Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En estas preguntas más frecuentes se tratan preguntas comunes sobre la implementación controlada en Microsoft Defender para contenedores. La implementación controlada aplica políticas de seguridad de imágenes de contenedor durante la implementación en entornos de Kubernetes admitidos, basándose en los resultados del escaneo de vulnerabilidades de los repositorios de contenedores integrados.
¿Qué es la implementación controlada?
La implementación controlada es una característica de seguridad que evalúa las imágenes de contenedor con respecto a las reglas de seguridad definidas antes de que se admitan en un clúster de Kubernetes.
¿Cuál es la diferencia entre el modo de auditoría y denegación?
| Modo | Comportamiento |
|---|---|
| Auditoría | Permite la implementación, pero genera eventos de supervisión para su revisión |
| Deny | Bloquea la implementación de imágenes que infringen las reglas de seguridad |
Use el modo de auditoría para el lanzamiento inicial para evaluar el impacto. El modo de denegación aplica la directiva evitando la implementación de imágenes no compatibles.
¿Hay una regla predeterminada?
Sí. Si cumple todos los requisitos previos, Defender for Containers crea automáticamente una regla de auditoría predeterminada que marca las imágenes de contenedor con vulnerabilidades elevadas o críticas.
¿Qué ocurre si implemento una imagen antes de que los resultados del análisis estén disponibles?
De forma predeterminada, si los resultados del análisis aún no están disponibles en el registro de contenedores, el despliegue condicionado no se aplica. La imagen se implementa sin aplicación. Puede actualizar esta configuración al crear la regla para bloquear imágenes sin resultados de escaneo.
¿Dónde puedo ver las evaluaciones de reglas y los resultados de cumplimiento?
Todos los eventos de implementación controlada aparecen en la vista Supervisión de admisión en Defender for Cloud. En la vista se muestran las evaluaciones de reglas, las acciones desencadenadas y los recursos afectados.
Para acceder a la supervisión de admisión:
- Vaya aConfiguración del entorno de >.
- Seleccione el icono Reglas de seguridad .
- Acceda a la vista Supervisión de admisión en el panel de navegación de la izquierda.
Obtenga más información sobre la supervisión de eventos de implementación por puerta.
¿Puedo eximir CVE o recursos específicos?
Sí, puede configurar exenciones durante la creación de reglas. Entre los tipos de exención admitidos se incluyen:
- CVE
- Despliegue
- Imagen
- Namespace
- Pod
- Registro
- Repositorio
Las exenciones pueden estar delimitadas en alcance y tiempo.
¿Puedo establecer una expiración para las exenciones?
Sí, puede hacerlo. Al crear una exención, habilite el interruptor Con límite de tiempo y seleccione una fecha de caducidad. La exención expira automáticamente al final del día seleccionado.
¿Afecta el modo Deny al rendimiento de la implementación?
Sí. El modo de denegación puede introducir un retraso de 1 a 2 segundos durante la implementación debido a la aplicación de directivas en tiempo real.
¿Puedo administrar exenciones o reglas a través de la API o la CLI?
Actualmente, usted gestiona la implementación controlada a través del portal de Defender for Cloud. Puede crear reglas y configurar exenciones a través de la interfaz de usuario.
¿Se admite la implementación controlada en entornos multinube?
Sí, Gated Deployment admite entornos en la nube de Azure, AWS y GCP y plataformas de Kubernetes. Incluye la integración del registro para el examen de vulnerabilidades.
Contenido relacionado
Para obtener instrucciones y soporte técnico más detallados, consulte la siguiente documentación:
Descripción general: Despliegue controlado de imágenes de contenedor en un clúster de Kubernetes
Introducción a la característica, su valor y cómo funciona.Guía de habilitación: Configuración de la implementación controlada en Defender para contenedores
Instrucciones paso a paso para la incorporación, creación de reglas, exenciones y supervisión.Guía de solución de problemas: Implementación controlada y experiencia para desarrolladores
Ayuda a resolver problemas de incorporación, errores de implementación e interpretación de mensajes orientados al desarrollador.