Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo mostra como ativar e configurar a implementação bloqueada para clusters Kubernetes com o Microsoft Defender for Containers.
A implementação com bloqueio impõe as políticas de segurança de imagens de contentores durante a implementação, utilizando resultados de varredura de vulnerabilidades de registos suportados - Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) e Google Artifact Registry. Trabalha com o controlador de admissões Kubernetes para avaliar imagens antes de o cluster as admitir.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Plano Defender | Ative o Defender for Containers tanto no registo de contentores como nas subscrições/contas do cluster Kubernetes. Importante: Se o seu registo de contentores e o cluster Kubernetes estiverem em subscrições Azure diferentes (ou projetos de contas AWS/GCP), deve ativar o plano Defender for Containers e as extensões relevantes em ambas as contas cloud. |
| Extensões de planos | Sensor Defender, Portões de Segurança, Descobertas de Segurança e Acesso ao Registo. Ative ou desative estas extensões do plano na configuração do plano do Defender for Containers. Estão ativados por predefinição nos novos ambientes Defender for Containers. |
| Suporte a clusters Kubernetes | AKS, EKS, GKE - versão 1.31 ou posterior. |
| Suporte ao registo | Use Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) ou Google Artifact Registry. |
| Permissions | Crie ou altere políticas de implementação bloqueada com permissão de Administrador de Segurança ou inquilino superior. Veja-os com o Security Reader ou permissão de inquilino superior. |
Permitir a implementação bloqueada e criar uma regra de segurança
Passo 1: Ativar as extensões obrigatórias do plano
Vai ao Microsoft Defender para Cloud>Definições do Ambiente.
Selecione a subscrição relevante, a conta AWS ou o projeto GCP.
Em Definições & Monitorização, ativa estas alternâncias:
-
Defender Sensor
- Portões de Segurança
-
Acesso ao Registo
- Conclusões de Segurança
-
Defender Sensor
Passo 2: Regras de segurança de acesso
Nas Definições do Ambiente, vai ao bloco de Regras de Segurança.
Selecione o separador Avaliação de Vulnerabilidades .
Passo 3: Criar uma nova regra
Observação
Por defeito, depois de ativar os planos Defender e as extensões necessárias, o portal cria uma regra de auditoria que assinala imagens com vulnerabilidades elevadas ou críticas.
- Selecione Adicionar Regra.
- Preencha os seguintes campos:
| Campo | Descrição |
|---|---|
| Nome da regra | Um nome único para a regra |
| Ação | Escolha Auditoria ou Negação |
| Nome do âmbito | Um rótulo para o âmbito |
| Escopo da Nuvem | Selecione Subscrição Azure, Conta AWS ou Projeto GCP |
| Âmbito de Recursos | Escolha entre Cluster, Namespace, Pod, Deployment, Image, Seletor de Etiquetas |
| Critérios de Correspondência | Selecione entre igual, começa com, termina com, contém, não é igual a |
Passo 4: Defina condições
Em Configurações de Varredura, especifique:
- Condições da Regra de Gatilho: Escolha níveis de gravidade de vulnerabilidade ou IDs específicos de CVE
Passo 5: Defina as isenções
As isenções permitem que recursos de confiança contornem as regras de bloqueio.
Tipos de isenção suportados
| Type | Descrição |
|---|---|
| CVE | ID de vulnerabilidade específico |
| Implantação | Desdobramento direcionado |
| Imagem | Digestão específica de imagens |
| Namespace | Namespace do Kubernetes |
| Cápsula | Pod específico |
| Registry | Registo de containers |
| Repositório | Repositório de imagens |
Critérios de correspondência
- Igual
- Começa Com
- Termina com
- Contém
Configuração com limite temporal
| State | Comportamento |
|---|---|
| Predefinido | A exclusão é indefinida |
| Ativado com Limitação de Tempo | Aparece um escolhedor de datas. A exclusão expira no final do dia selecionado |
Configure isenções durante a criação das regras. Aplicam-se a regras de auditoria e negação.
Passo 6: Finalizar e guardar
- Revê a configuração das regras.
- Para guardar e ativar a regra, selecione Adicionar Regra.
Configuração de modo de negação
O modo de negação pode introduzir um atraso de um ou dois segundos durante as implementações devido à aplicação de políticas em tempo real. Quando seleciona Negar como ação, aparece uma notificação.
Monitorização de admissões
Os eventos de Implementação Bloqueada aparecem na vista de Monitorização de Admissão no Defender for Cloud. Esta vista oferece visibilidade sobre as avaliações de regras, ações desencadeadas e recursos afetados. Use esta vista para acompanhar decisões de Auditoria e Negação entre os seus clusters Kubernetes.
Ver detalhes do evento
Para investigar um evento específico de admissão, selecione-o da lista. Abre-se um painel de detalhes que mostra:
- Hora e ação de admissão: Quando o evento ocorreu e se foi permitido ou recusado
- Detalhes do gatilho: O resumo da imagem do contentor, quaisquer violações detetadas e o nome da regra que foi ativado
- Descrição da política: Política e critérios de avaliação de vulnerabilidade utilizados para a avaliação
- Instantâneo da configuração das regras: As condições e isenções específicas que foram aplicadas
Boas práticas para o desenho de regras
- Comece com o modo Auditoria para monitorizar o impacto antes de aplicar o modo Negar.
- Defina regras de âmbito limitado (por exemplo, por namespace ou implementação) para reduzir falsos positivos.
- Utilize isenções temporais para desbloquear fluxos de trabalho críticos, mantendo a supervisão.
- Revise regularmente a atividade das regras na vista de Monitorização de Admissão para refinar a estratégia de aplicação.
Desative ou elimine uma regra de segurança de Implantação Condicionada
Desativar uma regra de segurança de Implantação Bloqueada
- Selecione Regras de Segurança no painel de Definições do Microsoft Defender para o Ambiente Cloud.
- Selecione Avaliação de Vulnerabilidades para visualizar uma lista de regras de segurança definidas para Implantação Limitada.
- Selecione uma regra de segurança e depois selecione Desabilitar.
Eliminar uma regra de segurança de Gated Deployment
- Selecione Regras de Segurança no painel de Definições do Microsoft Defender para o Ambiente Cloud.
- Selecione Avaliação de Vulnerabilidades para ver uma lista de regras de segurança definidas.
- Selecione uma regra de segurança e depois selecione Eliminar.
Conteúdo relacionado
Para orientações e apoio mais detalhados, consulte a seguinte documentação:
Visão geral: Implantação Controlada de Imagens de Contentores num Cluster Kubernetes
Introdução à funcionalidade, aos seus benefícios, principais capacidades e ao seu funcionamentoPerguntas frequentes: Implementação Controlada no Defender para Contentores
Respostas a perguntas comuns de clientes sobre comportamento e configuração de implantação com bloqueioGuia de Resolução de Problemas: Implementação Bloqueada e Experiência do Desenvolvedor
Ajuda na resolução de problemas de integração, falhas de implementação e interpretação de mensagens dirigidas a programadores