Freigeben über


Empfehlungen für Containersicherheit

In diesem Artikel werden alle Containersicherheitsempfehlungen aufgeführt, die möglicherweise in Microsoft Defender für Cloud angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.

Tipp

Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.

Empfehlungen für Azure-Container

Azure Arc-fähigen Kubernetes-Cluster sollten die Azure Policy-Erweiterung installiert haben

Beschreibung: Die Azure-Richtlinienerweiterung für Kubernetes erweitert Gatekeeper v3, einen Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte, konsistente Weise anzuwenden. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Azure Arc-fähige Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben.

Beschreibung: Die Defender-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Steuerebenenknoten (Masterknoten) im Cluster und sendet sie zur weiteren Analyse an das Back-End von Microsoft Defender für Kubernetes in der Cloud. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein

Beschreibung: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie das Profil „SecurityProfile.AzureDefender“ in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Container. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Azure Kubernetes Service-Cluster sollten das Azure Policy Add-On für Kubernetes installiert haben

Beschreibung: Das Azure-Richtlinien-Add-On für Kubernetes erweitert Gatekeeper v3, einen Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte, konsistente Weise anzuwenden. Für Defender für Cloud ist es erforderlich, dass das Add-On Sicherheitsfunktionen und Compliance in Ihren Clustern überwacht und erzwingt. Weitere Informationen Kubernetes v1.14.0 oder höher erforderlich. (Verwandte Richtlinie: Das Azure-Richtlinien-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden.

Schweregrad: hoch

Typ: Steuerebene

Sicherheitsrisiken in Containerimages der Azure-Registrierung sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management)

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. (Verwandte Richtlinie: Sicherheitsrisiken in Azure-Containerregistrierungsimages sollten behoben werden.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

Sicherheitsrisiken in Containerimages der Azure-Registrierung sollten behoben werden (unterstützt von Qualys).

Beschreibung: Die Sicherheitsrisikobewertung des Containerimages überprüft Ihre Registrierung auf Sicherheitsrisiken und macht detaillierte Ergebnisse für jedes Image verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. (Verwandte Richtlinie: Sicherheitsrisiken in Azure-Containerregistrierungsimages sollten behoben werden.

Bewertungsschlüssel: dbd0cb49-b563-45e7-9724-889e799fa648

Typ: Sicherheitsrisikobewertung

Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management)

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

Sicherheitsrisiken in ausgeführten Containerimages in Azure sollten behoben werden (unterstützt von Qualys).

Beschreibung: Die Bewertung der Sicherheitsrisikobewertung von Containerimages überprüft Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, auf Sicherheitsrisiken und macht detaillierte Ergebnisse für jedes Image verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. (Keine zugehörige Richtlinie)

Bewertungsschlüssel: 41503391-efa5-47ee-9282-4eff6131462c

Typ: Sicherheitsrisikobewertung

Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden

Beschreibung: Das Erzwingen von CPU- und Speichergrenzen verhindert Ressourcenausschöpfungsangriffe (eine Form des Denial-of-Service-Angriffs).

Es wird empfohlen, durch Grenzwerte für Container sicherzustellen, dass die Runtime den Container daran hindert, mehr als die konfigurierten Ressourcengrenzwerte zu verwenden.

(Verwandte Richtlinie: Stellen Sie sicher, dass die Grenzwerte für die Cpu- und Arbeitsspeicherressourcen des Containers die angegebenen Grenzwerte im Kubernetes-Cluster nicht überschreiten.

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Containerimages dürfen nur aus vertrauenswürdigen Registrierungen bereitgestellt werden

Beschreibung: Bilder, die auf Ihrem Kubernetes-Cluster ausgeführt werden, sollten aus bekannten und überwachten Containerimageregistrierungen stammen. Vertrauenswürdige Registrierungen verringern das Risiko ihrer Clustergefährdung, indem das Potenzial für die Einführung unbekannter Sicherheitsrisiken, Sicherheitsprobleme und bösartiger Bilder eingeschränkt wird.

(Verwandte Richtlinie: Stellen Sie sicher, dass nur zulässige Containerimages im Kubernetes-Cluster zulässig sind.

