Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Defender untuk Kontainer mendukung penyebaran terkendali, yang memberlakukan kebijakan keamanan citra kontainer saat penyebaran di lingkungan Kubernetes, termasuk Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS), dan Google Kubernetes Engine (GKE). Penegakan menggunakan hasil pemindaian kerentanan dari registri kontainer yang didukung, termasuk Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR), dan Google Artifact Registry.
Penyebaran tertutup terintegrasi dengan admission controller Kubernetes untuk memastikan bahwa hanya image kontainer yang memenuhi persyaratan keamanan organisasi Anda dapat berjalan di lingkungan Kubernetes Anda. Ini mengevaluasi gambar kontainer terhadap aturan keamanan yang ditentukan sebelum dimasukkan ke dalam kluster, memungkinkan tim keamanan untuk memblokir beban kerja yang rentan dan mempertahankan kepatuhan.
Keuntungan
- Mencegah penyebaran gambar kontainer dengan kerentanan yang diketahui
- Memberlakukan kebijakan keamanan secara real time
- Terintegrasi dengan alur kerja manajemen kerentanan Defender for Cloud
- Mendukung peluncuran bertahap: mulai dalam mode audit, lalu pindah ke mode larangan
Strategi pengaktifan
Banyak pelanggan sudah menggunakan pemindai kerentanan Pertahanan Microsoft untuk Kontainer. Penyebaran terkunci dibangun berdasarkan fondasi ini:
| Modus | Deskripsi |
|---|---|
| Audit | Memungkinkan penyebaran berlanjut dan menghasilkan peristiwa penerimaan untuk gambar rentan yang melanggar aturan keamanan |
| Deny | Memblokir penyebaran gambar yang melanggar aturan keamanan |
Mulai dalam mode Audit untuk menilai dampak, lalu pindah ke mode Tolak untuk menerapkan aturan.
Cara kerjanya
- Aturan keamanan menentukan kondisi seperti tingkat keparahan CVE dan tindakan seperti audit atau blokir.
- Pengontrol penerimaan mengevaluasi gambar kontainer terhadap aturan ini.
- Ketika aturan cocok, sistem mengambil tindakan yang ditentukan.
- Pengontrol penerimaan menggunakan hasil pemindaian kerentanan dari registri yang didukung Defender untuk Cloud dan dikonfigurasi untuk memindai, seperti ACR, ECR, dan Google Artifact Registry.
Fitur utama
- Gunakan aturan Audit default yang secara otomatis menandai penyebaran gambar dengan kerentanan Tinggi atau Kritis pada kluster yang memenuhi syarat
- Atur pengecualian terbatas waktu dan cakupan.
- Aturan target secara terperinci menurut kluster, namespace, pod, atau citra.
- Pantau peristiwa penerimaan melalui Defender for Cloud.
Konten terkait
Dapatkan panduan terperinci dalam artikel berikut:
Panduan Pengaktifan: Mengonfigurasi Penyebaran Terjaga di Defender untuk Kontainer Instruksi langkah demi langkah untuk orientasi, pembuatan aturan, pengecualian, dan pemantauan.
FAQ: Penyebaran terkendali di Defender untuk Kontainer
Jawaban atas pertanyaan umum dari pelanggan tentang perilaku dan konfigurasi penyebaran bertahap.Panduan Pemecahan Masalah: Pengalaman Penyebaran dan Pengembang yang Terjaga
Membantu mengatasi masalah pendaftaran, kegagalan penyebaran, dan menginterpretasikan pesan yang ditujukan kepada pengembang.