Linha de base de segurança do Azure para o Serviço Kubernetes do Azure (AKS)
Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Serviço Kubernetes do Azure (AKS). A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Serviço Kubernetes do Azure (AKS).
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao Serviço Kubernetes do Azure (AKS) foram excluídos. Para ver como o Serviço Kubernetes do Azure (AKS) mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança do Serviço Kubernetes do Azure (AKS).
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Serviço Kubernetes do Azure (AKS), o que pode resultar em considerações de segurança maiores.
| Atributo comportamento do serviço | Value |
|---|---|
| Categoria do Produto | Contentores |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente inativo | True |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Use a rede kubenet com seus próprios intervalos de endereços IP no Serviço Kubernetes do Azure (AKS)
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Grupos de segurança de rede
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Criar um cluster privado do Serviço Kubernetes do Azure
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use a CLI do Azure para desabilitar o FQDN público em um cluster privado do Serviço Kubernetes do Azure.
Referência: Criar um cluster privado do Serviço Kubernetes do Azure
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerService:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o Azure Ative Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: Integração do Ative Directory do Azure gerenciada pelo AKS
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Diretrizes de configuração: você pode autenticar, autorizar, proteger e controlar o acesso a clusters Kubernetes usando o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) ou usando o Azure Ative Directory e o Azure RBAC.
Referência: Opções de acesso e identidade para o Serviço Kubernetes do Azure (AKS)
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recursos: Por padrão, quando você cria um cluster AKS, uma identidade gerenciada atribuída ao sistema é criada automaticamente. Se você não estiver usando a CLI do Azure para implantação, mas usando sua própria rede virtual, disco do Azure anexado, endereço IP estático, tabela de rotas ou identidade kubelet atribuída pelo usuário que estão fora do grupo de recursos do nó de trabalho, é recomendável usar a identidade do plano de controle atribuída pelo usuário.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Usar uma identidade gerenciada no Serviço Kubernetes do Azure
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Criar uma entidade de serviço
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Referência:
- IM-1: Usar identidade centralizada e sistema de autenticação
- Usar o Acesso Condicional com o Azure AD e o AKS
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Referência: CSI Secret Store
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Diretrizes de configuração: você pode autenticar, autorizar, proteger e controlar o acesso a clusters Kubernetes usando o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) ou usando o Azure Ative Directory e o Azure RBAC.
Se não for necessário para operações administrativas de rotina, desative ou restrinja quaisquer contas de administrador local apenas para uso emergencial.
Referência: Opções de acesso e identidade para o Serviço Kubernetes do Azure (AKS)
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o controle de acesso baseado em função do Azure (Azure RBAC) para gerenciar o acesso a recursos do Azure por meio de atribuições de função internas. As funções do RBAC do Azure podem ser atribuídas a usuários, grupos, entidades de serviço e identidades gerenciadas.
Referência: Usar o RBAC do Azure para Autorização do Kubernetes
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerService:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Customer Lockbox for Microsoft Azure
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: se necessário para a conformidade da prevenção contra perda de dados (DLP), você pode usar uma solução DLP baseada em host do Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controles detetives e/ou preventivos para evitar a exfiltração de dados.
Referência: Habilitar o Microsoft Defender para contêineres
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de configuração: habilite a transferência segura em serviços onde há um recurso nativo de criptografia de dados em trânsito integrado. Imponha HTTPS em quaisquer aplicativos e serviços da Web e certifique-se de que o TLS v1.2 ou posterior seja usado. As versões herdadas, como SSL 3.0, TLS v1.0, devem ser desativadas. Para gerenciamento remoto de máquinas virtuais, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.
Referência: Usar TLS com um controlador de entrada no Serviço Kubernetes do Azure (AKS)
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerService:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: A encriptação baseada em anfitrião é diferente da encriptação do lado do servidor (SSE), que é utilizada pelo Armazenamento do Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Azure para criptografar automaticamente os dados em repouso ao salvar dados. A criptografia baseada em host usa o host da VM para manipular a criptografia antes que os dados fluam pelo Armazenamento do Azure.
Diretrizes de configuração: habilite a criptografia de dados em repouso usando chaves gerenciadas pela plataforma (gerenciadas pela Microsoft) quando não configuradas automaticamente pelo serviço.
Referência: Criptografia baseada em host no Serviço Kubernetes do Azure (AKS)
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Referência: Criptografia baseada em host no Serviço Kubernetes do Azure (AKS)
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Criptografia baseada em host no Serviço Kubernetes do Azure (AKS)
DP-7: Use um processo seguro de gerenciamento de certificados
Funcionalidades
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração do certificado segue padrões definidos sem usar propriedades inseguras, tais como: tamanho insuficiente da chave, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Cofre da Chave do Azure e no serviço do Azure (se suportado) com base em uma agenda definida ou quando houver uma expiração do certificado. Se a rotação automática não for suportada no aplicativo, verifique se eles ainda estão girados usando métodos manuais no Cofre de Chaves do Azure e no aplicativo.
Referência: Use TLS com seus próprios certificados com o Secrets Store CSI Driver
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: AKS Built-in Azure Policy
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: o Microsoft Defender for Containers é a solução nativa da nuvem usada para proteger seus contêineres para que você possa melhorar, monitorar e manter a segurança de seus clusters, contêineres e seus aplicativos.
Referência: Habilitar o Microsoft Defender para contêineres
Monitoramento do Microsoft Defender for Cloud
Definições internas da Política do Azure - Microsoft.ContainerService:
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditoria, Desativado | 2.0.1 |
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: habilite logs de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Coletar logs de recursos
Gestão de postura e de vulnerabilidade
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Postura e gerenciamento de vulnerabilidades.
PV-3: Estabeleça configurações seguras para recursos de computação
Funcionalidades
Imagens de contêiner personalizadas
Desription: O serviço suporta o uso de imagens de contêiner fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Mais informações
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: ao usar o Registro de Contêiner do Azure (ACR) com o Serviço Kubernetes do Azure (AKS), você precisa estabelecer um mecanismo de autenticação. A configuração das permissões necessárias entre ACR e AKS pode ser realizada usando a CLI do Azure, o Azure PowerShell e o portal do Azure. A integração AKS com ACR atribui a função AcrPull à identidade gerenciada do Azure Ative Directory (Azure AD) associada ao pool de agentes em seu cluster AKS.
Referência: Integrar o Registro de Contêiner do Azure com o Serviço Kubernetes do Azure - Serviço Kubernetes do Azure
PV-5: Realizar avaliações de vulnerabilidade
Funcionalidades
Avaliação de vulnerabilidade usando o Microsoft Defender
Desription: O serviço pode ser verificado em busca de verificação de vulnerabilidades usando o Microsoft Defender for Cloud ou outro recurso de avaliação de vulnerabilidade incorporado dos serviços Microsoft Defender (incluindo o Microsoft Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender for Containers é configurado para instalar automaticamente os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um espaço de trabalho padrão.
Referência: Gerenciamento de vulnerabilidades para o Serviço Kubernetes do Azure - Serviço Kubernetes do Azure
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: habilite o Backup do Azure e configure a fonte de backup (como Máquinas Virtuais do Azure, SQL Server, bancos de dados HANA ou Compartilhamentos de Arquivos) na frequência desejada e com um período de retenção desejado. Para Máquinas Virtuais do Azure, você pode usar a Política do Azure para habilitar backups automáticos.
Referência: Fazer backup do Serviço Kubernetes do Azure usando o Backup do Azure
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Próximos passos
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure