Container Registry için Azure Güvenlik temeli

Bu güvenlik temeli, Container Registry için Azure Güvenlik kıyaslama sürüm 2,0 ' den rehberlik uygular. Azure Güvenlik Karşılaştırması, Azure üzerindeki bulut çözümlerinizin güvenliğini sağlamaya yönelik öneriler sunar. İçerik, Azure Güvenlik kıyaslaması tarafından tanımlanan güvenlik denetimlerine ve Container Registry için geçerli olan ilgili kılavuza göre gruplandırılır.

Not

Container Registry için geçerli olmayan denetimler ve genel yönergelerin tam olarak kullanılması önerilir, hariç tutulur. Container Registry Azure Güvenlik kıyaslaması ile tamamen nasıl eşlendiğini görmek için, tam Container Registry güvenlik temeli eşleme dosyasınabakın.

Ağ Güvenliği

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Ağ Güvenliği.

NS-1: iç trafik için güvenlik uygulama

Rehberlik: yalnızca onaylanan kaynakların kayıt defterine erişebildiğinden emin olmak için Azure sanal ağından özel Azure Container Registry 'nize erişimi sınırlayın. Şirketler arası senaryolar için, yalnızca belirli IP adreslerinden kayıt defteri erişimine izin vermek üzere güvenlik duvarı kurallarını da yapılandırabilirsiniz. Bir güvenlik duvarının arkasında, kapsayıcı Kayıt defterinize erişmek için güvenlik duvarı erişim kuralları ve hizmet etiketleri yapılandırın.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: Azure Güvenlik kıyaslaması , Microsoft Defender için bulut için varsayılan Ilke girişimidir ve bulut için Microsoft Defender 'ın önerileridir. Bu denetimle ilgili Azure Ilke tanımları, bulut için Microsoft Defender tarafından otomatik olarak etkinleştirilir. Bu denetimle ilgili uyarılar, ilgili hizmetler için bir Microsoft Defender planı gerektirebilir.

Azure ilkesi yerleşik tanımları-Microsoft. ContainerRegistry:

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kapsayıcı kayıt defterleri Kısıtlanmamış ağ erişimine izin vermiyor Azure Container Registry, varsayılan olarak herhangi bir ağdaki konaklardan internet üzerinden bağlantıları kabul eder. Kayıt defterlerinden olası tehditlere karşı korumak için yalnızca belirli ortak IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde bir IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, sistem sağlıksız kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgi edinin: https://aka.ms/acr/portal/public-network ve burada https://aka.ms/acr/vnet . Denetim, reddetme, devre dışı 1.1.0

NS-2: özel ağları birlikte Bağlan

Rehberlik: Azure Container Registry kaynaklarınız için özel uç noktayı etkinleştirdiğinizde özel ağ bağlantısı kurmanız gerekir. Azure ExpressRoute veya Azure sanal özel ağ (VPN) kullanarak, kapsayıcı kayıt defterlerinden ve şirket içi altyapınızı barındıran Azure veri merkezleri arasında özel bağlantılar oluşturun. Azure 'da iki veya daha fazla sanal ağa bağlanmak için sanal ağ eşlemesi kullanın.

Eşlenen sanal ağlar arasındaki ağ trafiği özeldir ve Azure omurga ağında tutulur.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: Azure Güvenlik kıyaslaması , Microsoft Defender için bulut için varsayılan Ilke girişimidir ve bulut için Microsoft Defender 'ın önerileridir. Bu denetimle ilgili Azure Ilke tanımları, bulut için Microsoft Defender tarafından otomatik olarak etkinleştirilir. Bu denetimle ilgili uyarılar, ilgili hizmetler için bir Microsoft Defender planı gerektirebilir.

Azure ilkesi yerleşik tanımları-Microsoft. ContainerRegistry:

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine kapsayıcı kayıt defterlerine eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/acr/private-link . Denetim, devre dışı 1.0.1

NS-3: Azure hizmetlerine özel ağ erişimi sağlayın

Rehberlik: internet 'ten çıkmadan sanal ağlarınızdaki Container Registry özel erişimi etkinleştirmek Için Azure özel bağlantısı 'nı kullanın.

Özel erişim, Azure hizmetleri tarafından sunulan kimlik doğrulama ve trafik güvenliğine yönelik derinlemesine bir savunma ölçümüdür.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: Azure Güvenlik kıyaslaması , Microsoft Defender için bulut için varsayılan Ilke girişimidir ve bulut için Microsoft Defender 'ın önerileridir. Bu denetimle ilgili Azure Ilke tanımları, bulut için Microsoft Defender tarafından otomatik olarak etkinleştirilir. Bu denetimle ilgili uyarılar, ilgili hizmetler için bir Microsoft Defender planı gerektirebilir.

