Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Operator Nexus est conçu et conçu pour détecter et défendre contre les dernières menaces de sécurité et respecter les exigences strictes des normes de sécurité gouvernementales et industrielles. Deux pierres angulaires constituent la base de son architecture de sécurité :
- Sécurité par défaut : la résilience de sécurité est une partie inhérente de la plateforme sans aucune modification de configuration nécessaire pour l’utiliser en toute sécurité.
- Supposer une violation : l’hypothèse sous-jacente est que n’importe quel système peut être compromis et, par conséquent, l’objectif est de réduire l’impact d’une violation de sécurité si un système se produit.
Azure Operator Nexus réalise ce qui précède en tirant parti des outils de sécurité natifs du cloud Microsoft qui vous donnent la possibilité d’améliorer votre posture de sécurité cloud tout en vous permettant de protéger vos charges de travail d’opérateur.
Protection à l’échelle de la plateforme via Microsoft Defender pour cloud
Microsoft Defender pour Cloud est une plateforme de protection des applications natives dans le cloud (CNAPP) qui fournit les fonctionnalités de sécurité nécessaires pour renforcer vos ressources, gérer votre posture de sécurité, protéger contre les cyberattaques et simplifier la gestion de la sécurité. Voici quelques-unes des principales fonctionnalités de Defender for Cloud qui s’appliquent à la plateforme Azure Operator Nexus :
- Évaluation des vulnérabilités pour les machines virtuelles et les registres de conteneurs : activez facilement les solutions d’évaluation des vulnérabilités pour détecter, gérer et résoudre les vulnérabilités. Affichez, examinez et corrigez les résultats directement à partir de Defender pour Cloud.
- Sécurité cloud hybride : obtenez une vue unifiée de la sécurité sur toutes vos charges de travail locales et cloud. Appliquez des stratégies de sécurité et évaluez en permanence la sécurité de vos charges de travail cloud hybrides pour garantir la conformité aux normes de sécurité. Collectez, recherchez et analysez des données de sécurité à partir de plusieurs sources, notamment des pare-feu et d’autres solutions partenaires.
- Alertes de protection contre les menaces - L'analyse comportementale avancée et le Microsoft Intelligent Security Graph offrent un avantage sur les cyberattaques en constante évolution. L'analyse comportementale intégrée et l'apprentissage automatique peuvent identifier les attaques et les failles zero-day. Surveillez les réseaux, les machines, le stockage Azure et les services cloud pour les attaques entrantes et l’activité après violation. Simplifiez l’investigation avec des outils interactifs et des informations contextuelles sur les menaces.
- Évaluation de la conformité par rapport à diverses normes de sécurité : Defender pour Cloud évalue en permanence votre environnement cloud hybride pour analyser les facteurs de risque en fonction des contrôles et des meilleures pratiques dans azure Security Benchmark. Lorsque vous activez les fonctionnalités de sécurité avancées, vous pouvez appliquer une gamme d’autres normes du secteur, normes réglementaires et benchmarks en fonction des besoins de votre organisation. Ajoutez des normes et suivez votre conformité à partir du tableau de bord de conformité réglementaire.
- Fonctionnalités de sécurité de conteneur : bénéficiez de la gestion des vulnérabilités et de la protection contre les menaces en temps réel sur vos environnements conteneurisés.
Il existe des options de sécurité améliorées qui vous permettent de protéger vos serveurs hôtes locaux ainsi que les clusters Kubernetes qui exécutent vos charges de travail d’opérateur. Ces options sont décrites ci-dessous.
Protection du système d’exploitation hôte de machine nue via Microsoft Defender pour Endpoint
Les machines bare-metal Nexus d’Opérateur Azure qui hébergent les serveurs de calcul d’infrastructure locaux sont protégées lorsque vous choisissez d’activer la solution Microsoft Defender pour Endpoint. Microsoft Defender pour point de terminaison fournit des fonctionnalités d’antivirus préventif (AV), de détection et de réponse de point de terminaison (EDR) et de gestion des vulnérabilités.
Vous avez la possibilité d’activer Microsoft Defender pour endpoint protection une fois que vous avez sélectionné et activé un plan Microsoft Defender pour serveurs , car l’activation du plan Defender pour serveurs est une condition préalable pour Microsoft Defender pour point de terminaison. Une fois activée, la configuration de Microsoft Defender pour point de terminaison est gérée par la plateforme pour garantir une sécurité et des performances optimales et réduire le risque de mauvaises configurations.
