مشاركة عبر

توصيات أمان الحاوية

تسرد هذه المقالة جميع توصيات أمان الحاوية التي قد تراها في Microsoft Defender for Cloud.

تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص. يمكنك الاطلاع على التوصيات في المدخل التي تنطبق على مواردك.

تلميح

إذا كان وصف التوصية يقول لا توجد سياسة ذات صلة، عادة ما يكون ذلك لأن هذه التوصية تعتمد على توصية مختلفة.

على سبيل المثال، يجب معالجة حالات فشل حماية نقطة النهاية التوصية يعتمد على التوصية التي تتحقق من تثبيت حل حماية نقطة النهاية (يجب تثبيت حل حماية نقطة النهاية). التوصية الأساسية لديها نهج. يؤدي قصر النهج على التوصيات الأساسية فقط إلى تبسيط إدارة النهج.

توصيات حاوية Azure

يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت

الوصف: ملحق نهج Azure ل Kubernetes يوسع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender

الوصف: يوفر ملحق Defender ل Azure Arc حماية من التهديدات لمجموعات Kubernetes التي تدعم Arc. يجمع الملحق البيانات من جميع عقد وحدة التحكم (الرئيسية) في نظام المجموعة ويرسلها إلى خلفية Microsoft Defender for Containers في السحابة لمزيد من التحليل. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. عند تمكين ملف تعريف SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure لـ Kubernetes مثبتة

الوصف: تعمل الوظيفة الإضافية لنهج Azure ل Kubernetes على توسيع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يتطلب Defender for Cloud الوظيفة الإضافية لتدقيق قدرات الأمان والامتثال وفرضها داخل مجموعاتك. اعرف المزيد. يتطلب Kubernetes v1.14.0 أو أحدث. (النهج ذي الصلة: يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على مجموعاتك).

الخطورة: عالية

النوع: وحدة التحكم

يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في صور Azure Container Registry).

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب فرض حدود CPU والذاكرة في الحاوية

الوصف: يؤدي فرض حدود وحدة المعالجة المركزية والذاكرة إلى منع هجمات استنفاد الموارد (شكل من أشكال هجوم رفض الخدمة).

نوصي بتعيين حدود للحاويات لضمان أن وقت التشغيل يمنع الحاوية من استخدام أكثر من حد الموارد المكون.

(النهج ذي الصلة: تأكد من أن حدود وحدة المعالجة المركزية للحاوية ومورد الذاكرة لا تتجاوز الحدود المحددة في مجموعة Kubernetes).

الخطورة: متوسط

النوع: وحدة بيانات Kubernetes

يجب نشر صور الحاوية من السجلات الموثوق بها فحسب

الوصف: يجب أن تأتي الصور التي تعمل على مجموعة Kubernetes الخاصة بك من سجلات صور الحاوية المعروفة والمراقبة. تقلل السجلات الموثوق بها من مخاطر تعرض مجموعتك من خلال الحد من احتمال إدخال ثغرات أمنية غير معروفة ومشكلات أمنية وصور ضارة.

(النهج ذي الصلة: تأكد من صور الحاوية المسموح بها فقط في مجموعة Kubernetes).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

[معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

(تمكين إذا لزم الأمر) يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)

الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK في نظرة عامة على المفاتيح التي يديرها العميل. (النهج ذي الصلة: يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)).

الخطورة: منخفض

النوع: وحدة التحكم

يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة

الوصف: تقبل سجلات حاويات Azure افتراضيا الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات من التهديدات المحتملة، اسمح بالوصول من عناوين IP العامة أو نطاقات العناوين المحددة فقط. إذا لم يكن لدى التسجيل قاعدة IP/جدار الحماية أو شبكة ظاهرية مكونة، فسيظهر في الموارد غير الصحية. تعرف على المزيد حول قواعد شبكة سجل الحاوية في تكوين قواعد شبكة IP العامة وتقييد الوصول إلى سجل حاوية باستخدام نقطة نهاية خدمة في شبكة Azure الظاهرية. (النهج ذي الصلة: يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة).

