Распространенные вопросы о защите контейнеров

Ответы на распространенные вопросы о защите контейнеров

Каковы варианты масштабного внедрения нового плана?

Для масштабного включения Defender для контейнеров можно использовать Политика Azure Configure Microsoft Defender for Containers to be enabled. Вы также можете просмотреть все доступные параметры для включения Microsoft Defender для контейнеров.

Поддерживает ли Microsoft Defender для контейнеров кластеры AKS с масштабируемыми наборами виртуальных машин?

Да.

Поддерживает ли Microsoft Defender для контейнеров AKS по умолчанию без наборов масштабирования?

№ Поддерживаются только кластеры Службы Azure Kubernetes (AKS), использующие масштабируемые наборы виртуальных машин для узлов.

Нужно ли устанавливать расширение виртуальной машины Log Analytics в узлах AKS для обеспечения безопасности?

Нет, AKS является управляемой службой, и управление ресурсами IaaS не поддерживается. Расширение виртуальной машины Log Analytics не требуется и может привести к дополнительным расходам.

Можно ли удалить рабочие области по умолчанию, созданные Microsoft Defender для облака?

Мы не рекомендуем удалять рабочие области по умолчанию. Defender для контейнеров использует рабочие области по умолчанию для сбора данных безопасности с ваших кластеров. Defender для контейнеров не может собирать данные, а некоторые рекомендации по безопасности и оповещения становятся недоступными, если удалить рабочую область по умолчанию.

Я удалил(а) свою рабочую область по умолчанию, как мне её восстановить?

Чтобы восстановить рабочую область по умолчанию, необходимо удалить датчик Defender и переустановить датчик. Переустановка датчика Defender создает новую рабочую область по умолчанию.

Где расположена рабочая область Log Analytics по умолчанию?

В зависимости от региона рабочая область Log Analytics по умолчанию может находиться в различных расположениях. Чтобы проверить регион, просмотрите, где создана рабочая область Log Analytics по умолчанию

Моя организация требует, чтобы я присваивал теги ресурсам, и требуемый датчик не был установлен, в чем была проблема?

Датчик Defender использует рабочую область Log Analytics для отправки данных из кластеров Kubernetes в Defender для облака. Defender для облака добавляет рабочую область Log Analytic и группу ресурсов в качестве параметра для используемого датчика.

Однако если у вашей организации есть политика, требующая определенного тега для ресурсов, это может привести к сбою установки датчика во время группы ресурсов или этапа создания рабочей области по умолчанию. В случае сбоя можно выполнить одно из следующих действий.

• Назначить настраиваемую рабочую область и добавить любой тег, требуемый вашей организацией.

  или

• Если в вашей компании требуется добавлять к ресурсу тег, перейдите к этой политике и исключите следующие ресурсы.

  1. Группа ресурсов DefaultResourceGroup-<RegionShortCode>.
  2. Рабочая область DefaultWorkspace-<sub-id>-<RegionShortCode>.

  RegionShortCode — это строка из 2–4 букв.

Как Defender для контейнеров сканирует образы?

Defender для контейнеров извлекает образ из реестра и запускает его в изолированной песочнице с Управление уязвимостями Microsoft Defender для многооблачных сред. Средство проверки извлекает список известных уязвимостей.

Defender для облака фильтрует и классифицирует результаты работы сканера. Если изображение работоспособно, Defender для облачных решений отмечает его как таковое. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Как определить события извлечения, выполняемые сканером?

Чтобы идентифицировать события извлечения, выполняемые сканирующим устройством, сделайте следующее:

1. Найдите события извлечения с помощью UserAgent MDCContainersSecurity /1.0.
2. Извлеките учетные данные, связанные с этим событием.
3. Используйте выделенный идентификатор для идентификации пулл-событий из сканера.

Какова разница между неприменимыми ресурсами и непроверенными ресурсами?

• Неприменимыми ресурсами являются ресурсы , для которых рекомендация не может дать окончательный ответ. Вкладка "Не применимо" содержит причины для каждого ресурса, который не удалось оценить.
• Непроверенные ресурсы — это ресурсы , которые планируется оценить, но пока не оценены.