Azure ilkesi yerleşik tanımları-Microsoft. ContainerRegistry:

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine kapsayıcı kayıt defterlerine eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/acr/private-link . Denetim, devre dışı 1.0.1

NS-4: uygulamaları ve Hizmetleri dış ağ saldırılarına karşı koruma

Rehberlik: Azure Container Registry kaynaklarınızı dış ağlardan gelen saldırılara karşı koruyun. Kapsayıcı kayıt defterlerine dış ağ erişimini engellemek için özel bağlantıyla yapılandırma. Sanal ağların ve özel bağlantının kullanılabileceği durumlarda Container Registry, belirli ağlara erişimi sınırlandırmak için güvenlik duvarı erişim kuralları belirtilmesine izin verir.

Azure Container Registry Web uygulamalarını barındırmak için tasarlanmamıştır. Bu, yönetilen ve özel bir Docker kayıt defteri hizmetidir. Web uygulaması güvenlik duvarları veya DDoS gibi diğer ağ tabanlı uygulama güvenliği bu hizmet için geçerlidir.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

NS-6: ağ güvenlik kurallarını basitleştirme

Kılavuz: kapsayıcı Kayıt defterinize erişmesi gereken kaynaklar Için, ağ güvenlik gruplarında veya Azure Güvenlik duvarında ağ erişim denetimleri tanımlamak üzere Azure Container Registry hizmeti için sanal ağ hizmeti etiketleri kullanın. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz.

"AzureContainerRegistry" hizmet etiketi adını bir kuralın uygun kaynak veya hedef alanında belirterek, ilgili hizmet için trafiğe izin verebilir veya bu trafiği reddedebilirsiniz. Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

NS-7: Güvenli Etki Alanı Adı Hizmeti (DNS)

Rehberlik:Container Registry dns yapılandırmalarını açığa çıkarmaz. Bu ayarlar Microsoft tarafından korunur.

Sorumluluk:Microsoft

Bulut izleme için Microsoft Defender:Yok

Kimlik Yönetimi

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Kimlik Yönetimi.

IM-1: Azure Active Directory'yi standart merkezi kimlik ve kimlik doğrulaması sistemi haline getirin

Rehberlik:Container Registry kimlik Azure Active Directory yönetim hizmeti olarak Azure Active Directory (Azure AD) kullanır. Azure AD'yi şu hizmetlerde kuruluş kimliğini ve erişim yönetimini yönetecek şekilde standart hale getirin:

  • Microsoft Bulut kaynakları. Kaynaklar şunları içerir: - Azure portal

    • Azure Storage
    • Azure Linux ve Windows makineleri
    • Azure Key Vault
    • Hizmet olarak platform (PaaS)
    • Hizmet olarak yazılım (SaaS) uygulamaları
  • Kuruluşunuzun kaynakları. Örneğin Azure’daki uygulamalar veya kurumsal ağ kaynaklarınız.

Azure AD'nin güvenliğini sağlamak, bulut güvenliği konusunda yüksek öncelikli bir uygulama olmalıdır. kimlik güvenliği duruşlarınızı Microsoft'un en iyi yöntem önerileriyle karşılaştırmanıza yardımcı olmak için bir kimlik güvenliği puanı sağlar. Bu puanı kullanarak yapılandırmanızın en iyi deneyim önerileriyle ne kadar uyumlu olduğunu görebilir ve güvenlik duruşunuzda geliştirmeler yapabilirsiniz.

Azure Container Registry hizmeti, Bir Azure kapsayıcı kayıt defterine farklı izin düzeyleri sağlayan yerleşik Azure rollerini destekler. Kullanıcılara, hizmet sorumlularına veya kayıt defteriyle etkileşim kurması gereken diğer kimliklere belirli izinleri atamak için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanın. Örneğin, kapsayıcı görüntülerini çekmek veya itmek için izinleri atamak için bunu kullanın.

Azure kapsayıcı kayıt defteriyle kimlik doğrulamasının birkaç yolu vardır. Her biri bir veya daha fazla kayıt defteri kullanım senaryosu için geçerlidir.

Önerilen yöntemler şunlardır:

  • Bireysel oturum açma bilgileriyle doğrudan kayıt defterinde kimlik doğrulaması yapma
  • Uygulamalar ve kapsayıcı orchestrator'ları, Azure AD hizmet sorumlusu kullanarak katılımsız veya "gözetimsiz" kimlik doğrulaması gerçekleştirerek
  • Azure Kubernetes Service (AKS) veya başka bir Kubernetes kümesiyle kapsayıcı kayıt defteri kullanıyorsanız bkz. Kubernetes'te Azure Container Registry kimlik doğrulaması senaryoları.

Daha fazla bilgi için bkz.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

IM-2: Uygulama kimliklerini güvenli ve otomatik bir şekilde yönetin

Rehberlik:Container Registry müşteri kayıt defterinde kimlik doğrulaması yapmak için birden çok yolu destekler:

  • Yönetilen kimlikler (tercih edilen) - Müşteriler sistem kimliklerini veya kullanıcı tarafından atanan kimlikleri kullanarak Container Registry kimliklerini doğrular.- Azure AD uygulamaları - Müşteriler kendi kimliklerinde kimlik doğrulaması yapmak için bir Azure AD uygulaması/hizmet sorumlusu Container Registry.

