توصيات أمان الحاوية

مقالة
07/08/2024

تسرد هذه المقالة جميع توصيات أمان الحاوية التي قد تراها في Microsoft Defender for Cloud.

تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص.

تلميح

إذا كان وصف التوصية يقول لا توجد سياسة ذات صلة، عادة ما يكون ذلك لأن هذه التوصية تعتمد على توصية مختلفة.

على سبيل المثال، يجب معالجة حالات فشل حماية نقطة النهاية التوصية يعتمد على التوصية التي تتحقق من تثبيت حل حماية نقطة النهاية (يجب تثبيت حل حماية نقطة النهاية). التوصية الأساسية لديها نهج. يؤدي قصر النهج على التوصيات الأساسية فقط إلى تبسيط إدارة النهج.

توصيات حاوية Azure

يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت

الوصف: ملحق نهج Azure ل Kubernetes يوسع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender

الوصف: يوفر ملحق Defender ل Azure Arc حماية من التهديدات لمجموعات Kubernetes التي تدعم Arc. يجمع الملحق البيانات من جميع عقد وحدة التحكم (الرئيسية) في نظام المجموعة ويرسلها إلى الواجهة الخلفية ل Microsoft Defender for Kubernetes في السحابة لمزيد من التحليل. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. عند تمكين ملف تعريف SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure لـ Kubernetes مثبتة

الوصف: تعمل الوظيفة الإضافية لنهج Azure ل Kubernetes على توسيع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يتطلب Defender for Cloud الوظيفة الإضافية لتدقيق قدرات الأمان والامتثال وفرضها داخل مجموعاتك. اعرف المزيد. يتطلب Kubernetes v1.14.0 أو أحدث. (النهج ذي الصلة: يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على مجموعاتك).

الخطورة: عالية

النوع: وحدة التحكم

يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في صور Azure Container Registry).

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من Qualys)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية ويعرض النتائج التفصيلية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للحاويات بشكل كبير وحمايتها من الهجمات. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في صور Azure Container Registry).

مفتاح التقييم: dbd0cb49-b563-45e7-9724-889e799fa648

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها - (مدعومة من Qualys)

الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية صور الحاوية التي تعمل على مجموعات Kubernetes بحثا عن الثغرات الأمنية ويعرض النتائج التفصيلية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للحاويات بشكل كبير وحمايتها من الهجمات. (لا توجد سياسة ذات صلة)

مفتاح التقييم: 41503391-efa5-47ee-9282-4eff6131462c

النوع: تقييم الثغرات الأمنية

يجب فرض وحدة المعالجة المركزية للحاوية وحدود الذاكرة

الوصف: يؤدي فرض حدود وحدة المعالجة المركزية والذاكرة إلى منع هجمات استنفاد الموارد (شكل من أشكال هجوم رفض الخدمة).

نوصي بتعيين حدود للحاويات لضمان أن وقت التشغيل يمنع الحاوية من استخدام أكثر من حد الموارد المكون.

(النهج ذي الصلة: تأكد من أن حدود وحدة المعالجة المركزية للحاوية ومورد الذاكرة لا تتجاوز الحدود المحددة في مجموعة Kubernetes).

الخطورة: متوسط

النوع: وحدة بيانات Kubernetes

ينبغي نشر صور الحاوية من السجلات الموثوق بها فقط

الوصف: يجب أن تأتي الصور التي تعمل على مجموعة Kubernetes الخاصة بك من سجلات صور الحاوية المعروفة والمراقبة. تقلل السجلات الموثوق بها من مخاطر تعرض مجموعتك من خلال الحد من احتمال إدخال ثغرات أمنية غير معروفة ومشكلات أمنية وصور ضارة.

(النهج ذي الصلة: تأكد من صور الحاوية المسموح بها فقط في مجموعة Kubernetes).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

[معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.

التوصية يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) ستتم إزالتها عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

(تمكين إذا لزم الأمر) يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)

الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/acr/CMK. (النهج ذي الصلة: يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)).

الخطورة: منخفض

النوع: وحدة التحكم

يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة

الوصف: تقبل سجلات حاويات Azure افتراضيا الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات من التهديدات المحتملة، اسمح بالوصول من عناوين IP العامة أو نطاقات العناوين المحددة فقط. إذا لم يكن لدى التسجيل قاعدة IP/جدار الحماية أو شبكة ظاهرية مكونة، فسيظهر في الموارد غير الصحية. تعرَّف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/portal/public-network وهنا https://aka.ms/acr/vnet. (النهج ذي الصلة: يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة).

الخطورة: متوسط

النوع: وحدة التحكم

يجب أن تستخدم سجلات الحاويات رابطًا خاصًا

الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلًا من الخدمة بأكملها، ستكون محميًا أيضًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. (النهج ذي الصلة: يجب أن تستخدم سجلات الحاويات رابطا خاصا).

