Распространенные вопросы о защите контейнеров

Для включения Defender для контейнеров в большом масштабе можно использовать Политику Azure Configure Microsoft Defender for Containers to be enabled. Вы также можете просмотреть все доступные параметры для включения Microsoft Defender для контейнеров.

Да.

№ Поддерживаются только кластеры Службы Azure Kubernetes (AKS), использующие масштабируемые наборы виртуальных машин для узлов.

Нет, AKS является управляемой службой, и управление ресурсами IaaS не поддерживается. Расширение виртуальной машины Log Analytics не требуется и может привести к дополнительным расходам.

Вы можете использовать существующую рабочую область Log Analytics, выполнив действия, описанные в разделе Назначение настраиваемой рабочей области этой статьи.

Мы не рекомендуем удалять рабочие области по умолчанию. Defender для контейнеров использует рабочие области по умолчанию для сбора данных безопасности с ваших кластеров. Defender для контейнеров не сможет собирать данные, а некоторые рекомендации по безопасности и оповещения будут недоступны при удалении рабочей области по умолчанию.

Чтобы восстановить рабочую область по умолчанию, необходимо удалить датчик Defender и переустановить датчик. Переустановка датчика Defender создает новую рабочую область по умолчанию.

В зависимости от региона рабочая область Log Analytics по умолчанию может находиться в различных расположениях. Чтобы проверить регион, просмотрите, где создана рабочая область Log Analytics по умолчанию

Датчик Defender использует рабочую область Log Analytics для отправки данных из кластеров Kubernetes в Defender для облака. Defender для облака добавляет рабочую область Log Analytic и группу ресурсов в качестве параметра для используемого датчика.

Однако если у вашей организации есть политика, требующая определенного тега для ресурсов, это может привести к сбою установки датчика во время группы ресурсов или этапа создания рабочей области по умолчанию. В случае сбоя можно выполнить одно из следующих действий.

• Назначить настраиваемую рабочую область и добавить любой тег, требуемый вашей организацией.

  or

• Если в вашей компании требуется добавлять к ресурсу тег, перейдите к этой политике и исключите следующие ресурсы.

  1. Группа ресурсов DefaultResourceGroup-<RegionShortCode>.
  2. Рабочая область DefaultWorkspace-<sub-id>-<RegionShortCode>.

  RegionShortCode — это строка из 2–4 букв.

Defender для контейнеров извлекает образ из реестра и запускает его в изолированной песочнице с Управление уязвимостями Microsoft Defender для многооблачных сред. Средство проверки извлекает список известных уязвимостей.

Defender для облака фильтрует и классифицирует результаты работы средства проверки. Если образ работоспособен, Defender для облака отмечает его соответствующим образом. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Чтобы определить события извлечения, выполняемые сканером, сделайте следующее:

1. Найдите события извлечения с помощью UserAgent AzureContainerImageScanner.
2. Извлеките удостоверение, связанное с этим событием.
3. Используйте извлеченное удостоверение для идентификации событий извлечения из сканера.

• Неприменимыми ресурсами являются ресурсы , для которых рекомендация не может дать окончательный ответ. Вкладка "Не применимо" содержит причины для каждого ресурса, который не удалось оценить.
• Непроверенные ресурсы — это ресурсы , которые планируется оценить, но пока не оценены.

Некоторые изображения могут повторно использовать теги из уже отсканированного изображения. Например, при каждом добавлении изображения в дайджест можно переназначить тег "Последняя версия". В таких случаях образ "старый" по-прежнему существует в реестре и может по-прежнему быть извлечен его дайджестом. Если образ имеет результаты безопасности и извлекается, он будет предоставлять уязвимости безопасности.

В настоящее время Defender для контейнеров может сканировать образы только в Реестр контейнеров Azure (ACR) и реестре эластичных контейнеров AWS (ECR). Реестр Docker, Реестр артефактов Microsoft/Реестр контейнеров Майкрософт и встроенный реестр образов контейнеров Microsoft Azure Red Hat OpenShift (ARO) не поддерживаются. Образы сначала следует импортировать в ACR. Дополнительные сведения о импорте образов контейнеров в реестр контейнеров Azure.

