Zabezpečení Zařízení Nexus pro operátory Azure
Azure Operator Nexus je navržený a sestavený tak, aby detekoval a bránil před nejnovějšími bezpečnostními hrozbami a dodržoval striktní požadavky standardů zabezpečení státní správy a průmyslu. Dva základní kameny tvoří základ architektury zabezpečení:
- Zabezpečení ve výchozím nastavení – Odolnost zabezpečení je součástí platformy s minimálními až žádnými změnami konfigurace, které je potřeba k bezpečnému použití.
- Předpokládejme porušení zabezpečení – základním předpokladem je, že může být ohrožen jakýkoli systém, a proto je cílem minimalizovat dopad porušení zabezpečení v případě, že dojde k nějakému narušení zabezpečení.
Azure Operator Nexus si uvědomuje výše uvedené možnosti díky nástrojům zabezpečení nativním pro cloud Od Microsoftu, které vám umožňují zlepšit stav zabezpečení cloudu a zároveň vám umožní chránit úlohy operátora.
Ochrana pro celou platformu prostřednictvím Microsoft Defenderu pro cloud
Microsoft Defender for Cloud je platforma ochrany aplikací nativní pro cloud (CNAPP), která poskytuje možnosti zabezpečení potřebné k posílení prostředků, správě stavu zabezpečení, ochraně před kybernetickými útoky a zjednodušení správy zabezpečení. Toto jsou některé z klíčových funkcí defenderu pro cloud, které platí pro platformu Azure Operator Nexus:
- Posouzení ohrožení zabezpečení pro virtuální počítače a registry kontejnerů – Snadno povolte řešení posouzení ohrožení zabezpečení ke zjišťování, správě a řešení ohrožení zabezpečení. Prohlédněte si, prozkoumejte a opravte závěry přímo v programu Defender for Cloud.
- Hybridní zabezpečení cloudu – Získejte jednotný přehled o zabezpečení napříč všemi místními a cloudovými úlohami. Použijte zásady zabezpečení a průběžně vyhodnocujte zabezpečení hybridních cloudových úloh, abyste zajistili dodržování standardů zabezpečení. Shromážděte, prohledávejte a analyzujte data zabezpečení z více zdrojů, včetně bran firewall a dalších partnerských řešení.
- Výstrahy ochrany před hrozbami – Pokročilá analýza chování a Microsoft Intelligent Security Graph poskytují hranici nad vývojem kybernetických útoků. Integrovaná behaviorální analýza a strojové učení můžou identifikovat útoky a zneužití nulového dne. Monitorujte sítě, počítače, Azure Storage a cloudové služby pro příchozí útoky a aktivitu po porušení zabezpečení. Zjednodušte vyšetřování pomocí interaktivních nástrojů a kontextové analýzy hrozeb.
- Posouzení dodržování předpisů proti různým standardům zabezpečení – Defender for Cloud průběžně posuzuje vaše hybridní cloudové prostředí a analyzuje rizikové faktory podle kontrolních mechanismů a osvědčených postupů ve srovnávacím testu zabezpečení Azure. Když povolíte pokročilé funkce zabezpečení, můžete použít celou řadu dalších oborových standardů, regulačních standardů a srovnávacích testů podle potřeb vaší organizace. Přidejte standardy a sledujte jejich dodržování z řídicího panelu dodržování právních předpisů.
- Funkce zabezpečení kontejnerů – Výhody správa ohrožení zabezpečení a ochrany před hrozbami v reálném čase ve vašich kontejnerizovaných prostředích.
Existují vylepšené možnosti zabezpečení, které umožňují chránit vaše místní hostitelské servery i clustery Kubernetes, které spouštějí úlohy operátora. Tyto možnosti jsou popsány níže.
Ochrana operačního systému hostitele holých počítačů prostřednictvím programu Microsoft Defender for Endpoint
Pokud se rozhodnete povolit řešení Microsoft Defender for Endpoint , jsou chráněné počítače Azure Operator Nexus holé počítače (BMM), které hostují výpočetní servery místní infrastruktury. Microsoft Defender for Endpoint poskytuje preventivní antivirovou ochranu (AV), detekce a reakce u koncových bodů (EDR) a možnosti správa ohrožení zabezpečení.
