Určení požadavků na zabezpečení pro kontejnery a orchestraci kontejnerů
Tato lekce shrnuje standardní hodnoty zabezpečení Azure pro službu Azure Kubernetes Service. Pro oblasti, kde existuje mnoho ovládacích prvků, jsme zahrnuli pouze první pět zmínek.
Další informace o srovnávacím testu Microsoft Cloud Security Benchmark najdete v tématu Úvod do referenční architektury kyberbezpečnosti Microsoftu a srovnávacího testu zabezpečení cloudu.
V následující tabulce jsme zahrnuli ovládací prvky z úplného směrného plánu, kde:
- Ovládací prvky zabezpečení byly podporovány, ale ve výchozím nastavení nejsou povolené.
- Existovaly explicitní pokyny, které obsahovaly opatření, která se mají provést na straně zákazníka.
| Plocha | Ovládací prvek | Souhrn doprovodných materiálů |
|---|---|---|
| Zabezpečení sítě | 1.1: Ochrana prostředků Azure ve virtuálních sítích | Ve výchozím nastavení se automaticky vytvoří skupina zabezpečení sítě a směrovací tabulka s vytvořením clusteru Microsoft Azure Kubernetes Service (AKS). AKS automaticky upraví skupiny zabezpečení sítě pro příslušný tok provozu, protože se vytvářejí služby s nástroji pro vyrovnávání zatížení, mapováním portů nebo trasami příchozího přenosu dat. |
| 1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových adaptérů | Použijte Microsoft Defender pro cloud a postupujte podle doporučení ochrany sítě k zabezpečení síťových prostředků používaných clustery Azure Kubernetes Service (AKS). | |
| 1.3: Ochrana důležitých webových aplikací | Před clusterem AKS použijte Aplikace Azure lication Gateway s povolenou bránou Firewall webových aplikací (WAF), která poskytuje další vrstvu zabezpečení filtrováním příchozího provozu do webových aplikací. Azure WAF používá sadu pravidel poskytovaných projektem OWASP (Open Web Application Security Project) pro útoky, jako je skriptování mezi weby nebo otrava soubory cookie proti tomuto provozu. | |
| 1.4: Odepřít komunikaci se známými škodlivými IP adresami | Povolte ochranu standardu DDoS (Microsoft Distributed Denial-of-Service) ve virtuálních sítích, ve kterých jsou nasazené komponenty služby Azure Kubernetes Service (AKS) pro ochranu před útoky DDoS. | |
| 1.5: Záznam síťových paketů | K vyšetřování neobvyklé aktivity použijte zachytávání paketů služby Network Watcher podle potřeby. | |
| Protokolování a monitorování | 2.1: Použití schválených zdrojů synchronizace času | Uzly Azure Kubernetes Service (AKS) používají ntp.ubuntu.com pro synchronizaci času spolu s portem UDP 123 a protokolem NTP (Network Time Protocol). |
| 2.2: Konfigurace správy protokolů centrálního zabezpečení | Povolte protokoly auditu z hlavních komponent Azure Kubernetes Services (AKS), kube-apiserver a kube-controller-manager, které jsou poskytované jako spravovaná služba. | |
| 2.3: Povolení protokolování auditu pro prostředky Azure | Pomocí protokolů aktivit můžete monitorovat akce na prostředcích služby Azure Kubernetes Service (AKS) a zobrazit všechny aktivity a jejich stav. | |
| 2.4: Shromažďování protokolů zabezpečení z operačních systémů | Povolte automatickou instalaci agentů Log Analytics pro shromažďování dat z uzlů clusteru AKS. Zapnutí automatického zřizování agenta monitorování Azure Log Analytics z Microsoft Defenderu pro cloud je ve výchozím nastavení vypnuté. | |
| 2.5: Konfigurace uchovávání úložiště protokolů zabezpečení | Nasaďte instance Služby Azure Kubernetes Service (AKS) do služby Azure Monitor a nastavte odpovídající dobu uchovávání pracovních prostorů Služby Azure Log Analytics podle požadavků vaší organizace na dodržování předpisů. | |
