Säkerhet för Azure-operatören Nexus
Azure Operator Nexus är utformat och byggt för att både identifiera och försvara sig mot de senaste säkerhetshoten och uppfylla de strikta kraven i myndighets- och branschsäkerhetsstandarder. Två hörnstenar utgör grunden för dess säkerhetsarkitektur:
- Säkerhet som standard – Säkerhetsåterhämtning är en inbyggd del av plattformen med små eller inga konfigurationsändringar som krävs för att använda den på ett säkert sätt.
- Anta intrång – Det underliggande antagandet är att alla system kan komprometteras, och som sådan är målet att minimera effekten av en säkerhetsöverträdelse om ett inträffar.
Azure Operator Nexus inser ovanstående genom att använda Microsofts molnbaserade säkerhetsverktyg som ger dig möjlighet att förbättra din molnsäkerhetsstatus samtidigt som du kan skydda dina operatörsarbetsbelastningar.
Plattformsomfattande skydd via Microsoft Defender för molnet
Microsoft Defender för molnet är en molnbaserad programskyddsplattform (CNAPP) som tillhandahåller de säkerhetsfunktioner som krävs för att stärka dina resurser, hantera din säkerhetsstatus, skydda mot cyberattacker och effektivisera säkerhetshanteringen. Det här är några av de viktigaste funktionerna i Defender för molnet som gäller för Azure Operator Nexus-plattformen:
- Sårbarhetsbedömning för virtuella datorer och containerregister – Aktivera enkelt lösningar för sårbarhetsbedömning för att identifiera, hantera och lösa säkerhetsrisker. Visa, undersöka och åtgärda resultaten direkt från Defender för molnet.
- Hybridmolnsäkerhet – Få en enhetlig vy över säkerheten för alla dina lokala och molnbaserade arbetsbelastningar. Tillämpa säkerhetsprinciper och utvärdera kontinuerligt säkerheten för dina hybridmolnarbetsbelastningar för att säkerställa efterlevnad av säkerhetsstandarder. Samla in, söka efter och analysera säkerhetsdata från flera källor, inklusive brandväggar och andra partnerlösningar.
- Hotskyddsaviseringar – Avancerad beteendeanalys och Microsoft Intelligent Security Graph ger en fördel jämfört med nya cyberattacker. Inbyggd beteendeanalys och maskininlärning kan identifiera attacker och nolldagarsexploateringar. Övervaka nätverk, datorer, Azure Storage och molntjänster för inkommande attacker och aktivitet efter intrång. Effektiviseras undersökningen med interaktiva verktyg och kontextbaserad hotinformation.
- Efterlevnadsbedömning mot en mängd olika säkerhetsstandarder – Defender för molnet utvärderar kontinuerligt din hybridmolnmiljö för att analysera riskfaktorerna enligt kontrollerna och bästa praxis i Azure Security Benchmark. När du aktiverar avancerade säkerhetsfunktioner kan du tillämpa en rad andra branschstandarder, regelstandarder och riktmärken enligt organisationens behov. Lägg till standarder och spåra din efterlevnad med dem från instrumentpanelen för regelefterlevnad.
- Säkerhetsfunktioner för containrar – Dra nytta av hantering av säkerhetsrisker och skydd mot hot i realtid i dina containerbaserade miljöer.
Det finns förbättrade säkerhetsalternativ som gör att du kan skydda dina lokala värdservrar och Kubernetes-kluster som kör dina operatörsarbetsbelastningar. De här alternativen beskrivs nedan.
Operativsystemskydd för bare metal-datorer via Microsoft Defender för Endpoint
Azure Operator Nexus bare-metal machines (BMMs), som är värd för den lokala infrastrukturens beräkningsservrar, skyddas när du väljer att aktivera Microsoft Defender för Endpoint lösning. Microsoft Defender för Endpoint tillhandahåller förebyggande antivirusfunktioner (AV), identifiering och åtgärd på slutpunkt (EDR) och hantering av säkerhetsrisker funktioner.
