Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Operator Nexus está diseñado y diseñado para detectar y defenderse contra las amenazas de seguridad más recientes y cumplir con los estrictos requisitos de los estándares de seguridad gubernamentales y del sector. Dos piedras angulares forman la base de su arquitectura de seguridad:
- Seguridad de forma predeterminada : la resistencia de seguridad es una parte inherente de la plataforma con poco o ningún cambio de configuración necesario para usarlo de forma segura.
- Asumir vulneración : la suposición subyacente es que cualquier sistema se puede poner en peligro y, como tal, el objetivo es minimizar el impacto de una infracción de seguridad si se produce uno.
El Operador de Azure Nexus se da cuenta de lo anterior aprovechando las herramientas de seguridad nativas de la nube de Microsoft que le ofrecen la capacidad de mejorar la posición de seguridad en la nube, al tiempo que le permite proteger las cargas de trabajo del operador.
Protección para toda la plataforma a través de Microsoft Defender for Cloud
Microsoft Defender for Cloud es una plataforma de protección de aplicaciones nativas de la nube (CNAPP) que proporciona las funcionalidades de seguridad necesarias para proteger los recursos, administrar su posición de seguridad, protegerse frente a ciberataques y simplificar la administración de la seguridad. Estas son algunas de las características clave de Defender for Cloud que se aplican a la plataforma de Azure Operator Nexus:
- Evaluación de vulnerabilidades para máquinas virtuales y registros de contenedor : habilite fácilmente soluciones de evaluación de vulnerabilidades para detectar, administrar y resolver vulnerabilidades. Vea, investigue y corrija los resultados directamente desde Defender for Cloud.
- Seguridad en la nube híbrida : obtenga una vista unificada de la seguridad en todas las cargas de trabajo locales y en la nube. Aplique directivas de seguridad y evalúe continuamente la seguridad de las cargas de trabajo de nube híbrida para garantizar el cumplimiento de los estándares de seguridad. Recopile, busque y analice los datos de seguridad de varios orígenes, incluidos los firewalls y otras soluciones de asociados.
- Alertas de protección contra amenazas: el análisis avanzado de comportamiento y Microsoft Intelligent Security Graph proporcionan una ventaja frente a los ciberataques en constante evolución. El análisis de comportamiento integrado y el aprendizaje automático pueden identificar ataques y vulnerabilidades de seguridad de día cero. Supervise redes, máquinas, Azure Storage y servicios en la nube para detectar ataques entrantes y actividad posterior a la infracción. Optimice la investigación con herramientas interactivas y inteligencia sobre amenazas contextual.
- Evaluación de cumplimiento con una variedad de estándares de seguridad : Defender for Cloud evalúa continuamente el entorno de nube híbrida para analizar los factores de riesgo según los controles y los procedimientos recomendados en Azure Security Benchmark. Al habilitar las características de seguridad avanzadas, puede aplicar una variedad de otros estándares del sector, estándares normativos y pruebas comparativas según las necesidades de su organización. Agregue estándares y realice un seguimiento del cumplimiento con ellos desde el panel de cumplimiento normativo.
- Características de seguridad de contenedores : se beneficia de la administración de vulnerabilidades y la protección contra amenazas en tiempo real en los entornos en contenedores.
Hay opciones de seguridad mejoradas que permiten proteger los servidores host locales, así como los clústeres de Kubernetes que ejecutan las cargas de trabajo del operador. Estas opciones se describen a continuación.
Protección del sistema operativo del host de máquina física a través de Microsoft Defender para Endpoint
Las máquinas bare-metal (BMM) de Azure Operator Nexus, que hospedan los servidores de cómputo de infraestructura local, están protegidas al optar por habilitar la solución Microsoft Defender para punto de conexión. Microsoft Defender para punto de conexión proporciona antivirus preventivo (AV), detección y respuesta de puntos de conexión (EDR) y funcionalidades de administración de vulnerabilidades.
