Doporučení pro zabezpečení kontejnerů
Tento článek obsahuje seznam všech doporučení zabezpečení kontejnerů, která se můžou zobrazit v programu Microsoft Defender for Cloud.
Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.
Tip
Pokud popis doporučení neobsahuje žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení.
Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je nainstalované řešení ochrany koncového bodu (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení má zásadu. Omezení zásad jenom na základní doporučení zjednodušuje správu zásad.
Doporučení pro kontejnery Azure
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.
Popis: Rozšíření Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. (Žádné související zásady)
Závažnost: Vysoká
Typ: Řídicí rovina
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.
Popis: Rozšíření Defenderu pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů řídicí roviny (hlavního) uzlu v clusteru a odesílá je do back-endu Microsoft Defenderu for Kubernetes v cloudu pro účely další analýzy. (Žádné související zásady)
Závažnost: Vysoká
Typ: Řídicí rovina
Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.
Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte profil SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace najdete v úvodu do Microsoft Defenderu pro kontejnery. (Žádné související zásady)
Závažnost: Vysoká
Typ: Řídicí rovina
Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.
Popis: Doplněk Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro agenta OPA (Open Policy Agent ), aby v clusterech platil centralizovaným a konzistentním způsobem vynucení ve velkém měřítku a bezpečnostních opatření. Defender for Cloud vyžaduje doplněk pro audit a vynucování možností zabezpečení a dodržování předpisů v clusterech. Další informace. Vyžaduje Kubernetes verze 1.14.0 nebo novější. (Související zásady: Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech.
Závažnost: Vysoká
Typ: Řídicí rovina
Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností)
Popis: Posouzení ohrožení zabezpečení imagí kontejneru kontroluje v registru běžně známé chyby zabezpečení (CVEs) a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. (Související zásady: Měla by se napravit ohrožení zabezpečení imagí služby Azure Container Registry.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (využívají technologii Qualys).
Popis: Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení imagí služby Azure Container Registry.
Klíč posouzení: dbd0cb49-b563-45e7-9724-889e799fa648
Typ: Posouzení ohrožení zabezpečení
Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností)
Popis: Posouzení ohrožení zabezpečení imagí kontejneru kontroluje v registru běžně známé chyby zabezpečení (CVEs) a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
Vyřešená ohrožení zabezpečení spuštěných imagí kontejnerů v Azure ( s využitím Qualys)
Popis: Posouzení ohrožení zabezpečení image kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes a zpřístupňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. (Žádné související zásady)
Klíč posouzení: 41503391-efa5-47ee-9282-4eff6131462c
Typ: Posouzení ohrožení zabezpečení
Měly by se vynutit limity procesoru a paměti kontejneru.
Popis: Vynucení limitů procesoru a paměti brání útokům na vyčerpání prostředků (forma útoku dos.
Doporučujeme nastavit limity pro kontejnery, aby modul runtime zabránil kontejneru používat více než nakonfigurovaný limit prostředků.
(Související zásady: Ujistěte se, že limity prostředků procesoru a paměti kontejneru nepřekračují zadané limity v clusteru Kubernetes.
Závažnost: Střední
Typ: Rovina dat Kubernetes
Image kontejnerů by se měly nasazovat jenom z důvěryhodných registrů.
Popis: Image spuštěné v clusteru Kubernetes by měly pocházet ze známých a monitorovaných registrů imagí kontejnerů. Důvěryhodné registry snižují riziko ohrožení clusteru tím, že omezují potenciál zavedení neznámých ohrožení zabezpečení, problémů se zabezpečením a škodlivých imagí.
(Související zásady: Ujistěte se, že jsou v clusteru Kubernetes povolené jenom image kontejnerů.
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
[Preview] Vyřešené zjištění ohrožení zabezpečení imagí kontejnerů v registru Azure
Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
(Povolit v případě potřeby) Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete v přehledu klíčů spravovaných zákazníkem. (Související zásady: Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
Závažnost: Nízká
Typ: Řídicí rovina
Registry kontejnerů by neměly umožňovat neomezený síťový přístup
Popis: Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá pravidlo PROTOKOLU IP/firewall nebo nakonfigurovanou virtuální síť, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete v tématu Konfigurace pravidel veřejné sítě IP a omezení přístupu k registru kontejneru pomocí koncového bodu služby ve virtuální síti Azure. (Související zásady: Registry kontejnerů by neměly umožňovat neomezený síťový přístup).