Daha fazla bilgi için bkz.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

IM-3: Uygulama erişimi için Azure AD çoklu oturum açma (SSO) özelliğini kullanın

Rehberlik:Container Registry azure kaynakları, bulut uygulamaları ve şirket içi uygulamalara kimlik ve erişim yönetimi sağlamak için Azure AD kullanır. Kimlikler arasında çalışanlar gibi kurumsal kimlikler ve iş ortakları, satıcılar ve sağlayıcılar gibi dış kimlikler yer almaktadır. Azure AD, çoklu oturum açmanın (SSO) kurum içi ve bulut verileri ile kaynaklarına erişimi yönetmesi ve güvenli hale toplamasını sağlar.

Bağlan kullanıcılarınızı, uygulamalarınızı ve cihazlarınızı Azure AD'ye edinin. Azure AD sorunsuz, güvenli erişim ve daha fazla görünürlük ve denetim sunar.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

IM-7: Kimlik bilgilerinin istenmeden açığa çıkma olasılığını ortadan kaldırın

Rehberlik:Container Registry, müşterilerin kaynak yapılandırmalarını kimlikler ve Azure Resource Manager olabilecek şablonlar olarak dağıtmalarını sağlar. Kod veya yapılandırmalar içindeki kimlik bilgilerini tanımlamak için Kimlik Bilgileri Tarayıcısını uygulamanız önerilir. Kimlik Bilgileri Tarayıcısı ayrıca bulunan kimlik bilgilerinin daha güvenli konumlara taşınmasını teşvik Azure Key Vault.

Daha GitHub için yerel gizli dizi tarama özelliğini kullanarak kod içindeki kimlik bilgilerini veya diğer gizli dizi biçimlerini tanımlayabilirsiniz.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

Ayrıcalıklı Erişim

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Ayrıcalıklı Erişim.

PA-1: Yüksek ayrıcalıklı kullanıcıları koruyun ve sınırlayın

Rehberlik:Azure AD için en kritik yerleşik roller Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi'dir. Bu iki role atanan kullanıcılar yönetici rollerini temsilci olarak atayabilir:

  • Genel Yönetici/Şirket Yöneticisi: Bu role sahip kullanıcılar, Azure AD'de tüm yönetim özelliklerine ve Azure AD kimliklerini kullanan hizmetlere erişim sahibidir.

  • Ayrıcalıklı Rol Yöneticisi: Bu role sahip kullanıcılar Azure AD'de ve Azure AD Etki Alanı'Privileged Identity Management (PIM) rol atamalarını yönetebilir. Ayrıca, bu rol PIM ve yönetim birimlerinin tüm yönlerinin yönetimine olanak sağlar.

Not: Belirli ayrıcalıklı izinlere sahip özel roller kullanıyorsanız, başka kritik rolleriniz de olabilir. Ayrıca, kritik iş varlıklarının yönetici hesabına benzer denetimler uygulamak da iyi olabilir.

Yüksek ayrıcalıklı hesap veya rol sayısını sınırla ve bu hesapları yükseltilmiş bir düzeyde koru. Bu ayrıcalığa sahip kullanıcılar Azure ortamınıza yönelik her kaynağı doğrudan veya dolaylı olarak okuyabilir ve değiştirebilir.

Azure AD PIM kullanarak Azure kaynaklarına ve Azure AD'ye tam zamanında (JIT) ayrıcalıklı erişimi etkinleştirebilirsiniz. JIT, ayrıcalıklı görevleri yalnızca kullanıcılara ihtiyaç olduğunda yapmak için geçici izinler sağlar. PIM, Azure AD kuruluşta şüpheli veya güvenli olmayan bir etkinlik olduğunda da güvenlik uyarıları da oluşturabilecektir.

Ayrılmış yönetim hesaplarının kullanımıyla ilgili standart işletim yordamları oluşturun.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

PA-3: Kullanıcı erişimini düzenli olarak gözden geçirin ve mutabık kılın

Rehberlik:Container Registry yönetmek ve kullanıcı hesaplarını gözden geçirmek için Azure AD hesaplarını kullanır. Hesapların ve erişimlerinin geçerli olduğundan emin olmak için düzenli olarak erişim atamaları. Grup üyeliklerini, kurumsal uygulama erişimini ve rol atamalarını gözden geçirmek için Azure AD erişim gözden geçirmelerini kullanabilirsiniz. Azure AD raporlama, eski hesapları keşfetmeye yardımcı olacak günlükler sağlar. Ayrıca, gözden geçirme sürecini kolaylaştırmak için Azure AD PIM'de erişim gözden geçirme raporu iş akışları oluşturabilirsiniz.

Çok fazla yönetici hesabı olduğunda sizi uyaran Azure AD PIM'yi de yapılandırabilirsiniz. PIM, eski veya yanlış yapılandırılmış yönetici hesaplarını tanımlayabilir.

Not: Bazı Azure hizmetleri, Azure AD aracılığıyla yönetil olmayan yerel kullanıcıları ve rolleri destekler. Bu kullanıcıları ayrı olarak yönetin.

Azure Container Registry hizmeti, Bir Azure kapsayıcı kayıt defterine farklı izin düzeyleri sağlayan yerleşik Azure rollerini destekler. Kayıt defteriyle etkileşim kurması gereken kullanıcılara, hizmet sorumlulara veya diğer kimliklere belirli izinleri atamak için Azure RBAC'yi kullanın. Örneğin, kapsayıcı görüntülerini çekmek veya itmek için izinleri atamak için bunu kullanın.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

PA-6: Ayrıcalıklı erişim iş istasyonlarını kullanın

Rehberlik:Güvenli, yalıtılmış iş istasyonları yönetici, geliştirici ve kritik hizmet operatörü gibi hassas rollerin güvenliği açısından kritik öneme sahip. Yönetim görevleri için yüksek oranda güvenli kullanıcı iş istasyonlarını ve/Azure Bastion iş istasyonlarını kullanın. Azure AD, Microsoft Defender Gelişmiş Tehdit Koruması (ATP) ve/veya Microsoft Intune yönetim görevleri için güvenli ve yönetilen bir kullanıcı iş istasyonu dağıtmak üzere kullanın. Güvenli iş istasyonları, aşağıdakiler gibi güvenli yapılandırmayı uygulamak için merkezi olarak yönetilebilir:

  • Güçlü kimlik doğrulaması

  • Yazılım ve donanım temelleri

  • Kısıtlı mantıksal ve ağ erişimi.

Daha fazla bilgi için bkz.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

AE-7: Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık ilkesi)

Rehberlik:Container Registry yönetmek için Azure RBAC ile tümleştirilmiştir. RBAC ile Azure kaynak erişimini rol atamaları aracılığıyla yönetirsiniz. Kullanıcılara, gruplara, hizmet sorumlulara ve yönetilen kimliklere roller atabilirsiniz. Bazı kaynaklar önceden tanımlanmış, yerleşik rollere sahip olur. Azure CLI, Azure PowerShell veya Azure portal gibi araçlar aracılığıyla bu rollerin envanterini Azure portal. Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıkları rollerin gerekli olduğu ayrıcalıklarla sınırla. Bu uygulama, Azure AD PIM'in JIT yaklaşımını tamamlar. Rolleri ve atamaları düzenli aralıklarla gözden geçirme.

İzinleri ayırmak için yerleşik rolleri kullanın ve yalnızca gerektiğinde özel roller oluşturun. Azure Container Registry hizmeti, Bir Azure kapsayıcı kayıt defterine farklı izin düzeyleri sağlayan yerleşik Azure rollerini destekler. Kayıt defteriyle etkileşim kurması gereken kullanıcılara, hizmet sorumlulara veya diğer kimliklere belirli izinleri atamak için Azure RBAC'yi kullanın. Örneğin, kapsayıcı görüntülerini çekmek veya itmek için izinleri atamak için bunu kullanın.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

PA-8: Microsoft desteği için onay süreci seçin

Rehberlik:Microsoft'un müşteri verilerine erişmesi gereken destek senaryolarında Container Registry ve Müşteri Kasası. Müşteri verilerine erişim isteklerini gözden geçirip onaylamanız veya reddetmeniz için bir arabirim sağlar.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

Veri Koruma

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Veri Koruma.

DP-2: Hassas verileri koruyun

Rehberlik:Azure RBAC kullanarak erişimi, ağ tabanlı erişim denetimlerini ve Şifreleme gibi Azure hizmetlerde belirli denetimleri kısıtlayan hassas verileri koruyun. Tutarlı erişim denetimi sağlamak için tüm erişim denetimi türlerini kurumsal segmentasyon stratejinize uygun hale sürükleyin. Kurumsal segmentasyon stratejisini hassas veya iş açısından kritik veri ve sistemlerin konumu hakkında bilgilendirin. Microsoft, temel alınan platform için (Microsoft tarafından yönetilen) tüm müşteri içeriklerini hassas olarak kabul ediyor ve müşteri veri kaybına ve ortaya konulma durumlarına karşı koruma sunuyor. Azure içindeki müşteri verilerinin güvenlik altında kalmasını sağlamak için Microsoft bazı varsayılan veri koruma denetimleri ve özellikleri uygulamıştır.

Bir kayıt defteri sahibi, belirteçler oluşturarak kullanıcılara veya hizmetlere görüntüleri çekmek veya itmek ya da başka eylemler gerçekleştirmek için depolara kapsamlı, sınırlı süreyle erişim izni sağlar. Belirteç, kayıt defterinin tamamına kapsam izinleri sağlayan diğer kayıt defteri kimlik doğrulama seçeneklerine göre daha ince izinler sağlar.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

DP-3: Yetkisiz hassas veri aktarımını izleyin

Rehberlik:Kayıt defterinde kimlerin işlem Azure Container Registry ve çekme işlemlerini izlemek için denetim günlükleri özelliğini açma. Uyarılar ayarlayın ve bu günlükleri SIEM'inize iletin. Şüpheli veya düzensiz bir erişim düzeni oluşturan etkinlikler için tetikleyiciler ayarlayın.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

DP-4: Hassas bilgileri aktarım sırasında şifreleyin

Rehberlik:Erişim denetimlerini tamamlamak için, saldırganların verileri kolayca okuma veya değiştirmesini sağlamak için şifreleme kullanarak "bant dışında" saldırılara (trafik yakalama gibi) karşı taşımadaki verileri koruyun.

