이 문서에서는 컨테이너용 Microsoft Defender를 사용하여 Kubernetes 클러스터에 대해 제어된 배포를 사용하도록 설정하고 구성하는 방법을 보여 줍니다.
제어된 배포는 ACR(Azure Container Registry), ECR(Amazon Elastic Container Registry) 및 Google Artifact Registry 등 지원되는 레지스트리의 취약성 검사 결과를 사용하여 배포하는 동안 컨테이너 이미지 보안 정책을 적용합니다. Kubernetes 허용 컨트롤러와 함께 작동하여 클러스터에서 허용하기 전에 이미지를 평가합니다.
필수 조건
| 요구 사항 | 세부 정보 |
|---|---|
| Defender 계획 | 컨테이너 레지스트리 및 Kubernetes 클러스터 구독/계정 모두에서 Defender for Containers를 사용하도록 설정합니다. 중요: 컨테이너 레지스트리 및 Kubernetes 클러스터가 서로 다른 Azure 구독(또는 AWS 계정/GCP 프로젝트)에 있는 경우 두 클라우드 계정 모두에서 Defender for Containers 계획 및 관련 확장을 사용하도록 설정해야 합니다. |
| 확장 계획 | Defender 센서, 보안 게이팅, 보안 결과, 레지스트리 액세스 Defender for Containers 계획 설정에서 이러한 계획 확장을 켜거나 끕니다. 새 Defender for Containers 환경에서 기본적으로 사용하도록 설정됩니다. |
| Kubernetes 클러스터 지원 | AKS, EKS, GKE - 버전 1.31 이상. |
| 레지스트리 지원 | ACR(Azure Container Registry), ECR(Amazon Elastic Container Registry) 또는 Google Artifact Registry를 사용합니다. |
| Permissions | 보안 관리자 이상의 테넌트 권한을 사용하여 제어된 배포 정책을 만들거나 변경합니다. 보안 뷰어 이상의 테넌트 권한으로 볼 수 있습니다. |
제어된 배포를 사용하도록 설정하고 보안 규칙 만들기
1단계: 필요한 플랜 확장 사용
클라우드 환경>설정으로 이동합니다.
관련 구독, AWS 계정 또는 GCP 프로젝트를 선택합니다.
설정 및 모니터링에서 다음 토글을 켭니다.
-
Defender 센서
- 보안 게이팅
-
레지스트리 액세스
- 보안 결과
-
Defender 센서
2단계: 보안 규칙 액세스
환경 설정에서 보안 규칙 타일로 이동합니다.
취약성 평가 탭을 선택합니다.
3단계: 새 규칙 만들기
비고
기본적으로 Defender 계획 및 필요한 확장을 사용하도록 설정한 후 포털은 높거나 중요한 취약성이 있는 이미지에 플래그를 지정하는 감사 규칙을 만듭니다.
- 규칙 추가를 선택합니다.
- 다음 필드를 입력합니다.
| 분야 | 설명 |
|---|---|
| 규칙 이름 | 규칙의 고유한 이름 |
| 조치 | 감사 또는 거부 선택 |
| 범위 이름 | 범위에 대한 레이블 |
| 클라우드 범위 | Azure 구독, AWS 계정 또는 GCP 프로젝트 선택 |
| 리소스 범위 | 클러스터, 네임스페이스, Pod, 배포, 이미지, 레이블 선택기 중에서 선택 |
| 일치 기준 | 같음, 시작 문자, 끝 문자, 포함, 같지 않음 중에서 선택 |
4단계: 조건 정의
검사 구성에서 다음을 지정합니다.
- 트리거 규칙 조건: 취약성 심각도 수준 또는 특정 CVE ID 선택
5단계: 예외 정의
예외를 사용하면 신뢰할 수 있는 리소스가 게이트 규칙을 무시할 수 있습니다.
