Zalecenia dotyczące zabezpieczeń kontenera
W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń kontenera, które mogą zostać wyświetlone w Microsoft Defender dla Chmury.
Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.
Napiwek
Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.
Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.
Zalecenia dotyczące kontenera platformy Azure
Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy
Opis: Rozszerzenie usługi Azure Policy dla platformy Kubernetes rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy ( OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. (Brak powiązanych zasad)
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
Opis: Rozszerzenie usługi Defender dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów płaszczyzny sterowania (master) w klastrze i wysyła je do zaplecza usługi Microsoft Defender for Kubernetes w chmurze w celu dalszej analizy. (Brak powiązanych zasad)
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu profilu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Containers (Wprowadzenie do usługi Microsoft Defender for Containers). (Brak powiązanych zasad)
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
Opis: Dodatek usługi Azure Policy dla platformy Kubernetes rozszerza program Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy agenta (OPA), aby zastosować wymuszanie i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. Defender dla Chmury wymaga dodatku do inspekcji i wymuszania możliwości zabezpieczeń i zgodności w klastrach. Dowiedz się więcej. Wymaga platformy Kubernetes w wersji 1.14.0 lub nowszej. (Powiązane zasady: Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach.
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)
Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys)
Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry.
Klucz oceny: dbd0cb49-b563-45e7-9724-889e799fa648
Typ: Ocena luk w zabezpieczeniach
Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)
Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys)
Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. (Brak powiązanych zasad)
Klucz oceny: 41503391-efa5-47ee-9282-4eff6131462c
Typ: Ocena luk w zabezpieczeniach
Należy wymusić limity procesora CPU i pamięci kontenera
Opis: Wymuszanie limitów procesora CPU i pamięci zapobiega atakom wyczerpania zasobów (atak typu "odmowa usługi").
Zalecamy ustawienie limitów dla kontenerów, aby upewnić się, że środowisko uruchomieniowe uniemożliwia kontenerowi użycie więcej niż skonfigurowany limit zasobów.
(Powiązane zasady: Upewnij się, że limity zasobów procesora CPU i pamięci kontenera nie przekraczają określonych limitów w klastrze Kubernetes).
Ważność: średni rozmiar
Typ: Płaszczyzna danych Kubernetes
Obrazy kontenerów powinny być wdrażane tylko z zaufanych rejestrów
Opis: Obrazy uruchomione w klastrze Kubernetes powinny pochodzić ze znanych i monitorowanych rejestrów obrazów kontenerów. Zaufane rejestry zmniejszają ryzyko narażenia klastra, ograniczając możliwości wprowadzenia nieznanych luk w zabezpieczeniach, problemów z zabezpieczeniami i złośliwych obrazów.
(Powiązane zasady: Upewnij się, że dozwolone są tylko obrazy kontenerów w klastrze Kubernetes).
Ważność: Wysoka
Typ: Płaszczyzna danych Kubernetes
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.
Zalecenie, aby obrazy kontenerów usługi Azure Registry miały rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
(Włącz, jeśli jest to wymagane) Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie Omówienie kluczy zarządzanych przez klienta. (Powiązane zasady: Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK).
Ważność: Niska
Typ: Płaszczyzna sterowania
Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci
Opis: Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma reguły ip/zapory lub skonfigurowanej sieci wirtualnej, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry w temacie Konfigurowanie reguł sieci publicznych adresów IP i Ograniczanie dostępu do rejestru kontenerów przy użyciu punktu końcowego usługi w sieci wirtualnej platformy Azure. (Powiązane zasady: Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp sieciowy).
Ważność: średni rozmiar
Typ: Płaszczyzna sterowania
Rejestry kontenerów powinny używać łącza prywatnego
Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. (Powiązane zasady: Rejestry kontenerów powinny używać łącza prywatnego).
Ważność: średni rozmiar
Typ: Płaszczyzna sterowania
[Wersja zapoznawcza] Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Uwaga
Od 6 października 2024 r. to zalecenie zostało zaktualizowane w celu raportowania tylko jednego kontenera dla każdego kontrolera głównego. Jeśli na przykład obiekt cronjob tworzy wiele zadań, w których każde zadanie tworzy zasobnik z kontenerem podatnym na zagrożenia, zalecenie będzie zgłaszać tylko jedno wystąpienie kontenerów podatnych na zagrożenia w ramach tego zadania. Ta zmiana pomoże w usuwaniu zduplikowanych raportów dla identycznych kontenerów, które wymagają pojedynczej akcji korygowania. Jeśli przed zmianą użyto tej rekomendacji, należy spodziewać się zmniejszenia liczby wystąpień tego zalecenia.
