你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 运营商关系安全
Azure 运营商关系的设计和构建是为了检测和防御最新的安全威胁,并遵守政府和行业安全标准的严格要求。 两大基石构成了其安全体系结构的基础:
- 默认安全性 - 安全复原能力是平台固有的一部分,几乎不需要任何配置更改即可安全使用。
- 假设存在漏洞 - 基本假设是任何系统都可能遭到入侵,因此目标是在出现安全漏洞时将其影响降至最低。
Azure 运营商关系通过利用 Microsoft 云原生安全工具实现上述目标,这些工具使你能够改善云安全态势,同时允许你保护运营商工作负荷。
通过 Microsoft Defender for Cloud 提供平台范围的保护
Microsoft Defender for Cloud 是一个云原生应用程序保护平台 (CNAPP),可提供强化资源、管理安全态势、防范网络攻击和简化安全管理所需的安全功能。 下面是 Defender for Cloud 的一些主要功能,这些功能适用于 Azure 运营商关系平台:
- 针对虚拟机和容器注册表的漏洞评估 - 轻松启用漏洞评估解决方案来发现、管理和解决漏洞。 直接从 Defender for Cloud 中查看、调查和修正结果。
- 混合云安全 - 在所有本地工作负荷和云工作负荷上获得统一的安全视图。 应用安全策略并持续评估混合云工作负载的安全性,确保符合安全标准。 收集、搜索并分析来自多个源(包括防火墙和其他合作伙伴解决方案)的安全数据。
- 威胁防护警报 - 高级行为分析和 Microsoft Intelligent Security Graph 针对不断演变的网络攻击提供防护边界。 内置行为分析和机器学习可识别攻击和零时差攻击。 监视网络、计算机、Azure 存储和云服务是否出现即将来袭的攻击和攻破后活动。 使用交互工具和上下文威胁智能简化调查。
- 根据各种安全标准进行合规性评估 - Defender for Cloud 持续评估混合云环境,根据 Azure 安全基准中的控制措施和最佳做法来分析风险因素。 启用高级安全功能后,可以根据组织的需要应用一系列其他行业标准、监管标准和基准。 添加标准并在监管合规性仪表板中跟踪是否符合这些标准。
- 容器安全功能 - 获得在容器化环境中进行漏洞管理和实时威胁保护的好处。
有增强的安全选项可让你保护本地主机服务器以及运行运营商工作负荷的 Kubernetes 群集。 下面介绍这些选项。
通过 Microsoft Defender for Endpoint 进行裸机主机操作系统保护
选择启用 Microsoft Defender for Endpoint 解决方案时,托管本地基础结构计算服务器的 Azure 运营商关系裸机 (BMM) 会受到保护。 Microsoft Defender for Endpoint 提供预防性防病毒 (AV)、终结点检测和响应 (EDR) 以及漏洞管理功能。
选择并激活 Microsoft Defender for Servers 计划后,可以选择启用 Microsoft Defender for Endpoint 保护,因为 Defender for Servers 计划激活是 Microsoft Defender for Endpoint 的先决条件。 一旦启用该保护,Microsoft Defender for Endpoint 配置就将由平台管理,以确保最佳的安全性和性能,并降低发生配置错误的风险。
通过 Microsoft Defender for Containers 进行 Kubernetes 群集工作负荷保护
选择启用 Microsoft Defender for Containers 解决方案时,运行运营商工作负荷的本地 Kubernetes 群集会受到保护。 Microsoft Defender for Containers 为群集和 Linux 节点提供运行时威胁防护,并强化群集环境以防止配置错误。
可以选择通过激活 Defender for Containers 计划在 Defender for Cloud 中启用 Defender for Containers 保护。
云安全是一项共同的责任
重要的是要了解,在云环境中,安全性是你和云提供商的共同责任。 责任取决于工作负荷运行时所基于的云服务类型(不管是服务型软件 (SaaS)、平台即服务 (PaaS) 还是基础结构即服务 (IaaS)),以及工作负荷的托管位置(是在云提供商的数据中心内,还是在你自己的本地数据中心内)。
Azure 运营商关系工作负荷在数据中心的服务器上运行,因此你可以控制对本地环境的更改。 Microsoft 定期发布包含安全更新和其他更新的新平台版本。 然后,你必须根据组织的业务需求决定何时将这些版本应用到你的环境中。
Kubernetes 安全基准扫描
行业标准安全基准测试工具用于扫描 Azure 运营商关系平台的安全符合性。 这些工具包括 OpenSCAP,用于评估 Kubernetes 安全技术实施指南 (STIG) 控制措施的符合性,以及 Aqua Security 的 Kube-Bench,以评估与 Internet 安全中心 (CIS) Kubernetes 基准的合规性。