Schweregrad: hoch

Typ: Kubernetes-Datenebene

[Vorschau] Bei Containerimages in der Azure-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Empfehlungs-Azure-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management), wenn die neue Empfehlung allgemein verfügbar ist.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

(Bei Bedarf aktivieren) Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter Übersicht über vom Kunden verwaltete Schlüssel. (Verwandte Richtlinie: Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Schweregrad: Niedrig

Typ: Steuerebene

Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen

Beschreibung: Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in jedem Netzwerk. Lassen Sie den Zugriff nur über bestimmte öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über eine IP-/Firewallregel oder ein konfiguriertes virtuelles Netzwerk verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Erfahren Sie mehr über Containerregistrierungsnetzwerkregeln unter Konfigurieren öffentlicher IP-Netzwerkregeln und Einschränken des Zugriffs auf eine Containerregistrierung mithilfe eines Dienstendpunkts in einem virtuellen Azure-Netzwerk. (Verwandte Richtlinie: Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen).

Schweregrad: Mittel

Typ: Steuerebene

Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. (Verwandte Richtlinie: Containerregistrierungen sollten einen privaten Link verwenden).

Schweregrad: Mittel

Typ: Steuerebene

[Vorschau] Bei in Azure ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud erstellt einen Bestand aller Containerarbeitslasten, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem sie die Images und die für die Registrierungsimages erstellten Sicherheitsrisikoberichte abgleichen. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Hinweis

Ab dem 6. Oktober 2024 wurde diese Empfehlung aktualisiert, um nur einen einzelnen Container für jeden Stammcontroller zu melden. Wenn beispielsweise ein Cronjob mehrere Aufträge erstellt, bei denen jeder Auftrag einen Pod mit einem anfälligen Container erstellt, meldet die Empfehlung nur eine einzelne Instanz der anfälligen Container innerhalb dieses Auftrags. Diese Änderung unterstützt das Entfernen doppelter Berichte für identische Container, die eine einzige Aktion zur Behebung erfordern. Wenn Sie diese Empfehlung vor der Änderung verwendet haben, sollten Sie eine Verringerung der Anzahl der Instanzen dieser Empfehlung erwarten.
Um diese Verbesserung zu unterstützen, wurde der Bewertungsschlüssel für diese Empfehlung aktualisiert auf c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Wenn Sie derzeit Sicherheitsrisikenberichte von dieser Empfehlung über DIE API abrufen, stellen Sie sicher, dass Sie den API-Aufruf so ändern, dass der neue Bewertungsschlüssel verwendet wird.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

Container mit Freigabe sensibler Hostnamespaces vermeiden

Beschreibung: Vermeiden Sie den Pod-Zugriff auf vertrauliche Hostnamespaces (Hostprozess-ID und Host-IPC) in einem Kubernetes-Cluster, um vor einer Berechtigungseskalation außerhalb des Containers zu schützen. (Verwandte Richtlinie: Kubernetes-Clustercontainer sollten keine Hostprozess-ID oder Host-IPC-Namespace freigeben).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Container sollten nur zulässige AppArmor-Profile verwenden

Beschreibung: Container, die auf Kubernetes-Clustern ausgeführt werden, sollten nur auf zulässige AppArmor-Profile beschränkt sein. AppArmor (Anwendungsrüstung) ist ein Linux-Sicherheitsmodul, das ein Betriebssystem und dessen Anwendungen vor Sicherheitsbedrohungen schützt. Zur Verwendung ordnet ein Systemadministrator jedem Programm ein AppArmor-Sicherheitsprofil zu. (Verwandte Richtlinie: Kubernetes-Clustercontainer sollten nur zulässige AppArmor-Profile verwenden.

Schweregrad: hoch

Typ: Kubernetes-Datenebene

Container mit Rechteausweitung müssen vermieden werden

Beschreibung: Container sollten nicht mit Berechtigungseskalation ausgeführt werden, um in Ihrem Kubernetes-Cluster zu rooten. Das AllowPrivilegeEscalation-Attribut steuert, ob ein Prozess mehr Berechtigungen als der übergeordnete Prozess erhalten kann. (Verwandte Richtlinie: Kubernetes-Cluster dürfen keine Containerberechtigungseskalation zulassen).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert sein.

Beschreibung: Aktivieren Sie Diagnoseprotokolle in Ihren Kubernetes-Diensten, und behalten Sie sie bis zu einem Jahr bei. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Typ: Steuerebene

Unveränderliches (schreibgeschütztes) Stammdateisystem für Container erzwingen

Beschreibung: Container sollten mit einem schreibgeschützten Stammdateisystem in Ihrem Kubernetes-Cluster ausgeführt werden. Ein unveränderliches Dateisystem schützt Container vor Änderungen zur Laufzeit, wenn im PATH schädliche Binärdateien hinzugefügt werden. (Verwandte Richtlinie: Kubernetes-Clustercontainer sollten mit einem schreibgeschützten Stammdateisystem ausgeführt werden.