الخطورة: متوسط

النوع: وحدة التحكم

[معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes الخاصة بك، ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور وتقارير الثغرات الأمنية التي تم إنشاؤها لصور السجل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

التوصية يجب أن يكون لصور الحاوية قيد التشغيل Azure ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

الوصف: للحماية من تصعيد الامتيازات خارج الحاوية، تجنب الوصول إلى مساحات أسماء المضيف الحساسة (معرف عملية المضيف و IPC المضيف) في مجموعة Kubernetes. (النهج ذي الصلة: يجب ألا تشارك حاويات نظام مجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها⁧ فقط

الوصف: يجب أن تقتصر الحاويات التي تعمل على مجموعات Kubernetes على ملفات تعريف AppArmor المسموح بها فقط. AppArmor (درع التطبيق) هي وحدة أمان Linux تحمي نظام التشغيل وتطبيقاته من التهديدات الأمنية. لاستخدامه، يقوم مسؤول النظام بربط ملف تعريف أمان AppArmor بكل برنامج. (النهج ذي الصلة: يجب أن تستخدم حاويات نظام مجموعة Kubernetes ملفات تعريف AppArmor المسموح بها فقط).

الخطورة: عالية

النوع: مستوى بيانات Kubernetes

يجب تجنب الحاوية ذات تصعيد الامتيازات

الوصف: لا يجب تشغيل الحاويات مع تصعيد الامتيازات إلى الجذر في مجموعة Kubernetes الخاصة بك. تتحكم سمة AllowPrivilegeEscalation في ما إذا كان يمكن لعملية الحصول على امتيازات أكثر من العملية الأصلية الخاصة بها. (النهج ذي الصلة: يجب ألا تسمح مجموعات Kubernetes بزيادة امتيازات الحاوية).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تمكين سجلات التشخيص في خدمات Kubernetes⁧

الوصف: تمكين سجلات التشخيص في خدمات Kubernetes الخاصة بك والاحتفاظ بها لمدة تصل إلى عام. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حالة حدوث حادث أمني. (لا توجد سياسة ذات صلة)

الخطورة: منخفض

النوع: وحدة التحكم

يجب فرض نظام ملفات الجذر غير القابل للتغيير (للقراءة فقط) للحاويات

الوصف: يجب تشغيل الحاويات مع نظام ملفات جذر للقراءة فقط في مجموعة Kubernetes الخاصة بك. يحمي نظام الملفات غير القابل للتغيير الحاويات من التغييرات في وقت التشغيل مع إضافة ثنائيات ضارة إلى PATH. (النهج ذي الصلة: يجب تشغيل حاويات نظام مجموعة Kubernetes مع نظام ملفات الجذر للقراءة فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تكوين خادم واجهة برمجة تطبيقات Kubernetes مع وصول مقيد

الوصف: للتأكد من أن التطبيقات من الشبكات أو الأجهزة أو الشبكات الفرعية المسموح بها فقط يمكنها الوصول إلى مجموعتك، قم بتقييد الوصول إلى خادم Kubernetes API. يمكنك تقييد الوصول عن طريق تحديد نطاقات IP المعتمدة، أو عن طريق إعداد خوادم API الخاصة بك كتجمعات خاصة كما هو موضح في إنشاء نظام مجموعة Azure Kubernetes Service خاص. (النهج ذي الصلة: يجب تحديد نطاقات IP المعتمدة على خدمات Kubernetes).

الخطورة: عالية

النوع: وحدة التحكم

⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧

الوصف: يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. تتوفر هذه الإمكانية حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة لمحرك AKS وAzure Arc تمكين Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc (النهج المرتبط: فرض دخول HTTPS في مجموعة Kubernetes).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي

الوصف: قم بتعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائيا لمنع مورد Pod يحتمل اختراقه لتشغيل أوامر واجهة برمجة التطبيقات مقابل مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد واجهة برمجة التطبيقات للتحجيم التلقائي).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب أن لا تمنح مجموعات كوبرنيتس قدرات أمان CAPSYSADMIN

الوصف: لتقليل سطح الهجوم للحاويات الخاصة بك، قم بتقييد قدرات Linux CAP_SYS_ADMIN. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: مستوى بيانات Kubernetes

يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية

الوصف: منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به إلى أنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية).

