Aanbevelingen voor containerbeveiliging
Dit artikel bevat alle aanbevelingen voor containerbeveiliging die u in Microsoft Defender voor Cloud kunt zien.
De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.
Tip
Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.
De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.
Aanbevelingen voor Azure-containers
Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd
Beschrijving: Defender's extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten van het besturingsvlak (master) in het cluster en verzendt deze naar de back-end van Microsoft Defender voor Kubernetes in de cloud voor verdere analyse. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld
Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u het Profiel SecurityProfile.AzureDefender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd
Beschrijving: Azure Policy-invoegtoepassing voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. Defender voor Cloud vereist dat de invoegtoepassing beveiligingsmogelijkheden en naleving binnen uw clusters controleert en afdwingt. Meer informatie. Vereist Kubernetes v1.14.0 of hoger. (Gerelateerd beleid: De Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters.
Ernst: Hoog
Type: Besturingsvlak
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys)
Beschrijving: Evaluatie van beveiligingsproblemen in containerinstallatiekopieën scant uw register op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).
Evaluatiesleutel: dbd0cb49-b563-45e7-9724-889e799fa648
Type: Evaluatie van beveiligingsproblemen
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost ( mogelijk gemaakt door Qualys)
Beschrijving: Evaluatie van beveiligingsproblemen in containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Geen gerelateerd beleid)
Evaluatiesleutel: 41503391-efa5-47ee-9282-4eff6131462c
Type: Evaluatie van beveiligingsproblemen
De CPU- en geheugenlimieten van containers moeten worden afgedwongen
Beschrijving: Het afdwingen van CPU- en geheugenlimieten voorkomt aanvallen op resources (een vorm van Denial of Service-aanval).
We raden u aan limieten voor containers in te stellen om ervoor te zorgen dat de container niet meer dan de geconfigureerde resourcelimiet gebruikt.
(Gerelateerd beleid: Zorg ervoor dat de limieten voor cpu- en geheugenresources van containers niet groter zijn dan de opgegeven limieten in het Kubernetes-cluster.
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
Beschrijving: Installatiekopieën die worden uitgevoerd op uw Kubernetes-cluster moeten afkomstig zijn van bekende en bewaakte containerinstallatiekopieën. Vertrouwde registers verminderen het blootstellingsrisico van uw cluster door het potentieel voor de introductie van onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën te beperken.
(Gerelateerd beleid: Zorg ervoor dat alleen toegestane containerinstallatiekopieën in een Kubernetes-cluster zijn toegestaan).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
[Preview] Containerinstallatiekopieën in Het Azure-register moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.
Aanbeveling azure-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) worden verwijderd wanneer de nieuwe aanbeveling algemeen beschikbaar is.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
(Inschakelen indien nodig) Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over CMK-versleuteling vindt u in Overzicht van door de klant beheerde sleutels. (Gerelateerd beleid: Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK).
Ernst: Laag
Type: Besturingsvlak
Containerregisters mogen geen onbeperkte netwerktoegang toestaan
Beschrijving: Azure-containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven. Meer informatie over Container Registry-netwerkregels op Openbare IP-netwerkregels configureren en de toegang tot een containerregister beperken met behulp van een service-eindpunt in een virtueel Azure-netwerk. (Gerelateerd beleid: Containerregisters mogen geen onbeperkte netwerktoegang toestaan).
Ernst: gemiddeld
Type: Besturingsvlak
Containerregisters moeten een privékoppeling gebruiken
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. (Gerelateerd beleid: Containerregisters moeten gebruikmaken van private link).
