Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per contenitori supporta la distribuzione controllata, che applica i criteri di sicurezza delle immagini del contenitore in fase di distribuzione negli ambienti Kubernetes, tra cui il servizio Azure Kubernetes, Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE). L'applicazione utilizza i risultati dell'analisi delle vulnerabilità da registri container supportati, tra cui Registro Azure Container, Amazon Elastic Container Registry (ECR) e Google Artifact Registry.
La distribuzione controllata si integra con il controller di ammissione Kubernetes per garantire che solo le immagini del contenitore che soddisfino i requisiti di sicurezza dell'organizzazione vengano eseguite nell'ambiente Kubernetes. Valuta le immagini dei contenitori rispetto alle regole di sicurezza definite prima di essere ammesse nel cluster, consentendo ai team di sicurezza di bloccare i carichi di lavoro vulnerabili e mantenere la conformità.
Vantaggi
- Impedisce la distribuzione di immagini del contenitore con vulnerabilità note
- Applica i criteri di sicurezza in tempo reale
- Si integra con i flussi di lavoro di gestione delle vulnerabilità di Defender for Cloud
- Supporta l'implementazione in più fasi: avviare in modalità di controllo, quindi passare alla modalità di negazione
Strategia di abilitazione
Molti clienti usano già lo scanner di vulnerabilità di Microsoft Defender per contenitori. La distribuzione controllata si basa su questa base:
| Modalità | Descrizione |
|---|---|
| Audit | Consente il proseguimento della distribuzione e genera eventi di ammissione per immagini vulnerabili che violano le regole di sicurezza. |
| Deny | Blocca la distribuzione di immagini che violano le regole di sicurezza |
Iniziare in modalità di controllo per valutare l'impatto, quindi passare alla modalità Nega per applicare le regole.
Come funziona
- Le regole di sicurezza definiscono condizioni come la gravità delle CVE e azioni come il controllo o la negazione.
- Il controller di ammissione valuta le immagini del contenitore rispetto a queste regole.
- Quando una regola corrisponde, il sistema esegue l'azione definita.
- Il controller di ammissione usa i risultati dell'analisi delle vulnerabilità dai registri supportati da Defender for Cloud ed è configurato per l'analisi, ad esempio ACR, ECR e Google Artifact Registry.
Funzionalità principali
- Usare la regola di controllo predefinita che contrassegna automaticamente le distribuzioni di immagini con vulnerabilità elevate o critiche nei cluster idonei
- Impostare esenzioni con ambito limitato nel tempo.
- Imposta regole in modo granulare per cluster, spazio dei nomi, pod o immagine.
- Monitorare gli eventi di ammissione tramite Defender for Cloud.
Contenuti correlati
Ottenere indicazioni dettagliate negli articoli seguenti:
Guida all'abilitazione: Configurare la distribuzione controllata in Defender per contenitori Istruzioni dettagliate per l'onboarding, la creazione di regole, le esenzioni e il monitoraggio.
Domande frequenti: Distribuzione controllata in Defender per contenitori
Risposte alle domande comuni dei clienti sul comportamento e la configurazione della distribuzione controllata.Guida alla risoluzione dei problemi: Distribuzione controllata ed esperienza di sviluppo
Consente di risolvere i problemi di onboarding, gli errori di distribuzione e di interpretare i messaggi rivolti agli sviluppatori.