Zalecenia dotyczące zabezpieczeń kontenera

Artykuł
07/08/2024

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń kontenera, które mogą zostać wyświetlone w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Napiwek

Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

Zalecenia dotyczące kontenera platformy Azure

Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Opis: Rozszerzenie usługi Azure Policy dla platformy Kubernetes rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy ( OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. (Brak powiązanych zasad)

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender

Opis: Rozszerzenie usługi Defender dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów płaszczyzny sterowania (master) w klastrze i wysyła je do zaplecza usługi Microsoft Defender for Kubernetes w chmurze w celu dalszej analizy. (Brak powiązanych zasad)

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender

Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu profilu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Containers (Wprowadzenie do usługi Microsoft Defender for Containers). (Brak powiązanych zasad)

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes

Opis: Dodatek usługi Azure Policy dla platformy Kubernetes rozszerza program Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy agenta (OPA), aby zastosować wymuszanie i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. Defender dla Chmury wymaga dodatku do inspekcji i wymuszania możliwości zabezpieczeń i zgodności w klastrach. Dowiedz się więcej. Wymaga platformy Kubernetes w wersji 1.14.0 lub nowszej. (Powiązane zasady: Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach.

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)

Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys)

Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry.

Klucz oceny: dbd0cb49-b563-45e7-9724-889e799fa648

Typ: Ocena luk w zabezpieczeniach

Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)

Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys)

Opis: Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. (Brak powiązanych zasad)

Klucz oceny: 41503391-efa5-47ee-9282-4eff6131462c

Typ: Ocena luk w zabezpieczeniach

Należy wymusić limity procesora CPU i pamięci kontenera

Opis: Wymuszanie limitów procesora CPU i pamięci zapobiega atakom wyczerpania zasobów (atak typu "odmowa usługi").

Zalecamy ustawienie limitów dla kontenerów, aby upewnić się, że środowisko uruchomieniowe uniemożliwia kontenerowi użycie więcej niż skonfigurowany limit zasobów.

(Powiązane zasady: Upewnij się, że limity zasobów procesora CPU i pamięci kontenera nie przekraczają określonych limitów w klastrze Kubernetes).

Ważność: średni rozmiar

Typ: Płaszczyzna danych Kubernetes

Obrazy kontenerów powinny być wdrażane tylko z zaufanych rejestrów

Opis: Obrazy uruchomione w klastrze Kubernetes powinny pochodzić ze znanych i monitorowanych rejestrów obrazów kontenerów. Zaufane rejestry zmniejszają ryzyko narażenia klastra, ograniczając możliwości wprowadzenia nieznanych luk w zabezpieczeniach, problemów z zabezpieczeniami i złośliwych obrazów.

(Powiązane zasady: Upewnij się, że dozwolone są tylko obrazy kontenerów w klastrze Kubernetes).

Ważność: Wysoka

Typ: Płaszczyzna danych Kubernetes

[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.

Zalecenie, aby obrazy kontenerów usługi Azure Registry miały rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

(Włącz, jeśli jest to wymagane) Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/acr/CMK. (Powiązane zasady: Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK).

Ważność: Niska

Typ: Płaszczyzna sterowania

Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci

Opis: Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma reguły ip/zapory lub skonfigurowanej sieci wirtualnej, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/portal/public-network i tutaj https://aka.ms/acr/vnet. (Powiązane zasady: Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp sieciowy).

Ważność: średni rozmiar

Typ: Płaszczyzna sterowania

Rejestry kontenerów powinny używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. (Powiązane zasady: Rejestry kontenerów powinny używać łącza prywatnego).

Ważność: średni rozmiar

Typ: Płaszczyzna sterowania

[Wersja zapoznawcza] Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.