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Kubernetes-API-Server muss mit eingeschränktem Zugriff konfiguriert werden

Beschreibung: Um sicherzustellen, dass nur Anwendungen von zulässigen Netzwerken, Computern oder Subnetzen auf Ihren Cluster zugreifen können, beschränken Sie den Zugriff auf Ihren Kubernetes-API-Server. Sie können den Zugriff einschränken, indem Sie autorisierte IP-Bereiche definieren oder Ihre API-Server als private Cluster einrichten, wie im Erstellen eines privaten Azure Kubernetes-Dienstclusters erläutert. (Verwandte Richtlinie: Autorisierte IP-Bereiche sollten für Kubernetes-Dienste definiert werden.

Schweregrad: hoch

Typ: Steuerebene

Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.

Beschreibung: Die Verwendung von HTTPS stellt die Authentifizierung sicher und schützt Daten während der Übertragung vor Lauschangriffen auf Netzwerkebene. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc (verwandte Richtlinie: Erzwingen des HTTPS-Eingangs im Kubernetes-Cluster).

Schweregrad: hoch

Typ: Kubernetes-Datenebene

Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden

Beschreibung: Deaktivieren Sie die Anmeldeinformationen für die automatische Bereitstellung von APIs, um zu verhindern, dass eine potenziell kompromittierte Pod-Ressource API-Befehle für Kubernetes-Cluster ausführt. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. (Verwandte Richtlinie: Kubernetes-Cluster sollten api-Anmeldeinformationen für die automatische Bereitstellung deaktivieren.

Schweregrad: hoch

Typ: Kubernetes-Datenebene

Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren

Beschreibung: Um die Angriffsfläche Ihrer Container zu reduzieren, beschränken Sie CAP_SYS_ADMIN Linux-Funktionen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Kubernetes-Datenebene

Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden

Beschreibung: Verhindern Sie die Verwendung des Standardnamespaces in Kubernetes-Clustern, um vor unbefugtem Zugriff für Die Ressourcentypen ConfigMap, Pod, Secret, Service und ServiceAccount zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. (Verwandte Richtlinie: Kubernetes-Cluster sollten nicht den Standardnamespace verwenden).

Schweregrad: Niedrig

Typ: Kubernetes-Datenebene

Linux-Funktionen mit den niedrigsten Berechtigungen für Container erzwingen

Beschreibung: Um die Angriffsfläche Ihres Containers zu reduzieren, beschränken Sie Linux-Funktionen, und gewähren Sie Containern bestimmte Berechtigungen, ohne alle Berechtigungen des Stammbenutzers zu gewähren. Es wird empfohlen, alle Funktionen zu löschen und dann diejenigen hinzuzufügen, die erforderlich sind (verwandte Richtlinie: Kubernetes-Clustercontainer sollten nur zulässige Funktionen verwenden).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Microsoft Defender für Container sollte aktiviert sein

Beschreibung: Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multicloud Kubernetes-Umgebungen. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.

Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer Kubernetes-Cluster an. Es fallen keine Gebühren an, falls Sie in diesem Abonnement nicht über Kubernetes-Cluster verfügen. Wenn Sie in diesem Abonnement Kubernetes-Cluster erstellen, werden diese automatisch geschützt, und die Abrechnung der Gebühren beginnt ab diesem Zeitpunkt. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Container. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Typ: Steuerebene

Privilegierte Container müssen vermieden werden

Beschreibung: Um uneingeschränkten Hostzugriff zu verhindern, vermeiden Sie nach Möglichkeit privilegierte Container.

Privilegierte Container verfügen über alle Stammfunktionen eines Hostcomputers. Sie können als Einstiegspunkte für Angriffe verwendet werden und bösartigen Code oder Schadsoftware auf kompromittierte Anwendungen, Hosts und Netzwerke verbreiten. (Verwandte Richtlinie: Privilegierte Container im Kubernetes-Cluster nicht zulassen).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Für Kubernetes-Dienste muss die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet werden

Beschreibung: Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um berechtigungen in Kubernetes-Dienstclustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. (Verwandte Richtlinie: Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Services verwendet werden.

