Spécifier les exigences de sécurité pour les conteneurs et l’orchestration des conteneurs
Cette unité résume la base de référence de sécurité Azure pour Azure Kubernetes Service. Pour les régions où il existe de nombreux contrôles, nous n’avons inclus que les cinq premiers qui ont été mentionnés.
Pour plus d’informations sur Microsoft Cloud Security Benchmark, consultez Présentation de Microsoft Cybersecurity Reference Architecture et Cloud Security Benchmark.
Dans le tableau ci-dessous, nous avons inclus des contrôles de la base de référence complète où :
- Les contrôles de sécurité ont été pris en charge, mais pas activés par défaut
- Il y avait des recommandations explicites qui contenaient des mesures à prendre par le client
| Domaine | Control | Résumé de l’aide |
|---|---|---|
| Sécurité du réseau | 1.1 : Protéger les ressources Azure au sein des réseaux virtuels | Par défaut, un groupe de sécurité réseau et une table de routage sont créés automatiquement lors de la création d’un cluster Microsoft Azure Kubernetes Service (AKS). AKS modifie automatiquement les groupes de sécurité réseau afin que le trafic transite de manière appropriée lorsque des services sont créés avec des équilibreurs de charge, des mappages de ports ou des routes d’entrée. |
| 1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des cartes réseau | Utilisez Microsoft Defender pour le cloud et suivez ses recommandations de protection réseau pour sécuriser les ressources réseau utilisées par vos clusters Azure Kubernetes Service (AKS). | |
| 1.3 : Protéger les applications web critiques | Utilisez un Web Application Firewall (WAF) prenant en charge Azure Application Gateway devant un cluster AKS pour fournir une couche supplémentaire de sécurité en filtrant le trafic entrant sur vos applications web. Azure WAF utilise un ensemble de règles, fourni par The Open Web Application Security Project (OWASP), pour les attaques telles que les scripts inter-sites ou le « cookie poisoning » contre ce trafic. | |
| 1.4 : Refuser les communications présentant des adresses IP connues comme étant malveillantes | Activez la protection standard contre l’attaque par déni de service (DDoS) Microsoft sur les réseaux virtuels où des composants Azure Kubernetes Service (AKS) sont déployés pour obtenir des protections contre les attaques DDoS. | |
| 1.5 : Enregistrer les paquets réseau | Si cela s’avère nécessaire pour analyser une activité anormale, utilisez la capture de paquets Network Watcher. | |
| Journalisation et supervision | 2.1 : Utiliser des sources de synchronisation date/heure approuvées | Les nœuds Azure Kubernetes Service (AKS) utilisent ntp.ubuntu.com pour la synchronisation de l’heure, ainsi que le port UDP 123 et le protocole NTP (Network Time Protocol). |
| 2.2 : Configurer la gestion des journaux de sécurité centrale | Activez les journaux d’audit des principaux composants d’Azure Kubernetes Service (AKS), kube-apiserver et kube-controller-manager, qui sont fournis sous la forme d’un service géré. | |
| 2.3 : Activer la journalisation d’audit pour les ressources Azure | Utilisez les journaux d’activité pour surveiller les actions sur les ressources Azure Kubernetes Service (AKS) afin d’afficher l’ensemble de l’activité et des états. | |
| 2.4 : Collecter les journaux de sécurité des systèmes d’exploitation | Activez l’installation automatique d’agents Log Analytics pour la collecte de données à partir des nœuds de cluster AKS. Activez également le provisionnement automatique de l’agent de monitoring Azure Log Analytics à partir de Microsoft Defender pour le cloud, car le provisionnement automatique est désactivé par défaut. | |
| 2.5 : Configurer la conservation du stockage des journaux de sécurité | Intégrez vos instances Azure Kubernetes Service (AKS) à Azure Monitor et définissez la période de rétention de l’espace de travail Azure Log Analytics correspondante en fonction des exigences de conformité de votre organisation. | |
| Contrôle des accès et des identités | 3.1 : Tenir un inventaire des comptes d’administration | Azure Kubernetes Service (AKS) à lui tout seul ne fournit pas de solution de gestion des identités qui stocke les comptes et les mots de passe d’utilisateurs standard. Avec l’intégration de Microsoft Entra, vous pouvez accorder aux utilisateurs ou aux groupes l’accès aux ressources Kubernetes dans un espace de noms ou au sein du cluster. |
| 3.2 : Modifier les mots de passe par défaut lorsque cela est possible | Azure Kubernetes Service (AKS) n’inclut pas le concept de mots de passe par défaut communs et ne fournit pas de solution de gestion des identités dans laquelle les comptes et les mots de passe d’utilisateurs standard peuvent être stockés. Avec l’intégration Microsoft Entra, vous pouvez accorder un accès en fonction du rôle aux ressources AKS dans un espace de noms ou au sein du cluster. | |
| 3.3 : Utiliser des comptes d’administration dédiés | Intégrez l’authentification utilisateur pour vos clusters Azure Kubernetes Service (AKS) avec Microsoft Entra ID. Connectez-vous à un cluster AKS en utilisant un jeton d’authentification Microsoft Entra. | |
