Segurança do Nexus do Operador do Azure
O Operador Nexus do Azure foi projetado e criado para detectar e defender contra as ameaças de segurança mais recentes e cumprir os requisitos rigorosos dos padrões de segurança do governo e do setor. Dois pilares formam a base de sua arquitetura de segurança:
- Segurança por padrão: a resiliência de segurança é uma parte inerente da plataforma com pouca ou nenhuma alteração de configuração necessária para usá-la com segurança.
- Assumir violação: A suposição subjacente é que qualquer sistema pode ser comprometido e, como tal, a meta é minimizar o impacto de uma violação de segurança se ocorrer.
O Operador nexus do Azure percebe o acima aproveitando as ferramentas de segurança nativas da nuvem da Microsoft que oferecem a capacidade de melhorar sua postura de segurança na nuvem, permitindo que você proteja as cargas de trabalho do operador.
Proteção em toda a plataforma por meio do Microsoft Defender para Nuvem
Microsoft Defender para Nuvem é um CNAPP (plataforma de proteção de aplicativo nativo de nuvem) que fornece os recursos de segurança necessários para proteger seus recursos, gerenciar sua postura de segurança, proteger contra ataques cibernéticos e simplificar o gerenciamento de segurança. Estes são alguns dos principais recursos do Defender para Nuvem que se aplicam à plataforma Nexus do Operador do Azure:
- Avaliação de vulnerabilidade para máquinas virtuais e registros de contêiner: habilite facilmente soluções de avaliação de vulnerabilidades para descobrir, gerenciar e resolver vulnerabilidades. Veja, investigue e corrija as descobertas diretamente no Defender para Nuvem.
- Segurança de nuvem híbrida – obtenha uma exibição unificada da segurança em todas as suas cargas de trabalho locais e na nuvem. Aplique políticas de segurança e avalie continuamente a segurança de suas cargas de trabalho de nuvem híbrida a fim de garantir a conformidade com padrões de segurança. Colete, pesquise e analise dados de segurança de várias fontes, incluindo firewalls e outras soluções de parceiros.
- Alertas de proteção contra ameaças: Análise comportamental avançada e o Microsoft Intelligent Security Graph fornecem uma vantagem sobre ataques cibernéticos em evolução. A análise comportamental interna e o machine learning podem identificar ataques e explorações de dia zero. Monitore redes, computadores, Armazenamento do Microsoft Azure e serviços de nuvem para ataques de entrada e atividade pós-violação. Simplifique a investigação com ferramentas interativas e inteligência contextual contra ameaças.
- Avaliação de conformidade em relação a uma variedade de padrões de segurança: o Defender para Nuvem avalia continuamente seu ambiente de nuvem híbrida para analisar os fatores de risco de acordo com os controles e as práticas recomendadas no Azure Security Benchmark. Ao habilitar os recursos avançados de segurança, você pode aplicar uma variedade de outros padrões do setor, padrões regulatórios e parâmetros de comparação de acordo com as necessidades da sua organização. Adicione padrões e acompanhe a sua conformidade com eles no painel de conformidade regulatória.
- Recursos de segurança do contêiner: beneficie-se do gerenciamento de vulnerabilidades e da proteção contra ameaças em tempo real nos seus ambientes em contêineres.
Há opções de segurança aprimoradas que permitem proteger seus servidores host locais, bem como os clusters do Kubernetes que executam as cargas de trabalho do operador. Essas opções são descritas abaixo.
Proteção do sistema operacional host do computador bare-metal por meio do Microsoft Defender para Ponto de Extremidade
Os BMMs (máquinas bare-metal) do Operador do Azure, que hospedam os servidores de computação de infraestrutura local, são protegidos quando você opta por habilitar a solução do Microsoft Defender para Ponto de Extremidade. O Microsoft Defender para Ponto de Extremidade fornece AV (antivírus preventivo), EDR (detecção e resposta de ponto de extremidade) e recursos de gerenciamento de vulnerabilidades.
