Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel helpt u bij het oplossen van veelvoorkomende problemen bij het instellen of gebruiken van gated deployment in Kubernetes met Microsoft Defender for Containers.
Gated deployment dwingt beveiligingsbeleid voor containerafbeeldingen af tijdens het implementeren, op basis van resultaten van kwetsbaarheidsscans uit ondersteunde containerregisters. Het integreert met de Kubernetes admission controller om images te controleren voordat ze het cluster binnenkomen.
Problemen met het inwerkproces en de configuratie
Probleem: Gated deployment is niet actief na het inschakelen van Defender for Containers
Mogelijke oorzaken:
- Vereiste abonnementsextensies zijn uitgeschakeld
- Defender Sensor is uitgeschakeld of niet ingericht voor het cluster
- Kubernetes-clusterversie is ouder dan 1.31
- Defender for Containers-abonnement of relevante extensies (extensies voor registertoegang of beveiligingsresultaten) zijn uitgeschakeld in het bereik van het containerregister
Resolutie:
Controleer of de volgende wisselknoppen zijn ingeschakeld in het Defender for Containers-abonnement:
- Defender Sensor
- Beveiligingstoegangscontrole
- Registertoegang
- Beveiligingsresultaten
Zorg ervoor dat uw Kubernetes-cluster versie 1.31 of hoger uitvoert.
Voor Azure: controleer of het cluster toegang heeft tot het containerregister (ACR) en of Microsoft Entra ID-verificatie is geconfigureerd. Voor AKS-clusters moet u ervoor zorgen dat het cluster een kubelet-identiteit heeft en dat het serviceaccount van de toegangscontrollerpod is opgenomen in de federatieve referenties van de kubelet-identiteit .
Probleem: beveiligingsregel wordt niet geactiveerd
Mogelijke oorzaken:
- Regelbereik komt niet overeen met de geïmplementeerde resource.
- Er wordt niet voldaan aan DE CVE-voorwaarden.
- De image wordt uitgerold voordat de scanresultaten beschikbaar zijn.
Resolutie:
Controleer het regelbereik en de overeenkomende criteria.
Controleer of de image kwetsbaarheden heeft die aan de regelvoorwaarden voldoen.
Zorg ervoor dat de image zich in een ondersteund containerregister bevindt. Het register moet deel uitmaken van een abonnement, account of project waarvoor Registertoegang en Beveiligingsbevindingen zijn ingeschakeld.
Zorg ervoor dat Defender voor Cloud de images scant vóór de implementatie. Als dat niet het geval is, is gating niet van toepassing.
Opmerking
Defender for Containers scant een afbeelding in een ondersteund containerregister binnen enkele uren na de eerste pushgebeurtenis. Voor meer informatie over scantriggers, zie Beveiligingsevaluaties voor ondersteunde omgevingen van Defender voor Containers.
Probleem: Uitsluiting niet toegepast
Mogelijke oorzaken:
- Het uitsluitingsbereik komt niet overeen met de resource.
- De uitsluiting is verlopen.
- De overeenkomende criteria zijn onjuist geconfigureerd.
Resolutie:
- Controleer de uitsluitingsconfiguratie wanneer u de regel maakt.
- Controleer of de uitsluiting nog actief is.
- Controleer of de resource (zoals afbeelding, pod of naamruimte) overeenkomt met de uitsluitingscriteria.
Ontwikkelaarservaring en CI/CD-integratie
Bij het implementeren van gated worden beleidsregels afgedwongen wanneer u implementeert. Mogelijk ziet u specifieke berichten of gedragingen wanneer u containerinstallatiekopieën implementeert.
Algemene berichten voor ontwikkelaars
| Scenario | Message |
|---|---|
| Afbeelding geblokkeerd vanwege CVE | Fout van de server: toegangswebhook "defender-admission-controller.kube-system.svc" heeft de aanvraag geweigerd: mcr.microsoft.com/mdc/dev/defender-admission-controller/test-images:one-high:Image bevat twee hoge of hogere CVE's, wat meer is dan het toegestane aantal: 0" |
| Afbeelding geblokkeerd omdat scanresultaten ontbreken | Er zijn geen geldige rapporten gevonden over een bekrachtigende reactie. Niet-gescande afbeeldingen zijn niet toegestaan volgens het beleid |
| Afbeelding toegestaan maar bewaakt (controlemodus) | Toegangsaanvraag is toegestaan. Er wordt een beveiligingsscan uitgevoerd op de achtergrond (controlemodus). Meer informatie: https://aka.ms/KubernetesDefenderAuditRule |
| Afbeelding toegestaan zonder scanresultaten (controlemodus) | Toegangsaanvraag is toegestaan. Er wordt een beveiligingsscan uitgevoerd op de achtergrond (controlemodus). Meer informatie: https://aka.ms/KubernetesDefenderAuditRule| |
Aanbevolen procedures voor ontwikkelaars
- Scan afbeeldingen vóór de implementatie om te voorkomen dat gating wordt overgeslagen.
- Gebruik de controlemodus tijdens de eerste implementatie om de impact te bewaken zonder te blokkeren.
- Werk samen met beveiligingsteams om uitsluitingen aan te vragen wanneer dat nodig is.
- Bewaak de weergave Toegangsbewaking om de evaluatie en afdwinging van regels te bekijken.
Verwante inhoud
Zie de volgende artikelen voor gedetailleerde richtlijnen en ondersteuning:
Overzicht: Beperkte implementatie van containerinstallatiekopieën naar een Kubernetes-cluster Inleiding tot de functie, de waarde en de werking ervan
Activeringshandleiding: Gated Deployment configureren voor Kubernetes-clusters Stapsgewijze instructies voor onboarding, het maken van regels, uitsluitingen en bewaking
Veelgestelde vragen: Gated Deployment in Defender for Containers Antwoorden op veelgestelde vragen van klanten over het gedrag en de configuratie van gated deployment