Schweregrad: hoch

Typ: Steuerebene

Das Ausführen von Containern als Root-Benutzer muss vermieden werden

Beschreibung: Container sollten nicht als Stammbenutzer in Ihrem Kubernetes-Cluster ausgeführt werden. Wenn Sie einen Prozess als Root-Benutzer in einem Container ausführen, wird dieser als Root auf dem Host ausgeführt. Bei einer Gefährdung hat ein Angreifer Root-Zugriff im Container, und etwaige Fehlkonfigurationen können einfacher ausgenutzt werden. (Verwandte Richtlinie: Kubernetes-Cluster-Pods und -Container sollten nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden.

Schweregrad: hoch

Typ: Kubernetes-Datenebene

Dienste dürfen nur an zulässigen Ports lauschen

Beschreibung: Um die Angriffsfläche Ihres Kubernetes-Clusters zu reduzieren, beschränken Sie den Zugriff auf den Cluster, indem Sie den Zugriff auf die konfigurierten Ports beschränken. (Verwandte Richtlinie: Stellen Sie sicher, dass Dienste nur auf zulässigen Ports im Kubernetes-Cluster lauschen.

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Verwendung von Hostnetzwerken und -ports einschränken

Beschreibung: Einschränken des Podzugriffs auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster. Pods, die mit aktiviertem Attribut „hostNetwork“ erstellt werden, teilen sich den Netzwerkbereich des Knotens. Um zu verhindern, dass kompromittierte Container den Netzwerkdatenverkehr ermitteln, wird empfohlen, Pods nicht im Hostnetzwerk zu platzieren. Wenn Sie einen Containerport im Netzwerk des Knotens verfügbar machen müssen und ein Kubernetes-Dienstknotenport nicht Ihren Anforderungen entspricht, besteht eine weitere Möglichkeit darin, einen HostPort für den Container in der Pod-Spezifikation anzugeben. (Verwandte Richtlinie: Kubernetes-Cluster-Pods sollten nur genehmigtes Hostnetzwerk und Portbereich verwenden).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Verwendung von HostPath-Volumeeinbindungen von Pods sollte auf eine bekannte Liste beschränkt sein, um den Knotenzugriff von kompromittierten Containern zu begrenzen

Beschreibung: Es wird empfohlen, pod HostPath-Volume mounts in Ihrem Kubernetes-Cluster auf die konfigurierten zulässigen Hostpfade zu beschränken. Bei einer Gefährdung sollte der Zugriff auf den Containerknoten aus den Containern eingeschränkt werden. (Verwandte Richtlinie: Kubernetes-Clusterhostpath-Volumes sollten nur zulässige Hostpfade verwenden).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Empfehlungen für AWS-Container

[Vorschau] Bei Containerimages in der AWS-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Empfehlungs-AWS-Registrierungscontainerimages sollten Sicherheitsrisiken gefunden haben (unterstützt von Microsoft Defender Vulnerability Management) werden von der neuen Empfehlung allgemein verfügbar entfernt.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

[Vorschau] Bei in AWS ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud erstellt einen Bestand aller Containerarbeitslasten, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem sie die Images und die für die Registrierungsimages erstellten Sicherheitsrisikoberichte abgleichen. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Hinweis

Ab dem 6. Oktober 2024 wurde diese Empfehlung aktualisiert, um nur einen einzelnen Container für jeden Stammcontroller zu melden. Wenn beispielsweise ein Cronjob mehrere Aufträge erstellt, bei denen jeder Auftrag einen Pod mit einem anfälligen Container erstellt, meldet die Empfehlung nur eine einzelne Instanz der anfälligen Container innerhalb dieses Auftrags. Diese Änderung unterstützt das Entfernen doppelter Berichte für identische Container, die eine einzige Aktion zur Behebung erfordern. Wenn Sie diese Empfehlung vor der Änderung verwendet haben, sollten Sie eine Verringerung der Anzahl der Instanzen dieser Empfehlung erwarten.
Um diese Verbesserung zu unterstützen, wurde der Bewertungsschlüssel für diese Empfehlung aktualisiert auf 8749bb43-cd24-4cf9-848c-2a50f632043c. Wenn Sie derzeit Sicherheitsrisikenberichte von dieser Empfehlung über DIE API abrufen, stellen Sie sicher, dass Sie den API-Aufruf aktualisieren, um den neuen Bewertungsschlüssel zu verwenden.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

EKS-Cluster sollten Microsoft Defender für Cloud die erforderlichen AWS-Berechtigungen erteilen.

Beschreibung: Microsoft Defender für Container bietet Schutzfunktionen für Ihre EKS-Cluster. Um Ihren Cluster auf Sicherheitsrisiken und Bedrohungen zu überwachen, benötigt Defender für Container Berechtigungen für Ihr AWS-Konto. Diese Berechtigungen werden verwendet, um die Kubernetes-Steuerungsebenenprotokollierung in Ihrem Cluster zu aktivieren und eine zuverlässige Pipeline zwischen Ihrem Cluster und Defender für Cloud-Back-End in der Cloud einzurichten. Erfahren Sie mehr über Sicherheitsfeatures von Microsoft Defender für Cloud für Containerumgebungen.

Schweregrad: hoch

EKS-Cluster sollten die Microsoft Defender-Erweiterung für Azure Arc installiert haben.

Beschreibung: Die Clustererweiterung von Microsoft Defender bietet Sicherheitsfunktionen für Ihre EKS-Cluster. Die Erweiterung sammelt Daten aus einem Cluster und seinen Knoten, um Sicherheitsrisiken und Bedrohungen zu identifizieren. Die Erweiterung funktioniert mit Azure Arc-aktiviertem Kubernetes. Erfahren Sie mehr über Sicherheitsfeatures von Microsoft Defender für Cloud für Containerumgebungen.

Schweregrad: hoch

Microsoft Defender für Container sollte für AWS-Connectors aktiviert sein.

Beschreibung: Microsoft Defender für Container bietet Echtzeit-Bedrohungsschutz für containerisierte Umgebungen und generiert Warnungen zu verdächtigen Aktivitäten. Verwenden Sie diese Informationen, um die Sicherheit von Kubernetes-Clustern zu erhöhen und Sicherheitsprobleme zu beheben.

Wenn Sie Microsoft Defender für Container aktivieren und Azure Arc in Ihren EKS-Clustern bereitstellen, beginnen die Schutzmaßnahmen und Gebühren. Wenn Sie Azure Arc nicht auf einem Cluster bereitstellen, schützt Defender für Container es nicht, und für diesen Microsoft Defender-Plan für diesen Cluster entstehen keine Gebühren.

Schweregrad: hoch

Empfehlungen auf Datenebene

Alle Sicherheitsempfehlungen für Kubernetes-Datenebenen werden für AWS unterstützt, nachdem Sie Azure Policy für Kubernetes aktiviert haben.

Empfehlungen für GCP-Container

Die erweiterte Konfiguration von Defender for Containers sollte für GCP-Connectors aktiviert sein.

Beschreibung: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Um sicherzustellen, dass die Lösung ordnungsgemäß bereitgestellt wird und alle Berechtigungen verfügbar sind, aktivieren Sie alle erweiterten Konfigurationseinstellungen.

Schweregrad: hoch

[Vorschau] Bei Containerimages in der GCP-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Empfehlungs-GCP-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt durch die Microsoft Defender-Sicherheitsrisikoverwaltung werden entfernt, wenn die neue Empfehlung allgemein verfügbar ist.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

[Vorschau] Bei in GCP ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein.

Beschreibung: Defender für Cloud erstellt einen Bestand aller Containerarbeitslasten, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem sie die Images und die für die Registrierungsimages erstellten Sicherheitsrisikoberichte abgleichen. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.

Die neue Empfehlung befindet sich in der Vorschau und wird nicht für die Berechnung der Sicherheitsbewertung verwendet.

Hinweis

Ab dem 6. Oktober 2024 wurde diese Empfehlung aktualisiert, um nur einen einzelnen Container für jeden Stammcontroller zu melden. Wenn beispielsweise ein Cronjob mehrere Aufträge erstellt, bei denen jeder Auftrag einen Pod mit einem anfälligen Container erstellt, meldet die Empfehlung nur eine einzelne Instanz der anfälligen Container innerhalb dieses Auftrags. Diese Änderung unterstützt das Entfernen doppelter Berichte für identische Container, die eine einzige Aktion zur Behebung erfordern. Wenn Sie diese Empfehlung vor der Änderung verwendet haben, sollten Sie eine Verringerung der Anzahl der Instanzen dieser Empfehlung erwarten.
Um diese Verbesserung zu unterstützen, wurde der Bewertungsschlüssel für diese Empfehlung aktualisiert auf 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Wenn Sie derzeit Sicherheitsrisikenberichte von dieser Empfehlung über DIE API abrufen, stellen Sie sicher, dass Sie den API-Aufruf aktualisieren, um den neuen Bewertungsschlüssel zu verwenden.

