Безопасность Оператора Azure Nexus
Оператор Azure Nexus разработан и построен для обнаружения и защиты от последних угроз безопасности и соблюдения строгих требований государственных и отраслевых стандартов безопасности. Два краеугольных камня образуют основу своей архитектуры безопасности:
- Безопасность по умолчанию — устойчивость безопасности является неотъемлемой частью платформы без изменений конфигурации, необходимых для безопасного использования.
- Предположим, нарушение . Базовое предположение заключается в том, что любая система может быть скомпрометирована, и как такая цель заключается в том, чтобы свести к минимуму влияние нарушения безопасности при возникновении одного из них.
Оператор Azure Nexus реализует приведенные выше средства безопасности, которые позволяют повысить уровень безопасности в облаке, позволяя защитить рабочие нагрузки оператора.
Защита на уровне платформы с помощью Microsoft Defender для облака
Microsoft Defender для облака — это облачная платформа защиты приложений (CNAPP), которая обеспечивает возможности безопасности, необходимые для защиты ресурсов, управления безопасностью, защиты от кибератак и упрощения управления безопасностью. Ниже приведены некоторые ключевые функции Defender для облака, которые применяются к платформе Оператора Azure Nexus:
- Оценка уязвимостей для виртуальных машин и реестров контейнеров— легко позволяет решениям для оценки уязвимостей обнаруживать, управлять и устранять уязвимости. Просматривайте, анализируйте и устраняйте обнаруженные проблемы непосредственно в Defender для облака.
- Гибридная облачная безопасность — получение единого представления безопасности во всех локальных и облачных рабочих нагрузках. Применяйте политики безопасности и непрерывно оценивайте безопасность гибридных облачных рабочих нагрузок, чтобы обеспечить соответствие стандартам безопасности. Собирайте, ищите и анализируйте данные безопасности из нескольких источников, включая брандмауэры и другие партнерские решения.
- Оповещения защиты от угроз — расширенная аналитика поведения и Microsoft Intelligent Security Graph предоставляют преимущество по поводу развития кибератак. Встроенные средства анализа поведения и машинного обучения помогают выявлять атаки и уязвимости нулевого дня. Мониторинг сетей, компьютеров, служба хранилища Azure и облачных служб для входящих атак и действий после нарушения безопасности. Упрощение расследований с помощью интерактивных средств и контекстной аналитики угроз.
- Оценка соответствия различным стандартам безопасности. Defender для облака непрерывно оценивает гибридную облачную среду для анализа факторов риска в соответствии с элементами управления и рекомендациями в Azure Security Benchmark. При включении расширенных функций безопасности можно применить ряд других отраслевых стандартов, нормативных стандартов и эталонных показателей в соответствии с потребностями вашей организации. Добавьте стандарты и отслеживайте их соблюдение на панели мониторинга соответствия нормативным требованиям.
- Функции безопасности контейнеров. Используйте преимущества управление уязвимостями и защиты от угроз в реальном времени в контейнерных средах.
Существуют расширенные параметры безопасности, позволяющие защитить локальные серверы узлов, а также кластеры Kubernetes, которые выполняют рабочие нагрузки оператора. Эти параметры описаны ниже.
Защита операционной системы узла компьютера без операционной системы с помощью Microsoft Defender для конечной точки
При выборе решения Microsoft Defender для конечной точки решения операторы Azure Nexus без операционной системы (BMM), на которых размещаются локальные вычислительные серверы инфраструктуры. Microsoft Defender для конечной точки предоставляет возможности антивирусной программы (AV), обнаружение и нейтрализация атак на конечные точки (EDR) и управление уязвимостями.
Вы можете включить Microsoft Defender для конечной точки защиту после выбора и активации плана Microsoft Defender для серверов, так как активация плана Defender для серверов является обязательным условием для Microsoft Defender для конечной точки. После включения конфигурация Microsoft Defender для конечной точки управляется платформой, чтобы обеспечить оптимальную безопасность и производительность, а также снизить риск неправильной настройки.
Защита рабочей нагрузки кластера Kubernetes с помощью Microsoft Defender для контейнеров
Локальные кластеры Kubernetes, выполняющие рабочие нагрузки оператора, защищаются при выборе включения решения Microsoft Defender для контейнеров. Microsoft Defender для контейнеров обеспечивает защиту от угроз во время выполнения для кластеров и узлов Linux, а также защиту среды кластера от неправильной настройки.
Вы можете включить защиту Defender для контейнеров в Defender для облака, активировав план Defender для контейнеров.
Безопасность в облаке — это общая ответственность
Важно понимать, что в облачной среде безопасность является общей ответственностью между вами и поставщиком облачных служб. Обязанности зависят от типа облачной службы, в которой выполняются рабочие нагрузки, будь то программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) или инфраструктура как услуга (IaaS), а также место размещения рабочих нагрузок в пределах облачных поставщиков или собственных локальных центров обработки данных.
Рабочие нагрузки Оператора Azure Nexus выполняются на серверах в центрах обработки данных, поэтому вы управляете изменениями в локальной среде. Корпорация Майкрософт периодически делает новые выпуски платформы доступными для обеспечения безопасности и других обновлений. Затем необходимо решить, когда применять эти выпуски к вашей среде в соответствии с бизнес-потребностями вашей организации.