Protection des charges de travail de cluster Kubernetes via Microsoft Defender pour conteneurs
Les clusters Kubernetes locaux qui exécutent vos charges de travail d’opérateur sont protégés lorsque vous choisissez d’activer la solution Microsoft Defender pour conteneurs. Microsoft Defender pour conteneurs fournit une protection contre les menaces au moment de l’exécution pour les clusters et les nœuds Linux, ainsi que le renforcement de l’environnement de cluster contre les configurations incorrectes.
Vous avez la possibilité d’activer la protection Defender pour conteneurs dans Defender for Cloud en activant le plan Defender pour conteneurs.
La sécurité cloud est une responsabilité partagée
Il est important de comprendre que dans un environnement cloud, la sécurité est une responsabilité partagée entre vous et le fournisseur de cloud. Les responsabilités varient en fonction du type de service cloud sur lequel vos charges de travail s’exécutent, qu’il s’agisse de logiciels en tant que service (SaaS), de plateforme en tant que service (PaaS) ou d’infrastructure en tant que service (IaaS), ainsi que de l’emplacement où les charges de travail sont hébergées , au sein du fournisseur de cloud ou de vos propres centres de données locaux.
Les charges de travail Nexus d’opérateur Azure s’exécutent sur des serveurs dans vos centres de données. Vous contrôlez donc les modifications apportées à votre environnement local. Microsoft met régulièrement à disposition de nouvelles versions de plateforme qui contiennent la sécurité et d’autres mises à jour. Vous devez ensuite décider quand appliquer ces versions à votre environnement en fonction des besoins métier de votre organisation.
Analyse des benchmarks de sécurité Kubernetes
Les outils d’évaluation de sécurité standard du secteur sont utilisés pour analyser la plateforme Azure Operator Nexus pour la conformité de la sécurité. Ces outils incluent OpenSCAP, pour évaluer la conformité avec les contrôles STIG (Kubernetes Security Technical Implementation Guide) et Kube-Bench d’Aqua Security, afin d’évaluer la conformité avec les benchmarks Kubernetes Center for Internet Security (CIS).
Certains contrôles ne sont pas techniquement réalisables pour l’implémentation dans l’environnement Nexus de l’opérateur Azure, et ces contrôles à l’exception sont documentés ci-dessous pour les couches Nexus applicables.
Les contrôles environnementaux tels que les tests RBAC et Compte de service ne sont pas évalués par ces outils, car les résultats peuvent différer en fonction des besoins des clients.
NTF = Non techniquement réalisable
OpenSCAP STIG - V2R2
Cluster
| STIG ID | Description de la recommandation | Statut | Problème |
|---|---|---|---|
| V-242386 | Le serveur d’API Kubernetes doit avoir l’indicateur de port non sécurisé désactivé | NTF | Cette vérification est déconseillée dans la version 1.24.0 et ultérieure |
| V-242397 | Kubernetes kubelet staticPodPath ne doit pas activer les pods statiques | NTF | Uniquement activé pour les nœuds de contrôle, requis pour kubeadm |
| V-242403 | Le serveur d’API Kubernetes doit générer des enregistrements d’audit qui identifient le type d’événement qui s’est produit, identifient la source de l’événement, contiennent les résultats de l’événement, identifient tous les utilisateurs et identifient tous les conteneurs associés à l’événement | NTF | Certaines demandes et réponses d’API contiennent des secrets et ne sont donc pas capturées dans les journaux d’audit |
| V-242424 | Kubernetes Kubelet doit activer tlsPrivateKeyFile pour l’authentification du client pour sécuriser le service | NTF | Kubelet SANs contient uniquement le nom d’hôte |
| V-242425 | Kubernetes Kubelet doit activer tlsCertFile pour l’authentification du client afin de sécuriser le service. | NTF | Kubelet SANs contient uniquement le nom d’hôte |