الخطورة: متوسط

النوع: وحدة التحكم

الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلًا من الخدمة بأكملها، ستكون محميًا أيضًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. (النهج ذي الصلة: يجب أن تستخدم سجلات الحاويات رابطا خاصا).

الخطورة: متوسط

النوع: وحدة التحكم

[معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes الخاصة بك، ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور وتقارير الثغرات الأمنية التي تم إنشاؤها لصور السجل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

إشعار

بدءا من 6 أكتوبر 2024، تم تحديث هذه التوصية للإبلاغ عن حاوية واحدة فقط لكل وحدة تحكم جذر. على سبيل المثال، إذا كان cronjob ينشئ وظائف متعددة، حيث تقوم كل وظيفة بإنشاء جراب مع حاوية ضعيفة، فإن التوصية ستبلغ فقط عن مثيل واحد من الحاويات الضعيفة داخل تلك الوظيفة. سيساعد هذا التغيير في إزالة التقارير المكررة للحاويات المتطابقة التي تتطلب إجراء واحدا للمعالجة. إذا استخدمت هذه التوصية قبل التغيير، يجب أن تتوقع انخفاضا في عدد مثيلات هذه التوصية.
لدعم هذا التحسين، تم تحديث مفتاح التقييم لهذه التوصية إلى c5045ea3-afc6-4006-ab8f-86c8574dbf3d. إذا كنت تقوم حاليا باسترداد تقارير الثغرات الأمنية من هذه التوصية عبر واجهة برمجة التطبيقات، فتأكد من تغيير استدعاء واجهة برمجة التطبيقات لاستخدام مفتاح التقييم الجديد.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب تجنب الحاويات التي تشارك مساحات أسماء المضيف الحساسة

الوصف: للحماية من تصعيد الامتيازات خارج الحاوية، تجنب الوصول إلى مساحات أسماء المضيف الحساسة (معرف عملية المضيف و IPC المضيف) في مجموعة Kubernetes. (النهج ذي الصلة: يجب ألا تشارك حاويات نظام مجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فحسب

الوصف: يجب أن تقتصر الحاويات التي تعمل على مجموعات Kubernetes على ملفات تعريف AppArmor المسموح بها فقط. AppArmor (درع التطبيق) هي وحدة أمان Linux تحمي نظام التشغيل وتطبيقاته من التهديدات الأمنية. لاستخدامه، يقوم مسؤول النظام بربط ملف تعريف أمان AppArmor بكل برنامج. (النهج ذي الصلة: يجب أن تستخدم حاويات نظام مجموعة Kubernetes ملفات تعريف AppArmor المسموح بها فقط).

الخطورة: عالية

النوع: مستوى بيانات Kubernetes

يجب تجنب الحاوية التي تتمتع بزيادة الامتيازات

الوصف: لا يجب تشغيل الحاويات مع تصعيد الامتيازات إلى الجذر في مجموعة Kubernetes الخاصة بك. تتحكم سمة AllowPrivilegeEscalation في ما إذا كان يمكن لعملية الحصول على امتيازات أكثر من العملية الأصلية الخاصة بها. (النهج ذي الصلة: يجب ألا تسمح مجموعات Kubernetes بزيادة امتيازات الحاوية).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تمكين سجلات التشخيص في خدمات Kubernetes⁧

الوصف: تمكين سجلات التشخيص في خدمات Kubernetes الخاصة بك والاحتفاظ بها لمدة تصل إلى عام. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حالة حدوث حادث أمني. (لا توجد سياسة ذات صلة)

الخطورة: منخفض

النوع: وحدة التحكم

يجب فرض نظام ملفات الجذر غير القابل للتغيير (للقراءة فقط) للحاويات

الوصف: يجب تشغيل الحاويات مع نظام ملفات جذر للقراءة فقط في مجموعة Kubernetes الخاصة بك. يحمي نظام الملفات غير القابل للتغيير الحاويات من التغييرات في وقت التشغيل مع إضافة ثنائيات ضارة إلى PATH. (النهج ذي الصلة: يجب تشغيل حاويات نظام مجموعة Kubernetes مع نظام ملفات الجذر للقراءة فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تكوين خادم واجهة برمجة تطبيقات Kubernetes مع وصول مقيد

