إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة كيفية تمكين وتكوين النشر المحصن لمجموعات Kubernetes باستخدام Microsoft Defender for Containers.
يفرض النشر المحصن سياسات أمان صور الحاويات أثناء النشر باستخدام نتائج مسح الثغرات من السجلات المدعومة - سجل الحاويات Azure (ACR)، سجل الحاويات المرنة من أمازون (ECR)، وسجل المصنوعات من جوجل. يعمل مع مراقب قبول Kubernetes لتقييم الصور قبل قبول المجموعة لها.
المتطلبات
| المتطلب | التفاصيل |
|---|---|
| خطة Defender | فعل Defender للحاويات على كل من سجل الحاويات واشتراكات/حسابات مجموعة Kubernetes. مهم: إذا كانت سجل الحاويات ومجموعة Kubernetes الخاصة بك موجودة في اشتراكات Azure مختلفة (أو حسابات AWS/مشاريع GCP)، يجب عليك تفعيل خطة Defender for Containers والإضافات ذات الصلة على كلا الحسابين السحابيين. |
| تمديدات المخطط | حساس المدافع، بوابة الأمان، نتائج الأمان، والوصول إلى السجل. قم بتشغيل أو إيقاف تمديدات الخطة في إعداد خطة Defender for Containers. يتم تفعيلها افتراضيا في بيئات Defender for Containers الجديدة. |
| دعم عنقود Kubernetes | AKS، EKS، GKE - الإصدار 1.31 أو أحدث. |
| دعم السجل | استخدم Azure Container Registry (ACR)، أو Amazon Elastic Container Registry (ECR)، أو Google Artifact Registry. |
| الأذونات | إنشاء أو تغيير سياسات النشر المحدد مع إذن مسؤول الأمن أو مستأجر أعلى. شاهدها باستخدام قارئ الأمان أو إذن المستأجر الأعلى. |
تمكين النشر المحصن وإنشاء قاعدة أمنية
الخطوة 1: تمكين تمديدات الخطة المطلوبة
اذهب إلى Microsoft Defender for>Cloud Environment Settings.
اختر الاشتراك المناسب، أو حساب AWS، أو مشروع GCP.
تحت الإعدادات والمراقبة، قم بتفعيل هذه التبديلات التالية:
-
حساس المدافع
- بوابة أمنية
-
الوصول إلى السجل
- نتائج الأمان
-
حساس المدافع
الخطوة 2: قواعد أمان الوصول
في إعدادات البيئة، اذهب إلى بلاطة قواعد الأمان .
اختر تبويب تقييم الثغرات .
الخطوة 3: أنشئ قاعدة جديدة
إشعار
افتراضيا، بعد تفعيل خطط Defender والامتدادات المطلوبة، تنشئ البوابة قاعدة تدقيق تحدد الصور التي تحتوي على ثغرات عالية أو حرجة.
- حدد إضافة قاعدة.
- املأ الحقول التالية:
| ميدان | الوصف |
|---|---|
| اسم القاعدة | اسم فريد للقاعدة |
| Action | اختر التدقيق أو الرفض |
| اسم النطاق | تسمية للتسلور |
| نطاق السحابة | اختر اشتراك Azure، أو حساب AWS، أو مشروع GCP |
| نطاق الموارد | اختر من بين العنقود، مساحة الأسماء، البود، النشر، الصورة، محدد التسمية |
| معايير المطابقة | اختر من بين المساواة، تبدأ مع، تنتهي مع، تحتوي، لا تساوي |
الخطوة 4: تعريف الشروط
تحت إعدادات المسح، حدد:
- شروط قواعد التفعيل: اختر مستويات شدة الثغرات أو معرفات CVE محددة
الخطوة 5: تعريف الإعفاءات
تسمح الاستثناءات للموارد الموثوقة بتجاوز قواعد البوابة.
