Freigeben über

Sicherheitsdashboard in Azure Kubernetes Service (AKS) (Vorschau)

  • Artikel

Das AKS-Sicherheitsdashboard bietet umfassende Funktionen für Sichtbarkeit und automatisierte Wartung bei Sicherheitsproblemen. Mit diesen Funktionen können Plattformentwicklungsteams ihre Kubernetes-Umgebung einfach und effektiver schützen.

Durch die Konsolidierung von Sicherheits- und Betriebsdaten an einem Ort direkt im AKS-Portal können technische Fachkräfte von einer einheitlichen Ansicht ihrer Kubernetes-Umgebung profitieren. Die Ansicht ermöglicht eine effizientere Erkennung und Behebung von Sicherheitsproblemen bei minimaler Unterbrechung ihrer Workflows, um das Risiko, Sicherheitsprobleme zu übersehen, zu verringern und die Behebungszyklen zu verbessern.

Das AKS-Sicherheitsdashboard ermöglicht Benutzenden Folgendes:

  • Anzeigen des Sicherheitsstatus des Clusters
  • Aktivieren des Defender for Containers-Plan und Konfigurieren von Einstellungen für die jeweilige Clusterressource
  • Überprüfen von Empfehlungen zur Sicherheitsrisikobewertung
  • Überprüfen der Konfigurationen des Clusters und Ausführen von Containern, die von den bewährten Sicherheitsmethoden abweichen („Fehlkonfigurationen“), zusammen mit angeleiteter oder automatisierter Behebung
  • Zuweisen einer besitzenden Person zu einer Empfehlung oder einer Fehlkonfiguration, die für die Behebung bis zu einem bestimmten Datum verantwortlich ist (Verfügbar mit Defender Cloud Security Posture Management (DCSPM), aktiviert für das Abonnement)

Voraussetzungen

Das AKS-Sicherheitsdashboard zeigt Sicherheitsrisiken und Fehlkonfigurationen für einen Cluster an, wenn mindestens einer der folgenden Pläne aktiviert ist:

Verwenden des AKS-Sicherheitsdashboards

Der Zugriff auf das AKS-Sicherheitsdashboard erfolgt über einen Clusterressourcenbereich, indem in der Menüliste Microsoft Defender for Cloud ausgewählt wird. Auf dem Dashboard wird Folgendes angezeigt:

  • Zusammenfassung Sicherheitsergebnisse für diesen Cluster. Sie zeigt die Gesamtzahl der Sicherheitsrisiken und Fehlkonfigurationen nach Risikostufe an.
  • Registerkarten Sicherheitsrisiken und Fehlkonfigurationen. Jede Registerkarte zeigt eine Zusammenfassung der Risikostufe und eine Liste der Empfehlungen.
  • Status von Microsoft Defender for Containers für den Cluster und die Option zum Konfigurieren der Abdeckung

Behebung von Sicherheitsrisiken und Fehlkonfigurationen

Auf den Registerkarten Sicherheitsrisiken und Fehlkonfiguration wird durch das Auswählen einer Empfehlung ein Bereich mit den vollständigen Details der Empfehlung geöffnet. Im Detailbereich können Benutzende folgende Aktionen ausführen:

  • Anzeigen der vollständigen Details der Empfehlung und der Schritte zur Behebung
  • Beheben des Problems durch Auswählen der Option Schnelle Problembehebung
  • Zuweisen einer besitzenden Person, die für die Behebung des Problems verantwortlich ist. Durch Auswählen von Besitzende Person zuweisen wird ein Bereich geöffnet, in dem der Name der besitzenden Person, der Zeitrahmen zur Behebung und regelmäßige E-Mail-Erinnerungen festgelegt werden können.

Benutzende können mehrere Empfehlungen mithilfe des Kontrollkästchens neben den einzelnen Empfehlungen und dann Besitzende Person zuweisen auf dem Dashboard auswählen, um allen Empfehlungen eine einzelne benutzende Person zuzuweisen.

Wenn Sie CSV-Bericht herunterladen auswählen, werden die Clustersicherheitsrisiken und -fehlkonfigurationen als CSV-Datei heruntergeladen. Die Clustersicherheitsrisiken und -fehlkonfigurationen können auch mithilfe der Defender for Cloud-REST-API abgerufen werden.

Festlegen des Microsoft Defender for Containers-Plan

Wenn Sie Einstellungen unter Status von Microsoft Defender for Containers auswählen, wird ein Bereich für Benutzende geöffnet, in dem sie den Defender for Containers-Plan für den jeweiligen Cluster konfigurieren können. Wenn Defender for Containers auf Abonnementebene aktiviert ist, können Planeinstellungen nur auf Abonnementebene geändert werden. Plankonfigurationen beinhalten die folgenden Einstellungen:

  • Kubernetes-API-Zugriff: Verwaltung des Containersicherheitsstatus ohne Agent, Runtime-Sicherheitsrisikobewertung und Antwortaktionen
  • Registrierungszugriff: Sicherheitsrisikobewertung ohne Agent für Registrierungsimages
  • Azure-Richtlinie: Bereitstellung eines Agents im Cluster, um Empfehlungen für die Härtung der Steuerungs- und Datenebenen des Clusters zu generieren

Der Defender for Containers-Plan für den Cluster kann auch mithilfe der REST-API-Befehle festgelegt werden.