Delen via

Aanbevelingen voor beveiliging van Docker-hosts bekijken

  • Artikel

Het Defender for Servers-plan in Microsoft Defender voor Cloud identificeert onbeheerde containers die worden gehost op IaaS Linux-VM's of andere Linux-machines waarop Docker-containers worden uitgevoerd. Defender for Servers beoordeelt continu de configuratie van deze Docker-hosts en vergelijkt deze met de Docker Benchmark center for Internet Security (CIS).

  • Defender voor Cloud bevat de volledige regelset van de CIS Docker-benchmark en waarschuwt u als uw containers niet voldoen aan een van de besturingselementen.
  • Wanneer er onjuiste configuraties worden gevonden, genereert Defender for Servers beveiligingsaanbevelingen om bevindingen aan te pakken. Wanneer er beveiligingsproblemen worden gevonden, worden deze gegroepeerd in één aanbeveling.

Notitie

Docker-hostbeveiliging maakt gebruik van de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA) om hostgegevens voor evaluatie te verzamelen. De MMA wordt buiten gebruik gesteld en de Docker-hostbeveiligingsfunctie wordt in november 2024 afgeschaft.

Vereisten

  • U hebt Defender for Servers Plan 2 nodig om deze functie te kunnen gebruiken.
  • Deze CIS-benchmarkcontroles worden niet uitgevoerd op door AKS beheerde exemplaren of door Databricks beheerde VM's.
  • U hebt lezermachtigingen nodig voor de werkruimte waarmee de host verbinding maakt.

Problemen met Docker-configuratie identificeren

  1. Open in het menu van Defender voor Cloud de pagina Aanbevelingen.

  2. Filter op de aanbeveling Beveiligingsproblemen in containerbeveiligingsconfiguraties moeten worden hersteld en selecteer de aanbeveling.

    Op de aanbevelingspagina worden de betrokken resources (Docker-hosts) weergegeven.

    Aanbeveling voor het oplossen van beveiligingsproblemen in containerbeveiligingsconfiguraties.

    Notitie

    Machines waarop Docker niet wordt uitgevoerd, worden weergegeven op het tabblad Niet van toepassing zijnde resources . Ze worden weergegeven in Azure Policy als compatibel.

  3. Als u de CIS-besturingselementen wilt weergeven en herstellen die een specifieke host heeft mislukt, selecteert u de host die u wilt onderzoeken.

    Tip

    Als u bent begonnen op de pagina assetinventaris en deze aanbeveling daar hebt bereikt, selecteert u de actieknop Ondernemen op de aanbevelingspagina.

    Actieknop ondernemen om Log Analytics te starten.

    Log Analytics wordt geopend met een aangepaste bewerking die gereed is voor uitvoering. De standaard aangepaste query bevat een lijst met alle mislukte regels die zijn geëvalueerd, samen met richtlijnen waarmee u de problemen kunt oplossen.

    Log Analytics-pagina met de query met alle mislukte CIS-besturingselementen.

  4. Pas indien nodig de queryparameters aan.

  5. Wanneer u zeker weet dat de opdracht geschikt is en klaar is voor uw host, selecteert u Uitvoeren.

Volgende stappen

Meer informatie over containerbeveiliging in Defender voor Cloud.