Aanbevelingen voor containerbeveiliging

Artikel
10/07/2024

Dit artikel bevat alle aanbevelingen voor containerbeveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Aanbevelingen voor Azure-containers

Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd

Beschrijving: Defender's extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten van het besturingsvlak (master) in het cluster en verzendt deze naar de back-end van Microsoft Defender voor Kubernetes in de cloud voor verdere analyse. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u het Profiel SecurityProfile.AzureDefender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd

Beschrijving: Azure Policy-invoegtoepassing voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. Defender voor Cloud vereist dat de invoegtoepassing beveiligingsmogelijkheden en naleving binnen uw clusters controleert en afdwingt. Meer informatie. Vereist Kubernetes v1.14.0 of hoger. (Gerelateerd beleid: De Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters.

Ernst: Hoog

Type: Besturingsvlak

Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)

Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys)

Beschrijving: Evaluatie van beveiligingsproblemen in containerinstallatiekopieën scant uw register op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).

Evaluatiesleutel: dbd0cb49-b563-45e7-9724-889e799fa648

Type: Evaluatie van beveiligingsproblemen

Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)

Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost ( mogelijk gemaakt door Qualys)

Beschrijving: Evaluatie van beveiligingsproblemen in containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Geen gerelateerd beleid)

Evaluatiesleutel: 41503391-efa5-47ee-9282-4eff6131462c

Type: Evaluatie van beveiligingsproblemen

De CPU- en geheugenlimieten van containers moeten worden afgedwongen

Beschrijving: Het afdwingen van CPU- en geheugenlimieten voorkomt aanvallen op resources (een vorm van Denial of Service-aanval).

We raden u aan limieten voor containers in te stellen om ervoor te zorgen dat de container niet meer dan de geconfigureerde resourcelimiet gebruikt.

(Gerelateerd beleid: Zorg ervoor dat de limieten voor cpu- en geheugenresources van containers niet groter zijn dan de opgegeven limieten in het Kubernetes-cluster.

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers

Beschrijving: Installatiekopieën die worden uitgevoerd op uw Kubernetes-cluster moeten afkomstig zijn van bekende en bewaakte containerinstallatiekopieën. Vertrouwde registers verminderen het blootstellingsrisico van uw cluster door het potentieel voor de introductie van onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën te beperken.

(Gerelateerd beleid: Zorg ervoor dat alleen toegestane containerinstallatiekopieën in een Kubernetes-cluster zijn toegestaan).

Ernst: Hoog

Type: Kubernetes-gegevensvlak

[Preview] Containerinstallatiekopieën in Het Azure-register moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.

Aanbeveling azure-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) worden verwijderd wanneer de nieuwe aanbeveling algemeen beschikbaar is.

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

(Inschakelen indien nodig) Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over CMK-versleuteling vindt u in Overzicht van door de klant beheerde sleutels. (Gerelateerd beleid: Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK).

Ernst: Laag

Type: Besturingsvlak

Containerregisters mogen geen onbeperkte netwerktoegang toestaan

Beschrijving: Azure-containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven. Meer informatie over Container Registry-netwerkregels op Openbare IP-netwerkregels configureren en de toegang tot een containerregister beperken met behulp van een service-eindpunt in een virtueel Azure-netwerk. (Gerelateerd beleid: Containerregisters mogen geen onbeperkte netwerktoegang toestaan).

Ernst: gemiddeld

Type: Besturingsvlak

Containerregisters moeten een privékoppeling gebruiken

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. (Gerelateerd beleid: Containerregisters moeten gebruikmaken van private link).

