Especificar requisitos de segurança para contêineres e orquestração de contêineres
Esta unidade resume a linha de base de segurança do Azure para o Serviço Kubernetes do Azure. Para áreas onde existem muitos controlos, incluímos apenas os cinco primeiros que foram mencionados.
Consulte Introdução à arquitetura de referência de segurança cibernética da Microsoft e ao benchmark de segurança na nuvem para obter mais informações sobre o Microsoft Cloud Security Benchmark.
Na tabela abaixo, incluímos controles da linha de base completa onde:
- Os controles de segurança eram suportados, mas não habilitados por padrão
- Havia orientações explícitas que continham medidas a serem tomadas por parte do cliente
| Área | Controlo | Resumo das orientações |
|---|---|---|
| Segurança da rede | 1.1: Proteger os recursos do Azure em redes virtuais | Por padrão, um grupo de segurança de rede e uma tabela de rotas são criados automaticamente com a criação de um cluster do Serviço Kubernetes (AKS) do Microsoft Azure. O AKS modifica automaticamente os grupos de segurança de rede para o fluxo de tráfego apropriado à medida que os serviços são criados com balanceadores de carga, mapeamentos de porta ou rotas de entrada. |
| 1.2: Monitorar e registrar a configuração e o tráfego de redes virtuais, sub-redes e NICs | Use o Microsoft Defender for Cloud e siga suas recomendações de proteção de rede para proteger os recursos de rede que estão sendo usados por seus clusters do Serviço Kubernetes do Azure (AKS). | |
| 1.3: Proteja aplicações Web críticas | Use um WAF (Web Application Firewall) habilitado para o Gateway de Aplicativo do Azure na frente de um cluster AKS para fornecer uma camada adicional de segurança filtrando o tráfego de entrada para seus aplicativos Web. O WAF do Azure usa um conjunto de regras, fornecidas pelo The Open Web Application Security Project (OWASP), para ataques, como scripts entre sites ou envenenamento de cookies contra esse tráfego. | |
| 1.4: Negar comunicações com endereços IP maliciosos conhecidos | Habilite a proteção Microsoft Distributed Denial-of-service (DDoS) Standard nas redes virtuais onde os componentes do Serviço Kubernetes do Azure (AKS) são implantados para proteções contra ataques DDoS. | |
| 1.5: Gravar pacotes de rede | Use a captura de pacotes do Inspetor de Rede conforme necessário para investigar atividades anômalas. | |
| Início de sessão e Monitorização | 2.1: Usar fontes de sincronização de tempo aprovadas | Os nós do Serviço Kubernetes do Azure (AKS) usam ntp.ubuntu.com para sincronização de tempo, juntamente com a porta UDP 123 e o protocolo NTP (Network Time Protocol). |
| 2.2: Configurar o gerenciamento central de logs de segurança | Habilite os logs de auditoria dos componentes mestres dos Serviços Kubernetes do Azure (AKS), kube-apiserver e kube-controller-manager, que são fornecidos como um serviço gerenciado. | |
| 2.3: Habilitar o log de auditoria para recursos do Azure | Use os logs de atividades para monitorar ações nos recursos do Serviço Kubernetes do Azure (AKS) para exibir todas as atividades e seu status. | |
| 2.4: Coletar logs de segurança de sistemas operacionais | Habilite a instalação automática de agentes do Log Analytics para coletar dados dos nós do cluster AKS. Além disso, ative o provisionamento automático do Agente de Monitoramento do Azure Log Analytics do Microsoft Defender for Cloud, pois, por padrão, o provisionamento automático está desativado. | |
| 2.5: Configurar a retenção do armazenamento do log de segurança | Integre suas instâncias do Serviço Kubernetes do Azure (AKS) ao Azure Monitor e defina o período de retenção correspondente do espaço de trabalho do Azure Log Analytics de acordo com os requisitos de conformidade da sua organização. | |
| Identidade e Controlo de Acesso | 3.1: Manter um inventário das contas administrativas | O Serviço Kubernetes do Azure (AKS) em si não fornece uma solução de gerenciamento de identidades que armazena contas de usuário e senhas regulares. Com a integração do Microsoft Entra, você pode conceder aos usuários ou grupos acesso aos recursos do Kubernetes dentro de um namespace ou através do cluster. |
