Kapsayıcı güvenliği önerileri

Makale
08/15/2024

Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm kapsayıcı güvenliği önerileri listelenir.

Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.

İpucu

Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.

Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.

Azure kapsayıcı önerileri

Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Açıklama: Kubernetes için Azure İlkesi uzantısı, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulayacak şekilde genişletir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır

Açıklama: Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm denetim düzlemi (ana) düğümlerinden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Microsoft Defender arka ucuna gönderir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender profilini etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi eklentisi yüklü olmalıdır

Açıklama: Kubernetes için Azure İlkesi eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde ölçekli zorlamalar ve korumalar uygulamak üzere genişletir. Bulut için Defender, kümelerinizin içindeki güvenlik özelliklerini ve uyumluluğu denetlemek ve uygulamak için Eklenti gerektirir. Daha fazla bilgi edinin. Kubernetes v1.14.0 veya üzerini gerektirir. (İlgili ilke: Azure İlkesi Kubernetes hizmeti (AKS) eklentisinin kümelerinizde yüklü ve etkin olması gerekir.

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. (İlgili ilke: Azure Container Registry görüntülerindeki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözülmelidir (Qualys tarafından desteklenir)

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, güvenlik açıkları için kayıt defterinizi tarar ve her görüntü için ayrıntılı bulguları kullanıma sunar. Güvenlik açıklarını çözmek kapsayıcılarınızın güvenlik duruşunu büyük ölçüde geliştirebilir ve saldırılara karşı koruyabilir. (İlgili ilke: Azure Container Registry görüntülerindeki güvenlik açıkları düzeltilmelidir).

Değerlendirme anahtarı: dbd0cb49-b563-45e7-9724-889e799fa648

Tür: Güvenlik Açığı Değerlendirmesi

Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir)

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, yaygın olarak bilinen güvenlik açıkları (CVE) için kayıt defterinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözülmelidir - (Qualys tarafından desteklenir)

Açıklama: Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, Kubernetes kümelerinizde çalışan kapsayıcı görüntülerini güvenlik açıklarına karşı tarar ve her görüntü için ayrıntılı bulguları kullanıma sunar. Güvenlik açıklarını çözmek kapsayıcılarınızın güvenlik duruşunu büyük ölçüde geliştirebilir ve saldırılara karşı koruyabilir. (İlişkili ilke yok)

Değerlendirme anahtarı: 41503391-efa5-47ee-9282-4eff6131462c

Tür: Güvenlik Açığı Değerlendirmesi

Kapsayıcı CPU ve bellek sınırları zorunlu kılınmalıdır

Açıklama: CPU ve bellek sınırlarını zorunlu tutma, kaynak tükenme saldırılarını (hizmet reddi saldırısının bir biçimi) önler.

Çalışma zamanının kapsayıcının yapılandırılan kaynak sınırından daha fazlasını kullanmasını engellediğinden emin olmak için kapsayıcılar için sınırlar ayarlamanızı öneririz.

(İlgili ilke: Kapsayıcı CPU ve bellek kaynak sınırlarının Kubernetes kümesinde belirtilen sınırları aşmadığından emin olun).

Önem Derecesi: Orta

Tür: Kubernetes Veri düzlemi

Kapsayıcı görüntüleri yalnızca güvenilen kayıt defterlerinden dağıtılmalıdır

Açıklama: Kubernetes kümenizde çalışan görüntüler bilinen ve izlenen kapsayıcı görüntüsü kayıt defterlerinden gelmelidir. Güvenilen kayıt defterleri bilinmeyen güvenlik açıklarının, güvenlik sorunlarının ve kötü amaçlı görüntülerin kullanıma sunulması olasılığını sınırlayarak kümenizin maruz kalma riskini azaltır.

(İlgili ilke: Yalnızca Kubernetes kümesinde izin verilen kapsayıcı görüntüleri olduğundan emin olun).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

[Önizleme] Azure kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.

Öneri Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıklarının çözümlenmesi gerekir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) yeni öneri genel kullanıma sunulduğunda kaldırılır.

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

(Gerekirse etkinleştir) Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz . Müşteri tarafından yönetilen anahtarlara genel bakış. (İlgili ilke: Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir.