Почему Defender для облака оповещает меня об уязвимостях образа, который не находится в моем реестре?

Некоторые изображения могут повторно использовать теги из уже отсканированного изображения. Например, при каждом добавлении изображения в дайджест можно переназначить тег "Последняя версия". В таких случаях "старый" образ все еще существует в реестре и может по-прежнему быть загружен по его дайджесту. Если в образе обнаружены проблемы с безопасностью и он извлекается, это может привести к уязвимостям безопасности.

Сканирует ли Защитник для контейнеров образы в реестре контейнеров Майкрософт?

В настоящее время Defender для контейнеров может сканировать изображение в Реестре контейнеров Azure (ACR), Реестре контейнеров AWS (ECR), Реестре контейнеров Google (GCR), Реестре архивов Google (GAR) и поддерживаемых внешних реестрах. Реестр артефактов Майкрософт, Реестр контейнеров Майкрософт и встроенный реестр образов контейнеров Microsoft Azure Red Hat OpenShift (ARO) не поддерживаются.

Как Defender для контейнеров сканирует запущенный контейнер?

Defender для облака выполняет проверку виртуальных машин без агента. Моментальные снимки состояния дисков виртуальной машины создаются каждые 24 часа для проведения анализа вне основного потока, не влияя на производительность.

Контейнеры data plane, размещенные на моментальных снимках диска виртуальной машины и не зависящие от реестра образов контейнеров, из которого они были получены, оцениваются на наличие уязвимостей с помощью Управление уязвимостями Microsoft Defender (MDVM). MDVM создает рекомендации по безопасности для всех уязвимых образов контейнеров.

Можно ли получить результаты проверки через REST API?

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (API, аналогичное Kusto) для всех ваших ресурсов: запрос может извлекать данные о конкретной проверке.

Как определить, какой тип носителя используют мои контейнеры?

Чтобы проверить тип изображения, необходимо использовать средство, которое может проверить манифест необработанного изображения, например скопео, и проверить формат необработанного изображения.

• Для формата Docker версии 2 тип носителя манифеста будет приложение/vnd.docker.distribution.manifest.v1+json или application/vnd.docker.distribution.manifest.v2+json, как описано здесь.
• Для формата изображения OCI тип носителя манифеста будет приложение/vnd.oci.image.manifest.v1+json, а тип носителя конфигурации приложение/vnd.oci.image.config.v1+json, как описано здесь.

Какие расширения используются для управления положением контейнеров без агентов?

Существует два расширения, которые предоставляют функциональные возможности CSPM без агента:

• Оценки уязвимостей контейнеров без агента: предоставляет оценки уязвимостей контейнеров без агента. Узнайте больше о безагентной оценке уязвимостей контейнеров.
• Обнаружение без агента для Kubernetes: предоставляет обнаружение сведений об архитектуре кластера Kubernetes, объектах рабочей нагрузки и настройке на основе API.

Как подключить несколько подписок одновременно?

Чтобы подключить несколько подписок одновременно, можно использовать этот скрипт.

Почему не отображаются результаты из моих кластеров?

Если результаты из кластеров не отображаются, проверьте следующие вопросы:

• Остановлены ли кластеры?
• Заблокированы ли группы ресурсов, подписки или кластеры? Если ответ на любой из этих вопросов да, см. ответы на приведенные ниже вопросы.

Что делать, если у меня остановлены кластеры?

Мы не поддерживаем остановленные кластеры и не взимаем за них плату. Чтобы воспользоваться безагентными возможностями на остановленном кластере, повторно запустите его.

Что делать, если у меня заблокированы группы ресурсов, подписки или кластеры?

Мы рекомендуем разблокировать заблокированную группу ресурсов, подписку или кластер, вручную выполнить соответствующие запросы, а затем повторно заблокировать группу ресурсов или подписку или кластер, выполнив следующие действия:

1. Включите флаг функции вручную с помощью интерфейса командной строки с помощью доверенного доступа.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Выполните операцию привязки в CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Для заблокированных кластеров можно также выполнить одно из следующих действий:

• Удалите блокировку.
• Выполните операцию привязки вручную, выполнив запрос API. Дополнительные сведения о заблокированных ресурсах.

