forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathacr_security_checklist.pt.json
204 lines (204 loc) · 11.2 KB
/
acr_security_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
{
"categories": [
{
"name": "Segurança"
}
],
"items": [
{
"category": "Segurança",
"description": "Desative a exportação de imagens para impedir a exfiltração de dados. Observe que isso impedirá a importação de imagens para outra instância ACR.",
"guid": "ab91932c-9fc9-4d1b-a880-37f5e6bfcb9e",
"link": "https://learn.microsoft.com/azure/container-registry/data-loss-prevention",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Desabilitar a exportação de imagem do Registro de Contêiner do Azure"
},
{
"category": "Segurança",
"description": "Habilite a visibilidade da conformidade de auditoria habilitando o Registro de eContainer da Política do Azure para Azur",
"guid": "d503547c-d447-4e82-9128-a7100f1cac6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-azure-policy",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Habilitar Políticas do Azure para o Registro de Contêiner do Azure"
},
{
"category": "Segurança",
"description": "O Cofre da Chave do Azure (AKV) é usado para armazenar uma chave de assinatura que pode ser utilizada por notação com o plug-in AKV de notação (azure-kv) para assinar e verificar imagens de contêiner e outros artefatos. O ACR (Registro de Contêiner) do Azure permite que você anexe essas assinaturas usando os comandos da CLI az ou oras.",
"guid": "d345293c-7639-4637-a551-c5c04e401955",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-tutorial-sign-build-push",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Assinar e verificar contêineres com notação (notário v2)"
},
{
"category": "Segurança",
"description": "O Registro de Contêiner do Azure criptografa automaticamente imagens e outros artefatos que você armazena. Por padrão, o Azure criptografa automaticamente o conteúdo do Registro em repouso usando chaves gerenciadas por serviço. Usando uma chave gerenciada pelo cliente, você pode complementar a criptografia padrão com uma camada de criptografia adicional.",
"guid": "0bd05dc2-efd5-4d76-8d41-d2500cc47b49",
"link": "https://learn.microsoft.com/azure/container-registry/tutorial-customer-managed-keys",
"severity": "Média",
"subcategory": "Proteção de Dados",
"text": "Criptografar o registro com uma chave gerenciada pelo cliente"
},
{
"category": "Segurança",
"description": "Usar identidades gerenciadas para proteger o acesso RBAC ACRPull/Push de aplicativos cliente",
"guid": "8f42d78e-79dc-47b3-9bd2-a1a27e7a8e90",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Usar identidades gerenciadas para se conectar em vez de entidades de serviço"
},
{
"category": "Segurança",
"description": "A conta de Administrador local está desabilitada por padrão e não deve ser habilitada. Em vez disso, use métodos de acesso baseados em Token ou RBAC",
"guid": "be0e38ce-e297-411b-b363-caaab79b198d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Desabilitar a autenticação local para acesso ao plano de gerenciamento"
},
{
"category": "Segurança",
"description": "Desabilitar a conta de Administrador e atribuir funções RBAC a entidades de segurança para operações de Pull/Push do ACR",
"guid": "387e5ced-126c-4d13-8af5-b20c6998a646",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-roles?tabs=azure-cli",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Atribuir funções AcrPull e AcrPush RBAC em vez de conceder acesso administrativo a entidades de identidade"
},
{
"category": "Segurança",
"description": "Desativar o acesso anônimo pull/push",
"guid": "e338997e-41c7-47d7-acf6-a62a1194956d",
"link": "https://learn.microsoft.com/azure/container-registry/anonymous-pull-access#configure-anonymous-pull-access",
"severity": "Média",
"subcategory": "Controle de Identidade e Acesso",
"text": "Desabilitar o acesso pull anônimo"
},
{
"category": "Segurança",
"description": "A autenticação de token não oferece suporte à atribuição a uma entidade de segurança do AAD. Quaisquer tokens fornecidos podem ser usados por qualquer pessoa que possa acessar o token",
"guid": "698dc3a2-fd27-4b2e-8870-1a1252beedf6",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication?tabs=azure-cli",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Desabilitar tokens de acesso com escopo de repositório"
