Especificar os requisitos de segurança para contêineres e orquestração de contêineres
Essa unidade resume a Linha de base de segurança do Azure para o Serviço de Kubernetes do Azure. Para áreas onde há muitos controles, incluímos apenas os cinco primeiros que foram mencionados.
Veja Introdução à Arquitetura de Referência de Segurança Cibernética da Microsoft e ao parâmetro de comparação de segurança de nuvem para obter mais informações sobre o Parâmetro de Comparação de Segurança de nuvem da Microsoft.
Na tabela abaixo, incluímos controles da linha de base completa em que:
- Os controles de segurança eram compatíveis, mas não estavam habilitados por padrão
- Havia diretrizes explícitas que continham as ações a serem tomadas por parte do cliente
| Área | Control | Resumo das diretrizes |
|---|---|---|
| Segurança de rede | 1.1: Proteger os recursos do Azure nas redes virtuais | Por padrão, um grupo de segurança de rede e uma tabela de rotas são criados automaticamente com a criação de um cluster do AKS (Serviço de Kubernetes do Microsoft Azure). O AKS modifica automaticamente os grupos de segurança de rede para o fluxo de tráfego apropriado, conforme os serviços são criados com balanceadores de carga, mapeamentos de porta ou rotas de entrada. |
| 1.2: monitorar e registrar em log a configuração e o tráfego de redes virtuais, sub-redes e NICs | Use o Microsoft Defender para Nuvem e siga as recomendações de proteção de rede para proteger os recursos de rede usados pelos clusters do AKS (Serviço de Kubernetes do Azure). | |
| 1.3: proteger aplicativos Web críticos | Use um WAF (Firewall de Aplicativo Web) habilitado para o Gateway de Aplicativo do Azure na frente de um cluster do AKS para fornecer uma camada adicional de segurança filtrando o tráfego de entrada para seus aplicativos Web. O WAF do Azure usa um conjunto de regras, fornecido pelo OWASP (Open Web Application Security Project), para ataques, como cross-site scripting ou envenenamento de cookie, contra esse tráfego. | |
| 1.4: rejeitar comunicações com endereços IP maliciosos conhecidos | Habilite a proteção Standard de DDoS (negação de serviço distribuído) da Microsoft nas redes virtuais em que os componentes do AKS (Serviço de Kubernetes do Azure) são implantados para proteção contra DDoS. | |
| 1.5: Registrar os pacotes de rede | Use a captura de pacotes do Observador de Rede conforme o necessário para investigar atividades anômalas. | |
| Registro em log e monitoramento | 2.1: usar fontes de sincronização de tempo aprovadas | Os nós do AKS (Serviço de Kubernetes do Azure) usam ntp.ubuntu.com para sincronização de hora, com a porta UDP 123 e o protocolo NTP. |
| 2.2: Configurar o gerenciamento central de log de segurança | Habilite os logs de auditoria em componentes mestre kube-apiserver e kube-controller-manager do AKS (Serviços de Kubernetes do Azure), que são fornecidos como um serviço gerenciado. | |
| 2.3: habilitar o registro em log de auditoria para recursos do Azure | Use os logs de atividades para monitorar ações em recursos do AKS (Serviço de Kubernetes do Azure) e ver todas as atividades e o respectivo status. | |
| 2.4: Coletar logs de segurança de sistemas operacionais | Habilite a instalação automática de agentes do Log Analytics para coletar dados dos nós de cluster do AKS. Além disso, ative o provisionamento automático do Agente de Monitoramento do Log Analytics do Azure no Microsoft Defender para Nuvem, pois, por padrão, o provisionamento automático está desativado. | |
| 2.5: Configurar a retenção de armazenamento do log de segurança | Integre suas instâncias do AKS (Serviço de Kubernetes do Azure) ao Azure Monitor e defina o período de retenção do workspace do Azure Log Analytics correspondente de acordo com os requisitos de conformidade da sua organização. | |
| Identidade e controle de acesso | 3.1: Manter um inventário de contas administrativas | O AKS (Serviço de Kubernetes do Azure) em si não fornece uma solução de gerenciamento de identidades que armazena contas de usuário e senhas normais. Com a integração do Microsoft Entra, você pode conceder aos usuários ou grupos acesso aos recursos do Kubernetes em um namespace ou em todo o cluster. |
