Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato nejčastější dotazy se zabývá běžnými dotazy k zamkovaným nasazením v programu Microsoft Defender for Containers. Řízené nasazení uplatňuje zásady zabezpečení imagí kontejnerů v době nasazení v podporovaných prostředích Kubernetes na základě výsledků skenování zranitelností z integrovaných registrů kontejnerů.
Co je řízené nasazení?
Gated deployment je funkce zabezpečení, která vyhodnocuje image kontejnerů proti definovaným pravidlům zabezpečení předtím, než budou přijaty do clusteru Kubernetes.
Jaký je rozdíl mezi režimem auditu a zamítnutí?
| Mode | Chování |
|---|---|
| Audit | Umožňuje nasazení, ale generuje události monitorování pro kontrolu. |
| Deny | Blokuje nasazení imagí, které porušují pravidla zabezpečení. |
K vyhodnocení dopadu použijte režim auditu pro počáteční zavedení. Režim odepření vynucuje zásady tím, že brání nasazení nekompatibilních imagí.
Existuje výchozí pravidlo?
Ano. Pokud splňujete všechny požadavky, Defender for Containers automaticky vytvoří výchozí pravidlo auditu, které označí image kontejnerů s vysokou nebo kritickou chybou zabezpečení.
Co se stane, když nasadím image před dostupností výsledků kontroly?
Ve výchozím nastavení, pokud výsledky skenování ještě nejsou v registru kontejnerů k dispozici, řízené nasazení se neprovádí. Obraz je nasazen bez nutnosti vynucení. Toto nastavení můžete během vytváření pravidla aktualizovat tak, aby blokovaly obrázky bez výsledků kontroly.
Kde můžu zobrazit vyhodnocení pravidel a výsledky vynucování?
Všechny události řízeného nasazení se zobrazí v zobrazení Monitorování přístupu v Defenderu pro Cloud. Zobrazení zobrazuje vyhodnocení pravidel, aktivované akce a ovlivněné prostředky.
Přístup k monitorování přístupu:
- Přejděte do Microsoft Defenderu pro nastavení cloudového>prostředí.
- Vyberte dlaždici Pravidla zabezpečení .
- V levém navigačním podokně přejděte do zobrazení Monitorování přístupu .
Přečtěte si další informace o monitorování událostí řízeného nasazení.
Můžu vynechat konkrétní CVE nebo zdroje?
Ano, při vytváření pravidla můžete nakonfigurovat výjimky. Mezi podporované typy výjimek patří:
- CVE
- Nasazení
- Obrázek
- Namespace
- Pouzdro
- Registry
- Repository
Výjimky můžou být vymezené a časově vázané.
Můžu nastavit vypršení platnosti výjimek?
Ano, můžete. Při vytváření výjimky povolte přepínač Časové vazby a vyberte datum vypršení platnosti. Výjimka vyprší automaticky na konci vybraného dne.
Má režim odepření vliv na výkon nasazení?
Ano. Režim zamítnutí může během nasazování způsobit zpoždění o 1 až 2 sekundy kvůli prosazování zásad v reálném čase.
Můžu spravovat výjimky nebo pravidla prostřednictvím rozhraní API nebo rozhraní příkazového řádku?
V současné době spravujete řízené nasazení prostřednictvím portálu Defender for Cloud. Pravidla vytvoříte a nakonfigurujete výjimky prostřednictvím uživatelského rozhraní.
Podporuje se řízené nasazení v multicloudových prostředích?
Ano, gated deployment podporuje cloudová prostředí Azure, AWS a GCP a platformy Kubernetes. Zahrnuje integraci registru pro kontrolu ohrožení zabezpečení.
Související obsah
Podrobnější pokyny a podpora najdete v následující dokumentaci:
Přehled: Omezené nasazení obrazů kontejnerů do clusteru Kubernetes
Úvod do funkce, její hodnoty a způsobu fungováníPrůvodce povolením funkcí: Konfigurace gated nasazení v Defenderu pro kontejnery
Podrobné pokyny pro onboarding, vytváření pravidel, výjimky a monitorování.Průvodce odstraňováním potíží: Gated Deployment and Developer Experience
Pomoc s řešením problémů při zaškolování, chybami při nasazení a interpretací zpráv pro vývojáře.