| 3.4 : Utiliser l’authentification unique (SSO) avec Microsoft Entra ID | Utilisez l’authentification unique pour l’authentification intégrée d’Azure Kubernetes Service (AKS) avec Microsoft Entra pour un cluster AKS. | |
| 3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Microsoft Entra ID | Intégrez l’authentification pour Azure Kubernetes Service (AKS) à Microsoft Entra ID. | |
| Protection des données | 4.1 : Conserver un inventaire des informations sensibles | Conseils : Utilisez des étiquettes sur des déploiements Azure Kubernetes Service (AKS) pour faciliter le suivi des ressources Azure qui stockent ou traitent des informations sensibles. |
| 4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles | Isolez logiquement les équipes et les charges de travail dans le même cluster avec Azure Kubernetes Service (AKS) pour fournir le plus petit nombre de privilèges, limités aux ressources nécessaires à chaque équipe. | |
| 4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles | Utilisez une solution tierce issue de la Place de marché Azure sur les périmètres du réseau, qui surveille et bloque les transferts non autorisés d’informations sensibles tout en alertant les professionnels de la sécurité de l’information. | |
| 4.4 : Chiffrer toutes les informations sensibles en transit | Créez un contrôleur d’entrée HTTPS et utilisez vos propres certificats TLS (ou éventuellement, Let’s Encrypt) pour vos déploiements Azure Kubernetes Service (AKS). | |
| 4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles | Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour le Stockage Azure ou les ressources de calcul. Implémentez une solution tierce si nécessaire à des fins de conformité. Microsoft gère la plateforme sous-jacente et traite tout le contenu des clients en tant que contenu sensible et déploie d’importants efforts pour assurer une protection contre la perte et l’exposition des données client. | |
| Gestion des vulnérabilités | 5.1 : Exécuter les outils d’analyse des vulnérabilités automatisés | Utilisez Microsoft Defender pour le cloud afin de monitorer Azure Container Registry, y compris les instances Azure Kubernetes Service (AKS) pour les vulnérabilités. Activez le bundle Registres de conteneurs dans Microsoft Defender pour le cloud afin de vérifier que celui-ci est prêt à analyser les images qui sont envoyées (push) au registre. |
| 5.2 : Déployer une solution de gestion des correctifs de système d’exploitation automatisée | Les mises à jour de sécurité sont appliquées automatiquement aux nœuds Linux pour protéger les clusters Azure Kubernetes Service (AKS) du client. Ces mises à jour incluent des correctifs de sécurité ou des mises à jour du noyau. Notez que le processus de conservation des nœuds Windows Server à jour est différents des nœuds exécutant Linux, car les nœuds Windows Server ne reçoivent pas de mises à jour quotidiennes. | |
| 5.3 : Déployer une solution de gestion automatisée des correctifs de logiciels tiers | Implémentez un processus manuel pour garantir que les applications tierces du nœud de cluster Azure Kubernetes Service (AKS) restent à jour pendant toute la durée de la durée de vie du cluster. Cela peut nécessiter l’activation des mises à jour automatiques, la surveillance des nœuds ou l’exécution de redémarrages périodiques. | |
| 5.4 : Comparer les analyses de vulnérabilités dos à dos | Exportez les résultats de l’analyse Microsoft Defender pour le cloud à intervalles réguliers, et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. | |
| 5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes. | Utilisez les niveaux de gravité fournis par Microsoft Defender pour le cloud afin de hiérarchiser la correction des vulnérabilités. | |
| Gestion des stocks et des ressources | 6.1 : Utiliser la solution de détection automatisée des ressources | Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (calcul, stockage, réseau, etc.) dans vos abonnements. Vérifiez que vous avez les autorisations (lecture) appropriées dans votre locataire et que vous êtes en mesure d’établir une liste de tous les abonnements Azure et de toutes les ressources dans vos abonnements. |
| 6.2 : Gérer les métadonnées de ressources | Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories. | |
| 6.3 : Supprimer des ressources Azure non autorisées | Utilisez des étiquettes, des groupes d’administration et diviser des abonnements, le cas échéant, pour organiser et suivre les ressources. | |
| 6.4 : Dresser et tenir un inventaire des ressources Azure approuvées | Définissez une liste de ressources Azure et logiciels approuvés pour les ressources de calcul en fonction des besoins de votre entreprise. | |
| 6.5 : Analyser les ressources Azure non approuvées | Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes : Types de ressources non autorisés et Types de ressources autorisés. | |
| Configuration sécurisée | 7.1 : Établir des configurations sécurisées pour toutes les ressources Azure | Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.ContainerService » pour créer des stratégies personnalisées d’audit ou d’application de la configuration de vos instances Azure Kubernetes Service (AKS). Utilisez les définitions Azure Policy intégrées. |