| 3.2: alterar senhas padrão quando aplicável | O AKS (Serviço de Kubernetes do Azure) não tem o conceito de senhas padrão comuns e não fornece uma solução de gerenciamento de identidades em que contas de usuário e senhas normais possam ser armazenadas. Com a integração do Microsoft Entra, você pode conceder acesso baseado em função aos recursos do AKS em um namespace ou em todo o cluster. | |
| 3.3: Usar contas administrativas dedicadas | Integre a autenticação de usuário aos seus clusters do AKS (Serviço de Kubernetes do Azure) com o Microsoft Entra ID. Entre em um cluster do AKS usando um token de autenticação do Microsoft Entra. | |
| 3.4: Usar o SSO (logon único) com o Microsoft Entra ID | Use o logon único para o AKS (Serviço de Kubernetes do Azure) com a autenticação integrada do Microsoft Entra para um cluster do AKS. | |
| 3.5: Usar a autenticação multifator para todo o acesso baseado no Microsoft Entra ID | Integrar a Autenticação para o AKS (Serviço de Kubernetes do Azure) com o Microsoft Entra ID. | |
| Proteção de dados | 4.1: Manter um inventário de informações confidenciais | Diretrizes: use marcas em recursos relacionados a implantações do AKS (Serviço de Kubernetes do Azure) para auxiliar no acompanhamento de recursos do Azure que armazenam ou processam informações confidenciais. |
| 4.2: isolar sistemas que armazenam ou processam informações confidenciais | Isole logicamente equipes e cargas de trabalho no mesmo cluster com o AKS (Serviço de Kubernetes do Azure) para fornecer o número mínimo de privilégios, com escopo para os recursos exigidos por equipe. | |
| 4.3: monitorar e bloquear a transferência não autorizada de informações confidenciais | Use uma solução de terceiros do Azure Marketplace em perímetros de rede que monitora a transferência não autorizada de informações confidenciais e bloqueia essas transferências alertando os profissionais de segurança da informação. | |
| 4.4: criptografar todas as informações confidenciais em trânsito | Crie um controlador de entrada HTTPS e use seus próprios certificados TLS (ou, opcionalmente, Let's Encrypt) para suas implantações de Serviço de Kubernetes do Azure (AKS). | |
| 4.5: Usar uma ferramenta de descoberta ativa para identificar dados confidenciais | Os recursos de identificação, classificação e prevenção contra perda de dados ainda não estão disponíveis para os recursos de computação nem para o Armazenamento do Azure. Se necessário, implemente uma solução de terceiros para fins de conformidade. A Microsoft gerencia a plataforma subjacente e trata todo o conteúdo do cliente como confidencial, além de fazer todo o esforço possível para fornecer proteção contra perda e exposição de dados do cliente. | |
| Gerenciamento de vulnerabilidades | 5.1: Executar ferramentas automatizadas de verificação de vulnerabilidade | Use o Microsoft Defender para Nuvem para monitorar o Registro de Contêiner do Azure, incluindo as instâncias do AKS (Serviço de Kubernetes do Azure), em busca de vulnerabilidades. Habilite o pacote de Registros de Contêiner no Microsoft Defender para Nuvem para garantir que o Microsoft Defender para Nuvem esteja pronto para verificar as imagens que são enviada por e/ou para o Registro. |
| 5.2: implantar solução automatizada de gerenciamento de patch de sistema operacional | As atualizações de segurança são aplicadas automaticamente aos nós do Linux para proteger os clusters do AKS (Serviço de Kubernetes do Azure) do cliente. Essas atualizações incluem correções de segurança do SO ou atualizações de kernel. Observe que o processo de manter atualizados os nós do Windows Server é diferente dos nós que executam o Linux, pois os nós do Windows Server não recebem atualizações diárias. | |