Azure Container Registry, hizmete geçişte veri şifrelemeyi zorlar ve sunuculardan ve uygulamalardan gelen tüm güvenli bağlantıların TLS 1.2'yi kullanmalarını gerektirir. Son docker istemcilerini (sürüm 18.03.0 veya sonraki sürümler) kullanarak TLS 1.2'yi etkinleştirin. TLS 1.0 ve 1.1 desteği artık kaldırılıyor.

Sorumluluk: Paylaşılan

Bulut izleme için Microsoft Defender:Yok

DP-5: Bekleyen hassas verileri şifreleyin

Rehberlik:Erişim denetimlerini tamamlamak Container Registry şifreleme kullanarak "bant dışında" saldırılara (temel alınan depolamaya erişme gibi) karşı koruma için beklemedeki verileri şifreler. Saldırganların verileri kolayca okuyabilmelerini veya değiştiremelerini sağlar.

Azure varsayılan olarak beklemede olan veriler için şifreleme sağlar. Son derece hassas veriler için, kullanılabilir olduğu tüm Azure kaynaklarda beklemede daha fazla şifreleme uygulama seçenekleriniz vardır. Azure, şifreleme anahtarlarınızı varsayılan olarak yönetir, ancak Azure yasal gereksinimleri karşılamak üzere belirli Azure hizmetleri için kendi anahtarlarınızı (müşteri tarafından yönetilen anahtarlar) yönetme seçenekleri de sağlar.

Sorumluluk:Microsoft

Bulut izleme için Microsoft Defender:Azure Güvenlik Karşılaştırması, Bulut için Microsoft Defender için varsayılan ilke girişimidir ve Bulut için Microsoft Defender'ın önerilerinin temelini almaktadır. Bu Azure İlkesi ilgili güvenlik tanımları, Bulut için Microsoft Defender tarafından otomatik olarak etkinleştirilir. Bu denetimle ilgili uyarılar, ilgili hizmetler için bir Microsoft Defender planı gerektirir.

Azure İlkesi tanımları - Microsoft.ContainerRegistry:

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmeli Kayıt defterlerinin içeriğinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla istirahat sırasında şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Anahtar yaşam döngüsü için, döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluğa sahipsiniz. Daha fazla bilgi edinin https://aka.ms/acr/CMK . Denetim, reddetme, devre dışı 1.1.2

Varlık Yönetimi

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Varlık Yönetimi.

AM-1: Güvenlik ekibinin varlıklarla ilgili riskleri görebildiğinden emin olun

Rehberlik: güvenlik ekiplerinde Azure kiracınızda ve aboneliklerinizde güvenlik okuyucusu izinlerinin verildiğinden emin olun. bu sayede, bulut Için Microsoft Defender 'ı kullanarak güvenlik risklerini izleyebilirler.

Güvenlik risklerini izlemek, sorumlulukları nasıl yapılandırdığınıza bağlı olarak merkezi bir güvenlik ekibinin veya yerel ekibin sorumluluğundadır. Her zaman bir kuruluş içindeki güvenlik öngörülerini ve riskleri toplayın.

Bir kiracının kök yönetim grubuna veya belirli yönetim gruplarına veya aboneliklerine kapsam izinlerine genel olarak güvenlik okuyucusu izinleri uygulayabilirsiniz.

Note: iş yüklerinin ve hizmetlerin görünürlüğünü almak için daha fazla izin gerekebilir.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

AM-2: Güvenlik ekibinin varlık envanterine ve meta verilerine erişebildiğinden emin olun

Rehberlik: güvenlik ekiplerinin Azure 'da Container Registry gibi sürekli olarak güncellenen varlıkların sürekli olarak güncelleştirilmiş envanterini erişimi olduğundan emin olun. Güvenlik ekipleri genellikle bu envanterin, kuruluşların gelişmekte olan riskleri değerlendirmek ve sürekli güvenlik geliştirmeleri için bir girdi olması için gereklidir. Kuruluşunuzun yetkili güvenlik ekibini içerecek bir Azure AD grubu oluşturun ve tüm Container Registry kaynaklarına okuma erişimi atayın. Aboneliğinizde tek bir üst düzey rol atamasıyla işlemi basitleştirebilirsiniz.

Bunları bir taksonomiye mantıksal olarak düzenlemek için Azure kaynaklarınıza, kaynak gruplarına ve aboneliklerinize Etiketler uygulayın. Her etiket bir ad ve değer çiftinden oluşur. Örneğin, "Ortam" adını ve "Üretim" değerini üretimdeki tüm kaynaklara uygulayabilirsiniz.

Sanal makinelerde yazılım hakkında bilgi toplamayı otomatik hale getirmek için Azure sanal makine envanterini kullanın. yazılım adı, sürüm, Publisher ve yenileme süresi Azure portal kullanılabilir. yüklemeyi tarihleri ve diğer bilgilere erişmek için, konuk düzeyinde tanılamayı etkinleştirin ve Windows olay günlüklerini Log Analytics çalışma alanına taşıyın.

