컨테이너용 Microsoft Defender는 AKS(Azure Kubernetes Service), Amazon Elastic Kubernetes Service(EKS) 및 GKE(Google Kubernetes Engine)를 포함하여 Kubernetes 환경에서 배포 시 컨테이너 이미지 보안 정책을 적용하는 제어된 배포를 지원합니다. 적용은 ACR(Azure Container Registry), ECR(Amazon Elastic Container Registry) 및 Google Artifact Registry를 포함하여 지원되는 컨테이너 레지스트리의 취약성 검사 결과를 사용합니다.
제어된 배포는 Kubernetes 허용 컨트롤러와 통합되어 조직의 보안 요구 사항을 충족하는 컨테이너 이미지만 Kubernetes 환경에서 실행되도록 합니다. 클러스터에 허용되기 전에 정의된 보안 규칙에 대해 컨테이너 이미지를 평가하여 보안 팀이 취약한 워크로드를 차단하고 규정 준수를 유지할 수 있도록 합니다.
혜택
- 알려진 취약성이 있는 컨테이너 이미지 배포 방지
- 실시간으로 보안 정책 적용
- Defender for Cloud 취약성 관리 워크플로와 통합
- 단계별 롤아웃 지원: 감사 모드에서 시작한 다음 거부 모드로 이동
활성화 전략
많은 고객이 이미 Microsoft Defender for Containers 취약성 스캐너를 사용하고 있습니다. 제어된 배포는 이 기초를 기반으로 합니다.
| 모드 | 설명 |
|---|---|
| Audit | 배포를 계속하여 보안 규칙을 위반하는 취약한 이미지에 대한 허용 이벤트를 생성할 수 있습니다. |
| Deny | 보안 규칙을 위반하는 이미지 배포 차단 |
감사 모드에서 시작하여 영향을 평가한 다음 거부 모드로 이동하여 규칙을 적용합니다.
작동 방식
- 보안 규칙은 CVE 심각도와 같은 조건 및 감사 또는 거부와 같은 작업을 정의합니다.
- 허용 컨트롤러는 이러한 규칙에 대해 컨테이너 이미지를 평가합니다.
- 규칙이 일치하면 시스템에서 정의된 작업을 수행합니다.
- 허용 컨트롤러는 Defender for Cloud가 지원하고 ACR, ECR 및 Google Artifact Registry와 같이 검사하도록 구성된 레지스트리의 취약성 검사 결과를 사용합니다.
주요 기능
- 적격 클러스터에서 높음 또는 심각한 취약성이 있는 이미지 배포를 자동으로 표시하는 기본 감사 규칙을 사용하십시오.
- 범위가 지정된 시간 제한 예외를 설정합니다.
- 클러스터, 네임스페이스, Pod 또는 이미지별로 세분화된 대상 규칙입니다.
- Defender for Cloud를 통해 허용 이벤트를 모니터링합니다.
관련 콘텐츠
다음 문서에서 자세한 지침을 가져옵니다.
사용 가이드: 컨테이너용 Defender에서 제어된 배포 구성 온보딩, 규칙 만들기, 예외 및 모니터링에 대한 단계별 지침입니다.
FAQ: 컨테이너용 Defender의 제어된 배포
제어된 배포 동작 및 구성에 대한 일반적인 고객 질문에 대한 답변입니다.문제 해결 가이드: 제어된 배포 및 개발자 환경
온보딩 문제, 배포 실패 및 개발자 관련 메시지 해석을 해결합니다.