Závažnost: Střední
Typ: Řídicí rovina
Registry kontejnerů by měly používat privátní propojení.
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. (Související zásady: Registry kontejnerů by měly používat privátní propojení).
Závažnost: Střední
Typ: Řídicí rovina
[Preview] Kontejnery spuštěné v Azure by měly mít vyřešená zjištění ohrožení zabezpečení.
Popis: Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Poznámka:
Od 6. října 2024 se toto doporučení aktualizovalo tak, aby hlásilo pouze jeden kontejner pro každý kořenový kontroler. Pokud například cronjob vytvoří více úloh, kde každá úloha vytváří pod s ohroženým kontejnerem, doporučení hlásí pouze jednu instanci ohrožených kontejnerů v rámci této úlohy. Tato změna vám pomůže odebrat duplicitní sestavy pro stejné kontejnery, které vyžadují jednu akci pro nápravu. Pokud jste toto doporučení použili před změnou, měli byste očekávat snížení počtu instancí tohoto doporučení.
Aby bylo toto zlepšení podporováno, aktualizovalo c5045ea3-afc6-4006-ab8f-86c8574dbf3dse na toto doporučení klíč posouzení . Pokud aktuálně načítáte sestavy ohrožení zabezpečení z tohoto doporučení prostřednictvím rozhraní API, nezapomeňte změnit volání rozhraní API tak, aby používalo nový klíč posouzení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
Kontejnery sdílející citlivé obory názvů hostitelů by se měly vyhnout
Popis: Pokud chcete chránit před eskalací oprávnění mimo kontejner, vyhněte se přístupu podů k citlivým oborům názvů hostitelů (ID hostitelského procesu a IPC hostitele) v clusteru Kubernetes. (Související zásady: Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Kontejnery by měly používat pouze povolené profily AppArmor.
Popis: Kontejnery spuštěné v clusterech Kubernetes by měly být omezené jenom na povolené profily AppArmor. AppArmor (Application Armor) je modul zabezpečení Linuxu, který chrání operační systém a jeho aplikace před bezpečnostními hrozbami. Aby ho správce systému použil, přidruží k jednotlivým programům profil zabezpečení AppArmor. (Související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené profily AppArmor.
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
Vyhnete se eskalaci kontejneru s oprávněními.
Popis: Kontejnery by se neměly spouštět s eskalací oprávnění ke kořenovému adresáři v clusteru Kubernetes. Atribut AllowPrivilegeEscalation řídí, zda proces může získat více oprávnění než nadřazený proces. (Související zásady: Clustery Kubernetes by neměly povolovat eskalaci oprávnění kontejneru).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Diagnostické protokoly ve službách Kubernetes by měly být povolené.
Popis: Povolte diagnostické protokoly ve službách Kubernetes a zachovejte je až za rok. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení. (Žádné související zásady)
Závažnost: Nízká
Typ: Řídicí rovina
U kontejnerů by se měl vynucovat kořenový systém souborů jen pro čtení.
Popis: Kontejnery by se měly spouštět s kořenovým systémem souborů jen pro čtení v clusteru Kubernetes. Neměnný systém souborů chrání kontejnery před změnami za běhu pomocí škodlivých binárních souborů přidaných do path. (Související zásady: Kontejnery clusteru Kubernetes by se měly spouštět s kořenovým systémem souborů jen pro čtení).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Server rozhraní API Kubernetes by měl být nakonfigurovaný s omezeným přístupem.
Popis: Pokud chcete zajistit přístup ke clusteru jenom aplikacím z povolených sítí, počítačů nebo podsítí, omezte přístup k serveru rozhraní API Kubernetes. Přístup můžete omezit definováním autorizovaných rozsahů IP adres nebo nastavením serverů API jako privátních clusterů, jak je vysvětleno v tématu Vytvoření privátního clusteru Azure Kubernetes Service. (Související zásady: Autorizované rozsahy IP adres by se měly definovat ve službách Kubernetes Services.
Závažnost: Vysoká
Typ: Řídicí rovina
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS.
Popis: Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete v tématu https://aka.ms/kubepolicydoc (Související zásady: Vynucení příchozího přenosu dat HTTPS v clusteru Kubernetes).