| 3.2: Alterar senhas padrão quando aplicável | O Serviço Kubernetes do Azure (AKS) não tem o conceito de senhas padrão comuns e não fornece uma solução de gerenciamento de identidades onde contas de usuário regulares e senhas possam ser armazenadas. Com a integração do Microsoft Entra, você pode conceder acesso baseado em função aos recursos do AKS dentro de um namespace ou através do cluster. | |
| 3.3: Use contas administrativas dedicadas | Integre a autenticação do usuário para seus clusters do Serviço Kubernetes do Azure (AKS) com a ID do Microsoft Entra. Entre em um cluster AKS usando um token de autenticação do Microsoft Entra. | |
| 3.4: Usar logon único (SSO) com o Microsoft Entra ID | Use o logon único para o Serviço Kubernetes do Azure (AKS) com a autenticação integrada do Microsoft Entra para um cluster AKS. | |
| 3.5: Use a autenticação multifator para todo o acesso baseado no Microsoft Entra ID | Integre a Autenticação para o Serviço Kubernetes do Azure (AKS) com o Microsoft Entra ID. | |
| Proteção de Dados | 4.1: Manter um inventário de informações confidenciais | Orientação: use tags em recursos relacionados a implantações do Serviço Kubernetes do Azure (AKS) para ajudar no rastreamento de recursos do Azure que armazenam ou processam informações confidenciais. |
| 4.2: Isolar sistemas que armazenam ou processam informações confidenciais | Isolar logicamente equipes e cargas de trabalho no mesmo cluster com o Serviço Kubernetes do Azure (AKS) para fornecer o menor número de privilégios, com escopo para os recursos exigidos por cada equipe. | |
| 4.3: Monitorar e bloquear a transferência não autorizada de informações confidenciais | Use uma solução de terceiros do Azure Marketplace em perímetros de rede que monitora a transferência não autorizada de informações confidenciais e bloqueia essas transferências enquanto alerta os profissionais de segurança da informação. | |
| 4.4: Criptografar todas as informações confidenciais em trânsito | Crie um controlador de entrada HTTPS e use seus próprios certificados TLS (ou, opcionalmente, Vamos criptografar) para suas implantações do Serviço Kubernetes do Azure (AKS). | |
| 4.5: Use uma ferramenta de descoberta ativa para identificar dados confidenciais | Os recursos de identificação, classificação e prevenção de perdas de dados ainda não estão disponíveis para o Armazenamento do Azure ou recursos de computação. Implemente soluções de terceiros, se necessário, para fins de conformidade. A Microsoft gerencia a plataforma subjacente e trata todo o conteúdo do cliente como confidencial, e faz um grande esforço para se proteger contra a perda e exposição de dados do cliente. | |
| Gestão de Vulnerabilidades | 5.1: Executar ferramentas automatizadas de verificação de vulnerabilidades | Use o Microsoft Defender for Cloud para monitorar seu Registro de Contêiner do Azure, incluindo instâncias do Serviço Kubernetes do Azure (AKS) em busca de vulnerabilidades. Habilite o pacote de Registros de Contêiner no Microsoft Defender for Cloud para garantir que o Microsoft Defender for Cloud esteja pronto para digitalizar imagens que são enviadas por push para o Registro. |
| 5.2: Implantar solução automatizada de gerenciamento de patches do sistema operacional | As atualizações de segurança são aplicadas automaticamente aos nós Linux para proteger os clusters do Serviço Kubernetes do Azure (AKS) do cliente. Essas atualizações incluem correções de segurança do sistema operacional ou atualizações do kernel. Observe que o processo para manter os nós do Windows Server atualizados difere dos nós que executam o Linux, pois os nós do Windows Server não recebem atualizações diárias. | |
| 5.3: Implantar uma solução automatizada de gerenciamento de patches para títulos de software de terceiros | Implemente um processo manual para garantir que os aplicativos de terceiros do nó de cluster do Serviço Kubernetes do Azure (AKS) permaneçam corrigidos durante o tempo de vida do cluster. Isso pode exigir a ativação de atualizações automáticas, o monitoramento dos nós ou a execução de reinicializações periódicas. | |
