컨테이너 보호에 대한 일반적인 질문

Configure Microsoft Defender for Containers to be enabled라는 Azure Policy를 사용하여 컨테이너용 Defender를 대규모로 사용하도록 설정할 수 있습니다. 또한 컨테이너용 Microsoft Defender를 사용하도록 설정하는 데 사용할 수 있는 모든 옵션을 볼 수 있습니다.

예.

아니요. 노드에 대해 Virtual Machine Scale Sets를 사용하는 AKS(Azure Kubernetes Service) 클러스터만 지원됩니다.

아니요, AKS는 관리형 서비스이며, IaaS 리소스 조작은 지원되지 않습니다. Log Analytics VM 확장은 필요하지 않으며 추가 요금이 발생할 수 있습니다.

이 문서의 사용자 지정 작업 영역 할당 섹션에 있는 단계에 따라 기존 Log Analytics 작업 영역을 사용할 수 있습니다.

기본 작업 영역은 삭제하지 않는 것이 좋습니다. 컨테이너용 Defender는 기본 작업 영역을 사용하여 클러스터에서 보안 데이터를 수집합니다. 컨테이너용 Defender는 데이터를 수집할 수 없으며, 기본 작업 영역을 삭제하면 일부 보안 권장 사항 및 경고를 사용할 수 없게 됩니다.

기본 작업 영역을 복구하려면 Defender 센서를 제거하고 센서를 다시 설치해야 합니다. Defender 센서를 다시 설치하면 새 기본 작업 영역이 만들어집니다.

지역에 따라 기본 Log Analytics 작업 영역은 다양한 위치에 있을 수 있습니다. 지역을 확인하려면 기본 Log Analytics 작업 영역은 어디에서 만들어지나요?를 참조하세요.

Defender 센서는 Log Analytics 작업 영역을 사용하여 Kubernetes 클러스터에서 클라우드용 Defender 데이터를 보냅니다. 이 클라우드용 Defender Log Analytic 작업 영역 및 리소스 그룹을 센서가 사용할 매개 변수로 추가합니다.

그러나 조직에 리소스에 대한 특정 태그가 필요한 정책이 있는 경우 리소스 그룹 또는 기본 작업 영역 만들기 단계 중에 센서 설치가 실패할 수 있습니다. 실패하는 경우 다음 중 하나를 수행할 수 있습니다.

• 사용자 지정 작업 영역을 할당하고 조직에 필요한 태그를 추가합니다.

  또는

• 회사에서 태그를 리소스에 지정하도록 요구하는 경우 해당 정책으로 이동하여 다음 리소스를 제외해야 합니다.

  1. DefaultResourceGroup-<RegionShortCode> 리소스 그룹
  2. DefaultWorkspace-<sub-id>-<RegionShortCode> 작업 영역

  RegionShortCode는 2~4자의 문자열입니다.

Defender for Containers는 레지스트리에서 이미지를 끌어와 다중 클라우드 환경에 대한 Microsoft Defender 취약성 관리 있는 격리된 샌드박스에서 실행합니다. 스캐너는 알려진 취약성 목록을 추출합니다.

Defender for Cloud는 검사기의 검사 결과를 필터링하고 분류합니다. 이미지가 정상인 경우 Defender for Cloud는 이를 정상으로 표시합니다. Defender for Cloud는 해결해야 할 문제가 있는 이미지에 대해서만 보안 권장 사항을 생성합니다. Defender for Cloud는 문제가 있는 경우에만 알리는 방식으로 원치 않는 정보 알림이 발생할 가능성을 줄입니다.

스캐너에서 수행하는 풀 이벤트를 식별하려면 다음 단계를 수행합니다.

1. AzureContainerImageScanner의 UserAgent를 사용하여 풀 이벤트를 검색합니다.
2. 이 이벤트와 연결된 ID를 추출합니다.
3. 추출된 ID를 사용하여 스캐너에서 풀 이벤트를 식별합니다.

• 해당 없음 리소스 – 권장 사항에서 명확한 답변을 제공할 수 없는 리소스입니다. 해당 없음 탭에는 각 리소스를 평가할 수 없는 이유가 포함되어 있습니다.
• 확인되지 않은 리소스는 평가될 예정이지만 아직 평가되지 않은 리소스입니다.

일부 이미지는 이미 스캔된 이미지에서 태그를 재사용할 수 있습니다. 예를 들어 다이제스트에 이미지를 추가할 때마다 “최신” 태그를 다시 할당할 수 있습니다. 이러한 경우 ‘이전’ 이미지는 여전히 레지스트리에 존재하며 해당 다이제스트에 의해 계속 끌어올 수 있습니다. 이미지에 보안 결과가 있고 끌어온 경우 보안 취약성이 노출됩니다.

현재 컨테이너용 Defender는 ACR(Azure Container Registry) 및 AWS ECR(Elastic Container Registry)의 이미지만 검사할 수 있습니다. Docker Registry, Microsoft 아티팩트 레지스트리/Microsoft Container Registry 및 Microsoft ARO(Azure Red Hat OpenShift) 기본 제공 컨테이너 이미지 레지스트리는 지원되지 않습니다. 먼저 이미지를 ACR로 가져와야 합니다. Azure Container Registry로 컨테이너 이미지 가져오기에 대해 자세히 알아봅니다.

