Рекомендации по безопасности контейнеров
В этой статье перечислены все рекомендации по безопасности контейнера, которые могут отображаться в Microsoft Defender для облака.
Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.
Совет
Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.
Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.
Рекомендации по контейнерам Azure
В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Политики Azure
Описание: расширение Политика Azure для Kubernetes расширяет Gatekeeper версии 3, веб-перехватчик контроллера допуска для агента Open Policy (OPA), чтобы применять принудительное применение и защиту в кластерах в централизованном, согласованном режиме. (Связанная политика отсутствует)
Серьезность: высокий уровень
Тип: плоскость управления
В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender
Описание. Расширение Defender для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов уровня управления (master) в кластере и отправляет его в серверную часть Microsoft Defender для Kubernetes в облаке для дальнейшего анализа. (Связанная политика отсутствует)
Серьезность: высокий уровень
Тип: плоскость управления
В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
Описание. Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. При включении профиля SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для контейнеров. (Связанная политика отсутствует)
Серьезность: высокий уровень
Тип: плоскость управления
В кластерах Службы Azure Kubernetes должна быть установлена надстройка "Политика Azure" для Kubernetes
Описание: надстройка Политика Azure для Kubernetes расширяет шлюз 3, веб-перехватчик контроллера допуска для агента open Policy Agent (OPA), чтобы применять масштабируемые принудительное применение и защиту в кластерах централизованно, согласованно. Defender для облака ожидает, что надстройка будет выполнять аудит и применять возможности для обеспечения защиты и соответствия в кластерах. Подробнее. Требуется Kubernetes версии 1.14.0 или более поздней. (Связанная политика: Политика Azure надстройка для службы Kubernetes (AKS) должна быть установлена и включена в кластерах.
Серьезность: высокий уровень
Тип: плоскость управления
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender)
Описание. Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. (Связанная политика: Уязвимости в образах Реестр контейнеров Azure должны быть исправлены).
Серьезность: высокий уровень
Тип: оценка уязвимостей
Образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на базе Qualys)
Описание. Оценка уязвимостей образа контейнера проверяет реестр для уязвимостей системы безопасности и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. (Связанная политика: Уязвимости в образах Реестр контейнеров Azure должны быть исправлены).
Ключ оценки: dbd0cb49-b563-45e7-9724-889e799fa648
Тип: оценка уязвимостей
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender)
Описание. Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок.
Серьезность: высокий уровень
Тип: оценка уязвимостей
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на основе Qualys)
Описание. Оценка уязвимостей образа контейнера проверяет образы контейнеров, запущенные в кластерах Kubernetes, для уязвимостей безопасности и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. (Связанная политика отсутствует)
Ключ оценки: 41503391-efa5-47ee-9282-4eff6131462c
Тип: оценка уязвимостей
Для контейнеров должны соблюдаться ограничения по числу ЦП и объему оперативной памяти.
Описание. Применение ограничений ЦП и памяти предотвращает атаки нехватки ресурсов (форма атаки типа "отказ в обслуживании").
Мы рекомендуем устанавливать для контейнеров ограничения, не позволяющие среде выполнения выходить за установленные пределы потребления ресурсов.
(Связанная политика: Убедитесь, что ограничения ресурсов ЦП и памяти контейнера не превышают указанные ограничения в кластере Kubernetes).
Серьезность: средний
Тип: плоскость данных Kubernetes
Образы контейнеров должны развертываться только из доверенных реестров
Описание. Образы, работающие в кластере Kubernetes, должны поступать из известных и отслеживаемых реестров образов контейнеров. Доверенные реестры снижают риск воздействия кластера, ограничивая потенциал для внедрения неизвестных уязвимостей, проблем безопасности и вредоносных образов.
(Связанная политика: Убедитесь, что только разрешенные образы контейнеров в кластере Kubernetes).
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
[предварительная версия] Образы контейнеров в реестре Azure должны быть устранены с результатами уязвимостей.
