Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment activer et configurer le déploiement contrôlé pour les clusters Kubernetes avec Microsoft Defender pour conteneurs.
Le déploiement contrôlé applique des stratégies de sécurité des images conteneur pendant le déploiement à l’aide des résultats de l’analyse des vulnérabilités provenant des registres pris en charge - Azure Container Registry (ACR), Amazon Elastic Container Registry (ERC) et Google Artifact Registry. Il fonctionne avec le contrôleur d’admission Kubernetes pour évaluer les images avant que le cluster ne les admet.
Prerequisites
| Prérequis | Détails |
|---|---|
| Plan Defender | Activez Defender pour conteneurs sur le registre de conteneurs et les abonnements/comptes de cluster Kubernetes. Important : si votre registre de conteneurs et votre cluster Kubernetes résident dans différents abonnements Azure (ou comptes AWS/projets GCP), vous devez activer le plan Defender pour conteneurs et les extensions pertinentes sur les deux comptes cloud. |
| Planifier des extensions | Capteur Defender, Contrôle de sécurité, Constats de sécurité et accès au registre. Activez ou désactivez ces extensions de plan dans le paramètre de plan Defender pour conteneurs. Ils sont activés par défaut dans les nouveaux environnements Defender pour conteneurs. |
| Prise en charge du cluster Kubernetes | AKS, EKS, GKE - version 1.31 ou ultérieure. |
| Prise en charge du Registre | Utilisez Azure Container Registry (ACR), Amazon Elastic Container Registry (ERC) ou Google Artifact Registry. |
| Permissions | Créez ou modifiez des stratégies de déploiement contrôlées avec l’autorisation d’administrateur de sécurité ou d’un locataire supérieur. Affichez-les à l'aide d'une autorisation de locataire Lecteur de sécurité ou supérieure. |
Activer le déploiement contrôlé et créer une règle de sécurité
Étape 1 : Activer les extensions de plan requises
Accédez auxparamètres de l’environnement>.
Sélectionnez l’abonnement, le compte AWS ou le projet GCP approprié.
Sous Paramètres & Surveillance, activez ces bascules :
-
Capteur Defender
- Contrôle de sécurité
-
Accès au Registre
- Constatations en matière de sécurité
-
Capteur Defender
Étape 2 : Règles de sécurité d’accès
Dans Paramètres d’environnement, accédez à la vignette Règles de sécurité .
Sélectionnez l’onglet Évaluation des vulnérabilités .
Étape 3 : Créer une règle
Note
Par défaut, après avoir activé les plans Defender et les extensions requises, le portail crée une règle d’audit qui signale les images avec des vulnérabilités élevées ou critiques.
- Sélectionnez Ajouter une règle.
- Remplissez les champs suivants :
| Champ | Description |
|---|---|
| Nom de la règle | Nom unique de la règle |
| Action | Choisir Audit ou Refuser |
| Nom de l’étendue | Étiquette pour l'étendue |
| Étendue du cloud | Sélectionner un abonnement Azure, un compte AWS ou un projet GCP |
| Étendue des ressources | Choisir parmi le cluster, l’espace de noms, le pod, le déploiement, l’image, le sélecteur d’étiquette |
| Critères de correspondance | Sélectionnez parmi Égal à, Commence par, Se termine par, Contient, Différent de |
Étape 4 : Définir des conditions
Sous Configurations d’analyse, spécifiez :
- Conditions de règle de déclenchement : choisir des niveaux de gravité de vulnérabilité ou des ID CVE spécifiques
Étape 5 : Définir des exemptions
Les exemptions permettent aux ressources approuvées de contourner les règles de gestion.