الوصف: للتأكد من أن التطبيقات من الشبكات أو الأجهزة أو الشبكات الفرعية المسموح بها فقط يمكنها الوصول إلى مجموعتك، قم بتقييد الوصول إلى خادم Kubernetes API. يمكنك تقييد الوصول عن طريق تحديد نطاقات IP المعتمدة، أو عن طريق إعداد خوادم API الخاصة بك كتجمعات خاصة كما هو موضح في إنشاء نظام مجموعة Azure Kubernetes Service خاص. (النهج ذي الصلة: يجب تحديد نطاقات IP المعتمدة على خدمات Kubernetes).

الخطورة: عالية

النوع: وحدة التحكم

⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧

الوصف: يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. تتوفر هذه الإمكانية حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة لمحرك AKS وAzure Arc تمكين Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc (النهج المرتبط: فرض دخول HTTPS في مجموعة Kubernetes).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي

الوصف: قم بتعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائيا لمنع مورد Pod يحتمل اختراقه لتشغيل أوامر واجهة برمجة التطبيقات مقابل مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد واجهة برمجة التطبيقات للتحجيم التلقائي).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAPSYSADMIN

الوصف: لتقليل سطح الهجوم للحاويات الخاصة بك، قم بتقييد قدرات Linux CAP_SYS_ADMIN. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: مستوى بيانات Kubernetes

يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية

الوصف: منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به إلى أنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية).

الخطورة: منخفض

النوع: مستوى بيانات Kubernetes

يجب فرض أقل امتيازات على قدرات Linux للحاويات

الوصف: لتقليل سطح الهجوم للحاوية الخاصة بك، قم بتقييد قدرات Linux ومنح امتيازات محددة للحاويات دون منح جميع امتيازات المستخدم الجذر. نوصي بإسقاط جميع القدرات، ثم إضافة تلك المطلوبة (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes القدرات المسموح بها فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تمكين Microsoft Defender للحاويات

الوصف: يوفر Microsoft Defender for Containers الحماية وتقييم الثغرات الأمنية والحماية في وقت التشغيل لبيئات Azure والهجين وبيئات Kubernetes متعددة الأوساط السحابية. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان حاوياتك.

ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية مجموعات Kubernetes الخاصة بك. إذا لم يكن لديك أي مجموعات Kubernetes في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي مجموعات Kubernetes على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب تجنب الحاويات عالية الامتيازات

الوصف: لمنع وصول المضيف غير المقيد، تجنب الحاويات المميزة كلما أمكن ذلك.

تحتوي الحاويات المميزة على جميع القدرات الجذرية لجهاز مضيف. يمكن استخدامها كنقاط إدخال للهجمات ولنشر التعليمات البرمجية الضارة أو البرامج الضارة إلى التطبيقات والمضيفين والشبكات المخترقة. (النهج ذي الصلة: لا تسمح بالحاويات المميزة في مجموعة Kubernetes).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب استخدام التحكم في الوصول المستند إلى الدور على خدمات Kubernetes

الوصف: لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم في الوصول المستند إلى الدور (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. (النهج ذي الصلة: يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على خدمات Kubernetes).