| Identita a řízení přístupu | 3.1: Údržba inventáře účtů pro správu | Samotná služba Azure Kubernetes Service (AKS) neposkytuje řešení pro správu identit, které ukládá běžné uživatelské účty a hesla. Díky integraci Microsoft Entra můžete uživatelům nebo skupinám udělit přístup k prostředkům Kubernetes v rámci oboru názvů nebo napříč clusterem. |
| 3.2: Změna výchozích hesel tam, kde je to možné | Azure Kubernetes Service (AKS) nemá koncept běžných výchozích hesel a neposkytuje řešení správy identit, ve kterém je možné ukládat běžné uživatelské účty a hesla. Díky integraci Microsoft Entra můžete udělit přístup na základě role k prostředkům AKS v rámci oboru názvů nebo v clusteru. | |
| 3.3: Použití vyhrazených účtů pro správu | Integrujte ověřování uživatelů pro clustery Azure Kubernetes Service (AKS) s ID Microsoft Entra. Přihlaste se ke clusteru AKS pomocí ověřovacího tokenu Microsoft Entra. | |
| 3.4: Použití jednotného přihlašování (SSO) s ID Microsoft Entra | Pro Službu Azure Kubernetes Service (AKS) s integrovaným ověřováním Microsoft Entra pro cluster AKS použijte jednotné přihlašování. | |
| 3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na ID Microsoft Entra | Integrace ověřování pro službu Azure Kubernetes Service (AKS) s ID Microsoft Entra | |
| Ochrana dat | 4.1: Udržování inventáře citlivých informací | Pokyny: Použití značek k prostředkům souvisejícím s nasazeními Služby Azure Kubernetes Service (AKS) vám pomůže při sledování prostředků Azure, které ukládají nebo zpracovávají citlivé informace. |
| 4.2: Izolace systémů, které ukládají nebo zpracovávají citlivé informace | Logicky izolujte týmy a úlohy ve stejném clusteru se službou Azure Kubernetes Service (AKS) tak, aby poskytovaly nejmenší počet oprávnění s rozsahem na prostředky vyžadované jednotlivými týmy. | |
| 4.3: Monitorování a blokování neoprávněného přenosu citlivých informací | Použijte řešení třetí strany z Azure Marketplace na hraničních sítích, které monitorují neoprávněný přenos citlivých informací a blokují takové přenosy při upozorňování odborníků na zabezpečení informací. | |
| 4.4: Šifrování všech citlivých informací při přenosu | Vytvořte kontroler příchozího přenosu dat HTTPS a pro nasazení služby Azure Kubernetes Service (AKS) použijte vlastní certifikáty TLS (nebo volitelně Let's Encrypt). | |
| 4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat | Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou k dispozici pro azure Storage nebo výpočetní prostředky. Pokud je to potřeba pro účely dodržování předpisů, implementujte řešení třetích stran. Microsoft spravuje podkladovou platformu a považuje veškerý obsah zákazníka za citlivý a jde o velkou délku, která chrání před ztrátou a vystavením zákaznických dat. | |
| Správa ohrožení zabezpečení | 5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení | K monitorování služby Azure Container Registry včetně instancí služby Azure Kubernetes Service (AKS) pro ohrožení zabezpečení použijte Microsoft Defender for Cloud. Povolte sadu Registrů kontejnerů v programu Microsoft Defender for Cloud, abyste měli jistotu, že je Program Microsoft Defender for Cloud připravený na skenování imagí, které se nasdílí do registru. |
| 5.2: Nasazení automatizovaného řešení pro správu oprav operačního systému | Aktualizace zabezpečení se automaticky použijí na uzly Linuxu za účelem ochrany clusterů Azure Kubernetes Service (AKS) zákazníka. Mezi tyto aktualizace patří opravy zabezpečení operačního systému nebo aktualizace jádra. Všimněte si, že proces udržování uzlů Windows Serveru v aktualizovaném stavu se liší od uzlů s Linuxem, protože uzly windows serveru nedostávají denní aktualizace. | |