Ernst: gemiddeld

Type: Besturingsvlak

[Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën en de beveiligingsproblemenrapporten die zijn gemaakt voor de registerinstallatiekopieën te vergelijken. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Notitie

Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep wijzigt om de nieuwe evaluatiesleutel te gebruiken.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Beschrijving: Voorkom podtoegang tot gevoelige hostnaamruimten (hostproces-id en host-IPC) in een Kubernetes-cluster om bescherming te bieden tegen escalatie van bevoegdheden buiten de container. (Gerelateerd beleid: Kubernetes-clustercontainers mogen geen hostproces-id of host-IPC-naamruimte delen).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Containers mogen alleen toegestane AppArmor-profielen gebruiken

Beschrijving: Containers die worden uitgevoerd op Kubernetes-clusters moeten alleen worden beperkt tot toegestane AppArmor-profielen. AppArmor (Application Threat) is een Linux-beveiligingsmodule die een besturingssysteem en de bijbehorende toepassingen beschermt tegen beveiligingsrisico's. Een systeembeheerder koppelt een AppArmor-beveiligingsprofiel aan elk programma om het te gebruiken. (Gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane AppArmor-profielen gebruiken).

Ernst: Hoog

Type: Kubernetes-gegevensvlak

Container met escalatie van bevoegdheden moet worden vermeden

Beschrijving: Containers mogen niet worden uitgevoerd met escalatie van bevoegdheden naar root in uw Kubernetes-cluster. Met het kenmerk AllowPrivilegeEscalation wordt bepaald of een proces meer bevoegdheden kan krijgen dan het bovenliggende proces. (Gerelateerd beleid: Kubernetes-clusters mogen geen escalatie van containerbevoegdheden toestaan).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld

Beschrijving: Schakel diagnostische logboeken in uw Kubernetes-services in en bewaar ze maximaal een jaar. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt. (Geen gerelateerd beleid)

Ernst: Laag

Type: Besturingsvlak

Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers

Beschrijving: Containers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem in uw Kubernetes-cluster. Het onveranderbare bestandssysteem beschermt containers tijdens het uitvoeren tegen wijzigingen met schadelijke binaire bestanden die worden toegevoegd aan het pad. (Gerelateerd beleid: Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Kubernetes-API-server moet worden geconfigureerd met beperkte toegang

Beschrijving: Als u ervoor wilt zorgen dat alleen toepassingen van toegestane netwerken, machines of subnetten toegang hebben tot uw cluster, beperkt u de toegang tot uw Kubernetes-API-server. U kunt de toegang beperken door geautoriseerde IP-bereiken te definiëren of door uw API-servers in te stellen als privéclusters, zoals wordt uitgelegd in Een privé-Azure Kubernetes Service-cluster maken. (Gerelateerd beleid: Geautoriseerde IP-bereiken moeten worden gedefinieerd in Kubernetes Services).

Ernst: Hoog

Type: Besturingsvlak

Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS

Beschrijving: Het gebruik van HTTPS zorgt voor verificatie en beveiligt gegevens die onderweg zijn tegen afluisteraanvallen in de netwerklaag. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor AKS Engine en Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc (Gerelateerd beleid: HTTPS-inkomend verkeer afdwingen in Kubernetes-cluster).

Ernst: Hoog

Type: Kubernetes-gegevensvlak

Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen

Beschrijving: Schakel automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters moeten api-referenties automatisch koppelen uitschakelen).

Ernst: Hoog

Type: Kubernetes-gegevensvlak

Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen

Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw containers wilt verminderen, beperkt u CAP_SYS_ADMIN Linux-mogelijkheden. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Kubernetes-gegevensvlak

Kubernetes-clusters mogen de standaard naamruimte niet gebruiken

Beschrijving: Voorkom het gebruik van de standaardnaamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor resourcetypen ConfigMap, Pod, Secret, Service en ServiceAccount. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters mogen niet gebruikmaken van de standaardnaamruimte).

Ernst: Laag

Type: Kubernetes-gegevensvlak

Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers

Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw container wilt verminderen, beperkt u de Linux-mogelijkheden en verleent u specifieke bevoegdheden aan containers zonder alle bevoegdheden van de hoofdgebruiker toe te kennen. We raden u aan alle mogelijkheden te verwijderen en vervolgens de mogelijkheden toe te voegen die vereist zijn (gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane mogelijkheden gebruiken).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Microsoft Defender voor containers moet zijn ingeschakeld

Beschrijving: Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multicloud Kubernetes-omgevingen. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.

Als u deze aanbeveling volgt, worden kosten in rekening gebracht voor het beveiligen van uw Kubernetes-clusters. Als u geen Kubernetes-clusters voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst Kubernetes-clusters voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Bevoegde containers moeten worden vermeden

Beschrijving: Om onbeperkte hosttoegang te voorkomen, vermijdt u waar mogelijk bevoegde containers.