Описание: Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам.
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на основе Управление уязвимостями Microsoft Defender) будут удалены, когда новая рекомендация общедоступна.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Серьезность: высокий уровень
Тип: оценка уязвимостей
(Включить при необходимости) Реестры контейнеров должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о шифровании CMK см. в обзоре ключей, управляемых клиентом. (Связанная политика: Реестры контейнеров должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)).
Серьезность: низкая
Тип: плоскость управления
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ
Описание. Реестры контейнеров Azure по умолчанию принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с определенных общедоступных IP-адресов или диапазонов адресов. Если для реестра нет правила IP-адресов или брандмауэра либо настроенной виртуальной сети, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. в разделе "Настройка правил сети общедоступного IP-адреса" и ограничение доступа к реестру контейнеров с помощью конечной точки службы в виртуальной сети Azure. (Связанная политика: Реестры контейнеров не должны разрешать неограниченный доступ к сети).
Серьезность: средний
Тип: плоскость управления
Реестры контейнеров должны использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с реестрами контейнеров вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. (Связанная политика: Реестры контейнеров должны использовать приватный канал).
Серьезность: средний
Тип: плоскость управления
[предварительная версия] Контейнеры, работающие в Azure, должны иметь устраненные результаты уязвимостей
Описание: Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Примечание.
Начиная с 6 октября 2024 г. эта рекомендация была обновлена, чтобы сообщить только один контейнер для каждого корневого контроллера. Например, если cronjob создает несколько заданий, где каждое задание создает pod с уязвимым контейнером, рекомендация сообщает только один экземпляр уязвимых контейнеров в этом задании. Это изменение поможет удалить повторяющиеся отчеты для идентичных контейнеров, требующих одного действия для исправления. Если вы использовали эту рекомендацию до изменения, следует ожидать сокращения числа экземпляров этой рекомендации.
Для поддержки этого улучшения ключ оценки для этой рекомендации был обновлен до c5045ea3-afc6-4006-ab8f-86c8574dbf3d
. Если вы в настоящее время извлекают отчеты об уязвимостях из этой рекомендации через API, убедитесь, что вызов API изменится на использование нового ключа оценки.
Серьезность: высокий уровень
Тип: оценка уязвимостей
Контейнеры с общим доступом к важным пространствам имен узлов должны по возможности исключаться
Описание. Чтобы защититься от эскалации привилегий за пределами контейнера, избегайте доступа pod к конфиденциальным пространствам имен узлов (идентификатор процесса узла и IPC узла) в кластере Kubernetes. (Связанная политика: Контейнеры кластера Kubernetes не должны совместно использовать идентификатор процесса узла или пространство имен IPC узла).
Серьезность: средний
Тип: плоскость данных Kubernetes
Контейнеры должны использовать только разрешенные профили AppArmor
Описание. Контейнеры, работающие в кластерах Kubernetes, должны быть ограничены только разрешенными профилями AppArmor. AppArmor — это модуль безопасности Linux, который защищает операционную систему и ее приложения от угроз безопасности. Чтобы использовать его, системный администратор должен связать профиль безопасности AppArmor с каждой программой. (Связанная политика: Контейнеры кластеров Kubernetes должны использовать только разрешенные профили AppArmor).
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
Контейнеры с повышением привилегий должны по возможности исключаться
Описание. Контейнеры не должны выполняться с повышением привилегий для корневого каталога в кластере Kubernetes. Атрибут AllowPrivilegeEscalation определяет, может ли процесс получить больше привилегий, чем его родительский процесс. (Связанная политика: Кластеры Kubernetes не должны разрешать эскалацию привилегий контейнера).
