Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Esta base de segurança baseia-se numa versão anterior do Microsoft Cloud Security Benchmark (v1.0) e pode conter orientações desatualizadas. Para as orientações de segurança mais recentes, consulte a documentação Azure Red Hat OpenShift (ARO).
Esta linha de base de segurança aplica as orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure Red Hat OpenShift (ARO). O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Red Hat OpenShift (ARO).
Você pode monitorar essa linha de base de segurança e suas recomendações usando o Microsoft Defender for Cloud. As definições de Política do Azure serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem Definições de Política do Azure relevantes, elas são listadas nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de referência de segurança na nuvem da Microsoft. Algumas recomendações podem exigir um plano pago do Microsoft Defender para habilitar determinados cenários de segurança.
Observação
Os recursos não aplicáveis ao Azure Red Hat OpenShift (ARO) foram excluídos. Para ver como o Azure Red Hat OpenShift (ARO) mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do Azure Red Hat OpenShift (ARO).
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Azure Red Hat OpenShift (ARO), o que pode resultar em maiores considerações de segurança.
| Atributo de Comportamento do Serviço | Valor |
|---|---|
| Categoria de Produto | Computação, Contêineres |
| O cliente pode acessar o HOST / OS | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Verdade |
| Armazena o conteúdo do cliente em estado de repouso | Verdade |
Segurança de rede
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Caraterísticas
Integração de Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Notas de recurso: Os clusters do Azure Red Hat OpenShift que executam o OpenShift 4 exigem uma rede virtual com duas sub-redes vazias, para os nós mestre e de trabalho. Você pode criar uma nova rede virtual para isso ou usar uma rede virtual existente.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Tutorial: Criar um cluster do Azure Red Hat OpenShift 4
NS-2: Serviços de nuvem seguros com controles de rede
Caraterísticas
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com NSG ou Firewall do Azure). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidade: o serviço Azure Private Link pode ser configurado para aceder aos serviços de ponto de extremidade da API de cluster ARO e do tipo de balanceador de carga K8s implementados no cluster.
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Componentes de rede
Desativar o acesso à rede pública
Descrição: O serviço suporta a desativação do acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço (não NSG ou Firewall do Azure) ou usando uma opção de alternância 'Desabilitar acesso à rede pública'. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Orientação de configuração: desative o acesso à rede pública usando a regra de filtragem ACL IP de nível de serviço ou um comutador de alternância para acesso à rede pública.
Referência: Políticas de rede
Gestão de identidades
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de identidade.
IM-1: Usar identidade centralizada e sistema de autenticação
Caraterísticas
Autenticação do Azure AD necessária para acesso ao plano de dados
Descrição: O serviço dá suporte ao uso da autenticação do Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: use o Azure Ative Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: Configurar a autenticação do Ative Directory do Azure para um cluster do Azure Red Hat OpenShift 4
Métodos de autenticação local para acesso ao plano de dados
Descrição: Métodos de autenticação local suportados para acesso ao plano de dados, como um nome de usuário e senha locais. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Notas de recursos: Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, use o Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Tutorial: Conectar-se a um cluster do Azure Red Hat OpenShift 4
IM-3: Gerencie identidades de aplicativos de forma segura e automática
Caraterísticas
Identidades gerenciadas
Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: O plano de dados suporta autenticação usando entidades de serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: para serviços que não oferecem suporte a identidades gerenciadas, use o Azure Ative Directory (Azure AD) para criar uma entidade de serviço com permissões restritas no nível do recurso. Configure entidades de serviço com credenciais de certificado e retorne aos segredos do cliente para autenticação.
Referência: Criar e usar um principal de serviço para implantar um cluster do Azure Red Hat OpenShift
IM-7: Restringir o acesso a recursos com base em condições
Caraterísticas
Acesso Condicional à Camada de Dados
Descrição: o acesso ao plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Azure AD. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Caraterísticas
Integração e armazenamento de suporte de credenciais e segredos de serviço no Cofre de Chaves do Azure
Descrição: O plano de dados dá suporte ao uso nativo do Cofre de Chaves do Azure para armazenamento de credenciais e segredos. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de recurso: Você pode usar o Azure Key Vault Provider for Secrets Store CSI Driver para proteger segredos ou conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc e usar a extensão Azure Key Vault Secrets Provider para buscar segredos.
Diretrizes de configuração: certifique-se de que os segredos e credenciais sejam armazenados em locais seguros, como o Cofre da Chave do Azure, em vez de incorporá-los em arquivos de código ou configuração.
Acesso privilegiado
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: Separe e limite usuários altamente privilegiados/administrativos
Caraterísticas
Contas de administrador local
Descrição: O serviço tem o conceito de conta administrativa local. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Notas de recursos: Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, use o Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Tutorial: Conectar-se a um cluster do Azure Red Hat OpenShift 4
PA-7: Siga o princípio de administração suficiente (menor privilégio)
Caraterísticas
RBAC para o Plano de Dados do Azure
Descrição: O Azure Role-Based Access Control (Azure RBAC) pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: o RBAC do Azure no plano de dados não é suportado, embora o RBAC nativo do serviço seja suportado.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem
Caraterísticas
Sistema de Proteção de Dados do Cliente
Descrição: O Customer Lockbox pode ser usado para acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: Em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Customer Lockbox para revisar e, em seguida, aprovar ou rejeitar cada uma das solicitações de acesso a dados da Microsoft.