Você tem a opção de habilitar a proteção do Microsoft Defender para Ponto de Extremidade depois de selecionar e ativar um plano do Microsoft Defender para servidores, já que a ativação do plano do Defender para Servidores é um pré-requisito para o Microsoft Defender para Ponto de Extremidade. Uma vez habilitada, a configuração do Microsoft Defender para Ponto de Extremidade é gerenciada pela plataforma para garantir a segurança e o desempenho ideais e reduzir o risco de configurações incorretas.
Proteção de carga de trabalho de cluster do Kubernetes por meio do Microsoft Defender para contêineres
Os clusters Kubernetes locais que executam as cargas de trabalho do operador são protegidos quando você opta por habilitar a solução do Microsoft Defender para contêineres. Microsoft Defender para contêineres fornece proteção contra ameaças em tempo de execução para clusters e nós do Linux, bem como proteção de ambiente de cluster contra configurações incorretas.
Você tem a opção de habilitar a proteção do Defender para contêineres no Defender para Nuvem ativando o plano defender para contêineres.
A segurança na nuvem é uma responsabilidade compartilhada
É importante entender que, em um ambiente de nuvem, a segurança é uma responsabilidade compartilhada entre você e o provedor de nuvem. As responsabilidades variam dependendo do tipo de serviço de nuvem em que suas cargas de trabalho são executadas, seja SaaS (Software como Serviço), PaaS (Plataforma como Serviço) ou IaaS (Infraestrutura como Serviço), bem como onde as cargas de trabalho estão hospedadas – dentro dos datacenters locais ou do provedor de nuvem.
As cargas de trabalho do Nexus do Operador do Azure são executadas em servidores em seus datacenters, portanto, você está no controle de alterações em seu ambiente local. A Microsoft disponibiliza periodicamente novas versões de plataforma que contêm segurança e outras atualizações. Em seguida, você deve decidir quando aplicar essas versões ao seu ambiente conforme apropriado para as necessidades comerciais da sua organização.
Verificação de benchmark de segurança do Kubernetes
Ferramentas de benchmarking de segurança padrão do setor são usadas para verificar a conformidade de segurança da plataforma Azure Operator Nexus. Essas ferramentas incluem OpenSCAP, para avaliar a conformidade com os controles do Kubernetes Security Technical Implementation Guide (STIG), e o Kube-Bench da Aqua Security, para avaliar a conformidade com os Kubernetes Benchmarks do Center for Internet Security (CIS).
Alguns controles não são tecnicamente viáveis para implementação no ambiente do Azure Operator Nexus, e esses controles excepcionais estão documentados abaixo para as camadas aplicáveis do Nexus.
Controles ambientais como RBAC e testes de conta de serviço não são avaliados por essas ferramentas, pois os resultados podem diferir com base nos requisitos do cliente.
