Recomendações de segurança de contêiner
Este artigo lista todas as recomendações de segurança de contêiner que você pode ver no Microsoft Defender for Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Gorjeta
Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.
Recomendações de contêiner do Azure
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
Descrição: A extensão da Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Nenhuma política relacionada)
Gravidade: Alta
Tipo: Plano de controle
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada
Descrição: A extensão do Defender para o Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do plano de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender for Kubernetes na nuvem para análise posterior. (Nenhuma política relacionada)
Gravidade: Alta
Tipo: Plano de controle
Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado
Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)
Gravidade: Alta
Tipo: Plano de controle
Os clusters do Serviço Kubernetes do Azure devem ter o complemento de Política do Azure para Kubernetes instalado
Descrição: O complemento de Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e salvaguardas em escala em seus clusters de maneira centralizada e consistente. O Defender for Cloud requer o complemento para auditar e aplicar recursos de segurança e conformidade dentro de seus clusters. Mais informações. Requer Kubernetes v1.14.0 ou posterior. (Política relacionada: O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters).
Gravidade: Alta
Tipo: Plano de controle
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)
Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Qualys)
Descrição: A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).
Chave de avaliação: dbd0cb49-b563-45e7-9724-889e799fa648
Tipo: Avaliação de vulnerabilidade
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)
Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas - (powered by Qualys)
Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. (Nenhuma política relacionada)
Chave de avaliação: 41503391-efa5-47ee-9282-4eff6131462c
Tipo: Avaliação de vulnerabilidade
Os limites de CPU e memória do contêiner devem ser impostos
Descrição: A imposição de limites de CPU e memória evita ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).
Recomendamos definir limites para contêineres para garantir que o tempo de execução impeça que o contêiner use mais do que o limite de recursos configurado.
(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster do Kubernetes).
Gravidade: Média
Tipo: Kubernetes Plano de dados
As imagens de contêiner devem ser implantadas apenas a partir de registros confiáveis
Descrição: As imagens em execução no cluster do Kubernetes devem vir de registros de imagens de contêiner conhecidos e monitorados. Os registos fidedignos reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.
(Política relacionada: Certifique-se de que apenas imagens de contêiner permitidas no cluster do Kubernetes).
Gravidade: Alta
Tipo: Kubernetes Plano de dados
[Pré-visualização] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.
Recomendação As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) serão removidas quando a nova recomendação estiver disponível ao público.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
(Ativar, se necessário) Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em Visão geral das chaves gerenciadas pelo cliente. (Política relacionada: Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)).
Gravidade: Baixa
Tipo: Plano de controle
Os registos de contentores não devem permitir o acesso irrestrito à rede
Descrição: Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de endereços IP públicos específicos ou intervalos de endereços. Se o seu registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ela aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner em Configurar regras de rede IP pública e Restringir o acesso a um Registro de contêiner usando um ponto de extremidade de serviço em uma rede virtual do Azure. (Política relacionada: Os registos de contentores não devem permitir o acesso irrestrito à rede).
Gravidade: Média
Tipo: Plano de controle
Os registos de contentores devem utilizar a ligação privada
Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registos de contentores devem utilizar ligação privada).
Gravidade: Média
Tipo: Plano de controle
[Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Nota
A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, onde cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação da presente recomendação foi atualizada para c5045ea3-afc6-4006-ab8f-86c8574dbf3d
. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação via API, certifique-se de alterar a chamada de API para usar a nova chave de avaliação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
Contêineres que compartilham namespaces de host confidenciais devem ser evitados
Descrição: Para proteger contra o escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
Os contêineres só devem usar perfis AppArmor permitidos
Descrição: Os contêineres executados em clusters Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. AppArmor (Application Armor) é um módulo de segurança Linux que protege um sistema operacional e seus aplicativos contra ameaças à segurança. Para usá-lo, um administrador de sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes devem usar apenas perfis permitidos do AppArmor).
Gravidade: Alta
Tipo: Plano de dados do Kubernetes
Contêiner com escalonamento de privilégios deve ser evitado
Descrição: os contêineres não devem ser executados com escalonamento de privilégios para fazer root no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que seu processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados
Descrição: habilite os logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança. (Nenhuma política relacionada)
Gravidade: Baixa
Tipo: Plano de controle
O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres
Descrição: Os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
O servidor de API do Kubernetes deve ser configurado com acesso restrito
Descrição: Para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao seu servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).
