Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Operator Platformy Azure Nexus został zaprojektowany i opracowany w celu wykrywania i obrony przed najnowszymi zagrożeniami bezpieczeństwa oraz zgodności z rygorystycznymi wymaganiami rządu i branżowymi standardami zabezpieczeń. Dwa kamienie węgielne stanowią podstawę swojej architektury zabezpieczeń:
- Zabezpieczenia domyślnie — odporność zabezpieczeń jest nieodłączną częścią platformy z niewielkimi zmianami konfiguracji potrzebnymi do bezpiecznego korzystania z niej.
- Przyjmij naruszenie — podstawowym założeniem jest to, że każdy system może zostać naruszony, a w związku z tym celem jest zminimalizowanie wpływu naruszenia zabezpieczeń w przypadku wystąpienia takiego naruszenia.
Operator platformy Azure Nexus zdaje sobie sprawę z powyższego, wykorzystując natywne dla chmury narzędzia zabezpieczeń firmy Microsoft, które zapewniają możliwość poprawy stanu zabezpieczeń chmury, umożliwiając jednocześnie ochronę obciążeń operatorów.
Ochrona całej platformy za pośrednictwem usługi Microsoft Defender for Cloud
Usługa Microsoft Defender for Cloud to natywna dla chmury platforma ochrony aplikacji (CNAPP), która zapewnia możliwości zabezpieczeń potrzebne do wzmacniania zasobów, zarządzania stanem zabezpieczeń, ochrony przed cyberatakami i usprawnienia zarządzania zabezpieczeniami. Oto niektóre z kluczowych funkcji usługi Defender for Cloud, które mają zastosowanie do platformy Azure Operator Nexus:
- Ocena luk w zabezpieczeniach dla maszyn wirtualnych i rejestrów kontenerów — łatwe włączanie rozwiązań do oceny luk w zabezpieczeniach w celu odnajdywania luk w zabezpieczeniach, zarządzania nimi i ich rozwiązywania. Wyświetlanie, badanie i korygowanie wyników bezpośrednio z poziomu usługi Defender for Cloud.
- Zabezpieczenia chmury hybrydowej — uzyskaj ujednolicony widok zabezpieczeń we wszystkich obciążeniach lokalnych i w chmurze. Zastosuj zasady zabezpieczeń i stale oceniaj zabezpieczenia obciążeń chmury hybrydowej, aby zapewnić zgodność ze standardami zabezpieczeń. Zbieranie, wyszukiwanie i analizowanie danych zabezpieczeń z wielu źródeł, w tym zapór i innych rozwiązań partnerskich.
- Alerty ochrony przed zagrożeniami — zaawansowana analiza behawioralna i program Microsoft Intelligent Security Graph zapewniają przewagę nad zmieniającymi się cyberatakami. Wbudowana analiza behawioralna i uczenie maszynowe mogą identyfikować ataki i exploity zero-day. Monitorowanie sieci, maszyn, usługi Azure Storage i usług w chmurze pod kątem przychodzących ataków i działań po naruszeniu zabezpieczeń. Usprawnij badanie za pomocą interaktywnych narzędzi i kontekstowej analizy zagrożeń.
- Ocena zgodności pod kątem różnych standardów zabezpieczeń — usługa Defender for Cloud stale ocenia środowisko chmury hybrydowej, aby analizować czynniki ryzyka zgodnie z mechanizmami kontroli i najlepszymi rozwiązaniami w ramach testu porównawczego zabezpieczeń platformy Azure. Po włączeniu zaawansowanych funkcji zabezpieczeń można zastosować szereg innych standardów branżowych, standardów regulacyjnych i testów porównawczych zgodnie z potrzebami organizacji. Dodaj standardy i śledź zgodność z nimi z poziomu pulpitu nawigacyjnego zgodności z przepisami.
- Funkcje zabezpieczeń kontenerów — korzystaj z zarządzania lukami w zabezpieczeniach i ochrony przed zagrożeniami w czasie rzeczywistym w środowiskach konteneryzowanych.
Dostępne są ulepszone opcje zabezpieczeń, które umożliwiają ochronę lokalnych serwerów hostów, a także klastrów Kubernetes, które uruchamiają obciążenia operatora. Poniżej opisano te opcje.
Ochrona systemu operacyjnego hosta maszyny fizycznej za pomocą Microsoft Defender dla punktu końcowego
Maszyny wirtualne bez systemu operacyjnego (BM) operatora platformy Azure, które hostują serwery obliczeniowe infrastruktury lokalnej, są chronione po wybraniu opcji włączenia rozwiązania Microsoft Defender for Endpoint . Usługa Microsoft Defender dla punktu końcowego zapewnia funkcje zapobiegania programowi antywirusowemu (AV), wykrywaniu punktów końcowych i reagowaniu na nie (EDR) oraz funkcjom zarządzania lukami w zabezpieczeniach.