الخطورة: منخفض

النوع: مستوى بيانات Kubernetes

يجب فرض قدرات Linux الأقل امتيازا للحاويات

الوصف: لتقليل سطح الهجوم للحاوية الخاصة بك، قم بتقييد قدرات Linux ومنح امتيازات محددة للحاويات دون منح جميع امتيازات المستخدم الجذر. نوصي بإسقاط جميع القدرات، ثم إضافة تلك المطلوبة (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes القدرات المسموح بها فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تمكين Microsoft Defender للحاويات

الوصف: يوفر Microsoft Defender for Containers الحماية وتقييم الثغرات الأمنية والحماية في وقت التشغيل لبيئات Azure والهجين وبيئات Kubernetes متعددة الأوساط السحابية. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان حاوياتك.

ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية مجموعات Kubernetes الخاصة بك. إذا لم يكن لديك أي مجموعات Kubernetes في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي مجموعات Kubernetes على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)

الخطورة: عالية

النوع: وحدة التحكم

يجب تجنب الحاويات المتميزة

الوصف: لمنع وصول المضيف غير المقيد، تجنب الحاويات المميزة كلما أمكن ذلك.

تحتوي الحاويات المميزة على جميع القدرات الجذرية لجهاز مضيف. يمكن استخدامها كنقاط إدخال للهجمات ولنشر التعليمات البرمجية الضارة أو البرامج الضارة إلى التطبيقات والمضيفين والشبكات المخترقة. (النهج ذي الصلة: لا تسمح بالحاويات المميزة في مجموعة Kubernetes).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

[يجب استخدام التحكم في الوصول المستند إلى الدور في خدمات Kubernetes] (https://portal.azure.com/#blade/M

Microsoft_Azure_Security/RecommendationsBlade/assessmentKey/b0fdc63a-38e7-4bab-a7c4-2c2665abbaa9)

الوصف: لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم في الوصول المستند إلى الدور (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. (النهج ذي الصلة: يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على خدمات Kubernetes).

الخطورة: عالية

النوع: وحدة التحكم

يجب تجنب تشغيل الحاويات كمستخدم جذر

الوصف: لا يجب تشغيل الحاويات كمستخدمين جذر في مجموعة Kubernetes الخاصة بك. تشغيل عملية كمستخدم جذر داخل حاوية يشغلها كجذر على المضيف. إذا كان هناك حل وسط، يكون للمهاجم جذر في الحاوية، وتصبح أي تكوينات خاطئة أسهل في الاستغلال. (النهج ذي الصلة: يجب تشغيل حاويات وحاويات نظام مجموعة Kubernetes فقط مع معرفات المستخدم والمجموعة المعتمدة).

الخطورة: عالية

النوع: وحدة بيانات Kubernetes

يجب أن تستمع الخدمات إلى المنافذ المسموح بها فقط

الوصف: لتقليل سطح الهجوم لمجموعة Kubernetes الخاصة بك، قم بتقييد الوصول إلى نظام المجموعة عن طريق تقييد وصول الخدمات إلى المنافذ المكونة. (النهج ذي الصلة: تأكد من أن الخدمات تستمع فقط إلى المنافذ المسموح بها في مجموعة Kubernetes).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تقييد استخدام شبكات المضيف والمنافذ

الوصف: تقييد الوصول إلى pod إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة Kubernetes. ستشارك Pods التي تم إنشاؤها باستخدام سمة hostNetwork الممكنة مساحة شبكة العقدة. لتجنب اختراق الحاوية من شم نسبة استخدام الشبكة، نوصي بعدم وضع pods على الشبكة المضيفة. إذا كنت بحاجة إلى عرض منفذ حاوية على شبكة العقدة، ولا يلبي استخدام منفذ عقدة خدمة Kubernetes احتياجاتك، فإن احتمالا آخر هو تحديد منفذ مضيف للحاوية في مواصفات الحاوية. (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes شبكة المضيف المعتمدة ونطاق المنفذ فقط).

الخطورة: متوسط

النوع: مستوى بيانات Kubernetes

يجب تقييد استخدام تحميلات وحدة تخزين pod HostPath إلى قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة

الوصف: نوصي بتقييد تحميلات وحدة تخزين pod HostPath في مجموعة Kubernetes الخاصة بك إلى مسارات المضيف المسموح بها المكونة. إذا كان هناك اختراق، يجب تقييد الوصول إلى عقدة الحاوية من الحاويات. (النهج ذي الصلة: يجب أن تستخدم وحدات تخزين Kubernetes cluster pod hostPath مسارات المضيف المسموح بها فقط).