Bevoegde containers hebben alle hoofdfuncties van een hostcomputer. Ze kunnen worden gebruikt als toegangspunten voor aanvallen en om schadelijke code of malware te verspreiden naar gecompromitteerde toepassingen, hosts en netwerken. (Gerelateerd beleid: Sta geen bevoegde containers toe in een Kubernetes-cluster).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Op rollen gebaseerd toegangsbeheer moet worden gebruikt voor Kubernetes Services

Beschrijving: Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. (Gerelateerd beleid: Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services.

Ernst: Hoog

Type: Besturingsvlak

Het uitvoeren van containers als hoofdgebruiker moet worden vermeden

Beschrijving: Containers mogen niet worden uitgevoerd als hoofdgebruikers in uw Kubernetes-cluster. Als een proces als hoofdgebruiker wordt uitgevoerd in een container, wordt het als hoofdgebruiker uitgevoerd op de host. Als er sprake is van een inbreuk, heeft een aanvaller root in de container en worden eventuele onjuiste configuraties gemakkelijker te misbruiken. (Gerelateerd beleid: Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en groeps-id's).

Ernst: Hoog

Type: Kubernetes-gegevensvlak

Services mogen alleen op toegestane poorten luisteren

Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw Kubernetes-cluster wilt verminderen, beperkt u de toegang tot het cluster door de toegang tot services tot de geconfigureerde poorten te beperken. (Gerelateerd beleid: Zorg ervoor dat services alleen luisteren op toegestane poorten in kubernetes-cluster).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Het gebruik van hostnetwerken en -poorten moet worden beperkt

Beschrijving: Beperk podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Pods die zijn gemaakt met het hostNetwork-kenmerk ingeschakeld, delen de netwerkruimte van het knooppunt. Als u wilt voorkomen dat de gecompromitteerde container het netwerkverkeer overneemt, kunt u de pods beter niet in het hostnetwerk te plaatsen. Als u een containerpoort beschikbaar wilt maken in het netwerk van het knooppunt en een Kubernetes Service-knooppuntpoort niet aan uw behoeften voldoet, kunt u ook een hostPort opgeven voor de container in de podspecificatie. (Gerelateerd beleid: Kubernetes-clusterpods mogen alleen goedgekeurd hostnetwerk en poortbereik gebruiken).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Het gebruik van pod HostPath-volumekoppelingen moet worden beperkt tot een bekende lijst om de toegang tot knooppunten van geïnfecteerde containers te beperken

Beschrijving: Het is raadzaam om hostPath-podvolumekoppelingen in uw Kubernetes-cluster te beperken tot de geconfigureerde toegestane hostpaden. Als er sprake is van een inbreuk, moet de toegang tot het containerknooppunt van de containers worden beperkt. (Gerelateerd beleid: HostPath-volumes van Kubernetes-clusterpods mogen alleen toegestane hostpaden gebruiken).

Ernst: gemiddeld

Type: Kubernetes-gegevensvlak

Aanbevelingen voor AWS-containers

[Preview] Containerinstallatiekopieën in het AWS-register moeten problemen hebben opgelost

Aanbeveling AWS-registercontainerinstallatiekopieën moeten opgeloste resultaten voor beveiligingsproblemen (mogelijk gemaakt door Microsoft Defender Vulnerability Management) worden verwijderd door de nieuwe aanbeveling is algemeen beschikbaar.

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

[Preview] Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Notitie

Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar 8749bb43-cd24-4cf9-848c-2a50f632043c. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep bijwerkt om de nieuwe evaluatiesleutel te gebruiken.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

EKS-clusters moeten de vereiste AWS-machtigingen verlenen aan Microsoft Defender voor Cloud

Beschrijving: Microsoft Defender for Containers biedt beveiligingen voor uw EKS-clusters. Om uw cluster te bewaken op beveiligingsproblemen en bedreigingen, heeft Defender for Containers machtigingen nodig voor uw AWS-account. Deze machtigingen worden gebruikt om logboekregistratie van het Kubernetes-besturingsvlak in uw cluster in te schakelen en een betrouwbare pijplijn tot stand te brengen tussen uw cluster en de back-end van Defender voor Cloud in de cloud. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.