예. 결과는 Sub-Assessments REST API에 있습니다. 또한 모든 리소스에 대한 Kusto 같은 API인 ARG(Azure Resource Graph)를 사용할 수 있습니다. 쿼리로 특정 검사를 페치할 수 있습니다.

이미지 형식을 검사를 위해 skopeo와 같은 원시 이미지 매니페스트를 확인하고 검사 원시 이미지 형식을 검사할 수 있는 도구를 사용해야 합니다.

• Docker v2 형식의 경우 매니페스트 미디어 형식은 여기에 문서화된 대로 application/vnd.docker.distribution.manifest.v1+json or application/vnd.docker.distribution.manifest.v2+json입니다.
• OCI 이미지 형식의 경우 매니페스트 미디어 형식은 여기에 설명된 대로 application/vnd.oci.image.manifest.v1+json, and config media type application/vnd.oci.image.config.v1+json입니다.

에이전트 없는 CSPM 기능을 제공하는 두 가지 확장이 있습니다.

• 에이전트 없는 컨테이너 취약성 평가: 에이전트 없는 컨테이너 취약성 평가를 제공합니다. 에이전트 없는 컨테이너 취약성 평가에 대해 자세히 알아보세요.
• Kubernetes에 대한 에이전트 없는 검색: Kubernetes클러스터 아키텍처, 워크로드 개체 및 설정에 대한 API 기반 정보 검색을 제공합니다.

여러 구독을 한 번에 온보딩하려면 이 스크립트를 사용할 수 있습니다.

클러스터의 결과가 표시되지 않는 경우 다음 질문을 확인합니다.

• 클러스터를 중지했나요?
• 리소스 그룹, 구독 또는 클러스터가 잠겨 있나요? 이러한 질문 중 하나에 대한 답변이 ‘예’라면 다음 질문의 답변을 참조하세요.

Microsoft는 중지된 클러스터에 대한 지원이나 요금 청구를 하지 않습니다. 중지된 클러스터에서 에이전트 없는 기능의 값을 가져오려면 클러스터를 다시 실행하세요.

잠긴 리소스 그룹/구독/클러스터의 잠금을 해제하고, 관련 요청을 수동으로 수행한 후, 다음을 수행하여 리소스 그룹/구독/클러스터를 다시 잠그는 것이 좋습니다.

1. 신뢰할 수 있는 액세스를 사용하여 CLI를 통해 기능 플래그를 수동으로 사용하도록 설정합니다.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. CLI에서 바인딩 작업을 수행합니다.

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

잠긴 클러스터의 경우 다음 단계 중 하나를 수행할 수도 있습니다.

• 잠금을 제거합니다.
• API 요청을 하여 바인딩 작업을 수동으로 수행합니다. 잠긴 리소스에 대해 자세히 알아보세요.

AKS(Azure Kubernetes Service)에서 지원되는 Kubernetes 버전에 대해 자세히 알아보세요.

변경 내용이 보안 그래프, 공격 경로 및 보안 탐색기에 반영되려면 최대 24시간이 걸릴 수 있습니다.

다음 단계에서는 Trivy에서 제공하는 단일 레지스트리 권장 사항을 제거하고 MDVM에서 제공하는 새 레지스트리와 런타임 권장 사항을 추가합니다.

1. 관련 AWS 커넥터를 엽니다.
2. 컨테이너용 Defender 설정 페이지를 엽니다.
3. 에이전트 없는 컨테이너 취약성 평가를 사용하도록 설정합니다.
4. AWS에서 새 온보딩 스크립트 배포를 포함하여 커넥터 마법사의 단계를 완료합니다.
5. 온보딩하는 동안 만든 리소스를 수동으로 삭제합니다.
   • 접두사 defender-for-containers-va를 사용하는 S3 버킷
   • 이름이 defender-for-containers-va인 ECS 클러스터
   • VPC:
     • 값 defender-for-containers-va를 사용하여 name에 태그 지정
     • IP 서브넷 CIDR 10.0.0.0/16
     • 들어오는 모든 트래픽에 대한 하나의 규칙이 있고 태그 name과 값 defender-for-containers-va를 갖는 기본 보안 그룹과 연결됩니다.
     • ECS 클러스터 defender-for-containers-va에서 CIDR 10.0.1.0/24 IP 서브넷이 사용되는 defender-for-containers-va VPC에서 태그 name 및 값 defender-for-containers-va가 있는 서브넷
     • 태그 name 및 값 defender-for-containers-va가 있는 인터넷 게이트웨이
     • 경로 테이블 - 태그 name 및 값 defender-for-containers-va가 있으며 다음 경로를 포함하는 경로 테이블:
       • 대상: 0.0.0.0/0. 대상: 태그 name 및 값 defender-for-containers-va가 있는 인터넷 게이트웨이
       • 대상: 10.0.0.0/16. 대상: local

이미지 실행에 대한 취약성 평가를 받으려면 Kubernetes에 대한 에이전트 없는 검색을 사용하도록 설정하거나 Kubernetes 클러스터에 Defender 센서를 배포합니다.

다음 단계

컨테이너용 Defender에 대해 자세히 알아보기