Sdílet prostřednictvím

Kontrola doporučení k posílení zabezpečení hostitele Dockeru

  • Článek

Plán Defender for Servers v Programu Microsoft Defender for Cloud identifikuje nespravované kontejnery hostované na virtuálních počítačích S Linuxem IaaS nebo jiných linuxových počítačích s kontejnery Dockeru. Defender for Servers nepřetržitě posuzuje konfiguraci těchto hostitelů Dockeru a porovnává je s srovnávacím testem Dockeru Center for Internet Security (CIS).

  • Defender for Cloud zahrnuje celou sadu pravidel srovnávacího testu CIS Dockeru a upozorní vás, pokud vaše kontejnery nevyhovují žádnému z ovládacích prvků.
  • Když najde chybné konfigurace, Defender for Servers vygeneruje doporučení zabezpečení k řešení zjištění. Když se zjistí ohrožení zabezpečení, seskupí se do jednoho doporučení.

Poznámka:

Posílení zabezpečení hostitele Dockeru využívá agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA) ke shromažďování informací o hostitelích pro účely posouzení. MMA se vyřazuje z provozu a funkce posílení zabezpečení hostitele Dockeru bude v listopadu 2024 zastaralá.

Požadavky

  • K použití této funkce potřebujete Defender for Servers Plan 2 .
  • Tyto kontroly srovnávacích testů CIS se nespustí na virtuálních počítačích spravovaných službou AKS ani ve virtuálních počítačích spravovaných službou Databricks.
  • K pracovnímu prostoru, ke kterému se hostitel připojuje, potřebujete oprávnění čtenáře.

Identifikace problémů s konfigurací Dockeru

  1. V nabídce Defenderu pro cloud otevřete stránku Doporučení .

  2. Vyfiltrujte doporučení Ohrožení zabezpečení v konfiguracích zabezpečení kontejneru a vyberte doporučení.

    Na stránce doporučení se zobrazují ovlivněné prostředky (hostitelé Dockeru).

    Doporučení k nápravě ohrožení zabezpečení v konfiguracích zabezpečení kontejneru

    Poznámka:

    Počítače, na kterých není spuštěný Docker, se zobrazí na kartě Nepoužitelné prostředky . Zobrazí se ve službě Azure Policy jako vyhovující předpisům.

  3. Pokud chcete zobrazit a opravit ovládací prvky CIS, které konkrétní hostitel selhal, vyberte hostitele, kterého chcete prozkoumat.

    Tip

    Pokud jste začali na stránce inventáře prostředků a odsud jste dosáhli tohoto doporučení, vyberte na stránce doporučení tlačítko Provést akci .

    Spusťte Log Analytics tlačítkem akce.

    Log Analytics se otevře s vlastní operací připravenou ke spuštění. Výchozí vlastní dotaz obsahuje seznam všech chybných pravidel, která byla posouzena, spolu s pokyny, které vám pomůžou tyto problémy vyřešit.

    Stránka Log Analytics s dotazem zobrazující všechny neúspěšné ovládací prvky CIS

  4. V případě potřeby upravte parametry dotazu.

  5. Až budete mít jistotu, že je příkaz vhodný a připravený pro vašeho hostitele, vyberte Spustit.

Další kroky

Přečtěte si další informace o zabezpečení kontejnerů v defenderu pro cloud.