Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda você a corrigir problemas comuns ao configurar ou usar a implantação fechada no Kubernetes com o Microsoft Defender para Contêineres.
A implantação controlada aplica políticas de segurança de imagens de contêiner no momento da implantação com base nos resultados da verificação de vulnerabilidades dos registros de contêineres compatíveis. Ele se integra ao controlador de admissão do Kubernetes para verificar as imagens antes de entrar no cluster.
Problemas de integração e configuração
Problema: a implantação fechada não está ativa depois de habilitar o Defender para Contêineres
Possíveis causas:
- As extensões de plano necessárias estão desabilitadas
- O Sensor do Defender está desabilitado ou não está provisionado no cluster
- A versão do cluster do Kubernetes é anterior à 1.31
- O plano Defender para Contêineres ou as extensões relevantes (extensões de Acesso ao Registro ou Descobertas de Segurança) estão desabilitados no âmbito do registro de contêiner.
Resolução :
Confirme se as seguintes alternâncias estão habilitadas no plano do Defender para Contêineres:
- sensor do Defender
- Restrição de segurança
- Acesso ao Registro
- Descobertas de segurança
Verifique se o cluster do Kubernetes executa a versão 1.31 ou posterior.
Para o Azure: verifique se o cluster tem acesso ao Registro de Contêiner (ACR) e se a autenticação da ID do Microsoft Entra está configurada. Para clusters AKS, certifique-se de que o cluster tenha uma identidade kubelet e que a conta de serviço do pod do controlador de admissão esteja incluída nas credenciais federadas da identidade kubelet.
Problema: a regra de segurança não é acionada
Possíveis causas:
- O escopo da regra não corresponde ao recurso implantado.
- Os requisitos de CVE não são atendidos.
- A imagem é disponibilizada antes que os resultados da verificação estejam disponíveis.
Resolução :
Verifique o escopo da regra e os critérios de correspondência.
Verifique se a imagem tem vulnerabilidades que correspondem às condições da regra.
Verifique se a imagem está em um registro de contêiner com suporte. O registro deve pertencer a uma assinatura, conta ou projeto com Acesso ao Registro e Descobertas de Segurança habilitados.
Verifique se o Defender para Nuvem verifica a imagem antes da implantação. Caso contrário, a restrição não se aplica.
Observação
O Defender para Contêineres verifica uma imagem em um registro de contêiner compatível poucas horas após o evento de push inicial. Para obter mais informações sobre gatilhos de varredura, consulte avaliações de vulnerabilidade para ambientes compatíveis com o Defender para Contêineres.
Problema: exclusão não aplicada
Possíveis causas:
- O escopo de exclusão não corresponde ao recurso.
- A exclusão expirou.
- Os critérios correspondentes são configurados incorretamente.
Resolução :
- Examine a configuração de exclusão ao criar a regra.
- Confirme se a exclusão ainda está ativa.
- Verifique se o recurso (como imagem, pod ou namespace) corresponde aos critérios de exclusão.
Experiência do desenvolvedor e integração de CI/CD
A implantação restrita aplica políticas quando você faz a implantação. Você pode ver mensagens ou comportamentos específicos ao implantar imagens de contêiner.
Mensagens comuns do desenvolvedor
| Cenário | Mensagem |
|---|---|
| Imagem bloqueada devido à CVE | Erro do servidor: o webhook de admissão “defender-admission-controller.kube-system.svc” negou a solicitação: mcr.microsoft.com/mdc/dev/defender-admission-controller/test-images:one-high:A imagem contém 2 CVEs de alto risco ou superior, o que é mais do que a contagem permitida de: 0” |
| Imagem bloqueada porque os resultados da verificação estão ausentes | Nenhum relatório válido encontrado na resposta à ratificação Imagens não verificadas não são permitidas pela política |
| Imagem permitida, mas monitorada (modo de auditoria) | Solicitação de admissão permitida. Uma verificação de segurança é executada em segundo plano (modo de auditoria). Saiba mais: https://aka.ms/KubernetesDefenderAuditRule |
| Imagem permitida sem resultados de verificação (modo de auditoria) | Solicitação de admissão permitida. Uma verificação de segurança é executada em segundo plano (modo de auditoria). Saiba mais: https://aka.ms/KubernetesDefenderAuditRule| |
Práticas recomendadas para desenvolvedores
- Digitalize as imagens antes da implantação para evitar o desvio da restrição.
- Use o modo de auditoria durante a distribuição inicial para monitorar o impacto sem bloqueio.
- Coordene com as equipes de segurança para solicitar exclusões quando necessário.
- Monitore a Visão de Monitoramento de Admissão a fim de ver a avaliação e a aplicação da regra.
Conteúdo relacionado
Para obter diretrizes e suporte detalhados, consulte estes artigos:
Visão geral: implantação fechada de imagens de contêiner em um cluster do Kubernetes Introdução ao recurso, seu valor e como ele funciona
Guia de habilitação: configurar a implantação fechada para clusters do Kubernetes Instruções passo a passo para integração, criação de regras, exclusões e monitoramento
Perguntas frequentes: Implantação fechada no Defender para Contêineres Respostas para perguntas comuns do cliente sobre o comportamento e a configuração da implantação fechada