Ler em inglês

Compartilhar via


Recomendações de segurança de contêiner

Este artigo lista todas as recomendações de segurança de contêiner que você pode ver no Microsoft Defender para Nuvem.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

Dica

Se uma descrição de recomendação disser Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.

Por exemplo, a recomendação As falhas de integridade da proteção de ponto de extremidade devem ser corrigidas depende da recomendação que verifica se uma solução de proteção de ponto de extremidade está instalada (a solução de proteção de ponto de extremidade deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas às recomendações fundamentais simplifica o gerenciamento de políticas.

Recomendações de contêiner do Azure

Descrição: a extensão do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Descrição: a extensão do Defender para Azure Arc fornece proteção contra ameaças para seus clusters do Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do painel de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender para Kubernetes na nuvem para análise posterior. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil do SecurityProfile.AzureDefender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Descrição: o complemento do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. O Defender para Nuvem exige o complemento para fazer auditoria e impor funcionalidades de segurança e conformidade nos clusters. Saiba mais. Requer o Kubernetes v1.14.0 ou posterior. (Política relacionada: O complemento do Azure Policy para o AKS (serviço Kubernetes) deve ser instalado e habilitado em seus clusters).

Gravidade: Alta

Tipo: Plano de controle

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Chave de avaliação: dbd0cb49-b563-45e7-9724-889e799fa648

Tipo: Avaliação de Vulnerabilidade

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica as imagens de contêiner em execução nos clusters do Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas de cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. (Não há política relacionada)

Chave de avaliação: 41503391-efa5-47ee-9282-4eff6131462c

Tipo: Avaliação de Vulnerabilidade

Descrição: a imposição de limites de CPU e memória impede ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para os contêineres a fim de garantir que o runtime impeça o contêiner de usar mais do que o limite de recursos configurado.

(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Descrição: as imagens em execução no cluster do Kubernetes devem vir de registros de imagem de contêiner conhecidos e monitorados. Os registros confiáveis reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.

(Política relacionada: Certifique-se de que apenas imagens de contêiner permitidas no cluster do Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades) serão removidas quando a nova recomendação estiver disponível para o público geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar em cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em Visão geral das chaves gerenciadas pelo cliente. (Política relacionada: Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente).

Gravidade: Baixa

Tipo: Plano de controle

Descrição: por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de endereços ou intervalos de endereços IP públicos específicos. Se o Registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner em Configurar regras de rede IP pública e Restringir o acesso a um registro de contêiner usando um ponto de extremidade de serviço em uma rede virtual do Azure. (Política relacionada: Os registros de contêiner não devem permitir acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controle

Descrição: o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registros de contêiner devem usar link privado).

Gravidade: Média

Tipo: Plano de controle

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de alterar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: para se proteger contra o escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster do Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar o ID do processo do host ou o namespace IPC do host).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: os contêineres em execução em clusters do Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. O AppArmor (Application Armor) é um módulo de segurança do Linux que protege um sistema operacional e os aplicativos contra ameaças à segurança. Para usá-lo, um administrador do sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes devem usar apenas perfis AppArmor permitidos).

Gravidade: Alta

Tipo: plano de dados do Kubernetes

Descrição: os contêineres não devem ser executados com escalonamento de privilégios para raiz no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que o processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: habilite os logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança. (Não há política relacionada)

Gravidade: Baixa

Tipo: Plano de controle

Descrição: os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em runtime com a adição de binários mal-intencionados ao caminho. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: Para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço de Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Descrição: o uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem na camada de rede. Essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: impor entrada HTTPS no cluster do Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Descrição: desative a montagem automática de credenciais de API para impedir que um recurso de pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes devem desabilitar as credenciais da API de montagem automática).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Descrição: para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Não há política relacionada)

Gravidade: Alta

Tipo: plano de dados do Kubernetes

Descrição: impedir o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: plano de dados do Kubernetes

Descrição: para reduzir a superfície de ataque do contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos descartar todos os recursos e, em seguida, adicionar aqueles que são necessários (Política relacionada: os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: o Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes do Kubernetes do Azure, híbridos e multinuvem. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

a correção dessa recomendação resultará em custos para proteger os clusters do Kubernetes. Se você não tiver nenhum cluster do Kubernetes nessa assinatura, nenhum custo será gerado. Se você criar clusters do Kubernetes nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Descrição: para impedir o acesso irrestrito do host, evite contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todas as funcionalidades raiz de um computador host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permitir contêineres privilegiados no cluster do Kubernetes).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Atribuição) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Descrição: os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como a raiz no host. Se houver um comprometimento, um invasor terá a raiz no contêiner e qualquer configuração incorreta ficará mais fácil de ser explorada. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados.