Проверка теста безопасности Kubernetes
Стандартные средства проверки безопасности в отрасли используются для сканирования платформы Оператора Azure Nexus для обеспечения соответствия безопасности. К этим средствам относятся OpenSCAP, чтобы оценить соответствие элементам управления Технической реализации Kubernetes (STIG) и Kube-Bench в Aqua Security, чтобы оценить соответствие требованиям Центра безопасности Интернета (CIS) Kubernetes Benchmarks.
Некоторые элементы управления не являются технически возможными для реализации в среде Оператора Azure Nexus, и эти за исключением элементов управления описаны ниже для применимых слоев Nexus.
Такие средства управления окружающей средой, как RBAC и тесты учетной записи службы, не оцениваются этими средствами, так как результаты могут отличаться в зависимости от требований клиентов.
NTF = не является технически возможным
OpenSCAP STIG — V2R2
Cluster
| Идентификатор STIG | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| V-242386 | Сервер API Kubernetes должен иметь небезопасный флаг порта отключен | NTF | Эта проверка устарела в версии 1.24.0 и больше |
| V-242397 | Kubernetes kubelet staticPodPath не должен включать статические модули pod | NTF | Только для узлов управления, необходимых для kubeadm |
| V-242403 | Сервер API Kubernetes должен создавать записи аудита, которые определяют тип события, определяют источник события, содержат результаты событий, определяют всех пользователей и определяют все контейнеры, связанные с событием. | NTF | Некоторые запросы и ответы API содержат секреты, поэтому не фиксируются в журналах аудита. |
| V-242424 | Kubernetes Kubelet должен включить tlsPrivateKeyFile для проверки подлинности клиента для защиты службы | NTF | Kubelet SAN содержит только имя узла |
| V-242425 | Kubernetes Kubelet должен включить tlsCertFile для проверки подлинности клиента для защиты службы. | NTF | Kubelet SAN содержит только имя узла |
| V-242434 | Kubernetes Kubelet должен включить защиту ядра. | NTF | Включение защиты ядра невозможно для kubeadm в Nexus |
Кластер Nexus Kubernetes
| Идентификатор STIG | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| V-242386 | Сервер API Kubernetes должен иметь небезопасный флаг порта отключен | NTF | Эта проверка устарела в версии 1.24.0 и больше |
| V-242397 | Kubernetes kubelet staticPodPath не должен включать статические модули pod | NTF | Только для узлов управления, необходимых для kubeadm |
| V-242403 | Сервер API Kubernetes должен создавать записи аудита, которые определяют тип события, определяют источник события, содержат результаты событий, определяют всех пользователей и определяют все контейнеры, связанные с событием. | NTF | Некоторые запросы и ответы API содержат секреты, поэтому не фиксируются в журналах аудита. |
| V-242424 | Kubernetes Kubelet должен включить tlsPrivateKeyFile для проверки подлинности клиента для защиты службы | NTF | Kubelet SAN содержит только имя узла |
| V-242425 | Kubernetes Kubelet должен включить tlsCertFile для проверки подлинности клиента для защиты службы. | NTF | Kubelet SAN содержит только имя узла |
| V-242434 | Kubernetes Kubelet должен включить защиту ядра. | NTF | Включение защиты ядра невозможно для kubeadm в Nexus |
Диспетчер кластеров — Azure Kubernetes
Служба Azure Kubernetes (AKS), будучи защищенной службой, соответствует стандартам SOC, ISO, PCI DSS и HIPAA. На следующем рисунке показаны исключения разрешений файла OpenSCAP для реализации AKS Диспетчера кластеров.
Aquasec Kube-Bench - CIS 1.9
Cluster
| Идентификатор CIS | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| 1 | Компоненты уровня управления | ||
| 1,1 | Файлы конфигурации узла уровня управления | ||
| 1.1.12 | Убедитесь, что для владельца каталога данных etcd задано значение etcd:etcd |
NTF | Nexus is root:root, etcd user не настроен для kubeadm |
| 1.2 | Сервер API | ||
| 1.1.12 | Убедитесь, что аргумент --kubelet-certificate-authority задан соответствующим образом. |
NTF | SaNs Kubelet включает только имя узла |
Кластер Nexus Kubernetes
| Идентификатор CIS | Описание рекомендации | Состояние | Проблема |
|---|---|---|---|
| 1 | Компоненты уровня управления | ||
| 1,1 | Файлы конфигурации узла уровня управления | ||
| 1.1.12 | Убедитесь, что для владельца каталога данных etcd задано значение etcd:etcd |
NTF | Nexus is root:root, etcd user не настроен для kubeadm |
| 1.2 | Сервер API | ||
| 1.1.12 | Убедитесь, что аргумент --kubelet-certificate-authority задан соответствующим образом. |
NTF | SaNs Kubelet включает только имя узла |
Диспетчер кластеров — Azure Kubernetes
Оператор Nexus Cluster Manager — это реализация AKS. На следующем рисунке показаны исключения Kube-Bench для диспетчера кластеров. Полный отчет об оценке контроля cis Benchmark для Служба Azure Kubernetes (AKS) можно найти здесь.