Önem Derecesi: Düşük

Tür: Kontrol düzlemi

Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir

Açıklama: Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgi için bkz . Genel IP ağ kurallarını yapılandırma ve Azure sanal ağında hizmet uç noktası kullanarak kapsayıcı kayıt defterine erişimi kısıtlama. (İlgili ilke: Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir).

Önem Derecesi: Orta

Tür: Kontrol düzlemi

Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. (İlgili ilke: Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Tür: Kontrol düzlemi

[Önizleme] Azure'da çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir

Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kayıt defteri görüntüleri için oluşturulan görüntülerle güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Not

6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak c5045ea3-afc6-4006-ab8f-86c8574dbf3dgüncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde değiştirdiğinizden emin olun.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Açıklama: Kapsayıcı dışında ayrıcalık yükseltmeye karşı koruma sağlamak için Kubernetes kümesindeki hassas konak ad alanlarına (konak işlem kimliği ve konak IPC) pod erişiminden kaçının. (İlgili ilke: Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kapsayıcılar yalnızca izin verilen AppArmor profillerini kullanmalıdır

Açıklama: Kubernetes kümelerinde çalışan kapsayıcılar yalnızca izin verilen AppArmor profilleriyle sınırlandırılmalıdır. AppArmor (Application Armor), bir işletim sistemini ve uygulamalarını güvenlik tehditlerine karşı koruyan bir Linux güvenlik modülüdür. Bunu kullanmak için sistem yöneticisi appArmor güvenlik profilini her programla ilişkilendirir. (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes veri düzlemi

Ayrıcalık yükseltmesi olan kapsayıcılardan kaçınılmalıdır

Açıklama: Kapsayıcılar, Kubernetes kümenizdeki köke ayrıcalık yükseltmesi ile çalışmamalıdır. AllowPrivilegeEscalation özniteliği, bir işlemin üst işleminden daha fazla ayrıcalık kazanıp kazanamayacağını denetler. (İlgili ilke: Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kubernetes hizmetlerindeki tanılama günlükleri etkinleştirilmelidir

Açıklama: Kubernetes hizmetlerinizde tanılama günlüklerini etkinleştirin ve bir yıla kadar tutun. Bu, güvenlik olayı oluştuğunda araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlişkili ilke yok)

Önem Derecesi: Düşük

Tür: Kontrol düzlemi

Kapsayıcılar için sabit (salt okunur) kök dosya sistemi zorunlu kılınmalıdır

Açıklama: Kapsayıcılar Kubernetes kümenizde salt okunur bir kök dosya sistemiyle çalıştırılmalıdır. Sabit dosya sistemi, PATH'e kötü amaçlı ikili dosyalar eklendiğinde kapsayıcıları çalışma zamanındaki değişikliklerden korur. (İlgili ilke: Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kubernetes API sunucusu kısıtlı erişimle yapılandırılmalıdır

Açıklama: Kümenize yalnızca izin verilen ağlardan, makinelerden veya alt ağlardan uygulamaların erişebildiğinden emin olmak için Kubernetes API sunucunuza erişimi kısıtlayın. Erişimi, yetkili IP aralıkları tanımlayarak veya ÖZEL Azure Kubernetes Service kümesi oluşturma bölümünde açıklandığı gibi API sunucularınızı özel kümeler olarak ayarlayarak kısıtlayabilirsiniz. (İlgili ilke: Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır).

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır

Açıklama: HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için (İlgili ilke: Kubernetes kümesinde HTTPS girişini zorunlu kılma) adresini ziyaret https://aka.ms/kubepolicydoc edin.

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır

Açıklama: Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerine karşı API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlgili ilke: Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Kubernetes kümeleri CAPSYSADMIN güvenlik özellikleri vermemelidir

Açıklama: Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kubernetes veri düzlemi

Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır

Açıklama: ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını engelleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. (İlgili ilke: Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır).

Önem Derecesi: Düşük

Tür: Kubernetes veri düzlemi

Kapsayıcılar için en az ayrıcalıklı Linux özellikleri zorunlu kılınmalıdır

Açıklama: Kapsayıcınızın saldırı yüzeyini azaltmak için Linux özelliklerini kısıtlayın ve kök kullanıcının tüm ayrıcalıklarını vermeden kapsayıcılara belirli ayrıcalıklar verin. Tüm özellikleri bırakmanızı ve gerekli olanları eklemenizi öneririz (İlgili ilke: Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Kapsayıcılar için Microsoft Defender etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. Bu bilgileri kullanarak güvenlik sorunlarını hızlı bir şekilde çözebilir ve kapsayıcılarınızın güvenlik düzeyini artırabilirsiniz.