Aby zapewnić obsługę tego ulepszenia, klucz oceny dla tego zalecenia został zaktualizowany do elementu c5045ea3-afc6-4006-ab8f-86c8574dbf3d
. Jeśli obecnie pobierasz raporty o lukach w zabezpieczeniach z tego zalecenia za pośrednictwem interfejsu API, upewnij się, że zmienisz wywołanie interfejsu API, aby użyć nowego klucza oceny.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Należy unikać udostępniania poufnych przestrzeni nazw hostów przez kontenery
Opis: Aby chronić przed eskalacją uprawnień poza kontenerem, unikaj dostępu zasobnika do poufnych przestrzeni nazw hostów (identyfikator procesu hosta i IPC hosta) w klastrze Kubernetes. (Powiązane zasady: Kontenery klastra Kubernetes nie powinny współużytkować identyfikatora procesu hosta ani przestrzeni nazw IPC hosta).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Kontenery powinny używać tylko dozwolonych profilów AppArmor
Opis: Kontenery uruchomione w klastrach Kubernetes powinny być ograniczone tylko do dozwolonych profilów AppArmor. AppArmor (Application Armor) to moduł zabezpieczeń systemu Linux, który chroni system operacyjny i jego aplikacje przed zagrożeniami bezpieczeństwa. Aby go używać, administrator systemu kojarzy profil zabezpieczeń AppArmor z każdym programem. (Powiązane zasady: Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor.
Ważność: Wysoka
Typ: płaszczyzna danych kubernetes
Należy unikać kontenera z eskalacją uprawnień
Opis: Kontenery nie powinny działać z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. Atrybut AllowPrivilegeEscalation określa, czy proces może uzyskać więcej uprawnień niż proces nadrzędny. (Powiązane zasady: Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone
Opis: włącz dzienniki diagnostyczne w usługach Kubernetes i zachowaj je do roku. Dzięki temu można odtworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń. (Brak powiązanych zasad)
Ważność: Niska
Typ: Płaszczyzna sterowania
Niezmienny (tylko do odczytu) główny system plików powinien być wymuszany dla kontenerów
Opis: Kontenery powinny działać z systemem plików głównym tylko do odczytu w klastrze Kubernetes. Niezmienny system plików chroni kontenery przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki . (Powiązane zasady: Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Serwer interfejsu API Kubernetes powinien być skonfigurowany z ograniczonym dostępem
Opis: Aby upewnić się, że tylko aplikacje z dozwolonych sieci, maszyn lub podsieci mogą uzyskiwać dostęp do klastra, ogranicz dostęp do serwera interfejsu API Kubernetes. Dostęp można ograniczyć, definiując autoryzowane zakresy adresów IP lub konfigurując serwery interfejsów API jako klastry prywatne, jak wyjaśniono w artykule Tworzenie prywatnego klastra usługi Azure Kubernetes Service. (Powiązane zasady: Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS
Opis: Użycie protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) oraz w wersji zapoznawczej dla aparatu AKS i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc (Powiązane zasady: Wymuszanie ruchu przychodzącego HTTPS w klastrze Kubernetes).
Ważność: Wysoka
Typ: Płaszczyzna danych Kubernetes
Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API
Opis: Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby uniemożliwić potencjalnie naruszony zasób zasobnika do uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Powiązane zasady: Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API).
Ważność: Wysoka
Typ: Płaszczyzna danych Kubernetes
Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN
Opis: Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Brak powiązanych zasad)
Ważność: Wysoka
Typ: płaszczyzna danych kubernetes
Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw
Opis: Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes w celu ochrony przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Powiązane zasady: Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw.
Ważność: Niska
Typ: płaszczyzna danych kubernetes
Należy wymusić najmniej uprzywilejowane możliwości systemu Linux dla kontenerów
Opis: Aby zmniejszyć obszar ataków kontenera, ogranicz możliwości systemu Linux i przyznaj określone uprawnienia kontenerom bez udzielania wszystkich uprawnień użytkownika głównego. Zalecamy usunięcie wszystkich funkcji, a następnie dodanie tych, które są wymagane (powiązane zasady: kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Należy włączyć usługę Microsoft Defender for Containers
Opis: Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.
Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę klastrów Kubernetes. Jeśli w tej subskrypcji nie masz żadnych klastrów Kubernetes, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek klastry Kubernetes w tej subskrypcji, będą one automatycznie chronione, a opłaty za nie zaczną się w tym czasie. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Containers (Wprowadzenie do usługi Microsoft Defender for Containers). (Brak powiązanych zasad)
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Należy unikać kontenerów uprzywilejowanych
Opis: Aby zapobiec nieograniczonemu dostępowi do hosta, należy unikać uprzywilejowanych kontenerów, gdy jest to możliwe.
Kontenery uprzywilejowane mają wszystkie główne możliwości maszyny hosta. Mogą być one używane jako punkty wejścia do ataków i rozprzestrzeniania złośliwego kodu lub złośliwego oprogramowania do aplikacji, hostów i sieci, których bezpieczeństwo zostało naruszone. (Powiązane zasady: Nie zezwalaj na uprzywilejowane kontenery w klastrze Kubernetes).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Kontrola dostępu oparta na rolach powinna być używana w usługach Kubernetes Services
Opis: Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonać, użyj kontroli dostępu opartej na rolach (RBAC) do zarządzania uprawnieniami w klastrach usługi Kubernetes i konfigurowania odpowiednich zasad autoryzacji. (Powiązane zasady: Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Należy unikać uruchamiania kontenerów jako użytkownika głównego
Opis: Kontenery nie powinny być uruchamiane jako użytkownicy root w klastrze Kubernetes. Uruchomienie procesu jako użytkownik główny wewnątrz kontenera uruchamia go jako katalog główny na hoście. W przypadku naruszenia zabezpieczeń osoba atakująca ma katalog główny w kontenerze, a wszelkie błędy konfiguracji stają się łatwiejsze do wykorzystania. (Powiązane zasady: Zasobniki i kontenery klastra Kubernetes powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup).
Ważność: Wysoka
Typ: Płaszczyzna danych Kubernetes
Usługi powinny nasłuchiwać tylko na dozwolonych portach
Opis: Aby zmniejszyć obszar ataków klastra Kubernetes, ogranicz dostęp do klastra przez ograniczenie dostępu usług do skonfigurowanych portów. (Powiązane zasady: Upewnij się, że usługi nasłuchują tylko na dozwolonych portach w klastrze Kubernetes).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Użycie sieci i portów hosta powinno być ograniczone
Opis: Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. Zasobniki utworzone za pomocą atrybutu hostNetwork będą współużytkować przestrzeń sieciową węzła. Aby uniknąć naruszenia zabezpieczeń kontenera przed sniffing ruchu sieciowego, zalecamy, aby nie umieszczać zasobników w sieci hosta. Jeśli musisz uwidocznić port kontenera w sieci węzła, a użycie portu węzła kubernetes Service nie spełnia Twoich potrzeb, inną możliwością jest określenie hostaPort dla kontenera w specyfikacji zasobnika. (Powiązane zasady: zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów).
Ważność: średni rozmiar
Typ: płaszczyzna danych kubernetes
Użycie instalacji woluminów HostPath zasobnika powinno być ograniczone do znanej listy, aby ograniczyć dostęp do węzła z kontenerów, których bezpieczeństwo jest naruszone
Opis: Zalecamy ograniczenie instalacji woluminów HostPath zasobnika w klastrze Kubernetes do skonfigurowanych dozwolonych ścieżek hostów. W przypadku naruszenia zabezpieczeń dostęp do węzła kontenera z kontenerów powinien być ograniczony. (Powiązane zasady: Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów.
Ważność: średni rozmiar
Typ: Płaszczyzna danych Kubernetes
Zalecenia dotyczące kontenera platformy AWS
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.
Zalecenie, aby obrazy kontenerów rejestru platformy AWS miały rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte przez nowe zalecenie jest ogólnie dostępne.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
[Wersja zapoznawcza] Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Uwaga
Od 6 października 2024 r. to zalecenie zostało zaktualizowane w celu raportowania tylko jednego kontenera dla każdego kontrolera głównego. Jeśli na przykład obiekt cronjob tworzy wiele zadań, w których każde zadanie tworzy zasobnik z kontenerem podatnym na zagrożenia, zalecenie będzie zgłaszać tylko jedno wystąpienie kontenerów podatnych na zagrożenia w ramach tego zadania. Ta zmiana pomoże w usuwaniu zduplikowanych raportów dla identycznych kontenerów, które wymagają pojedynczej akcji korygowania. Jeśli przed zmianą użyto tej rekomendacji, należy spodziewać się zmniejszenia liczby wystąpień tego zalecenia.
Aby zapewnić obsługę tego ulepszenia, klucz oceny dla tego zalecenia został zaktualizowany do elementu 8749bb43-cd24-4cf9-848c-2a50f632043c
. Jeśli obecnie pobierasz raporty o lukach w zabezpieczeniach z tego zalecenia za pośrednictwem interfejsu API, upewnij się, że zaktualizujesz wywołanie interfejsu API, aby użyć nowego klucza oceny.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Klastry EKS powinny przyznać wymagane uprawnienia platformy AWS do Microsoft Defender dla Chmury
Opis: Usługa Microsoft Defender for Containers zapewnia ochronę klastrów EKS. Aby monitorować klaster pod kątem luk w zabezpieczeniach i zagrożeń, usługa Defender for Containers potrzebuje uprawnień dla konta platformy AWS. Te uprawnienia służą do włączania rejestrowania płaszczyzny sterowania kubernetes w klastrze i ustanawiania niezawodnego potoku między klastrem a zapleczem Defender dla Chmury w chmurze. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.
Ważność: Wysoka
Klastry EKS powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc
Opis: Rozszerzenie klastra usługi Microsoft Defender zapewnia możliwości zabezpieczeń klastrów EKS. Rozszerzenie zbiera dane z klastra i jego węzłów w celu identyfikowania luk w zabezpieczeniach i zagrożeń. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.
Ważność: Wysoka
Usługa Microsoft Defender for Containers powinna być włączona w łącznikach platformy AWS
Opis: Usługa Microsoft Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje umożliwiają wzmocnienie zabezpieczeń klastrów Kubernetes i korygowanie problemów z zabezpieczeniami.
Po włączeniu usługi Microsoft Defender for Containers i wdrożeniu usługi Azure Arc w klastrach EKS rozpocznie się ochrona i opłaty. Jeśli usługa Azure Arc nie zostanie wdrożona w klastrze, usługa Defender for Containers nie będzie jej chronić i nie będą naliczane żadne opłaty za ten plan usługi Microsoft Defender dla tego klastra.
Ważność: Wysoka
Zalecenia dotyczące płaszczyzny danych
Wszystkie zalecenia dotyczące zabezpieczeń płaszczyzny danych platformy Kubernetes są obsługiwane dla platformy AWS po włączeniu usługi Azure Policy dla platformy Kubernetes.
Zalecenia dotyczące kontenera GCP
Zaawansowana konfiguracja kontenerów usługi Defender for Containers powinna być włączona w łącznikach GCP
Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Aby upewnić się, że rozwiązanie jest prawidłowo aprowidowane, a pełny zestaw funkcji jest dostępny, włącz wszystkie zaawansowane ustawienia konfiguracji.
Ważność: Wysoka
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.
Zalecenie , aby obrazy kontenerów rejestru GCP miały rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
[Wersja zapoznawcza] Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.
Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.
Uwaga
Od 6 października 2024 r. to zalecenie zostało zaktualizowane w celu raportowania tylko jednego kontenera dla każdego kontrolera głównego. Jeśli na przykład obiekt cronjob tworzy wiele zadań, w których każde zadanie tworzy zasobnik z kontenerem podatnym na zagrożenia, zalecenie będzie zgłaszać tylko jedno wystąpienie kontenerów podatnych na zagrożenia w ramach tego zadania. Ta zmiana pomoże w usuwaniu zduplikowanych raportów dla identycznych kontenerów, które wymagają pojedynczej akcji korygowania. Jeśli przed zmianą użyto tej rekomendacji, należy spodziewać się zmniejszenia liczby wystąpień tego zalecenia.