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API.
Popis: Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Související zásady: Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API).
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN
Popis: Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Žádné související zásady)
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
Clustery Kubernetes by neměly používat výchozí obor názvů.
Popis: Zabránění použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Související zásady: Clustery Kubernetes by neměly používat výchozí obor názvů).
Závažnost: Nízká
Typ: Rovina dat Kubernetes
Pro kontejnery by se měly vynucovat nejméně privilegované funkce Linuxu.
Popis: Pokud chcete omezit prostor pro útoky na kontejner, omezte možnosti Linuxu a udělte kontejnerům konkrétní oprávnění bez udělení všech oprávnění kořenového uživatele. Doporučujeme vypustit všechny možnosti a pak přidat ty, které jsou potřeba (související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Měla by být povolená služba Microsoft Defender for Containers.
Popis: Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudovém prostředí Kubernetes. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.
Náprava tohoto doporučení způsobí, že se vám budou účtovat poplatky za ochranu clusterů Kubernetes. Pokud v tomto předplatném nemáte žádné clustery Kubernetes, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte clustery Kubernetes, budou automaticky chráněny a poplatky začnou v tuto chvíli. Další informace najdete v úvodu do Microsoft Defenderu pro kontejnery. (Žádné související zásady)
Závažnost: Vysoká
Typ: Řídicí rovina
Privilegované kontejnery by se měly vyhnout
Popis: Pokud chcete zabránit neomezenému přístupu k hostiteli, vyhněte se privilegovaným kontejnerům, kdykoli je to možné.
Privilegované kontejnery mají všechny kořenové funkce hostitelského počítače. Dají se použít jako vstupní body pro útoky a k šíření škodlivého kódu nebo malwaru do ohrožených aplikací, hostitelů a sítí. (Související zásady: Nepovolujte privilegované kontejnery v clusteru Kubernetes).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Řízení přístupu na základě role by se mělo používat ve službách Kubernetes Services.
Popis: Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. (Související zásady: Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services.
Závažnost: Vysoká
Typ: Řídicí rovina
Vyhnete se spouštění kontejnerů jako uživatel root.
Popis: Kontejnery by neměly běžet jako kořenoví uživatelé ve vašem clusteru Kubernetes. Spuštění procesu jako uživatel root v kontejneru ho spustí jako kořen na hostiteli. Pokud dojde k ohrožení zabezpečení, útočník má v kontejneru kořen a všechny chybné konfigurace se snadněji zneužívají. (Související zásady: Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin.
Závažnost: Vysoká
Typ: Rovina dat Kubernetes
Služby by měly naslouchat pouze na povolených portech.
Popis: Pokud chcete omezit prostor pro útoky na cluster Kubernetes, omezte přístup ke clusteru omezením přístupu ke službám na nakonfigurované porty. (Související zásady: Ujistěte se, že služby naslouchají jenom na povolených portech v clusteru Kubernetes.
Závažnost: Střední
Typ: Rovina dat Kubernetes
Použití hostitelských sítí a portů by mělo být omezeno
Popis: Omezte přístup podů k hostitelské síti a rozsahu povolených portů hostitele v clusteru Kubernetes. Pody vytvořené s povoleným atributem hostNetwork budou sdílet síťový prostor uzlu. Pokud se chcete vyhnout napadení kontejneru z šifrování síťového provozu, doporučujeme nevkládat pody do hostitelské sítě. Pokud potřebujete zveřejnit port kontejneru v síti uzlu a použití portu uzlu Kubernetes Service nevyhovuje vašim potřebám, další možností je zadat hostPort kontejneru ve specifikaci podu. (Související zásady: Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Použití připojení svazků HostPath podu by mělo být omezeno na známý seznam, aby se omezil přístup k uzlům z ohrožených kontejnerů.
Popis: Doporučujeme omezit připojení svazku HostPath podu v clusteru Kubernetes ke nakonfigurovaným povoleným hostitelským cestám. Pokud dojde k ohrožení zabezpečení, přístup k uzlu kontejneru z kontejnerů by měl být omezený. (Související zásady: Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům).
