Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese FAQ beantwortet häufig gestellte Fragen zur Gated-Bereitstellung in Microsoft Defender für Container. Gated-Bereitstellungen setzen Sicherheitsrichtlinien für Containerimages zur Bereitstellungszeit in unterstützten Kubernetes-Umgebungen durch, basierend auf den Ergebnissen von Überprüfungen auf Sicherheitsanfälligkeiten aus integrierten Containerregistrierungen.
Was ist die Gated-Bereitstellung?
Die Gated-Bereitstellung ist eine Sicherheitsfunktion, die Containerimages anhand definierter Sicherheitsregeln bewertet, bevor sie für einen Kubernetes-Cluster zugelassen werden.
Was ist der Unterschied zwischen dem Prüfmodus und dem Verweigerungsmodus?
| Modus | Verhalten |
|---|---|
| Überwachung | Ermöglicht die Bereitstellung, generiert aber Überwachungsereignisse für die Überprüfung. |
| Deny | Blockiert die Bereitstellung von Images, die gegen Sicherheitsregeln verstoßen |
Verwenden Sie den Überwachungsmodus für den anfänglichen Rollout, um die Auswirkungen zu bewerten. Der Verweigerungsmodus erzwingt die Richtlinie, indem die Bereitstellung nicht kompatibler Images verhindert wird.
Gibt es eine Standardregel?
Ja. Wenn Sie alle Voraussetzungen erfüllen, erstellt Defender für Container automatisch eine Standardüberwachungsregel, mit der Containerimages mit hohen oder kritischen Sicherheitsrisiken gekennzeichnet werden.
Was geschieht, wenn ich ein Image bereitstellen, bevor Scanergebnisse verfügbar sind?
Standardmäßig erfolgt keine Gated-Bereitstellung, wenn in der Containerregistrierung noch keine Überprüfungsergebnisse verfügbar sind. Das Image wird ohne Durchsetzung bereitgestellt. Sie können diese Einstellung während der Regelerstellung aktualisieren, um Bilder ohne Scanergebnisse zu blockieren.
Wo kann ich Regelauswertungen und Erzwingungsergebnisse anzeigen?
Alle Gated Deployment-Ereignisse werden in der Ansicht "Zulassungsüberwachung " in Defender für Cloud angezeigt. In der Ansicht werden Regelauswertungen, ausgelöste Aktionen und betroffene Ressourcen angezeigt.
So greifen Sie auf die Zulassungsüberwachung zu:
- Wechseln Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen.
- Wählen Sie die Kachel "Sicherheitsregeln" aus .
- Navigieren Sie im linken Navigationsbereich zur Ansicht "Zulassungsüberwachung ".
Erfahren Sie mehr über die Überwachung von Gated-Bereitstellungsereignissen.
Kann ich bestimmte CVEs oder Ressourcen ausnehmen?
Ja, Sie können Ausnahmen während der Regelerstellung konfigurieren. Zu den unterstützten Ausnahmetypen gehören:
- CVE
- Einsatz
- Bild
- Namespace
- Pod
- Registratur
- Repository
Ausnahmen können bereichs- und zeitgebunden sein.
Kann ich einen Ablauf für Ausnahmen festlegen?
Ja, das können Sie. Aktivieren Sie beim Erstellen einer Ausnahme den Umschalter "Time-bound " und wählen Sie ein Ablaufdatum aus. Die Ausnahme läuft am Ende des ausgewählten Tages automatisch ab.
Wirkt sich der Verweigerungsmodus auf die Bereitstellungsleistung aus?
Ja. Der Verweigerungsmodus kann aufgrund der Erzwingung von Echtzeitrichtlinien eine Verzögerung von 1 bis 2 Sekunden während der Bereitstellung einführen.
Kann ich Ausnahmen oder Regeln über API oder CLI verwalten?
Derzeit verwalten Sie die Gated-Bereitstellung über das Defender for Cloud-Portal. Sie erstellen Regeln und konfigurieren Ausnahmen über die Benutzeroberfläche.
Wird die Gated-Bereitstellung in Multicloud-Umgebungen unterstützt?
Ja, Gated Deployment unterstützt Azure-, AWS- und GCP-Cloudumgebungen und Kubernetes-Plattformen. Sie umfasst die Registrierungsintegration für die Überprüfung von Sicherheitsrisiken.
Verwandte Inhalte
Ausführlichere Anleitungen und Support finden Sie in der folgenden Dokumentation:
Übersicht: Gesteuerte Bereitstellung von Container-Images in einem Kubernetes-Cluster
Einführung in das Feature, seinen Wert und seine Funktionsweise.Aktivierungshandbuch: Konfigurieren von Gated-Bereitstellungen in Defender for Containers
Schrittweise Anleitungen für die Einarbeitung, Regelerstellung, Ausnahmen und Überwachung.Handbuch zur Problembehandlung: Gated Deployment and Developer Experience
Helfen Sie beim Beheben von Onboarding-Problemen, Bereitstellungsfehlern und beim Interpretieren von entwicklergerichteten Nachrichten.