Bu önerinin düzeltilmesi, Kubernetes kümelerinizi korumayla ilgili ücrete neden olur. Bu abonelikte kubernetes kümeniz yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir Kubernetes kümesi oluşturursanız, bu kümeler otomatik olarak korunur ve ücretler o zaman başlar. Kapsayıcılar için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Ayrıcalıklı kapsayıcılardan kaçınılmalıdır

Açıklama: Sınırsız konak erişimini önlemek için mümkün olduğunca ayrıcalıklı kapsayıcılardan kaçının.

Ayrıcalıklı kapsayıcılar, bir konak makinenin tüm kök özelliklerine sahiptir. Bunlar saldırılar için giriş noktaları olarak ve kötü amaçlı kod veya kötü amaçlı yazılımları güvenliği aşılmış uygulamalara, konaklara ve ağlara yaymak için kullanılabilir. (İlgili ilke: Kubernetes kümesinde ayrıcalıklı kapsayıcılara izin verme).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Rol Tabanlı Erişim Denetimi Kubernetes Services üzerinde kullanılmalıdır

Açıklama: Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. (İlgili ilke: Rol Tabanlı Erişim Denetimi (RBAC) Kubernetes Services üzerinde kullanılmalıdır.

Önem Derecesi: Yüksek

Tür: Kontrol düzlemi

Kapsayıcıları kök kullanıcı olarak çalıştırmaktan kaçınılmalıdır

Açıklama: Kapsayıcılar Kubernetes kümenizde kök kullanıcılar olarak çalışmamalıdır. Kapsayıcının içindeki kök kullanıcı olarak bir işlem çalıştırıldığında konakta kök olarak çalıştırılır. Bir güvenlik açığı varsa, saldırganın kökü kapsayıcıdadır ve yanlış yapılandırmalardan yararlanmak daha kolay hale gelir. (İlgili ilke: Kubernetes küme podları ve kapsayıcıları yalnızca onaylı kullanıcı ve grup kimlikleriyle çalıştırılmalıdır).

Önem Derecesi: Yüksek

Tür: Kubernetes Veri düzlemi

Hizmetler yalnızca izin verilen bağlantı noktalarını dinlemelidir

Açıklama: Kubernetes kümenizin saldırı yüzeyini azaltmak için, hizmetlerin yapılandırılmış bağlantı noktalarına erişimini sınırlayarak küme erişimini kısıtlayın. (İlgili ilke: Hizmetlerin yalnızca Kubernetes kümesindeki izin verilen bağlantı noktalarını dinlediğinden emin olun).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Konak ağı ve bağlantı noktalarının kullanımı kısıtlanmalıdır

Açıklama: Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. hostNetwork özniteliği etkin olarak oluşturulan podlar düğümün ağ alanını paylaşır. Kapsayıcının ağ trafiğini algılamasını önlemek için podlarınızı konak ağına yerleştirmemenizi öneririz. Düğümün ağında bir kapsayıcı bağlantı noktasını kullanıma sunmanız gerekiyorsa ve Kubernetes Service düğüm bağlantı noktası kullanmak gereksinimlerinizi karşılamıyorsa, diğer bir olasılık da pod belirtimindeki kapsayıcı için bir hostPort belirtmektir. (İlgili ilke: Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığını kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes veri düzlemi

Pod HostPath birim bağlamalarının kullanımı, güvenliği aşılmış kapsayıcılardan düğüm erişimini kısıtlamak için bilinen bir listeyle kısıtlanmalıdır

Açıklama: Kubernetes kümenizdeki pod HostPath birim bağlamalarını yapılandırılan izin verilen konak yollarıyla sınırlamanızı öneririz. Bir risk söz konusuysa kapsayıcılardan kapsayıcı düğümü erişimi kısıtlanmalıdır. (İlgili ilke: Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır).

Önem Derecesi: Orta

Tür: Kubernetes Veri düzlemi

AWS kapsayıcı önerileri

[Önizleme] AWS kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Öneri AWS kayıt defteri kapsayıcı görüntülerinin çözümlenen güvenlik açığı bulguları olmalıdır (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) yeni öneri genel kullanıma sunulduğundan kaldırılacaktır.

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

[Önizleme] AWS'de çalışan kapsayıcıların güvenlik açığı bulguları çözümlenmelidir

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Not

6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak 8749bb43-cd24-4cf9-848c-2a50f632043cgüncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde güncelleştirdiğinizden emin olun.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

EKS kümeleri Bulut için Microsoft Defender için gerekli AWS izinlerini vermelidir

Açıklama: Kapsayıcılar için Microsoft Defender, EKS kümeleriniz için koruma sağlar. Kümenizi güvenlik açıklarına ve tehditlere karşı izlemek için Kapsayıcılar için Defender'ın AWS hesabınız için izinlere ihtiyacı vardır. Bu izinler, kümenizde Kubernetes denetim düzlemi günlüğünü etkinleştirmek ve kümenizle buluttaki Bulut için Defender arka ucu arasında güvenilir bir işlem hattı oluşturmak için kullanılır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.

Önem Derecesi: Yüksek

EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır

Açıklama: Microsoft Defender'ın küme uzantısı , EKS kümeleriniz için güvenlik özellikleri sağlar. Uzantı, güvenlik açıklarını ve tehditleri belirlemek için kümeden ve düğümlerinden veri toplar. Uzantı, Azure Arc özellikli Kubernetes ile çalışır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.

Önem Derecesi: Yüksek

Aws bağlayıcılarında Kapsayıcılar için Microsoft Defender etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler hakkında uyarılar oluşturur. Kubernetes kümelerinin güvenliğini sağlamlaştırmak ve güvenlik sorunlarını düzeltmek için bu bilgileri kullanın.

Kapsayıcılar için Microsoft Defender'ı etkinleştirdiğinizde ve EKS kümelerinize Azure Arc dağıttığınızda korumalar ve ücretler başlar. Azure Arc'ı bir kümeye dağıtmazsanız Kapsayıcılar için Defender bunu korumaz ve bu küme için bu Microsoft Defender planı için ücret alınmaz.

Önem Derecesi: Yüksek

Veri düzlemi önerileri

Kubernetes için Azure İlkesi etkinleştirdikten sonra AWS için tüm Kubernetes veri düzlemi güvenlik önerileri desteklenir.

GCP kapsayıcı önerileri

Kapsayıcılar için Defender'ın gelişmiş yapılandırması GCP bağlayıcılarında etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Çözümün düzgün bir şekilde sağlandığından ve tüm özellikler kümesinin kullanılabilir olduğundan emin olmak için tüm gelişmiş yapılandırma ayarlarını etkinleştirin.

Önem Derecesi: Yüksek

[Önizleme] GCP kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Öneri GCP kayıt defteri kapsayıcı görüntüleri güvenlik açığı bulgularının çözümlenmesi gerekir (yeni öneri genel kullanıma sunulduğunda Microsoft Defender güvenlik açığı Yönetimi tarafından desteklenir.

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

[Önizleme] GCP'de çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir

Yeni öneri önizleme aşamasındadır ve güvenli puan hesaplaması için kullanılmaz.

Not

6 Ekim 2024'den itibaren bu öneri, her kök denetleyici için yalnızca tek bir kapsayıcı bildirecek şekilde güncelleştirildi. Örneğin, bir cronjob birden çok iş oluşturursa ve burada her iş savunmasız bir kapsayıcıya sahip bir pod oluşturursa, öneri yalnızca bu iş içindeki savunmasız kapsayıcıların tek bir örneğini bildirir. Bu değişiklik, düzeltme için tek bir eylem gerektiren özdeş kapsayıcılar için yinelenen raporlamanın kaldırılmasına yardımcı olur. Değişiklik öncesinde bu öneriyi kullandıysanız, bu önerinin örnek sayısında bir azalma beklemeniz gerekir.
Bu geliştirmeyi desteklemek için bu önerinin değerlendirme anahtarı olarak 1b3abfa4-9e53-46f1-9627-51f2957f8bbagüncelleştirildi. Şu anda api aracılığıyla bu öneriden güvenlik açığı raporlarını almaktaysanız, API çağrısını yeni değerlendirme anahtarını kullanacak şekilde güncelleştirdiğinizden emin olun.

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

GKE kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır

Açıklama: Microsoft Defender'ın küme uzantısı , GKE kümeleriniz için güvenlik özellikleri sağlar. Uzantı, güvenlik açıklarını ve tehditleri belirlemek için kümeden ve düğümlerinden veri toplar. Uzantı, Azure Arc özellikli Kubernetes ile çalışır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.

Önem Derecesi: Yüksek

GKE kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Önem Derecesi: Yüksek

Kapsayıcılar için Microsoft Defender GCP bağlayıcılarında etkinleştirilmelidir

Açıklama: Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Kubernetes kümelerinin güvenliğini sağlamlaştırmak ve güvenlik sorunlarını düzeltmek için GCP bağlayıcınızda Kapsayıcılar planını etkinleştirin. Kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin.

Önem Derecesi: Yüksek

GKE kümesinin otomatik onarım özelliği etkinleştirilmelidir

Açıklama: Bu öneri, anahtar-değer çifti key: autoRepair, value: trueiçin düğüm havuzunun yönetim özelliğini değerlendirir.

Önem Derecesi: Orta

GKE kümesinin otomatik yükseltme özelliği etkinleştirilmelidir

Açıklama: Bu öneri, anahtar-değer çifti key: autoUpgrade, value: trueiçin düğüm havuzunun yönetim özelliğini değerlendirir.

Önem Derecesi: Yüksek

GKE kümelerinde izleme etkinleştirilmelidir

Açıklama: Bu öneri, bir kümenin monitoringService özelliğinin, Bulut İzleme'nin ölçümleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.

Önem Derecesi: Orta

GKE kümeleri için günlüğe kaydetme etkinleştirilmelidir

Açıklama: Bu öneri, bir kümenin loggingService özelliğinin Bulut Günlüğü'ün günlükleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.

Önem Derecesi: Yüksek

GKE web panosu devre dışı bırakılmalıdır

Açıklama: Bu öneri, 'disabled': false anahtar-değer çifti için addonsConfig özelliğinin kubernetesDashboard alanını değerlendirir.

Önem Derecesi: Yüksek

GKE kümelerinde Eski Yetkilendirme devre dışı bırakılmalıdır

Açıklama: Bu öneri, 'enabled': true anahtar-değer çifti için bir kümenin legacyAbac özelliğini değerlendirir.

Önem Derecesi: Yüksek

GKE kümelerinde Denetim Düzlemi Yetkili Ağları etkinleştirilmelidir

Açıklama: Bu öneri, 'enabled': false anahtar-değer çifti için kümenin masterAuthorizedNetworksConfig özelliğini değerlendirir.

Önem Derecesi: Yüksek

GKE kümelerinde diğer ad IP aralıkları etkinleştirilmelidir

Açıklama: Bu öneri, bir kümedeki ipAllocationPolicy'nin useIPAliases alanının false olarak ayarlanıp ayarlanmadığını değerlendirir.

Önem Derecesi: Düşük

GKE kümelerinde Özel kümeler etkinleştirilmelidir

Açıklama: Bu öneri, privateClusterConfig özelliğinin enablePrivateNodes alanının false olarak ayarlanıp ayarlanmadığını değerlendirir.

Önem Derecesi: Yüksek

GKE kümelerinde ağ ilkesi etkinleştirilmelidir

Açıklama: Bu öneri, 'disabled': true anahtar-değer çifti için addonsConfig özelliğinin networkPolicy alanını değerlendirir.

Önem Derecesi: Orta

Veri düzlemi önerileri

Kubernetes için Azure İlkesi etkinleştirdikten sonra GCP için tüm Kubernetes veri düzlemi güvenlik önerileri desteklenir.

Dış kapsayıcı kayıt defterleri önerileri

[Önizleme] Docker Hub kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kapsayıcı görüntülerindeki güvenlik açıklarının düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve endüstri standartlarına uyumluluğu sağlar."

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

[Önizleme] Jfrog Artifactory kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir

Önem Derecesi: Yüksek

Tür: Güvenlik Açığı Değerlendirmesi

Aracılığıyla paylaş

Kapsayıcı güvenliği önerileri

Azure kapsayıcı önerileri

AWS kapsayıcı önerileri

Veri düzlemi önerileri

GCP kapsayıcı önerileri

Veri düzlemi önerileri

Dış kapsayıcı kayıt defterleri önerileri

İlgili içerik

Geri Bildirim

Ek kaynaklar