Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a solucionar problemas comunes al configurar o usar la implementación controlada en Kubernetes con Microsoft Defender para contenedores.
El despliegue controlado aplica políticas de seguridad de imágenes de contenedor en el momento del despliegue en función de los resultados del análisis de vulnerabilidades de los registros de contenedores compatibles. Se integra con el controlador de admisión de Kubernetes para comprobar las imágenes antes de que entren en el clúster.
Problemas de incorporación y configuración
Problema: La implementación cerrada no está activa después de habilitar Defender para contenedores
Causas posibles:
- Las extensiones de plan necesarias están deshabilitadas
- El sensor de Defender está deshabilitado o no se aprovisiona en el clúster
- La versión del clúster de Kubernetes es anterior a la 1.31
- El plan de Defender para contenedores o las extensiones pertinentes (extensiones de Acceso al Registro o Hallazgos de Seguridad) están deshabilitadas en el ámbito del registro de contenedores.
Resolución:
Confirme que los siguientes conmutadores están habilitados en el plan de Defender for Containers:
- Sensor de Defensa
- Canalización de seguridad
- Acceso al Registro
- Conclusiones de seguridad
Asegúrese de que el clúster de Kubernetes ejecuta la versión 1.31 o posterior.
Para Azure: compruebe que el clúster tiene acceso al registro de contenedor (ACR) y que la autenticación de Id. de Microsoft Entra está configurada. En el caso de los clústeres de AKS, asegúrese de que el clúster cuente con una identidad kubelet y de que la cuenta de servicio del pod del controlador de admisión se incluya en las credenciales federadas de la identidad kubelet.
Problema: la regla de seguridad no se activa
Causas posibles:
- El ámbito de regla no coincide con el recurso implementado.
- No se cumplen las condiciones de CVE.
- La imagen se despliega antes de que estén disponibles los resultados del escaneo.
Resolución:
Compruebe el ámbito de la regla y los criterios de coincidencia.
Compruebe que la imagen tiene vulnerabilidades que coincidan con las condiciones de regla.
Asegúrese de que la imagen está en un registro de contenedor compatible. El registro debe pertenecer a una suscripción, una cuenta o un proyecto con acceso al registro y resultados de seguridad habilitados.
Asegúrese de que Defender for Cloud examina la imagen antes de la implementación. Si no es así, no se aplica la canalización.
Nota:
Defender for Containers escanea una imagen en un registro de contenedores compatible unas horas después del evento inicial de carga. Para obtener más información sobre los desencadenantes de escaneo, consulte Evaluaciones de vulnerabilidades para entornos compatibles con Defender para contenedores.
Problema: Exclusión no aplicada
Causas posibles:
- El ámbito de exclusión no coincide con el recurso.
- La exclusión expiró.
- Los criterios de coincidencia están mal configurados.
Resolución:
- Revise la configuración de exclusión al crear la regla.
- Confirme que la exclusión sigue activa.
- Compruebe que el recurso (como la imagen, el pod o el espacio de nombres) coincide con los criterios de exclusión.
Experiencia del desarrollador e integración de CI/CD
La implementación canalizada aplica directivas durante la implementación. Es posible que vea mensajes o comportamientos específicos al implementar imágenes de contenedor.
Mensajes comunes para desarrolladores
| Escenario | Mensaje |
|---|---|
| Imagen bloqueada debido a CVE | Error del servidor: webhook de admisión "defender-admission-controller.kube-system.svc" denied the request: mcr.microsoft.com/mdc/dev/defender-admission-controller/test-images:one-high:Image contains 2 high or higher CVEs, which is more than the allowed count of: 0” |
| Imagen bloqueada porque los resultados del escaneo no están disponibles | No se encontraron informes válidos sobre la respuesta de ratificación La política no permite las imágenes sin escanear |
| Imagen permitida pero supervisada (modo auditoría) | Solicitud de admisión permitida. Un examen de seguridad se ejecuta en segundo plano (modo auditoría). Más información: https://aka.ms/KubernetesDefenderAuditRule |
| Imagen permitida sin resultados de escaneo (modo de auditoría) | Solicitud de admisión permitida. Un examen de seguridad se ejecuta en segundo plano (modo auditoría). Más información: https://aka.ms/KubernetesDefenderAuditRule| |
Procedimientos recomendados para desarrolladores
- Analizar las imágenes antes de la implementación para evitar pasar por alto la canalización.
- Utilice el modo de auditoría durante el lanzamiento inicial para supervisar el impacto sin interrumpir.
- Coordinar con los equipos de seguridad para solicitar exclusiones cuando sea necesario.
- Consultar la vista de Supervisión de admisión para ver la evaluación y aplicación de reglas.
Contenido relacionado
Para obtener instrucciones detalladas y soporte técnico, consulte estos artículos:
Información general: Implementación controlada de imágenes de contenedor en un clúster de Kubernetes Introducción a la característica, su valor y cómo funciona
Guía de habilitación: Configuración de la implementación controlada para clústeres de Kubernetes Instrucciones paso a paso para la incorporación, creación de reglas, exclusiones y supervisión
Preguntas más frecuentes: Implementación controlada en Defender para contenedores Respuestas a preguntas comunes del cliente sobre el comportamiento y la configuración de la implementación controlada