| 5.3: Nasazení automatizovaného řešení pro správu oprav pro softwarové tituly třetích stran | Implementujte ruční proces, který zajistí, aby aplikace třetích stran uzlu clusteru Azure Kubernetes Service (AKS) zůstaly po dobu životnosti clusteru opravené. To může vyžadovat povolení automatických aktualizací, monitorování uzlů nebo pravidelné restartování. | |
| 5.4: Porovnání kontrol ohrožení zabezpečení back-to-back | Vyexportujte výsledky kontroly v programu Microsoft Defender for Cloud v konzistentních intervalech a porovnejte výsledky a ověřte, že došlo k nápravě ohrožení zabezpečení. | |
| 5.5: Stanovení priority nápravy zjištěných ohrožení zabezpečení pomocí procesu hodnocení rizik | K určení priority nápravy ohrožení zabezpečení použijte hodnocení závažnosti poskytované programem Microsoft Defender for Cloud. | |
| Správa inventáře a aktiv | 6.1: Použití řešení automatizovaného zjišťování prostředků | Pomocí Azure Resource Graphu můžete dotazovat nebo zjišťovat všechny prostředky (například výpočetní prostředky, úložiště, síť atd.) v rámci vašich předplatných. Ujistěte se, že máte ve svém tenantovi příslušná oprávnění (číst) a máte možnost vytvořit výčet všech předplatných Azure i prostředků v rámci vašich předplatných. |
| 6.2: Údržba metadat prostředků | Značky použijte u prostředků Azure s metadaty, abyste je logicky uspořádali do taxonomie. | |
| 6.3: Odstranění neoprávněných prostředků Azure | K uspořádání a sledování prostředků použijte označování, skupiny pro správu a samostatná předplatná. | |
| 6.4: Definování a údržba inventáře schválených prostředků Azure | Definujte seznam schválených prostředků Azure a schváleného softwaru pro výpočetní prostředky na základě obchodních potřeb organizace. | |
| 6.5: Monitorování neschválené prostředky Azure | Pomocí služby Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad: Nepovolené typy prostředků, Povolené typy prostředků | |
| Zabezpečená konfigurace | 7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure | Pomocí aliasů Azure Policy v oboru názvů Microsoft.ContainerService můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace instancí služby Azure Kubernetes Service (AKS). Použijte předdefinované definice Azure Policy. |
| 7.2: Vytvoření konfigurace zabezpečeného operačního systému | Clustery Azure Kubernetes (AKS) se nasazují na hostitelské virtuální počítače s operačním systémem optimalizovaným pro zabezpečení. Hostitelský operační systém má další kroky posílení zabezpečení, které jsou do něj začleněny, aby se snížil prostor útoku a umožnil bezpečné nasazení kontejnerů. | |
| 7.3: Údržba zabezpečených konfigurací prostředků Azure | Zabezpečení clusteru Azure Kubernetes Service (AKS) pomocí zásad zabezpečení podů Omezte, jaké pody je možné naplánovat, aby se zlepšilo zabezpečení clusteru. | |
| 7.4: Udržování zabezpečených konfigurací operačního systému | Clustery Azure Kubernetes Service (AKS) se nasazují na hostitelské virtuální počítače s operačním systémem optimalizovaným pro zabezpečení. Hostitelský operační systém má další kroky posílení zabezpečení, které jsou do něj začleněny, aby se snížil prostor útoku a umožnil bezpečné nasazení kontejnerů. | |
| 7.5: Bezpečné ukládání konfigurace prostředků Azure | Azure Repos můžete použít k bezpečnému ukládání a správě konfigurací, pokud používáte vlastní definice Azure Policy. Exportujte šablonu konfigurace služby Azure Kubernetes Service (AKS) v javascriptovém zápisu objektů (JSON) pomocí Azure Resource Manageru. | |
