Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à résoudre les problèmes courants lors de la configuration ou de l’utilisation d’un déploiement contrôlé dans Kubernetes avec Microsoft Defender pour conteneurs.
Le déploiement contrôlé applique des stratégies de sécurité des images conteneur au moment du déploiement en fonction des résultats de l’analyse des vulnérabilités provenant des registres de conteneurs pris en charge. Il s’intègre au contrôleur d’admission Kubernetes pour vérifier les images avant d’entrer dans le cluster.
Problèmes d’intégration et de configuration
Problème : Le déploiement contrôlé n’est pas actif après l’activation de Defender pour conteneurs
Causes possibles :
- Les extensions de plan requises sont désactivées
- Le capteur Defender est désactivé ou non approvisionné sur le cluster
- La version du cluster Kubernetes est antérieure à la version 1.31
- Le plan Defender for Containers ou les extensions pertinentes (extensions d'accès au registre ou de résultats de sécurité) sont désactivées dans la portée du registre de conteneurs
Résolution :
Vérifiez que les interrupteurs suivants sont activés dans le plan Defender for Containers :
- Capteur Defender
- Contrôle de sécurité
- Accès au Registre
- Constatations en matière de sécurité
Assurez-vous que votre cluster Kubernetes exécute la version 1.31 ou ultérieure.
Pour Azure : vérifiez que le cluster a accès au registre de conteneurs (ACR) et que l’authentification Microsoft Entra ID est configurée. Pour les clusters AKS, vérifiez que le cluster dispose d'une identité kubelet et que le compte de service du pod du contrôleur d'admission est inclus dans les informations d'identification fédérées de l'identité kubelet.
Problème : la règle de sécurité ne se déclenche pas
Causes possibles :
- L’étendue de la règle ne correspond pas à la ressource déployée.
- Les conditions CVE ne sont pas remplies.
- L’image se déploie avant que les résultats de l’analyse ne soient disponibles.
Résolution :
Vérifiez l’étendue de la règle et les critères correspondants.
Vérifiez que l’image présente des vulnérabilités qui correspondent aux conditions de la règle.
Vérifiez que l’image se trouve dans un registre de conteneurs pris en charge. Le Registre doit appartenir à un abonnement, un compte ou un projet avec l’accès au Registre et les résultats de sécurité activés.
Assurez-vous que Defender pour Cloud analyse l’image avant le déploiement. Si ce n’est pas le cas, le contrôle ne s’applique pas.
Note
Defender pour les conteneurs analyse une image dans un registre de conteneurs pris en charge, quelques heures après l'opération de push initiale. Pour plus d’informations sur les déclencheurs d’analyse, consultez Évaluations des vulnérabilités pour les environnements Defender pour les conteneurs pris en charge.
Problème : Exclusion non appliquée
Causes possibles :
- L’étendue d’exclusion ne correspond pas à la ressource.
- L’exclusion a expiré.
- Les critères correspondants sont mal configurés.
Résolution :
- Passez en revue la configuration d’exclusion lorsque vous créez la règle.
- Vérifiez que l’exclusion est toujours active.
- Vérifiez que la ressource (par exemple, image, pod ou espace de noms) correspond aux critères d’exclusion.
Expérience développeur et intégration CI/CD
Le déploiement contrôlé applique des stratégies lorsque vous procédez au déploiement. Vous pouvez voir des messages ou des comportements spécifiques lorsque vous déployez des images conteneur.
Messages courants pour les développeurs
| Scénario | Message |
|---|---|
| Image bloquée en raison de CVE | Erreur du serveur : le webhook d’admission « defender-admission-controller.kube-system.svc » a refusé la demande mcr.microsoft.com/mdc/dev/defender-admission-controller/test-images:one-high:Image qui contient 2 CVE élevés ou supérieurs, ce qui est supérieur au nombre autorisé de 0 » |
| Image bloquée, car les résultats de l’analyse sont manquants | Aucun rapport valide trouvé sur la réponse à la ratification Les images non numérisées ne sont pas autorisées par la politique |
| Image autorisée mais surveillée (mode audit) | Demande d’admission autorisée. Une analyse de sécurité s’exécute en arrière-plan (mode audit). En savoir plus : https://aka.ms/KubernetesDefenderAuditRule |
| Image autorisée sans résultats d’analyse (mode Audit) | Demande d’admission autorisée. Une analyse de sécurité s’exécute en arrière-plan (mode audit). En savoir plus : https://aka.ms/KubernetesDefenderAuditRule| |
Bonnes pratiques pour les développeurs
- Analysez les images avant le déploiement pour éviter de contourner le contrôle.
- Utilisez le mode d’audit pendant le déploiement initial pour surveiller l’impact sans bloquer.
- Coordonnez avec les équipes de sécurité pour demander des exclusions si nécessaire.
- Surveillez l’affichage Surveillance des admissions pour voir l’évaluation et l’application des règles.
Contenu connexe
Pour obtenir des conseils et un support détaillés, consultez les articles suivants :
Vue d’ensemble : Déploiement contrôlé d’images conteneur sur un cluster Kubernetes Présentation de la fonctionnalité, de sa valeur et de son fonctionnement
Guide d’activation : Configurer le déploiement contrôlé pour les clusters Kubernetes Instructions pas à pas pour l’intégration, la création de règles, les exclusions et la surveillance
FAQ : Déploiement contrôlé dans Defender pour conteneurs Réponses aux questions courantes sur le comportement et la configuration du déploiement contrôlé