Especificar los requisitos de seguridad para contenedores y la orquestación de contenedores.
En esta unidad se resume la línea de base de seguridad de Azure para Azure Kubernetes Service. En el caso de las áreas en las que hay muchos controles, solo hemos incluido los cinco primeros que se mencionaron.
Consulte Introducción a la Arquitectura de referencia de ciberseguridad de Microsoft y Cloud Security Benchmark para obtener más información sobre Microsoft Cloud Security Benchmark.
En la tabla siguiente, hemos incluido controles de la línea base completa, donde:
- Se admitían controles de seguridad, pero no estaban habilitados de forma predeterminada.
- Había instrucciones explícitas con medidas que debía tomar el cliente.
| Área | Control | Resumen de la guía |
|---|---|---|
| Seguridad de las redes | 1.1: Protección de los recursos de Azure dentro de las redes virtuales | De forma predeterminada, un grupo de seguridad de red y una tabla de rutas se crean automáticamente al crear un clúster de Microsoft Azure Kubernetes Service (AKS). AKS modifica automáticamente los grupos de seguridad de red para que el tráfico adecuado fluya a medida que se crean servicios con equilibradores de carga, asignaciones de puertos o rutas de entrada |
| 1.2: Supervisión y registro de la configuración y el tráfico de redes virtuales, subredes y NIC | Use Microsoft Defender for Cloud y siga sus recomendaciones de protección de red a fin de proteger los recursos de red que usan los clústeres de Azure Kubernetes Service (AKS). | |
| 1.3: Proteja las aplicaciones web críticas | Use Web Application Firewall (WAF) habilitado para Azure Application Gateway delante de un clúster de AKS a fin de proporcionar una capa adicional de seguridad al filtrar el tráfico entrante a sus aplicaciones web. Azure WAF usa un conjunto de reglas, que proporciona Open Web Application Security Project (OWASP), para detectar ataques, como el scripting entre sitios o el envenenamiento de cookies en este tráfico. | |
| 1.4: Deniegue las comunicaciones con direcciones IP malintencionadas conocidas | Habilite la protección estándar de denegación de servicio distribuido (DDoS) de Microsoft en las redes virtuales en las que se implementan los componentes de Azure Kubernetes Service (AKS) para la protección contra ataques DDoS. | |
| 1.5: Registro de los paquetes de red | Use la captura de paquetes de Network Watcher como se requiere para investigar actividades anómalas. | |
| Registro y supervisión | 2.1: Uso de orígenes de sincronización de hora aprobados | Los nodos de Azure Kubernetes Service (AKS) usan ntp.ubuntu.com para la sincronización de hora, junto con el puerto UDP 123 y el protocolo de tiempo de red (NTP). |
| 2.2: Configuración de la administración central de registros de seguridad | Habilite los registro de auditoría de los componentes principales de Azure Kubernetes Service (AKS), kube-apiserver y kube-controller-manager, que se proporcionan como un servicio administrado. | |
| 2.3: Habilitación del registro de auditoría para recursos de Azure | Use registros de actividad para supervisar las acciones en los recursos de Azure Kubernetes Service (AKS) y ver toda la actividad y su estado. | |
| 2.4: Recopilación de registros de seguridad de sistemas operativos | Habilite la instalación automática de los agentes de Log Analytics para recopilar datos de los nodos de clúster de AKS. Además, active el aprovisionamiento automático del agente de supervisión de Azure Log Analytics desde Microsoft Defender for Cloud, dado que, de manera predeterminada, el aprovisionamiento automático está desactivado. | |
| 2.5: Configuración de la retención del almacenamiento de registros de seguridad | Incorpore las instancias de Azure Kubernetes Service (AKS) a Azure Monitor y establezca el período de retención del área de trabajo de Azure Log Analytics correspondiente según los requisitos de cumplimiento de su organización. | |
| Identidad y Access Control | 3.1: Mantenga un inventario de cuentas administrativas | Azure Kubernetes Service (AKS) por sí solo no proporciona una solución de administración de identidades en la que se almacenen contraseñas y cuentas de usuario normales. Con la integración de Microsoft Entra, puede conceder a los usuarios o grupos acceso a los recursos de Kubernetes de un espacio de nombres o del clúster. |
| 3.2: Cambie las contraseñas predeterminadas cuando proceda | Azure Kubernetes Service (AKS) no tiene el concepto de contraseñas predeterminadas comunes y no proporciona una solución de administración de identidades en la que se puedan almacenar las contraseñas y las cuentas de usuario normales. Con la integración de Microsoft Entra, puede conceder acceso basado en rol a los recursos de AKS de un espacio de nombres o del clúster. | |
| 3.3: Use cuentas administrativas dedicadas | Integre la autenticación de usuario para los clústeres de Azure Kubernetes Service (AKS) con Microsoft Entra ID. Inicie sesión en un clúster de AKS mediante un token de autenticación de Microsoft Entra. | |
| 3.4: Uso del inicio de sesión único (SSO) con Microsoft Entra ID | Use el inicio de sesión único para Azure Kubernetes Service (AKS) con la autenticación integrada de Microsoft Entra de un clúster de AKS. | |
| 3.5: Uso de la autenticación multifactor para todo el acceso basado en el identificador de Entra de Microsoft | Integre la autenticación para Azure Kubernetes Service (AKS) con Microsoft Entra ID. | |