Ernst: gemiddeld
Type: Besturingsvlak
[Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën en de beveiligingsproblemenrapporten die zijn gemaakt voor de registerinstallatiekopieën te vergelijken. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Notitie
Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep wijzigt om de nieuwe evaluatiesleutel te gebruiken.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
Beschrijving: Voorkom podtoegang tot gevoelige hostnaamruimten (hostproces-id en host-IPC) in een Kubernetes-cluster om bescherming te bieden tegen escalatie van bevoegdheden buiten de container. (Gerelateerd beleid: Kubernetes-clustercontainers mogen geen hostproces-id of host-IPC-naamruimte delen).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containers mogen alleen toegestane AppArmor-profielen gebruiken
Beschrijving: Containers die worden uitgevoerd op Kubernetes-clusters moeten alleen worden beperkt tot toegestane AppArmor-profielen. AppArmor (Application Threat) is een Linux-beveiligingsmodule die een besturingssysteem en de bijbehorende toepassingen beschermt tegen beveiligingsrisico's. Een systeembeheerder koppelt een AppArmor-beveiligingsprofiel aan elk programma om het te gebruiken. (Gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane AppArmor-profielen gebruiken).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Container met escalatie van bevoegdheden moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd met escalatie van bevoegdheden naar root in uw Kubernetes-cluster. Met het kenmerk AllowPrivilegeEscalation wordt bepaald of een proces meer bevoegdheden kan krijgen dan het bovenliggende proces. (Gerelateerd beleid: Kubernetes-clusters mogen geen escalatie van containerbevoegdheden toestaan).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld
Beschrijving: Schakel diagnostische logboeken in uw Kubernetes-services in en bewaar ze maximaal een jaar. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt. (Geen gerelateerd beleid)
Ernst: Laag
Type: Besturingsvlak
Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
Beschrijving: Containers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem in uw Kubernetes-cluster. Het onveranderbare bestandssysteem beschermt containers tijdens het uitvoeren tegen wijzigingen met schadelijke binaire bestanden die worden toegevoegd aan het pad. (Gerelateerd beleid: Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Kubernetes-API-server moet worden geconfigureerd met beperkte toegang
Beschrijving: Als u ervoor wilt zorgen dat alleen toepassingen van toegestane netwerken, machines of subnetten toegang hebben tot uw cluster, beperkt u de toegang tot uw Kubernetes-API-server. U kunt de toegang beperken door geautoriseerde IP-bereiken te definiëren of door uw API-servers in te stellen als privéclusters, zoals wordt uitgelegd in Een privé-Azure Kubernetes Service-cluster maken. (Gerelateerd beleid: Geautoriseerde IP-bereiken moeten worden gedefinieerd in Kubernetes Services).
Ernst: Hoog
Type: Besturingsvlak
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor verificatie en beveiligt gegevens die onderweg zijn tegen afluisteraanvallen in de netwerklaag. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor AKS Engine en Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc (Gerelateerd beleid: HTTPS-inkomend verkeer afdwingen in Kubernetes-cluster).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen
Beschrijving: Schakel automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters moeten api-referenties automatisch koppelen uitschakelen).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw containers wilt verminderen, beperkt u CAP_SYS_ADMIN Linux-mogelijkheden. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken
Beschrijving: Voorkom het gebruik van de standaardnaamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor resourcetypen ConfigMap, Pod, Secret, Service en ServiceAccount. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters mogen niet gebruikmaken van de standaardnaamruimte).
Ernst: Laag
Type: Kubernetes-gegevensvlak
Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw container wilt verminderen, beperkt u de Linux-mogelijkheden en verleent u specifieke bevoegdheden aan containers zonder alle bevoegdheden van de hoofdgebruiker toe te kennen. We raden u aan alle mogelijkheden te verwijderen en vervolgens de mogelijkheden toe te voegen die vereist zijn (gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane mogelijkheden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Microsoft Defender voor containers moet zijn ingeschakeld
Beschrijving: Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multicloud Kubernetes-omgevingen. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Als u deze aanbeveling volgt, worden kosten in rekening gebracht voor het beveiligen van uw Kubernetes-clusters. Als u geen Kubernetes-clusters voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst Kubernetes-clusters voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Bevoegde containers moeten worden vermeden
Beschrijving: Om onbeperkte hosttoegang te voorkomen, vermijdt u waar mogelijk bevoegde containers.
Bevoegde containers hebben alle hoofdfuncties van een hostcomputer. Ze kunnen worden gebruikt als toegangspunten voor aanvallen en om schadelijke code of malware te verspreiden naar gecompromitteerde toepassingen, hosts en netwerken. (Gerelateerd beleid: Sta geen bevoegde containers toe in een Kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Op rollen gebaseerd toegangsbeheer moet worden gebruikt voor Kubernetes-services
Beschrijving: Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. (Gerelateerd beleid: Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services.
Ernst: Hoog
Type: Besturingsvlak
Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd als hoofdgebruikers in uw Kubernetes-cluster. Als een proces als hoofdgebruiker wordt uitgevoerd in een container, wordt het als hoofdgebruiker uitgevoerd op de host. Als er sprake is van een inbreuk, heeft een aanvaller root in de container en worden eventuele onjuiste configuraties gemakkelijker te misbruiken. (Gerelateerd beleid: Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en groeps-id's).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Services mogen alleen op toegestane poorten luisteren
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw Kubernetes-cluster wilt verminderen, beperkt u de toegang tot het cluster door de toegang tot services tot de geconfigureerde poorten te beperken. (Gerelateerd beleid: Zorg ervoor dat services alleen luisteren op toegestane poorten in kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van hostnetwerken en -poorten moet worden beperkt
Beschrijving: Beperk podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Pods die zijn gemaakt met het hostNetwork-kenmerk ingeschakeld, delen de netwerkruimte van het knooppunt. Als u wilt voorkomen dat de gecompromitteerde container het netwerkverkeer overneemt, kunt u de pods beter niet in het hostnetwerk te plaatsen. Als u een containerpoort beschikbaar wilt maken in het netwerk van het knooppunt en een Kubernetes Service-knooppuntpoort niet aan uw behoeften voldoet, kunt u ook een hostPort opgeven voor de container in de podspecificatie. (Gerelateerd beleid: Kubernetes-clusterpods mogen alleen goedgekeurd hostnetwerk en poortbereik gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd
Beschrijving: Het is raadzaam om hostPath-podvolumekoppelingen in uw Kubernetes-cluster te beperken tot de geconfigureerde toegestane hostpaden. Als er sprake is van een inbreuk, moet de toegang tot het containerknooppunt van de containers worden beperkt. (Gerelateerd beleid: HostPath-volumes van Kubernetes-clusterpods mogen alleen toegestane hostpaden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Aanbevelingen voor AWS-containers
[Preview] Containerinstallatiekopieën in het AWS-register moeten problemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.
Aanbeveling AWS-registercontainerinstallatiekopieën moeten opgeloste resultaten voor beveiligingsproblemen (mogelijk gemaakt door Microsoft Defender Vulnerability Management) worden verwijderd door de nieuwe aanbeveling is algemeen beschikbaar.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën en de beveiligingsproblemenrapporten die zijn gemaakt voor de registerinstallatiekopieën te vergelijken. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Notitie
Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar 8749bb43-cd24-4cf9-848c-2a50f632043c. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep bijwerkt om de nieuwe evaluatiesleutel te gebruiken.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
EKS-clusters moeten de vereiste AWS-machtigingen verlenen aan Microsoft Defender voor Cloud
Beschrijving: Microsoft Defender for Containers biedt beveiligingen voor uw EKS-clusters. Om uw cluster te bewaken op beveiligingsproblemen en bedreigingen, heeft Defender for Containers machtigingen nodig voor uw AWS-account. Deze machtigingen worden gebruikt om logboekregistratie van het Kubernetes-besturingsvlak in uw cluster in te schakelen en een betrouwbare pijplijn tot stand te brengen tussen uw cluster en de back-end van Defender voor Cloud in de cloud. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Voor EKS-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc
Beschrijving: de clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw EKS-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Microsoft Defender for Containers moet zijn ingeschakeld voor AWS-connectors
Beschrijving: Microsoft Defender for Containers biedt realtime bedreigingsbeveiliging voor in containers geplaatste omgevingen en genereert waarschuwingen over verdachte activiteiten. Gebruik deze informatie om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen.
Wanneer u Microsoft Defender for Containers inschakelt en Azure Arc implementeert in uw EKS-clusters, worden de beveiligingen en kosten gestart. Als u Azure Arc niet implementeert in een cluster, beveiligt Defender for Containers het cluster niet en worden er geen kosten in rekening gebracht voor dit Microsoft Defender-abonnement voor dat cluster.