Możesz włączyć usługę Microsoft Defender for Endpoint Protection po wybraniu i aktywowaniu planu usługi Microsoft Defender for Servers , ponieważ aktywacja planu usługi Defender for Servers jest warunkiem wstępnym dla usługi Microsoft Defender dla punktu końcowego. Po włączeniu konfiguracja usługi Microsoft Defender dla punktu końcowego jest zarządzana przez platformę w celu zapewnienia optymalnego bezpieczeństwa i wydajności oraz zmniejszenia ryzyka błędów konfiguracji.
Ochrona obciążenia klastra Kubernetes za pośrednictwem usługi Microsoft Defender for Containers
Lokalne klastry Kubernetes, które uruchamiają obciążenia operatorów, są chronione po wybraniu opcji włączenia rozwiązania Microsoft Defender for Containers. Usługa Microsoft Defender for Containers zapewnia ochronę przed zagrożeniami w czasie wykonywania dla klastrów i węzłów systemu Linux, a także ochronę środowiska klastra przed błędną konfiguracją.
Istnieje możliwość włączenia ochrony usługi Defender for Containers w usłudze Defender for Cloud przez aktywowanie planu usługi Defender for Containers.
Zabezpieczenia w chmurze są wspólną odpowiedzialnością
Ważne jest, aby zrozumieć, że w środowisku chmury bezpieczeństwo jest wspólną odpowiedzialnością między Tobą a dostawcą usług w chmurze. Obowiązki różnią się w zależności od typu usługi w chmurze, na której działają obciążenia, niezależnie od tego, czy jest to oprogramowanie jako usługa (SaaS), platforma jako usługa (PaaS) lub infrastruktura jako usługa (IaaS), a także miejsce hostowania obciążeń — w ramach dostawcy usług w chmurze lub własnych lokalnych centrów danych.
Obciążenia Azure Operator Nexus są uruchamiane na serwerach w centrach danych, więc masz pełną kontrolę nad zmianami w twoim środowisku lokalnym. Firma Microsoft okresowo udostępnia nowe wersje platform, które zawierają zabezpieczenia i inne aktualizacje. Następnie należy zdecydować, kiedy zastosować te wersje do środowiska, kierując się potrzebami biznesowymi organizacji.
Skanowanie testów porównawczych zabezpieczeń platformy Kubernetes
Standardowe narzędzia do testów porównawczych zabezpieczeń są używane do skanowania platformy Azure Operator Nexus pod kątem zgodności z zabezpieczeniami. Te narzędzia obejmują rozwiązanie OpenSCAP, aby ocenić zgodność z mechanizmami kontroli implementacji technicznej rozwiązania Kubernetes Security (STIG) oraz rozwiązania Kube-Bench firmy Aqua Security w celu oceny zgodności z testami porównawczymi rozwiązania Kubernetes Center for Internet Security (CIS).
Niektóre kontrole nie są technicznie możliwe do zaimplementowania w środowisku Azure Operator Nexus, a te wyjątkowe kontrole są udokumentowane poniżej dla odpowiednich warstw Nexus.
Mechanizmy kontroli środowiska, takie jak kontrola dostępu oparta na rolach i testy konta usługi, nie są oceniane przez te narzędzia, ponieważ wyniki mogą się różnić w zależności od wymagań klientów.
NTF = nie jest technicznie wykonalne
OpenSCAP STIG — V2R2
Klaster
| Identyfikator STIG | Opis rekomendacji | Status | Problematyka |
|---|---|---|---|
| V-242386 | Serwer interfejsu API Kubernetes musi mieć wyłączoną flagę niezabezpieczonego portu | NTF | Ta kontrola jest przestarzała w wersji 1.24.0 lub nowszej |
| V-242397 | Ścieżka kubelet staticPodPath w Kubernetes nie może włączać statycznych podów | NTF | Włączono tylko dla węzłów kontrolnych; wymagane dla narzędzia kubeadm |
| V-242403 | Serwer interfejsu API Kubernetes musi generować rekordy inspekcji identyfikujące typ zdarzenia, zidentyfikować źródło zdarzenia, zawierać wyniki zdarzenia, zidentyfikować wszystkich użytkowników i zidentyfikować wszystkie kontenery skojarzone ze zdarzeniem | NTF | Niektóre żądania interfejsu API i odpowiedzi zawierają tajne dane i dlatego nie są przechwytywane w dziennikach inspekcji |
| V-242424 | Platforma Kubernetes Kubelet musi włączyć protokół tlsPrivateKeyFile na potrzeby uwierzytelniania klienta w celu zabezpieczenia usługi | NTF | SAN-y Kubeleta zawierają tylko nazwę hosta |
