Lesen Sie die Empfehlungen zur Härtung von Docker-Hosts
Microsoft Defender für Cloud identifiziert nicht verwaltete Container, die auf IaaS-Linux-VMs oder anderen Linux-Computern mit ausgeführten Docker-Containern gehostet werden. Defender für Cloud bewertet kontinuierlich die Konfigurationen dieser Container. Anschließend werden sie mit dem Docker-Benchmark von Center for Internet Security (CIS) verglichen.
Defender für Cloud umfasst den gesamten Regelsatz des CIS-Docker-Benchmarks und benachrichtigt Sie, sobald Ihre Container eine der Kontrollen nicht bestehen. Falls Fehlkonfigurationen gefunden werden, werden von Defender für Cloud Sicherheitsempfehlungen generiert. Verwenden Sie die Seite Empfehlungen in Defender für Cloud, um Empfehlungen anzuzeigen und Probleme zu beheben.
Wenn Sicherheitsrisiken gefunden wurden, werden diese in einer einzigen Empfehlung gruppiert.
Hinweis
Diese CIS-Benchmarkprüfungen können nicht auf von AKS oder Databricks verwalteten virtuellen Computern ausgeführt werden.
Verfügbarkeit
Aspekt | Details |
---|---|
Status des Release: | Allgemeine Verfügbarkeit (General Availability, GA) |
Preise: | Erfordert Microsoft Defender für Server-Plan 2 |
Erforderliche Rollen und Berechtigungen: | Leser in dem Arbeitsbereich, mit dem der Host verbunden wird |
Clouds: | Kommerzielle Clouds National (Azure Government, Microsoft Azure betrieben von 21Vianet) Verknüpfte AWS-Konten |
Identifizieren und Beheben von Sicherheitsrisiken in der Docker-Konfiguration
Öffnen Sie im Menü von Defender für Cloud die Seite Empfehlungen.
Filtern Sie nach der Empfehlung Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden, und wählen Sie diese Empfehlung aus.
Auf der Empfehlungsseite werden die betroffenen Ressourcen (Docker-Hosts) angezeigt.
Hinweis
Computer, auf denen Docker nicht ausgeführt wird, werden auf der Registerkarte Nicht anwendbare Ressourcen aufgeführt. Sie werden in Azure Policy als konform angezeigt.
Um die CIS-Steuerelemente für einen bestimmten Host, bei dem ein Fehler aufgetreten ist, anzuzeigen und zu beheben, wählen Sie den zu untersuchenden Host aus.
Tipp
Wenn Sie auf der Seite für den Ressourcenbestand begonnen und diese Empfehlung von dort aus erreicht haben, wählen Sie auf der Empfehlungsseite die Schaltfläche Aktion ausführen aus.
Log Analytics wird geöffnet und zeigt einen benutzerdefinierten Vorgang, der direkt ausgeführt werden kann. Die standardmäßige benutzerdefinierte Abfrage enthält eine Liste aller fehlerhaften Regeln, die bewertet wurden, sowie Anleitungen zum Beheben der Probleme.
Optimieren Sie die Abfrageparameter bei Bedarf.
Wenn Sie sicher sind, dass der Befehl für Ihren Host geeignet und bereit ist, wählen Sie Ausführen aus.
Nächster Schritt
Die Docker-Härtung ist nur ein Aspekt der Containersicherheitsfeatures von Defender für Cloud.
Weitere Informationen finden Sie unter Containersicherheit in Defender für Cloud.