Beveiligingsvereisten opgeven voor containers en containerindeling
In deze les wordt de Azure-beveiligingsbasislijn voor Azure Kubernetes Service samengevat. Voor gebieden waar veel controles zijn, hebben we alleen de eerste vijf opgenomen die zijn genoemd.
Raadpleeg de inleiding tot microsoft Cybersecurity Reference Architecture en cloud security benchmark voor meer achtergrondinformatie over Microsoft Cloud Security Benchmark.
In de onderstaande tabel hebben we besturingselementen van de volledige basislijn opgenomen, waarbij:
- Beveiligingscontroles zijn ondersteund , maar niet standaard ingeschakeld
- Er waren expliciete richtlijnen die actie bevatten die moet worden ondernomen ten behoeve van de klant
| Gebied | Control | Overzicht van richtlijnen |
|---|---|---|
| Netwerkbeveiliging | 1.1: Azure-resources beveiligen binnen virtuele netwerken | Standaard worden er automatisch een netwerkbeveiligingsgroep en routetabel gemaakt met het maken van een AKS-cluster (Microsoft Azure Kubernetes Service). AKS wijzigt automatisch netwerkbeveiligingsgroepen voor de juiste verkeersstroom wanneer services worden gemaakt met load balancers, poorttoewijzingen of toegangsbeheerroutes. |
| 1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren | Gebruik Microsoft Defender voor Cloud en volg de aanbevelingen voor netwerkbeveiliging om de netwerkbronnen te beveiligen die worden gebruikt door uw AKS-clusters (Azure Kubernetes Service). | |
| 1.3: Kritieke webtoepassingen beveiligen | Gebruik een Azure-toepassing Gateway web application firewall (WAF) vóór een AKS-cluster om een extra beveiligingslaag te bieden door het binnenkomende verkeer naar uw webtoepassingen te filteren. Azure WAF maakt gebruik van een set regels, geleverd door The Open Web Application Security Project (OWASP), voor aanvallen, zoals scripts op meerdere sites of cookievergiftiging tegen dit verkeer. | |
| 1.4: Communicatie met bekende schadelijke IP-adressen weigeren | Schakel Standaardbeveiliging van Microsoft Distributed Denial-of-Service (DDoS) in op de virtuele netwerken waar AKS-onderdelen (Azure Kubernetes Service) worden geïmplementeerd voor beveiliging tegen DDoS-aanvallen. | |
| 1.5: Netwerkpakketten vastleggen | Gebruik Network Watcher-pakketopname zoals vereist voor het onderzoeken van afwijkende activiteiten. | |
| Logboekregistratie en bewaking | 2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken | AKS-knooppunten (Azure Kubernetes Service) gebruiken ntp.ubuntu.com voor tijdsynchronisatie, samen met UDP-poort 123 en NTP (Network Time Protocol). |
| 2.2: Centraal beheer van beveiligingslogboeken configureren | Schakel auditlogboeken in vanuit AKS-hoofdonderdelen (Azure Kubernetes Services), kube-apiserver en kube-controller-manager, die worden geleverd als een beheerde service. | |
| 2.3: Auditlogboekregistratie inschakelen voor Azure-resources | Gebruik activiteitenlogboeken om acties op AKS-resources (Azure Kubernetes Service) te bewaken om alle activiteiten en hun status weer te geven. | |
| 2.4: Beveiligingslogboeken verzamelen van besturingssystemen | Schakel automatische installatie van Log Analytics-agents in voor het verzamelen van gegevens van de AKS-clusterknooppunten. Schakel ook automatische inrichting van de Bewakingsagent van Azure Log Analytics uit Microsoft Defender voor Cloud in, omdat automatische inrichting standaard is uitgeschakeld. | |
| 2.5: Opslagretentie voor beveiligingslogboeken configureren | Onboarding van uw AKS-exemplaren (Azure Kubernetes Service) naar Azure Monitor en stel de bijbehorende bewaarperiode voor Azure Log Analytics-werkruimte in op basis van de nalevingsvereisten van uw organisatie. | |
| Identiteits- en toegangsbeheer | 3.1: Een inventaris van beheerdersaccounts onderhouden | Azure Kubernetes Service (AKS) zelf biedt geen oplossing voor identiteitsbeheer waarmee normale gebruikersaccounts en wachtwoorden worden opgeslagen. Met Microsoft Entra-integratie kunt u gebruikers of groepen toegang verlenen tot Kubernetes-resources binnen een naamruimte of in het cluster. |
| 3.2: Standaardwachtwoorden wijzigen indien van toepassing | Azure Kubernetes Service (AKS) beschikt niet over het concept van algemene standaardwachtwoorden en biedt geen oplossing voor identiteitsbeheer waarbij gewone gebruikersaccounts en wachtwoorden kunnen worden opgeslagen. Met Microsoft Entra-integratie kunt u op rollen gebaseerde toegang verlenen tot AKS-resources binnen een naamruimte of in het cluster. | |
| 3.3: Toegewezen beheerdersaccounts gebruiken | Integreer gebruikersverificatie voor uw AKS-clusters (Azure Kubernetes Service) met Microsoft Entra ID. Meld u aan bij een AKS-cluster met behulp van een Microsoft Entra-verificatietoken. | |
| 3.4: Eenmalige aanmelding (SSO) gebruiken met Microsoft Entra-id | Gebruik eenmalige aanmelding voor Azure Kubernetes Service (AKS) met geïntegreerde Microsoft Entra-verificatie voor een AKS-cluster. | |