Bir kuralın hangi dosya türlerini uygulayabileceğini belirtmek için bulut Uyarlamalı uygulama denetimleri için Microsoft Defender 'ı kullanın.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

AM-3: Yalnızca onaylı Azure hizmetlerini kullanın

Rehberlik: kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğini denetlemek ve kısıtlamak Için Azure İlkesi ' ni kullanın. Abonelikler içindeki kaynakları sorgulamak ve bulmak için Azure Kaynak Grafı'nı kullanın. Ayrıca Azure İzleyici'yi kullanarak onaylanmamış hizmetler algılandığında uyarı tetikleme amacıyla kurallar oluşturabilirsiniz.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

Günlüğe Kaydetme ve Tehdit Algılama

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Günlüğe Kaydetme ve Tehdit Algılama.

LT-1: Azure kaynakları için tehdit algılamayı etkinleştirme

Rehberlik: bulut yerleşik tehdit algılama özelliği Için Microsoft Defender 'ı kullanın ve Container Registry kaynaklarınız Için Microsoft Defender 'ı etkinleştirin. Container Registry için Microsoft Defender, başka bir güvenlik zekası katmanı sağlar. Container Registry kaynaklarınıza erişmek veya bu kaynaklara yararlanmak için olağandışı ve potansiyel olarak zararlı girişimleri algılar.

Özel tehdit algılamalarını ayarlamak için kullanılabilecek Container Registry tüm günlükleri SıEM 'nize iletin. Olası tehditler ve bozukluklar için farklı türlerde Azure varlıklarını izlemediğinizden emin olun. Analistlerin sıralama için yanlış pozitif durumları azaltmaya yönelik yüksek kaliteli uyarılar almaya odaklanın. Uyarılar, günlük verilerinden, aracılardan veya diğer verilerden kaynaklıdır.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

LT-2: Azure kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirin

Kılavuz: Azure AD aşağıdaki kullanıcı günlüklerini sağlar. Günlükleri Azure AD raporlama 'da görüntüleyebilirsiniz. Gelişmiş izleme ve analiz kullanım örnekleri için Azure Izleyici, Microsoft Sentinel veya diğer SıEM ve izleme araçlarıyla tümleştirilebilir.

  • Oturum açma işlemleri raporu, yönetilen uygulamaların kullanımı ve Kullanıcı oturum açma etkinliklerinin kullanımı hakkında bilgi sağlar.-denetim günlükleri-çeşitli Azure AD özellikleri tarafından yapılan tüm değişiklikler için Günlükler aracılığıyla izlenebilirlik sağlar. Denetim günlükleri, Azure AD içindeki herhangi bir kaynakta yapılan değişiklikleri içerir. Değişiklikler, Kullanıcı, uygulama, Grup, rol ve ilke eklemeyi veya kaldırmayı içerir.
  • Riskli oturum açma işlemleri-bir kullanıcı hesabının meşru sahibi olmayan birisi tarafından gerçekleştirilen oturum açma girişimleri için bir göstergedir.
  • Risk için işaretlenen kullanıcılar-riskli bir Kullanıcı, tehlikeye girmiş olabilecek bir kullanıcı hesabı göstergesidir. Bulut için Microsoft Defender, çok fazla sayıda başarısız kimlik doğrulama denemesi gibi bazı şüpheli etkinlikler hakkında sizi uyarır. Abonelikteki kullanım dışı hesaplar da uyarıları tetikleyebilirler. Bulut için Microsoft Defender, çok fazla sayıda başarısız kimlik doğrulama girişimi veya kullanım dışı bırakılmış hesaplar gibi şüpheli etkinlikler hakkında sizi uyarabilir.

Temel güvenlik durumu izlemeye ek olarak, bulutun tehdit koruması modülü için Microsoft Defender, ' den daha ayrıntılı güvenlik uyarıları toplayabilir:

  • VM 'Ler, kapsayıcılar ve App Service gibi bireysel Azure işlem kaynakları
  • Azure SQL Veritabanı ve Azure Depolama gibi veri kaynakları
  • Azure hizmet katmanları

Bu yetenek, tek tek kaynaklarda hesap bozukluklarını bir görünürlük sağlar.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

LT-3: Azure ağ etkinlikleri için günlüğe kaydetmeyi etkinleştirin

Rehberlik: şu günlükleri etkinleştir:

  • Ağ güvenlik grubu (NSG) kaynak günlükleri

  • NSG akış günlükleri

  • Azure Güvenlik Duvarı günlükleri

Güvenlik analizi için günlükleri toplayın. Olay araştırmamalarını, tehdit araymasını ve güvenlik uyarısı oluşturmayı desteklemek için bunları kullanın. Akış günlüklerini bir Azure Izleyici Log Analytics çalışma alanına gönderebilir ve sonra öngörüleri sağlamak için Trafik Analizi kullanabilirsiniz.