| V-242434 | Kubernetes Kubelet doit activer la protection du noyau. | NTF | L’activation de la protection du noyau n’est pas réalisable pour kubeadm dans Nexus |
Nexus Kubernetes Cluster
| STIG ID | Description de la recommandation | Statut | Problème |
|---|---|---|---|
| V-242386 | Le serveur d’API Kubernetes doit avoir l’indicateur de port non sécurisé désactivé | NTF | Cette vérification est déconseillée dans la version 1.24.0 et ultérieure |
| V-242397 | Kubernetes kubelet staticPodPath ne doit pas activer les pods statiques | NTF | Uniquement activé pour les nœuds de contrôle, requis pour kubeadm |
| V-242403 | Le serveur d’API Kubernetes doit générer des enregistrements d’audit qui identifient le type d’événement qui s’est produit, identifient la source de l’événement, contiennent les résultats de l’événement, identifient tous les utilisateurs et identifient tous les conteneurs associés à l’événement | NTF | Certaines demandes et réponses d’API contiennent des secrets et ne sont donc pas capturées dans les journaux d’audit |
| V-242424 | Kubernetes Kubelet doit activer tlsPrivateKeyFile pour l’authentification du client pour sécuriser le service | NTF | Kubelet SANs contient uniquement le nom d’hôte |
| V-242425 | Kubernetes Kubelet doit activer tlsCertFile pour l’authentification du client afin de sécuriser le service. | NTF | Kubelet SANs contient uniquement le nom d’hôte |
| V-242434 | Kubernetes Kubelet doit activer la protection du noyau. | NTF | L’activation de la protection du noyau n’est pas réalisable pour kubeadm dans Nexus |
Gestionnaire de clusters - Azure Kubernetes
En tant que service sécurisé, Azure Kubernetes Service (AKS) est conforme aux normes SOC, ISO, PCI DSS et HIPAA. L’image suivante montre les exceptions d’autorisation de fichier OpenSCAP pour l’implémentation AKS du Gestionnaire de clusters.
Aquasec Kube-Bench - CIS 1.9
Cluster
| Identifiants CIS | Description de la recommandation | Statut | Problème |
|---|---|---|---|
| 1 | Composants du plan de contrôle | ||
| 1.1 | Fichiers de configuration de nœuds de plan de contrôle | ||
| 1.1.12 | Vérifiez que la propriété du répertoire de données etcd est définie sur etcd:etcd |
NTF | Nexus est root:root, l’utilisateur etcd n’est pas configuré pour kubeadm |
| 1.2 | Serveur d’API | ||
| 1.1.12 | Vérifiez que l’argument --kubelet-certificate-authority est défini selon les besoins |
NTF | Kubelet SANs incluent uniquement le nom d'hôte |
Nexus Kubernetes Cluster
| Identifiants CIS | Description de la recommandation | Statut | Problème |
|---|---|---|---|
| 1 | Composants du plan de contrôle | ||
| 1.1 | Fichiers de configuration de nœud du plan de contrôle | ||
| 1.1.12 | Vérifiez que la propriété du répertoire de données etcd est définie sur etcd:etcd |
NTF | Nexus est root:root, l’utilisateur etcd n’est pas configuré pour kubeadm |
| 1.2 | Serveur d’API | ||
| 1.1.12 | Vérifiez que l’argument --kubelet-certificate-authority est défini selon les besoins |
NTF | Les SANs de Kubelet incluent uniquement le nom d'hôte. |
Gestionnaire de clusters - Azure Kubernetes
Le Operator Nexus Cluster Manager est une implémentation AKS. L’image suivante montre les exceptions Kube-Bench pour le Gestionnaire de clusters. Vous trouverez ici un rapport complet sur l’évaluation du contrôle CIS Benchmark pour Azure Kubernetes Service (AKS)
Chiffrement au repos
Azure Operator Nexus fournit un stockage persistant pour les charges de travail virtualisées et en conteneur. Les données sont stockées et chiffrées au repos sur les appliances de stockage dans le rack d’agrégation Nexus de l’opérateur Azure. Pour plus d’informations, consultez la documentation de référence de l’appliance de stockage.
Les clusters Kubernetes Nexus et les machines virtuelles Nexus consomment du stockage à partir d’un disque local. Les données stockées sur des disques locaux sont chiffrées à l’aide de LUKS2 avec l’algorithme AES256 bits en mode XTS. Toutes les clés de chiffrement sont gérées par la plateforme.