你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
封闭式部署是一个重要做法,可确保仅根据安全规则定义将满足组织安全策略的容器映像部署到 Kubernetes 环境。 安全规则定义了在符合关联范围的某些条件时要执行的动作。 门控部署准入控制器会根据相关的安全规则来检查容器镜像及其漏洞发现工件。 本页介绍配置封闭部署允许控制器使用的安全规则的步骤。
先决条件
- 启用了 Defender for Containers 计划,并在该计划中启用了 Defender 传感器 和 安全性发现 扩展。
- 注册表访问扩展在 Defender for Containers 或 Defender CSPM 中启用。
- Kubernetes 群集有权访问用于将容器映像部署到群集的容器注册表。
注释
基于容器映像漏洞评估的 Azure Kubernetes 服务(AKS)目前提供封闭部署。
虽然满足先决条件时可以使用封闭部署,但必须使用门户中的安全规则向导激活预定义的安全规则,以便激活封闭部署。
创建封闭部署安全规则
为封闭部署配置安全规则
- 在“Microsoft Defender for Cloud 环境设置”窗格中选择“安全规则”。
- 选择 漏洞评估 以查看定义的安全规则列表。
配置漏洞评估安全规则
- 选择 “添加规则 ”并定义以下参数:
- 规则名称 - 用于标识此安全规则的名称
- 动作 - 满足安全规则条件时要采取的措施(审核 或 拒绝)
- 范围名称 - 用于标识此安全规则范围的名称
- 云范围 - 此安全规则应用到的云环境
- 资源范围 - 用于限制云范围中资源的条件,此安全规则将应用于
- 选择 “配置” 并定义以下内容:
- 添加条件类型 - 指定在容器映像中找到时触发操作的条件 - 可以是漏洞级别或特定的CVE ID。
- 添加允许的漏洞 - 指定不触发此安全规则操作的 CVE ID
- 选择“ 启用先决条件”。
- 查看先决条件后,选择 “添加规则”。
- 选择 “添加规则 ”并定义以下参数:
禁用或删除封闭部署安全规则
禁用封闭部署安全规则
- 在“Microsoft Defender for Cloud 环境设置”窗格中选择“安全规则”。
- 选择 漏洞评估 以查看定义的安全规则列表。
- 选择安全规则,然后选择“ 禁用”。
删除封闭部署安全规则
- 在“Microsoft Defender for Cloud 环境设置”窗格中选择“安全规则”。
- 选择 漏洞评估 以查看定义的安全规则列表。
- 选择安全规则,然后选择“ 删除”。