| Obrana před malwarem | 8.1: Použití centrálně spravovaného antimalwarového softwaru | AKS spravuje životní cyklus a operace uzlů agenta vaším jménem – úprava prostředků IaaS přidružených k uzlům agenta se nepodporuje. Pro linuxové uzly však můžete použít sady démonů k instalaci vlastního softwaru, jako je antimalwarové řešení. |
| 8.2: Předběžné skenování souborů, které se mají nahrát do výpočetních prostředků Azure | Předem zkontrolujte všechny soubory, které se nahrávají do vašich prostředků AKS. Detekce hrozeb v Programu Microsoft Defender for Cloud pro datové služby vám umožní zjistit malware nahraný do účtů úložiště, pokud používáte účet úložiště Azure jako úložiště dat nebo ke sledování stavu Terraformu pro váš cluster AKS. | |
| 8.3: Ujistěte se, že jsou aktualizovány antimalwarový software a podpisy. | AKS spravuje životní cyklus a operace uzlů agenta vaším jménem – úprava prostředků IaaS přidružených k uzlům agenta se nepodporuje. Pro linuxové uzly však můžete použít sady démonů k instalaci vlastního softwaru, jako je antimalwarové řešení. | |
| Obnovení dat | 9.1: Zajištění pravidelných automatizovaných záloh | Zálohujte data pomocí vhodného nástroje pro váš typ úložiště, například Velero, který může zálohovat trvalé svazky spolu s dalšími prostředky a konfiguracemi clusteru. Pravidelně ověřte integritu a zabezpečení těchto záloh. |
| 9.2: Provádění úplných záloh systému a zálohování všech klíčů spravovaných zákazníkem | Zálohujte data pomocí vhodného nástroje pro váš typ úložiště, například Velero, který může zálohovat trvalé svazky spolu s dalšími prostředky a konfiguracemi clusteru. | |
| 9.3: Ověření všech záloh včetně klíčů spravovaných zákazníkem | Pravidelně provádí obnovení obsahu ve službě Velero Backup. V případě potřeby otestujte obnovení do izolované virtuální sítě. | |
| 9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem | Zálohujte data pomocí vhodného nástroje pro váš typ úložiště, například Velero, který může zálohovat trvalé svazky spolu s dalšími prostředky a konfiguracemi clusteru. | |
| Reakce na incident | 10.1: Vytvoření průvodce reakcí na incidenty | Vytvořte průvodce reakcí na incidenty pro vaši organizaci. Ujistěte se, že existují písemné plány reakce na incidenty, které definují všechny role pracovníků a také fáze zpracování a správy incidentů od detekce až po vyhodnocení incidentu. |
| 10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit | Určete prioritu, které výstrahy je potřeba nejprve prošetřit v programu Microsoft Defender for Cloud přiřazené závažnosti výstrah. Závažnost je založená na tom, jak je Microsoft Defender for Cloud v hledání nebo analýze použité k vydání výstrahy a také na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly. | |
| 10.3: Testování postupů reakce na zabezpečení | Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plány reakcí na incidenty. | |
| 10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení. | Kontaktní informace o incidentu zabezpečení vás společnost Microsoft použije k tomu, aby vás kontaktovala, pokud centrum Microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněná nebo neoprávněná strana. | |
| 10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty | Pomocí funkce průběžného exportu můžete exportovat upozornění a doporučení v programu Microsoft Defender for Cloud. Průběžný export umožňuje exportovat upozornění a doporučení ručně nebo nepřetržitě. | |
| Penetrační testy a tzv. red team exercises | 11.1: Proveďte pravidelné penetrační testování vašich prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení. | Postupujte podle pravidel zapojení Microsoftu a ujistěte se, že vaše penetrační testy nejsou v rozporu se zásadami Microsoftu. |