| V-242425 | Platforma Kubernetes Kubelet musi włączyć protokół tlsCertFile na potrzeby uwierzytelniania klienta w celu zabezpieczenia usługi. | NTF | Nazwy SAN usługi Kubelet zawierają tylko nazwę hosta |
| V-242434 | Platforma Kubernetes Kubelet musi włączyć ochronę jądra. | NTF | Włączanie ochrony jądra nie jest możliwe dla narzędzia kubeadm w nexusie |
Klaster Kubernetes Nexus
| Identyfikator STIG | Opis rekomendacji | Status | Problematyka |
|---|---|---|---|
| V-242386 | Serwer interfejsu API Kubernetes musi mieć wyłączoną flagę niezabezpieczonego portu | NTF | Ta kontrola jest przestarzała w wersji 1.24.0 lub nowszej |
| V-242397 | Ścieżka staticPodPath w Kubernetes kubelet nie powinna umożliwiać uruchamiania statycznych podów. | NTF | Włączone tylko dla węzłów sterujących, wymagane dla kubeadm |
| V-242403 | Serwer interfejsu API Kubernetes musi generować rekordy inspekcji identyfikujące typ zdarzenia, zidentyfikować źródło zdarzenia, zawierać wyniki zdarzenia, zidentyfikować wszystkich użytkowników i zidentyfikować wszystkie kontenery skojarzone ze zdarzeniem | NTF | Niektóre żądania interfejsu API i odpowiedzi zawierają tajne dane i dlatego nie są uwzględniane w dziennikach audytu. |
| V-242424 | Platforma Kubernetes Kubelet musi włączyć protokół tlsPrivateKeyFile na potrzeby uwierzytelniania klienta w celu zabezpieczenia usługi | NTF | Nazwy SAN usługi Kubelet zawierają tylko nazwę hosta |
| V-242425 | Platforma Kubernetes Kubelet musi włączyć protokół tlsCertFile na potrzeby uwierzytelniania klienta w celu zabezpieczenia usługi. | NTF | SAN-y Kubelet zawierają tylko nazwę hosta |
| V-242434 | Platforma Kubernetes Kubelet musi włączyć ochronę jądra. | NTF | Włączanie ochrony jądra nie jest możliwe dla narzędzia kubeadm w nexusie |
Menedżer klastra — Azure Kubernetes
Jako bezpieczna usługa usługa Azure Kubernetes Service (AKS) jest zgodna ze standardami SOC, ISO, PCI DSS i HIPAA. Na poniższej ilustracji przedstawiono wyjątki uprawnień pliku OpenSCAP dla implementacji usługi AKS Menedżera klastra.
Aquasec Kube-Bench — CIS 1.9
Klaster
| Identyfikator CIS | Opis rekomendacji | Status | Problematyka |
|---|---|---|---|
| 1 | Składniki płaszczyzny sterowania | ||
| 1.1 | Pliki konfiguracji węzła płaszczyzny sterowania | ||
| 1.1.12 | Upewnij się, że właściwość katalogu danych etcd została ustawiona na etcd:etcd |
NTF | Nexus to root:root, użytkownik etcd nie jest skonfigurowany dla narzędzia kubeadm |
| 1.2 | Serwer interfejsu API | ||
| 1.1.12 | Upewnij się, że --kubelet-certificate-authority argument jest ustawiony zgodnie z potrzebami |
NTF | SAN Kubeleta obejmują tylko nazwę hosta |
Klaster Kubernetes Nexus
| Identyfikator CIS | Opis rekomendacji | Status | Problematyka |
|---|---|---|---|
| 1 | Składniki płaszczyzny sterowania | ||
| 1.1 | Pliki konfiguracji węzła płaszczyzny sterowania | ||
| 1.1.12 | Upewnij się, że właściwość katalogu danych etcd została ustawiona na etcd:etcd |
NTF | Nexus to root:root, użytkownik etcd nie jest skonfigurowany dla narzędzia kubeadm |
| 1.2 | Serwer interfejsu API | ||
| 1.1.12 | Upewnij się, że --kubelet-certificate-authority argument jest ustawiony zgodnie z potrzebami |
NTF | Nazwy SAN Kubelet obejmują tylko nazwę hosta |
Menedżer klastra — Azure Kubernetes
Menedżer klastrów Operator Nexus jest implementacją Azure Kubernetes Service (AKS). Na poniższej ilustracji przedstawiono wyjątki Kube-Bench dla Menedżera klastra. Pełny raport oceny kontroli CIS Benchmark dla usługi Azure Kubernetes Service (AKS) można znaleźć tutaj
Szyfrowanie w spoczynku
Operator platformy Azure Nexus zapewnia trwały magazyn dla zwirtualizowanych i konteneryzowanych obciążeń. Dane są przechowywane i szyfrowane w spoczynku na urządzeniach magazynujących w stojaku agregatora Nexus operatora platformy Azure. Aby uzyskać więcej informacji, zobacz dokumentację referencyjną urządzenia magazynu.
Klastry Nexus Kubernetes i maszyny wirtualne Nexus zużywają magazyn z dysku lokalnego. Dane przechowywane na dyskach lokalnych są szyfrowane przy użyciu LUKS2 z algorytmem AES256-bitowym w trybie XTS. Wszystkie klucze szyfrowania są zarządzane przez platformę.