Aktivieren der gesteuerten Bereitstellung in Defender for Containers

Die gesteuerte Bereitstellung ist eine wichtige Methode, um sicherzustellen, dass nur Containerimages, die die Sicherheitsrichtlinien der Organisation erfüllen, in Kubernetes-Umgebungen bereitgestellt werden. Als Basis dienen dabei Ihre definierten Sicherheitsregeln. Eine Sicherheitsregel definiert die auszuführende Aktion, wenn bestimmte Bedingungen für den zugeordneten Bereich erfüllt sind. Der Zulassungscontoller für die gesteuerte Bereitstellung prüft ein Containerimage und das Artefakt, das die erkannten Sicherheitslücken enthält anhand der relevanten Sicherheitsregeln. Auf dieser Seite werden die Schritte zum Konfigurieren der Sicherheitsregeln beschrieben, die vom Zulassungscontroller für die gesteuerte Bereitstellung verwendet werden.

Voraussetzungen

• Der Defender for Containers-Plan ist aktiviert, und der Defender-Sensor und die Erweiterungen für Sicherheitsergebnisse werden im Plan aktiviert.
• Die Registrierungszugriffserweiterung ist in Defender für Container oder Defender CSPM aktiviert.
• Der Kubernetes-Cluster verfügt über Berechtigungen für den Zugriff auf Containerregistrierungen, die zum Bereitstellen von Containerimages im Cluster verwendet werden.

Hinweis

Die gesteuerte Bereitstellung ist derzeit für Azure Kubernetes Services (AKS) verfügbar und basiert auf der Bewertung der Sicherheitsrisiken von Containerimages.

Während die Gated-Bereitstellung verfügbar ist, wenn die Voraussetzungen erfüllt sind, müssen die vordefinierten Sicherheitsregeln im Portal mithilfe des Assistenten für Sicherheitsregeln aktiviert werden, damit die Gated-Bereitstellung aktiviert wird.

Erstellen einer Sicherheitsregel für die gesteuerte Bereitstellung

1. Konfigurieren Sie Sicherheitsregeln für Gate-Deployments

   • Wählen Sie im Bereich "Einstellungen für Microsoft Defender for Cloud Environment"Die Sicherheitsregeln aus.
   • Wählen Sie die Sicherheitsrisikobewertung aus, um eine Liste der definierten Sicherheitsregeln anzuzeigen.

2. Konfigurieren von Sicherheitsregeln zur Schwachstellenbewertung

   • Wählen Sie "Regel hinzufügen" aus, und definieren Sie die folgenden Parameter:
     • Regelname – ein Name zur Identifizierung dieser Sicherheitsregel
     • Aktion – die auszuführende Aktion, wenn die Bedingungen der Sicherheitsregel erfüllt sind (Überwachung oder Ablehnung)
     • Bereichsname – ein Name zur Identifizierung des Bereichs dieser Sicherheitsregel
     • Cloudbereich – die Cloudumgebungen, auf die diese Sicherheitsregel angewendet wird
     • Ressourcenbereich – die Bedingungen, die im Cloudbereich zum Einschränken der Ressourcen verwendet werden, werden auf diese Sicherheitsregel angewendet.
   • Wählen Sie Konfigurationen aus, und definieren Sie Folgendes:
     • Hinzufügen von Bedingungstypen – Geben Sie die Bedingungen an, die die Aktion auslösen, wenn sie im Containerimage gefunden werden – entweder eine Sicherheitsrisikostufe oder eine bestimmte CVE-ID.
     • Hinzufügen zulässiger Sicherheitsrisiken – Angeben der CVE-IDs, die vom Auslösen der Aktion für diese Sicherheitsregel ausgenommen sind
   • Wählen Sie "Voraussetzungen aktivieren" aus.
   • Wählen Sie nach der Überprüfung der Voraussetzungen die Option "Regel hinzufügen" aus.

Deaktivieren oder Löschen einer Sicherheitsregel für die gesteuerte Bereitstellung

1. Eine Sicherheitsregel für eine begrenzte Bereitstellung deaktivieren

   • Wählen Sie im Bereich "Einstellungen für Microsoft Defender for Cloud Environment"Die Sicherheitsregeln aus.
   • Wählen Sie die Sicherheitsrisikobewertung aus, um eine Liste der definierten Sicherheitsregeln anzuzeigen.
   • Wählen Sie eine Sicherheitsregel und dann "Deaktivieren" aus.

2. Löschen einer Sicherheitsregel für eine eingeschränkte Bereitstellung

   • Wählen Sie im Bereich "Einstellungen für Microsoft Defender for Cloud Environment"Die Sicherheitsregeln aus.
   • Wählen Sie die Sicherheitsrisikobewertung aus, um eine Liste der definierten Sicherheitsregeln anzuzeigen.
   • Wählen Sie eine Sicherheitsregel und dann "Löschen" aus.