Zalecenie, że platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

Opis: Aby chronić przed eskalacją uprawnień poza kontenerem, unikaj dostępu zasobnika do poufnych przestrzeni nazw hostów (identyfikator procesu hosta i IPC hosta) w klastrze Kubernetes. (Powiązane zasady: Kontenery klastra Kubernetes nie powinny współużytkować identyfikatora procesu hosta ani przestrzeni nazw IPC hosta).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Kontenery powinny używać tylko dozwolonych profilów AppArmor

Opis: Kontenery uruchomione w klastrach Kubernetes powinny być ograniczone tylko do dozwolonych profilów AppArmor. AppArmor (Application Armor) to moduł zabezpieczeń systemu Linux, który chroni system operacyjny i jego aplikacje przed zagrożeniami bezpieczeństwa. Aby go używać, administrator systemu kojarzy profil zabezpieczeń AppArmor z każdym programem. (Powiązane zasady: Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor.

Ważność: Wysoka

Typ: płaszczyzna danych kubernetes

Należy unikać kontenera z eskalacją uprawnień

Opis: Kontenery nie powinny działać z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. Atrybut AllowPrivilegeEscalation określa, czy proces może uzyskać więcej uprawnień niż proces nadrzędny. (Powiązane zasady: Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone

Opis: włącz dzienniki diagnostyczne w usługach Kubernetes i zachowaj je do roku. Dzięki temu można odtworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń. (Brak powiązanych zasad)

Ważność: Niska

Typ: Płaszczyzna sterowania

Niezmienny (tylko do odczytu) główny system plików powinien być wymuszany dla kontenerów

Opis: Kontenery powinny działać z systemem plików głównym tylko do odczytu w klastrze Kubernetes. Niezmienny system plików chroni kontenery przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki . (Powiązane zasady: Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Serwer interfejsu API Kubernetes powinien być skonfigurowany z ograniczonym dostępem

Opis: Aby upewnić się, że tylko aplikacje z dozwolonych sieci, maszyn lub podsieci mogą uzyskiwać dostęp do klastra, ogranicz dostęp do serwera interfejsu API Kubernetes. Dostęp można ograniczyć, definiując autoryzowane zakresy adresów IP lub konfigurując serwery interfejsów API jako klastry prywatne, jak wyjaśniono w artykule Tworzenie prywatnego klastra usługi Azure Kubernetes Service. (Powiązane zasady: Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services).

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS

Opis: Użycie protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) oraz w wersji zapoznawczej dla aparatu AKS i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc (Powiązane zasady: Wymuszanie ruchu przychodzącego HTTPS w klastrze Kubernetes).

Ważność: Wysoka

Typ: Płaszczyzna danych Kubernetes

Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API

Opis: Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby uniemożliwić potencjalnie naruszony zasób zasobnika do uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Powiązane zasady: Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API).

Ważność: Wysoka

Typ: Płaszczyzna danych Kubernetes

Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN

Opis: Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Brak powiązanych zasad)

Ważność: Wysoka

Typ: płaszczyzna danych kubernetes

Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw

Opis: Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes w celu ochrony przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. (Powiązane zasady: Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw.

Ważność: Niska

Typ: płaszczyzna danych kubernetes

Należy wymusić najmniej uprzywilejowane możliwości systemu Linux dla kontenerów

Opis: Aby zmniejszyć obszar ataków kontenera, ogranicz możliwości systemu Linux i przyznaj określone uprawnienia kontenerom bez udzielania wszystkich uprawnień użytkownika głównego. Zalecamy usunięcie wszystkich funkcji, a następnie dodanie tych, które są wymagane (powiązane zasady: kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Należy włączyć usługę Microsoft Defender for Containers

Opis: Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.

Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę klastrów Kubernetes. Jeśli w tej subskrypcji nie masz żadnych klastrów Kubernetes, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek klastry Kubernetes w tej subskrypcji, będą one automatycznie chronione, a opłaty za nie zaczną się w tym czasie. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Containers (Wprowadzenie do usługi Microsoft Defender for Containers). (Brak powiązanych zasad)

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Należy unikać kontenerów uprzywilejowanych

Opis: Aby zapobiec nieograniczonemu dostępowi do hosta, należy unikać uprzywilejowanych kontenerów, gdy jest to możliwe.

