你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Containers 支持 门控部署,它在 Kubernetes 环境中强制实施容器映像安全策略,包括 Azure Kubernetes 服务(AKS)、Amazon Elastic Kubernetes 服务(EKS)和 Google Kubernetes 引擎(GKE)。 执行使用来自受支持容器注册表的漏洞扫描结果,包括 Azure 容器注册表(ACR)、Amazon 弹性容器注册表(ECR)以及 Google Artifact Registry。
封闭式部署与 Kubernetes 允许控制器集成,以确保只有满足组织安全要求的容器映像才能在 Kubernetes 环境中运行。 它根据定义的安全规则评估容器映像,然后才能进入群集,使安全团队能够阻止易受攻击的工作负载并维护合规性。
优点
- 防止部署具有已知漏洞的容器映像
- 实时强制实施安全策略
- 与 Microsoft Defender for Cloud 的漏洞管理工作流集成
- 支持分阶段推出:在审核模式下启动,然后移动到拒绝模式
赋能策略
许多客户已经使用 Microsoft Defender for Containers 漏洞扫描程序。 封闭式部署基于以下基础:
| 模式 | 说明 |
|---|---|
| Audit | 让我们继续部署,并为违反安全规则的易受攻击的映像生成准入事件 |
| Deny | 阻止部署违反安全规则的映像 |
在审核模式下开始评估影响,然后移动到“拒绝”模式以强制实施规则。
工作原理
- 安全规则定义了条件(如 CVE 严重性)以及动作(如审核或拒绝)。
- 准入控制器根据这些规则评估容器映像。
- 规则匹配时,系统会执行其定义的动作。
- 准入控制器使用 Defender for Cloud 支持的注册表中的漏洞扫描结果,这些注册表被配置为进行扫描,如 ACR、ECR 和 Google Artifact Registry。
主要功能
- 使用默认审核规则,在符合条件的群集上自动标记具有高漏洞或严重漏洞的映像部署
- 设置有时间限制的范围豁免。
- 按群集、命名空间、Pod 或映像精细划分目标规则。
- 通过 Defender for Cloud 监控访问事件。
相关内容
获取以下文章中的详细指南:
启用指南:在 Defender for Containers 中配置封闭部署 有关载入、规则创建、豁免和监视的分步说明。
常见问题解答:Defender for Containers 中的封闭部署
有关封闭部署行为和配置的常见客户问题的解答。故障排除指南:封闭部署和开发人员体验
帮助解决载入问题、部署失败以及解释面向开发人员的消息。