Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Bulut için Microsoft Defender'de görebileceğiniz tüm kapsayıcı güvenliği önerileri listelenir.
Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır. Portalda kaynaklarınıza uygulanan önerileri görebilirsiniz.
İpucu
Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.
Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.
kapsayıcı önerilerini Azure
Azure Arc etkin Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır
Description: Kubernetes için Azure İlkesi uzantısı Gatekeeper v3, Open policy Agent (OPA) için bir erişim denetleyicisi web kancası, kümelerinizde merkezi ve tutarlı bir şekilde ölçekli zorlamalar ve korumalar uygular. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Azure Arc etkin Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır
Description: Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm denetim düzlemi (ana) düğümlerinden veri toplar ve daha fazla analiz için Microsoft Defender Kapsayıcılar arka ucu gönderir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Azure Kubernetes Service kümelerde Defender profili etkinleştirilmelidir
Description: kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender profilini etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender ile ilgili daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi eklentisi yüklü olmalıdır
Description: Kubernetes için Azure İlkesi eklentisi Gatekeeper v3, Open policy Agent (OPA) için bir erişim denetleyicisi web kancası, kümelerinizde merkezi ve tutarlı bir şekilde ölçeklendirilmiş zorlamalar ve korumalar uygulamak için. Bulut için Defender, kümelerinizin içindeki güvenlik özelliklerini ve uyumluluğu denetlemek ve uygulamak için Eklenti gerektirir. Daha fazla bilgi edinin. Kubernetes v1.14.0 veya üzerini gerektirir. (İlgili ilke: kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinize yüklenip etkinleştirilmelidir).
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözülmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)
Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. (İlgili ilke: Azure Container Registry görüntülerdeki Vulnerabiliteiteleri düzeltilmelidir).
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
kapsayıcı görüntülerini çalıştıran Azure güvenlik açıklarının çözümlenmesi gerekir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)
Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
Kapsayıcı CPU ve bellek sınırları zorunlu kılınmalıdır
Açıklama: CPU ve bellek sınırlarını zorunlu tutma, kaynak tükenme saldırılarını (hizmet reddi saldırısının bir biçimi) önler.
Çalışma zamanının kapsayıcının yapılandırılan kaynak sınırından daha fazlasını kullanmasını engellediğinden emin olmak için kapsayıcılar için sınırlar ayarlamanızı öneririz.
(İlgili ilke: Kapsayıcı CPU ve bellek kaynak sınırlarının Kubernetes kümesinde belirtilen sınırları aşmadığından emin olun).
Önem Derecesi: Orta
Tür: Kubernetes Veri düzlemi
Kapsayıcı görüntüleri yalnızca güvenilen kayıt defterlerinden dağıtılmalıdır
Açıklama: Kubernetes kümenizde çalışan görüntüler bilinen ve izlenen kapsayıcı görüntüsü kayıt defterlerinden gelmelidir. Güvenilen kayıt defterleri bilinmeyen güvenlik açıklarının, güvenlik sorunlarının ve kötü amaçlı görüntülerin kullanıma sunulması olasılığını sınırlayarak kümenizin maruz kalma riskini azaltır.
(İlgili ilke: Yalnızca Kubernetes kümesinde izin verilen kapsayıcı görüntüleri olduğundan emin olun).
Önem Derecesi: Yüksek
Tür: Kubernetes Veri düzlemi
[Önizleme] Azure kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
(Gerekirse etkinleştir) Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir
Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz . Müşteri tarafından yönetilen anahtarlara genel bakış. (İlgili ilke: Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir.
Önem Derecesi: Düşük
Tür: Kontrol düzlemi
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir
Description: Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Kapsayıcı Kayıt Defteri ağ kuralları hakkında daha fazla bilgi için bkz. Genel IP ağ kurallarını yapılandırma ve Azure sanal ağdaki bir hizmet uç noktasını kullanarak kapsayıcı kayıt defterine erişimi dağıtma. (İlgili ilke: Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir).
Önem Derecesi: Orta
Tür: Kontrol düzlemi
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır
Description: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlere bağlamanızı sağlar. Özel bağlantı platformu, tüketici ve hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: . (İlgili ilke: Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır).
Önem Derecesi: Orta
Tür: Kontrol düzlemi
[Önizleme] Azure'de çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kayıt defteri görüntüleri için oluşturulan görüntülerle güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Not
6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak güncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde değiştirdiğinizden emin olun.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
Hassas konak ad alanlarını paylaşan kapsayıcılardan kaçınılmalıdır
Açıklama: Kapsayıcı dışında ayrıcalık yükseltmeye karşı koruma sağlamak için Kubernetes kümesindeki hassas konak ad alanlarına (konak işlem kimliği ve konak IPC) pod erişiminden kaçının. (İlgili ilke: Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Kapsayıcılar yalnızca izin verilen AppArmor profillerini kullanmalıdır
Açıklama: Kubernetes kümelerinde çalışan kapsayıcılar yalnızca izin verilen AppArmor profilleriyle sınırlandırılmalıdır. AppArmor (Application Armor), bir işletim sistemini ve uygulamalarını güvenlik tehditlerine karşı koruyan bir Linux güvenlik modülüdür. Bunu kullanmak için sistem yöneticisi appArmor güvenlik profilini her programla ilişkilendirir. (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır).
Önem Derecesi: Yüksek
Tür: Kubernetes veri düzlemi
Ayrıcalık yükseltmesi olan kapsayıcılardan kaçınılmalıdır
Açıklama: Kapsayıcılar, Kubernetes kümenizdeki köke ayrıcalık yükseltmesi ile çalışmamalıdır. AllowPrivilegeEscalation özniteliği, bir işlemin üst işleminden daha fazla ayrıcalık kazanıp kazanamayacağını denetler. (İlgili ilke: Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Kubernetes hizmetlerindeki tanılama günlükleri etkinleştirilmelidir
Açıklama: Kubernetes hizmetlerinizde tanılama günlüklerini etkinleştirin ve bir yıla kadar tutun. Bu, güvenlik olayı oluştuğunda araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlişkili ilke yok)
Önem Derecesi: Düşük
Tür: Kontrol düzlemi
Kapsayıcılar için sabit (salt okunur) kök dosya sistemi zorunlu kılınmalıdır
Açıklama: Kapsayıcılar Kubernetes kümenizde salt okunur bir kök dosya sistemiyle çalıştırılmalıdır. Sabit dosya sistemi, PATH'e kötü amaçlı ikili dosyalar eklendiğinde kapsayıcıları çalışma zamanındaki değişikliklerden korur. (İlgili ilke: Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Kubernetes API sunucusu kısıtlı erişimle yapılandırılmalıdır
Açıklama: Kümenize yalnızca izin verilen ağlardan, makinelerden veya alt ağlardan uygulamaların erişebildiğinden emin olmak için Kubernetes API sunucunuza erişimi kısıtlayın. Yetkili IP aralıkları tanımlayarak veya API sunucularınızı Özel Azure Kubernetes Service kümesi oluşturma'da açıklandığı gibi özel kümeler olarak ayarlayarak erişimi kısıtlayabilirsiniz. (İlgili ilke: Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır).
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır
Açıklama: HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için (İlgili ilke: HTTPS girişini zorunlu kılma) adresini ziyaret edin.
Önem Derecesi: Yüksek
Tür: Kubernetes Veri düzlemi
Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır
Açıklama: Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerine karşı API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. . (İlgili ilke: Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır).
Önem Derecesi: Yüksek
Tür: Kubernetes Veri düzlemi
Kubernetes kümeleri CAPSYSADMIN güvenlik özellikleri vermemelidir
Açıklama: Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. . (İlişkili ilke yok)
Önem Derecesi: Yüksek
Tür: Kubernetes veri düzlemi
Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır
Açıklama: ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını engelleyin. Daha fazla bilgi için bkz. . (İlgili ilke: Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır).
Önem Derecesi: Düşük
Tür: Kubernetes veri düzlemi
Kapsayıcılar için en az ayrıcalıklı Linux özellikleri zorunlu kılınmalıdır
Açıklama: Kapsayıcınızın saldırı yüzeyini azaltmak için Linux özelliklerini kısıtlayın ve kök kullanıcının tüm ayrıcalıklarını vermeden kapsayıcılara belirli ayrıcalıklar verin. Tüm özellikleri bırakmanızı ve gerekli olanları eklemenizi öneririz (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir
Description: Kapsayıcılar için Microsoft Defender, Azure, karma ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. Bu bilgileri kullanarak güvenlik sorunlarını hızlı bir şekilde çözebilir ve kapsayıcılarınızın güvenlik düzeyini artırabilirsiniz.
Bu önerinin düzeltilmesi, Kubernetes kümelerinizi korumayla ilgili ücrete neden olur. Bu abonelikte kubernetes kümeniz yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir Kubernetes kümesi oluşturursanız, bu kümeler otomatik olarak korunur ve ücretler o zaman başlar. Kapsayıcılar için Microsoft Defender ile ilgili daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Ayrıcalıklı kapsayıcılardan kaçınılmalıdır
Açıklama: Sınırsız konak erişimini önlemek için mümkün olduğunca ayrıcalıklı kapsayıcılardan kaçının.
Ayrıcalıklı kapsayıcılar, bir konak makinenin tüm kök özelliklerine sahiptir. Bunlar saldırılar için giriş noktaları olarak ve kötü amaçlı kod veya kötü amaçlı yazılımları güvenliği aşılmış uygulamalara, konaklara ve ağlara yaymak için kullanılabilir. (İlgili ilke: Kubernetes kümesinde ayrıcalıklı kapsayıcılara izin verme).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Role-Based Access Control Kubernetes Services üzerinde kullanılmalıdır
Description: Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Kubernetes Hizmet Kümelerindeki izinleri yönetmek ve ilgili yetkilendirme ilkelerini yapılandırmak için Role-Based Access Control (RBAC) kullanın. (İlgili ilke: Role-Based Access Control (RBAC), Kubernetes Services) üzerinde kullanılmalıdır.
Önem Derecesi: Yüksek
Tür: Kontrol düzlemi
Kapsayıcıları kök kullanıcı olarak çalıştırmaktan kaçınılmalıdır
Açıklama: Kapsayıcılar Kubernetes kümenizde kök kullanıcılar olarak çalışmamalıdır. Kapsayıcının içindeki kök kullanıcı olarak bir işlem çalıştırıldığında konakta kök olarak çalıştırılır. Bir güvenlik açığı varsa, saldırganın kökü kapsayıcıdadır ve yanlış yapılandırmalardan yararlanmak daha kolay hale gelir. (İlgili ilke: Kubernetes küme podları ve kapsayıcıları yalnızca onaylı kullanıcı ve grup kimlikleriyle çalıştırılmalıdır).
Önem Derecesi: Yüksek
Tür: Kubernetes Veri düzlemi
Hizmetler yalnızca izin verilen bağlantı noktalarını dinlemelidir
Açıklama: Kubernetes kümenizin saldırı yüzeyini azaltmak için, hizmetlerin yapılandırılmış bağlantı noktalarına erişimini sınırlayarak küme erişimini kısıtlayın. (İlgili ilke: Hizmetlerin yalnızca Kubernetes kümesindeki izin verilen bağlantı noktalarını dinlediğinden emin olun).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Konak ağı ve bağlantı noktalarının kullanımı kısıtlanmalıdır
Açıklama: Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. hostNetwork özniteliği etkin olarak oluşturulan podlar düğümün ağ alanını paylaşır. Kapsayıcının ağ trafiğini algılamasını önlemek için podlarınızı konak ağına yerleştirmemenizi öneririz. Düğümün ağında bir kapsayıcı bağlantı noktasını kullanıma sunmanız gerekiyorsa ve Kubernetes Service düğüm bağlantı noktası kullanmak gereksinimlerinizi karşılamıyorsa, diğer bir olasılık da pod belirtimindeki kapsayıcı için bir hostPort belirtmektir. (İlgili ilke: Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığını kullanmalıdır).
Önem Derecesi: Orta
Tür: Kubernetes veri düzlemi
Pod HostPath birim bağlamalarının kullanımı, güvenliği aşılmış kapsayıcılardan düğüm erişimini kısıtlamak için bilinen bir listeyle kısıtlanmalıdır
Açıklama: Kubernetes kümenizdeki pod HostPath birim bağlamalarını yapılandırılan izin verilen konak yollarıyla sınırlamanızı öneririz. Bir risk söz konusuysa kapsayıcılardan kapsayıcı düğümü erişimi kısıtlanmalıdır. (İlgili ilke: Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır).
