Lesen Sie die Empfehlungen zur Härtung von Docker-Hosts

  • Artikel

Microsoft Defender für Cloud identifiziert nicht verwaltete Container, die auf IaaS-Linux-VMs oder anderen Linux-Computern mit ausgeführten Docker-Containern gehostet werden. Defender für Cloud bewertet kontinuierlich die Konfigurationen dieser Container. Anschließend werden sie mit dem Docker-Benchmark von Center for Internet Security (CIS) verglichen.

Defender für Cloud umfasst den gesamten Regelsatz des CIS-Docker-Benchmarks und benachrichtigt Sie, sobald Ihre Container eine der Kontrollen nicht bestehen. Falls Fehlkonfigurationen gefunden werden, werden von Defender für Cloud Sicherheitsempfehlungen generiert. Verwenden Sie die Seite Empfehlungen in Defender für Cloud, um Empfehlungen anzuzeigen und Probleme zu beheben.

Wenn Sicherheitsrisiken gefunden wurden, werden diese in einer einzigen Empfehlung gruppiert.

Hinweis

Diese CIS-Benchmarkprüfungen können nicht auf von AKS oder Databricks verwalteten virtuellen Computern ausgeführt werden.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Preise: Erfordert Microsoft Defender für Server-Plan 2
Erforderliche Rollen und Berechtigungen: Leser in dem Arbeitsbereich, mit dem der Host verbunden wird
Clouds: Kommerzielle Clouds
National (Azure Government, Microsoft Azure betrieben von 21Vianet)
Verknüpfte AWS-Konten

Identifizieren und Beheben von Sicherheitsrisiken in der Docker-Konfiguration

  1. Öffnen Sie im Menü von Defender für Cloud die Seite Empfehlungen.

  2. Filtern Sie nach der Empfehlung Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden, und wählen Sie diese Empfehlung aus.

    Auf der Empfehlungsseite werden die betroffenen Ressourcen (Docker-Hosts) angezeigt.

    Recommendation to remediate vulnerabilities in container security configurations.

    Hinweis

    Computer, auf denen Docker nicht ausgeführt wird, werden auf der Registerkarte Nicht anwendbare Ressourcen aufgeführt. Sie werden in Azure Policy als konform angezeigt.

  3. Um die CIS-Steuerelemente für einen bestimmten Host, bei dem ein Fehler aufgetreten ist, anzuzeigen und zu beheben, wählen Sie den zu untersuchenden Host aus.

    Tipp

    Wenn Sie auf der Seite für den Ressourcenbestand begonnen und diese Empfehlung von dort aus erreicht haben, wählen Sie auf der Empfehlungsseite die Schaltfläche Aktion ausführen aus.

    Take action button to launch Log Analytics.

    Log Analytics wird geöffnet und zeigt einen benutzerdefinierten Vorgang, der direkt ausgeführt werden kann. Die standardmäßige benutzerdefinierte Abfrage enthält eine Liste aller fehlerhaften Regeln, die bewertet wurden, sowie Anleitungen zum Beheben der Probleme.

    Log Analytics page with the query showing all failed CIS controls.

  4. Optimieren Sie die Abfrageparameter bei Bedarf.

  5. Wenn Sie sicher sind, dass der Befehl für Ihren Host geeignet und bereit ist, wählen Sie Ausführen aus.

Nächster Schritt

Die Docker-Härtung ist nur ein Aspekt der Containersicherheitsfeatures von Defender für Cloud.

Weitere Informationen finden Sie unter Containersicherheit in Defender für Cloud.