أنواع الإعفاءات المدعومة
| النوع | الوصف |
|---|---|
| CVE | معرف الثغرة المحددة |
| التوزيع | النشر المستهدف |
| Image | ملخص الصور المحددة |
| مساحة الاسم | مساحة اسم Kubernetes |
| جراب | الوحدة المحددة |
| Registry | سجل الحاوية |
| المستودع | مستودع الصور |
معايير المطابقة
- يساوي
- يبدأ ب
- ينتهي ب
- Contains
التكوين الزمني
| الولاية | سلوك |
|---|---|
| Default | الاستبعاد غير محدد |
| Time-Bound مفعل | يظهر شخص يختار المواعيد. ينتهي الاستثناء في نهاية اليوم المحدد |
قم بتكوين الإعفاءات أثناء إنشاء القواعد. تنطبق على التدقيق ورفض القواعد.
الخطوة 6: إنهاء الوضع والحفظ
- راجع تكوين القواعد.
- لحفظ وتفعيل القاعدة، اختر إضافة القاعدة.
تكوين وضع الرفض
يمكن لوضع الرفض أن يسبب تأخيرا لمدة ثانية أو ثانيتين أثناء النشر بسبب تطبيق السياسات في الوقت الحقيقي. عند اختيار الرفض كإجراء، يظهر إشعار.
مراقبة القبول
تظهر أحداث النشر المسجل في عرض مراقبة الدخول في Defender for Cloud. يوفر هذا العرض رؤية لتقييمات القواعد، والأفعال المفعلة، والموارد المتأثرة. استخدم هذا العرض لتتبع قرارات التدقيق والرفض عبر مجموعات Kubernetes الخاصة بك.
عرض تفاصيل الحدث
للتحقق من حدث قبول معين، اختره من القائمة. يفتح لوح التفاصيل ليعرض:
- الطابع الزمني وإجراءات القبول: متى وقع الحدث وما إذا كان مسموحا به أم رفضه
- تفاصيل المشغل: ملخص صورة الحاوية، أي مخالفات تم اكتشافها، واسم القاعدة التي تم تفعيلها
- وصف السياسة: سياسة ومعايير تقييم الثغرات المستخدمة في التقييم
- لمحة عن تكوين القواعد: الشروط والاستثناءات المحددة التي تم تطبيقها
أفضل الممارسات لتصميم القواعد
- ابدأ بوضع التدقيق لمراقبة التأثير قبل تطبيق وضع الرفض.
- قواعد النطاق ضيقة (على سبيل المثال، حسب مساحة الأسماء أو النشر) لتقليل الإيجابيات الكاذبة.
- استخدم الإعفاءات المحددة زمنيا لإزالة الحظر من سير العمل الحرج مع الحفاظ على الإشراف.
- راجع بانتظام نشاط القواعد في منظور مراقبة القبول لتحسين استراتيجية التنفيذ.
قم بتعطيل أو حذف قاعدة أمان النشر المسجل
تعطيل قاعدة أمان النشر المحصن
- اختر قواعد الأمان في لوحة إعدادات البيئة السحابية في Microsoft Defender .
- اختر تقييم الثغرات لعرض قائمة بقواعد أمان النشر المبوغة المحددة.
- اختر قاعدة أمان ثم اختر تعطيل.
حذف قاعدة أمان النشر المحصن
- اختر قواعد الأمان في لوحة إعدادات البيئة السحابية في Microsoft Defender .
- اختر تقييم الثغرات لعرض قائمة بقواعد الأمان المحددة.
- اختر قاعدة أمان ثم اختر حذف.
المحتوى ذو الصلة
لمزيد من الإرشادات والدعم، راجع الوثائق التالية:
نظرة عامة: النشر المحدد لصور الحاويات على عنقود Kubernetes
مقدمة عن الميزة، فوائدها، القدرات الرئيسية، وكيفية عملهاالأسئلة الشائعة: النشر المسور في Defender for Containers
إجابات على الأسئلة الشائعة لدى العملاء حول سلوك النشر المحدد والتكويندليل استكشاف الأخطاء: النشر المحدد وتجربة المطور
مساعدة في حل مشاكل الانضمام وفشل النشر وتفسير الرسائل الموجهة للمطورين