Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze veelgestelde vragen worden veelgestelde vragen over gated deployment in Microsoft Defender for Containers behandeld. Gated deployment dwingt beveiligingsbeleid voor containerinstallatiekopieën af tijdens de implementatie in ondersteunde Kubernetes-omgevingen, op basis van scanresultaten van beveiligingsproblemen van geïntegreerde containerregisters.
Wat is gated deployment?
Gated deployment is een beveiligingsfunctie die containerafbeeldingen beoordeelt op basis van vastgestelde beveiligingsregels voordat ze worden toegelaten tot een Kubernetes-cluster.
Wat is het verschil tussen de controle- en weigeringsmodus?
| Mode | Gedrag |
|---|---|
| Audit | Hiermee staat u implementatie toe, maar worden bewakingsevenementen gegenereerd voor controle |
| Deny | Hiermee blokkeert u de implementatie van installatiekopieën die in strijd zijn met beveiligingsregels |
Gebruik de controlemodus voor de eerste implementatie om de impact te beoordelen. De modus Weigeren dwingt beleid af door de invoering van niet-conforme images te voorkomen.
Is er een standaardregel?
Ja. Als u aan alle vereisten voldoet, maakt Defender for Containers automatisch een standaardauditingregel die containerafbeeldingen met hoge of kritieke kwetsbaarheden markeert.
Wat gebeurt er als ik een afbeelding uitrol voordat de scanresultaten beschikbaar zijn?
Als scanresultaten nog niet beschikbaar zijn in het containerregister, is een gated-implementatie standaard niet van toepassing. De image wordt uitgerold zonder handhaving. U kunt deze instelling bijwerken tijdens het maken van de regel om afbeeldingen te blokkeren zonder scanresultaten.
Waar kan ik regelevaluaties en afdwingingsresultaten bekijken?
Alle gated deployment-gebeurtenissen worden weergegeven in de weergave Toegangsbewaking in Defender for Cloud. In de weergave ziet u regelevaluaties, geactiveerde acties en betrokken resources.
Toegang tot toegangsbewaking:
- Ga naar Microsoft Defender voor Cloud>Environment-instellingen.
- Selecteer het vak Beveiligingsregels.
- Navigeer naar de weergave Toegangsbewaking in het linkernavigatiedeelvenster.
Meer informatie over het bewaken van gated-implementatiegebeurtenissen.
Kan ik specifieke CVE's of bronnen uitsluiten?
Ja, u kunt uitzonderingen configureren tijdens het maken van regels. Ondersteunde uitzonderingstypen zijn onder andere:
- CVE
- Uitrol
- Afbeelding
- Namespace
- Pod
- Registry
- Opslagplaats
Uitzonderingen kunnen worden beperkt en tijdgebonden.
Kan ik een vervaldatum instellen voor uitzonderingen?
Ja, dat kan. Wanneer u een uitzondering maakt, schakelt u de tijdgebonden wisselknop in en selecteert u een vervaldatum. De uitzondering verloopt automatisch aan het einde van de geselecteerde dag.
Heeft de modus Weigeren invloed op de implementatieprestaties?
Ja. De weigeringsmodus kan een vertraging van 1-2 seconden veroorzaken tijdens de implementatie vanwege het afdwingen van realtimebeleid.
Kan ik uitzonderingen of regels beheren via API of CLI?
Momenteel beheert u Gated Deployment via de Defender for Cloud-portal. U maakt regels en configureert uitzonderingen via de gebruikersinterface.
Wordt Gated Deployment ondersteund in omgevingen met meerdere clouds?
Ja, Gated Deployment ondersteunt Azure-, AWS- en GCP-cloudomgevingen en Kubernetes-platforms. Het bevat registerintegratie voor scannen op beveiligingsproblemen.
Verwante inhoud
Raadpleeg de volgende documentatie voor meer gedetailleerde richtlijnen en ondersteuning:
Overzicht: Gefaseerde implementatie van containerimages op een Kubernetes-cluster
Inleiding tot de functie, de waarde en de werking ervan.Handleiding voor inschakelen: Gated Deployment configureren in Defender for Containers
Stapsgewijze instructies voor onboarding, het maken van regels, uitzonderingen en bewaking.Gids voor probleemoplossing: Gated Deployment en Developer Experience
Hulp bij het oplossen van onboardingproblemen, implementatiefouten en het interpreteren van berichten voor ontwikkelaars.