Azure Kubernetes Service (AKS) için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenlik karşılaştırması sürüm 1.0'dan Azure Kubernetes Service'e (AKS) rehberlik uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Kubernetes Service (AKS) için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Kubernetes Service (AKS) için geçerli olmayan özellikler dışlanmıştır. Azure Kubernetes Service'in (AKS) Microsoft bulut güvenliği karşılaştırmasına nasıl tamamen eşlediğini görmek için tam Azure Kubernetes Service (AKS) güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Azure Kubernetes Service'in (AKS) yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
Hizmet Davranışı Özniteliği | Değer |
---|---|
Ürün Kategorisi | Kapsayıcılar |
Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
Hizmet müşterinin sanal ağına dağıtılabilir | True |
Bekleyen müşteri içeriğini depolar | True |
Ağ güvenliği
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Kubernetes Service'te (AKS) kendi IP adresi aralıklarınızla kubenet ağı kullanma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Ağ güvenlik grupları
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
Başvuru: Özel bir Azure Kubernetes Service kümesi oluşturma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Özel bir Azure Kubernetes Service kümesinde Genel FQDN'yi devre dışı bırakmak için Azure CLI'yi kullanın.
Başvuru: Özel bir Azure Kubernetes Service kümesi oluşturma
Bulut için Microsoft Defender izleme
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
Kimlik yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: AKS tarafından yönetilen Azure Active Directory Tümleştirmesi
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) kullanarak veya Azure Active Directory ve Azure RBAC kullanarak Kubernetes kümelerine erişimi doğrulayabilir, yetkileyebilir, güvenli hale alabilir ve denetleyebilirsiniz.
Başvuru: Azure Kubernetes Service (AKS) için erişim ve kimlik seçenekleri
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
True | True | Microsoft |
Özellik notları: Varsayılan olarak, AKS kümesi oluşturduğunuzda sistem tarafından atanan yönetilen kimlik otomatik olarak oluşturulur. Dağıtım için Azure CLI kullanmıyorsanız ancak çalışan düğümü kaynak grubunun dışında kendi sanal ağınızı, bağlı Azure diskinizi, statik IP adresinizi, yol tablosunu veya kullanıcı tarafından atanan kubelet kimliğini kullanıyorsanız, kullanıcı tarafından atanan denetim düzlemi kimliğini kullanmanız önerilir.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Kubernetes Service'te yönetilen kimlik kullanma
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Hizmet Sorumlusu Oluşturma
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım örneklerini göz önünde bulundurun.
Başvuru:
- IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
- Azure AD ve AKS ile Koşullu Erişim kullanma
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Gizli dizilerin ve kimlik bilgilerinin kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Başvuru: CSI Gizli Deposu
Ayrıcalıklı erişim
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel bir yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) kullanarak veya Azure Active Directory ve Azure RBAC kullanarak Kubernetes kümelerine erişimi doğrulayabilir, yetkileyebilir, güvenli hale alabilir ve denetleyebilirsiniz.
Rutin yönetim işlemleri için gerekli değilse, yerel yönetici hesaplarını yalnızca acil kullanım için devre dışı bırakın veya kısıtlayın.
Başvuru: Azure Kubernetes Service (AKS) için erişim ve kimlik seçenekleri
PA-7: Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık) ilkesi
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Rol Tabanlı Erişim Denetimi (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Yerleşik rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC rolleri kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atanabilir.
Başvuru: Kubernetes Yetkilendirmesi için Azure RBAC kullanma
Bulut için Microsoft Defender izleme
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, gözden geçirmek için Müşteri Kasası'nu kullanın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Başvuru: Microsoft Azure için Müşteri Kasası
Veri koruması
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Veri kaybı önleme (DLP) uyumluluğu için gerekiyorsa, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimleri zorunlu kılmak için Azure Market veya Microsoft 365 DLP çözümünden konak tabanlı bir DLP çözümü kullanabilirsiniz.
Başvuru: Kapsayıcılar için Microsoft Defender'ın etkinleştirilmesi
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Başvuru: Azure Kubernetes Service'te (AKS) giriş denetleyicisiyle TLS kullanma
Bulut için Microsoft Defender izleme
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Özellik notları: Konak tabanlı şifreleme, Azure Depolama tarafından kullanılan sunucu tarafı şifrelemesinden (SSE) farklıdır. Azure tarafından yönetilen diskler, verileri kaydederken bekleyen verileri otomatik olarak şifrelemek için Azure Depolama'yı kullanır. Konak tabanlı şifreleme, veriler Azure Depolama üzerinden akmadan önce şifrelemeyi işlemek için VM'nin ana bilgisayarını kullanır.
