Recomendações de segurança de contêiner

Artigo
07/08/2024

Este artigo lista todas as recomendações de segurança de contêiner que você pode ver no Microsoft Defender for Cloud.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

Gorjeta

Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.

Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.

Recomendações de contêiner do Azure

Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Descrição: A extensão da Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada

Descrição: A extensão do Defender para o Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do plano de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender for Kubernetes na nuvem para análise posterior. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado

Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço Kubernetes do Azure devem ter o complemento de Política do Azure para Kubernetes instalado

Descrição: O complemento de Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e salvaguardas em escala em seus clusters de maneira centralizada e consistente. O Defender for Cloud requer o complemento para auditar e aplicar recursos de segurança e conformidade dentro de seus clusters. Mais informações. Requer Kubernetes v1.14.0 ou posterior. (Política relacionada: O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters).

Gravidade: Alta

Tipo: Plano de controle

As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)

Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Qualys)

Descrição: A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Chave de avaliação: dbd0cb49-b563-45e7-9724-889e799fa648

Tipo: Avaliação de vulnerabilidade

O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)

Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas - (powered by Qualys)

Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. (Nenhuma política relacionada)

Chave de avaliação: 41503391-efa5-47ee-9282-4eff6131462c

Tipo: Avaliação de vulnerabilidade

Os limites de CPU e memória do contêiner devem ser impostos

Descrição: A imposição de limites de CPU e memória evita ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para contêineres para garantir que o tempo de execução impeça que o contêiner use mais do que o limite de recursos configurado.

(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster do Kubernetes).

Gravidade: Média

Tipo: Kubernetes Plano de dados

As imagens de contêiner devem ser implantadas apenas a partir de registros confiáveis

Descrição: As imagens em execução no cluster do Kubernetes devem vir de registros de imagens de contêiner conhecidos e monitorados. Os registos fidedignos reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.

(Política relacionada: Certifique-se de que apenas imagens de contêiner permitidas no cluster do Kubernetes).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

[Pré-visualização] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.

Recomendação As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) serão removidas quando a nova recomendação estiver disponível ao público.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

(Ativar, se necessário) Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/acr/CMK. (Política relacionada: Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)).

Gravidade: Baixa

Tipo: Plano de controle

Os registos de contentores não devem permitir o acesso irrestrito à rede

Descrição: Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de endereços IP públicos específicos ou intervalos de endereços. Se o seu registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ela aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/portal/public-network e aqui https://aka.ms/acr/vnet. (Política relacionada: Os registos de contentores não devem permitir o acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controle

Os registos de contentores devem utilizar a ligação privada

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registos de contentores devem utilizar ligação privada).

Gravidade: Média

Tipo: Plano de controle

[Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

Recomendação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) será removido quando a nova recomendação estiver disponível ao público em geral.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Descrição: Para proteger contra o escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Os contêineres só devem usar perfis AppArmor permitidos

Descrição: Os contêineres executados em clusters Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. AppArmor (Application Armor) é um módulo de segurança Linux que protege um sistema operacional e seus aplicativos contra ameaças à segurança. Para usá-lo, um administrador de sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes devem usar apenas perfis permitidos do AppArmor).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Contêiner com escalonamento de privilégios deve ser evitado

Descrição: os contêineres não devem ser executados com escalonamento de privilégios para fazer root no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que seu processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados

Descrição: habilite os logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança. (Nenhuma política relacionada)

Gravidade: Baixa

Tipo: Plano de controle

O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres

Descrição: Os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

O servidor de API do Kubernetes deve ser configurado com acesso restrito

Descrição: Para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao seu servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Os clusters Kubernetes devem ser acessíveis somente por HTTPS

Descrição: O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Atualmente, esse recurso está disponível para o Serviço Kubernetes (AKS) e em visualização para o Motor AKS e o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: Impor a entrada HTTPS no cluster do Kubernetes).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os clusters Kubernetes devem desativar as credenciais de API de montagem automática

Descrição: desative as credenciais da API de montagem automática para impedir que um recurso Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes devem desativar as credenciais de API de montagem automática).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Descrição: Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters Kubernetes não devem usar o namespace padrão

Descrição: Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: Plano de dados do Kubernetes

Recursos Linux menos privilegiados devem ser aplicados para contêineres

Descrição: Para reduzir a superfície de ataque do seu contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos descartar todos os recursos e, em seguida, adicionar aqueles que são necessários (Política relacionada: os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Microsoft Defender for Containers deve estar habilitado

Descrição: O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidade e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multicloud. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.

