網關部署是評估容器映像在部署至 Kubernetes 環境之前是否符合安全性規則資格的重要做法。
安全性規則會定義在已定義資源範圍內符合特定條件時要採取的動作。 封閉部署許可控制器會根據與資源範圍相關的安全性規則,檢查容器映像及其弱點發現成果。 許可控制者要採取的動作是由安全性規則所定義,而且可以 稽 核(部署和建立安全性警示以供檢閱),或 拒絕 (沒有部署並建立安全性警示以供檢閱)。
多個安全性規則可能會影響容器映像的部署。 所有安全性規則的條件都會從最嚴重到最不嚴重的弱點進行評估。 評估會在漏洞滿足的第一個條件時停止,並採取該安全性規則所指定的動作。
先決條件
| 層面 | 詳細資訊 |
|---|---|
| 必要的環境需求 | * 應啟用適用於容器的Defender方案。 * 必須在適用於容器的 Defender 方案底下,啟用 Azure 中的 Defender 感測器。 * 此功能目前僅適用於 Azure AKS 和 Azure ACR 。 * AKS 必須位於 1.31 版或更高版本,才能使用此功能。 |
| 必要角色和許可權 | * 訂用帳戶擁有者許可權。 * 叢集擁有者許可權 |
| 支援的雲端 | * 僅適用於 Azure、商業雲端 |
局限性
- 如果在執行 MDVM 弱點評估掃描之前部署映像,則不會套用任何檢查,映像將會被部署。
- Kubelet 身分識別需求: 若沒有 kubelet 身分識別,就無法將自動安裝套用至叢集。 由於缺少 Pod 身分識別支援,不支援使用服務主體而非身分識別的叢集。
- 登錄支援: 目前僅支援具有 Azure Active Directory(Azure AD) 驗證的登錄。 客戶必須啟用秘密存取。 可以使用ARM組態。
- OIDC 和工作負載身分識別: 在安裝期間,我們會在叢集上啟用 OpenID Connect (OIDC) 和工作負載身分識別,並將同盟認證新增至 kubelet 身分識別。
- 代理程序刪除: 不支援自動刪除代理程式(Tivan 和 Gating)。 Tivan 表示我們無法判斷我們是否已安裝代理程式,或是否已透過 CLI/ARM 安裝代理程式,因此我們不會將其刪除
- 多架構映像支援: 目前不支援多重架構映像。
後續步驟
- 瞭解如何啟用 閘道部署功能。
- 深入瞭解適用於 Cloud Defender 的 Defender 方案。
- 請參閱適用於容器的Defender的 常見問題 。