你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
查看 Docker 主机强化建议
Microsoft Defender for Cloud 会标识 IaaS Linux VM 上或运行 Docker 容器的其他 Linux 计算机上承载的非托管容器。 Defender for Cloud 持续评估这些容器的配置。 然后,它会将其与 Internet 安全中心 (CIS) 的 Docker 基准进行比较。
Defender for Cloud 包括 CIS Docker 基准的整个规则集,如果容器不满足任何控制要求,则发出警报。 Defender for Cloud 会在发现错误配置时生成安全建议。 使用 Defender for Cloud 的“建议”页来查看建议和修正问题。
发现漏洞时,它们会被分组到一个建议中。
注意
这些 CIS 基准检查不会在 AKS 托管实例或 Databricks 托管 VM 上运行。
可用性
方面 | 详细信息 |
---|---|
发布状态: | 正式发布版 (GA) |
定价: | 需要 Microsoft Defender for Servers 计划 2 |
所需角色和权限: | 主机连接到的工作区上的读取器 |
云: | 商用云 国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure) 连接的 AWS 帐户 |
识别和修正 Docker 配置中的安全漏洞
在 Defender for Cloud 的菜单中,打开“建议”页。
筛选到建议 应修正容器安全配置中的漏洞并选择建议。
建议页显示受影响的资源(Docker 主机)。
注意
未运行 Docker 的计算机将显示在“不适用的资源”选项卡中。它们将在 Azure Policy 中显示为“符合”。
若要查看和修正特定的故障主机的 CIS 控件,请选择要调查的主机。
提示
如果是从“资产清单”页开始并在那里获得此建议,请选择“建议”页上的“执行操作”按钮。
Log Analytics 随即打开,其中包含可运行的自定义操作。 默认自定义查询包括评估的所有失败规则的列表,以及有助于你解决问题的指南。
如有必要,请调整查询参数。
当确定命令适合主机使用时,请选择“运行”。
下一步
Docker 强化只是 Defender for Cloud 容器安全功能的一个方面。