NTF = Não Tecnicamente Viável
OpenSCAP STIG - V2R2
Cluster
| STIG ID | Descrição da recomendação | Status | Problema |
|---|---|---|---|
| V-242386 | O servidor da API do Kubernetes deve ter o sinalizador de porta insegura desabilitado | NTF | Essa verificação está obsoleta na v1.24.0 e superior |
| V-242397 | O Kubernetes kubelet staticPodPath não deve habilitar pods estáticos | NTF | Habilitado somente para nós de controle, necessário para kubeadm |
| V-242403 | O Kubernetes API Server deve gerar registros de auditoria que identifiquem o tipo de evento ocorrido, identifiquem a origem do evento, contenham os resultados do evento, identifiquem todos os usuários e identifiquem todos os contêineres associados ao evento | NTF | Certas solicitações e respostas de API contêm segredos e, portanto, não são capturadas nos logs de auditoria |
| V-242424 | Kubernetes Kubelet deve habilitar tlsPrivateKeyFile para autenticação do cliente para proteger o serviço | NTF | Kubelet SANs contém apenas nome de host |
| V-242425 | O Kubernetes Kubelet deve habilitar tlsCertFile para autenticação do cliente para proteger o serviço. | NTF | Kubelet SANs contém apenas nome de host |
| V-242434 | O Kubernetes Kubelet deve habilitar a proteção do kernel. | NTF | Habilitar a proteção do kernel não é viável para kubeadm no Nexus |
Cluster do Nexus Kubernetes
| STIG ID | Descrição da recomendação | Status | Problema |
|---|---|---|---|
| V-242386 | O servidor da API do Kubernetes deve ter o sinalizador de porta insegura desabilitado | NTF | Essa verificação está obsoleta na v1.24.0 e superior |
| V-242397 | O Kubernetes kubelet staticPodPath não deve habilitar pods estáticos | NTF | Habilitado somente para nós de controle, necessário para kubeadm |
| V-242403 | O Kubernetes API Server deve gerar registros de auditoria que identifiquem o tipo de evento ocorrido, identifiquem a origem do evento, contenham os resultados do evento, identifiquem todos os usuários e identifiquem todos os contêineres associados ao evento | NTF | Certas solicitações e respostas de API contêm segredos e, portanto, não são capturadas nos logs de auditoria |
| V-242424 | Kubernetes Kubelet deve habilitar tlsPrivateKeyFile para autenticação do cliente para proteger o serviço | NTF | Kubelet SANs contém apenas nome de host |
| V-242425 | O Kubernetes Kubelet deve habilitar tlsCertFile para autenticação do cliente para proteger o serviço. | NTF | Kubelet SANs contém apenas nome de host |
| V-242434 | O Kubernetes Kubelet deve habilitar a proteção do kernel. | NTF | Habilitar a proteção do kernel não é viável para kubeadm no Nexus |
Gerenciador de Cluster - Azure Kubernetes
Como um serviço seguro, o AKS (Serviço de Kubernetes do Azure) está em conformidade com os padrões SOC, ISO, PCI DSS e HIPAA. A imagem a seguir mostra as exceções de permissão do arquivo OpenSCAP para a implementação do Cluster Manager AKS.
Banco de Cuba Aquasec - CIS 1.9
Cluster
| ID do CIS | Descrição da recomendação | Status | Problema |
|---|---|---|---|
| 1 | Componentes do painel de controle | ||
| 1,1 | Arquivos de configuração de nó do painel de controle | ||
| 1.1.12 | Certifique-se de que a propriedade do diretório de dados etcd esteja definida como etcd:etcd |
NTF | Nexus é root:root, o usuário etcd não está configurado para kubeadm |
| 1,2 | Servidor de API | ||
| 1.1.12 | Verificar se o argumento --kubelet-certificate-authority está definido conforme apropriado |
NTF | O Kubelet SANs inclui apenas o nome do host |
Cluster do Nexus Kubernetes
| ID do CIS | Descrição da recomendação | Status | Problema |
|---|---|---|---|
| 1 | Componentes do painel de controle | ||
| 1,1 | Arquivos de configuração de nó do painel de controle | ||
| 1.1.12 | Certifique-se de que a propriedade do diretório de dados etcd esteja definida como etcd:etcd |
NTF | Nexus é root:root, o usuário etcd não está configurado para kubeadm |
| 1,2 | Servidor de API | ||
| 1.1.12 | Verificar se o argumento --kubelet-certificate-authority está definido conforme apropriado |
NTF | O Kubelet SANs inclui apenas o nome do host |
Gerenciador de Cluster - Azure Kubernetes
O Operator Nexus Cluster Manager é uma implementação do AKS. A imagem a seguir mostra as exceções do Kube-Bench para o Cluster Manager. Um relatório completo da avaliação do controle de benchmark do CIS para o Azure Kubernetes Service (AKS) pode ser encontrado aqui