Referência: Autorizar solicitações de suporte para acesso ao cluster com o Azure Lockbox
Proteção de dados
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Proteção de dados.
DP-1: Descubra, classifique e rotule dados confidenciais
Caraterísticas
Deteção e classificação de dados confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Caraterísticas
Prevenção de Fugas/Perdas de Dados
Descrição: O serviço suporta a solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Criptografar dados confidenciais em trânsito
Caraterísticas
Encriptação de Dados em Trânsito
Descrição: O serviço suporta criptografia de dados em trânsito no plano de dados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-4: Habilitar a criptografia de dados em repouso por padrão
Caraterísticas
Criptografia de dados em repouso usando chaves de plataforma
Descrição: A criptografia de dados em repouso usando chaves de plataforma é suportada, qualquer conteúdo de cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Verdade | Microsoft |
Notas de recurso: Por padrão, os discos do sistema operacional das máquinas virtuais em um cluster do Azure Red Hat OpenShift foram criptografados com chaves geradas automaticamente gerenciadas pelo Microsoft Azure. Para segurança adicional, os clientes podem criptografar os discos do sistema operacional com chaves autogerenciadas ao implantar um cluster do Azure Red Hat OpenShift.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-5: Use a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário
Caraterísticas
Criptografia de dados em repouso usando CMK
Descrição: A criptografia de dados em repouso usando chaves gerenciadas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de recursos: os clientes têm a capacidade de criptografar o conteúdo do cliente em volumes físicos e discos do sistema operacional usando CMK. No entanto, o conteúdo do cliente (credenciais da entidade de serviço associadas aos aplicativos do cliente) armazenado no banco de dados do serviço não pode ser criptografado usando CMK.
Diretrizes de configuração: Se necessário para conformidade regulamentar, defina o caso de uso e o escopo do serviço em que a criptografia usando chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Nota: Há instâncias que não suportam criptografia usando CMK.
DP-6: Use um processo seguro de gerenciamento de chaves
Caraterísticas
Gerenciamento de chaves no Cofre de Chaves do Azure
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no Cofre de Chaves do Azure e seu serviço com base em um cronograma definido ou quando houver uma desativação de chave ou comprometimento. Quando houver necessidade de usar a chave gerenciada pelo cliente (CMK) na carga de trabalho, serviço ou nível de aplicativo, certifique-se de seguir as práticas recomendadas para gerenciamento de chaves: Use uma hierarquia de chaves para gerar uma chave de criptografia de dados (DEK) separada com sua chave de criptografia de chave (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou aplicação. Se você precisar trazer sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM de seus HSMs locais para o Cofre de Chaves do Azure), siga as diretrizes recomendadas para executar a geração inicial de chaves e a transferência de chaves.
DP-7: Use um processo seguro de gerenciamento de certificados
Caraterísticas
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Caraterísticas
Suporte de Política do Azure
Descrição: As configurações de serviço podem ser monitoradas e aplicadas por meio da Política do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Notas de funcionalidades: Conecte o cluster Azure Red Hat OpenShift ao Azure Arc habilitado para Kubernetes e monitorize e aplique configurações usando a Extensão de Política do Azure.
Diretrizes de configuração: use o Azure Arc para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Utilize os efeitos da Política do Azure [negar] e [implantar caso não exista] para garantir uma configuração segura nos recursos do Azure.
Referência: Instalar a Extensão de Políticas do Azure para Kubernetes habilitado pelo Azure Arc
Registo e deteção de ameaças
Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Habilite os recursos de deteção de ameaças
Caraterísticas
Microsoft Defender para Oferta de Serviços e Produtos
Descrição: O serviço tem uma solução Microsoft Defender específica para monitorar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registro de logs para investigação de segurança
Caraterísticas
Registos de Recursos do Azure
Descrição: O serviço produz registos de recursos que podem fornecer métricas aperfeiçoadas e registos específicos do serviço. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio destino de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: ative os registos de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Azure Monitor Container Insights para clusters Kubernetes ativados pelo Azure Arc
Backup e recuperação
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Backup e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Caraterísticas
Azure Backup
Descrição: é possível fazer backup do serviço pelo serviço de Backup do Azure. Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de backup nativo do serviço
Descrição: O serviço dá suporte a seu próprio recurso de backup nativo (se não estiver usando o Backup do Azure). Mais informações.
| Suportado | Ativado por padrão | Responsabilidade pela configuração |
|---|---|---|
| Verdade | Falso | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Criar um backup de aplicativo de cluster do Azure Red Hat OpenShift 4
Próximos passos
- Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure