Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Defender for Containers podporuje řízené nasazení, které vynucuje zásady zabezpečení imagí kontejnerů v době nasazení v prostředích Kubernetes, včetně Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) a Google Kubernetes Engine (GKE). Vynucení využívá výsledky analýzy zranitelností z podporovaných registrů kontejnerů, včetně Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) a Google Artifact Registry.
Gated nasazení se integruje s kontrolerem přístupu Kubernetes, aby se zajistilo, že se v prostředí Kubernetes spouští jenom image kontejnerů, které splňují požadavky vaší organizace na zabezpečení. Vyhodnocuje image kontejnerů proti definovaným pravidlům zabezpečení předtím, než budou přijaty do clusteru, což týmům zabezpečení umožňuje blokovat ohrožené úlohy a udržovat dodržování předpisů.
Výhody
- Zabraňuje nasazení imagí kontejnerů se známými ohroženími zabezpečení.
- Vynucuje zásady zabezpečení v reálném čase.
- Integruje se s pracovními postupy správy ohrožení zabezpečení v programu Defender for Cloud.
- Podporuje postupné zavedení: spusťte v režimu auditování a pak přejděte do režimu odepření.
Strategie umožnění
Mnoho zákazníků už používá kontrolu ohrožení zabezpečení v programu Microsoft Defender for Containers. Řízené nasazení vychází z tohoto základu:
| Mode | Description |
|---|---|
| Audit | Umožňuje nasazení pokračovat a generovat události přístupu pro ohrožené image, které porušují pravidla zabezpečení. |
| Deny | Blokuje nasazení imagí, které porušují pravidla zabezpečení. |
Spusťte režim auditování a vyhodnoťte dopad a pak přejděte do režimu Odepření a vynucujte pravidla.
Jak to funguje
- Pravidla zabezpečení definují podmínky, jako je závažnost CVE a akce, jako je audit nebo zamítnutí.
- Kontroler přístupu vyhodnocuje image kontejnerů podle těchto pravidel.
- Když se pravidlo shoduje, systém provede definovanou akci.
- Kontroler přístupu používá výsledky kontroly zranitelností z registrů, které Defender for Cloud podporuje a je nakonfigurovaný ke kontrole, například ACR, ECR a Google Artifact Registry.
Klíčové funkce
- Použijte výchozí pravidlo auditování, které automaticky označí nasazení imagí s vysokou nebo kritickou chybou zabezpečení u oprávněných clusterů.
- Nastavte časově vázané výjimky s vymezeným oborem.
- Cílová pravidla jsou podrobná podle clusteru, oboru názvů, podu nebo image.
- Monitorování událostí přístupu prostřednictvím Defenderu pro cloud
Související obsah
Podrobné pokyny najdete v následujících článcích:
Průvodce používáním: Konfigurace řízeného nasazení v Defender pro Kontejnery Podrobné pokyny pro onboarding, vytváření pravidel, vyloučení a monitorování.
Nejčastější dotazy: Gated deployment in Defender for Containers
Odpovědi na běžné dotazy zákazníků týkající se řízeného chování a konfigurace nasazení.Průvodce odstraňováním potíží: Gated Deployment and Developer Experience
Pomoc s řešením problémů při zaškolování, chybami při nasazení a interpretací zpráv pro vývojáře.