Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra como habilitar e configurar a implantação fechada para clusters do Kubernetes com o Microsoft Defender para Contêineres.
A implantação controlada impõe políticas de segurança de imagem de contêiner durante a implantação, utilizando resultados de varredura de vulnerabilidades dos registros compatíveis - Registro de Contêiner do Azure (ACR), Registro Elástico de Contêiner do Amazon (ECR) e Registro de Artefatos do Google. Ele funciona com o controlador de admissão do Kubernetes para avaliar as imagens antes que o cluster as admita.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Plano do Defender | Habilite o Defender para Contêineres no registro de contêiner e nas assinaturas/contas do cluster do Kubernetes. Importante: se o registro de contêiner e o cluster do Kubernetes residirem em diferentes assinaturas do Azure (ou contas do AWS/projetos do GCP), você deverá habilitar o plano do Defender para Contêineres e as extensões relevantes em ambas as contas de nuvem. |
| Planejar extensões | Sensor Defender, portões de segurança, resultados de segurança e acesso ao registro. Ative ou desative essas extensões do plano na configuração do plano Defender para contêineres. Eles são habilitados por padrão em novos ambientes do Defender para Contêineres. |
| Suporte ao cluster do Kubernetes | AKS, EKS, GKE – versão 1.31 ou posterior. |
| Suporte ao Registro | Use o Registro de Contêiner do Azure (ACR), o ECR (Registro de Contêiner Elástico da Amazon) ou o Registro de Artefatos do Google. |
| Permissions | Crie ou altere políticas de implantação restritas com permissão de administrador de segurança ou permissão de locatário superior. Exiba-os com Leitor de Segurança ou permissão de locatário superior. |
Habilitar a implantação fechada e criar uma regra de segurança
Etapa 1: Habilitar extensões de plano necessárias
Vá para Microsoft Defender para a Nuvem>Configurações de Ambiente.
Selecione a assinatura relevante, a conta do AWS ou o projeto GCP.
Em Configurações &Monitoramento, ative estas alternâncias:
-
Defender Sensor
- Restrição de segurança
-
Acesso ao Registro
- Descobertas de segurança
-
Defender Sensor
Etapa 2: Acessar regras de segurança
Em Configurações de Ambiente, vá para o bloco Regras de Segurança .
Selecione a guia Avaliação de Vulnerabilidade .
Etapa 3: Criar uma nova regra
Observação
Por padrão, depois de habilitar os planos do Defender e as extensões necessárias, o portal cria uma regra de auditoria que sinaliza imagens com vulnerabilidades altas ou críticas.
- Selecione Adicionar Regra.
- Preencha os seguintes campos:
| Campo | Descrição |
|---|---|
| Nome da Regra | Um nome exclusivo para a regra |
| Ação | Escolher Auditoria ou Negar |
| Nome do escopo | Um rótulo para o escopo |
| Escopo da nuvem | Selecionar Assinatura do Azure, Conta do AWS ou Projeto GCP |
| Escopo do recurso | Escolha entre Cluster, Namespace, Pod, Implantação, Imagem, Seletor de rótulo |
| Critérios de Correspondência | Selecionar entre Igual a, Começa com, Termina com, Contém, Não é igual a |
Etapa 4: Definir condições
Em Configurações de Verificação, especifique:
- Condições de regra de gatilho: escolher níveis de severidade de vulnerabilidade ou IDs CVE específicas
Etapa 5: Definir isenções
As isenções permitem que recursos confiáveis ignorem as regras de controle.
Tipos de isenção com suporte
| Tipo | Descrição |
|---|---|
| CVE | ID de vulnerabilidade específica |
| Implantação | Implantação direcionada |
| Imagem | Resumo específico da imagem |
| Namespace | Namespace do Kubernetes |
| Pod | Pod específico |
| Registry | Registro de contêiner |
| Repositório | Repositório de imagem |
Critérios de correspondência
- É igual a
- Começa com
- Termina com
- Contém
Configuração de limite de tempo
| State | Comportamento |
|---|---|
| Padrão | A exclusão é indefinida |
| Habilitado por tempo determinado | Um seletor de data é exibido. A exclusão expira no final do dia selecionado |
Configure isenções durante a criação da regra. Aplicam-se às regras de auditoria e negação.
Etapa 6: Finalizar e salvar
- Examine a configuração da regra.
- Para salvar e ativar a regra, selecione Adicionar Regra.
Configuração do modo de negação
O modo de recusa pode introduzir um atraso de um ou dois segundos durante as implantações devido à aplicação de políticas em tempo real. Quando você seleciona Negar como a ação, uma notificação é exibida.
Monitoramento de admissão
Os eventos de Implantação Fechada aparecem na exibição de Monitoramento de Admissão no Defender para Nuvem. Essa visualização fornece visibilidade sobre avaliações de regra, ações ativadas e recursos afetados. Use essa exibição para acompanhar as decisões de auditoria e negação em seus clusters do Kubernetes.
Exibir detalhes do evento
Para investigar um evento de admissão específico, selecione-o na lista. Um painel de detalhes é aberto mostrando:
- Carimbo de data/hora e ação de admissão: quando o evento ocorreu e se foi permitido ou negado
- Detalhes do gatilho acionado: o resumo da imagem do contêiner, as violações detectadas e o nome da regra acionada
- Descrição da política: a política de avaliação de vulnerabilidades e os critérios usados para avaliação
- Instantâneo da configuração de regra: as condições específicas e isenções aplicadas
Práticas recomendadas para a elaboração de regras
- Comece com o modo de auditoria para monitorar o impacto antes de impor o modo Negar.
- Defina regras de escopo mais restritivas (por exemplo, por namespace ou implantação) para reduzir falsos positivos.
- Use isenções associadas ao tempo para desbloquear fluxos de trabalho críticos, mantendo a supervisão.
- Analise regularmente a atividade das regras na visualização Monitoramento de admissão para refinar a estratégia de aplicação.
Desabilitar ou excluir uma regra de segurança de implantação fechada
Desabilitar uma regra de segurança de implantação fechada
- Selecione Regras de Segurança no painel Configurações do Ambiente do Microsoft Defender para Nuvem .
- Selecione Avaliação de Vulnerabilidade para exibir uma lista de regras de segurança de Implantação Fechada definidas.
- Selecione uma regra de segurança e selecione Desabilitar.
Excluir uma regra de segurança de implantação restrita
- Selecione Regras de Segurança no painel Configurações do Ambiente do Microsoft Defender para Nuvem .
- Selecione Avaliação de Vulnerabilidade para exibir uma lista de regras de segurança definidas.
- Selecione uma regra de segurança e, em seguida, selecione Excluir.
Conteúdo relacionado
Para obter diretrizes e suporte mais detalhados, consulte a seguinte documentação:
Visão geral: implantação fechada de imagens de contêiner em um cluster do Kubernetes
Introdução ao recurso, seus benefícios, principais funcionalidades e como ele funcionaPerguntas frequentes: Implantação fechada no Defender para Contêineres
Respostas para perguntas comuns do cliente sobre o comportamento e a configuração da implantação fechadaGuia de solução de problemas: implantação fechada e experiência do desenvolvedor
Ajudar a resolver problemas de integração, falhas de implantação e interpretar mensagens voltadas para o desenvolvedor