Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender for Containers ondersteunt gated-implementatie, waarmee beveiligingsbeleid voor containerinstallatiekopieën wordt afgedwongen tijdens de implementatie in Kubernetes-omgevingen, waaronder Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) en Google Kubernetes Engine (GKE). Afdwingen maakt gebruik van scanresultaten van ondersteunde containerregisters, waaronder Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) en Google Artifact Registry.
Gated deployment integreert met de Kubernetes-toegangscontroller om ervoor te zorgen dat alleen containerimages die voldoen aan de beveiligingsvereisten van uw organisatie in uw Kubernetes-omgeving worden uitgevoerd. Het evalueert containerinstallatiekopieën op basis van gedefinieerde beveiligingsregels voordat ze worden toegelaten tot het cluster, zodat beveiligingsteams kwetsbare workloads kunnen blokkeren en naleving kunnen onderhouden.
Voordelen
- Hiermee voorkomt u de implementatie van containerinstallatiekopieën met bekende beveiligingsproblemen
- Dwingt beveiligingsbeleid in realtime af
- Integreert met beveiligingsbeheerwerkstromen in Defender for Cloud
- Ondersteuning voor gefaseerde implementatie: starten in de controlemodus en vervolgens naar de modus Weigeren gaan
Strategie voor activering
Veel klanten maken al gebruik van de scanner voor beveiligingsproblemen van Microsoft Defender for Containers. Implementatie met gated is gebaseerd op deze basis:
| Mode | Beschrijving |
|---|---|
| Audit | Hiermee kan de uitrol worden voortgezet en worden toelatingsevenementen gegenereerd voor kwetsbare beelden die in strijd zijn met beveiligingsregels. |
| Deny | Hiermee blokkeert u de implementatie van installatiekopieën die in strijd zijn met beveiligingsregels |
Start in de controlemodus om de impact te beoordelen en ga vervolgens naar de modus Weigeren om regels af te dwingen.
Hoe het werkt
- Beveiligingsregels definiëren voorwaarden zoals de ernst van CVE en acties zoals controle of weigeren.
- De toegangscontroller evalueert containerafbeeldingen tegenover deze regels.
- Wanneer een regel overeenkomt, voert het systeem de gedefinieerde actie uit.
- De toegangscontroller maakt gebruik van scanresultaten van beveiligingsproblemen uit registers die Defender for Cloud ondersteunt en is geconfigureerd voor scannen, zoals ACR, ECR en Google Artifact Registry.
Belangrijkste kenmerken
- Gebruik de standaardcontroleregel waarmee installatiekopieën automatisch worden gemarkeerd bij hoge of kritieke kwetsbaarheden binnen in aanmerking komende clusters
- Stel tijdsgebonden, afgebakende uitzonderingen in.
- Doelregels nauwkeurig per cluster, naamruimte, pod of afbeelding.
- Toegangsevenementen bewaken via Defender for Cloud.
Verwante inhoud
Krijg gedetailleerde richtlijnen in de volgende artikelen:
Handleiding voor inschakelen: Gated Deployment configureren in Defender for Containers Stapsgewijze instructies voor onboarding, het maken van regels, uitzonderingen en bewaking.
Veelgestelde vragen: Gedeeltelijke implementatie in Defender voor Containers
Antwoorden op veelgestelde vragen van klanten over het gedrag en de configuratie van gated deployment.Gids voor probleemoplossing: Gated Deployment en Developer Experience
Hulp bij het oplossen van onboardingproblemen, implementatiefouten en het interpreteren van berichten voor ontwikkelaars.