Используется ли обновленная версия AKS?

Дополнительные сведения о поддерживаемых версиях Kubernetes см. в Служба Azure Kubernetes (AKS).

Каков интервал обновления для обнаружения Kubernetes с помощью безагентной технологии?

Изменение может занять до 24 часов , чтобы отразиться в графе безопасности, путях атак и обозревателе безопасности.

Как мне обновить оценку уязвимостей Trivy, которая вышла из эксплуатации, до новой оценки уязвимостей AWS, под управлением Microsoft Defender Управление уязвимостями?

Ниже описано, как удалить одну рекомендацию по реестру, на основе Trivy, и добавить новые рекомендации по реестру и среде выполнения, которые основаны на MDVM.

1. Откройте соответствующий соединитель AWS.
2. Откройте страницу "Параметры" для Defender для контейнеров.
3. Включите оценку уязвимостей контейнеров без агента.
4. Выполните действия мастера соединителя, включая развертывание нового скрипта подключения в AWS.
5. Вручную удалите ресурсы, созданные во время подключения:
   • Контейнер S3 с префиксом defender-for-containers-va
   • Кластер ECS с именем defender-for-containers-va
   • VPC:
     • Тег name со значением defender-for-containers-va
     • CIDR для IP-подсети 10.0.0.0/16
     • Связана с группой безопасности по умолчанию с тегом name и значением defender-for-containers-va , которое имеет одно правило всего входящего трафика.
     • Подсеть с тегом name и значением defender-for-containers-va в defender-for-containers-va VPC с подсетью CIDR 10.0.1.0/24 IP, используемой кластером ECS. defender-for-containers-va
     • Интернет-шлюз с тегом name и значением defender-for-containers-va
     • Таблица маршрутов — таблица маршрутизации с тегом name и значением defender-for-containers-va, а также с этими маршрутами:
       • Назначение: 0.0.0.0/0; Целевой объект: Интернет-шлюз с тегом name и значением defender-for-containers-va
       • Назначение: 10.0.0.0/16; Цель: local

Чтобы получить оценку уязвимостей для запущенных образов, включите обнаружение без агента для Kubernetes или разверните сенсор Defender в кластерах Kubernetes.

Что случилось с Microsoft Defender для Kubernetes?

Microsoft Defender для Kubernetes устарел и заменен на Microsoft Defender для контейнеров. Существующие подписки с поддержкой Defender для Kubernetes могут продолжать использовать его, но новые подписки не могут включить этот устаревший план.

Все новые возможности и улучшения безопасности контейнеров доступны только в Microsoft Defender для контейнеров. Мы рекомендуем обновить до Microsoft Defender для контейнеров, чтобы получить доступ к новейшим функциям и расширенным возможностям защиты.

Связанный контент

Узнайте об Defender для контейнеров

Ответы на распространенные вопросы о защите контейнеров

Для масштабного включения Defender для контейнеров можно использовать Политика Azure Configure Microsoft Defender for Containers to be enabled. Вы также можете просмотреть все доступные параметры для включения Microsoft Defender для контейнеров.

Да.

№ Поддерживаются только кластеры Службы Azure Kubernetes (AKS), использующие масштабируемые наборы виртуальных машин для узлов.

Нет, AKS является управляемой службой, и управление ресурсами IaaS не поддерживается. Расширение виртуальной машины Log Analytics не требуется и может привести к дополнительным расходам.

Мы не рекомендуем удалять рабочие области по умолчанию. Defender для контейнеров использует рабочие области по умолчанию для сбора данных безопасности с ваших кластеров. Defender для контейнеров не может собирать данные, а некоторые рекомендации по безопасности и оповещения становятся недоступными, если удалить рабочую область по умолчанию.

Чтобы восстановить рабочую область по умолчанию, необходимо удалить датчик Defender и переустановить датчик. Переустановка датчика Defender создает новую рабочую область по умолчанию.

