Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Queste domande frequenti riguardano le domande frequenti sulla distribuzione controllata in Microsoft Defender per contenitori. La distribuzione controllata applica i criteri di sicurezza delle immagini del contenitore in fase di distribuzione negli ambienti Kubernetes supportati, in base ai risultati dell'analisi delle vulnerabilità dai registri contenitori integrati.
Che cos'è la distribuzione controllata?
La distribuzione controllata è una funzionalità di sicurezza che valuta le immagini del contenitore rispetto alle regole di sicurezza definite prima di essere ammesse in un cluster Kubernetes.
Qual è la differenza tra la modalità audit e deny?
| Modalità | Comportamento |
|---|---|
| Audit | Consente la distribuzione ma genera eventi di monitoraggio per la revisione |
| Deny | Blocca la distribuzione di immagini che violano le regole di sicurezza |
Usare la modalità di controllo per l'implementazione iniziale per valutare l'impatto. La modalità Nega applica i criteri impedendo la distribuzione di immagini non conformi.
Esiste una regola predefinita?
Sì. Se si soddisfano tutti i prerequisiti, Defender per contenitori crea automaticamente una regola di controllo predefinita che contrassegna le immagini del contenitore con vulnerabilità elevate o critiche.
Cosa accade se si distribuisce un'immagine prima che siano disponibili i risultati dell'analisi?
Per impostazione predefinita, se i risultati dell'analisi non sono ancora disponibili nel registro contenitori, la distribuzione controllata non viene applicata. L'immagine viene distribuita senza vincoli. È possibile aggiornare questa impostazione durante la creazione della regola per bloccare le immagini senza risultati di analisi.
Dove è possibile visualizzare le valutazioni delle regole e i risultati dell'imposizione?
Tutti gli eventi di distribuzione controllata vengono visualizzati nella sezione Monitoraggio ammissione in Defender per il cloud. La vista mostra le valutazioni delle regole, le azioni attivate e le risorse interessate.
Per accedere al monitoraggio dell'ammissione:
- Vai a Microsoft Defender per il Cloud>Impostazioni dell'ambiente.
- Selezionare il riquadro Regole di sicurezza .
- Passare alla visualizzazione Monitoraggio dell'ammissione nel pannello di navigazione a sinistra.
Altre informazioni sul monitoraggio degli eventi di distribuzione controllata.
È possibile esentare specifiche CVE o risorse?
Sì, è possibile configurare le esenzioni durante la creazione di regole. I tipi di esenzione supportati includono:
- CVE
- Distribuzione
- Immagine
- Namespace
- Pod
- Registry
- Repository
Le esenzioni possono essere con ambito e con limite di tempo.
È possibile impostare una scadenza per le esenzioni?
Sì, è possibile. Quando si crea un'esenzione, abilitare l'interruttore del tempo e selezionare una data di scadenza. L'esenzione scade automaticamente alla fine del giorno selezionato.
La modalità Deny influisce sulle prestazioni della distribuzione?
Sì. La modalità di negazione potrebbe introdurre un ritardo di 1-2 secondi durante la distribuzione a causa dell'applicazione dei criteri in tempo reale.
È possibile gestire esenzioni o regole tramite l'API o l'interfaccia della riga di comando?
Attualmente, è possibile gestire la distribuzione controllata tramite il portale di Defender for Cloud. Si creano regole e si configurano le esenzioni tramite l'interfaccia utente.
La distribuzione controllata è supportata in ambienti multicloud?
Sì, Gated Deployment supporta gli ambienti cloud Azure, AWS e GCP e le piattaforme Kubernetes. Include l'integrazione del Registro di sistema per l'analisi delle vulnerabilità.
Contenuti correlati
Per indicazioni e supporto più dettagliati, vedere la documentazione seguente:
Panoramica: Rilascio controllato di immagini di container in un cluster Kubernetes
Introduzione alla funzionalità, al relativo valore e al relativo funzionamento.Guida all'abilitazione: Configurare la distribuzione controllata in Defender per contenitori
Istruzioni dettagliate per l'onboarding, la creazione di regole, le esenzioni e il monitoraggio.Guida alla risoluzione dei problemi: Distribuzione controllata ed esperienza di sviluppo
Consente di risolvere i problemi di onboarding, gli errori di distribuzione e di interpretare i messaggi rivolti agli sviluppatori.