Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Contêineres dá suporte à implantação fechada, que impõe políticas de segurança de imagem de contêiner no momento da implantação em ambientes do Kubernetes, incluindo o AKS (Serviço de Kubernetes do Azure), o EKS (Serviço de Kubernetes Elástico da Amazon) e o Mecanismo de Kubernetes do Google (GKE). A aplicação utiliza os resultados da verificação de vulnerabilidades de registros de contêineres compatíveis, incluindo o Registro de Contêineres do Azure (ACR), o Registro Elástico de Contêineres da Amazon (ECR) e o Registro de Artefatos do Google.
A implantação fechada integra-se ao controlador de admissão do Kubernetes para garantir que somente as imagens de contêiner que atendem aos requisitos de segurança da sua organização sejam executadas em seu ambiente do Kubernetes. Ele avalia as imagens de contêiner em relação às regras de segurança definidas antes de serem admitidas no cluster, permitindo que as equipes de segurança bloqueiem cargas de trabalho vulneráveis e mantenham a conformidade.
Benefícios
- Impede a implantação de imagens de contêiner com vulnerabilidades conhecidas
- Impõe políticas de segurança em tempo real
- Integra-se com fluxos de trabalho de gerenciamento de vulnerabilidades do Defender para Nuvem
- Dá suporte à distribuição em fases: iniciar no modo de auditoria e, em seguida, mover para o modo de negação
Estratégia de habilitação
Muitos clientes já usam o verificador de vulnerabilidades do Microsoft Defender para Contêineres. A implantação fechada baseia-se nessa base:
| Modo | Descrição |
|---|---|
| Audit | Permite que a implantação continue e gera eventos de admissão para imagens vulneráveis que violam as regras de segurança |
| Deny | Bloqueia a implantação de imagens que violam regras de segurança |
Comece no modo de auditoria para avaliar o impacto e, em seguida, mova para o modo Negar para impor regras.
Como funciona
- As regras de segurança definem condições como a gravidade do CVE e ações como auditoria ou negar.
- O controlador de admissão avalia imagens de contêiner em relação a essas regras.
- Quando uma regra corresponde, o sistema executa sua ação definida.
- O controlador de admissão usa os resultados de varreduras de vulnerabilidade de registros suportados pelo Defender for Cloud e está configurado para realizar varreduras, como no ACR, ECR e no Registro de Artefatos do Google.
Características principais
- Use a regra de auditoria padrão que sinaliza automaticamente implantações de imagem com vulnerabilidades altas ou críticas em clusters qualificados
- Defina isenções com escopo e limite de tempo.
- Defina regras de forma granular por cluster, namespace, pod ou imagem.
- Monitore eventos de admissão por meio do Defender para Nuvem.
Conteúdo relacionado
Obtenha diretrizes detalhadas nos seguintes artigos:
Guia de habilitação: configurar a implantação fechada no Defender para contêineres Instruções passo a passo para integração, criação de regras, isenções e monitoramento.
Perguntas frequentes: Implantação fechada no Defender para Contêineres
Respostas para perguntas comuns do cliente sobre o comportamento e a configuração da implantação fechada.Guia de solução de problemas: implantação fechada e experiência do desenvolvedor
Ajude a resolver problemas de integração, falhas de implantação e interpretação de mensagens voltadas para o desenvolvedor.