Jakmile vyberete a aktivujete plán Microsoft Defenderu pro servery , máte možnost povolit ochranu Microsoft Defenderu pro koncové body, protože aktivace plánu Defender for Servers je předpokladem pro Microsoft Defender for Endpoint. Po povolení se konfigurace Microsoft Defenderu pro koncový bod spravuje platformou, která zajišťuje optimální zabezpečení a výkon a snižuje riziko chybných konfigurací.
Ochrana úloh clusteru Kubernetes přes Microsoft Defender for Containers
Místní clustery Kubernetes, které spouštějí úlohy operátora, jsou chráněné, když se rozhodnete povolit řešení Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje ochranu před hrozbami za běhu pro clustery a linuxové uzly a také posílení zabezpečení prostředí clusteru proti chybným konfiguracím.
Máte možnost povolit ochranu defenderu pro kontejnery v programu Defender for Cloud aktivací plánu Defender for Containers.
Cloud zabezpečení umožňuje dělit se o odpovědnost
Je důležité si uvědomit, že v cloudovém prostředí je zabezpečení sdílenou odpovědností mezi vámi a poskytovatelem cloudu. Odpovědnosti se liší v závislosti na typu cloudové služby, na které vaše úlohy běží, ať už se jedná o software jako službu (SaaS), platformu jako službu (PaaS) nebo infrastrukturu jako službu (IaaS), a také na tom, kde jsou úlohy hostované – v rámci poskytovatele cloudu nebo v místních datacentrech.
Úlohy Azure Operator Nexus běží na serverech ve vašich datacentrech, takže máte kontrolu nad změnami místního prostředí. Microsoft pravidelně zpřístupňuje nové verze platformy, které obsahují zabezpečení a další aktualizace. Pak se musíte rozhodnout, kdy tyto verze použít ve vašem prostředí podle potřeb vaší organizace.
Kontrola srovnávacích testů zabezpečení Kubernetes
Standardní nástroje pro srovnávací testy zabezpečení se používají ke kontrole platformy Azure Operator Nexus kvůli dodržování předpisů zabezpečení. Mezi tyto nástroje patří OpenSCAP, které vyhodnocují dodržování předpisů s ovládacími prvky STIG (Security Security Technical Implementation Guide) a Kube-Bench služby Aqua Security, které vyhodnocují dodržování standardů Kubernetes Center for Internet Security (CIS).
Některé ovládací prvky nejsou technicky proveditelné k implementaci v prostředí Azure Operator Nexus a tyto s výjimkou ovládacích prvků jsou popsané níže pro příslušné vrstvy Nexus.
Tyto nástroje nevyhodnocují kontroly prostředí, jako jsou RBAC a testy účtů služeb, protože výsledky se můžou lišit v závislosti na požadavcích zákazníků.