Du har möjlighet att aktivera Microsoft Defender för Endpoint skydd när du har valt och aktiverat en Microsoft Defender för servrar-plan, eftersom Aktivering av Defender för servrar är en förutsättning för Microsoft Defender för Endpoint. När den är aktiverad hanteras Microsoft Defender för Endpoint konfigurationen av plattformen för att säkerställa optimal säkerhet och prestanda och för att minska risken för felkonfigurationer.
Arbetsbelastningsskydd för Kubernetes-kluster via Microsoft Defender för containrar
Lokala Kubernetes-kluster som kör dina operatörsarbetsbelastningar skyddas när du väljer att aktivera lösningen Microsoft Defender för containrar. Microsoft Defender för containrar ger skydd mot körningshot för kluster och Linux-noder samt klustermiljöhärdning mot felkonfigurationer.
Du har möjlighet att aktivera Skydd för Defender för containrar inom Defender för molnet genom att aktivera Defender for Containers-planen.
Molnsäkerhet är ett delat ansvar
Det är viktigt att förstå att säkerhet i en molnmiljö är ett delat ansvar mellan dig och molnleverantören. Ansvarsområdena varierar beroende på vilken typ av molntjänst dina arbetsbelastningar körs på, oavsett om det är Programvara som en tjänst (SaaS), Plattform som en tjänst (PaaS) eller Infrastruktur som en tjänst (IaaS) samt var arbetsbelastningarna finns – inom molnleverantörens eller dina egna lokala datacenter.
Azure Operator Nexus-arbetsbelastningar körs på servrar i dina datacenter, så du har kontroll över ändringar i din lokala miljö. Microsoft gör regelbundet nya plattformsversioner tillgängliga som innehåller säkerhet och andra uppdateringar. Du måste sedan bestämma när du ska tillämpa dessa versioner på din miljö efter behov för organisationens affärsbehov.
Kubernetes Security Benchmark-genomsökning
Benchmarkingverktyg för branschstandardsäkerhet används för att genomsöka Azure Operator Nexus-plattformen för säkerhetsefterlevnad. De här verktygen omfattar OpenSCAP för att utvärdera efterlevnaden av Kubernetes STIG-kontroller (Security Technical Implementation Guide) och Aqua Securitys Kube-Bench för att utvärdera efterlevnaden av Kubernetes Benchmarks för Center for Internet Security (CIS).
Vissa kontroller är inte tekniskt genomförbara att implementera i Azure Operator Nexus-miljön, och dessa undantagna kontroller dokumenteras nedan för tillämpliga Nexus-skikt.
Miljökontroller som RBAC- och tjänstkontotester utvärderas inte av dessa verktyg, eftersom resultatet kan skilja sig beroende på kundernas krav.