الخطورة: عالية

النوع: وحدة التحكم

يجب تجنب تشغيل الحاويات كمستخدم جذر

الوصف: لا يجب تشغيل الحاويات كمستخدمين جذر في مجموعة Kubernetes الخاصة بك. تشغيل عملية كمستخدم جذر داخل حاوية يشغلها كجذر على المضيف. إذا كان هناك حل وسط، يكون للمهاجم جذر في الحاوية، وتصبح أي تكوينات خاطئة أسهل في الاستغلال. (النهج ذي الصلة: يجب تشغيل حاويات وحاويات نظام مجموعة Kubernetes فقط مع معرفات المستخدم والمجموعة المعتمدة).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب أن تستمع الخدمات على المنافذ المسموح بها فحسب

الوصف: لتقليل سطح الهجوم لمجموعة Kubernetes الخاصة بك، قم بتقييد الوصول إلى نظام المجموعة عن طريق تقييد وصول الخدمات إلى المنافذ المكونة. (النهج ذي الصلة: تأكد من أن الخدمات تستمع فقط إلى المنافذ المسموح بها في مجموعة Kubernetes).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تقييد استخدام شبكات المضيفين ومنافذهم

الوصف: تقييد الوصول إلى pod إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة Kubernetes. ستشارك Pods التي تم إنشاؤها باستخدام سمة hostNetwork الممكنة مساحة شبكة العقدة. لتجنب اختراق الحاوية من شم نسبة استخدام الشبكة، نوصي بعدم وضع pods على الشبكة المضيفة. إذا كنت بحاجة إلى عرض منفذ حاوية على شبكة العقدة، ولا يلبي استخدام منفذ عقدة خدمة Kubernetes احتياجاتك، فإن احتمالا آخر هو تحديد منفذ مضيف للحاوية في مواصفات الحاوية. (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes شبكة المضيف المعتمدة ونطاق المنفذ فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تقييد استخدام تحميلات وحدة تخزين pod HostPath إلى قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة

الوصف: نوصي بتقييد تحميلات وحدة تخزين pod HostPath في مجموعة Kubernetes الخاصة بك إلى مسارات المضيف المسموح بها المكونة. إذا كان هناك اختراق، يجب تقييد الوصول إلى عقدة الحاوية من الحاويات. (النهج ذي الصلة: يجب أن تستخدم وحدات تخزين Kubernetes cluster pod hostPath مسارات المضيف المسموح بها فقط).

الخطورة: متوسط

النوع: وحدة بيانات Kubernetes

توصيات حاوية AWS

[معاينة] يجب أن تحتوي صور الحاوية في سجل AWS على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور حاوية سجل AWS على نتائج الثغرات الأمنية التي تم حلها

الوصف: يفحص صور حاوية سجلات AWS بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي الحاويات التي تعمل في AWS على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور وتقارير الثغرات الأمنية التي تم إنشاؤها لصور السجل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

إشعار

بدءا من 6 أكتوبر 2024، تم تحديث هذه التوصية للإبلاغ عن حاوية واحدة فقط لكل وحدة تحكم جذر. على سبيل المثال، إذا كان cronjob ينشئ وظائف متعددة، حيث تقوم كل وظيفة بإنشاء جراب مع حاوية ضعيفة، فإن التوصية ستبلغ فقط عن مثيل واحد من الحاويات الضعيفة داخل تلك الوظيفة. سيساعد هذا التغيير في إزالة التقارير المكررة للحاويات المتطابقة التي تتطلب إجراء واحدا للمعالجة. إذا استخدمت هذه التوصية قبل التغيير، يجب أن تتوقع انخفاضا في عدد مثيلات هذه التوصية.
لدعم هذا التحسين، تم تحديث مفتاح التقييم لهذه التوصية إلى 8749bb43-cd24-4cf9-848c-2a50f632043c. إذا كنت تقوم حاليا باسترداد تقارير الثغرات الأمنية من هذه التوصية عبر واجهة برمجة التطبيقات، فتأكد من تحديث استدعاء واجهة برمجة التطبيقات لاستخدام مفتاح التقييم الجديد.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن يكون لصور حاوية تشغيل AWS نتائج الثغرات الأمنية التي تم حلها

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Elastic Kubernetes. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يتعين أن تمنح مجموعات EKS أذونات AWS المطلوبة لـ Microsoft Defender لـ Cloud