| 5.4: Comparar verificações de vulnerabilidade back-to-back | Exporte os resultados da verificação do Microsoft Defender for Cloud em intervalos consistentes e compare os resultados para verificar se as vulnerabilidades foram corrigidas. | |
| 5.5: Use um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas | Use a classificação de gravidade fornecida pelo Microsoft Defender for Cloud para priorizar a correção de vulnerabilidades. | |
| Gestão de Recursos e Inventário | 6.1: Use a solução automatizada de descoberta de ativos | Use o Gráfico de Recursos do Azure para consultar/descobrir todos os recursos (como computação, armazenamento, rede e assim por diante) em suas assinaturas. Certifique-se de que tem permissões (de leitura) adequadas no seu inquilino e que consegue enumerar todas as subscrições do Azure, bem como os recursos nas suas subscrições. |
| 6.2: Manter metadados de ativos | Aplique marcas aos recursos do Azure com metadados para organizá-los logicamente em uma taxonomia. | |
| 6.3: Excluir recursos não autorizados do Azure | Use marcação, grupos de gerenciamento e assinaturas separadas, quando apropriado, para organizar e controlar ativos. | |
| 6.4: Definir e manter um inventário de recursos aprovados do Azure | Defina uma lista de recursos aprovados do Azure e software aprovado para recursos de computação com base nas necessidades empresariais organizacionais. | |
| 6.5: Monitorar recursos não aprovados do Azure | Use a Política do Azure para colocar restrições sobre o tipo de recursos que podem ser criados em assinaturas de clientes usando as seguintes definições de política internas: Tipos de recursos não permitidos, Tipos de recursos permitidos | |
| Configuração Segura | 7.1: Estabelecer configurações seguras para todos os recursos do Azure | Use aliases de Política do Azure no namespace "Microsoft.ContainerService" para criar políticas personalizadas para auditar ou impor a configuração de suas instâncias do Serviço Kubernetes do Azure (AKS). Use definições internas da Política do Azure. |
| 7.2: Estabelecer configurações seguras do sistema operacional | Os clusters do Azure Kubernetes (AKS) são implantados em máquinas virtuais host com um sistema operacional otimizado para segurança. O sistema operacional host tem etapas adicionais de proteção de segurança incorporadas a ele para reduzir a área de superfície de ataque e permite a implantação de contêineres de forma segura. | |
| 7.3: Manter configurações de recursos seguras do Azure | Proteja seu cluster do Serviço Kubernetes do Azure (AKS) usando políticas de segurança de pod. Limite quais pods podem ser agendados para melhorar a segurança do cluster. | |
| 7.4: Manter as configurações seguras do sistema operacional | Os clusters do Serviço Kubernetes do Azure (AKS) são implantados em máquinas virtuais host com um sistema operacional otimizado para segurança. O sistema operacional host tem etapas adicionais de proteção de segurança incorporadas a ele para reduzir a área de superfície de ataque e permite a implantação de contêineres de forma segura. | |
| 7.5: Armazenar com segurança a configuração dos recursos do Azure | Use o Azure Repos para armazenar e gerenciar suas configurações com segurança se estiver usando definições personalizadas da Política do Azure. Exporte um modelo da sua configuração do Serviço Kubernetes do Azure (AKS) em JavaScript Object Notation (JSON) com o Azure Resource Manager. | |
| Defesa contra Software maligno | 8.1: Use software antimalware gerenciado centralmente | O AKS gerencia o ciclo de vida e as operações dos nós do agente em seu nome - não há suporte para a modificação dos recursos IaaS associados aos nós do agente. No entanto, para nós Linux você pode usar conjuntos de daemon para instalar software personalizado como uma solução anti-malware. |