지원되는 예외 유형
| 유형 | 설명 |
|---|---|
| CVE | 특정 취약성 ID |
| 배치 | 타겟팅된 배포 |
| 이미지 | 특정 이미지 다이제스트 |
| 네임스페이스 | Kubernetes 네임스페이스 |
| 포드 | 특정 Pod |
| Registry | 컨테이너 레지스트리 |
| 저장소 | 이미지 리포지토리 |
일치 조건
- 같음
- 다음 값으로 시작
- 로 끝남
- 포함
시간 제한 구성
| 시스템 상태 | 동작 |
|---|---|
| Default | 제외는 무기한입니다. |
| 시간 제한 사용 | 날짜 선택기가 나타납니다. 제외는 선택한 날짜가 끝나면 만료됩니다. |
규칙을 만드는 동안 예외를 구성합니다. 감사 및 거부 규칙에 이것들이 적용됩니다.
6단계: 완료 및 저장
- 규칙 구성을 검토합니다.
- 규칙을 저장하고 활성화하려면 규칙 추가를 선택합니다.
거부 모드 구성
거부 모드는 실시간 정책 적용으로 인해 배포 중에 1초 또는 2초 지연이 발생할 수 있습니다. 거부를 작업으로 선택하면 알림이 나타납니다.
허용 모니터링
제어된 배포 이벤트는 Defender for Cloud의 허용 모니터링 보기에 표시됩니다. 이 보기는 규칙 평가, 트리거된 작업 및 영향을 받는 리소스에 대한 가시성을 제공합니다. 이 보기를 사용하여 Kubernetes 클러스터에서 감사 및 거부 결정을 추적합니다.
이벤트 세부 정보 보기
특정 허용 이벤트를 조사하려면 목록에서 선택합니다. 다음을 보여 주는 세부 정보 창이 열립니다.
- 타임스탬프 및 허용 작업: 이벤트가 발생한 경우 및 허용 또는 거부 여부
- 트리거 세부 정보: 컨테이너 이미지 다이제스트, 검색된 위반 및 트리거된 규칙 이름
- 정책 설명: 평가에 사용되는 취약성 평가 정책 및 조건
- 규칙 구성 스냅샷: 적용된 특정 조건 및 예외
규칙 디자인 모범 사례
- 거부 모드를 적용하기 전에 영향을 모니터링하려면 감사 모드로 시작합니다.
- 오탐(false positives)을 줄이기 위해 범위를 좁게 지정하세요 (예: 네임스페이스 또는 배포별로).
- 감독을 유지하면서 시간 제한 예외를 사용하여 중요한 워크플로의 차단을 해제합니다.
- 허용 모니터링 보기에서 규칙 활동을 정기적으로 검토하여 적용 전략을 구체화합니다.
제어된 배포 보안 규칙 사용 안 함 또는 삭제
제어된 배포 보안 규칙 사용 안 함
- 클라우드 환경용 Microsoft Defender 설정 창에서 보안 규칙을 선택합니다.
- 취약성 평가를 선택하여 정의된 제어된 배포 보안 규칙 목록을 봅니다.
- 보안 규칙을 선택한 다음 사용 안 함을 선택합니다.
제어된 배포 보안 규칙 삭제
- 클라우드 환경용 Microsoft Defender 설정 창에서 보안 규칙을 선택합니다.
- 취약성 평가를 선택하여 정의된 보안 규칙 목록을 봅니다.
- 보안 규칙을 선택한 다음 삭제를 선택합니다.
관련 콘텐츠
자세한 지침 및 지원은 다음 설명서를 참조하세요.
개요: Kubernetes 클러스터에 컨테이너 이미지를 게이트 방식으로 배포
기능, 기능의 이점, 주요 기능 및 작동 방식 소개FAQ: 컨테이너용 Defender의 제어된 배포
제어된 배포 동작 및 구성에 대한 일반적인 고객 질문에 대한 답변문제 해결 가이드: 제어된 배포 및 개발자 환경
온보딩 문제, 배포 실패 및 개발자 관련 메시지 해석을 위한 도움말