| 7.2 : Établir des configurations sécurisées du système d’exploitation | Les clusters Azure Kubernetes Service (AKS) sont déployés sur des machines virtuelles hôtes avec un système d’exploitation doté d’une sécurité optimisée. Le système d’exploitation hôte comprend des étapes de durcissement de la sécurité intégrées afin de réduire la surface d’attaque et de permettre le déploiement de conteneurs de manière sécurisée. | |
| 7.3 : Gérer les configurations de ressources Azure sécurisées | Sécurisez votre cluster Azure Kubernetes Service (AKS) à l’aide de stratégies de sécurité des pods. Limitez les pods pouvant être planifiés pour améliorer la sécurité de votre cluster. | |
| 7.4 : Préserver la sécurité des configurations du système d'exploitation | Les clusters Azure Kubernetes Service (AKS) sont déployés sur des machines virtuelles hôtes avec un système d’exploitation doté d’une sécurité optimisée. Le système d’exploitation hôte comprend des étapes de durcissement de la sécurité intégrées afin de réduire la surface d’attaque et de permettre le déploiement de conteneurs de manière sécurisée. | |
| 7.5 : Stocker en toute sécurité la configuration des ressources Azure | Utilisez Azure Repos pour stocker et gérer vos configurations en toute sécurité si vous utilisez des définitions Azure Policy personnalisées. Exportez un modèle de votre configuration Azure Kubernetes Service (AKS) en JavaScript Object Notation (JSON) avec Azure Resource Manager. | |
| Défense contre les programmes malveillants | 8.1 : Utiliser un logiciel anti-programme malveillant géré de manière centralisée | AKS gère le cycle de vie et les opérations des nœuds d’agent pour votre compte ; la modification des ressources IaaS associées aux nœuds d’agent n'est pas prise en charge. Toutefois, pour les nœuds Linux, vous pouvez utiliser des ensembles de démons pour installer des logiciels personnalisés comme une solution anti-programme malveillant. |
| 8.2 : Pré-analyser les fichiers à charger sur des ressources Azure non liées au calcul | Effectuez une analyse préliminaire des fichiers chargés sur vos ressources AKS. Utilisez la détection des menaces de Microsoft Defender pour le cloud pour les services de données afin de détecter les logiciels malveillants chargés sur les comptes de stockage si vous utilisez un compte de stockage Azure comme magasin de données ou pour suivre l’état de Terraform pour votre cluster AKS. | |
| 8.3 : Vérifier que les logiciels et signatures anti-programme malveillant sont à jour | AKS gère le cycle de vie et les opérations des nœuds d’agent pour votre compte ; la modification des ressources IaaS associées aux nœuds d’agent n'est pas prise en charge. Toutefois, pour les nœuds Linux, vous pouvez utiliser des ensembles de démons pour installer des logiciels personnalisés comme une solution anti-programme malveillant. | |
| Récupération des données | 9.1 : garantir des sauvegardes automatisées régulières | Sauvegardez vos données à l’aide d’un outil approprié pour votre type de stockage, tel que Velero, qui peut sauvegarder des volumes persistants avec des ressources et des configurations de cluster supplémentaires. Vérifiez régulièrement l’intégrité et la sécurité de ces sauvegardes. |
| 9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés gérées par le client | Sauvegardez vos données à l’aide d’un outil approprié pour votre type de stockage, tel que Velero, qui peut sauvegarder des volumes persistants avec des ressources et des configurations de cluster supplémentaires. | |
| 9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client | Effectuez régulièrement une restauration du contenu dans la sauvegarde Velero. Si nécessaire, testez la restauration sur un réseau virtuel isolé. | |
| 9.4 : Garantir la protection des sauvegardes et des clés gérées par le client | Sauvegardez vos données à l’aide d’un outil approprié pour votre type de stockage, tel que Velero, qui peut sauvegarder des volumes persistants avec des ressources et des configurations de cluster supplémentaires. | |
| Réponse aux incidents | 10.1 : Créer un guide de réponse aux incidents | Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé. |
| 10.2 : Créer une procédure de notation et de classement des incidents | Hiérarchisez les alertes qui doivent être examinées en premier avec Microsoft Defender pour le cloud en leur attribuant un niveau de gravité. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte. | |
| 10.3 : Tester les procédures de réponse de sécurité | Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, puis révisez les plans de réponse aux incidents en fonction des besoins. | |
| 10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité | Les informations de contact d’incident de sécurité seront utilisées par Microsoft pour vous contacter si Microsoft Security Response Center (MSRC) découvre que les données du client ont été utilisées par un tiers illégal ou non autorisé. | |
| 10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents | Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité Exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. | |
| Tests d’intrusion et exercices Red Team | 11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés | Suivez les règles d’engagement de Microsoft pour que vos tests d’intrusion soient conformes aux stratégies de Microsoft. |