Container Registry, DNS sorgu günlüklerini oluşturmaz veya işlemez.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

LT-4: Azure kaynakları için günlüğe kaydetmeyi etkinleştirin

Rehberlik: etkinlik günlükleri otomatik olarak kullanılabilir. Günlükler, Container Registry kaynaklar için tüm PUT, POST ve DELETE işlemlerini içerir ancak almaz. Sorun giderme sırasında hataları bulmak veya kullanıcıların kaynakları nasıl değiştirtiğini izlemek için etkinlik günlükleri ' ni kullanabilirsiniz.

Container Registry için Azure Kaynak günlüklerini etkinleştirin. Kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Microsoft Defender 'ı bulut ve Azure Ilkesi için kullanabilirsiniz. Bu Günlükler, güvenlik olaylarını araştırmak ve bu işler için kritik öneme sahip olabilir.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

LT-6: Günlük depolama alanının saklama süresini yapılandırın

Rehberlik: Container Registry günlüklerini depolayan depolama hesapları veya Log Analytics çalışma alanları için kuruluşunuzun uyumluluk düzenlemelerine uygun bir günlük tutma süresi ayarlayın.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

LT-7: onaylanan zaman eşitleme kaynaklarını kullanın

Rehberlik: Azure Container Registry kendi zaman eşitleme kaynaklarınızı yapılandırmayı desteklemez. Container Registry hizmeti Microsoft zaman eşitleme kaynaklarını kullanır ve kullanıcılara yapılandırma için gösterilmez.

Sorumluluk: Microsoft

Bulut izleme Için Microsoft Defender: yok

Duruş ve Güvenlik Açığı Yönetimi

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Duruş ve Güvenlik Açığı Yönetimi.

PV-1: Azure hizmetleri için güvenli yapılandırmalar oluşturun

Rehberlik: tek bir şema tanımında hizmetlerin ve uygulama ortamlarının dağıtımını ve yapılandırmasını otomatik hale getirmek için Azure şemaları 'nı kullanabilirsiniz. İçin ortamlar:

  • Azure Kaynak Yöneticisi şablonları

  • Azure RBAC denetimleri ve ilkeleri

Aşağıdakiler dahil olmak üzere Azure Container Registry kaynağının dağıtımını ve yapılandırmasını otomatik hale getirmek için Azure şemaları kullanın:

  • Azure Kaynak Yöneticisi şablonları
  • Azure RBAC rol atamaları
  • Azure Ilke atamaları

Tüm Azure Container Registry kaynakları için güvenlik yapılandırmalarının bakımını yapmak üzere bulut için Azure Ilkesi veya Microsoft Defender 'ı kullanın. Azure İlkesi, ilkelerinizi oluşturmak, atamak ve yönetmek için kullandığınız bir Azure hizmetidir. Bu ilkeler, kaynaklarınız üzerinden farklı kuralları ve eylemleri uygulatarak kaynaklarınızın kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalmasını sağlar.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

PV-2: Azure hizmetleri için güvenli yapılandırmaların sürekliliğini sağlayın

Rehberlik: yapılandırma temelinizi Izlemek için bulut Için Microsoft Defender 'ı kullanın. VM 'Ler, kapsayıcılar ve diğerleri dahil olmak üzere Azure işlem kaynakları genelinde güvenli yapılandırmayı zorlamak için [reddetme] ve [dağıtım yoksa dağıt] Azure Ilkesini kullanın.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

BD-5: özel işletim sistemi ve kapsayıcı görüntülerini güvenli bir şekilde depolayın

Rehberlik: Container Registry müşterilerin işletim sistemi görüntülerini veya kapsayıcı görüntülerini yönetmesine olanak tanır. Görüntülerinizi kuruluşunuzdaki farklı kullanıcılar, hizmet sorumluları veya Azure AD gruplarıyla paylaşmak için Azure Paylaşılan görüntü Galerisi ' ni kullanın. Kapsayıcı görüntülerini Azure Container Registry depolayın ve yalnızca yetkili kullanıcıların erişimi olduğundan emin olmak için Azure RBAC kullanın.

Sorumluluk: Müşteri

Bulut izleme Için Microsoft Defender: yok

BD-6: yazılım güvenlik açığı değerlendirmeleri gerçekleştirme

Rehberlik: Container Registry, ortamında hizmet dağıtımına izin verir.

Dağıtılan hizmetlerinize yönelik güvenlik açığı değerlendirmesi gerçekleştirmek için bulut için Microsoft Defender önerilerini izleyin:

  • Azure sanal makineleri
  • Kapsayıcı görüntüleri
  • SQL sunucuları

bulut için Microsoft Defender 'ın sanal makine, kapsayıcı görüntüleri ve SQL veritabanı için yerleşik bir güvenlik açığı tarayıcısı vardır.

Gerektiğinde, güvenlik açıklarının düzeltildiğini doğrulamak için tarama sonuçlarını tutarlı aralıklarla dışarı aktarın ve sonuçları önceki taramalarla karşılaştırın. bulut için Microsoft Defender tarafından önerilen güvenlik açığı yönetimi önerileri kullanırken, geçmiş tarama verilerini görüntülemek için seçili çözümün portalının içinde özetlemesini sağlayabilirsiniz.