| 5.3: Implantar uma solução automatizada de gerenciamento de patch para títulos de software de terceiros | Implemente um processo manual para garantir que os aplicativos de terceiros do nó de cluster do AKS (Serviço de Kubernetes do Azure) permaneçam corrigidos durante o tempo de vida do cluster. Isso pode exigir a habilitação de atualizações automáticas, o monitoramento dos nós ou a realização de reinicializações periódicas. | |
| 5.4: Comparar verificações de vulnerabilidade consecutivas | Exporte os resultados da verificação do Microsoft Defender para Nuvem em intervalos consistentes e compare-os para observar se as vulnerabilidades foram corrigidas. | |
| 5.5: usar um processo de avaliação de risco para priorizar a correção das vulnerabilidades descobertas | Use a classificação de severidade fornecida pelo Microsoft Defender para Nuvem para priorizar a correção de vulnerabilidades. | |
| Inventário e gerenciamento de ativos | 6.1: Usar uma solução de descoberta de ativos automatizada | Use o Azure Resource Graph para consultar/descobrir todos os recursos (como computação, armazenamento, rede etc.) nas suas assinaturas. Verifique se você tem permissões (de leitura) apropriadas no seu locatário e se pode enumerar todas as assinaturas do Azure, bem como os recursos nas assinaturas. |
| 6.2: Manter metadados de ativo | Aplique marcas aos recursos do Azure com metadados para organizá-los logicamente em uma taxonomia. | |
| 6.3: Excluir recursos do Azure não autorizados | Use marcação, grupos de gerenciamento e assinaturas separadas, sempre que apropriado, para organizar e acompanhar ativos. | |
| 6.4: definir e manter um inventário de recursos aprovados do Azure | Defina uma lista de recursos aprovados do Azure e programas de software aprovados para recursos de computação de acordo com as necessidades empresariais da organização. | |
| 6.5: Monitorar recursos do Azure não aprovados | Use o Azure Policy para colocar restrições nos tipos de recursos que podem ser criados nas assinaturas do cliente, usando as seguintes definições internas da política: tipos de recurso não permitidos, tipos de recurso permitidos | |
| Configuração segura | 7.1: Estabelecer configurações seguras para todos os recursos do Azure | Use aliases do Azure Policy no namespace "Microsoft.ContainerService" para criar políticas personalizadas a fim de auditar ou impor a configuração das instâncias do AKS (Serviço de Kubernetes do Azure). Use definições internas do Azure Policy. |
| 7.2: Estabelecer configurações seguras de sistema operacional | Os clusters do AKS (Clusters do Kubernetes do Azure) são implantados em máquinas virtuais do host com um sistema operacional otimizado para segurança. O sistema operacional do host tem etapas de proteção de segurança adicionais incorporadas para reduzir a área da superfície de ataque e permite a implantação de contêineres de maneira segura. | |
| 7.3: Manter configurações seguras de recursos do Azure | Proteja o cluster do AKS (Serviço de Kubernetes do Azure) usando políticas de segurança de pod. Limite quais pods podem ser agendados para aprimorar a segurança do cluster. | |
| 7.4: Manter configurações seguras de sistema operacional | Os clusters do AKS (Serviço de Kubernetes do Azure) são implantados em máquinas virtuais do host com um sistema operacional otimizado para segurança. O sistema operacional do host tem etapas de proteção de segurança adicionais incorporadas para reduzir a área da superfície de ataque e permite a implantação de contêineres de maneira segura. | |
| 7.5: Armazenar configuração de recursos do Azure com segurança | Use o Azure Repos para armazenar e gerenciar suas configurações com segurança se estiver usando definições personalizadas do Azure Policy. Exporte um modelo da sua configuração do AKS (Serviço de Kubernetes do Azure) em JSON (JavaScript Object Notation) com o Azure Resource Manager. | |
| Defesa contra malwares | 8.1: Use o software antimalware gerenciado de modo centralizado | O AKS gerencia o ciclo de vida e as operações de nós do agente em seu nome. Não há suporte para a modificação dos recursos de IaaS associados aos nós do agente. No entanto, para nós do Linux, você pode usar conjuntos de daemon para instalar programas de software personalizados, como uma solução antimalware. |