Серьезность: средний
Тип: плоскость данных Kubernetes
Необходимо включить журналы диагностики в службах Kubernetes
Описание. Включите журналы диагностики в службах Kubernetes и сохраните их до года. Это позволит воссоздать журналы действий для анализа инцидентов безопасности. (Связанная политика отсутствует)
Серьезность: низкая
Тип: плоскость управления
Для контейнеров должна применяться неизменяемая (доступная только для чтения) корневая файловая система
Описание. Контейнеры должны запускаться только с корневой файловой системой только для чтения в кластере Kubernetes. Неизменяемая файловая система защищает контейнеры от внесения вредоносных двоичных файлов в переменную PATH в среде выполнения. (Связанная политика: Контейнеры кластера Kubernetes должны выполняться только с корневой файловой системой чтения).
Серьезность: средний
Тип: плоскость данных Kubernetes
Сервер API Kubernetes должен быть настроен с ограниченным доступом
Описание. Чтобы обеспечить доступ к серверу API Kubernetes только из разрешенных сетей, компьютеров или подсетей, можно ограничить доступ к серверу API Kubernetes. Вы можете ограничить доступ, определив авторизованные диапазоны IP-адресов или настроив серверы API в качестве частных кластеров, как описано в разделе "Создание частного Служба Azure Kubernetes кластера". (Связанная политика: В службах Kubernetes должны быть определены авторизованные диапазоны IP-адресов.
Серьезность: высокий уровень
Тип: плоскость управления
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS
Описание. Использование HTTPS обеспечивает проверку подлинности и защищает данные при передаче от атак сетевого слоя перехвата. Эта возможность в настоящее время общедоступна для Службы Azure Kubernetes (AKS), но для обработчика AKS и Kubernetes с поддержкой Azure Arc она предоставляется в предварительной версии. Дополнительные сведения см. в статье https://aka.ms/kubepolicydoc (Связанная политика: принудительное применение входящего трафика HTTPS в кластере Kubernetes).
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
Кластеры Kubernetes должны отключить учетные данные API автоподключения
Описание. Отключите учетные данные API автоматического подключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. (Связанная политика: Кластеры Kubernetes должны отключить учетные данные API автоматического подключения).
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
Кластеры Kubernetes не должны предоставлять функции безопасности CAPSYSADMIN
Описание. Чтобы уменьшить область атаки контейнеров, ограничьте CAP_SYS_ADMIN возможности Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. (Связанная политика отсутствует)
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
Кластеры Kubernetes не должны использовать пространство имен по умолчанию
Описание. Запрет использования пространства имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. (Связанная политика: Кластеры Kubernetes не должны использовать пространство имен по умолчанию.
Серьезность: низкая
Тип: плоскость данных Kubernetes
Для контейнеров должны применяться возможности Linux с минимальными правами
Описание. Чтобы уменьшить область атаки контейнера, ограничьте возможности Linux и предоставьте определенные привилегии контейнерам без предоставления всех привилегий корневого пользователя. Рекомендуется удалить все возможности, а затем добавить необходимые (связанная политика: контейнеры кластера Kubernetes должны использовать только разрешенные возможности).
Серьезность: средний
Тип: плоскость данных Kubernetes
Microsoft Defender для контейнеров должен быть включен
Описание. Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридной среды и многооблачной среды Kubernetes. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Применение этой рекомендации предусматривает плату за защиту кластеров Kubernetes. Если в этой подписке нет кластеров Kubernetes, плата не будет взиматься. Если вы создаете кластеры Kubernetes в этой подписке в будущем, они автоматически будут защищены и плата начнется в это время. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для контейнеров. (Связанная политика отсутствует)
Серьезность: высокий уровень
Тип: плоскость управления
Требуется избегать привилегированных контейнеров
Описание. Чтобы предотвратить неограниченный доступ к узлу, избежать привилегированных контейнеров по возможности.
Привилегированные контейнеры обладают всеми возможностями привилегированного пользователя на компьютере узла. Их можно использовать в качестве точек входа для атак и распространения вредоносного кода или вредоносных программ в скомпрометированные приложения, узлы и сети. (Связанная политика: Не разрешайте привилегированные контейнеры в кластере Kubernetes).
Серьезность: средний
Тип: плоскость данных Kubernetes
Контроль доступа на основе ролей следует использовать в службах Kubernetes
Описание. Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. (Связанная политика: Контроль доступа на основе ролей (RBAC) следует использовать в службах Kubernetes.
Серьезность: высокий уровень
Тип: плоскость управления
Работа контейнеров от имени привилегированного пользователя должна по возможности исключаться
Описание. Контейнеры не должны выполняться в качестве корневых пользователей в кластере Kubernetes. Запуск процесса от имени привилегированного пользователя в контейнере означает, что он выполняется с правами root. В случае компрометации злоумышленник сразу получит права привилегированного пользователя в контейнере, что упрощает применение эксплойтов. (Связанная политика: Модули pod и контейнеры кластера Kubernetes должны выполняться только с утвержденными идентификаторами пользователей и групп).
Серьезность: высокий уровень
Тип: плоскость данных Kubernetes
Службы должны ожидать передачи данных только на разрешенных портах
Описание. Чтобы уменьшить область атаки кластера Kubernetes, ограничьте доступ к кластеру, ограничив доступ служб к настроенным портам. (Связанная политика: Убедитесь, что службы прослушивают только разрешенные порты в кластере Kubernetes.
Серьезность: средний
Тип: плоскость данных Kubernetes
Использование сети и портов узлов должно быть ограничено
Описание. Ограничение доступа pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Объекты pod, созданные с включенным атрибутом hostNetwork, будут совместно использовать сетевое пространство узла. Чтобы предотвратить перехват сетевого трафика скомпрометированным контейнером, рекомендуется не размещать pod в сети узла. Если необходимо предоставить порт контейнера в сети узла и использовать порт узла Kubernetes Service не соответствует вашим потребностям, еще одна возможность — указать узелPort для контейнера в спецификации pod. (Связанная политика: модули pod кластера Kubernetes должны использовать только утвержденный диапазон сетевых узлов и портов).
Серьезность: средний
Тип: плоскость данных Kubernetes
Использование подключений томов pod HostPath должно быть ограничено известным списком, чтобы ограничить доступ к узлам из скомпрометированных контейнеров
Описание. Мы рекомендуем ограничить подключение томов pod HostPath в кластере Kubernetes к настроенным путям узла. В случае компрометации доступ к узлу контейнера из контейнеров должен быть ограничен. (Связанная политика: Тома кластера Kubernetes pod hostPath должны использовать только разрешенные пути узла).
Серьезность: средний
Тип: плоскость данных Kubernetes
Рекомендации по контейнерам AWS
[предварительная версия] Образы контейнеров в реестре AWS должны быть устранены с результатами уязвимостей.
Описание: Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам.
Образы контейнеров реестра AWS должны иметь обнаруженные уязвимости (на основе Управление уязвимостями Microsoft Defender) будут удалены новыми рекомендациями.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Серьезность: высокий уровень
Тип: оценка уязвимостей
[предварительная версия] Контейнеры, работающие в AWS, должны иметь устраненные результаты уязвимостей
Описание: Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Примечание.
Начиная с 6 октября 2024 г. эта рекомендация была обновлена, чтобы сообщить только один контейнер для каждого корневого контроллера. Например, если cronjob создает несколько заданий, где каждое задание создает pod с уязвимым контейнером, рекомендация сообщает только один экземпляр уязвимых контейнеров в этом задании. Это изменение поможет удалить повторяющиеся отчеты для идентичных контейнеров, требующих одного действия для исправления. Если вы использовали эту рекомендацию до изменения, следует ожидать сокращения числа экземпляров этой рекомендации.
Для поддержки этого улучшения ключ оценки для этой рекомендации был обновлен до 8749bb43-cd24-4cf9-848c-2a50f632043c
. Если вы в настоящее время извлекают отчеты об уязвимостях из этой рекомендации через API, убедитесь, что вы обновляете вызов API, чтобы использовать новый ключ оценки.
Серьезность: высокий уровень
Тип: оценка уязвимостей
Кластеры EKS должны предоставить Microsoft Defender для облака необходимые разрешения AWS
Описание. Microsoft Defender для контейнеров обеспечивает защиту для кластеров EKS. Чтобы отслеживать наличие уязвимостей и угроз безопасности в кластере, службе Defender для контейнеров требуются разрешения для вашей учетной записи AWS. Эти разрешения используются для включения ведения журнала плоскости управления Kubernetes в кластере и создания надежного конвейера между кластером и серверной частью Defender для облака в облаке. Узнайте больше о функциях безопасности Microsoft Defender для облака, предназначенных для контейнерных сред.
Серьезность: высокий уровень
Для кластеров EKS должно быть установлено расширение Microsoft Defender для Azure Arc
Описание. Расширение кластера Microsoft Defender предоставляет возможности безопасности для кластеров EKS. Это расширение собирает данные из кластера и его узлов для выявления уязвимостей и угроз безопасности. Расширение работает со службой Kubernetes с поддержкой дуги Azure. Узнайте больше о функциях безопасности Microsoft Defender для облака, предназначенных для контейнерных сред.
Серьезность: высокий уровень
Microsoft Defender для контейнеров должен быть включен для соединителей AWS
Описание. Microsoft Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для контейнерных сред и создает оповещения о подозрительных действиях. Используйте эти сведения для усиления защиты кластеров Kubernetes и устранения проблем системы безопасности.
При включении Microsoft Defender для контейнеров и развертывании Azure Arc в кластерах EKS начнется защита и плата. Если вы не развертываете Azure Arc в кластере, Defender для контейнеров не будет защищать его, и плата за этот план Microsoft Defender для этого кластера не взимается.
Серьезность: высокий уровень
Рекомендации по плоскости данных
Все рекомендации по безопасности плоскости данных Kubernetes поддерживаются для AWS после включения Политика Azure для Kubernetes.
Рекомендации по контейнерам GCP
Расширенная настройка Defender для контейнеров должна быть включена в соединителях GCP
Описание. Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. Чтобы убедиться, что решение подготовлено правильно, а полный набор возможностей доступен, включите все дополнительные параметры конфигурации.
Серьезность: высокий уровень
[предварительная версия] Образы контейнеров в реестре GCP должны иметь устраненные результаты уязвимостей
Описание: Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам.
Образы контейнеров реестра GCP рекомендаций должны быть устранены с результатами уязвимостей (на основе управления уязвимостями Microsoft Defender будут удалены, когда новая рекомендация общедоступна.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Серьезность: высокий уровень
Тип: оценка уязвимостей
[предварительная версия] Контейнеры, работающие в GCP, должны иметь устраненные результаты уязвимостей
Описание: Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам.
Новая рекомендация доступна в предварительной версии и не используется для вычисления оценки безопасности.
Примечание.
Начиная с 6 октября 2024 г. эта рекомендация была обновлена, чтобы сообщить только один контейнер для каждого корневого контроллера. Например, если cronjob создает несколько заданий, где каждое задание создает pod с уязвимым контейнером, рекомендация сообщает только один экземпляр уязвимых контейнеров в этом задании. Это изменение поможет удалить повторяющиеся отчеты для идентичных контейнеров, требующих одного действия для исправления. Если вы использовали эту рекомендацию до изменения, следует ожидать сокращения числа экземпляров этой рекомендации.
Для поддержки этого улучшения ключ оценки для этой рекомендации был обновлен до 1b3abfa4-9e53-46f1-9627-51f2957f8bba
. Если вы в настоящее время извлекают отчеты об уязвимостях из этой рекомендации через API, убедитесь, что вы обновляете вызов API, чтобы использовать новый ключ оценки.
Серьезность: высокий уровень
Тип: оценка уязвимостей
Кластеры GKE должны иметь расширение Microsoft Defender для Azure Arc
Описание. Расширение кластера Microsoft Defender предоставляет возможности безопасности для кластеров GKE. Это расширение собирает данные из кластера и его узлов для выявления уязвимостей и угроз безопасности. Расширение работает со службой Kubernetes с поддержкой дуги Azure. Узнайте больше о функциях безопасности Microsoft Defender для облака, предназначенных для контейнерных сред.
Серьезность: высокий уровень
Кластеры GKE должны иметь расширение Политика Azure
Описание: расширение Политика Azure для Kubernetes расширяет Gatekeeper версии 3, веб-перехватчик контроллера допуска для агента Open Policy (OPA), чтобы применять принудительное применение и защиту в кластерах в централизованном, согласованном режиме. Расширение работает со службой Kubernetes с поддержкой дуги Azure.
Серьезность: высокий уровень
Microsoft Defender для контейнеров должен быть включен в соединителях GCP
Описание. Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. Включите план контейнеров в соединителе GCP, чтобы обеспечить безопасность кластеров Kubernetes и устранить проблемы безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров.
Серьезность: высокий уровень
Функция автоматического восстановления кластера GKE должна быть включена
Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение". key: autoRepair, value: true
Серьезность: средний
Функция автоматического обновления кластера GKE должна быть включена
Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение". key: autoUpgrade, value: true
Серьезность: высокий уровень
Мониторинг кластеров GKE должен быть включен
Описание. Эта рекомендация определяет, должно ли свойство monitoringService кластера содержать расположение Cloud Monitoring, которое должно использоваться для записи метрик.
Серьезность: средний
Ведение журнала для кластеров GKE должно быть включено
Описание. Эта рекомендация оценивает, должно ли свойство logService кластера содержать расположение облачного ведения журнала, которое должно использоваться для записи журналов.
Серьезность: высокий уровень
Веб-панель мониторинга GKE должна быть отключена
Описание. Эта рекомендация оценивает поле kubernetesDashboard свойства addonsConfig для пары "ключ-значение", "отключено": false.
Серьезность: высокий уровень
Устаревшая авторизация должна быть отключена в кластерах GKE
Описание. Эта рекомендация оценивает свойство legacyAbac кластера для пары "ключ-значение": true.
Серьезность: высокий уровень
Авторизованные сети уровня управления должны быть включены в кластерах GKE
Описание. Эта рекомендация оценивает свойство masterAuthorizedNetworksConfig кластера для пары "ключ-значение": false.
Серьезность: высокий уровень
Кластеры GKE должны иметь диапазоны IP-адресов с поддержкой псевдонима
Описание. Эта рекомендация определяет, установлено ли для поля useIPAliases ipAllocationPolicy в кластере значение false.
Серьезность: низкая
Кластеры GKE должны включать частные кластеры
Описание. Эта рекомендация оценивает, имеет ли поле enablePrivateNodes свойства privateClusterConfig значение false.
Серьезность: высокий уровень
Политика сети должна быть включена в кластерах GKE
Описание. Эта рекомендация оценивает поле networkPolicy свойства addonsConfig для пары "ключ-значение", "отключено": true.
Серьезность: средний
Рекомендации по плоскости данных
Все рекомендации по безопасности плоскости данных Kubernetes поддерживаются для GCP после включения Политика Azure для Kubernetes.
Рекомендации по внешним реестрам контейнеров
[предварительная версия] Образы контейнеров в реестре Docker Hub должны иметь устраненные результаты уязвимостей
Описание: Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Устранение уязвимостей в образах контейнеров помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам».
Серьезность: высокий уровень
Тип: оценка уязвимостей
[предварительная версия] Образы контейнеров в реестре Jfrog Artifactory должны иметь устраненные результаты уязвимостей
Описание: Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Устранение уязвимостей в образах контейнеров помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам».
Серьезность: высокий уровень
Тип: оценка уязвимостей