Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u gated deployment inschakelt en configureert voor Kubernetes-clusters met Microsoft Defender for Containers.
Gated deployment dwingt beveiligingsbeleid voor containerinstallatiekopieën af tijdens de implementatie met behulp van scanresultaten voor beveiligingsproblemen van ondersteunde registers - Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) en Google Artifact Registry. Het werkt met de Kubernetes-toegangscontroller om afbeeldingen te evalueren voordat het cluster ze toekent.
Vereiste voorwaarden
| eis | Details |
|---|---|
| Defender-abonnement | Schakel Defender for Containers in voor zowel het containerregister als kubernetes-clusterabonnementen/-accounts. Belangrijk: Als uw containerregister en Kubernetes-cluster zich in verschillende Azure-abonnementen (of AWS-accounts/GCP-projecten) bevinden, moet u het Defender for Containers-plan en de relevante extensies voor beide cloudaccounts inschakelen. |
| Extensies plannen | Defender-sensor, beveiligingsomheining, beveiligingsbevindingen en registertoegang. Schakel deze abonnementsextensies in of uit in de instelling van het Defender for Containers-plan. Ze worden standaard ingeschakeld in nieuwe Defender for Containers-omgevingen. |
| Ondersteuning voor Kubernetes-clusters | AKS, EKS, GKE - versie 1.31 of hoger. |
| Registerondersteuning | Gebruik Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) of Google Artifact Registry. |
| Permissions | Maak of wijzig beleidsregels voor gated implementatie met beveiligingsbeheerder of een hogere tenantmachtiging. Bekijk ze met beveiligingslezer of een hogere tenantmachtiging. |
Gated-implementatie inschakelen en een beveiligingsregel maken
Stap 1: Vereiste abonnementsextensies inschakelen
Ga naar Microsoft Defender voor Cloud>Environment-instellingen.
Selecteer het relevante abonnement, het AWS-account of het GCP-project.
Schakel onder Instellingen en bewaking de volgende wisselknoppen in:
-
Defender Sensor
- Beveiligingstoegangscontrole
-
Registertoegang
- Beveiligingsresultaten
-
Defender Sensor
Stap 2: Toegangsbeveiligingsregels
Ga in Omgevingsinstellingen naar de tegel Beveiligingsregels .
Selecteer het tabblad Evaluatie van beveiligingsproblemen .
Stap 3: Een nieuwe regel maken
Opmerking
Nadat u de Defender-abonnementen en vereiste extensies hebt ingeschakeld, maakt de portal standaard een regel voor controle waarmee afbeeldingen worden gevlagd met hoge of kritieke kwetsbaarheden.
- Selecteer Regel toevoegen.
- Vul de volgende velden in:
| Field | Beschrijving |
|---|---|
| Regelnaam | Een unieke naam voor de regel |
| Handeling | Controle of weigeren kiezen |
| Scope-naam | Een label voor het bereik |
| Cloudomvang | Selecteer Azure-abonnement, AWS-account of GCP-project |
| Resourcebereik | Kies uit cluster, naamruimte, pod, implementatie, image, label-kiezer |
| Afstemmingscriteria | Kies uit is gelijk aan, begint met, eindigt met, bevat, is niet gelijk aan |
Stap 4: Voorwaarden definiëren
Geef onder Scanconfiguraties het volgende op:
- Voorwaarden voor triggerregels: kies ernstniveaus voor beveiligingsproblemen of specifieke CVE-id's
Stap 5: Uitzonderingen definiëren
Met uitzonderingen kunnen vertrouwde resources toegangsregels omzeilen.