A correção dessa recomendação resultará em cobranças para proteger seus clusters do Kubernetes. Se você não tiver nenhum cluster Kubernetes nesta assinatura, nenhuma cobrança será cobrada. Se você criar clusters Kubernetes nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Devem ser evitados contentores privilegiados

Descrição: Para evitar o acesso irrestrito do host, evite contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todos os recursos raiz de uma máquina host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permita contêineres privilegiados no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

[O Controle de Acesso Baseado em Função deve ser usado nos Serviços Kubernetes] (https://portal.azure.com/#blade/M

Microsoft_Azure_Security/RecomendaçõesBlade/assessmentKey/b0fdc63a-38e7-4bab-a7c4-2c2665abbaa9)

Descrição: Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

A execução de contêineres como usuário raiz deve ser evitada

Descrição: Os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como root no host. Se houver um comprometimento, um invasor tem root no contêiner e qualquer configuração incorreta se torna mais fácil de explorar. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os serviços devem escutar apenas nas portas permitidas

Descrição: Para reduzir a superfície de ataque do cluster Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços escutam somente nas portas permitidas no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

O uso de portas e rede de host deve ser restrito

Descrição: Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Os pods criados com o atributo hostNetwork ativado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detete o tráfego da rede, recomendamos não colocar seus pods na rede host. Se você precisar expor uma porta de contêiner na rede do nó e usar uma porta de nó do Serviço Kubernetes não atender às suas necessidades, outra possibilidade é especificar uma hostPort para o contêiner na especificação do pod (Política relacionada: os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

O uso de montagens de volume do pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó a partir de contêineres comprometidos

Descrição: Recomendamos limitar as montagens de volume do pod HostPath em seu cluster Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó do contêiner a partir dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos).

Gravidade: Média

Tipo: Kubernetes Plano de dados

Recomendações de contêineres da AWS

[Pré-visualização] As imagens de contêiner no registro da AWS devem ter as descobertas de vulnerabilidade resolvidas

Recomendação As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) serão removidas pela nova recomendação está disponível ao público.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

[Pré-visualização] Os contêineres executados na AWS devem ter as descobertas de vulnerabilidade resolvidas

Recomendação A AWS que executa imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) será removida quando a nova recomendação estiver disponível ao público.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Os clusters EKS devem conceder as permissões necessárias da AWS ao Microsoft Defender for Cloud

Descrição: O Microsoft Defender for Containers fornece proteções para seus clusters EKS. Para monitorar seu cluster em busca de vulnerabilidades e ameaças de segurança, o Defender for Containers precisa de permissões para sua conta da AWS. Essas permissões são usadas para habilitar o log do plano de controle do Kubernetes em seu cluster e estabelecer um pipeline confiável entre seu cluster e o back-end do Defender for Cloud na nuvem. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.

Gravidade: Alta

Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada

Descrição: A extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters EKS. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.

Gravidade: Alta

O Microsoft Defender for Containers deve ser habilitado em conectores da AWS

Descrição: O Microsoft Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres e gera alertas sobre atividades suspeitas. Use essas informações para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança.

Quando você habilita o Microsoft Defender for Containers e implanta o Azure Arc em seus clusters EKS, as proteções - e cobranças - começarão. Se você não implantar o Azure Arc em um cluster, o Defender for Containers não o protegerá e não serão cobrados encargos por esse plano do Microsoft Defender para esse cluster.

Gravidade: Alta

Recomendações do plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes são suportadas para a AWS depois que você habilita a Política do Azure para Kubernetes.

Recomendações de contêiner GCP

A configuração avançada do Defender for Containers deve ser habilitada em conectores GCP

Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Para garantir que a solução seja provisionada corretamente e que o conjunto completo de recursos esteja disponível, habilite todas as definições de configuração avançadas.

Gravidade: Alta

[Pré-visualização] As imagens de contêiner no registro GCP devem ter as descobertas de vulnerabilidade resolvidas

As imagens de contêiner do Registro GCP de recomendação devem ter as descobertas de vulnerabilidade resolvidas (o Microsoft Defender vulnerability Management será removido quando a nova recomendação estiver disponível ao público.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

[Pré-visualização] Os contêineres em execução no GCP devem ter as descobertas de vulnerabilidade resolvidas

Recomendação O GCP que executa imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management) - o Microsoft Azure será removido quando a nova recomendação estiver disponível ao público.

A nova recomendação está em pré-visualização e não é usada para o cálculo seguro da pontuação.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Os clusters GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada

Descrição: A extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters GKE. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança do Microsoft Defender for Cloud para ambientes em contêineres.

Gravidade: Alta

Os clusters GKE devem ter a extensão Azure Policy instalada

Gravidade: Alta

O Microsoft Defender for Containers deve ser habilitado em conectores GCP

Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Habilite o plano de contêineres em seu conector GCP, para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança. Saiba mais sobre o Microsoft Defender for Containers.

Gravidade: Alta

Recomendações do plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para o GCP depois que você habilita a Política do Azure para Kubernetes.

Partilhar via

Recomendações de segurança de contêiner

Recomendações de contêiner do Azure

[O Controle de Acesso Baseado em Função deve ser usado nos Serviços Kubernetes] (https://portal.azure.com/#blade/M

Recomendações de contêineres da AWS

Recomendações do plano de dados

Recomendações de contêiner GCP

Recomendações do plano de dados

Conteúdos relacionados

Comentários

Comentários

Recursos adicionais