| Protección de datos | 4.1: Mantenimiento de un inventario de información confidencial | Guía: use etiquetas en los recursos relacionados con las implementaciones de Azure Kubernetes Service para ayudar a realizar un seguimiento de los recursos de Azure que almacenan o procesan información confidencial. |
| 4.2: Aislamiento de los sistemas que almacenan o procesan información confidencial | Aísle lógicamente los equipos y las cargas de trabajo en el mismo clúster con Azure Kubernetes Service (AKS) para proporcionar el número mínimo de privilegios, en el ámbito de los recursos necesarios para cada equipo. | |
| 4.3: Supervisión y bloqueo de una transferencia no autorizada de información confidencial | Use una solución de terceros de Azure Marketplace en los perímetros de red que supervise la transferencia no autorizada de información confidencial y bloquee dichas transferencias, a la vez que alerta a los profesionales de seguridad de la información. | |
| 4.4: Cifrado de toda la información confidencial en tránsito | Cree un controlador de entrada HTTPS y use sus propios certificados TLS (o, de forma opcional, Let's Encrypt) para las implementaciones de Azure Kubernetes Service (AKS). | |
| 4.5: Uso de una herramienta de detección activa para identificar datos confidenciales | Las características de identificación, clasificación y prevención de pérdida de datos todavía no están disponibles para Azure Storage ni los recursos de proceso. Implemente una solución de terceros, si es necesario, para fines de cumplimiento. Microsoft administra la plataforma subyacente, trata todo el contenido de los clientes como confidencial y hace grandes esfuerzos para proteger a los clientes contra la pérdida y exposición de sus datos. | |
| Administración de vulnerabilidades | 5.1: Ejecute herramientas de análisis de vulnerabilidades automatizado | Use Microsoft Defender for Cloud para supervisar la instancia de Azure Container Registry, incluidas las instancias de Azure Kubernetes Service (AKS) a fin de detectar vulnerabilidades. Habilite el conjunto de registros de contenedor en Microsoft Defender for Cloud para asegurarse de que Microsoft Defender for Cloud esté listo para examinar las imágenes que se insertan en el registro. |
| 5.2: Implemente una solución de administración de revisiones de sistema operativo automatizada | Las actualizaciones de seguridad se aplican automáticamente a los nodos de Linux a fin de proteger los clústeres de Azure Kubernetes Service (AKS) del cliente. Estas actualizaciones incluyen las revisiones de seguridad del sistema operativo o las actualizaciones del kernel. Tenga en cuenta que el proceso para mantener actualizados los nodos de Windows Server difiere de los nodos que ejecutan Linux, ya que los nodos de Windows Server no reciben actualizaciones diarias. | |
| 5.3: Implementación de una solución de administración de revisiones automatizada para títulos de software de terceros | Implemente un proceso manual para asegurarse de que las aplicaciones de terceros del nodo de clúster de Azure Kubernetes Service (AKS) permanecen revisadas durante la vigencia del clúster. Esto puede requerir la habilitación de actualizaciones automáticas, la supervisión de nodos o la realización de reinicios periódicos. | |
| 5.4: Compare los exámenes de vulnerabilidades opuestos | Exporte los resultados de análisis de Microsoft Defender for Cloud en intervalos coherentes y compárelos para comprobar que se han corregido las vulnerabilidades. | |
| 5.5: Use un proceso de clasificación de riesgos para priorizar la corrección de las vulnerabilidades detectadas | Use la clasificación de gravedad proporcionada por Microsoft Defender for Cloud para clasificar por orden de prioridad la corrección de vulnerabilidades. | |
| Administración de recursos y del inventario | 6.1: Uso de la solución de detección de recursos automatizada | Use Azure Resource Graph para consultar o detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, etc.) de sus suscripciones. Asegúrese de que tiene los permisos adecuados (lectura) en el inquilino y de que puede enumerar todas las suscripciones de Azure, así como los recursos de las suscripciones. |
| 6.2: Mantenimiento de metadatos de recursos | Aplique etiquetas a los recursos de Azure con metadatos para organizarlos de forma lógica en una taxonomía. | |
| 6.3: Eliminación de recursos de Azure no autorizados | Use el etiquetado, los grupos de administración y las suscripciones independientes, si procede, para organizar y realizar un seguimiento de los recursos. | |
| 6.4: Definición y mantenimiento de un inventario de los recursos de Azure aprobados | Defina una lista de recursos de Azure aprobados y el software aprobado para los recursos de proceso según las necesidades organizativas de la empresa. | |
| 6.5: Supervisión de recursos de Azure no aprobados | Use Azure Policy para establecer restricciones sobre el tipo de recursos que se pueden crear en las suscripciones del cliente con las siguientes definiciones de directiva integradas: Tipos de recursos no permitidos, Tipos de recursos permitidos | |