Aby zapewnić obsługę tego ulepszenia, klucz oceny dla tego zalecenia został zaktualizowany do elementu 1b3abfa4-9e53-46f1-9627-51f2957f8bba
. Jeśli obecnie pobierasz raporty o lukach w zabezpieczeniach z tego zalecenia za pośrednictwem interfejsu API, upewnij się, że zaktualizujesz wywołanie interfejsu API, aby użyć nowego klucza oceny.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc
Opis: Rozszerzenie klastra usługi Microsoft Defender zapewnia możliwości zabezpieczeń klastrów GKE. Rozszerzenie zbiera dane z klastra i jego węzłów w celu identyfikowania luk w zabezpieczeniach i zagrożeń. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.
Ważność: Wysoka
Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Azure Policy
Opis: Rozszerzenie usługi Azure Policy dla platformy Kubernetes rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy ( OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc.
Ważność: Wysoka
Usługa Microsoft Defender for Containers powinna być włączona w łącznikach GCP
Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Włącz planowanie kontenerów w łączniku GCP, aby wzmocnić bezpieczeństwo klastrów Kubernetes i rozwiązać problemy z zabezpieczeniami. Dowiedz się więcej o usłudze Microsoft Defender for Containers.
Ważność: Wysoka
Funkcja automatycznego naprawiania klastra GKE powinna być włączona
Opis: To zalecenie ocenia właściwość zarządzania puli węzłów dla pary klucz-wartość, key: autoRepair, value: true
.
Ważność: średni rozmiar
Funkcja automatycznego uaktualniania klastra GKE powinna być włączona
Opis: To zalecenie ocenia właściwość zarządzania puli węzłów dla pary klucz-wartość, key: autoUpgrade, value: true
.
Ważność: Wysoka
Monitorowanie w klastrach GKE powinno być włączone
Opis: To zalecenie ocenia, czy właściwość monitoringService klastra zawiera lokalizację Monitorowanie w chmurze, która powinna służyć do pisania metryk.
Ważność: średni rozmiar
Rejestrowanie dla klastrów GKE powinno być włączone
Opis: To zalecenie ocenia, czy właściwość loggingService klastra zawiera lokalizację Rejestrowanie w chmurze, która powinna służyć do zapisywania dzienników.
Ważność: Wysoka
Pulpit nawigacyjny sieci Web GKE powinien być wyłączony
Opis: To zalecenie ocenia pole kubernetesDashboard właściwości addonsConfig dla pary klucz-wartość "disabled": false.
Ważność: Wysoka
Starsza wersja autoryzacji powinna być wyłączona w klastrach GKE
Opis: To zalecenie ocenia właściwość legacyAbac klastra dla pary klucz-wartość "enabled": true.
Ważność: Wysoka
Sieci autoryzowane na płaszczyźnie sterowania powinny być włączone w klastrach GKE
Opis: To zalecenie ocenia właściwość masterAuthorizedNetworksConfig klastra dla pary klucz-wartość "enabled": false.
Ważność: Wysoka
Klastry GKE powinny mieć włączone zakresy adresów IP aliasów
Opis: To zalecenie ocenia, czy dla pola useIPAliases obiektu ipAllocationPolicy w klastrze ustawiono wartość false.
Ważność: Niska
Klastry GKE powinny mieć włączone klastry prywatne
Opis: To zalecenie ocenia, czy dla pola enablePrivateNodes właściwości privateClusterConfig ustawiono wartość false.
Ważność: Wysoka
Zasady sieciowe powinny być włączone w klastrach GKE
Opis: To zalecenie ocenia pole networkPolicy właściwości addonsConfig dla pary klucz-wartość", "disabled": true.
Ważność: średni rozmiar
Zalecenia dotyczące płaszczyzny danych
Wszystkie zalecenia dotyczące zabezpieczeń płaszczyzny danych platformy Kubernetes są obsługiwane dla platformy GCP po włączeniu usługi Azure Policy dla platformy Kubernetes.
Zalecenia dotyczące rejestrów kontenerów zewnętrznych
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze usługi Docker Hub powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Korygowanie luk w zabezpieczeniach obrazów kontenerów pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń bezpieczeństwa i zapewnia zgodność ze standardami branżowymi.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze Jfrog Artifactory powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Korygowanie luk w zabezpieczeniach obrazów kontenerów pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń bezpieczeństwa i zapewnia zgodność ze standardami branżowymi.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach