Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Defender for Containers obsługuje kontrolowane wdrażanie, które wymusza polityki bezpieczeństwa obrazów kontenerów podczas wdrożenia w środowiskach Kubernetes, w tym w usługach Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) i Google Kubernetes Engine (GKE). Egzekwowanie wykorzystuje wyniki skanowania luk w zabezpieczeniach z obsługiwanych rejestrów kontenerów, takich jak Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) i Google Artifact Registry.
Wdrożenie z ograniczeniami integruje się z kontrolerem dopuszczeń Kubernetes, aby upewnić się, że w środowisku Kubernetes są uruchamiane tylko obrazy kontenerów spełniające wymagania zabezpieczeń organizacji. Ocenia obrazy kontenerów na podstawie zdefiniowanych reguł zabezpieczeń, zanim zostaną one dopuszczone do klastra, umożliwiając zespołom ds. zabezpieczeń blokowanie narażonych obciążeń i utrzymywanie zgodności.
Korzyści
- Zapobiega wdrażaniu obrazów kontenerów zawierających znane luki w zabezpieczeniach
- Wymusza zasady zabezpieczeń w czasie rzeczywistym
- Integruje się z przepływami pracy zarządzania lukami w zabezpieczeniach usługi Defender for Cloud
- Obsługuje wdrażanie etapowe: uruchamianie w trybie inspekcji, a następnie przechodzenie do trybu odmowy
Strategia włączania
Wielu klientów korzysta już ze skanera luk w zabezpieczeniach usługi Microsoft Defender for Containers. Wdrożenie typu "Gated deployment" opiera się na tej podstawie:
| Tryb | Opis |
|---|---|
| Audit | Umożliwia kontynuowanie wdrażania i generowanie zdarzeń przyjęcia dla obrazów narażonych, które naruszają reguły zabezpieczeń |
| Deny | Blokuje wdrażanie obrazów naruszających reguły zabezpieczeń |
Uruchom w trybie inspekcji, aby ocenić wpływ, a następnie przejdź do trybu odmowy, aby wymusić reguły.
Jak to działa
- Reguły zabezpieczeń definiują warunki, takie jak surowość CVE, oraz działania, takie jak inspekcja lub odmowa.
- Kontroler dostępu ocenia obrazy kontenerów zgodnie z tymi regułami.
- Gdy reguła jest zgodna, system podejmuje zdefiniowaną akcję.
- Kontroler dostępu używa wyników skanowania luk w zabezpieczeniach z rejestrów, które usługa Defender for Cloud obsługuje i jest skonfigurowana do skanowania, takich jak ACR, ECR i Google Artifact Registry.
Kluczowe funkcje
- Użyj domyślnej reguły inspekcji, która automatycznie flaguje wdrożenia obrazów z lukami w zabezpieczeniach o wysokim lub krytycznym znaczeniu w kwalifikujących się klastrach
- Ustaw ograniczenia czasowe, wykluczenia o określonym zakresie.
- Kieruj regułami bardziej szczegółowo według klastra, przestrzeni nazw, poda lub obrazu.
- Monitorowanie zdarzeń przyjęcia za pośrednictwem usługi Defender for Cloud.
Treści powiązane
Zapoznaj się ze szczegółowymi wskazówkami w następujących artykułach:
Przewodnik aktywacji: Konfigurowanie Wdrażania Bramkowego w usłudze Defender for Containers Instrukcje krok po kroku dotyczące wdrażania, tworzenia reguł, wykluczeń i monitorowania.
Często zadawane pytania: Wdrażanie kontrolowane w usłudze Defender for Containers
Odpowiedzi na typowe pytania klientów dotyczące zachowania i konfiguracji kontrolowanego wdrożenia.Przewodnik rozwiązywania problemów: zastosowanie z bramkowaniem i doświadczenie dewelopera
Pomoc w rozwiązywaniu problemów z wdrażaniem użytkowników, niepowodzeń wdrażania oraz interpretacji komunikatów skierowanych do deweloperów.