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Descrição: para reduzir a superfície de ataque do cluster do Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços ouçam apenas nas portas permitidas no cluster do Kubernetes).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: Restrinja o acesso do pod à rede do host e ao intervalo de portas do host permitido em um cluster do Kubernetes. Os pods criados com o atributo hostNetwork habilitado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detecte o tráfego de rede, recomendamos não colocar os pods na rede do host. Se você precisar expor uma porta de contêiner na rede do nó e o uso de uma porta de nó do Kubernetes Service não atender às suas necessidades, outra possibilidade será especificar um hostPort para o contêiner na especificação do pod. (Política relacionada: os pods de cluster do Kubernetes devem usar apenas a rede de host e o intervalo de portas aprovados).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Descrição: recomendamos limitar as montagens de volume HostPath do pod no cluster do Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó de contêiner dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes devem usar apenas caminhos de host permitidos).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Recomendações de contêiner da AWS

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Microsoft Defender Vulnerability Management) serão removidas pela nova recomendação está disponível para o público em geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo às imagens e aos relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para 8749bb43-cd24-4cf9-848c-2a50f632043c. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de atualizar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: o Microsoft Defender para Contêineres fornece proteções para seus clusters do EKS. Para monitorar o cluster quanto a ameaças e vulnerabilidades de segurança, o Defender para Contêineres precisa de permissões para a conta AWS. Essas permissões são usadas para habilitar o log do painel de controle do Kubernetes em seu cluster e estabelecer um pipeline confiável entre o cluster e o back-end do Defender para Nuvem na nuvem. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Descrição: a extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters do EKS. A extensão coleta dados de um cluster e seus nós para identificar ameaças e vulnerabilidades de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Descrição: o Microsoft Defender para Contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres e gera alertas sobre atividades suspeitas. Use essas informações para proteger a segurança de clusters do Kubernetes e corrigir problemas de segurança.

Quando você habilitar o Microsoft Defender para Contêineres e implantar o Azure Arc em seus clusters do EKS, as proteções e os encargos começarão. Se você não implantar o Azure Arc em um cluster, o Defender para Contêineres não o protegerá e nenhum encargo será incorrido para esse plano do Microsoft Defender para esse cluster.

Gravidade: Alta

Recomendações sobre o plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para AWS depois que você habilita o Azure Policy para Kubernetes.

Recomendações de contêiner do GCP

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Para garantir que a solução seja provisionada corretamente e que o conjunto completo de recursos esteja disponível, habilite todas as definições de configuração avançadas.

Gravidade: Alta

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner do Registro do GCP devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Microsoft Defender O Gerenciamento de Vulnerabilidades será removido quando a nova recomendação estiver disponível para o público geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo às imagens e aos relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de atualizar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: a extensão de cluster do Microsoft Defender fornece recursos de segurança para os clusters do GKE. A extensão coleta dados de um cluster e seus nós para identificar ameaças e vulnerabilidades de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Descrição: a extensão do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. A extensão funciona com o Kubernetes habilitado para Azure Arc.

Gravidade: Alta

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Habilite o plano contêineres no conector do GCP para proteger a segurança dos clusters do Kubernetes e corrigir problemas de segurança. Saiba mais sobre o Microsoft Defender para Contêineres.

Gravidade: Alta

Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoRepair, value: true.

Gravidade: Média

Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoUpgrade, value: true.

Gravidade: Alta

Descrição: essa recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring precisa usar para gravar métricas.

Gravidade: Média

Descrição: essa recomendação avalia se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar registros.

Gravidade: Alta

Descrição: essa recomendação avalia o campo kubernetesDashboard da propriedade addonsConfig para o par de valores-chave, 'disabled': false.

Gravidade: Alta

Descrição: essa recomendação avalia a propriedade legacyAbac de um cluster para o par chave-valor, 'enabled': true.

Gravidade: Alta

Descrição: essa recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.

Gravidade: Alta

Descrição: essa recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.

Gravidade: Baixa

Descrição: essa recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

Gravidade: Alta

Descrição: esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.

Gravidade: Média

Recomendações sobre o plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para o GCP depois que você habilita o Azure Policy para Kubernetes.

Recomendações de registros de contêiner externos

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Observação: O autor criou este artigo com a ajuda da IA. Saiba mais