Línea base de seguridad de Azure para Kubernetes habilitado para Azure Arc
Esta línea base de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Kubernetes habilitado para Azure Arc. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Kubernetes habilitado para Azure Arc.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Kubernetes habilitado para Azure Arc. Para ver cómo Kubernetes habilitado para Azure Arc se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Kubernetes habilitado para Azure Arc.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Kubernetes habilitados para Azure Arc, lo que puede dar lugar a un aumento de las consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Contenedores, híbridos o multinublado |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | False |
| Almacena el contenido del cliente en reposo | False |
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: El objetivo de Kubernetes habilitado para Arc es ampliar el plano de control de Azure al entorno del cliente. Los servicios funcionan dentro de la red del cliente.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Introducción al agente de Kubernetes habilitado para Azure Arc
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no confundir con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: el cliente debe configurar la compatibilidad con private link. Esta característica está a punto de ir a la versión preliminar pública.
Guía de configuración: esta característica no se admite para proteger este servicio.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de identidades
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Uso de Cluster Connect para conectarse a clústeres de Kubernetes habilitados para Azure Arc
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. En su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: opción de autenticación de Azure Active Directory
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: mediante la característica RBAC de Azure, puede usar Azure Active Directory (Azure AD) y asignaciones de roles en Azure para controlar las comprobaciones de autorización en el clúster. Esto implica que ahora puede usar las asignaciones de roles de Azure para controlar de forma pormenorizada quién puede leer, escribir y eliminar los objetos de Kubernetes, tales como deployment, pod y service.
Puede agregar más configuración para habilitar el acceso condicional. Consulte el vínculo de referencia siguiente.
Referencia: Uso del acceso condicional con Azure AD
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: Kubernetes habilitado para Azure Arc admite entornos locales y otros entornos en la nube que se integran con diferentes sistemas de administración de identidades y acceso. Además del control de acceso basado en rol (RBAC) del clúster de Kubernetes existente, Kubernetes habilitado para Azure Arc admite RBAC de Azure para unificar la administración de acceso en todos los clústeres de Kubernetes y reducir al mínimo la sobrecarga operativa.
Consulte el siguiente artículo para obtener instrucciones sobre Azure RBAC para las acciones del plano de datos: Administración de identidades y acceso para Kubernetes habilitado para Azure Arc.
Nota: La característica RBAC de Azure para las operaciones del plano de datos solo se puede configurar en clústeres de Kubernetes que permiten la configuración de sus servidores de API. Esta característica no se admite para clústeres administrados como EKS y GKE.
Referencia: Integración de Azure Active Directory con clústeres de Kubernetes habilitados para Azure Arc
Protección de los datos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: se pueden usar herramientas (como Azure Purview o Azure Information Protection) para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: usamos Cosmos DB para almacenar los datos del servicio, que se cifran en reposo de forma predeterminada.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: dado que no almacenamos datos de clientes en reposo durante más de 48 horas, no hemos agregado compatibilidad con CMK.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: aunque esta característica no necesita estar "habilitada", el cliente debe configurar la extensión de clúster de AKV para aprovechar esta característica.
Esta característica también está en versión preliminar.
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: aunque la característica no necesita estar "habilitada", el cliente debe configurar la extensión de clúster de AKV para aprovechar esta característica.
Esta característica también está en versión preliminar.
Guía de configuración: esta característica no se admite para proteger este servicio.
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Aplicación de configuraciones a escala mediante Azure Policy
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: aunque esta característica no necesita estar "habilitada", el cliente debe configurar la extensión de clúster de Defender para aprovechar esta característica.
Guía de configuración: Microsoft Defender for Cloud es una herramienta nativa de la nube que permite la implementación de barreras de protección, controles, informes, alertas y tareas de corrección de forma automatizada a escala. Al combinarlo con Kubernetes habilitado para Azure Arc, puede ampliar las comprobaciones de seguridad a cualquier clúster de Kubernetes en el entorno local o multinube.
Consulte este artículo: Base de referencia de gobernanza, seguridad y cumplimiento para Kubernetes habilitado para Azure Arc.
Referencia: Habilitación de Microsoft Defender para contenedores
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: No tenemos compatibilidad para insertar registros y métricas del servicio de inserción (agente de Arc) en un receptor de datos o LA propiedad del cliente; Sin embargo, un cliente puede configurar la extensión de clúster de Container Insights para insertar métricas y registros de carga de trabajo de cliente en LA.
Guía de configuración: esta característica no se admite para proteger este servicio.
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Azure Backup
Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.