Types d’exemption pris en charge
| Type | Description |
|---|---|
| CVE | ID de vulnérabilité spécifique |
| Déploiement | Déploiement ciblé |
| Image | Synthèse d’image spécifique |
| Namespace | Espace de noms Kubernetes |
| Pod | Pod spécifique |
| Registry | Registre de conteneurs |
| Référentiel | Référentiel d’images |
Critères de correspondance
- Est égal à
- Starts With
- Se termine par
- Contient
Configuration limitée dans le temps
| State | Comportement |
|---|---|
| Par défaut | L’exclusion est indéfinie |
| Time-Bound (associé à un délai) activé | Un sélecteur de dates s’affiche. L’exclusion expire à la fin du jour sélectionné |
Configurez les exemptions lors de la création d’une règle. Ils s’appliquent aux règles d’audit et de refus.
Étape 6 : Finaliser et enregistrer
- Passez en revue la configuration de la règle.
- Pour enregistrer et activer la règle, sélectionnez Ajouter une règle.
Configuration du mode refus
Le mode refus peut introduire un délai d’un ou deux secondes pendant les déploiements en raison de l’application de la stratégie en temps réel. Lorsque vous sélectionnez Refuser en tant qu’action, une notification s’affiche.
Surveillance des admissions
Les événements de déploiement contrôlé s’affichent dans la vue Surveillance des admissions dans Defender pour cloud. Cette vue fournit une visibilité sur les évaluations de règles, les actions déclenchées et les ressources affectées. Utilisez cette vue pour suivre les décisions d’audit et de refus sur vos clusters Kubernetes.
Afficher les détails de l’événement
Pour examiner un événement d’admission spécifique, sélectionnez-le dans la liste. Un volet d’informations s’ouvre et affiche :
- Horodatage et action d’admission : lorsque l’événement s’est produit et s’il a été autorisé ou refusé
- Détails du déclencheur : synthèse de l’image conteneur, violations détectées et nom de règle qui a été déclenché
- Description de la stratégie : stratégie et critères d’évaluation des vulnérabilités utilisés pour l’évaluation
- Instantané de configuration de règle : conditions et exemptions spécifiques appliquées
Meilleures pratiques pour la conception de règles
- Commencez par le mode Audit pour surveiller l’impact avant d’appliquer le mode Refus.
- Limitez les règles d’étendue (par exemple, par espace de noms ou déploiement) pour réduire les faux positifs.
- Utilisez des exemptions limitées dans le temps pour débloquer des flux de travail critiques tout en conservant la supervision.
- Examinez régulièrement l’activité des règles dans la vue Surveillance des admissions pour affiner la stratégie d’application.
Désactiver ou supprimer une règle de sécurité de déploiement contrôlé
Désactiver une règle de sécurité de déploiement contrôlé
- Sélectionnez Règles de sécurité dans le volet Paramètres de l’environnement Cloud de Microsoft Defender.
- Sélectionnez Évaluation des vulnérabilités pour afficher la liste des règles de sécurité de déploiement contrôlée définies.
- Sélectionnez une règle de sécurité, puis sélectionnez Désactiver.
Supprimer une règle de sécurité de déploiement contrôlé
- Sélectionnez Règles de sécurité dans le volet Paramètres de l’environnement Microsoft Defender pour le cloud.
- Sélectionnez Évaluation des vulnérabilités pour afficher la liste des règles de sécurité définies.
- Sélectionnez une règle de sécurité, puis sélectionnez Supprimer.
Contenu connexe
Pour obtenir des conseils et un support plus détaillés, consultez la documentation suivante :
Vue d’ensemble : Déploiement contrôlé d’images conteneur sur un cluster Kubernetes
Présentation de la fonctionnalité, de ses avantages, de ses fonctionnalités clés et de son fonctionnementFAQ : Déploiement contrôlé dans Defender pour conteneurs
Réponses aux questions courantes sur le comportement et la configuration du déploiement contrôléGuide de résolution des problèmes : Déploiement contrôlé et Expérience développeur
Aide à résoudre les problèmes d’intégration, les échecs de déploiement et l’interprétation des messages destinés aux développeurs