Compartir a través de


Línea de base de seguridad de Azure para Azure Kubernetes Service (AKS)

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 de Microsoft Cloud Security Benchmark a Azure Kubernetes Service (AKS). El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Kubernetes Service (AKS).

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.

Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Azure Kubernetes Service (AKS). Para ver cómo Azure Kubernetes Service (AKS) se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Kubernetes Service (AKS).

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Azure Kubernetes Service (AKS), lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Contenedores
El cliente puede acceder a HOST / OS Sin acceso
El servicio se puede implementar en la red virtual del cliente True
Almacena el contenido del cliente en reposo True

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Uso de redes kubenet con sus propios intervalos de direcciones IP en Azure Kubernetes Service (AKS)

Compatibilidad con grupos de seguridad de red

Descripción: El tráfico de red de servicio respeta la asignación de reglas grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Grupos de seguridad de red

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos.

Referencia: Creación de un clúster privado de Azure Kubernetes Service

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use la CLI de Azure para deshabilitar el FQDN público en un clúster privado de Azure Kubernetes Service.

Referencia: Creación de un clúster privado de Azure Kubernetes Service

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los intervalos IP autorizados deben definirse en los servicios de Kubernetes Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. Audit, Disabled 2.0.1

Administración de identidades

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Integración de Azure Active Directory administrada por AKS

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: puede autenticar, autorizar, proteger y controlar el acceso a clústeres de Kubernetes mediante el control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) o mediante Azure Active Directory y Azure RBAC.

Referencia: Opciones de acceso e identidad para Azure Kubernetes Service (AKS)

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Notas de características: de forma predeterminada, cuando se crea un clúster de AKS, se crea automáticamente una identidad administrada asignada por el sistema. Si no usa la CLI de Azure para la implementación, pero usa su propia red virtual, disco de Azure conectado, dirección IP estática, tabla de rutas o identidad de kubelet asignada por el usuario que están fuera del grupo de recursos del nodo de trabajo, se recomienda usar la identidad del plano de control asignado por el usuario.

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Uso de una identidad administrada en Azure Kubernetes Service

Entidad de servicio

Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.

Referencia: Creación de una entidad de servicio

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.

Referencia:

IM-8: Restricción de la exposición de credenciales y secretos

Características

Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.

Referencia: Csi Secret Store

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de administrador local

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: puede autenticar, autorizar, proteger y controlar el acceso a clústeres de Kubernetes mediante el control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) o mediante Azure Active Directory y Azure RBAC.

Si no es necesario para las operaciones administrativas rutinarias, deshabilite o restrinja las cuentas de administrador local solo para uso de emergencia.

Referencia: Opciones de acceso e identidad para Azure Kubernetes Service (AKS)

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.

Referencia: Uso de RBAC de Azure para la autorización de Kubernetes

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.3

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft.

Referencia: Caja de seguridad del cliente para Microsoft Azure

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host de Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles preventivos o de detección para evitar la filtración de datos.

Referencia: Habilitar Microsoft Defender para contenedores

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Referencia: Uso de TLS con un controlador de entrada en Azure Kubernetes Service (AKS)

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.1.0

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: el cifrado basado en host es diferente del cifrado del lado servidor (SSE), que usa Azure Storage. Los discos administrados de Azure usan Azure Storage para cifrar automáticamente los datos en reposo al guardar los datos. El cifrado basado en host usa el host de la máquina virtual para controlar el cifrado antes de que los datos fluyan a través de Azure Storage.

Guía de configuración: habilite el cifrado de datos en reposo mediante claves administradas por la plataforma (administradas por Microsoft) donde el servicio no lo configure automáticamente.

Referencia: Cifrado basado en host en Azure Kubernetes Service (AKS)

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Referencia: Cifrado basado en host en Azure Kubernetes Service (AKS)

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o riesgo de claves. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.

Referencia: Cifrado basado en host en Azure Kubernetes Service (AKS)

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación, importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue los estándares definidos sin usar ninguna propiedad no segura, como: tamaño de clave insuficiente, período de validez excesivamente largo, criptografía no segura. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de una programación definida o cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación, asegúrese de que siguen girando mediante métodos manuales en Azure Key Vault y la aplicación.

Referencia: Uso de TLS con sus propios certificados con el controlador CSI del almacén de secretos

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar la configuración segura en los recursos de Azure.

Referencia: Azure Policy integrado de AKS

Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución específica de La oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: Microsoft Defender para contenedores es la solución nativa de la nube que se usa para proteger los contenedores para que pueda mejorar, supervisar y mantener la seguridad de los clústeres, contenedores y sus aplicaciones.

Referencia: Habilitar Microsoft Defender para contenedores

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerService:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Disabled 2.0.1

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o y Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.

Referencia: Recopilación de registros de recursos

Posición y administración de vulnerabilidades

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Postura y administración de vulnerabilidades.

PV-3: Establecimiento de configuraciones seguras para los recursos de proceso

Características

Imágenes de contenedor personalizadas

Desription: el servicio admite el uso de imágenes de contenedor proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: al usar Azure Container Registry (ACR) con Azure Kubernetes Service (AKS), es preciso establecer un mecanismo de autenticación. La configuración de los permisos necesarios entre ACR y AKS se puede realizar mediante la CLI de Azure, Azure PowerShell y Azure Portal. La integración de AKS en ACR asigna el rol AcrPull a la identidad administrada de Azure Active Directory (Azure AD) asociada al grupo de agentes del clúster de AKS.

Referencia: Integración de Azure Container Registry con Azure Kubernetes Service: Azure Kubernetes Service

PV-5: Realización de evaluaciones de vulnerabilidades

Características

Evaluación de vulnerabilidades mediante Microsoft Defender

Desription: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender for Cloud u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios de Microsoft Defender (incluido Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: de forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para instalar automáticamente los componentes necesarios para proporcionar las protecciones que ofrece el plan, incluida la asignación de un área de trabajo predeterminada.

Referencia: Administración de vulnerabilidades para Azure Kubernetes Service: Azure Kubernetes Service

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite Azure Backup y configure el origen de copia de seguridad (como Azure Virtual Machines, SQL Server, bases de datos de HANA o recursos compartidos de archivos) con una frecuencia deseada y con un período de retención deseado. Para Azure Virtual Machines, puede usar Azure Policy para habilitar copias de seguridad automáticas.

Referencia: Copia de seguridad de Azure Kubernetes Service mediante Azure Backup

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes