Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł ułatwia rozwiązywanie typowych problemów podczas konfigurowania lub używania wdrożenia bramkowanego na platformie Kubernetes z usługą Microsoft Defender for Containers.
Wdrożenie z bramą wymusza zasady zabezpieczeń obrazu kontenera w czasie wdrażania na podstawie wyników skanowania luk w zabezpieczeniach z obsługiwanych rejestrów kontenerów. Integruje się z kontrolerem dostępu Kubernetes w celu weryfikacji obrazów przed ich wejściem do klastra.
Problemy z wdrażaniem i konfiguracją
Problem: Kontrolowane wdrożenie nie jest aktywne po włączeniu usługi Defender for Containers
Możliwe przyczyny:
- Wymagane rozszerzenia planu są wyłączone
- Czujnik Defender jest wyłączony lub nie został skonfigurowany w klastrze.
- Wersja klastra Kubernetes jest starsza niż 1.31
- Plan usługi Defender for Containers lub odpowiednie rozszerzenia (rozszerzenia dostępu do rejestru lub wyników bezpieczeństwa) zostały wyłączone w obszarze rejestru kontenerów
Rozwiązanie:
Upewnij się, że następujące przełączanie jest włączone w planie usługi Defender for Containers:
- Czujnik Defender
- Bramki bezpieczeństwa
- Dostęp do rejestru
- Wyniki zabezpieczeń
Upewnij się, że klaster Kubernetes działa w wersji 1.31 lub nowszej.
W przypadku platformy Azure: sprawdź, czy klaster ma dostęp do rejestru kontenerów (ACR) i czy skonfigurowano uwierzytelnianie identyfikatora Entra firmy Microsoft. W przypadku klastrów AKS upewnij się, że klaster ma tożsamość kubelet i że konto usługi poda kontrolera przyjęć jest uwzględnione w poświadczeniach federacyjnych tożsamości kubelet.
Problem: Reguła zabezpieczeń nie uruchamia się
Możliwe przyczyny:
- Zakres reguły nie jest zgodny z wdrożonym zasobem.
- Warunki CVE nie są spełnione.
- Obraz jest wdrażany przed udostępnieniem wyników skanowania.
Rozwiązanie:
Sprawdź zakres reguły i kryteria dopasowania.
Sprawdź, czy obraz ma luki w zabezpieczeniach zgodne z warunkami reguły.
Upewnij się, że obraz znajduje się w obsługiwanym rejestrze kontenerów. Rejestr musi należeć do subskrypcji, konta lub projektu z włączonym dostępem do rejestru i ustaleniami zabezpieczeń.
Przed wdrożeniem upewnij się, że usługa Defender for Cloud skanuje obraz. Jeśli tak nie jest, funkcja gating nie ma zastosowania.
Uwaga / Notatka
Usługa Defender for Containers skanuje obraz w obsługiwanym rejestrze kontenerów w ciągu kilku godzin po początkowym zdarzeniu wypychania. Aby uzyskać więcej informacji na temat wyzwalaczy skanowania, zobacz Oceny luk w zabezpieczeniach dla środowisk obsługiwanych przez usługę Defender for Container.
Problem: Nie zastosowano wykluczenia
Możliwe przyczyny:
- Zakres wykluczeń nie jest zgodny z zasobem.
- Wykluczenie wygasło.
- Kryteria dopasowania są nieprawidłowo skonfigurowane.
Rozwiązanie:
- Przejrzyj konfigurację wykluczeń podczas tworzenia reguły.
- Upewnij się, że wykluczenie jest nadal aktywne.
- Sprawdź, czy zasób (na przykład obraz, zasobnik lub przestrzeń nazw) jest zgodny z kryteriami wykluczania.
Doświadczenie deweloperów i integracja CI/CD
Wdrożenie bramowane wymusza zasady podczas wdrażania. Określone komunikaty lub zachowania mogą być widoczne podczas wdrażania obrazów kontenerów.
Typowe komunikaty dla deweloperów
| scenariusz | Message |
|---|---|
| Obraz zablokowany z powodu CVE | Błąd serwera: webhook "defender-admission-controller.kube-system.svc" odrzucił żądanie: mcr.microsoft.com/mdc/dev/defender-admission-controller/test-images:one-high: Obraz zawiera 2 wysokie lub wyższe CVE, co przekracza dozwoloną liczbę: 0" |
| Obraz zablokowany, ponieważ brakuje wyników skanowania | Nie znaleziono prawidłowych raportów dotyczących potwierdzenia odpowiedzi. Niezeskanowane obrazy nie są dozwolone zgodnie z zasadami |
| Obraz dozwolony, ale monitorowany (tryb inspekcji) | Dozwolona prośba o przyjęcie. Skanowanie zabezpieczeń jest uruchamiane w tle (tryb inspekcji). Dowiedz się więcej: https://aka.ms/KubernetesDefenderAuditRule |
| Obraz dozwolony bez wyników skanowania (tryb inspekcji) | Zatwierdzono prośbę o przyjęcie. Skanowanie zabezpieczeń jest uruchamiane w tle (tryb inspekcji). Dowiedz się więcej: https://aka.ms/KubernetesDefenderAuditRule| |
Najlepsze rozwiązania dla deweloperów
- Skanuj obrazy przed wdrożeniem, aby uniknąć ominięcia gating.
- Użyj trybu inspekcji podczas początkowego wdrażania, aby monitorować wpływ bez blokowania.
- Koordynowanie pracy z zespołami ds. zabezpieczeń w celu żądania wykluczeń w razie potrzeby.
- Monitoruj widok Monitorowanie dostępu w celu wyświetlenia oceny i wymuszania reguł.
Treści powiązane
Aby uzyskać szczegółowe wskazówki i pomoc techniczną, zobacz następujące artykuły:
Omówienie: kontrolowane wdrażanie obrazów kontenerów w klastrze Kubernetes Wprowadzenie do funkcji, jej wartości i sposobu jej działania
Przewodnik wdrożeniowy: konfigurowanie wdrożenia bramkowego dla klastrów Kubernetes Instrukcje krok po kroku dotyczące wdrażania, tworzenia reguł, wykluczeń i monitorowania
Często zadawane pytania: Wdrażanie z bramą w usłudze Defender for Containers Odpowiedzi na typowe pytania klientów dotyczące zachowania i konfiguracji wdrożenia z bramą