Compartir a través de


Base de referencia de seguridad de Azure para Container Registry

Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de pruebas de seguridad en la nube de Microsoft a Container Registry. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Container Registry.

Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.

Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido las características no aplicables a Container Registry. Para ver cómo Container Registry se asigna completamente a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Container Registry.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Container Registry, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Proceso, contenedores
El cliente puede acceder a HOST / OS Sin acceso
El servicio se puede implementar en la red virtual del cliente False
Almacena el contenido del cliente en reposo True

Seguridad de red

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Compatibilidad con grupos de seguridad de red

Descripción: El tráfico de red de servicio respeta la asignación de reglas grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos.

Referencia: Conexión privada a un registro de contenedor de Azure mediante Azure Private Link

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o habilitando la opción "deshabilitar el acceso a la red pública" en el servicio.

Referencia: Deshabilitar el acceso a la red pública

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerRegistry:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las instancias de Container Registry no deben permitir el acceso de red sin restricciones De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0

Administración de identidades

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesaria para el acceso al plano de datos

Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Autenticación con un registro de contenedor de Azure

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: restrinja el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.

Referencia: Creación de un token con permisos con ámbito de repositorio

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio siempre que sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Referencia: Uso de una identidad administrada de Azure para autenticarse en un registro de contenedor de Azure

Entidad de servicio

Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía adicional: Aunque el servicio admite las entidades de servicio como patrón para la autenticación, se recomienda usar identidades administradas siempre que sea posible.

Referencia: Autenticación de Azure Container Registry con entidades de servicio

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Acceso con privilegios

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de administrador local

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Notas de características: evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: si no es necesario para las operaciones administrativas rutinarias, deshabilite o restrinja las cuentas de administrador local solo para uso de emergencia. Cada registro de contenedor incluye una cuenta de usuario administrador, que está deshabilitada de forma predeterminada.

Referencia: Autenticación con un registro de contenedor de Azure

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Roles y permisos de Azure Container Registry

PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube

Características

Caja de seguridad del cliente

Descripción: Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft.

Referencia: Caja de seguridad del cliente para Microsoft Azure

Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Características

Clasificación y detección de datos confidenciales

Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Características

Prevención de pérdida o pérdida de datos

Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite las exportaciones del registro de contenedor para asegurarse de que los datos se acceden únicamente a través del plano de datos ("docker pull"). Esto garantiza que los datos no se pueden mover fuera del registro a través de "acr import" o a través de "acr transfer".

Referencia: Los registros de contenedor deben tener deshabilitadas las exportaciones

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de los datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Habilitación de TLS 1.2 en Azure Container Registry

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Cifrado del registro mediante una clave administrada por la plataforma

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Referencia: Cifrado del registro mediante una clave administrada por el cliente

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy - Microsoft.ContainerRegistry:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los registros de contenedor deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Administración de recursos

Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar la configuración segura en los recursos de Azure.

Referencia: Auditoría del cumplimiento de los registros de contenedor de Azure mediante Azure Policy

Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Microsoft Defender para la oferta de servicio o producto

Descripción: el servicio tiene una solución específica de La oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use la funcionalidad integrada de detección de amenazas de Microsoft Defender for Cloud y habilite Microsoft Defender para los recursos de Container Registry. Microsoft Defender para Container Registry ofrece otra capa de inteligencia de seguridad. Detecta intentos inusuales y potencialmente peligrosos de acceder a los recursos de Container Registry o vulnerarlos.

Referencia: Información general de Microsoft Defender para contenedores

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite los registros de recursos de Azure para Container Registry. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y para la realización de ejercicios forenses.

Referencia: Supervisión de Azure Container Registry

Copia de seguridad y recuperación

Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Pasos siguientes