某些控件在技术上不可行,无法在 Azure 运营商关系环境中实现,这些控件除外,下面介绍了适用于适用的 Nexus 层。
这些工具不会评估环境控制(如 RBAC 和服务帐户测试),因为结果可能因客户要求而异。
NTF = 在技术上不可行
OpenSCAP STIG - V2R2
Cluster
STIG ID | 建议说明 | Status | 问题 |
---|---|---|---|
V-242386 | Kubernetes API 服务器必须禁用不安全的端口标志 | NTF | v1.24.0 及更高版本中已弃用此检查 |
V-242397 | Kubernetes kubelet staticPodPath 不得启用静态 Pod | NTF | 仅对控制节点启用,是 kubeadm 所需 |
V-242403 | Kubernetes API 服务器必须生成审核记录,这些记录标识事件的发生类型、标识事件源、包含事件结果、标识任何用户以及标识与事件关联的任何容器 | NTF | 某些 API 请求和响应包含机密,因此不会在审核日志中捕获 |
V-242424 | Kubernetes Kubelet 必须启用 tlsPrivateKeyFile,以便客户端身份验证来保护服务 | NTF | Kubelet SAN 仅包含主机名 |
V-242425 | Kubernetes Kubelet 必须启用 tlsCertFile,以便客户端身份验证来保护服务。 | NTF | Kubelet SAN 仅包含主机名 |
V-242434 | Kubernetes Kubelet 必须启用内核保护。 | NTF | 对于 Nexus 中的 kubeadm,启用内核保护不可行 |
Nexus Kubernetes 群集
STIG ID | 建议说明 | Status | 问题 |
---|---|---|---|
V-242386 | Kubernetes API 服务器必须禁用不安全的端口标志 | NTF | v1.24.0 及更高版本中已弃用此检查 |
V-242397 | Kubernetes kubelet staticPodPath 不得启用静态 Pod | NTF | 仅对控制节点启用,是 kubeadm 所需 |
V-242403 | Kubernetes API 服务器必须生成审核记录,这些记录标识事件的发生类型、标识事件源、包含事件结果、标识任何用户以及标识与事件关联的任何容器 | NTF | 某些 API 请求和响应包含机密,因此不会在审核日志中捕获 |
V-242424 | Kubernetes Kubelet 必须启用 tlsPrivateKeyFile,以便客户端身份验证来保护服务 | NTF | Kubelet SAN 仅包含主机名 |
V-242425 | Kubernetes Kubelet 必须启用 tlsCertFile,以便客户端身份验证来保护服务。 | NTF | Kubelet SAN 仅包含主机名 |
V-242434 | Kubernetes Kubelet 必须启用内核保护。 | NTF | 对于 Nexus 中的 kubeadm,启用内核保护不可行 |
群集管理器 - Azure Kubernetes
Azure Kubernetes 服务 (AKS) 是符合 SOC、ISO、PCI DSS 和 HIPAA 标准的安全服务。 下图显示了群集管理器 AKS 实现的 OpenSCAP 文件权限异常。
Aquasec Kube-Bench - CIS 1.9
Cluster
CIS ID | 建议说明 | Status | 问题 |
---|---|---|---|
1 | 控制平面组件 | ||
1.1 | 控制平面节点配置文件 | ||
1.1.12 | 确保 etcd 数据目录所有权设为 etcd:etcd |
NTF | Nexus 为 root:root ,etcd 用户未为 kubeadm 配置 |
1.2 | API 服务器 | ||
1.1.12 | 确保根据需要设置 --kubelet-certificate-authority 参数 |
NTF | Kubelet SAN 仅包含主机名 |
Nexus Kubernetes 群集
CIS ID | 建议说明 | Status | 问题 |
---|---|---|---|
1 | 控制平面组件 | ||
1.1 | 控制平面节点配置文件 | ||
1.1.12 | 确保 etcd 数据目录所有权设为 etcd:etcd |
NTF | Nexus 为 root:root ,etcd 用户未为 kubeadm 配置 |
1.2 | API 服务器 | ||
1.1.12 | 确保根据需要设置 --kubelet-certificate-authority 参数 |
NTF | Kubelet SAN 仅包含主机名 |
群集管理器 - Azure Kubernetes
运营商关系群集管理器是 AKS 实现。 下图显示了群集管理器的 Kube-Bench 异常。 可在此处找到有关 Azure Kubernetes 服务 (AKS) 的 CIS 基准控制评估的完整报告