В зависимости от региона рабочая область Log Analytics по умолчанию может находиться в различных расположениях. Чтобы проверить регион, просмотрите, где создана рабочая область Log Analytics по умолчанию

Датчик Defender использует рабочую область Log Analytics для отправки данных из кластеров Kubernetes в Defender для облака. Defender для облака добавляет рабочую область Log Analytic и группу ресурсов в качестве параметра для используемого датчика.

Однако если у вашей организации есть политика, требующая определенного тега для ресурсов, это может привести к сбою установки датчика во время группы ресурсов или этапа создания рабочей области по умолчанию. В случае сбоя можно выполнить одно из следующих действий.

• Назначить настраиваемую рабочую область и добавить любой тег, требуемый вашей организацией.

  или

• Если в вашей компании требуется добавлять к ресурсу тег, перейдите к этой политике и исключите следующие ресурсы.

  1. Группа ресурсов DefaultResourceGroup-<RegionShortCode>.
  2. Рабочая область DefaultWorkspace-<sub-id>-<RegionShortCode>.

  RegionShortCode — это строка из 2–4 букв.

Defender для контейнеров извлекает образ из реестра и запускает его в изолированной песочнице с Управление уязвимостями Microsoft Defender для многооблачных сред. Средство проверки извлекает список известных уязвимостей.

Defender для облака фильтрует и классифицирует результаты работы сканера. Если изображение работоспособно, Defender для облачных решений отмечает его как таковое. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Чтобы идентифицировать события извлечения, выполняемые сканирующим устройством, сделайте следующее:

1. Найдите события извлечения с помощью UserAgent MDCContainersSecurity /1.0.
2. Извлеките учетные данные, связанные с этим событием.
3. Используйте выделенный идентификатор для идентификации пулл-событий из сканера.

• Неприменимыми ресурсами являются ресурсы , для которых рекомендация не может дать окончательный ответ. Вкладка "Не применимо" содержит причины для каждого ресурса, который не удалось оценить.
• Непроверенные ресурсы — это ресурсы , которые планируется оценить, но пока не оценены.

Некоторые изображения могут повторно использовать теги из уже отсканированного изображения. Например, при каждом добавлении изображения в дайджест можно переназначить тег "Последняя версия". В таких случаях "старый" образ все еще существует в реестре и может по-прежнему быть загружен по его дайджесту. Если в образе обнаружены проблемы с безопасностью и он извлекается, это может привести к уязвимостям безопасности.

В настоящее время Defender для контейнеров может сканировать изображение в Реестре контейнеров Azure (ACR), Реестре контейнеров AWS (ECR), Реестре контейнеров Google (GCR), Реестре архивов Google (GAR) и поддерживаемых внешних реестрах. Реестр артефактов Майкрософт, Реестр контейнеров Майкрософт и встроенный реестр образов контейнеров Microsoft Azure Red Hat OpenShift (ARO) не поддерживаются.

Defender для облака выполняет проверку виртуальных машин без агента. Моментальные снимки состояния дисков виртуальной машины создаются каждые 24 часа для проведения анализа вне основного потока, не влияя на производительность.

Контейнеры data plane, размещенные на моментальных снимках диска виртуальной машины и не зависящие от реестра образов контейнеров, из которого они были получены, оцениваются на наличие уязвимостей с помощью Управление уязвимостями Microsoft Defender (MDVM). MDVM создает рекомендации по безопасности для всех уязвимых образов контейнеров.

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (API, аналогичное Kusto) для всех ваших ресурсов: запрос может извлекать данные о конкретной проверке.

Чтобы проверить тип изображения, необходимо использовать средство, которое может проверить манифест необработанного изображения, например скопео, и проверить формат необработанного изображения.

• Для формата Docker версии 2 тип носителя манифеста будет приложение/vnd.docker.distribution.manifest.v1+json или application/vnd.docker.distribution.manifest.v2+json, как описано здесь.
• Для формата изображения OCI тип носителя манифеста будет приложение/vnd.oci.image.manifest.v1+json, а тип носителя конфигурации приложение/vnd.oci.image.config.v1+json, как описано здесь.

Существует два расширения, которые предоставляют функциональные возможности CSPM без агента:

• Оценки уязвимостей контейнеров без агента: предоставляет оценки уязвимостей контейнеров без агента. Узнайте больше о безагентной оценке уязвимостей контейнеров.
• Обнаружение без агента для Kubernetes: предоставляет обнаружение сведений об архитектуре кластера Kubernetes, объектах рабочей нагрузки и настройке на основе API.

Чтобы подключить несколько подписок одновременно, можно использовать этот скрипт.

Если результаты из кластеров не отображаются, проверьте следующие вопросы:

• Остановлены ли кластеры?
• Заблокированы ли группы ресурсов, подписки или кластеры? Если ответ на любой из этих вопросов да, см. ответы на приведенные ниже вопросы.

Мы не поддерживаем остановленные кластеры и не взимаем за них плату. Чтобы воспользоваться безагентными возможностями на остановленном кластере, повторно запустите его.

Мы рекомендуем разблокировать заблокированную группу ресурсов, подписку или кластер, вручную выполнить соответствующие запросы, а затем повторно заблокировать группу ресурсов или подписку или кластер, выполнив следующие действия:

1. Включите флаг функции вручную с помощью интерфейса командной строки с помощью доверенного доступа.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Выполните операцию привязки в CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Для заблокированных кластеров можно также выполнить одно из следующих действий:

• Удалите блокировку.
• Выполните операцию привязки вручную, выполнив запрос API. Дополнительные сведения о заблокированных ресурсах.

Дополнительные сведения о поддерживаемых версиях Kubernetes см. в Служба Azure Kubernetes (AKS).

Изменение может занять до 24 часов , чтобы отразиться в графе безопасности, путях атак и обозревателе безопасности.

Ниже описано, как удалить одну рекомендацию по реестру, на основе Trivy, и добавить новые рекомендации по реестру и среде выполнения, которые основаны на MDVM.

1. Откройте соответствующий соединитель AWS.
2. Откройте страницу "Параметры" для Defender для контейнеров.
3. Включите оценку уязвимостей контейнеров без агента.
4. Выполните действия мастера соединителя, включая развертывание нового скрипта подключения в AWS.
5. Вручную удалите ресурсы, созданные во время подключения:
   • Контейнер S3 с префиксом defender-for-containers-va
   • Кластер ECS с именем defender-for-containers-va
   • VPC:
     • Тег name со значением defender-for-containers-va
     • CIDR для IP-подсети 10.0.0.0/16
     • Связана с группой безопасности по умолчанию с тегом name и значением defender-for-containers-va , которое имеет одно правило всего входящего трафика.
     • Подсеть с тегом name и значением defender-for-containers-va в defender-for-containers-va VPC с подсетью CIDR 10.0.1.0/24 IP, используемой кластером ECS. defender-for-containers-va
     • Интернет-шлюз с тегом name и значением defender-for-containers-va
     • Таблица маршрутов — таблица маршрутизации с тегом name и значением defender-for-containers-va, а также с этими маршрутами:
       • Назначение: 0.0.0.0/0; Целевой объект: Интернет-шлюз с тегом name и значением defender-for-containers-va
       • Назначение: 10.0.0.0/16; Цель: local

Чтобы получить оценку уязвимостей для запущенных образов, включите обнаружение без агента для Kubernetes или разверните сенсор Defender в кластерах Kubernetes.

Microsoft Defender для Kubernetes устарел и заменен на Microsoft Defender для контейнеров. Существующие подписки с поддержкой Defender для Kubernetes могут продолжать использовать его, но новые подписки не могут включить этот устаревший план.

Все новые возможности и улучшения безопасности контейнеров доступны только в Microsoft Defender для контейнеров. Мы рекомендуем обновить до Microsoft Defender для контейнеров, чтобы получить доступ к новейшим функциям и расширенным возможностям защиты.

Связанный контент

Узнайте об Defender для контейнеров