Az Azure Operator Nexus biztonsága
Az Azure Operator Nexust úgy tervezték és tervezték, hogy észlelje és megvédje a legújabb biztonsági fenyegetéseket, és megfeleljen a kormányzati és iparági biztonsági szabványok szigorú követelményeinek. A biztonsági architektúra alapja két alappillére:
- Biztonság alapértelmezés szerint – A biztonsági rugalmasság a platform eredendő része, és a biztonságos használathoz kevés konfigurációs módosítás szükséges.
- Feltételezzük, hogy a biztonsági incidens – Az alapul szolgáló feltételezés az, hogy bármely rendszer sérülhet, és mint ilyen, a cél a biztonsági incidensek hatásának minimalizálása, ha bekövetkezik.
Az Azure Operator Nexus a microsoftos natív felhőbeli biztonsági eszközök használatával valósítja meg a fentieket, amelyek lehetővé teszik a felhőbeli biztonsági helyzet javítását, miközben lehetővé teszi az operátori számítási feladatok védelmét.
Platformszintű védelem Felhőhöz készült Microsoft Defender
Felhőhöz készült Microsoft Defender egy natív felhőbeli alkalmazásvédelmi platform (CNAPP), amely biztosítja az erőforrások keményítéséhez, a biztonsági helyzet kezeléséhez, a kibertámadások elleni védelemhez és a biztonságkezelés egyszerűsítéséhez szükséges biztonsági képességeket. Az Azure Operator Nexus platformra vonatkozó Felhőhöz készült Defender főbb jellemzői:
- Virtuális gépek és tárolóregisztrációs adatbázisok sebezhetőségi felmérése – Könnyen engedélyezheti a sebezhetőségi felmérési megoldásokat a biztonsági rések felderítéséhez, kezeléséhez és megoldásához. Az eredmények megtekintése, vizsgálata és szervizelése közvetlenül a Felhőhöz készült Defender belülről.
- Hibrid felhőbiztonság – Egységes biztonsági nézetet kaphat az összes helyszíni és felhőbeli számítási feladatról. Biztonsági szabályzatok alkalmazása és a hibrid felhőbeli számítási feladatok biztonságának folyamatos felmérése a biztonsági szabványoknak való megfelelés biztosítása érdekében. Biztonsági adatok gyűjtése, keresése és elemzése több forrásból, beleértve a tűzfalakat és más partnermegoldásokat is.
- Fenyegetésvédelmi riasztások – A fejlett viselkedéselemzés és a Microsoft Intelligent Security Graph előnyt biztosít a folyamatosan fejlődő kibertámadásokkal szemben. A beépített viselkedéselemzés és gépi tanulás képes azonosítani a támadásokat és a nulladik napi kihasználtságokat. Hálózatok, gépek, Azure Storage és felhőszolgáltatások monitorozása bejövő támadások és incidens utáni tevékenységek esetén. Interaktív eszközökkel és fenyegetésekkel kapcsolatos környezetalapú tudásbázissal egyszerűsítheti a vizsgálatot.
- Megfelelőségi értékelés különböző biztonsági szabványok alapján – Felhőhöz készült Defender folyamatosan értékeli a hibrid felhőkörnyezetet, hogy elemezze a kockázati tényezőket az Azure Security Benchmark vezérlőinek és ajánlott eljárásainak megfelelően. A fejlett biztonsági funkciók engedélyezésekor számos egyéb iparági szabványt, szabályozási szabványt és teljesítménytesztet alkalmazhat a szervezet igényeinek megfelelően. Adjon hozzá szabványokat, és kövesse nyomon a megfelelőségüket a szabályozási megfelelőségi irányítópulton.
- Tárolóbiztonsági funkciók – Kihasználhatja a biztonságirés-kezelés és a valós idejű veszélyforrások elleni védelmet a tárolóalapú környezetekben.
Vannak továbbfejlesztett biztonsági lehetőségek, amelyek lehetővé teszik a helyszíni gazdagépkiszolgálók és az operátori számítási feladatokat futtató Kubernetes-fürtök védelmét. Ezeket a lehetőségeket az alábbiakban ismertetjük.
Operációs rendszer nélküli gép operációs rendszerének védelme Végponthoz készült Microsoft Defender
Az Azure Operator Nexus operációs rendszer nélküli gépei (BMM-ek), amelyek a helyszíni infrastruktúra számítási kiszolgálóit üzemeltetik, védettek lesznek, ha engedélyezi a Végponthoz készült Microsoft Defender megoldást. Végponthoz készült Microsoft Defender megelőző víruskereső (AV), végponti észlelés és reagálás (EDR) és biztonságirés-kezelés képességeket biztosít.