Microsoft, Container Registry destekleyen temel sistemlerde güvenlik açığı yönetimi gerçekleştirir.

Sorumluluk: Paylaşılan

Bulut izleme Için Microsoft Defender: Azure Güvenlik kıyaslaması , Microsoft Defender için bulut için varsayılan Ilke girişimidir ve bulut için Microsoft Defender 'ın önerileridir. Bu denetimle ilgili Azure Ilke tanımları, bulut için Microsoft Defender tarafından otomatik olarak etkinleştirilir. Bu denetimle ilgili uyarılar, ilgili hizmetler için bir Microsoft Defender planı gerektirebilir.

Azure ilkesi yerleşik tanımları-Microsoft. ContainerRegistry:

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Azure Container Registry görüntülerdeki güvenlik açıkları düzeltilmelidir Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, her bir bir kapsayıcı görüntüsündeki güvenlik açıklarına karşı kayıt defterinizi tarar ve her görüntü için (Qualys tarafından desteklenir) ayrıntılı bulguları gösterir. Güvenlik açıklarının çözümlenmesi, kapsayıcılarınızın güvenlik duruşunuzu önemli ölçüde iyileştirebilir ve saldırılardan koruyabilir. Auditınotexists, devre dışı 2.0.0

DG-7: Yazılım güvenlik açıklarını hızla ve otomatik olarak düzeltme

Rehberlik: uygulanamaz. Bu öneri, işlem kaynaklarına yöneliktir. Azure Container Registry müşterilerin yapılandırması gereken müşteriye yönelik işlem kaynaklarını dağıtmaz.

Sorumluluk: Paylaşılan

Bulut izleme Için Microsoft Defender: yok

PV-8: Düzenli aralıklarla saldırı simülasyonları yapın

Rehberlik: gerektiğinde, Azure kaynaklarınızda sızma testi veya Red takım etkinlikleri gerçekleştirin. Tüm kritik güvenlik bulgularını çöztiğinizden emin olun.

Sızma testlerinin Microsoft ilkelerini ihlal etmey olduğundan emin olmak için Microsoft Bulut Sızma Testi Etkileşim Kuralları'nı izleyin. Microsoft'un Red Teaming stratejisini ve yürütmesini kullanın. Microsoft tarafından yönetilen bulut altyapısı, hizmetleri ve uygulamalarına karşı canlı site sızma testi yapma.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

Endpoint Security

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Endpoint Security.

ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun

Rehberlik:Kötü amaçlı yazılımdan koruma imzalarının hızlı ve tutarlı bir şekilde güncelleştirildiğinden emin olun.

Tüm uç noktaların en son imzalarla güncel olduğundan emin olmak için Bulut için Microsoft Defender: İşlem & Uygulamaları'nın önerilerini izleyin. Microsoft Antimalware, varsayılan olarak en son imzaları ve altyapı güncelleştirmelerini otomatik olarak yükleyecek.

Microsoft, düzenli güncelleştirmeler ve dağıtımlar aracılığıyla temel alınan platform için kötü amaçlı yazılımdan koruma yazılımıyla başa çıkar

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

Yedekleme ve Kurtarma

Daha fazla bilgi için bkz. Azure Güvenlik Karşılaştırması: Yedekleme ve Kurtarma.

BR-1: Düzenli otomatik yedeklemeler olduğundan emin olun

Rehberlik:Kapsayıcı kayıt defterinizin Microsoft Azure süreklilik ve yüksek kullanılabilirlik sağlamak için her zaman otomatik olarak çoğaltılır. Azure Container Registry, verilerinizi planlanan ve planlanmamış olaylara karşı korunacak şekilde kopyalar.

İsteğe bağlı olarak, birden çok Azure bölgesinde veya bölgesinde kayıt defteri çoğaltmalarını etkin durumda olacak şekilde korumak için bir kapsayıcı kayıt Kullanılabilirlik Alanları çoğaltabilirsiniz.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

BR-2: Yedekleme verilerini şifreleme

Rehberlik:Sistem verileri Microsoft tarafından yönetilen anahtar kullanılarak istirahatta şifrelenir.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

BR-3: Müşteri tarafından yönetilen anahtarlar dahil olmak üzere tüm yedeklemeleri doğrulayın

Rehberlik:Container Registry kendi kritik sistem verilerini yedekler. Yedekli müşteri tarafından yönetilen anahtarları düzenli aralıklarla geri yükleyesiniz.

Tüm Azure kaynaklarda beklemede şifrelemeyi kullanın. Varsayılan olarak, Azure kapsayıcı kayıt defterindeki tüm veriler Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

BR-4: Kayıp anahtar riskini azaltma

Rehberlik:Şifreleme anahtarlarının kaybını önlemek ve kurtarmak için gerekli önlemlerin Azure Backup olun. Anahtarları yanlışlıkla veya kötü amaçlı olarak silinmeye karşı korumak için Azure Key Vault'ta geçici silme ve temizleme koruması özelliklerini etkinleştirin.

Sorumluluk: Müşteri

Bulut izleme için Microsoft Defender:Yok

Sonraki adımlar