Ondersteunde uitzonderingstypen
| Typ | Beschrijving |
|---|---|
| CVE | Specifieke id van beveiligingsprobleem |
| Uitrol | Doelimplementatie |
| Afbeelding | Specifieke afbeeldingssamenvating |
| Namespace | Kubernetes-naamruimte |
| Pod | Specifieke pod |
| Registry | Containerregistratie |
| Opslagplaats | Opslagplaats voor afbeeldingen |
Overeenkomende criteria
- Gelijk aan
- Begint met
- Eindigt op
- Bevat
Tijdsgebonden configuratie
| State | Gedrag |
|---|---|
| Verstek | Uitsluiting is voor onbepaalde tijd |
| Time-Bound ingeschakeld | Er wordt een datumkiezer weergegeven. De uitsluiting verloopt aan het einde van de geselecteerde dag |
Configureer uitzonderingen tijdens het maken van regels. Ze zijn van toepassing op controle- en weigeringsregels.
Stap 6: Voltooien en opslaan
- Controleer de regelconfiguratie.
- Als u de regel wilt opslaan en activeren, selecteert u Regel toevoegen.
Weigeringsmodusconfiguratie
De weigermodus kan tijdens implementaties een vertraging van één of twee seconden veroorzaken vanwege het afdwingen van realtime beleid. Wanneer u Weigeren als actie selecteert, wordt er een melding weergegeven.
Toegangsbewaking
Gated Deployment-gebeurtenissen worden weergegeven in de weergave Toegangsbewaking in Defender for Cloud. Deze weergave biedt inzicht in regelevaluaties, geactiveerde acties en betrokken resources. Gebruik deze weergave om beslissingen voor controle en weigeren bij te houden in uw Kubernetes-clusters.
Gebeurtenisdetails weergeven
Als u een specifieke toegangsevenement wilt onderzoeken, selecteert u deze in de lijst. Er wordt een detailvenster geopend met:
- Tijdstempel en toegangsactie: Wanneer de gebeurtenis heeft plaatsgevonden en of deze is toegestaan of geweigerd
- Triggerdetails: de containerimagedigest, eventuele gedetecteerde schendingen en de geactiveerde regelnaam
- Beleidsbeschrijving: Het beleid en de criteria voor evaluatie van kwetsbaarheden die worden gebruikt
- Momentopname van regelconfiguratie: de specifieke voorwaarden en uitzonderingen die zijn toegepast
Aanbevolen procedures voor regelontwerp
- Begin met de Audit modus om de impact te bewaken voordat de modus Weigeren wordt afgedwongen.
- Bereikregels nauwkeurig definiëren (bijvoorbeeld per naamruimte of implementatie) om false positives te verminderen.
- Gebruik tijdgebonden uitzonderingen om kritieke werkstromen te deblokkeren terwijl het toezicht behouden blijft.
- Controleer regelmatig de regelactiviteit in de weergave Toegangsbewaking om de afdwingingsstrategie te verfijnen.
Een beveiligingsregel voor gated deployment uitschakelen of verwijderen
Een beveiligingsregel voor gated deployment uitschakelen
- Selecteer Beveiligingsregels in het deelvenster Microsoft Defender voor Cloud Environment-instellingen .
- Selecteer Evaluatie van beveiligingsproblemen om een lijst met gedefinieerde beveiligingsregels voor gated deployment weer te geven.
- Selecteer een beveiligingsregel en selecteer vervolgens Uitschakelen.
Een beveiligingsregel voor gated deployment verwijderen
- Selecteer Beveiligingsregels in het deelvenster Microsoft Defender voor Cloud Environment-instellingen .
- Selecteer Evaluatie van beveiligingsproblemen om een lijst met gedefinieerde beveiligingsregels weer te geven.
- Selecteer een beveiligingsregel en selecteer vervolgens Verwijderen.
Verwante inhoud
Raadpleeg de volgende documentatie voor meer gedetailleerde richtlijnen en ondersteuning:
Overzicht: Gefaseerde implementatie van containerimages op een Kubernetes-cluster
Inleiding tot de functie, de voordelen, de belangrijkste mogelijkheden en hoe deze werktVeelgestelde vragen: Gated Deployment in Defender for Containers
Antwoorden op veelgestelde vragen van klanten over het gedrag en de configuratie van gated deploymentGids voor probleemoplossing: Gated Deployment en Developer Experience
Hulp bij het oplossen van onboardingproblemen, implementatiefouten en het interpreteren van berichten voor ontwikkelaars