A Microsoft Defender for Servers csomag kiválasztása és aktiválása után engedélyezheti Végponthoz készült Microsoft Defender védelmet, mivel a Defender for Servers csomag aktiválása előfeltétele a Végponthoz készült Microsoft Defender. Ha engedélyezve van, a Végponthoz készült Microsoft Defender konfigurációt a platform felügyeli az optimális biztonság és teljesítmény biztosítása, valamint a helytelen konfigurációk kockázatának csökkentése érdekében.
A Kubernetes-fürt számítási feladatainak védelme a Microsoft Defender for Containers használatával
Az operátori számítási feladatokat futtató helyszíni Kubernetes-fürtök akkor lesznek védettek, ha engedélyezi a Microsoft Defender for Containers megoldást. A Microsoft Defender for Containers futásidejű fenyegetésvédelmet biztosít a fürtök és Linux-csomópontok számára, valamint a fürtkörnyezetet a helytelen konfigurációk ellen.
A Defender for Containers-csomag aktiválásával engedélyezheti a Defender for Containers védelmét Felhőhöz készült Defender belül.
A felhőbeli biztonság garantálása megosztott felelősség
Fontos tisztában lenni azzal, hogy egy felhőkörnyezetben a biztonság az Ön és a felhőszolgáltató közös felelőssége . A feladatok a számítási feladatok által futtatott felhőszolgáltatás típusától függően változhatnak, legyen szó a szolgáltatott szoftverről (SaaS), a szolgáltatásként nyújtott platformról (PaaS) vagy az infrastruktúra szolgáltatásként (IaaS), valamint a számítási feladatok helyéről – a felhőszolgáltató vagy a saját helyszíni adatközpontjain belül.
Az Azure Operator Nexus számítási feladatai az adatközpontok kiszolgálóin futnak, így Ön felügyelheti a helyszíni környezet változásait. A Microsoft rendszeresen elérhetővé teszi az új platformkiadásokat, amelyek biztonsági és egyéb frissítéseket tartalmaznak. Ezután el kell döntenie, hogy mikor alkalmazza ezeket a kiadásokat a környezetére a szervezet üzleti igényeinek megfelelően.
Kubernetes biztonsági benchmark vizsgálata
Az iparági szabványoknak megfelelő biztonsági teljesítménytesztelési eszközöket az Azure Operator Nexus platform biztonsági megfelelőségének vizsgálatára használjuk. Ezek közé az eszközök közé tartozik az OpenSCAP, amely a Kubernetes biztonsági műszaki megvalósítási útmutatójának (STIG) és az Aqua Security Kube-Padjának megfelelőségének kiértékelésére szolgál az Internet Security Center (CIS) Kubernetes Benchmarks-nak való megfelelés kiértékeléséhez.
Egyes vezérlők technikailag nem implementálhatók az Azure Operator Nexus környezetben, és ezeket a kivételt nem tartalmazó vezérlőket az alábbiakban dokumentáljuk a vonatkozó Nexus-rétegekhez.
A környezeti vezérlőket, például az RBAC-t és a szolgáltatásfiók-teszteket ezek az eszközök nem értékelik ki, mivel az eredmények az ügyfélkövetelményektől függően eltérhetnek.