Ernst: Hoog

Voor EKS-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc

Beschrijving: de clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw EKS-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.

Ernst: Hoog

Microsoft Defender for Containers moet zijn ingeschakeld voor AWS-connectors

Beschrijving: Microsoft Defender for Containers biedt realtime bedreigingsbeveiliging voor in containers geplaatste omgevingen en genereert waarschuwingen over verdachte activiteiten. Gebruik deze informatie om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen.

Wanneer u Microsoft Defender for Containers inschakelt en Azure Arc implementeert in uw EKS-clusters, worden de beveiligingen en kosten gestart. Als u Azure Arc niet implementeert in een cluster, beveiligt Defender for Containers het cluster niet en worden er geen kosten in rekening gebracht voor dit Microsoft Defender-abonnement voor dat cluster.

Ernst: Hoog

Aanbevelingen voor gegevensvlak

Alle beveiligingsaanbevelingen voor Kubernetes-gegevensvlakken worden ondersteund voor AWS nadat u Azure Policy voor Kubernetes hebt ingeschakeld.

Aanbevelingen voor GCP-containers

Geavanceerde configuratie van Defender for Containers moet zijn ingeschakeld voor GCP-connectors

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel alle geavanceerde configuratie-instellingen in om ervoor te zorgen dat de oplossing correct is ingericht en de volledige set mogelijkheden beschikbaar zijn.

Ernst: Hoog

[Preview] Containerinstallatiekopieën in het GCP-register moeten problemen hebben opgelost

Aanbevelingen voor GCP-registercontainerinstallatiekopieën moeten zijn opgelost met resultaten van beveiligingsproblemen (mogelijk gemaakt door Microsoft Defender Vulnerability Management , worden verwijderd wanneer de nieuwe aanbeveling algemeen beschikbaar is.

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

[Preview] Containers die in GCP worden uitgevoerd, moeten resultaten van beveiligingsproblemen hebben opgelost

De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.

Notitie

Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep bijwerkt om de nieuwe evaluatiesleutel te gebruiken.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Voor GKE-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc

Beschrijving: De clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw GKE-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.

Ernst: Hoog

GKE-clusters moeten de Azure Policy-extensie hebben geïnstalleerd

Ernst: Hoog

Microsoft Defender for Containers moet zijn ingeschakeld voor GCP-connectors

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel containers in op uw GCP-connector om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen. Meer informatie over Microsoft Defender for Containers.

Ernst: Hoog

De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoRepair, value: true

Ernst: gemiddeld

De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoUpgrade, value: true

Ernst: Hoog

Bewaking op GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.

Ernst: gemiddeld

Logboekregistratie voor GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.

Ernst: Hoog

GKE-webdashboard moet worden uitgeschakeld

Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.

Ernst: Hoog

Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters

Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.

Ernst: Hoog

Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.

Ernst: Hoog

Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.

Ernst: Laag

GKE-clusters moeten privéclusters hebben ingeschakeld

Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.

Ernst: Hoog

Netwerkbeleid moet zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.

Ernst: gemiddeld

Aanbevelingen voor gegevensvlak

Alle aanbevelingen voor kubernetes-gegevensvlakbeveiliging worden ondersteund voor GCP nadat u Azure Policy voor Kubernetes hebt ingeschakeld.

Aanbevelingen voor externe containerregisters

[Preview] Containerinstallatiekopieën in docker Hub-register moeten gevonden problemen hebben opgelost

Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën helpt bij het onderhouden van een veilige en betrouwbare software-toeleveringsketen, vermindert het risico op beveiligingsincidenten en zorgt voor naleving van industriestandaarden.",

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Delen via

Aanbevelingen voor containerbeveiliging

Aanbevelingen voor Azure-containers

Aanbevelingen voor AWS-containers

Aanbevelingen voor gegevensvlak

Aanbevelingen voor GCP-containers

Aanbevelingen voor gegevensvlak

Aanbevelingen voor externe containerregisters

Gerelateerde inhoud

Feedback

Aanvullende resources