den underliggande plattformen via regelbundna uppdateringar och distributioner

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning:Data i ditt Microsoft Azure replikeras alltid automatiskt för att säkerställa hållbarhet och hög tillgänglighet. Azure Container Registry kopierar dina data så att de skyddas från planerade och oplanerade händelser.

Du kan också geo-replikera ett containerregister för att underhålla registerrepliker i flera Azure-regioner eller Azure-regioner Tillgänglighetszoner aktiverat.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

BR-2: Kryptera säkerhetskopierade data

Vägledning:Systemdata krypteras i vila med microsoft-hanterad nyckel.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning:Container Registry underhåller säkerhetskopiering av egna kritiska systemdata. Kontrollera regelbundet att du kan återställa säkerhetskopierade kund hanterade nycklar.

Använd kryptering i vila på alla Azure-resurser. Som standard krypteras alla data i ett Azure-containerregister i vila med hjälp av Microsoft-hanterade nycklar.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

BR-4: Minska risken för förlorade nycklar

Vägledning:Kontrollera att du har åtgärder på plats för att förhindra och återställa från förlust av Azure Backup krypteringsnycklar. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Microsoft Defender för molnövervakning:Ingen

Nästa steg