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (работающий по принципу Kusto API) для всех ресурсов: запрос может получать данные об определенной проверке.

Чтобы проверка тип изображения, необходимо использовать средство, которое может проверка манифест необработанного изображения, например скопео, и проверить формат необработанного изображения.

• Для формата Docker версии 2 тип носителя манифеста будет приложение/vnd.docker.distribution.manifest.v1+json или application/vnd.docker.distribution.manifest.v2+json, как описано здесь.
• Для формата изображения OCI тип носителя манифеста будет приложение/vnd.oci.image.manifest.v1+json, а также приложение типа мультимедиа config/vnd.oci.image.config.v1+json, как описано здесь.

Существует два расширения, которые предоставляют функциональные возможности CSPM без агента:

• Оценки уязвимостей без агента: предоставляет оценки уязвимостей без агента. Дополнительные сведения об оценке уязвимостей без агента.
• Обнаружение без агента для Kubernetes: предоставляет обнаружение сведений об архитектуре кластера Kubernetes, объектах рабочей нагрузки и настройке на основе API.

Чтобы подключить несколько подписок одновременно, можно использовать этот скрипт.

Если результаты из кластеров не отображаются, проверка следующие вопросы:

• Остановлены ли кластеры?
• Заблокированы ли группы ресурсов, подписки или кластеры? Если ответ на любой из этих вопросов да, см. ответы на приведенные ниже вопросы.

Мы не поддерживаем остановленные кластеры и не взимаем за них плату. Чтобы воспользоваться безагентными возможностями на остановленном кластере, повторно запустите его.

Мы рекомендуем разблокировать заблокированную группу ресурсов, подписку или кластер, вручную выполнить соответствующие запросы, а затем повторно заблокировать группу ресурсов или подписку или кластер, выполнив следующие действия:

1. Включите флаг функции вручную с помощью интерфейса командной строки с помощью доверенного доступа.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Выполните операцию привязки в CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Для заблокированных кластеров можно также выполнить одно из следующих действий:

• Удалите блокировку.
• Выполните операцию привязки вручную, выполнив запрос API. Дополнительные сведения о заблокированных ресурсах.

Дополнительные сведения о поддерживаемых версиях Kubernetes см. в Служба Azure Kubernetes (AKS).

Изменение может занять до 24 часов , чтобы отразиться в графе безопасности, путях атак и обозревателе безопасности.

Ниже описано, как удалить одну рекомендацию по реестру, на основе Trivy, и добавить новые рекомендации по реестру и среде выполнения, которые основаны на MDVM.

1. Откройте соответствующий соединитель AWS.
2. Откройте страницу Параметры для Defender для контейнеров.
3. Включите оценку уязвимостей контейнеров без агента.
4. Выполните действия мастера соединителя, включая развертывание нового скрипта подключения в AWS.
5. Вручную удалите ресурсы, созданные во время подключения:
   • Контейнер S3 с префиксом defender-for-containers-va
   • Кластер ECS с именем defender-for-containers-va
   • VPC:
     • Тег name со значением defender-for-containers-va
     • CIDR IP-подсети 10.0.0.0/16
     • Связана с группой безопасности по умолчанию с тегом name и значением defender-for-containers-va , которое имеет одно правило всего входящего трафика.
     • Подсеть с тегом name и значением defender-for-containers-va в defender-for-containers-va VPC с подсетью CIDR 10.0.1.0/24 IP, используемой кластером ECS. defender-for-containers-va
     • Интернет-шлюз с тегом name и значением defender-for-containers-va
     • Таблица маршрутов — таблица маршрутизации с тегом name и значением defender-for-containers-va, а также с этими маршрутами:
       • Назначение: 0.0.0.0/0; Целевой объект: Интернет-шлюз с тегом name и значением defender-for-containers-va
       • Назначение: 10.0.0.0/16; Целевой: local

Чтобы получить оценки уязвимостей для запуска образов, включите обнаружение без агента для Kubernetes или разверните датчик Defender в кластерах Kubernetes.

Следующие шаги

Сведения о Defender для контейнеров