Önem Derecesi: Orta
Tür: Kubernetes Veri düzlemi
AWS kapsayıcı önerileri
[Önizleme] AWS kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
AWS kayıt defteri kapsayıcı görüntülerinin güvenlik açığı bulguları çözümlenmelidir
Açıklama: YAYGıN olarak bilinen güvenlik açıkları (CVE) için AWS kayıt defterleri kapsayıcı görüntülerinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
[Önizleme] AWS'de çalışan kapsayıcıların güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kayıt defteri görüntüleri için oluşturulan görüntülerle güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Not
6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak güncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde güncelleştirdiğinizden emin olun.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
Kapsayıcı görüntülerini çalıştıran AWS'de güvenlik açığı bulguları çözümlenmelidir
Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Elastik Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
EKS kümeleri Bulut için Microsoft Defender için gerekli AWS izinlerini vermelidir
Description: Kapsayıcılar için Microsoft Defender, EKS kümeleriniz için koruma sağlar. Kümenizi güvenlik açıklarına ve tehditlere karşı izlemek için Kapsayıcılar için Defender'ın AWS hesabınız için izinlere ihtiyacı vardır. Bu izinler, kümenizde Kubernetes denetim düzlemi günlüğünü etkinleştirmek ve kümenizle buluttaki Bulut için Defender arka ucu arasında güvenilir bir işlem hattı oluşturmak için kullanılır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır
Description: Microsoft Defender cluster uzantısı EKS kümeleriniz için güvenlik özellikleri sağlar. Uzantı, güvenlik açıklarını ve tehditleri belirlemek için kümeden ve düğümlerinden veri toplar. Uzantı, Azure Arc özellikli Kubernetes ile çalışır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
AWS bağlayıcılarında Kapsayıcılar için Microsoft Defender etkinleştirilmelidir
Description: Kapsayıcılar için Microsoft Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler hakkında uyarılar oluşturur. Kubernetes kümelerinin güvenliğini sağlamlaştırmak ve güvenlik sorunlarını düzeltmek için bu bilgileri kullanın.
Kapsayıcılar için Microsoft Defender etkinleştirdiğinizde ve EKS kümelerinize Azure Arc dağıttığınızda korumalar ve ücretler başlar. Bir kümeye Azure Arc dağıtmazsanız Kapsayıcılar için Defender bunu korumaz ve bu küme için bu Microsoft Defender planı için ücret uygulanmaz.
Önem Derecesi: Yüksek
Veri düzlemi önerileri
GCP kapsayıcı önerileri
Kapsayıcılar için Defender'ın gelişmiş yapılandırması GCP bağlayıcılarında etkinleştirilmelidir
Description: kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Çözümün düzgün bir şekilde sağlandığından ve tüm özellikler kümesinin kullanılabilir olduğundan emin olmak için tüm gelişmiş yapılandırma ayarlarını etkinleştirin.
Önem Derecesi: Yüksek
[Önizleme] GCP kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.
Öneri GCP kayıt defteri kapsayıcı görüntüleri güvenlik açığı bulgularının çözümlenmesi gerekir (Microsoft Defender güvenlik açığı Yönetimi tarafından desteklenir) yeni öneri genel kullanıma sunulduğunda kaldırılır.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
GCP kayıt defteri kapsayıcı görüntülerinin güvenlik açığı bulguları çözümlenmelidir
Açıklama: GCP kayıt defterleri kapsayıcı görüntülerinizi yaygın olarak bilinen güvenlik açıklarına (CVE) karşı tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
[Önizleme] GCP'de çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir
Not
Bu önizleme önerisi 13 Nisan 2026'da kullanımdan kaldırılacaktır. Kapsayıcı ve kapsayıcı görüntülerinin önizlemesinin kullanımdan kaldırılması güvenlik açığı önerileri
Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kayıt defteri görüntüleri için oluşturulan görüntülerle güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.
Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.
Not
6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak güncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde güncelleştirdiğinizden emin olun.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
Kapsayıcı görüntülerini çalıştıran GCP'de güvenlik açığı bulguları çözümlenmelidir
Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Şu anda Google Kubernetes kümelerinizde çalışan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
GKE kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır
Description: Microsoft Defender cluster uzantısı GKE kümeleriniz için güvenlik özellikleri sağlar. Uzantı, güvenlik açıklarını ve tehditleri belirlemek için kümeden ve düğümlerinden veri toplar. Uzantı, Azure Arc özellikli Kubernetes ile çalışır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
GKE kümelerinde Azure İlkesi uzantısı yüklü olmalıdır
Description: Kubernetes için Azure İlkesi uzantısı Gatekeeper v3, Open policy Agent (OPA) için bir erişim denetleyicisi web kancası, kümelerinizde merkezi ve tutarlı bir şekilde ölçekli zorlamalar ve korumalar uygular. Uzantı, Azure Arc özellikli Kubernetes ile çalışır.
Önem Derecesi: Yüksek
KAPSAYıCılar için Microsoft Defender GCP bağlayıcılarında etkinleştirilmelidir
Description: kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Kubernetes kümelerinin güvenliğini sağlamlaştırmak ve güvenlik sorunlarını düzeltmek için GCP bağlayıcınızda Kapsayıcılar planını etkinleştirin. Kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
GKE kümesinin otomatik onarım özelliği etkinleştirilmelidir
Açıklama: Bu öneri, anahtar-değer çifti için düğüm havuzunun yönetim özelliğini değerlendirir.
Önem Derecesi: Orta
GKE kümesinin otomatik yükseltme özelliği etkinleştirilmelidir
Açıklama: Bu öneri, anahtar-değer çifti için düğüm havuzunun yönetim özelliğini değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde izleme etkinleştirilmelidir
Açıklama: Bu öneri, bir kümenin monitoringService özelliğinin, Bulut İzleme'nin ölçümleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.
Önem Derecesi: Orta
GKE kümeleri için günlüğe kaydetme etkinleştirilmelidir
Açıklama: Bu öneri, bir kümenin loggingService özelliğinin Bulut Günlüğü'ün günlükleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.
Önem Derecesi: Yüksek
GKE web panosu devre dışı bırakılmalıdır
Açıklama: Bu öneri, 'disabled': false anahtar-değer çifti için addonsConfig özelliğinin kubernetesDashboard alanını değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde Eski Yetkilendirme devre dışı bırakılmalıdır
Açıklama: Bu öneri, 'enabled': true anahtar-değer çifti için bir kümenin legacyAbac özelliğini değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde Denetim Düzlemi Yetkili Ağları etkinleştirilmelidir
Açıklama: Bu öneri, 'enabled': false anahtar-değer çifti için kümenin masterAuthorizedNetworksConfig özelliğini değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde diğer ad IP aralıkları etkinleştirilmelidir
Açıklama: Bu öneri, bir kümedeki ipAllocationPolicy'nin useIPAliases alanının false olarak ayarlanıp ayarlanmadığını değerlendirir.
Önem Derecesi: Düşük
GKE kümelerinde Özel kümeler etkinleştirilmelidir
Açıklama: Bu öneri, privateClusterConfig özelliğinin enablePrivateNodes alanının false olarak ayarlanıp ayarlanmadığını değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde ağ ilkesi etkinleştirilmelidir
Açıklama: Bu öneri, 'disabled': true anahtar-değer çifti için addonsConfig özelliğinin networkPolicy alanını değerlendirir.
Önem Derecesi: Orta
Veri düzlemi önerileri
Kubernetes için tüm
Dış kapsayıcı kayıt defterleri önerileri
[Önizleme] Docker Hub kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kapsayıcı görüntülerindeki güvenlik açıklarının düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar."
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
[Önizleme] Jfrog Artifactory kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kapsayıcı görüntülerindeki güvenlik açıklarının düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve endüstri standartlarına uyumluluğu sağlar."
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
İlgili içerik
- Güvenlik önerileri hakkında bilgi edinin
- Güvenlik önerilerini gözden geçirme