Závažnost: Střední
Typ: Rovina dat Kubernetes
Doporučení kontejnerů AWS
[Preview] Vyřešené zjištění ohrožení zabezpečení imagí kontejnerů v registru AWS
Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
[Preview] Kontejnery spuštěné v AWS by měly mít vyřešená zjištění ohrožení zabezpečení.
Popis: Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Poznámka:
Od 6. října 2024 se toto doporučení aktualizovalo tak, aby hlásilo pouze jeden kontejner pro každý kořenový kontroler. Pokud například cronjob vytvoří více úloh, kde každá úloha vytváří pod s ohroženým kontejnerem, doporučení hlásí pouze jednu instanci ohrožených kontejnerů v rámci této úlohy. Tato změna vám pomůže odebrat duplicitní sestavy pro stejné kontejnery, které vyžadují jednu akci pro nápravu. Pokud jste toto doporučení použili před změnou, měli byste očekávat snížení počtu instancí tohoto doporučení.
Aby bylo toto zlepšení podporováno, aktualizovalo 8749bb43-cd24-4cf9-848c-2a50f632043cse na toto doporučení klíč posouzení . Pokud aktuálně načítáte sestavy ohrožení zabezpečení z tohoto doporučení prostřednictvím rozhraní API, ujistěte se, že aktualizujete volání rozhraní API tak, aby používalo nový klíč posouzení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
Clustery EKS by měly udělit požadovaným oprávněním AWS pro Microsoft Defender for Cloud.
Popis: Microsoft Defender for Containers poskytuje ochranu vašich clusterů EKS. K monitorování ohrožení zabezpečení a hrozeb clusteru potřebuje Defender for Containers oprávnění pro váš účet AWS. Tato oprávnění slouží k povolení protokolování řídicí roviny Kubernetes v clusteru a vytvoření spolehlivého kanálu mezi vaším clusterem a back-endem Služby Defender for Cloud v cloudu. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.
Závažnost: Vysoká
Clustery EKS by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
Popis: Rozšíření clusteru v programu Microsoft Defender poskytuje možnosti zabezpečení pro vaše clustery EKS. Rozšíření shromažďuje data z clusteru a jeho uzlů za účelem identifikace ohrožení zabezpečení a hrozeb. Rozšíření funguje s Kubernetes s podporou Azure Arc. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.
Závažnost: Vysoká
V konektorech AWS by měl být povolený Microsoft Defender for Containers.
Popis: Microsoft Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro kontejnerizovaná prostředí a generuje výstrahy o podezřelých aktivitách. Tyto informace použijte k posílení zabezpečení clusterů Kubernetes a k nápravě problémů se zabezpečením.
Když povolíte Microsoft Defender for Containers a nasadíte Azure Arc do clusterů EKS, začnou se začínat ochrany a poplatky. Pokud azure Arc nenasazujete do clusteru, Defender for Containers ho nebude chránit a za tento plán Microsoft Defenderu pro tento cluster se neúčtují žádné poplatky.
Závažnost: Vysoká
Doporučení roviny dat
Po povolení služby Azure Policy pro Kubernetes jsou pro AWS podporována všechna doporučení zabezpečení roviny dat Kubernetes.
Doporučení kontejnerů GCP
U konektorů GCP by se měla povolit pokročilá konfigurace defenderu pro kontejnery.
Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Abyste měli jistotu, že je řešení správně zřízené a máte k dispozici úplnou sadu funkcí, povolte všechna pokročilá nastavení konfigurace.
Závažnost: Vysoká
[Preview] Vyřešené zjištěných ohrožení zabezpečení imagí kontejnerů v registru GCP
Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.
Image kontejnerů registru GCP doporučení by měly mít vyřešená zjištění ohrožení zabezpečení (s využitím správy ohrožení zabezpečení v programu Microsoft Defender se odebere, jakmile bude nové doporučení obecně dostupné.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
[Preview] Kontejnery spuštěné v GCP by měly mít vyřešená zjištění ohrožení zabezpečení
Popis: Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů.
Nové doporučení je ve verzi Preview a nepoužívá se k výpočtu skóre zabezpečení.