الوصف: يوفر Microsoft Defender for Containers الحماية لمجموعات EKS الخاصة بك. لمراقبة النظام الخاص بالمجموعة بحثًا عن الثغرات الأمنية والتهديدات، يحتاج Defender for Containers إلى أذونات لحساب AWS الخاص بك. يتم استخدام هذه الأذونات لتمكين تسجيل مستوى تحكم Kubernetes على مجموعتك وإنشاء مسار موثوق به بين نظام المجموعة الخاص بك والواجهة الخلفية ل Defender for Cloud في السحابة. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يتعين أن يكون ملحق نظام مجموعات EKS لـ Microsoft Defender لـ Azure Arc مثبتًا

الوصف: يوفر ملحق نظام مجموعة Microsoft Defender إمكانات أمان لمجموعات EKS الخاصة بك. يعمل الملحق على جمع البيانات من نظام مجموعة وعقده لتحديد الثغرات الأمنية والتهديدات. يعمل الملحق مع Kubernetes التي تدعم Azure Arc. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يتعين تمكين Microsoft Defender للحاويات على موصلات AWS

الوصف: يوفر Microsoft Defender for Containers الحماية من التهديدات في الوقت الحقيقي للبيئات المعبأة في حاويات وينشئ تنبيهات حول الأنشطة المشبوهة. استخدم هذه المعلومات لتعزيز أمان نظام مجموعات Kubernetes ومعالجة مشكلات الأمان.

عند تمكين Microsoft Defender for Containers ونشر Azure Arc إلى مجموعات EKS الخاصة بك، ستبدأ الحماية - والرسوم . إذا لم تقم بنشر Azure Arc على نظام مجموعة، فلن يحميه Defender for Containers، ولن يتم تكبد أي رسوم لخطة Microsoft Defender هذه لنظام المجموعة هذا.

الخطورة: عالية

توصيات مستوى البيانات

يتم دعم جميع توصيات أمان مستوى بيانات Kubernetes ل AWS بعد تمكين نهج Azure ل Kubernetes.

توصيات حاوية GCP

يجب تمكين التكوين المتقدم ل Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. للتأكد من توفير الحل بشكل صحيح، وإتاحة المجموعة الكاملة من الإمكانات، قم بتمكين جميع إعدادات التكوين المتقدمة.

الخطورة: عالية

[معاينة] يجب أن تحتوي صور الحاوية في سجل GCP على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.

التوصية يجب أن تحتوي صور حاوية سجل GCP على نتائج الثغرات الأمنية التي تم حلها (مدعومة من إدارة الثغرات الأمنية ل Microsoft Defender) عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور حاوية سجل GCP على نتائج الثغرات الأمنية التي تم حلها

الوصف: يفحص صور حاوية سجلات GCP بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي الحاويات التي تعمل في GCP على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور وتقارير الثغرات الأمنية التي تم إنشاؤها لصور السجل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

إشعار

بدءا من 6 أكتوبر 2024، تم تحديث هذه التوصية للإبلاغ عن حاوية واحدة فقط لكل وحدة تحكم جذر. على سبيل المثال، إذا كان cronjob ينشئ وظائف متعددة، حيث تقوم كل وظيفة بإنشاء جراب مع حاوية ضعيفة، فإن التوصية ستبلغ فقط عن مثيل واحد من الحاويات الضعيفة داخل تلك الوظيفة. سيساعد هذا التغيير في إزالة التقارير المكررة للحاويات المتطابقة التي تتطلب إجراء واحدا للمعالجة. إذا استخدمت هذه التوصية قبل التغيير، يجب أن تتوقع انخفاضا في عدد مثيلات هذه التوصية.
لدعم هذا التحسين، تم تحديث مفتاح التقييم لهذه التوصية إلى 1b3abfa4-9e53-46f1-9627-51f2957f8bba. إذا كنت تقوم حاليا باسترداد تقارير الثغرات الأمنية من هذه التوصية عبر واجهة برمجة التطبيقات، فتأكد من تحديث استدعاء واجهة برمجة التطبيقات لاستخدام مفتاح التقييم الجديد.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن يكون لصور الحاوية قيد التشغيل GCP نتائج الثغرات الأمنية التي تم حلها

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Google Kubernetes. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن يكون ملحق Microsoft Defender لمجموعات GKE ل Azure Arc مثبتا

الوصف: يوفر ملحق نظام مجموعة Microsoft Defender إمكانات أمان لمجموعات GKE. يعمل الملحق على جمع البيانات من نظام مجموعة وعقده لتحديد الثغرات الأمنية والتهديدات. يعمل الملحق مع Kubernetes التي تدعم Azure Arc. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يجب أن يكون ملحق نهج Azure مثبتا على مجموعات GKE

الوصف: ملحق نهج Azure ل Kubernetes يوسع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يعمل الملحق مع Kubernetes التي تدعم Azure Arc.

الخطورة: عالية

يجب تمكين Microsoft Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. تمكين خطة الحاويات على موصل GCP الخاص بك، لتقوية أمان مجموعات Kubernetes ومعالجة مشكلات الأمان. تعرّف على المزيد حول Microsoft Defender للحاويات.

الخطورة: عالية

يجب تمكين ميزة الإصلاح التلقائي لنظام مجموعة GKE

الوصف: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، key: autoRepair, value: true.

الخطورة: متوسط

يجب تمكين ميزة الترقية التلقائية لنظام مجموعة GKE

الوصف: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، key: autoUpgrade, value: true.

الخطورة: عالية

يجب تمكين المراقبة على مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية monitoringService لنظام مجموعة تحتوي على الموقع الذي يجب أن تستخدمه Cloud Monitoring لكتابة المقاييس.

الخطورة: متوسط

يجب تمكين تسجيل مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية loggingService لنظام مجموعة تحتوي على الموقع الذي يجب أن يستخدمه Cloud Logging لكتابة السجلات.

الخطورة: عالية

يجب تعطيل لوحة معلومات ويب GKE

الوصف: تقيم هذه التوصية حقل kubernetesDashboard لخاصية addonsConfig لزوج قيمة المفتاح، "معطل": خطأ.

الخطورة: عالية

يجب تعطيل التخويل القديم على مجموعات GKE

الوصف: تقيم هذه التوصية خاصية legacyAbac لنظام مجموعة لزوج قيمة المفتاح، "ممكن": صحيح.

الخطورة: عالية

يجب تمكين الشبكات المعتمدة لمستوى التحكم على مجموعات GKE

الوصف: تقيم هذه التوصية الخاصية MasterAuthorizedNetworksConfig لنظام مجموعة لزوج قيمة المفتاح، 'enabled': false.

الخطورة: عالية

يجب تمكين نطاقات IP المستعارة لمجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كان يتم تعيين حقل useIPAliases الخاص ب ipAllocationPolicy في نظام مجموعة إلى false.

الخطورة: منخفض

يجب أن يكون لدى مجموعات GKE مجموعات خاصة ممكنة

الوصف: تقيم هذه التوصية ما إذا كان حقل enablePrivateNodes الخاص بخاصية privateClusterConfig معينا على false.

الخطورة: عالية

يجب تمكين نهج الشبكة على مجموعات GKE

الوصف/ تعليمات: تقيم هذه التوصية حقل networkPolicy لخاصية addonsConfig لزوج قيمة المفتاح، 'disabled': true.

الخطورة: متوسط

توصيات مستوى البيانات

يتم دعم جميع توصيات أمان مستوى بيانات Kubernetes ل GCP بعد تمكين نهج Azure ل Kubernetes.

توصيات سجلات الحاويات الخارجية

[معاينة] يجب أن تحتوي صور الحاوية في سجل Docker Hub على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. تساعد معالجة الثغرات الأمنية في صور الحاويات في الحفاظ على سلسلة توريد برامج آمنة وموثوقة، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة."

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي صور الحاوية في سجل Jfrog Artifactory على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. تساعد معالجة الثغرات الأمنية في صور الحاويات في الحفاظ على سلسلة توريد برامج آمنة وموثوقة، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة."

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

المحتوى ذو الصلة

  • Last updated on