Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essas perguntas frequentes abordam perguntas comuns sobre a implantação fechada no Microsoft Defender para Contêineres. A implantação fechada impõe políticas de segurança de imagem de contêiner no momento da implantação em ambientes do Kubernetes com suporte, com base nos resultados da verificação de vulnerabilidades de registros de contêiner integrados.
O que é implantação fechada?
A implantação fechada é um recurso de segurança que avalia as imagens de contêiner em relação às regras de segurança definidas antes de serem admitidas em um cluster do Kubernetes.
Qual é a diferença entre o modo de auditoria e negação?
| Modo | Comportamento |
|---|---|
| Audit | Permite a implantação, mas gera eventos de monitoramento para revisão |
| Deny | Bloqueia a implantação de imagens que violam regras de segurança |
Use o modo de auditoria para a distribuição inicial para avaliar o impacto. O modo de negação impõe a política impedindo a implantação de imagens não compatíveis.
Existe uma regra padrão?
Sim. Se você atender a todos os pré-requisitos, o Defender para Contêineres criará automaticamente uma regra de auditoria padrão que sinaliza imagens de contêiner com vulnerabilidades altas ou críticas.
O que acontece se eu implantar uma imagem antes que os resultados da verificação estejam disponíveis?
Por padrão, se os resultados da verificação ainda não estiverem disponíveis no registro de contêiner, a implantação fechada não se aplicará. A imagem é implantada sem imposição. Você pode atualizar essa configuração durante a criação da regra para bloquear imagens sem resultados de verificação.
Onde posso exibir avaliações de regras e resultados de imposição?
Todos os eventos de implantação restrita aparecem na exibição Monitoramento de admissão no Defender para Nuvem. A visão mostra avaliações de regras, ações acionadas e recursos afetados.
Para acessar o Monitoramento de Admissão:
- Vá para Microsoft Defender para a Nuvem>Configurações de Ambiente.
- Selecione o bloco Regras de Segurança .
- Navegue até a visão Monitoramento de Admissão na barra de navegação à esquerda.
Saiba mais sobre como monitorar eventos de implantação fechados.
Posso isentar CVEs ou recursos específicos?
Sim, você pode configurar isenções durante a criação da regra. Os tipos de isenção com suporte incluem:
- CVE
- Implantação
- Imagem
- Namespace
- Pod
- Registry
- Repositório
As isenções podem ser definidas e associadas ao tempo.
Posso definir uma expiração para isenções?
Sim, você pode. Ao criar uma isenção, habilite a alternância de limite de tempo e selecione uma data de validade. A isenção expira automaticamente no final do dia selecionado.
O modo Negar afeta o desempenho da implantação?
Sim. O modo de negação pode introduzir um atraso de 1 a 2 segundos durante a implantação devido à aplicação de políticas em tempo real.
Posso gerenciar isenções ou regras por meio da API ou da CLI?
Atualmente, você gerencia a Implantação Fechada por meio do portal do Defender para Nuvem. Crie regras e configure isenções por meio da interface do usuário.
A Implantação Fechada tem suporte em ambientes multinuvem?
Sim, a Implantação Fechada dá suporte a ambientes de nuvem do Azure, AWS e GCP e plataformas kubernetes. Ele inclui a integração do Registro para verificação de vulnerabilidades.
Conteúdo relacionado
Para obter diretrizes e suporte mais detalhados, consulte a seguinte documentação:
Visão geral: implantação fechada de imagens de contêiner em um cluster do Kubernetes
Introdução ao recurso, seu valor e como ele funciona.Guia de habilitação: configurar a implantação fechada no Defender para contêineres
Instruções passo a passo para integração, criação de regras, isenções e monitoramento.Guia de solução de problemas: implantação fechada e experiência do desenvolvedor
Ajude a resolver problemas de integração, falhas de implantação e interpretação de mensagens voltadas para o desenvolvedor.