Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette FAQ traite des questions courantes sur le déploiement contrôlé dans Microsoft Defender pour les conteneurs. Le déploiement contrôlé applique des stratégies de sécurité des images conteneur au moment du déploiement dans les environnements Kubernetes pris en charge, en fonction des résultats de l’analyse des vulnérabilités à partir des registres de conteneurs intégrés.
Qu’est-ce que le déploiement contrôlé ?
Le déploiement contrôlé est une fonctionnalité de sécurité qui évalue les images conteneur par rapport aux règles de sécurité définies avant qu’elles ne soient admises dans un cluster Kubernetes.
Quelle est la différence entre le mode audit et refus ?
| Mode | Comportement |
|---|---|
| Audit | Autorise le déploiement, mais génère des événements de surveillance pour révision |
| Deny | Bloque le déploiement d’images qui violent les règles de sécurité |
Utilisez le mode d’audit pour le déploiement initial pour évaluer l’impact. Le mode Refuser applique la stratégie en empêchant le déploiement d’images non conformes.
Existe-t-il une règle par défaut ?
Yes. Si vous remplissez toutes les conditions préalables, Defender pour conteneurs crée automatiquement une règle d’audit par défaut qui signale les images conteneur avec des vulnérabilités élevées ou critiques.
Que se passe-t-il si je déploie une image avant que les résultats de l’analyse soient disponibles ?
Par défaut, si les résultats de l’analyse ne sont pas encore disponibles dans le registre de conteneurs, le déploiement contrôlé ne s’applique pas. L’image se déploie sans contrainte. Vous pouvez mettre à jour ce paramètre lors de la création de règles pour bloquer les images sans résultats d’analyse.
Où puis-je afficher les évaluations des règles et les résultats d’application ?
Tous les événements de déploiement contrôlé s’affichent dans la vue Surveillance des admissions dans Defender pour cloud. La vue affiche les évaluations de règles, les actions déclenchées et les ressources affectées.
Pour accéder à la supervision des admissions :
- Accédez auxparamètres de l’environnement>.
- Sélectionnez la vignette Règles de sécurité .
- Accédez à l’affichage Surveillance des admissions dans le volet de navigation gauche.
En savoir plus sur la surveillance des événements de déploiement contrôlé.
Puis-je exclure des CVE ou des ressources spécifiques ?
Oui, vous pouvez configurer des exemptions lors de la création de la règle. Les types d’exemption pris en charge sont les suivants :
- CVE
- Déploiement
- Image
- Namespace
- Pod
- Registry
- Référentiel
Les exemptions peuvent être limitées et limitées dans le temps.
Puis-je définir une expiration pour les exemptions ?
Oui, c’est possible. Lors de la création d’une exemption, activez le bouton bascule lié à l’heure et sélectionnez une date d’expiration. L’exemption expire automatiquement à la fin du jour sélectionné.
Le mode Refus affecte-t-il les performances du déploiement ?
Yes. Le mode refus peut introduire un délai de 1 à 2 secondes pendant le déploiement en raison de l’application de la stratégie en temps réel.
Puis-je gérer des exemptions ou des règles via l’API ou l’interface CLI ?
Actuellement, vous gérez le déploiement contrôlé via le portail Defender pour cloud. Vous créez des règles et configurez des exemptions via l’interface utilisateur.
Le déploiement contrôlé est-il pris en charge dans les environnements multiclouds ?
Oui, Gated Deployment prend en charge les environnements cloud Azure, AWS et GCP et les plateformes Kubernetes. Il inclut l’intégration du Registre pour l’analyse des vulnérabilités.
Contenu connexe
Pour obtenir des conseils et un support plus détaillés, consultez la documentation suivante :
Vue d’ensemble : Déploiement contrôlé d’images conteneur sur un cluster Kubernetes
Présentation de la fonctionnalité, de sa valeur et de son fonctionnement.Guide d’activation : Configurer le déploiement contrôlé dans Defender pour conteneurs
Instructions pas à pas pour l’intégration, la création de règles, les exemptions et la surveillance.Guide de résolution des problèmes : Déploiement contrôlé et Expérience développeur
Aidez à résoudre les problèmes d’intégration, les échecs de déploiement et l’interprétation des messages destinés aux développeurs.