| Configuración segura | 7.1: Establezca configuraciones seguras para todos los recursos de Azure | Use alias de Azure Policy en el espacio de nombres "Microsoft.ContainerService" para crear directivas personalizadas a fin de auditar o aplicar la configuración de las instancias de Azure Kubernetes Service (AKS). Use definiciones de Azure Policy integradas. |
| 7.2: Establezca configuraciones del sistema operativo seguras | Los clústeres de Azure Kubernetes Service (AKS) se implementan en máquinas virtuales del host con un sistema operativo optimizado para la seguridad. El sistema operativo del host cuenta con pasos adicionales de mejora de la seguridad incorporados para reducir el área expuesta de ataque y permitir la implementación de contenedores de manera segura. | |
| 7.3: Mantenga configuraciones de recursos de Azure seguras | Proteja su clúster de Azure Kubernetes Service (AKS) mediante directivas de seguridad de pods. Para mejorar la seguridad del clúster, limite los pods que se pueden programar. | |
| 7.4: Mantenga configuraciones del sistema operativo seguras | Los clústeres de Azure Kubernetes Service (AKS) se implementan en máquinas virtuales del host con un sistema operativo optimizado para la seguridad. El sistema operativo del host cuenta con pasos adicionales de mejora de la seguridad incorporados para reducir el área expuesta de ataque y permitir la implementación de contenedores de manera segura. | |
| 7.5: Almacene de forma segura la configuración de los recursos de Azure | Use Azure Repos para almacenar y administrar de forma segura las configuraciones si usa definiciones de Azure Policy personalizadas. Exporte una plantilla de la configuración de Azure Kubernetes Service (AKS) en notación de objetos JavaScript (JSON) con Azure Resource Manager. | |
| Defensa contra malware | 8.1: Uso de software antimalware administrado centralmente | AKS administra el ciclo de vida y las operaciones de los nodos de agente en nombre de los clientes, por lo que no admite la modificación de los recursos de IaaS asociados a los nodos de agente. Sin embargo, en el caso de los nodos de Linux, puede usar conjuntos de demonio para instalar software personalizado como una solución antimalware. |
| 8.2: Examine previamente los archivos que se van a cargar en recursos de Azure que no son de proceso | Examine previamente los archivos que se cargan en los recursos de AKS. Use la detección de amenazas de Microsoft Defender for Cloud para los servicios de datos a fin de detectar malware cargado en cuentas de almacenamiento si usa una cuenta de Azure Storage como almacén de datos o para realizar un seguimiento del estado de Terraform del clúster de AKS. | |
| 8.3: Garantía de la actualización del software y las firmas antimalware | AKS administra el ciclo de vida y las operaciones de los nodos de agente en nombre de los clientes, por lo que no admite la modificación de los recursos de IaaS asociados a los nodos de agente. Sin embargo, en el caso de los nodos de Linux, puede usar conjuntos de demonio para instalar software personalizado como una solución antimalware. | |
| Recuperación de datos | 9.1: Garantía de copias de seguridad automáticas periódicas | Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales. Verifique de forma periódica la integridad y seguridad de las copias de seguridad. |
| 9.2: Realización de copias de seguridad completas del sistema y copias de seguridad de las claves administradas por el cliente | Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales. | |
| 9.3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente | Realice periódicamente la restauración de datos de contenido en la copia de seguridad de Velero. Si es necesario, pruebe la restauración en una red virtual o suscripción aislada. | |
| 9.4: Garantía de la protección de las copias de seguridad y las claves administradas por el cliente | Realice una copia de seguridad de los datos con una herramienta adecuada para su tipo de almacenamiento, como Velero, que puede realizar copias de seguridad de volúmenes persistentes junto con recursos de clúster y configuraciones adicionales. | |
| Respuesta a los incidentes | 10.1: Creación de una guía de respuesta ante incidentes | Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia. |
| 10.2: Creación de un procedimiento de priorización y puntuación de incidentes | Clasifique por orden de prioridad qué alertas se deben investigar primero con la gravedad asignada a las alertas por Microsoft Defender for Cloud. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención maliciosa detrás de la actividad que condujo a la alerta. | |
| 10.3: Prueba de los procedimientos de respuesta de seguridad | Realice ejercicios para probar las capacidades de respuesta a los incidentes de los sistemas con regularidad. Identifique puntos débiles y brechas y revise el plan de respuesta a los incidentes según sea necesario. | |
| 10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad | La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos del cliente. | |
| 10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes | Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación continua. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. | |
| Pruebas de penetración y ejercicios del equipo rojo | 11.1: Realice pruebas de penetración periódicas de los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos | Siga las reglas de compromiso de Microsoft para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. |