Poznámka:
Od 6. října 2024 se toto doporučení aktualizovalo tak, aby hlásilo pouze jeden kontejner pro každý kořenový kontroler. Pokud například cronjob vytvoří více úloh, kde každá úloha vytváří pod s ohroženým kontejnerem, doporučení hlásí pouze jednu instanci ohrožených kontejnerů v rámci této úlohy. Tato změna vám pomůže odebrat duplicitní sestavy pro stejné kontejnery, které vyžadují jednu akci pro nápravu. Pokud jste toto doporučení použili před změnou, měli byste očekávat snížení počtu instancí tohoto doporučení.
Aby bylo toto zlepšení podporováno, aktualizovalo 1b3abfa4-9e53-46f1-9627-51f2957f8bbase na toto doporučení klíč posouzení . Pokud aktuálně načítáte sestavy ohrožení zabezpečení z tohoto doporučení prostřednictvím rozhraní API, ujistěte se, že aktualizujete volání rozhraní API tak, aby používalo nový klíč posouzení.
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení
Clustery GKE by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
Popis: Rozšíření clusteru v programu Microsoft Defender poskytuje možnosti zabezpečení pro vaše clustery GKE. Rozšíření shromažďuje data z clusteru a jeho uzlů za účelem identifikace ohrožení zabezpečení a hrozeb. Rozšíření funguje s Kubernetes s podporou Azure Arc. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.
Závažnost: Vysoká
Clustery GKE by měly mít nainstalované rozšíření Azure Policy.
Popis: Rozšíření Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. Rozšíření funguje s Kubernetes s podporou Azure Arc.
Závažnost: Vysoká
V konektorech GCP by měl být povolený Microsoft Defender for Containers.
Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Povolte v konektoru GCP plány kontejnerů, abyste mohli posílit zabezpečení clusterů Kubernetes a napravit problémy se zabezpečením. Přečtěte si další informace o programu Microsoft Defender for Containers.
Závažnost: Vysoká
Funkce automatické opravy clusteru GKE by měla být povolená.
Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota . key: autoRepair, value: true
Závažnost: Střední
Funkce automatického upgradu clusteru GKE by měla být povolená.
Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota . key: autoUpgrade, value: true
Závažnost: Vysoká
Monitorování clusterů GKE by mělo být povolené.
Popis: Toto doporučení vyhodnotí, jestli vlastnost monitoringService clusteru obsahuje umístění Monitorování cloudu k zápisu metrik.
Závažnost: Střední
Protokolování clusterů GKE by mělo být povolené.
Popis: Toto doporučení vyhodnocuje, jestli vlastnost loggingService clusteru obsahuje umístění Cloudové protokolování, které by mělo použít k zápisu protokolů.
Závažnost: Vysoká
Webový řídicí panel GKE by měl být zakázaný.
Popis: Toto doporučení vyhodnocuje pole KubernetesDashboard vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: false.
Závažnost: Vysoká
V clusterech GKE by se měla zakázat starší verze autorizace.
Popis: Toto doporučení vyhodnotí starší vlastnost Abac clusteru pro dvojici klíč-hodnota, povoleno: true.
Závažnost: Vysoká
V clusterech GKE by měly být povolené autorizované sítě řídicí roviny.
Popis: Toto doporučení vyhodnotí vlastnost masterAuthorizedNetworksConfig clusteru pro dvojici klíč-hodnota s povolenou hodnotou: false.
Závažnost: Vysoká
Clustery GKE by měly mít povolené rozsahy IP adres aliasů.
Popis: Toto doporučení vyhodnotí, jestli je pole useIPAliases ipAllocationPolicy v clusteru nastaveno na false.
Závažnost: Nízká
Clustery GKE by měly mít povolené privátní clustery.
Popis: Toto doporučení vyhodnotí, zda je pole enablePrivateNodes vlastnosti privateClusterConfig nastaveno na false.
Závažnost: Vysoká
V clusterech GKE by se měly povolit zásady sítě.
Popis: Toto doporučení vyhodnotí pole networkPolicy vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: true.
Závažnost: Střední
Doporučení roviny dat
Po povolení služby Azure Policy pro Kubernetes se podporují všechna doporučení zabezpečení roviny dat Kubernetes pro GCP.
Doporučení externích registrů kontejnerů
[Preview] Vyřešené zjištění ohrožení zabezpečení imagí kontejnerů v registru Docker Hubu
Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Náprava ohrožení zabezpečení v imagích kontejnerů pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.",
Závažnost: Vysoká
Typ: Posouzení ohrožení zabezpečení