Yapılandırma Kılavuzu: Hizmet tarafından otomatik olarak yapılandırılmayan platform tarafından yönetilen (Microsoft tarafından yönetilen) anahtarları kullanarak bekleyen şifrelemede verileri etkinleştirin.
Başvuru: Azure Kubernetes Service'te (AKS) konak tabanlı şifreleme
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Başvuru: Azure Kubernetes Service'te (AKS) konak tabanlı şifreleme
DP-6: Güvenli anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Azure Key Vault'taki anahtarlarınızı ve hizmetinizi tanımlı bir zamanlamaya göre veya anahtar kullanımdan kaldırma veya risk altında kalma durumlarında döndürün ve iptal edin. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvurıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Kubernetes Service'te (AKS) konak tabanlı şifreleme
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Sertifika oluşturma, içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault'ta ve Azure hizmetinde (destekleniyorsa) sertifikanın otomatik döndürmesini, tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlayın. Uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault'ta ve uygulamada el ile kullanılan yöntemler kullanılarak bunların hala döndürüldüğünden emin olun.
Başvuru: Gizli Dizi Deposu CSI Sürücüsü ile TLS'i kendi sertifikalarınızla kullanma
Varlık yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak için Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.
Başvuru: AKS Yerleşik Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Kapsayıcılar için Microsoft Defender, kümelerinizi, kapsayıcılarınızı ve bunların uygulamalarını geliştirebilmeniz, izlemeniz ve korumanız için kapsayıcılarınızın güvenliğini sağlamak için kullanılan buluta özel bir çözümdür.
Başvuru: Kapsayıcılar için Microsoft Defender'ın etkinleştirilmesi
Bulut için Microsoft Defender izleme
yerleşik tanımları Azure İlkesi - Microsoft.ContainerService:
Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault bir anahtar kasasından gizli dizi alan eylemler için ek kaynak günlüklerini destekler ve Azure SQL'de veritabanına yönelik istekleri izleyen kaynak günlükleri vardır. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Kaynak günlüklerini toplama
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-3: İşlem kaynakları için güvenli yapılandırmalar oluşturma
Özellikler
Özel Kapsayıcı Görüntüleri
Kullanımdan kaldırma: Hizmet, önceden uygulanan belirli temel yapılandırmalarla kullanıcı tarafından sağlanan kapsayıcı görüntülerinin veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Azure Kubernetes Service (AKS) ile Azure Container Registry (ACR) kullanırken bir kimlik doğrulama mekanizması oluşturmanız gerekir. ACR ile AKS arasında gerekli izinleri yapılandırma işlemi Azure CLI, Azure PowerShell ve Azure portalı kullanılarak gerçekleştirilebilir. AKS-ACR tümleştirmesi, AKS kümenizdeki aracı havuzuyla ilişkili Azure Active Directory (Azure AD) yönetilen kimliğine AcrPull rolünü atar.
Başvuru: Azure Container Registry'yi Azure Kubernetes Service ile tümleştirme - Azure Kubernetes Service
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
Özellikler
Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi
Kimlik doğrulama: Hizmet, Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetlerinin ekli güvenlik açığı değerlendirmesi özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS dahil) kullanılarak güvenlik açığı taraması için taranabilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Varsayılan olarak, Azure portalı aracılığıyla planı etkinleştirirken Kapsayıcılar için Microsoft Defender, varsayılan çalışma alanının ataması dahil olmak üzere plan tarafından sunulan korumaları sağlamak üzere gerekli bileşenleri otomatik olarak yükleyecek şekilde yapılandırılır.
Başvuru: Azure Kubernetes Service için güvenlik açığı yönetimi - Azure Kubernetes Service
Yedekleme ve kurtarma
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Azure Backup'ı etkinleştirin ve yedekleme kaynağını (Azure Sanal Makineler, SQL Server, HANA veritabanları veya Dosya Paylaşımları gibi) istenen sıklıkta ve istenen saklama süresiyle yapılandırın. Azure Sanal Makineler için otomatik yedeklemeleri etkinleştirmek için Azure İlkesi kullanabilirsiniz.
Başvuru: Azure Backup kullanarak Azure Kubernetes Service'i yedekleme
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin