Определение требований к безопасности для контейнеров и оркестрации контейнеров
В этом уроке приведены общие сведения о базовых показателях безопасности Azure для Служба Azure Kubernetes. Для областей, где есть много элементов управления, мы включили только первые пять, которые были упомянуты.
Дополнительные сведения о Microsoft Cloud Security Benchmark см . в статье "Общие сведения о эталонной архитектуре кибербезопасности Майкрософт" и эталоне облачной безопасности.
В таблице ниже мы включили элементы управления из полного базового плана, где:
- Элементы управления безопасностью поддерживаются, но не включены по умолчанию
- Было явное руководство, содержащее действия, которые необходимо предпринять от части клиента.
| Площадь | Элемент управления | Краткое содержание руководства |
|---|---|---|
| Безопасность сети | 1.1. Защита ресурсов Azure в виртуальных сетях | По умолчанию группа безопасности сети и таблица маршрутов автоматически создаются при создании кластера Microsoft Служба Azure Kubernetes (AKS). AKS автоматически изменяет группы безопасности сети для соответствующего потока трафика, так как службы создаются с помощью подсистем балансировки нагрузки, сопоставления портов или маршрутов входа. |
| 1.2. Мониторинг и регистрация конфигурации и трафика виртуальных сетей, подсетей и сетевых адаптеров | Используйте Microsoft Defender для облака и следуйте рекомендациям по защите сети для защиты сетевых ресурсов, используемых кластерами Служба Azure Kubernetes (AKS). | |
| 1.3. Защита критически важных веб-приложений | Используйте Шлюз приложений Azure включенную Брандмауэр веб-приложений (WAF) перед кластером AKS, чтобы обеспечить дополнительный уровень безопасности, фильтруя входящий трафик в веб-приложения. Azure WAF использует набор правил, предоставляемых Открытым проектом безопасности веб-приложений (OWASP) для атак, таких как межсайтовый скриптинг или отравление веб-кэша в отношении этого трафика. | |
| 1.4. Запрет обмена данными с известными вредоносными IP-адресами | Включите стандартную защиту распределенных отказов в обслуживании (DDoS) в виртуальных сетях, где компоненты Служба Azure Kubernetes (AKS) развертываются для защиты от атак DDoS. | |
| 1.5. Запись сетевых пакетов | Используйте Наблюдатель за сетями запись пакетов, как это необходимо для исследования аномальных действий. | |
| Ведение журналов и мониторинг | 2.1. Использование утвержденных источников синхронизации времени | узлы Служба Azure Kubernetes (AKS) используют ntp.ubuntu.com для синхронизации времени вместе с портом 123 UDP и протоколом NTP. |
| 2.2. Настройка централизованного управления журналами безопасности | Включите журналы аудита из основных компонентов Служба Azure Kubernetes (AKS), kube-apiserver и kube-controller-manager, которые предоставляются в качестве управляемой службы. | |
| 2.3. Включение ведения журнала аудита для ресурсов Azure | Используйте журналы действий для мониторинга действий в ресурсах Служба Azure Kubernetes (AKS), чтобы просмотреть все действия и их состояние. | |
| 2.4. Сбор журналов безопасности из операционных систем | Включите автоматическую установку агентов Log Analytics для сбора данных с узлов кластера AKS. Кроме того, включите автоматическую подготовку агента мониторинга Log Analytics Azure из Microsoft Defender для облака. По умолчанию автоматическая подготовка отключена. | |
| 2.5. Настройка хранения журналов безопасности | Подключение экземпляров Служба Azure Kubernetes (AKS) к Azure Monitor и установка соответствующего периода хранения рабочей области Azure Log Analytics в соответствии с требованиями к соответствию вашей организации. | |
| Управление доступом и удостоверениями | 3.1. Обслуживание инвентаризации административных учетных записей | Служба Azure Kubernetes (AKS) сам не предоставляет решение для управления удостоверениями, в котором хранятся обычные учетные записи пользователей и пароли. Интеграция Microsoft Entra позволяет предоставлять пользователям или группам доступ к ресурсам Kubernetes в пространстве имен или в кластере. |
| 3.2. Изменение паролей по умолчанию, если применимо | Служба Azure Kubernetes (AKS) не имеет концепции общих паролей по умолчанию и не предоставляет решение для управления удостоверениями, в котором можно хранить обычные учетные записи пользователей и пароли. Интеграция Microsoft Entra позволяет предоставить доступ на основе ролей к ресурсам AKS в пространстве имен или в кластере. | |
| 3.3. Использование выделенных административных учетных записей | Интеграция проверки подлинности пользователей для кластеров Служба Azure Kubernetes (AKS) с идентификатором Microsoft Entra. Войдите в кластер AKS с помощью маркера проверки подлинности Microsoft Entra. | |
| 3.4. Использование единого входа с идентификатором Microsoft Entra | Используйте единый вход для Служба Azure Kubernetes (AKS) с интегрированной проверкой подлинности Microsoft Entra для кластера AKS. | |
| 3.5. Использование многофакторной проверки подлинности для доступа на основе идентификатора Майкрософт | Интеграция проверки подлинности для Служба Azure Kubernetes (AKS) с идентификатором Microsoft Entra. | |
| Защита данных | 4.1. Сохранение инвентаризации конфиденциальной информации | Руководство. Используйте теги для ресурсов, связанных с развертываниями Azure Kubernetes Service (AKS), чтобы упростить отслеживание ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные. |
| 4.2. Изоляция систем хранения или обработки конфиденциальной информации | Логически изолируйте команды и рабочие нагрузки в одном кластере с Служба Azure Kubernetes (AKS), чтобы обеспечить наименьшее количество привилегий, ограниченных ресурсами, необходимыми для каждой команды. | |
| 4.3. Мониторинг и блокировка несанкционированной передачи конфиденциальной информации | Используйте стороннее решение из Azure Marketplace в периметре сети, которое отслеживает несанкционированную передачу конфиденциальной информации и блокирует такие передачи при предупреждении специалистов по информационной безопасности. | |
| 4.4. Шифрование всех конфиденциальных данных при передаче | Создайте контроллер входящего трафика HTTPS и используйте собственные сертификаты TLS (или, при необходимости, давайте зашифруем) для развертываний Служба Azure Kubernetes (AKS). | |
| 4.5. Использование активного средства обнаружения для идентификации конфиденциальных данных | Функции идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или вычислительных ресурсов. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям. Корпорация Майкрософт управляет базовой платформой, считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты данных клиентов от потери и раскрытия. | |
| уязвимостями | 5.1. Запуск средств автоматического сканирования уязвимостей | Используйте Microsoft Defender для облака для мониторинга Реестр контейнеров Azure включая экземпляры Служба Azure Kubernetes (AKS) для уязвимостей. Включите пакет реестров контейнеров в Microsoft Defender для облака, чтобы Microsoft Defender для облака был готов к сканированию образов, помещаемых в реестр. |
| 5.2. Развертывание автоматизированного решения по управлению исправлениями операционной системы | Обновления безопасности автоматически применяются к узлам Linux для защиты кластеров Служба Azure Kubernetes клиента (AKS). Учитываются такие обновления, как исправления безопасности для операционной системы и обновления ядра. Обратите внимание, что процесс обновления узлов Windows Server отличается от такового для узлов под управлением Linux, так как узлы Windows Server не получают ежедневных обновлений. | |
| 5.3. Развертывание автоматизированного решения по управлению исправлениями для программного обеспечения сторонних производителей | Реализуйте ручной процесс, чтобы гарантировать, что сторонние приложения кластера Служба Azure Kubernetes (AKS) остаются исправленными в течение всего времени существования кластера. Для этого может потребоваться включить автоматическое обновление, отслеживать узлы или выполнять периодические перезагрузки. | |
| 5.4. Сравнение проверок уязвимостей обратно в спину | Экспортируйте результаты проверки Microsoft Defender для облака с согласованными интервалами и сравните результаты, чтобы убедиться, что уязвимости были исправлены. | |
| 5.5. Использование процесса оценки рисков для определения приоритета исправления обнаруженных уязвимостей | Используйте оценку серьезности, предоставляемую Microsoft Defender для облака, чтобы определить приоритеты исправления уязвимостей. | |
| Инвентаризация и управление ресурсами | 6.1. Использование автоматизированного решения для обнаружения ресурсов | Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (таких как вычисления, хранилище, сеть и т. д.) в подписках. Убедитесь, что у вас есть соответствующие разрешения (на чтение) в клиенте и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках. |
| 6.2. Обслуживание метаданных ресурса | Примените теги к ресурсам Azure с метаданными, чтобы логически упорядочить их в таксономию. | |
| 6.3. Удаление несанкционированных ресурсов Azure | При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы. | |
| 6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure | Определите список утвержденных ресурсов Azure и утвержденное программное обеспечение для вычислительных ресурсов на основе бизнес-потребностей организации. | |
| 6.5. Мониторинг неутвержденных ресурсов Azure | Используйте Политика Azure для ограничения типа ресурсов, которые можно создать в подписках клиентов, используя следующие встроенные определения политик: недопустимые типы ресурсов, разрешенные типы ресурсов | |
| Безопасная конфигурация | 7.1. Создание безопасных конфигураций для всех ресурсов Azure | Используйте псевдонимы Политик Azure в пространстве имен Microsoft.ContainerService для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации для экземпляров службы Azure Kubernetes Service (AKS). Используйте встроенные определения Политики Azure. |