Tiene la opción de habilitar Microsoft Defender para Endpoint una vez que haya seleccionado y activado un plan de Microsoft Defender para Servidores, ya que la activación del plan de Defender para Servidores es un requisito previo para Microsoft Defender para Endpoint. Una vez habilitada, la plataforma administra la configuración de Microsoft Defender para punto de conexión para garantizar una seguridad y un rendimiento óptimos y reducir el riesgo de configuraciones incorrectas.
Protección de cargas de trabajo del clúster de Kubernetes a través de Microsoft Defender para contenedores
Los clústeres de Kubernetes locales que ejecutan las cargas de trabajo del operador están protegidos al optar por habilitar la solución Microsoft Defender for Containers. Microsoft Defender para contenedores proporciona protección contra amenazas en tiempo de ejecución para clústeres y nodos de Linux, así como protección del entorno de clúster frente a configuraciones incorrectas.
Tiene la opción de habilitar la protección de Defender for Containers en Defender for Cloud activando el plan de Defender for Containers.
La seguridad en la nube es una responsabilidad compartida
Es importante comprender que, en un entorno de nube, la seguridad es una responsabilidad compartida entre usted y el proveedor de nube. Las responsabilidades varían en función del tipo de servicio en la nube en el que se ejecutan las cargas de trabajo, ya sea software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS), así como en el lugar en que se hospedan las cargas de trabajo, dentro del proveedor de nube o de sus propios centros de datos locales.
Las cargas de trabajo de Azure Operator Nexus se ejecutan en servidores de sus centros de datos, por lo que tiene control sobre los cambios en su entorno local. Microsoft pone periódicamente nuevas versiones de plataforma disponibles que contienen seguridad y otras actualizaciones. A continuación, debe decidir cuándo aplicar estas versiones a su entorno según corresponda para las necesidades empresariales de su organización.
Análisis de pruebas comparativas de seguridad de Kubernetes
Las herramientas de pruebas comparativas de seguridad estándar del sector se usan para examinar la plataforma Azure Operator Nexus para el cumplimiento de la seguridad. Estas herramientas incluyen OpenSCAP, para evaluar el cumplimiento de los controles de la Guía de Implementación Técnica de Seguridad de Kubernetes (STIG) y Kube-Bench de Aqua Security, para evaluar el cumplimiento con los puntos de referencia de Kubernetes del Center for Internet Security (CIS).
Algunos controles no son técnicamente factibles de implementar en el entorno de Azure Operator Nexus, y estos controles exceptuados se documentan a continuación para las capas Nexus aplicables.
Estos controles ambientales, como RBAC y las pruebas de cuentas de servicio, no se evalúan mediante estas herramientas, ya que los resultados pueden diferir en función de los requisitos del cliente.
NTF = No técnicamente factible
OpenSCAP STIG - V2R2
Clúster
| ID de STIG | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| V-242386 | El servidor de API de Kubernetes debe tener deshabilitada la marca de puerto no segura. | NTF | Esta comprobación está en desuso en v1.24.0 y versiones posteriores. |
| V-242397 | El kubelet staticPodPath de Kubernetes no debe habilitar pods estáticos. | NTF | Solo está habilitado para los nodos de control, necesarios para kubeadm. |
| V-242403 | El servidor de API de Kubernetes debe generar registros de auditoría que identifiquen qué tipo de evento se ha producido, identificar el origen del evento, contener los resultados del evento, identificar a los usuarios e identificar los contenedores asociados al evento. | NTF | Algunas solicitudes y respuestas de API contienen secretos y, por lo tanto, no se capturan en los registros de auditoría. |
| V-242424 | Kubelet de Kubernetes debe habilitar tlsPrivateKeyFile para la autenticación de cliente para proteger el servicio | NTF | Las SAN de Kubelet solo contienen el nombre de host |