},
{
"category": "Segurança",
"description": "Implantar imagens de contêiner em um ACR atrás de um ponto de extremidade privado em uma rede confiável",
"guid": "b3bec3d4-f343-47c1-936d-b55f27a71eee",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Implantar imagens de um ambiente confiável"
},
{
"category": "Segurança",
"description": "Somente tokens com uma audiência ACR podem ser usados para autenticação. Usado ao analisar políticas de acesso condicional para ACR",
"guid": "3a041fd3-2947-498b-8288-b3c6a56ceb54",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-enable-conditional-access-policy",
"severity": "Média",
"subcategory": "Controle de Identidade e Acesso",
"text": "Desabilitar tokens de audiência do ARM do Azure para autenticação"
},
{
"category": "Segurança",
"description": "Configure uma configuração de diagnóstico para enviar 'repositoryEvents' e 'LoginEvents' para o Log Analytics como o destino central para registro em log e monitoramento. Isso permite que você monitore a atividade do plano de controle no próprio recurso ACR.",
"guid": "8a488cde-c486-42bc-9bd2-1be77f26e5e6",
"link": "https://learn.microsoft.com/azure/container-registry/monitor-service",
"severity": "Média",
"subcategory": "Registro em log e monitoramento",
"text": "Habilitar o log de diagnóstico"
},
{
"category": "Segurança",
"description": "O serviço dá suporte à desabilitação do acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço (não NSG ou Firewall do Azure) ou usando um botão de alternância 'Desabilitar Acesso à Rede Pública'",
"guid": "21d41d25-00b7-407a-b9ea-b40fd3290798",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-private-link",
"severity": "Média",
"subcategory": "Segurança de rede",
"text": "Controle o acesso à rede de entrada com o Private Link"
},
{
"category": "Segurança",
"description": "Desabilitar o acesso à rede pública se o acesso à rede de entrada estiver protegido usando o Link Privado",
"guid": "cd289ced-6b17-4db8-8554-62f2aee4553a",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-access-selected-networks#disable-public-network-access",
"severity": "Média",
"subcategory": "Segurança de rede",
"text": "Desabilitar o acesso à Rede Pública"
},
{
"category": "Segurança",
"description": "Apenas o ACR Premium SKU suporta acesso a Link Privado",
"guid": "fc833934-8b26-42d6-ac5f-512925498f6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-skus",
"severity": "Média",
"subcategory": "Segurança de rede",
"text": "Usar uma SKU do Registro de Contêiner do Azure que dá suporte ao Private Link (SKU Premium)"
},
{
"category": "Segurança",
"description": "O Azure Defender para contêineres ou serviço equivalente deve ser usado para verificar imagens de contêiner em busca de vulnerabilidades",
"guid": "bad37dac-43bc-46ce-8d7a-a9b24604489a",
"link": "https://learn.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction",
"severity": "Baixo",
"subcategory": "Segurança de rede",
"text": "Habilitar o Defender for Containers para verificar o Registro de Contêiner do Azure em busca de vulnerabilidades"
},
{
"category": "Segurança",
"description": "Implante código confiável que foi validado e verificado em busca de vulnerabilidades de acordo com as práticas de DevSecOps.",
"guid": "4451e1a2-d345-4293-a763-9637a551c5c0",
"severity": "Média",
"subcategory": "Gerenciamento de vulnerabilidades",
"text": "Implantar imagens de contêiner validadas"
},
{
"category": "Segurança",
"description": "Use as versões mais recentes de plataformas, linguagens de programação, protocolos e estruturas suportados.",
"guid": "4e401955-387e-45ce-b126-cd132af5b20c",
"severity": "Alto",
"subcategory": "Gerenciamento de vulnerabilidades",
"text": "Use plataformas, linguagens, protocolos e frameworks atualizados"
}
],
"metadata": {
"name": "Azure Container Registry Security Review"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"status": [
{
"description": "Esta verificação ainda não foi analisada",
"name": "Não verificado"
},
{
"description": "Há um item de ação associado a essa verificação",
"name": "Abrir"
},
{
"description": "Essa verificação foi verificada e não há mais itens de ação associados a ela",
"name": "Cumprido"
},
{
"description": "Não aplicável ao projeto atual",
"name": "N/A"
},
{
"description": "Não é necessário",
"name": "Não é necessário"
}
]
}