الخطورة: متوسط

النوع: وحدة بيانات Kubernetes

توصيات حاوية AWS

[معاينة] يجب أن تحتوي صور الحاوية في سجل AWS على نتائج الثغرات الأمنية التي تم حلها

التوصية يجب أن تحتوي صور حاوية سجل AWS على نتائج ثغرة أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) وستتم إزالتها من خلال التوصية الجديدة المتاحة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي الحاويات التي تعمل في AWS على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور وتقارير الثغرات الأمنية التي تم إنشاؤها لصور السجل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

التوصية يجب أن يكون لصور حاوية تشغيل AWS نتائج الثغرات الأمنية التي تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يتعين أن تمنح مجموعات EKS أذونات AWS المطلوبة لـ Microsoft Defender لـ Cloud

الوصف: يوفر Microsoft Defender for Containers الحماية لمجموعات EKS الخاصة بك. لمراقبة النظام الخاص بالمجموعة بحثًا عن الثغرات الأمنية والتهديدات، يحتاج Defender for Containers إلى أذونات لحساب AWS الخاص بك. يتم استخدام هذه الأذونات لتمكين تسجيل مستوى تحكم Kubernetes على مجموعتك وإنشاء مسار موثوق به بين نظام المجموعة الخاص بك والواجهة الخلفية ل Defender for Cloud في السحابة. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يتعين أن يكون ملحق نظام مجموعات EKS لـ Microsoft Defender لـ Azure Arc مثبتًا

الوصف: يوفر ملحق نظام مجموعة Microsoft Defender إمكانات أمان لمجموعات EKS الخاصة بك. يعمل الملحق على جمع البيانات من نظام مجموعة وعقده لتحديد الثغرات الأمنية والتهديدات. يعمل الملحق مع Kubernetes التي تدعم Azure Arc. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يتعين تمكين Microsoft Defender للحاويات على موصلات AWS

الوصف: يوفر Microsoft Defender for Containers الحماية من التهديدات في الوقت الحقيقي للبيئات المعبأة في حاويات وينشئ تنبيهات حول الأنشطة المشبوهة. استخدم هذه المعلومات لتعزيز أمان نظام مجموعات Kubernetes ومعالجة مشكلات الأمان.

عند تمكين Microsoft Defender for Containers ونشر Azure Arc إلى مجموعات EKS الخاصة بك، ستبدأ الحماية - والرسوم . إذا لم تقم بنشر Azure Arc على نظام مجموعة، فلن يحميه Defender for Containers، ولن يتم تكبد أي رسوم لخطة Microsoft Defender هذه لنظام المجموعة هذا.

الخطورة: عالية

توصيات مستوى البيانات

يتم دعم جميع توصيات أمان مستوى بيانات Kubernetes ل AWS بعد تمكين نهج Azure ل Kubernetes.

توصيات حاوية GCP

يجب تمكين التكوين المتقدم ل Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. للتأكد من توفير الحل بشكل صحيح، وإتاحة المجموعة الكاملة من الإمكانات، قم بتمكين جميع إعدادات التكوين المتقدمة.

الخطورة: عالية

[معاينة] يجب أن تحتوي صور الحاوية في سجل GCP على نتائج الثغرات الأمنية التي تم حلها

التوصية يجب أن تحتوي صور حاوية سجل GCP على نتائج الثغرات الأمنية التي تم حلها (مدعومة من إدارة الثغرات الأمنية ل Microsoft Defender عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي الحاويات التي تعمل في GCP على نتائج الثغرات الأمنية التي تم حلها

التوصية يجب أن تحتوي صور حاوية تشغيل GCP على نتائج ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) - ستتم إزالة Microsoft Azure عند توفر التوصية الجديدة بشكل عام.

التوصية الجديدة قيد المعاينة ولا تستخدم لحساب النقاط الآمنة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب أن يكون ملحق Microsoft Defender لمجموعات GKE ل Azure Arc مثبتا

الوصف: يوفر ملحق نظام مجموعة Microsoft Defender إمكانات أمان لمجموعات GKE. يعمل الملحق على جمع البيانات من نظام مجموعة وعقده لتحديد الثغرات الأمنية والتهديدات. يعمل الملحق مع Kubernetes التي تدعم Azure Arc. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يجب أن يكون ملحق نهج Azure مثبتا على مجموعات GKE

الخطورة: عالية

يجب تمكين Microsoft Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. تمكين خطة الحاويات على موصل GCP الخاص بك، لتقوية أمان مجموعات Kubernetes ومعالجة مشكلات الأمان. تعرّف على المزيد حول Microsoft Defender للحاويات.

الخطورة: عالية

توصيات مستوى البيانات

يتم دعم جميع توصيات أمان مستوى بيانات Kubernetes ل GCP بعد تمكين نهج Azure ل Kubernetes.

مشاركة عبر

توصيات أمان الحاوية

توصيات حاوية Azure

⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧

[يجب استخدام التحكم في الوصول المستند إلى الدور في خدمات Kubernetes] (https://portal.azure.com/#blade/M

توصيات حاوية AWS

توصيات مستوى البيانات

توصيات حاوية GCP

توصيات مستوى البيانات

المحتوى ذو الصلة

الملاحظات

الملاحظات

الموارد الإضافية