Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta FAQ aborda questões comuns sobre implementação bloqueada no Microsoft Defender for Containers. A implementação com bloqueio aplica políticas de segurança de imagens de contentores no momento da implementação em ambientes Kubernetes suportados, com base nos resultados de varredura de vulnerabilidades provenientes de registos integrados de contentores.
O que é uma implantação controlada?
A implementação com bloqueio é uma funcionalidade de segurança que avalia imagens de contentores de acordo com regras de segurança definidas antes de serem admitidas num cluster Kubernetes.
Qual é a diferença entre o modo de auditoria e o modo de recusa?
| Modo | Comportamento |
|---|---|
| Audit | Permite a implementação mas gera eventos de monitorização para revisão |
| Deny | Bloqueia a implementação de imagens que violem regras de segurança |
Use o modo de auditoria para o lançamento inicial para avaliar o impacto. O modo de negação impõe a política ao impedir a implementação de imagens não compatíveis.
Existe alguma regra padrão?
Yes. Se cumprir todos os pré-requisitos, o Defender for Containers cria automaticamente uma regra de auditoria padrão que assinala imagens de contentores com vulnerabilidades elevadas ou críticas.
O que acontece se eu implementar uma imagem antes de os resultados da análise estarem disponíveis?
Por defeito, se os resultados da análise ainda não estiverem disponíveis no registo do contentor, a implementação bloqueada não se aplica. A imagem é desdobrada sem imposição. Pode atualizar esta definição durante a criação da regra para bloquear imagens sem resultados de varredura.
Onde posso consultar avaliações de regras e resultados de aplicação?
Todos os eventos de Implementação Bloqueada aparecem na vista de Monitorização de Admissão no Defender for Cloud. A visualização mostra avaliações de regras, ações ativadas e recursos afetados.
Para aceder ao Acompanhamento de Admissão:
- Aceda a Microsoft Defender for Cloud>Definições do Ambiente.
- Selecione o bloco Regras de Segurança.
- Navegue até à visualização Monitorização de Admissão no painel de navegação esquerdo.
Saiba mais sobre como monitorizar eventos de implementação com bloqueio.
Posso isentar CVEs ou recursos específicos?
Sim, pode configurar isenções durante a criação das regras. Os tipos de isenção suportados incluem:
- CVE
- Implantação
- Imagem
- Namespace
- Cápsula
- Registry
- Repositório
As isenções podem ser definidas por âmbito e com prazos.
Posso definir uma expiração para as isenções?
Sim, pode. Ao criar uma isenção, ative a opção Time-bound e selecione uma data de validade. A isenção expira automaticamente no final do dia selecionado.
O modo Negar afeta o desempenho de implementação?
Yes. O modo de recusa pode introduzir um atraso de 1-2 segundos durante a implementação devido à aplicação em tempo real da política.
Posso gerir isenções ou regras através da API ou CLI?
Atualmente, gere a Implementação Bloqueada através do portal Defender for Cloud. Crias regras e configuras isenções através da interface.
É suportada a Implementação Controlada em ambientes multicloud?
Sim, a Implementação Controlada suporta ambientes cloud Azure, AWS e GCP e plataformas Kubernetes. Inclui integração com o registo para análise de vulnerabilidades.
Conteúdo relacionado
Para orientações e apoio mais detalhados, consulte a seguinte documentação:
Visão geral: Implantação Controlada de Imagens de Contentores num Cluster Kubernetes
Introdução à funcionalidade, ao seu valor e ao seu funcionamento.Guia de Habilitação: Configurar Implementação Bloqueada no Defender para Contentores
Instruções passo a passo para integração, criação de regras, isenções e monitorização.Guia de Resolução de Problemas: Implementação Bloqueada e Experiência do Desenvolvedor
Ajuda para resolver problemas de integração, falhas de implementação e interpretação de mensagens direcionadas para programadores.