Revisar las recomendaciones de protección de host de Docker

  • Artículo

Microsoft Defender para la nube identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u otras máquinas de Linux que ejecutan contenedores de Docker. Defender for Cloud evalúa continuamente las configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del Centro de seguridad de Internet (CIS).

Defender for Cloud incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los contenedores no cumplen ninguno de los controles. Cuando encuentra configuraciones incorrectas, Defender para la nube genera recomendaciones de seguridad. Use la página de recomendaciones de Defender for Cloud para ver las recomendaciones y corregir los problemas.

Cuando se detectan vulnerabilidades, se agrupan en una sola recomendación.

Nota

Estas comprobaciones del banco de prueba de CIS no se ejecutarán en instancias que administre AKS o en VM que administre Databricks.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Requiere el Plan 2 de Microsoft Defender para servidores.
Roles y permisos necesarios: Lector en el área de trabajo a la que se conecta el host.
Nubes: Nubes comerciales
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)
Cuentas de AWS conectadas

Identificación y corrección de vulnerabilidades de seguridad en la configuración de Docker

  1. En el menú de Defender for Cloud, abra la página Recomendaciones.

  2. Filtre por la recomendación Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse y selecciónela.

    En la página de recomendación se muestran los recursos afectados (hosts de Docker).

    Recommendation to remediate vulnerabilities in container security configurations.

    Nota:

    Las máquinas que no ejecutan Docker se mostrarán en la pestaña Recursos no aplicables. Aparecerán en Azure Policy como Conforme.

  3. Para ver y corregir los controles de CIS en los que se produjo un error en un host específico, seleccione el host que desea investigar.

    Sugerencia

    Si empezó en la página de inventario de recursos y ha llegado a esta recomendación desde ahí, seleccione el botón Realizar acción de la página de la recomendación.

    Take action button to launch Log Analytics.

    Log Analytics se abre con una operación personalizada lista para ejecutarse. La consulta personalizada predeterminada incluye una lista de todas las reglas con errores que se han evaluado, junto con instrucciones para ayudarle a resolver los problemas.

    Log Analytics page with the query showing all failed CIS controls.

  4. Retoque los parámetros de consulta si es necesario.

  5. Cuando esté seguro de que el comando es adecuado y está listo para el host, seleccione Ejecutar.

Paso siguiente

La protección de Docker es solo un aspecto de las características de seguridad de contenedores de Defender for Cloud.

Obtenga más información en Seguridad de contenedores en Defender for Cloud.