| 3.5: Meervoudige verificatie gebruiken voor alle op Microsoft Entra ID gebaseerde toegang | Integreer verificatie voor Azure Kubernetes Service (AKS) met Microsoft Entra-id. | |
| Gegevensbeveiliging | 4.1: Een inventaris van gevoelige informatie onderhouden | Richtlijnen: Tags gebruiken voor resources met betrekking tot AKS-implementaties (Azure Kubernetes Service) om u te helpen bij het bijhouden van Azure-resources die gevoelige informatie opslaan of verwerken. |
| 4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken | Teams en workloads in hetzelfde cluster logisch isoleren met Azure Kubernetes Service (AKS) om het minste aantal bevoegdheden te bieden, dat is afgestemd op de resources die elk team nodig heeft. | |
| 4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren | Gebruik een externe oplossing van Azure Marketplace op netwerkperimeters die controleert op niet-geautoriseerde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten terwijl beveiligingsprofessionals van informatie worden gewaarschuwd. | |
| 4.4: Alle gevoelige informatie tijdens overdracht versleutelen | Maak een HTTPS-ingangscontroller en gebruik uw eigen TLS-certificaten (of optioneel, Let's Encrypt) voor uw AKS-implementaties (Azure Kubernetes Service). | |
| 4.5: Gebruik een actief detectieprogramma om gevoelige gegevens te identificeren | Functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Storage- of rekenresources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden. Microsoft beheert het onderliggende platform en behandelt alle inhoud van de klant als gevoelig en gaat tot grote lengtes om te voorkomen dat klantgegevens verloren gaan en worden blootgesteld. | |
| Beheer van beveiligingsproblemen | 5.1: Voer geautomatiseerde hulpprogramma's voor het scannen van beveiligingsproblemen uit | Gebruik Microsoft Defender voor Cloud om uw Azure Container Registry te bewaken, inclusief AKS-exemplaren (Azure Kubernetes Service) voor beveiligingsproblemen. Schakel de bundel Containerregisters in Microsoft Defender voor Cloud in om ervoor te zorgen dat Microsoft Defender voor Cloud klaar is om installatiekopieën te scannen die naar het register worden gepusht. |
| 5.2: Oplossing voor geautomatiseerd besturingssysteempatchbeheer implementeren | Beveiligingsupdates worden automatisch toegepast op Linux-knooppunten om de AKS-clusters (Azure Kubernetes Service) van de klant te beveiligen. Deze updates omvatten besturingssysteembeveiligingsoplossingen of kernelupdates. Houd er rekening mee dat het proces voor het up-to-date houden van Windows Server-knooppunten verschilt van knooppunten waarop Linux wordt uitgevoerd, omdat Windows Server-knooppunten geen dagelijkse updates ontvangen. | |
| 5.3: Een geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden | Implementeer een handmatig proces om ervoor te zorgen dat de toepassingen van derden van het AKS-clusterknooppunt van Azure Kubernetes Service (AKS) worden gepatcht voor de duur van de levensduur van het cluster. Hiervoor moet u mogelijk automatische updates inschakelen, de knooppunten controleren of periodieke herstarts uitvoeren. | |
| 5.4: Scans van beveiligingsproblemen met back-to-back vergelijken | Exporteer Microsoft Defender voor Cloud scanresultaten met consistente intervallen en vergelijk de resultaten om te controleren of beveiligingsproblemen zijn hersteld. | |
| 5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen | Gebruik de ernstclassificatie van Microsoft Defender voor Cloud om prioriteit te geven aan het herstel van beveiligingsproblemen. | |
| Inventarisatie en asset-management | 6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken | Gebruik Azure Resource Graph om alle resources (zoals compute, opslag, netwerk, enzovoort) binnen uw abonnementen op te vragen/ontdekken. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en alle Azure-abonnementen en -resources in uw abonnementen kunt inventariseren. |
| 6.2: Metagegevens van assets onderhouden | Tags toepassen op Azure-resources met metagegevens om ze logisch te ordenen in een taxonomie. | |
| 6.3: Niet-geautoriseerde Azure-resources verwijderen | Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden. | |
| 6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden | Definieer een lijst met goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de bedrijfsbehoeften van de organisatie. | |
| 6.5: Controleren op niet-goedgekeurde Azure-resources | Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities: Niet-toegestane resourcetypen, Toegestane resourcetypen | |
| Veilige configuratie | 7.1: Veilige configuraties voor alle Azure-resources tot stand brengen | Gebruik Azure Policy-aliassen in de naamruimte Microsoft.ContainerService om aangepast beleid te maken om de configuratie van uw AKS-exemplaren (Azure Kubernetes Service) te controleren of af te dwingen. Ingebouwde Azure Policy-definities gebruiken. |