Gravidade: Alta
Tipo: Plano de controle
Os clusters Kubernetes devem ser acessíveis somente por HTTPS
Descrição: O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Atualmente, esse recurso está disponível para o Serviço Kubernetes (AKS) e em visualização para o Motor AKS e o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: Impor a entrada HTTPS no cluster do Kubernetes).
Gravidade: Alta
Tipo: Kubernetes Plano de dados
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática
Descrição: desative as credenciais da API de montagem automática para impedir que um recurso Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes devem desativar as credenciais de API de montagem automática).
Gravidade: Alta
Tipo: Kubernetes Plano de dados
Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Descrição: Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Nenhuma política relacionada)
Gravidade: Alta
Tipo: Plano de dados do Kubernetes
Os clusters Kubernetes não devem usar o namespace padrão
Descrição: Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes não devem usar o namespace padrão).
Gravidade: Baixa
Tipo: Plano de dados do Kubernetes
Recursos Linux menos privilegiados devem ser aplicados para contêineres
Descrição: Para reduzir a superfície de ataque do seu contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos descartar todos os recursos e, em seguida, adicionar aqueles que são necessários (Política relacionada: os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
Microsoft Defender for Containers deve estar habilitado
Descrição: O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidade e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multicloud. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A correção dessa recomendação resultará em cobranças para proteger seus clusters do Kubernetes. Se você não tiver nenhum cluster Kubernetes nesta assinatura, nenhuma cobrança será cobrada. Se você criar clusters Kubernetes nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)
Gravidade: Alta
Tipo: Plano de controle
Devem ser evitados contentores privilegiados
Descrição: Para evitar o acesso irrestrito do host, evite contêineres privilegiados sempre que possível.
Os contêineres privilegiados têm todos os recursos raiz de uma máquina host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permita contêineres privilegiados no cluster do Kubernetes).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
O Controle de Acesso Baseado em Função deve ser usado nos Serviços Kubernetes
Descrição: Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).
Gravidade: Alta
Tipo: Plano de controle
A execução de contêineres como usuário raiz deve ser evitada
Descrição: Os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como root no host. Se houver um comprometimento, um invasor tem root no contêiner e qualquer configuração incorreta se torna mais fácil de explorar. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados).
Gravidade: Alta
Tipo: Kubernetes Plano de dados
Os serviços devem escutar apenas nas portas permitidas
Descrição: Para reduzir a superfície de ataque do cluster Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços escutam somente nas portas permitidas no cluster do Kubernetes).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
O uso de portas e rede de host deve ser restrito
Descrição: Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Os pods criados com o atributo hostNetwork ativado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detete o tráfego da rede, recomendamos não colocar seus pods na rede host. Se você precisar expor uma porta de contêiner na rede do nó e usar uma porta de nó do Serviço Kubernetes não atender às suas necessidades, outra possibilidade é especificar uma hostPort para o contêiner na especificação do pod (Política relacionada: os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas).
Gravidade: Média
Tipo: Plano de dados do Kubernetes
O uso de montagens de volume do pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó a partir de contêineres comprometidos
Descrição: Recomendamos limitar as montagens de volume do pod HostPath em seu cluster Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó do contêiner a partir dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos).
Gravidade: Média
Tipo: Kubernetes Plano de dados
Recomendações de contêineres da AWS
[Pré-visualização] As imagens de contêiner no registro da AWS devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.
Recomendação As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) serão removidas pela nova recomendação está disponível ao público.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
[Pré-visualização] Os contêineres executados na AWS devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Nota
A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, onde cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação da presente recomendação foi atualizada para 8749bb43-cd24-4cf9-848c-2a50f632043c
. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação via API, atualize a chamada de API para usar a nova chave de avaliação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
Os clusters EKS devem conceder as permissões necessárias da AWS ao Microsoft Defender for Cloud
Descrição: O Microsoft Defender for Containers fornece proteções para seus clusters EKS. Para monitorar seu cluster em busca de vulnerabilidades e ameaças de segurança, o Defender for Containers precisa de permissões para sua conta da AWS. Essas permissões são usadas para habilitar o log do plano de controle do Kubernetes em seu cluster e estabelecer um pipeline confiável entre seu cluster e o back-end do Defender for Cloud na nuvem. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.