| 8.2: Pré-verificar arquivos a serem carregados em recursos do Azure que não sejam de computação | Pré-digitalize todos os ficheiros que estão a ser carregados para os seus recursos AKS. Use a deteção de ameaças do Microsoft Defender for Cloud para serviços de dados para detetar malware carregado em contas de armazenamento se estiver usando uma Conta de Armazenamento do Azure como um armazenamento de dados ou para rastrear o estado do Terraform para seu cluster AKS. | |
| 8.3: Certifique-se de que o software antimalware e as assinaturas estão atualizados | O AKS gerencia o ciclo de vida e as operações dos nós do agente em seu nome - não há suporte para a modificação dos recursos IaaS associados aos nós do agente. No entanto, para nós Linux você pode usar conjuntos de daemon para instalar software personalizado como uma solução anti-malware. | |
| Recuperação de Dados | 9.1: Garantir backups automatizados regulares | Faça backup de seus dados usando uma ferramenta apropriada para seu tipo de armazenamento, como Velero, que pode fazer backup de volumes persistentes juntamente com recursos e configurações de cluster adicionais. Verifique periodicamente a integridade e a segurança desses backups. |
| 9.2: Execute backups completos do sistema e faça backup de todas as chaves gerenciadas pelo cliente | Faça backup de seus dados usando uma ferramenta apropriada para seu tipo de armazenamento, como Velero, que pode fazer backup de volumes persistentes juntamente com recursos e configurações de cluster adicionais. | |
| 9.3: Validar todos os backups, incluindo chaves gerenciadas pelo cliente | Execute periodicamente a restauração de dados de conteúdo dentro do Velero Backup. Se necessário, teste a restauração para uma rede virtual isolada. | |
| 9.4: Garantir a proteção de backups e chaves gerenciadas pelo cliente | Faça backup de seus dados usando uma ferramenta apropriada para seu tipo de armazenamento, como Velero, que pode fazer backup de volumes persistentes juntamente com recursos e configurações de cluster adicionais. | |
| Resposta ao Incidente | 10.1: Criar um guia de resposta a incidentes | Crie um guia de resposta a incidentes para sua organização. Certifique-se de que existem planos escritos de resposta a incidentes que definam todas as funções do pessoal, bem como as fases de tratamento/gestão de incidentes, desde a deteção até à revisão pós-incidente. |
| 10.2: Criar um procedimento de pontuação e priorização de incidentes | Priorize quais alertas devem ser investigados primeiro com o Microsoft Defender for Cloud atribuindo severidade aos alertas. A gravidade é baseada na confiança do Microsoft Defender for Cloud na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve intenção maliciosa por trás da atividade que levou ao alerta. | |
| 10.3: Testar procedimentos de resposta de segurança | Realize exercícios para testar as capacidades de resposta a incidentes dos seus sistemas a uma cadência regular. Identifique pontos fracos e lacunas e revise os planos de resposta a incidentes conforme necessário. | |
| 10.4: Fornecer detalhes de contato de incidentes de segurança e configurar notificações de alerta para incidentes de segurança | As informações de contato de incidentes de segurança serão usadas pela Microsoft para entrar em contato com você se o Microsoft Security Response Center (MSRC) descobrir que os dados do cliente foram acessados por uma parte ilegal ou não autorizada. | |
| 10.5: Incorpore alertas de segurança no seu sistema de resposta a incidentes | Exporte alertas e recomendações do Microsoft Defender for Cloud usando seu recurso de exportação contínua. A Exportação Contínua permite-lhe exportar alertas e recomendações manualmente ou de forma contínua e contínua. | |
| Testes de Penetração e Exercícios de Red Team | 11.1: Realize testes de penetração regulares de seus recursos do Azure e garanta a correção de todas as descobertas críticas de segurança | Siga as Regras de Compromisso da Microsoft para garantir que os seus Testes de Penetração não violam as políticas da Microsoft. |