Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender pour conteneurs prend en charge le déploiement contrôlé, qui applique des stratégies de sécurité d’image conteneur au moment du déploiement dans les environnements Kubernetes, notamment Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) et Google Kubernetes Engine (GKE). Le processus d'application utilise les résultats de l'analyse des vulnérabilités des registres de conteneurs pris en charge, notamment Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) et Google Artifact Registry.
Le déploiement contrôlé s’intègre au contrôleur d’admission Kubernetes pour garantir que seules les images conteneur qui répondent aux exigences de sécurité de votre organisation s’exécutent dans votre environnement Kubernetes. Il évalue les images conteneur par rapport aux règles de sécurité définies avant qu’elles ne soient admises dans le cluster, ce qui permet aux équipes de sécurité de bloquer les charges de travail vulnérables et de maintenir la conformité.
Avantages
- Empêche le déploiement d’images conteneur avec des vulnérabilités connues
- Applique des stratégies de sécurité en temps réel
- S’intègre aux workflows de gestion des vulnérabilités Defender pour cloud
- Prend en charge le déploiement par phases : démarrer en mode audit, puis passer au mode refus
Stratégie d’activation
De nombreux clients utilisent déjà le scanneur de vulnérabilité Microsoft Defender pour conteneurs. Le déploiement contrôlé repose sur cette base :
| Mode | Description |
|---|---|
| Audit | Permet au déploiement de continuer et de générer des événements d’admission pour les images vulnérables en violation des règles de sécurité |
| Deny | Bloque le déploiement d’images qui violent les règles de sécurité |
Démarrez en mode Audit pour évaluer l’impact, puis passez au mode Refuser pour appliquer des règles.
Fonctionnement
- Les règles de sécurité définissent des conditions telles que la gravité des CVE et des actions telles que l’audit ou le rejet.
- Le contrôleur d’admission évalue les images conteneur par rapport à ces règles.
- Lorsqu’une règle correspond, le système prend son action définie.
- Le contrôleur d’admission utilise les résultats de l’analyse des vulnérabilités des registres pris en charge par Defender for Cloud et est configuré pour analyser, comme ACR, ERC et Google Artifact Registry.
Fonctionnalités clés
- Utilisez la règle d’audit par défaut qui signale automatiquement les déploiements d’images avec des vulnérabilités élevées ou critiques sur des clusters éligibles
- Définissez des exemptions avec des délais définis et bien délimitées.
- Définissez des règles de manière granulaire par cluster, espace de noms, pod, ou image.
- Surveillez les événements d’admission via Defender pour Cloud.
Contenu connexe
Obtenez des conseils détaillés dans les articles suivants :
Guide d’activation : Configurer le déploiement contrôlé dans Defender pour conteneurs Instructions pas à pas pour l’intégration, la création de règles, les exemptions et la surveillance.
FAQ : Déploiement contrôlé dans Defender pour conteneurs
Réponses aux questions courantes sur le comportement et la configuration du déploiement contrôlé.Guide de résolution des problèmes : Déploiement contrôlé et Expérience développeur
Aidez à résoudre les problèmes d’intégration, les échecs de déploiement et l’interprétation des messages destinés aux développeurs.