NTF = technicky proveditelné
OpenSCAP STIG – V2R2
Cluster
| STIG ID | Popis doporučení | Stav | Problém |
|---|---|---|---|
| V-242386 | Server rozhraní API Kubernetes musí mít zakázaný nezabezpečený příznak portu. | NTF | Tato kontrola je zastaralá ve verzi 1.24.0 a vyšší. |
| V-242397 | Kubernetes kubelet staticPodPath nesmí povolit statické pody. | NTF | Povoleno pouze pro řídicí uzly, vyžadované pro kubeadm |
| V-242403 | Server rozhraní Kubernetes API musí generovat záznamy auditu, které identifikují typ události, identifikují zdroj události, obsahují výsledky událostí, identifikují všechny uživatele a identifikují všechny kontejnery přidružené k události. | NTF | Některé požadavky rozhraní API a odpovědi obsahují tajné kódy, a proto se v protokolech auditu nezachytají. |
| V-242424 | Kubernetes Kubelet musí pro zabezpečené služby povolit tlsPrivateKeyFile. | NTF | Sítě SAN Kubelet obsahují pouze název hostitele. |
| V-242425 | Kubernetes Kubelet musí pro zabezpečené služby povolit tlsCertFile. | NTF | Sítě SAN Kubelet obsahují pouze název hostitele. |
| V-242434 | Kubernetes Kubelet musí povolit ochranu jádra. | NTF | Povolení ochrany jádra není pro kubeadm v Nexusu možné. |
Nexus Kubernetes Cluster
| STIG ID | Popis doporučení | Stav | Problém |
|---|---|---|---|
| V-242386 | Server rozhraní API Kubernetes musí mít zakázaný nezabezpečený příznak portu. | NTF | Tato kontrola je zastaralá ve verzi 1.24.0 a vyšší. |
| V-242397 | Kubernetes kubelet staticPodPath nesmí povolit statické pody. | NTF | Povoleno pouze pro řídicí uzly, vyžadované pro kubeadm |
| V-242403 | Server rozhraní Kubernetes API musí generovat záznamy auditu, které identifikují typ události, identifikují zdroj události, obsahují výsledky událostí, identifikují všechny uživatele a identifikují všechny kontejnery přidružené k události. | NTF | Některé požadavky rozhraní API a odpovědi obsahují tajné kódy, a proto se v protokolech auditu nezachytají. |
| V-242424 | Kubernetes Kubelet musí pro zabezpečené služby povolit tlsPrivateKeyFile. | NTF | Sítě SAN Kubelet obsahují pouze název hostitele. |
| V-242425 | Kubernetes Kubelet musí pro zabezpečené služby povolit tlsCertFile. | NTF | Sítě SAN Kubelet obsahují pouze název hostitele. |
| V-242434 | Kubernetes Kubelet musí povolit ochranu jádra. | NTF | Povolení ochrany jádra není pro kubeadm v Nexusu možné. |
Správce clusteru – Azure Kubernetes
Azure Kubernetes Service (AKS) jako zabezpečená služba splňuje standardy SOC, ISO, PCI DSS a HIPAA. Následující obrázek ukazuje výjimky oprávnění souboru OpenSCAP pro implementaci AKS Správce clusteru.
Aquasec Kube-Bench - CIS 1.9
Cluster
| CIS ID | Popis doporučení | Stav | Problém |
|---|---|---|---|
| 0 | Komponenty řídicí roviny | ||
| 1,1 | Konfigurační soubory uzlů řídicí roviny | ||
| 1.1.12 | Ujistěte se, že je vlastnictví adresáře dat atd. nastavené na etcd:etcd |
NTF | Nexus je root:root, etcd uživatel není nakonfigurován pro kubeadm |
| 1.2 | API Server | ||
| 1.1.12 | Ujistěte se, že --kubelet-certificate-authority je argument nastavený podle potřeby. |
NTF | Sítě SAN Kubelet zahrnují pouze název hostitele. |
Nexus Kubernetes Cluster
| CIS ID | Popis doporučení | Stav | Problém |
|---|---|---|---|
| 0 | Komponenty řídicí roviny | ||
| 1,1 | Konfigurační soubory uzlů řídicí roviny | ||
| 1.1.12 | Ujistěte se, že je vlastnictví adresáře dat atd. nastavené na etcd:etcd |
NTF | Nexus je root:root, etcd uživatel není nakonfigurován pro kubeadm |
| 1.2 | API Server | ||
| 1.1.12 | Ujistěte se, že --kubelet-certificate-authority je argument nastavený podle potřeby. |
NTF | Sítě SAN Kubelet zahrnují pouze název hostitele. |
Správce clusteru – Azure Kubernetes
Operátor Nexus Cluster Manager je implementace AKS. Následující obrázek znázorňuje výjimky Kube-Bench pro Správce clusteru. Úplnou zprávu o vyhodnocení kontroly srovnávacích testů CIS pro službu Azure Kubernetes Service (AKS) najdete tady.