Kontenery uprzywilejowane mają wszystkie główne możliwości maszyny hosta. Mogą być one używane jako punkty wejścia do ataków i rozprzestrzeniania złośliwego kodu lub złośliwego oprogramowania do aplikacji, hostów i sieci, których bezpieczeństwo zostało naruszone. (Powiązane zasady: Nie zezwalaj na uprzywilejowane kontenery w klastrze Kubernetes).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

[Kontrola dostępu oparta na rolach powinna być używana w usługach Kubernetes Services] (https://portal.azure.com/#blade/M

Microsoft_Azure_Security/RecommendationsBlade/assessmentKey/b0fdc63a-38e7-4bab-a7c4-2c2665abbaa9)

Opis: Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonać, użyj kontroli dostępu opartej na rolach (RBAC) do zarządzania uprawnieniami w klastrach usługi Kubernetes i konfigurowania odpowiednich zasad autoryzacji. (Powiązane zasady: Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services).

Ważność: Wysoka

Typ: Płaszczyzna sterowania

Należy unikać uruchamiania kontenerów jako użytkownika głównego

Opis: Kontenery nie powinny być uruchamiane jako użytkownicy root w klastrze Kubernetes. Uruchomienie procesu jako użytkownik główny wewnątrz kontenera uruchamia go jako katalog główny na hoście. W przypadku naruszenia zabezpieczeń osoba atakująca ma katalog główny w kontenerze, a wszelkie błędy konfiguracji stają się łatwiejsze do wykorzystania. (Powiązane zasady: Zasobniki i kontenery klastra Kubernetes powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup).

Ważność: Wysoka

Typ: Płaszczyzna danych Kubernetes

Usługi powinny nasłuchiwać tylko na dozwolonych portach

Opis: Aby zmniejszyć obszar ataków klastra Kubernetes, ogranicz dostęp do klastra przez ograniczenie dostępu usług do skonfigurowanych portów. (Powiązane zasady: Upewnij się, że usługi nasłuchują tylko na dozwolonych portach w klastrze Kubernetes).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Użycie sieci i portów hosta powinno być ograniczone

Opis: Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. Zasobniki utworzone za pomocą atrybutu hostNetwork będą współużytkować przestrzeń sieciową węzła. Aby uniknąć naruszenia zabezpieczeń kontenera przed sniffing ruchu sieciowego, zalecamy, aby nie umieszczać zasobników w sieci hosta. Jeśli musisz uwidocznić port kontenera w sieci węzła, a użycie portu węzła kubernetes Service nie spełnia Twoich potrzeb, inną możliwością jest określenie hostaPort dla kontenera w specyfikacji zasobnika. (Powiązane zasady: zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów).

Ważność: średni rozmiar

Typ: płaszczyzna danych kubernetes

Użycie instalacji woluminów HostPath zasobnika powinno być ograniczone do znanej listy, aby ograniczyć dostęp do węzła z kontenerów, których bezpieczeństwo jest naruszone

Opis: Zalecamy ograniczenie instalacji woluminów HostPath zasobnika w klastrze Kubernetes do skonfigurowanych dozwolonych ścieżek hostów. W przypadku naruszenia zabezpieczeń dostęp do węzła kontenera z kontenerów powinien być ograniczony. (Powiązane zasady: Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów.

Ważność: średni rozmiar

Typ: Płaszczyzna danych Kubernetes

Zalecenia dotyczące kontenera platformy AWS

[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Zalecenie, aby obrazy kontenerów rejestru platformy AWS miały rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte przez nowe zalecenie jest ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

[Wersja zapoznawcza] Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Zalecenie platformy AWS z uruchomionymi obrazami kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

Klastry EKS powinny przyznać wymagane uprawnienia platformy AWS do Microsoft Defender dla Chmury

Opis: Usługa Microsoft Defender for Containers zapewnia ochronę klastrów EKS. Aby monitorować klaster pod kątem luk w zabezpieczeniach i zagrożeń, usługa Defender for Containers potrzebuje uprawnień dla konta platformy AWS. Te uprawnienia służą do włączania rejestrowania płaszczyzny sterowania kubernetes w klastrze i ustanawiania niezawodnego potoku między klastrem a zapleczem Defender dla Chmury w chmurze. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.