| 8.2: Arquivos de pré-verificação a serem carregados para recursos não computados do Azure | Verifique previamente todos os arquivos que estão sendo carregados nos seus recursos do AKS. Use a detecção de ameaças do Microsoft Defender para Nuvem para serviços de dados a fim de detectar malwares carregados em contas de armazenamento se estiver usando uma conta do Armazenamento do Microsoft Azure como um armazenamento de dados ou acompanhar o estado do Terraform do seu cluster do AKS. | |
| 8.3: Garantir que o software antimalware e as assinaturas sejam atualizados | O AKS gerencia o ciclo de vida e as operações de nós do agente em seu nome. Não há suporte para a modificação dos recursos de IaaS associados aos nós do agente. No entanto, para nós do Linux, você pode usar conjuntos de daemon para instalar programas de software personalizados, como uma solução antimalware. | |
| Recuperação de dados | 9.1: garantir backups automatizados regulares | Faça backup dos dados usando uma ferramenta apropriada para seu tipo de armazenamento, como o Velero, que pode fazer backup de volumes persistentes com recursos de cluster e configurações adicionais. Periodicamente, verifique a integridade e a segurança desses backups. |
| 9.2: Fazer backups completos do sistema e backups de todas as chaves gerenciadas pelo cliente | Faça backup dos dados usando uma ferramenta apropriada para seu tipo de armazenamento, como o Velero, que pode fazer backup de volumes persistentes com recursos de cluster e configurações adicionais. | |
| 9.3: Validar todos os backups, inclusive os de chaves gerenciadas pelo cliente | Execute periodicamente a restauração de dados de conteúdo no Backup do Velero. Se necessário, teste a restauração em uma rede virtual isolada. | |
| 9.4: Garantir a proteção dos backups e das chaves gerenciadas pelo cliente | Faça backup dos dados usando uma ferramenta apropriada para seu tipo de armazenamento, como o Velero, que pode fazer backup de volumes persistentes com recursos de cluster e configurações adicionais. | |
| Resposta a incidentes | 10.1: criar um guia de resposta a incidentes | crie um guia de resposta a incidentes para sua organização. Verifique se há planos de resposta a incidentes escritos que definem todas as funções de pessoal, bem como as fases de tratamento/gerenciamento de incidentes, desde a detecção até a revisão após o incidente. |
| 10.2: criar um procedimento de pontuação e priorização de incidentes | Priorize os alertas que precisam ser investigados primeiro com a severidade atribuída pelo Microsoft Defender para Nuvem aos alertas. A gravidade se baseia na confiança que o Microsoft Defender para Nuvem tem na localização ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve uma intenção maliciosa por trás da atividade que gerou o alerta. | |
| 10.3: testar procedimentos de resposta de segurança | Faça exercícios para testar as funcionalidades de resposta a incidentes dos seus sistemas em uma frequência regular. Identifique pontos fracos e lacunas e revise os planos de resposta a incidentes conforme necessário. | |
| 10.4: Fornecer detalhes de contato do incidente de segurança e configurar notificações de alerta para incidentes de segurança | As informações de contato do incidente serão usadas pela Microsoft para contatá-lo se o MSRC (Microsoft Security Response Center) descobrir que os dados do cliente foram acessados por uma pessoa não autorizada ou ilegal. | |
| 10.5: incorporar alertas de segurança em seu sistema de resposta a incidentes | Exporte os alertas e as recomendações do Microsoft Defender para Nuvem usando seu recurso de Exportação Contínua. A exportação contínua permite exportar alertas e recomendações de forma manual ou contínua. | |
| Testes de penetração e exercícios de Red Team | 11.1: Realizar testes de penetração regulares dos recursos do Azure e garantir a correção de todas as conclusões de segurança críticas | Siga as Regras de Participação da Microsoft para garantir que os Testes de Penetração não violem as políticas da Microsoft. |