Azure-beveiligingsbasislijn voor Azure Kubernetes Service (AKS)
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure Kubernetes Service (AKS). De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Kubernetes Service (AKS).
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure Kubernetes Service (AKS) zijn uitgesloten. Als u wilt zien hoe Azure Kubernetes Service (AKS) volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige AKS-bestand (Azure Kubernetes Service) voor het toewijzen van beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Azure Kubernetes Service (AKS), wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Weergegeven als |
|---|---|
| Productcategorie | Containers |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud at rest op | Waar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Kubenet-netwerken gebruiken met uw eigen IP-adresbereiken in Azure Kubernetes Service (AKS)
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Netwerkbeveiligingsgroepen
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Een privé-Azure Kubernetes Service-cluster maken
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: gebruik de Azure CLI om de openbare FQDN uit te schakelen op een privé-Azure Kubernetes Service-cluster.
Naslaginformatie: Een privé-Azure Kubernetes Service-cluster maken
Microsoft Defender voor Cloud bewaking
Ingebouwde Azure Policy-definities - Microsoft.ContainerService:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Door AKS beheerde Azure Active Directory-integratie
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: u kunt de toegang tot Kubernetes-clusters verifiëren, autoriseren, beveiligen en beheren met behulp van kubernetes-toegangsbeheer (Kubernetes RBAC) of met behulp van Azure Active Directory en Azure RBAC.
Naslaginformatie: Opties voor toegang en identiteit voor Azure Kubernetes Service (AKS)
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: wanneer u een AKS-cluster maakt, wordt automatisch een door het systeem toegewezen beheerde identiteit gemaakt. Als u de Azure CLI niet gebruikt voor implementatie, maar uw eigen VNet gebruikt, gekoppelde Azure-schijf, statisch IP-adres, routetabel of door de gebruiker toegewezen kubelet-identiteit die zich buiten de resourcegroep van het werkknooppunt bevindt, is het raadzaam om door de gebruiker toegewezen besturingsvlakidentiteit te gebruiken.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Een beheerde identiteit gebruiken in Azure Kubernetes Service
Service-principals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Een service-principal maken
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Referentie:
- IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
- Voorwaardelijke toegang gebruiken met Azure AD en AKS
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: CSI Secret Store
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: u kunt de toegang tot Kubernetes-clusters verifiëren, autoriseren, beveiligen en beheren met behulp van kubernetes-toegangsbeheer (Kubernetes RBAC) of met behulp van Azure Active Directory en Azure RBAC.
Als dit niet vereist is voor routinebeheerbewerkingen, schakelt u lokale beheerdersaccounts uit of beperkt u deze alleen voor noodgebruik.
Naslaginformatie: Opties voor toegang en identiteit voor Azure Kubernetes Service (AKS)
PA-7: Principe van minimale bevoegdheden hanteren
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Naslaginformatie: Azure RBAC gebruiken voor Kubernetes-autorisatie
Microsoft Defender voor Cloud bewaking
Ingebouwde Azure Policy-definities - Microsoft.ContainerService:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Controle, uitgeschakeld | 1.0.3 |
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Naslaginformatie: Customer Lockbox for Microsoft Azure
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om rechercheur en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.
Naslaginformatie: Microsoft Defender for Containers inschakelen
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Gegevens in transitversleuteling
Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: veilige overdracht inschakelen in services waarin een ingebouwde functie voor gegevensoverdrachtversleuteling is ingebouwd. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Oudere versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld. Gebruik voor extern beheer van virtuele machines SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Naslaginformatie: TLS gebruiken met een ingangscontroller in Azure Kubernetes Service (AKS)
Microsoft Defender voor Cloud bewaking
Ingebouwde Azure Policy-definities - Microsoft.ContainerService:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij functies: versleuteling op basis van een host verschilt van SSE (Server Side Encryption), die wordt gebruikt door Azure Storage. Door Azure beheerde schijven gebruiken Azure Storage om gegevens in rust automatisch te versleutelen bij het opslaan van gegevens. Versleuteling op basis van een host maakt gebruik van de host van de VIRTUELE machine om versleuteling te verwerken voordat de gegevens via Azure Storage stromen.
Configuratierichtlijnen: schakel data-at-rest-versleuteling in met behulp van door het platform beheerde sleutels (Door Microsoft beheerde) sleutels, waar deze niet automatisch door de service worden geconfigureerd.
Naslaginformatie: Versleuteling op basis van host op Azure Kubernetes Service (AKS)
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevens-at-rest-versleuteling met door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Versleuteling op basis van host op Azure Kubernetes Service (AKS)
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op een sleutel. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Versleuteling op basis van host op Azure Kubernetes Service (AKS)
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat in Azure Key Vault en de Azure-service (indien ondersteund) instellen op basis van een gedefinieerd schema of wanneer er een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, moet u ervoor zorgen dat deze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: TLS gebruiken met uw eigen certificaten met Secrets Store CSI Driver
Asset-management
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen in Azure-resources.
Naslaginformatie: Ingebouwd Azure Policy van AKS
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Microsoft Defender for Containers is de cloudeigen oplossing die wordt gebruikt om uw containers te beveiligen, zodat u de beveiliging van uw clusters, containers en hun toepassingen kunt verbeteren, bewaken en onderhouden.
Naslaginformatie: Microsoft Defender for Containers inschakelen
Microsoft Defender voor Cloud bewaking
Ingebouwde Azure Policy-definities - Microsoft.ContainerService:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender for Containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Resourcelogboeken inschakelen voor de service. Key Vault biedt bijvoorbeeld ondersteuning voor extra resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of azure SQL heeft resourcelogboeken waarmee aanvragen voor een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Resourcelogboeken verzamelen
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft-benchmark voor cloudbeveiliging: Postuur- en beveiligingsproblemenbeheer voor meer informatie.
PV-3: Veilige configuraties voor rekenresources instellen
Functies
Aangepaste containerinstallatiekopieën
Desription: Service ondersteunt het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Wanneer u Azure Container Registry (ACR) gebruikt met Azure Kubernetes Service (AKS), moet u een verificatiemechanisme opzetten. Het configureren van de vereiste machtigingen tussen ACR en AKS kan worden uitgevoerd met behulp van de Azure CLI, Azure PowerShell en Azure Portal. De AKS to ACR-integratie wijst de AcrPull-rol toe aan de beheerde identiteit van Azure Active Directory (Azure AD) die is gekoppeld aan de agentgroep in uw AKS-cluster.
Naslaginformatie: Azure Container Registry integreren met Azure Kubernetes Service - Azure Kubernetes Service
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met Microsoft Defender
Desription: Service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor Cloud of andere ingesloten mogelijkheden voor evaluatie van beveiligingsproblemen van Microsoft Defender voor servers, containerregisters, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: wanneer u het plan inschakelt via Azure Portal, wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch vereiste onderdelen te installeren om de beveiligingen te bieden die worden aangeboden door een plan, inclusief de toewijzing van een standaardwerkruimte.
Naslaginformatie: Beveiligingsproblemen beheren voor Azure Kubernetes Service - Azure Kubernetes Service
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor virtuele Azure-machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Naslaginformatie: Een back-up maken van Azure Kubernetes Service met behulp van Azure Backup
Systeemeigen back-upmogelijkheid van service
Beschrijving: De service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze geen Azure Backup gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Lees meer over basislijnen voor de beveiliging van Azure