Ważność: Wysoka

Klastry EKS powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc

Opis: Rozszerzenie klastra usługi Microsoft Defender zapewnia możliwości zabezpieczeń klastrów EKS. Rozszerzenie zbiera dane z klastra i jego węzłów w celu identyfikowania luk w zabezpieczeniach i zagrożeń. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.

Ważność: Wysoka

Usługa Microsoft Defender for Containers powinna być włączona w łącznikach platformy AWS

Opis: Usługa Microsoft Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje umożliwiają wzmocnienie zabezpieczeń klastrów Kubernetes i korygowanie problemów z zabezpieczeniami.

Po włączeniu usługi Microsoft Defender for Containers i wdrożeniu usługi Azure Arc w klastrach EKS rozpocznie się ochrona i opłaty. Jeśli usługa Azure Arc nie zostanie wdrożona w klastrze, usługa Defender for Containers nie będzie jej chronić i nie będą naliczane żadne opłaty za ten plan usługi Microsoft Defender dla tego klastra.

Ważność: Wysoka

Zalecenia dotyczące płaszczyzny danych

Wszystkie zalecenia dotyczące zabezpieczeń płaszczyzny danych platformy Kubernetes są obsługiwane dla platformy AWS po włączeniu usługi Azure Policy dla platformy Kubernetes.

Zalecenia dotyczące kontenera GCP

Zaawansowana konfiguracja kontenerów usługi Defender for Containers powinna być włączona w łącznikach GCP

Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Aby upewnić się, że rozwiązanie jest prawidłowo aprowidowane, a pełny zestaw funkcji jest dostępny, włącz wszystkie zaawansowane ustawienia konfiguracji.

Ważność: Wysoka

[Wersja zapoznawcza] Obrazy kontenerów w rejestrze GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Zalecenie , aby obrazy kontenerów rejestru GCP miały rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management zostaną usunięte, gdy nowe zalecenie będzie ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

[Wersja zapoznawcza] Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Zalecenie GCP z uruchomionymi obrazami kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) — platforma Microsoft Azure zostanie usunięta, gdy nowe zalecenie będzie ogólnie dostępne.

Nowe zalecenie jest dostępne w wersji zapoznawczej i nie jest używane do obliczania wskaźnika bezpieczeństwa.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc

Opis: Rozszerzenie klastra usługi Microsoft Defender zapewnia możliwości zabezpieczeń klastrów GKE. Rozszerzenie zbiera dane z klastra i jego węzłów w celu identyfikowania luk w zabezpieczeniach i zagrożeń. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.

Ważność: Wysoka

Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Ważność: Wysoka

Usługa Microsoft Defender for Containers powinna być włączona w łącznikach GCP

Opis: Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Włącz planowanie kontenerów w łączniku GCP, aby wzmocnić bezpieczeństwo klastrów Kubernetes i rozwiązać problemy z zabezpieczeniami. Dowiedz się więcej o usłudze Microsoft Defender for Containers.

Ważność: Wysoka

Zalecenia dotyczące płaszczyzny danych

Wszystkie zalecenia dotyczące zabezpieczeń płaszczyzny danych platformy Kubernetes są obsługiwane dla platformy GCP po włączeniu usługi Azure Policy dla platformy Kubernetes.

Udostępnij za pośrednictwem

Zalecenia dotyczące zabezpieczeń kontenera

Zalecenia dotyczące kontenera platformy Azure

[Kontrola dostępu oparta na rolach powinna być używana w usługach Kubernetes Services] (https://portal.azure.com/#blade/M

Zalecenia dotyczące kontenera platformy AWS

Zalecenia dotyczące płaszczyzny danych

Zalecenia dotyczące kontenera GCP

Zalecenia dotyczące płaszczyzny danych

Powiązana zawartość

Opinia

Opinia

Dodatkowe zasoby