이 FAQ는 컨테이너용 Microsoft Defender의 제어된 배포에 대한 일반적인 질문을 해결합니다. 제어된 배포는 통합 컨테이너 레지스트리의 취약성 검사 결과를 기반으로 지원되는 Kubernetes 환경에서 배포 시 컨테이너 이미지 보안 정책을 적용합니다.
제어된 배포란?
제어 배포는 Kubernetes 클러스터에 입장하기 전에 정의된 보안 규칙에 대해 컨테이너 이미지를 평가하는 보안 기능입니다.
감사 모드와 거부 모드의 차이점은 무엇인가요?
| 모드 | 동작 |
|---|---|
| Audit | 배포를 허용하지만 검토를 위해 모니터링 이벤트를 생성합니다. |
| Deny | 보안 규칙을 위반하는 이미지 배포 차단 |
초기 롤아웃에 감사 모드를 사용하여 영향을 평가합니다. 거부 모드는 비준수 이미지의 배포를 방지하여 정책을 적용합니다.
기본 규칙이 있나요?
예. 모든 필수 구성 요소를 충족하는 경우 Defender for Containers는 높거나 중요한 취약성이 있는 컨테이너 이미지에 플래그를 지정하는 기본 감사 규칙을 자동으로 만듭니다.
검사 결과를 사용할 수 있기 전에 이미지를 배포하면 어떻게 되나요?
기본적으로 컨테이너 레지스트리에서 검사 결과를 아직 사용할 수 없는 경우 제어된 배포는 적용되지 않습니다. 이미지는 강제 사항 없이 배포됩니다. 검사 결과 없이 이미지를 차단하도록 규칙을 만드는 동안 이 설정을 업데이트할 수 있습니다.
규칙 평가 및 적용 결과를 어디에서 볼 수 있나요?
모든 제어된 배포 이벤트는 Defender for Cloud의 허용 모니터링 보기에 표시됩니다. 보기에는 규칙 평가, 트리거된 작업 및 영향을 받는 리소스가 표시됩니다.
출입 모니터링에 액세스하려면 다음을 수행합니다.
- 클라우드 환경>설정으로 이동합니다.
- 보안 규칙 타일을 선택합니다.
- 왼쪽 탐색 창에서 허용 모니터링 보기로 이동합니다.
제어된 배포 이벤트 모니터링에 대해 자세히 알아봅니다.
특정 CVE 또는 리소스를 제외할 수 있나요?
예, 규칙을 만드는 동안 예외를 구성할 수 있습니다. 지원되는 예외 유형은 다음과 같습니다.
- CVE
- 배치
- 이미지
- 네임스페이스
- 포드
- Registry
- 저장소
예외는 범위 및 시간 제한일 수 있습니다.
예외에 대한 만료를 설정할 수 있나요?
예, 가능합니다. 예외를 만들 때 시간 바인딩 토글을 사용하도록 설정하고 만료 날짜를 선택합니다. 예외는 선택한 날짜가 끝나면 자동으로 만료됩니다.
거부 모드가 배포 성능에 영향을 주나요?
예. 거부 모드는 실시간 정책 적용으로 인해 배포 중에 1-2초 지연이 발생할 수 있습니다.
API 또는 CLI를 통해 예외 또는 규칙을 관리할 수 있나요?
현재 Defender for Cloud 포털을 통해 제어된 배포를 관리합니다. 규칙을 만들고 UI를 통해 예외를 구성합니다.
게이트 배포는 멀티클라우드 환경에서 지원되나요?
예, 제어 배포는 Azure, AWS 및 GCP 클라우드 환경 및 Kubernetes 플랫폼을 지원합니다. 여기에는 취약성 검사를 위한 레지스트리 통합이 포함됩니다.
관련 콘텐츠
자세한 지침 및 지원은 다음 설명서를 참조하세요.
개요: Kubernetes 클러스터에 컨테이너 이미지를 게이트 방식으로 배포
기능, 해당 값 및 작동 방식을 소개합니다.활성화 가이드: 컨테이너용 Defender에서 게이트된 배포 구성
온보딩, 규칙 만들기, 예외 및 모니터링에 대한 단계별 지침입니다.문제 해결 가이드: 제어된 배포 및 개발자 환경
온보딩 문제, 배포 실패 및 개발자 관련 메시지 해석을 해결합니다.