Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Defender for Containers suporta a implementação com bloqueio, que aplica políticas de segurança de imagens de contentores no momento da implementação em ambientes Kubernetes, incluindo Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE). A aplicação de execução utiliza resultados de análise de vulnerabilidades de registos de contentores suportados, incluindo Azure Container Registry (ACR), Amazon Elastic Container Registry (ECR) e Google Artifact Registry.
A implementação controlada integra-se com o controlador de admissão do Kubernetes para garantir que apenas as imagens de contentores que cumpram os requisitos de segurança da sua organização sejam executadas no seu ambiente Kubernetes. Avalia imagens de contentores em relação a regras de segurança definidas antes de serem admitidas no cluster, permitindo às equipas de segurança bloquear cargas de trabalho vulneráveis e manter a conformidade.
Benefícios
- Previne a implementação de imagens de contentores com vulnerabilidades conhecidas
- Aplica políticas de segurança em tempo real
- Integra-se com os fluxos de trabalho de gestão de vulnerabilidades do Defender for Cloud
- Suporta implementação faseada: começar no modo de auditoria, depois passar para o modo de recusa
Estratégia de capacitação
Muitos clientes já utilizam o Microsoft Defender para o scanner de vulnerabilidades Containers. A implantação controlada baseia-se nesta base:
| Modo | Descrição |
|---|---|
| Audit | Deixa a implantação continuar e gera a admissão de eventos para imagens vulneráveis que infrinjam as políticas de segurança. |
| Deny | Bloqueia a implementação de imagens que violem regras de segurança |
Comece no modo Auditoria para avaliar o impacto, depois passe para o modo Negar para aplicar as regras.
Como funciona
- As regras de segurança definem condições como a gravidade do CVE e ações como auditoria ou recusa.
- O controlador de admissão avalia as imagens dos contentores de acordo com estas regras.
- Quando uma regra coincide, o sistema toma a sua ação definida.
- O controlador de admissão utiliza os resultados das análises de vulnerabilidades de registos suportados pelo Defender for Cloud e configurados para análise, como o ACR, ECR e o Google Artifact Registry.
Principais características
- Use a regra padrão de auditoria que assinala automaticamente implantações de imagens com vulnerabilidades Elevadas ou Críticas em clusters elegíveis
- Estabeleça isenções temporais e com âmbito definido.
- Aplicar regras de forma granular por cluster, namespace, pod ou imagem.
- Monitorize os eventos de admissão através do Defender for Cloud.
Conteúdo relacionado
Obtenha orientações detalhadas nos seguintes artigos:
Guia de Habilitação: Configurar Implementação Bloqueada no Defender para Contentores Instruções passo a passo para integração, criação de regras, isenções e monitorização.
Perguntas frequentes: Implementação com bloqueio no Defender for Containers
Respostas a perguntas comuns de clientes sobre comportamento e configuração de implementação com acesso limitado.Guia de Resolução de Problemas: Implementação Bloqueada e Experiência do Desenvolvedor
Ajuda para resolver problemas de integração, falhas de implementação e interpretação de mensagens direcionadas para programadores.