| 7.2. Установка безопасных конфигураций операционной системы | Кластеры Кластеров Azure Kubernetes (AKS) развертываются на виртуальных машинах узла с оптимизированной для безопасности ОС. Операционная система узла включает дополнительные меры по усилению безопасности, что позволяет сократить контактную зону атаки и обеспечить безопасность развертывания контейнеров. | |
| 7.3. Обеспечение безопасности конфигураций ресурсов Azure | Защита кластера Служба Azure Kubernetes (AKS) с помощью политик безопасности pod. Чтобы повысить безопасность кластера AKS, можно ограничить количество модулей в расписании. | |
| 7.4. Поддержание безопасных конфигураций операционной системы | кластеры Служба Azure Kubernetes (AKS) развертываются на виртуальных машинах узла с оптимизированной для безопасности ОС. Операционная система узла включает дополнительные меры по усилению безопасности, что позволяет сократить контактную зону атаки и обеспечить безопасность развертывания контейнеров. | |
| 7.5. Безопасное хранение конфигурации ресурсов Azure | Используйте Azure Repos для безопасного хранения конфигураций и управления ими при использовании пользовательских определений Политика Azure. Экспортируйте шаблон конфигурации Azure Kubernetes Service (AKS) в нотацию объектов JavaScript (JSON) при помощи Azure Resource Manager. | |
| Защита от вредоносных программ | 8.1. Использование централизованно управляемого ПО для защиты от вредоносных программ | AKS управляет жизненным циклом и операциями узлов агента от имени клиентов. Изменение ресурсов IaaS, связанных с узлами агента, не поддерживается. Тем не менее для узлов Linux можно использовать наборы управляющих программ для установки пользовательского ПО, например решения для защиты от вредоносных программ. |
| 8.2. Предварительное сканирование файлов для отправки в нечисленные ресурсы Azure | Перед сканированием всех файлов, передаваемых в ресурсы AKS. Используйте обнаружение угроз для служб хранения данных в Microsoft Defender для облака, чтобы обнаруживать вредоносные программы, переданных в учетные записи хранения, при использовании учетной записи хранения Azure в качестве хранилища данных, или для отслеживания состояния Terraform для кластера AKS. | |
| 8.3. Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей | AKS управляет жизненным циклом и операциями узлов агента от имени клиентов. Изменение ресурсов IaaS, связанных с узлами агента, не поддерживается. Тем не менее для узлов Linux можно использовать наборы управляющих программ для установки пользовательского ПО, например решения для защиты от вредоносных программ. | |
| Восстановление данных | 9.1. Обеспечение регулярных автоматических резервных копий | Резервное копирование данных с помощью соответствующего средства для типа хранилища, такого как Velero, которое может создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями. Периодически проверяйте целостность и безопасность этих резервных копий. |
| 9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом | Резервное копирование данных с помощью соответствующего средства для типа хранилища, такого как Velero, которое может создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями. | |
| 9.3. Проверка всех резервных копий, включая управляемые клиентом ключи | Периодически выполняйте восстановление данных содержимого в Velero Backup. При необходимости протестируйте восстановление в изолированной виртуальной сети. | |
| 9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей | Резервное копирование данных с помощью соответствующего средства для типа хранилища, такого как Velero, которое может создавать резервные копии постоянных томов вместе с дополнительными ресурсами кластера и конфигурациями. | |
| Реакция на инцидент | 10.1. Создание руководства по реагированию на инциденты | Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь в том, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента. |
| 10.2. Создание процедуры оценки инцидентов и определения приоритетов | Определите приоритеты, какие оповещения необходимо сначала исследовать с помощью Microsoft Defender для облака назначенных серьезности оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению. | |
| 10.3. Тестирование процедур реагирования на безопасность | Проводите упражнения для тестирования возможностей реагирования на инциденты в системах на регулярной основе. Выявляйте слабые точки и упущения и пересматривайте свой план реагирования в соответствии с обнаруженным. | |
| 10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности | Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим пользовательским данным был получен незаконный или несанкционированный доступ. | |
| 10.5. Включение оповещений системы реагирования на инциденты | Экспорт Microsoft Defender для облака оповещений и рекомендаций с помощью функции непрерывного экспорта. Непрерывный экспорт позволяет экспортировать оповещения и рекомендации как вручную, так и в постоянном, непрерывном режиме. | |
| Тесты на проникновение и попытки нарушения безопасности "красной командой" | 11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности | Следуйте правилам взаимодействия Майкрософт, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. |