Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Microsoft Defender für Container unterstützt die Gated-Bereitstellung, die Sicherheitsrichtlinien für Container-Images zur Bereitstellungszeit in Kubernetes-Umgebungen durchsetzt. Unterstützte Umgebungen sind Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE). Die Durchsetzung verwendet Ergebnisse der Sicherheitsüberprüfung auf Schwachstellen aus unterstützten Containerregistrierungen, einschließlich Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) und Google Artifact Registry.
Die Gated-Bereitstellung ist in den Kubernetes-Zugangscontroller integriert, um sicherzustellen, dass nur Containerimages, die den Sicherheitsanforderungen Ihrer Organisation entsprechen, in Ihrer Kubernetes-Umgebung ausgeführt werden. Es wertet Containerimages anhand definierter Sicherheitsregeln aus, bevor sie in den Cluster aufgenommen werden. Mithilfe der Gated-Bereitstellung können Sicherheitsteams anfällige Arbeitslasten blockieren und die Compliance gewährleisten.
Vorteile
- Verhindert die Bereitstellung von Containerimages mit bekannten Sicherheitsrisiken
- Erzwingt Sicherheitsrichtlinien in Echtzeit
- Integriert sich in die Defender for Cloud-Workflows zur Verwaltung von Schwachstellen
- Unterstützt phasenweises Rollout: Starten sie im Überwachungsmodus, und wechseln Sie dann in den Verweigerungsmodus.
Aktivierungsstrategie
Viele Kunden verwenden bereits Microsoft Defender für Schwachstellenscanner in Containern. Die Gated-Bereitstellung baut auf dieser Grundlage auf:
| Modus | Beschreibung |
|---|---|
| Überwachung | Ermöglicht das Fortsetzen der Bereitstellung und generiert Zugangsereignisse für anfällige Images, die Sicherheitsregeln verletzen. |
| Deny | Blockiert die Bereitstellung von Images, die gegen Sicherheitsregeln verstoßen |
Starten Sie im Überwachungsmodus, um die Auswirkungen zu bewerten, und wechseln Sie dann zum Verweigerungsmodus, um Regeln zu erzwingen.
Funktionsweise
- Sicherheitsregeln definieren Bedingungen wie CVE-Schweregrad und Aktionen wie Überwachung oder Ablehnung.
- Der Admission-Controller wertet Container-Images anhand dieser Regeln aus.
- Wenn eine Regel übereinstimmt, führt das System seine definierte Aktion aus.
- Der Admission Controller verwendet Ergebnisse der Schwachstellenüberprüfung aus Registries, die von Defender for Cloud unterstützt werden und für das Scannen konfiguriert sind, wie ACR, ECR und Google Artifact Registry.
Wichtigste Funktionen
- Verwenden Sie die Standard-Audit-Regel, die Imagebereitstellungen mit hohen oder kritischen Schwachstellen in berechtigten Clustern automatisch kennzeichnet.
- Legen Sie zeitlich gebundene, bereichsbezogene Ausnahmen fest.
- Sie können Regeln granular nach Cluster, Namespace, Pod oder Image ausrichten.
- Überwachen von Zugriffsereignissen über Defender für Cloud.
Verwandte Inhalte
Detaillierte Anleitungen finden Sie in den folgenden Artikeln:
Aktivierungshandbuch: Konfigurieren der Gated-Bereitstellung in Defender für Container Schrittweise Anleitungen für Einführung, Regelerstellung, Ausnahmen und Überwachung.
Häufig gestellte Fragen: Gated-Bereitstellung in Defender for Containers
Antworten auf allgemeine Kundenfragen zum Verhalten und zur Konfiguration von Gated-Bereitstellungen.Handbuch zur Problembehandlung: Gated Deployment and Developer Experience
Helfen Sie beim Beheben von Onboarding-Problemen, Bereitstellungsfehlern und beim Interpretieren von entwicklergerichteten Nachrichten.