Gravidade: Alta
Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada
Descrição: A extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters EKS. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.
Gravidade: Alta
O Microsoft Defender for Containers deve ser habilitado em conectores da AWS
Descrição: O Microsoft Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres e gera alertas sobre atividades suspeitas. Use essas informações para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança.
Quando você habilita o Microsoft Defender for Containers e implanta o Azure Arc em seus clusters EKS, as proteções - e cobranças - começarão. Se você não implantar o Azure Arc em um cluster, o Defender for Containers não o protegerá e não serão cobrados encargos por esse plano do Microsoft Defender para esse cluster.
Gravidade: Alta
Recomendações do plano de dados
Todas as recomendações de segurança do plano de dados do Kubernetes são suportadas para a AWS depois que você habilita a Política do Azure para Kubernetes.
Recomendações de contêiner GCP
A configuração avançada do Defender for Containers deve ser habilitada em conectores GCP
Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Para garantir que a solução seja provisionada corretamente e que o conjunto completo de recursos esteja disponível, habilite todas as definições de configuração avançadas.
Gravidade: Alta
[Pré-visualização] As imagens de contêiner no registro GCP devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.
As imagens de contêiner do Registro GCP de recomendação devem ter as descobertas de vulnerabilidade resolvidas (o Microsoft Defender vulnerability Management será removido quando a nova recomendação estiver disponível ao público.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
[Pré-visualização] Os contêineres em execução no GCP devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.
A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.
Nota
A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, onde cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação da presente recomendação foi atualizada para 1b3abfa4-9e53-46f1-9627-51f2957f8bba
. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação via API, atualize a chamada de API para usar a nova chave de avaliação.
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
Os clusters GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada
Descrição: A extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters GKE. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.
Gravidade: Alta
Os clusters GKE devem ter a extensão Azure Policy instalada
Descrição: A extensão da Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. A extensão funciona com o Kubernetes habilitado para Azure Arc.
Gravidade: Alta
O Microsoft Defender for Containers deve ser habilitado em conectores GCP
Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Habilite o plano de contêineres em seu conector GCP, para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança. Saiba mais sobre o Microsoft Defender for Containers.
Gravidade: Alta
O recurso de reparo automático do cluster GKE deve ser ativado
Descrição: Esta recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoRepair, value: true
.
Gravidade: Média
O recurso de atualização automática do cluster GKE deve ser ativado
Descrição: Esta recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoUpgrade, value: true
.
Gravidade: Alta
O monitoramento em clusters GKE deve ser habilitado
Descrição: esta recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para escrever métricas.
Gravidade: Média
O registro em log para clusters GKE deve ser habilitado
Descrição: esta recomendação avalia se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar logs.
Gravidade: Alta
O painel da web GKE deve ser desativado
Descrição: Esta recomendação avalia o campo kubernetesDashboard da propriedade addonsConfig para o par chave-valor, 'disabled': false.
Gravidade: Alta
A autorização herdada deve ser desativada em clusters GKE
Descrição: Esta recomendação avalia a propriedade legacyAbac de um cluster para o par chave-valor, 'enabled': true.
Gravidade: Alta
As Redes Autorizadas do Plano de Controle devem ser habilitadas em clusters GKE
Descrição: Esta recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.
Gravidade: Alta
Os clusters GKE devem ter intervalos de IP de alias habilitados
Descrição: esta recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.
Gravidade: Baixa
Os clusters GKE devem ter clusters privados habilitados
Descrição: Esta recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.
Gravidade: Alta
A política de rede deve ser habilitada em clusters GKE
Descrição: Esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.
Gravidade: Média
Recomendações do plano de dados
Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para o GCP depois que você habilita a Política do Azure para Kubernetes.
Recomendações de registos de contentores externos
[Pré-visualização] As imagens de contêiner no registro do Docker Hub devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade
[Pré-visualização] As imagens de contêiner no registro Jfrog Artifactory devem ter as descobertas de vulnerabilidade resolvidas
Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",
Gravidade: Alta
Tipo: Avaliação de vulnerabilidade