| 7.2: Veilige besturingssysteemconfiguraties tot stand brengen | AKS-clusters (Azure Kubernetes Clusters) worden geïmplementeerd op virtuele hostmachines met een besturingssysteem dat is geoptimaliseerd voor beveiliging. Het host-besturingssysteem bevat extra beveiligingsbeveiligingsstappen die erin zijn opgenomen om het kwetsbaarheid voor aanvallen te verminderen en de implementatie van containers op een veilige manier mogelijk te maken. | |
| 7.3: Beveiligde Azure-resourceconfiguraties onderhouden | Beveilig uw AKS-cluster (Azure Kubernetes Service) met behulp van beveiligingsbeleid voor pods. Beperk welke pods kunnen worden gepland om de beveiliging van uw cluster te verbeteren. | |
| 7.4: Besturingssysteemconfiguraties beveiligen | AKS-clusters (Azure Kubernetes Service) worden geïmplementeerd op virtuele hostmachines met een besturingssysteem dat is geoptimaliseerd voor beveiliging. Het host-besturingssysteem bevat extra beveiligingsbeveiligingsstappen die erin zijn opgenomen om het kwetsbaarheid voor aanvallen te verminderen en de implementatie van containers op een veilige manier mogelijk te maken. | |
| 7.5: De configuratie van Azure-resources veilig opslaan | Gebruik Azure-opslagplaatsen om uw configuraties veilig op te slaan en te beheren als u aangepaste Azure Policy-definities gebruikt. Exporteer een sjabloon van uw AKS-configuratie (Azure Kubernetes Service) in JavaScript Object Notation (JSON) met Azure Resource Manager. | |
| Beveiliging tegen malware | 8.1: Centraal beheerde antimalwaresoftware gebruiken | AKS beheert de levenscyclus en bewerkingen van agentknooppunten namens u. Het wijzigen van de IaaS-resources die aan de agentknooppunten zijn gekoppeld, wordt niet ondersteund. Voor Linux-knooppunten kunt u echter daemon-sets gebruiken om aangepaste software te installeren, zoals een antimalwareoplossing. |
| 8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources | Scan alle bestanden die worden geüpload naar uw AKS-resources vooraf. Gebruik de bedreigingsdetectie van Microsoft Defender voor Cloud voor gegevensservices om malware te detecteren die is geüpload naar opslagaccounts als u een Azure Storage-account gebruikt als gegevensarchief of om de Terraform-status voor uw AKS-cluster bij te houden. | |
| 8.3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt | AKS beheert de levenscyclus en bewerkingen van agentknooppunten namens u. Het wijzigen van de IaaS-resources die aan de agentknooppunten zijn gekoppeld, wordt niet ondersteund. Voor Linux-knooppunten kunt u echter daemon-sets gebruiken om aangepaste software te installeren, zoals een antimalwareoplossing. | |
| Gegevensherstel | 9.1: Regelmatige geautomatiseerde back-ups garanderen | Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee een back-up kan worden gemaakt van permanente volumes, samen met extra clusterbronnen en configuraties. Controleer regelmatig de integriteit en beveiliging van deze back-ups. |
| 9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels | Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee een back-up kan worden gemaakt van permanente volumes, samen met extra clusterbronnen en configuraties. | |
| 9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels | Voer periodiek gegevensherstel uit van inhoud in Velero Backup. Test indien nodig het herstellen naar een geïsoleerd virtueel netwerk. | |
| 9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen | Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee een back-up kan worden gemaakt van permanente volumes, samen met extra clusterbronnen en configuraties. | |
| Incidentrespons | 10.1: Een handleiding voor het reageren op incidenten maken | Maak een handleiding voor het reageren op incidenten voor uw organisatie. Zorg ervoor dat er schriftelijke incidentresponsplannen zijn die alle rollen van personeel en fasen van incidentafhandeling/-beheer definiëren van detectie tot incidentbeoordeling. |
| 10.2: Een score- en prioriteringsprocedure voor incidenten maken | Prioriteit geven aan welke waarschuwingen eerst moeten worden onderzocht met Microsoft Defender voor Cloud toegewezen ernst aan waarschuwingen. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is in de bevindingen of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties achter de activiteit waren die tot de waarschuwing hebben geleid. | |
| 10.3: Beveiligingsreactieprocedures testen | Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen. Identificeer zwakke punten en hiaten en pas zo nodig incidentresponsplannen aan. | |
| 10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen voor beveiligingsincidenten configureren | Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te vragen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of niet-geautoriseerde partij. | |
| 10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem | Exporteer Microsoft Defender voor Cloud waarschuwingen en aanbevelingen met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. | |
| Penetratietests en Red Team-oefeningen | 11.1: Voer regelmatig penetratietests uit voor uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld | Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. |