Ernst: Hoog
Aanbevelingen voor gegevensvlak
Alle beveiligingsaanbevelingen voor Kubernetes-gegevensvlakken worden ondersteund voor AWS nadat u Azure Policy voor Kubernetes hebt ingeschakeld.
Aanbevelingen voor GCP-containers
Geavanceerde configuratie van Defender for Containers moet zijn ingeschakeld voor GCP-connectors
Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel alle geavanceerde configuratie-instellingen in om ervoor te zorgen dat de oplossing correct is ingericht en de volledige set mogelijkheden beschikbaar zijn.
Ernst: Hoog
[Preview] Containerinstallatiekopieën in het GCP-register moeten problemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.
Aanbevelingen voor GCP-registercontainerinstallatiekopieën moeten zijn opgelost met resultaten van beveiligingsproblemen (mogelijk gemaakt door Microsoft Defender Vulnerability Management, worden verwijderd wanneer de nieuwe aanbeveling algemeen beschikbaar is.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containers die in GCP worden uitgevoerd, moeten resultaten van beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën en de beveiligingsproblemenrapporten die zijn gemaakt voor de registerinstallatiekopieën te vergelijken. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.
De nieuwe aanbeveling is in preview en wordt niet gebruikt voor berekening van de beveiligingsscore.
Notitie
Vanaf 6 oktober 2024 is deze aanbeveling bijgewerkt om slechts één container voor elke hoofdcontroller te rapporteren. Als een cronjob bijvoorbeeld meerdere taken maakt, waarbij elke taak een pod met een kwetsbare container maakt, rapporteert de aanbeveling slechts één exemplaar van de kwetsbare containers binnen die taak. Deze wijziging helpt bij het verwijderen van dubbele rapportage voor identieke containers waarvoor één actie nodig is voor herstel. Als u deze aanbeveling vóór de wijziging hebt gebruikt, verwacht u een vermindering van het aantal exemplaren van deze aanbeveling.
Ter ondersteuning van deze verbetering is de evaluatiesleutel voor deze aanbeveling bijgewerkt naar 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Als u momenteel beveiligingsrapporten opzoekt vanuit deze aanbeveling via API, moet u ervoor zorgen dat u de API-aanroep bijwerkt om de nieuwe evaluatiesleutel te gebruiken.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Voor GKE-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc
Beschrijving: De clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw GKE-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
GKE-clusters moeten de Azure Policy-extensie hebben geïnstalleerd
Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. De extensie werkt met Kubernetes met Azure Arc.
Ernst: Hoog
Microsoft Defender for Containers moet zijn ingeschakeld voor GCP-connectors
Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel containers in op uw GCP-connector om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen. Meer informatie over Microsoft Defender for Containers.
Ernst: Hoog
De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoRepair, value: true
Ernst: gemiddeld
De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoUpgrade, value: true
Ernst: Hoog
Bewaking op GKE-clusters moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.
Ernst: gemiddeld
Logboekregistratie voor GKE-clusters moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.
Ernst: Hoog
GKE-webdashboard moet worden uitgeschakeld
Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.
Ernst: Hoog
Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters
Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.
Ernst: Hoog
Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters
Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.
Ernst: Hoog
Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.
Ernst: Laag
GKE-clusters moeten privéclusters hebben ingeschakeld
Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.
Ernst: Hoog
Netwerkbeleid moet zijn ingeschakeld op GKE-clusters
Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.
Ernst: gemiddeld
Aanbevelingen voor gegevensvlak
Alle aanbevelingen voor kubernetes-gegevensvlakbeveiliging worden ondersteund voor GCP nadat u Azure Policy voor Kubernetes hebt ingeschakeld.
Aanbevelingen voor externe containerregisters
[Preview] Containerinstallatiekopieën in docker Hub-register moeten gevonden problemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën helpt bij het onderhouden van een veilige en betrouwbare software-toeleveringsketen, vermindert het risico op beveiligingsincidenten en zorgt voor naleving van industriestandaarden.",
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containerinstallatiekopieën in het Jfrog Artifactory-register moeten vinden dat beveiligingsproblemen zijn opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën helpt bij het onderhouden van een veilige en betrouwbare software-toeleveringsketen, vermindert het risico op beveiligingsincidenten en zorgt voor naleving van industriestandaarden.",
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen