Aracılığıyla paylaş

Kapsayıcılar için Defender'da kademeli dağıtımı etkinleştirme

Bu makalede Kapsayıcılar için Microsoft Defender ile Kubernetes kümeleri için geçitli dağıtımı etkinleştirme ve yapılandırma işlemleri gösterilmektedir.

Kontrollü dağıtım, Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) ve Google Artifact Registry gibi desteklenen kayıt defterlerinden gelen güvenlik açığı tarama sonuçlarını kullanarak dağıtım sırasında kapsayıcı görüntü güvenliği ilkelerini uygular. Küme bunları kabul etmeden önce görüntüleri değerlendirmek için Kubernetes erişim denetleyicisiyle birlikte çalışır.

Önkoşullar

Gereksinim Ayrıntılar
Defender tasarımı Kapsayıcılar için Defender'ı hem kapsayıcı kayıt defterinde hem de Kubernetes kümesi aboneliklerinde/hesaplarında etkinleştirin.
Önemli: Kapsayıcı kayıt defteriniz ve Kubernetes kümeniz farklı Azure aboneliklerinde (veya AWS hesaplarında/GCP projelerinde) bulunuyorsa, kapsayıcılar için Defender planını ve her iki bulut hesabında da ilgili uzantıları etkinleştirmeniz gerekir.
Uzantıları planlama Defender Algılayıcısı, Güvenlik Geçitleri, Güvenlik Bulguları ve Kayıt Defteri Erişimi.
Kapsayıcılar için Defender plan ayarında bu plan uzantılarını etkinleştirin veya devre dışı bırakın. Yeni Container için Defender ortamlarında varsayılan olarak etkinleştirilmiştir.
Kubernetes küme desteği AKS, EKS, GKE - sürüm 1.31 veya üzeri.
Kayıt defteri desteği Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) veya Google Artifact Registry kullanın.
Permissions Güvenlik Yöneticisi veya daha yüksek kiracı izniyle geçitli dağıtım ilkeleri oluşturun veya değiştirin. Bunları Security Reader veya daha yüksek düzeyde kiracı izni ile görüntüleyin.

Geçitli dağıtımı etkinleştirme ve güvenlik kuralı oluşturma

1. Adım: Gerekli plan uzantılarını etkinleştirme

  1. Bulut >Ortam Ayarları'na gidin.

  2. İlgili aboneliği, AWS hesabını veya GCP projesini seçin.

  3. Ayarlar ve İzleme altında bu seçenekleri açın:

    • Defender Algılayıcısı
      • Güvenlik Geçişi
    • Kayıt Defteri Erişimi
      • Güvenlik Bulguları

Microsoft Defender for Cloud'da etkin durumdaki anahtarları gösteren Ortam Ayarları'nın ekran görüntüsü.

2. Adım: Güvenlik kurallarına erişme

  1. Ortam Ayarları'ndaGüvenlik Kuralları kutucuğuna gidin.

    Bulut için Microsoft Defender'da Güvenlik Açığı Değerlendirmesi sekmesini içeren Güvenlik Kuralları bölmesinin ekran görüntüsü.

  2. Güvenlik Açığı Değerlendirmesi sekmesini seçin.

    Güvenlik Kuralları Güvenlik Açığı Değerlendirmesi'nin ekran görüntüsü.

3. Adım: Yeni kural oluşturma

Uyarı

Varsayılan olarak, Defender planlarını ve gerekli uzantıları etkinleştirdikten sonra portal, yüksek veya kritik güvenlik açıklarına sahip görüntülere bayrak ekleyen bir denetim kuralı oluşturur.

  1. Kural Ekle'yi seçin.
  2. Aşağıdaki alanları doldurun:
Alan Açıklama
Kural Adı Kural için benzersiz bir ad
Eylem Denetim veya Reddet'i seçin
Kapsam Adı Kapsam için bir etiket
Bulut Kapsamı Azure Aboneliği, AWS Hesabı veya GCP Projesi'ne tıklayın
Kaynak Kapsamı Küme, Ad Alanı, Pod, Dağıtım, Görüntü, Etiket Seçici arasından seçim yapın
Eşleştirme Ölçütü Eşittir, İle Başlar, İle Biter, İçerir, Eşit Değildir'den seçim yapın

Kural oluşturma sihirbazı – temel yapılandırma ekran görüntüsü.

4. Adım: Koşulları tanımlama

Tarama Yapılandırmaları'nın altında şunları belirtin:

  • Kural Koşullarını Tetikleme: Güvenlik açığı önem düzeylerini veya belirli CVE kimliklerini seçin

Koşul türleri ve muafiyetler içeren Kural yapılandırma panelinin ekran görüntüsü.

5. Adım: Muafiyetleri tanımlama

Muafiyetler, güvenilen kaynakların erişim kontrol kurallarını bypass etmesine olanak sağlar.

Desteklenen muafiyet türleri

Türü Açıklama
CVE Belirli güvenlik açığı kimliği
Dağıtım Hedeflenen dağıtım
Resim Belirli görüntü özeti
Namespace Kubernetes ad alanı
Pod Belirli pod
Registry Container kayıt defteri
Depo Görüntü deposu

Eşleşen ölçütler

  • Eşittir
  • Şununla Başlar:
  • Şununla biter:
  • İçerir

Zamana bağlı yapılandırma

State Davranış
Varsayılan Dışlama süresizdir
Zaman Kısıtlı Etkinleştirildi Bir tarih seçici görüntülenir. Dışlamanın süresi seçilen günün sonunda doluyor

Kural oluşturma sırasında muafiyetleri yapılandırın. Bu kurallar denetim ve reddetme kuralları için geçerlidir.

Zamana bağlı açma-kapama düğmesine sahip muafiyet yapılandırma panelinin ekran görüntüsü.

6. Adım: Sonlandırma ve kaydetme

  1. Kural yapılandırmasını gözden geçirin.
  2. Kuralı kaydetmek ve etkinleştirmek için Kural Ekle'yi seçin.

Reddetme Modu Yapılandırması

Reddetme modu, gerçek zamanlı ilke zorlaması nedeniyle dağıtımlar sırasında bir veya iki saniyelik bir gecikmeye neden olabilir. Eylem olarak Reddet'i seçtiğinizde bir bildirim görüntülenir.

Reddetme modu seçildiğinde gösterilen araç ipucunun ekran görüntüsü.

Erişim izleme

Defender for Cloud'daki Erişim İzleme görünümünde Kontrollü Dağıtım olayları görüntülenir. Bu görünüm kural değerlendirmelerine, tetiklenen eylemlere ve etkilenen kaynaklara görünürlük sağlar. Kubernetes kümelerinizde Denetim ve Reddetme kararlarını izlemek için bu görünümü kullanın.

Kural değerlendirmelerini ve eylemleri gösteren Giriş İzleme görünümünün ekran görüntüsü.

Olay ayrıntılarını görüntüleme

Belirli bir kabul olayını araştırmak için listeden seçin. Aşağıdakilerin gösterildiği ayrıntılar bölmesi açılır:

  • Zaman damgası ve kabul eylemi: Olayın ne zaman oluştuğu ve izin verilip verilmediği
  • Tetikleyici ayrıntıları: Kapsayıcı görüntüsü özeti, algılanan ihlaller ve tetiklenen kural adı
  • İlke açıklaması: Güvenlik açığı değerlendirme ilkesi ve değerlendirme için kullanılan ölçütler
  • Kural yapılandırma anlık görüntüsü: Uygulanan belirli koşullar ve muafiyetler

Tetikleyici bilgilerini, ilke açıklamasını ve kural yapılandırmasını gösteren erişim olayı ayrıntıları bölmesinin ekran görüntüsü.

Kural tasarımı için en iyi yöntemler

  • Reddetme modunu zorlamadan önce etkiyi izlemek için Denetim modu ile başlayın.
  • Yanlış pozitif sonuçları azaltmak için kapsam kurallarını dar bir şekilde belirleyin (örneğin, ad alanına veya dağıtıma göre).
  • Gözetim sağlarken kritik iş akışlarının engelini kaldırmak için zamana bağlı muafiyetleri kullanın.
  • Zorlama stratejisini iyileştirmek için Erişim İzleme görünümünde kural etkinliğini düzenli olarak gözden geçirin.

Geçitli Dağıtım güvenlik kuralını devre dışı bırakma veya silme

  • Geçitli Dağıtım güvenlik kuralını devre dışı bırakma

    • Bulut için Microsoft Defender Ortam Ayarları bölmesinde Güvenlik Kuralları'nı seçin.
    • Tanımlı Geçitli Dağıtım güvenlik kurallarının listesini görüntülemek için Güvenlik Açığı Değerlendirmesi'ne tıklayın.
    • Bir güvenlik kuralı seçin ve ardından Devre dışı bırak'ı seçin.

  • Geçitli Dağıtım güvenlik kuralını silme

    • Bulut için Microsoft Defender Ortam Ayarları bölmesinde Güvenlik Kuralları'nı seçin.
    • Tanımlı güvenlik kurallarının listesini görüntülemek için Güvenlik Açığı Değerlendirmesi'ne tıklayın.
    • Bir güvenlik kuralı seçin ve ardından Sil'i seçin.

İlgili içerik

Daha ayrıntılı rehberlik ve destek için aşağıdaki belgelere bakın:

  • Last updated on