Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kapsayıcılar için Microsoft Defender, Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) ve Google Kubernetes Engine (GKE) dahil olmak üzere Kubernetes ortamlarında dağıtım esnasında kapsayıcı görüntüsü güvenlik ilkelerini zorlayan şartlı dağıtımı destekler. Zorlama, Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) ve Google Artifact Registry gibi desteklenen kapsayıcı kayıt defterlerinden gelen güvenlik açığı tarama sonuçlarını kullanır.
Gated dağıtım, yalnızca kuruluşunuzun güvenlik gereksinimlerini karşılayan kapsayıcı görüntülerinin Kubernetes ortamınızda çalışmasını sağlamak için Kubernetes kabul denetleyicisi ile entegrasyon sağlar. Kapsayıcı görüntülerini kümeye kabul edilmeden önce tanımlı güvenlik kurallarına göre değerlendirir ve güvenlik ekiplerinin güvenlik açığı bulunan iş yüklerini engellemesine ve uyumluluğu sürdürmesine olanak tanır.
Fayda -ları
- Kapsayıcı görüntülerinin bilinen güvenlik açıklarıyla dağıtılmasını engeller
- Güvenlik ilkelerini gerçek zamanlı olarak uygular
- Bulut için Defender güvenlik açığı yönetimi iş akışlarıyla tümleşir
- Aşamalı dağıtımı destekler: Denetim modunda başlayın, ardından reddetme moduna geçin
Etkinleştirme stratejisi
Birçok müşteri zaten Kapsayıcılar için Microsoft Defender güvenlik açığı tarayıcısını kullanıyor. Bu temel üzerinde kontrollü dağıtım geliştirilir:
| Mod | Açıklama |
|---|---|
| Audit | Dağıtımın devam etmesi için izin verir ve güvenlik kurallarını ihlal eden güvenlik açığı olan görüntüler için erişim olayları oluşturur |
| Deny | Güvenlik kurallarını ihlal eden görüntülerin dağıtımını engeller |
Etkiyi değerlendirmek için Denetim modunda başlayın, ardından kuralları zorunlu kılmak için Reddetme moduna geçin.
Nasıl çalışır?
- Güvenlik kuralları CVE önem derecesi gibi koşulları ve denetim veya reddetme gibi eylemleri tanımlar.
- Erişim denetleyicisi kapsayıcı görüntülerini bu kurallara göre değerlendirir.
- Bir kural eşleştiğinde, sistem tanımlı eylemini alır.
- Erişim denetleyicisi, Bulut için Defender'ın desteklediği ve ACR, ECR ve Google Artifact Registry gibi tarama için yapılandırılan kayıt defterlerinden gelen güvenlik açığı tarama sonuçlarını kullanır.
Temel özellikler
- Uygun kümelerde görüntü dağıtımlarını Yüksek veya Kritik güvenlik açıklarıyla otomatik olarak işaretleyen varsayılan Denetim kuralını kullanın
- Zamana bağlı, kapsamlı muafiyetler ayarlayın.
- Küme, ad alanı, pod veya görüntüye göre kuralları ayrıntılı olarak hedefleyin.
- Bulut için Defender aracılığıyla erişim olaylarını izleyin.
İlgili içerik
Aşağıdaki makalelerde ayrıntılı yönergeler alın:
Etkinleştirme Kılavuzu: Kapsayıcılar için Defender'da Geçitli Dağıtımı Yapılandırma Katılım, kural oluşturma, muafiyetler ve izleme için adım adım yönergeler.
SSS: Kapsayıcılar için Defender'da geçitli dağıtım
Geçitli dağıtım davranışı ve yapılandırması hakkında sık sorulan müşteri sorularının yanıtları.Sorun Giderme Kılavuzu: Geçitli Dağıtım ve Geliştirici Deneyimi
Ekleme sorunlarını, dağıtım hatalarını ve geliştiriciye yönelik iletileri yorumlamayı çözme yardımı.