NTF = Inte tekniskt genomförbart
OpenSCAP STIG – V2R2
Kluster
| STIG-ID | Beskrivning av rekommendation | Status | Problem |
|---|---|---|---|
| V-242386 | Kubernetes API-servern måste ha den osäkra portflaggan inaktiverad | NTF | Den här kontrollen är inaktuell i v1.24.0 och senare |
| V-242397 | Kubernetes kubelet staticPodPath får inte aktivera statiska poddar | NTF | Endast aktiverat för kontrollnoder som krävs för kubeadm |
| V-242403 | Kubernetes API Server måste generera granskningsposter som identifierar vilken typ av händelse som har inträffat, identifiera källan till händelsen, innehålla händelseresultatet, identifiera eventuella användare och identifiera eventuella containrar som är associerade med händelsen | NTF | Vissa API-begäranden och svar innehåller hemligheter och registreras därför inte i granskningsloggarna |
| V-242424 | Kubernetes Kubelet måste aktivera tlsPrivateKeyFile för klientautentisering för att skydda tjänsten | NTF | Kubelet-SAN:er innehåller endast värdnamn |
| V-242425 | Kubernetes Kubelet måste aktivera tlsCertFile för klientautentisering för att skydda tjänsten. | NTF | Kubelet-SAN:er innehåller endast värdnamn |
| V-242434 | Kubernetes Kubelet måste aktivera kernelskydd. | NTF | Det går inte att aktivera kernelskydd för kubeadm i Nexus |
Nexus Kubernetes-kluster
| STIG-ID | Beskrivning av rekommendation | Status | Problem |
|---|---|---|---|
| V-242386 | Kubernetes API-servern måste ha den osäkra portflaggan inaktiverad | NTF | Den här kontrollen är inaktuell i v1.24.0 och senare |
| V-242397 | Kubernetes kubelet staticPodPath får inte aktivera statiska poddar | NTF | Endast aktiverat för kontrollnoder som krävs för kubeadm |
| V-242403 | Kubernetes API Server måste generera granskningsposter som identifierar vilken typ av händelse som har inträffat, identifiera källan till händelsen, innehålla händelseresultatet, identifiera eventuella användare och identifiera eventuella containrar som är associerade med händelsen | NTF | Vissa API-begäranden och svar innehåller hemligheter och registreras därför inte i granskningsloggarna |
| V-242424 | Kubernetes Kubelet måste aktivera tlsPrivateKeyFile för klientautentisering för att skydda tjänsten | NTF | Kubelet-SAN:er innehåller endast värdnamn |
| V-242425 | Kubernetes Kubelet måste aktivera tlsCertFile för klientautentisering för att skydda tjänsten. | NTF | Kubelet-SAN:er innehåller endast värdnamn |
| V-242434 | Kubernetes Kubelet måste aktivera kernelskydd. | NTF | Det går inte att aktivera kernelskydd för kubeadm i Nexus |
Cluster Manager – Azure Kubernetes
Som en säker tjänst uppfyller Azure Kubernetes Service (AKS) SOC-, ISO-, PCI DSS- och HIPAA-standarder. Följande bild visar undantag för OpenSCAP-filbehörighet för Klusterhanterarens AKS-implementering.
Aquasec Kube-Bench - CIS 1.9
Kluster
| CIS-ID | Beskrivning av rekommendation | Status | Problem |
|---|---|---|---|
| 1 | Kontrollplanskomponenter | ||
| 1,1 | Konfigurationsfiler för kontrollplansnod | ||
| 1.1.12 | Kontrollera att ägarskapet för datakatalogen etcd är inställt på etcd:etcd |
NTF | Nexus är root:root, etcd-användare har inte konfigurerats för kubeadm |
| 1.2 | API Server | ||
| 1.1.12 | Kontrollera att --kubelet-certificate-authority argumentet har angetts efter behov |
NTF | Kubelet-SAN innehåller endast värdnamn |
Nexus Kubernetes-kluster
| CIS-ID | Beskrivning av rekommendation | Status | Problem |
|---|---|---|---|
| 1 | Kontrollplanskomponenter | ||
| 1,1 | Konfigurationsfiler för kontrollplansnod | ||
| 1.1.12 | Kontrollera att ägarskapet för datakatalogen etcd är inställt på etcd:etcd |
NTF | Nexus är root:root, etcd-användare har inte konfigurerats för kubeadm |
| 1.2 | API Server | ||
| 1.1.12 | Kontrollera att --kubelet-certificate-authority argumentet har angetts efter behov |
NTF | Kubelet-SAN innehåller endast värdnamn |
Cluster Manager – Azure Kubernetes
Operatorn Nexus Cluster Manager är en AKS-implementering. Följande bild visar Kube-Bench-undantagen för Klusterhanteraren. En fullständig rapport över CIS Benchmark-kontrollutvärdering för Azure Kubernetes Service (AKS) finns här