| V-242425 | Kubelet de Kubernetes debe habilitar tlsCertFile para la autenticación de cliente para proteger el servicio. | NTF | Las SAN de Kubelet solo contienen el nombre de host |
| V-242434 | Kubelet de Kubernetes debe habilitar la protección del kernel. | NTF | La habilitación de la protección del kernel no es factible para kubeadm en Nexus |
Clúster de Nexus Kubernetes
| ID de STIG | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| V-242386 | El servidor de API de Kubernetes debe tener deshabilitada la marca de puerto no segura. | NTF | Esta comprobación está en desuso en v1.24.0 y versiones posteriores. |
| V-242397 | El kubelet staticPodPath de Kubernetes no debe habilitar pods estáticos. | NTF | Solo está habilitado para los nodos de control, necesarios para kubeadm. |
| V-242403 | El servidor de API de Kubernetes debe generar registros de auditoría que identifiquen qué tipo de evento se ha producido, identificar el origen del evento, contener los resultados del evento, identificar a los usuarios e identificar los contenedores asociados al evento. | NTF | Algunas solicitudes y respuestas de API contienen secretos y, por lo tanto, no se capturan en los registros de auditoría. |
| V-242424 | Kubelet de Kubernetes debe habilitar tlsPrivateKeyFile para la autenticación de cliente para proteger el servicio | NTF | Las SAN de Kubelet solo contienen el nombre de host |
| V-242425 | Kubelet de Kubernetes debe habilitar tlsCertFile para la autenticación de cliente para proteger el servicio. | NTF | Las SAN de Kubelet solo contienen el nombre de host |
| V-242434 | Kubelet de Kubernetes debe habilitar la protección del kernel. | NTF | La habilitación de la protección del kernel no es factible para kubeadm en Nexus |
Administrador de clústeres: Azure Kubernetes
Como servicio seguro, Azure Kubernetes Service (AKS) cumple con los estándares SOC, ISO, PCI DSS y HIPAA. En la imagen siguiente se muestran las excepciones de permisos de archivo OpenSCAP para la implementación del administrador de clúster de AKS.
Aquasec Kube-Bench - CIS 1.9
Clúster
| Id. de CIS | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| 1 | Componentes del plano de control | ||
| 1.1 | Archivos de configuración del nodo del plano de control | ||
| 1.1.12 | Asegúrese de que la propiedad del directorio de datos etcd esté establecida en etcd:etcd |
NTF | Nexus es root:root, el usuario de etcd no está configurado en kubeadm |
| 1.2 | Servidor de API | ||
| 1.1.12 | Asegúrese de que el --kubelet-certificate-authority argumento está establecido según corresponda. |
NTF | Las SAN de Kubelet solo incluyen el nombre de host |
Clúster de Nexus Kubernetes
| Id. de CIS | Descripción de la recomendación | Estado | Cuestión |
|---|---|---|---|
| 1 | Componentes del plano de control | ||
| 1.1 | Archivos de configuración del nodo del plano de control | ||
| 1.1.12 | Asegúrese de que la propiedad del directorio de datos etcd esté establecida en etcd:etcd |
NTF | Nexus es root:root, el usuario de etcd no está configurado para kubeadm |
| 1.2 | Servidor de API | ||
| 1.1.12 | Asegúrese de que el --kubelet-certificate-authority argumento está establecido según corresponda. |
NTF | Las SAN de Kubelet solo incluyen el nombre de host |
Administrador de clústeres: Azure Kubernetes
Operator Nexus Cluster Manager es una implementación de AKS. En la imagen siguiente se muestran las excepciones de Kube-Bench para el Cluster Manager. Puede encontrar un informe completo de la evaluación del control de CIS Benchmark para Azure Kubernetes Service (AKS) aquí.
Cifrado en reposo
Azure Operator Nexus proporciona almacenamiento persistente para cargas de trabajo virtualizadas y en contenedores. Los datos se almacenan y cifran en reposo en los dispositivos de almacenamiento del rack de agregador Nexus de Azure Operator. Para más información, consulte la documentación de referencia del dispositivo de almacenamiento.
Los clústeres de Nexus Kubernetes y las máquinas virtuales Nexus consumen almacenamiento desde un disco local. Los datos almacenados en discos locales se cifran mediante LUKS2 con el algoritmo de bits AES256 en modo XTS. Todas las claves de cifrado son administradas por la plataforma.