NTF = Műszakilag nem megvalósítható
OpenSCAP STIG – V2R2
Csoport
| STIG-azonosító | Javaslat leírása | Állapot | Probléma |
|---|---|---|---|
| V-242386 | A Kubernetes API-kiszolgálónak le kell tiltania a nem biztonságos portjelzőt | NTF | Ez az ellenőrzés elavult az 1.24.0-s és újabb verzióban |
| V-242397 | A Kubernetes kubelet staticPodPath nem engedélyezheti a statikus podokat | NTF | Csak a kubeadmhoz szükséges vezérlőcsomópontok esetében engedélyezett |
| V-242403 | A Kubernetes API Servernek olyan naplózási rekordokat kell létrehoznia, amelyek azonosítják az esemény típusát, azonosítják az esemény forrását, tartalmazzák az esemény eredményeit, azonosítják a felhasználókat, és azonosítják az eseményhez társított tárolókat | NTF | Egyes API-kérések és válaszok titkos kódokat tartalmaznak, ezért nem szerepelnek az auditnaplókban |
| V-242424 | A Kubernetes Kubeletnek engedélyeznie kell a tlsPrivateKeyFile-t az ügyfélhitelesítéshez a szolgáltatás védelméhez | NTF | A Kubelet SAN-ek csak gazdagépnevet tartalmaznak |
| V-242425 | A Kubernetes Kubeletnek engedélyeznie kell a tlsCertFile-t az ügyfél-hitelesítéshez a szolgáltatás biztonságossá tételéhez. | NTF | A Kubelet SAN-ek csak gazdagépnevet tartalmaznak |
| V-242434 | A Kubernetes Kubeletnek engedélyeznie kell a kernelvédelmet. | NTF | A kernelvédelem engedélyezése nem lehetséges a Nexus kubeadm esetében |
Nexus Kubernetes-fürt
| STIG-azonosító | Javaslat leírása | Állapot | Probléma |
|---|---|---|---|
| V-242386 | A Kubernetes API-kiszolgálónak le kell tiltania a nem biztonságos portjelzőt | NTF | Ez az ellenőrzés elavult az 1.24.0-s és újabb verzióban |
| V-242397 | A Kubernetes kubelet staticPodPath nem engedélyezheti a statikus podokat | NTF | Csak a kubeadmhoz szükséges vezérlőcsomópontok esetében engedélyezett |
| V-242403 | A Kubernetes API Servernek olyan naplózási rekordokat kell létrehoznia, amelyek azonosítják az esemény típusát, azonosítják az esemény forrását, tartalmazzák az esemény eredményeit, azonosítják a felhasználókat, és azonosítják az eseményhez társított tárolókat | NTF | Egyes API-kérések és válaszok titkos kódokat tartalmaznak, ezért nem szerepelnek az auditnaplókban |
| V-242424 | A Kubernetes Kubeletnek engedélyeznie kell a tlsPrivateKeyFile-t az ügyfélhitelesítéshez a szolgáltatás védelméhez | NTF | A Kubelet SAN-ek csak gazdagépnevet tartalmaznak |
| V-242425 | A Kubernetes Kubeletnek engedélyeznie kell a tlsCertFile-t az ügyfél-hitelesítéshez a szolgáltatás biztonságossá tételéhez. | NTF | A Kubelet SAN-ek csak gazdagépnevet tartalmaznak |
| V-242434 | A Kubernetes Kubeletnek engedélyeznie kell a kernelvédelmet. | NTF | A kernelvédelem engedélyezése nem lehetséges a Nexus kubeadm esetében |
Fürtkezelő – Azure Kubernetes
Biztonságos szolgáltatásként az Azure Kubernetes Service (AKS) megfelel az SOC, az ISO, a PCI DSS és a HIPAA szabványnak. Az alábbi képen a Fürtkezelő AKS-implementáció OpenSCAP-fájlengedély-kivételei láthatók.
Aquasec Kube-Pad - CIS 1.9
Csoport
| CIS-azonosító | Javaslat leírása | Állapot | Probléma |
|---|---|---|---|
| 0 | Vezérlősík összetevői | ||
| 1,1 | Vezérlősíkcsomópont konfigurációs fájljai | ||
| 1.1.12 | Győződjön meg arról, hogy az etcd adatkönyvtár tulajdonjoga a következőre van állítva: etcd:etcd |
NTF | Nexus, root:rootetcd felhasználó nincs konfigurálva a kubeadm |
| 1,2 | API-kiszolgáló | ||
| 1.1.12 | Győződjön meg arról, hogy az --kubelet-certificate-authority argumentum megfelelően van beállítva |
NTF | A Kubelet SAN-jei csak a gazdagépnevet tartalmazzák |
Nexus Kubernetes-fürt
| CIS-azonosító | Javaslat leírása | Állapot | Probléma |
|---|---|---|---|
| 0 | Vezérlősík összetevői | ||
| 1,1 | Vezérlősíkcsomópont konfigurációs fájljai | ||
| 1.1.12 | Győződjön meg arról, hogy az etcd adatkönyvtár tulajdonjoga a következőre van állítva: etcd:etcd |
NTF | Nexus, root:rootetcd felhasználó nincs konfigurálva a kubeadm |
| 1,2 | API-kiszolgáló | ||
| 1.1.12 | Győződjön meg arról, hogy az --kubelet-certificate-authority argumentum megfelelően van beállítva |
NTF | A Kubelet SAN-jei csak a gazdagépnevet tartalmazzák |
Fürtkezelő – Azure Kubernetes
A Nexus Cluster Manager operátor egy AKS-implementáció. Az alábbi képen a Fürtkezelő Kube-Pad kivételei láthatók. Az Azure Kubernetes Service (AKS) CIS benchmark-vezérlési kiértékelésének teljes jelentése itt található