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

GKE-Cluster sollten die Microsoft Defender-Erweiterung für Azure Arc installiert haben.

Beschreibung: Die Clustererweiterung von Microsoft Defender bietet Sicherheitsfunktionen für Ihre GKE-Cluster. Die Erweiterung sammelt Daten aus einem Cluster und seinen Knoten, um Sicherheitsrisiken und Bedrohungen zu identifizieren. Die Erweiterung funktioniert mit Azure Arc-aktiviertem Kubernetes. Erfahren Sie mehr über Sicherheitsfeatures von Microsoft Defender für Cloud für Containerumgebungen.

Schweregrad: hoch

Für GKE-Cluster sollte die Azure Policy-Erweiterung installiert sein

Beschreibung: Die Azure-Richtlinienerweiterung für Kubernetes erweitert Gatekeeper v3, einen Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte, konsistente Weise anzuwenden. Die Erweiterung funktioniert mit Azure Arc-aktiviertem Kubernetes.

Schweregrad: hoch

Microsoft Defender for Containers sollte für GCP-Connectors aktiviert sein.

Beschreibung: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Aktivieren Sie den Containerplan für Ihren GCP-Connector, um die Sicherheit von Kubernetes-Clustern zu erhöhen und Sicherheitsprobleme zu verringern. Erfahren Sie mehr über Microsoft Defender für Container.

Schweregrad: hoch

Das Feature für die automatische Reparatur des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar aus. key: autoRepair, value: true

Schweregrad: Mittel

Das Feature für das automatische Upgrade des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar aus. key: autoUpgrade, value: true

Schweregrad: hoch

Die Überwachung auf GKE-Clustern sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die monitoringService-Eigenschaft eines Clusters die Standort-Cloudüberwachung enthält, die zum Schreiben von Metriken verwendet werden soll.

Schweregrad: Mittel

Die Protokollierung für GKE-Cluster sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die loggingService-Eigenschaft eines Clusters die Speicherort-Cloudprotokollierung zum Schreiben von Protokollen enthält.

Schweregrad: hoch

Das GKE-Webdashboard sollte deaktiviert sein.

Beschreibung: Diese Empfehlung wertet das KubernetesDashboard-Feld der AddonsConfig-Eigenschaft für das Schlüsselwertpaar "disabled": false aus.

Schweregrad: hoch

Die Legacy-Autorisierung sollte in GKE-Clustern deaktiviert werden.

Beschreibung: Diese Empfehlung wertet die LegacyAbac-Eigenschaft eines Clusters für das Schlüsselwertpaar "enabled": true aus.

Schweregrad: hoch

Die Steuerungsebene autorisierter Netzwerke sollte für GKE-Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet die masterAuthorizedNetworksConfig-Eigenschaft eines Clusters für das Schlüsselwertpaar "enabled": false aus.

Schweregrad: hoch

Für GKE-Cluster sollten Alias-IP-Bereiche aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das useIPAliases-Feld der ipAllocationPolicy in einem Cluster auf "false" festgelegt ist.

Schweregrad: Niedrig

Für GKE-Cluster sollten private Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das EnablePrivateNodes-Feld der privateClusterConfig-Eigenschaft auf "false" festgelegt ist.

Schweregrad: hoch

Die Netzwerkrichtlinie sollte auf GKE-Clustern aktiviert sein.

Beschreibung: Diese Empfehlung wertet das NetworkPolicy-Feld der AddonsConfig-Eigenschaft für das Schlüsselwertpaar "disabled" aus: true.

Schweregrad: Mittel

Empfehlungen auf Datenebene

Alle Sicherheitsempfehlungen für Kubernetes-Datenebenen werden für GCP unterstützt, nachdem Sie Azure-Richtlinie für Kubernetes aktiviert haben.

Empfehlungen für externe Containerregistrierungen

[Vorschau] Containerimages in der Docker Hub-Registrierung sollten Sicherheitsrisiken behoben haben

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Beheben von Sicherheitsrisiken in Containerimages trägt dazu bei, eine sichere und zuverlässige Software-Lieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.",

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung

[Vorschau] Containerimages in der Jfrog Artifactory-Registrierung sollten Sicherheitsrisiken behoben haben

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Beheben von Sicherheitsrisiken in Containerimages trägt dazu bei, eine sichere und zuverlässige Software-Lieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.",

Schweregrad: hoch

Typ: Sicherheitsrisikobewertung