Udostępnij za pośrednictwem

Pulpit nawigacyjny zabezpieczeń usługi Azure Kubernetes Service (AKS) (wersja zapoznawcza)

  • Artykuł

Pulpit nawigacyjny zabezpieczeń usługi AKS zapewnia kompleksową widoczność i zautomatyzowane funkcje korygowania problemów z zabezpieczeniami, umożliwiając zespołom inżynierów platformy łatwe i efektywniejsze zabezpieczanie środowiska Kubernetes.

Konsolidacja danych zabezpieczeń i danych operacyjnych w jednym miejscu bezpośrednio w portalu usługi AKS umożliwia inżynierom korzystanie z ujednoliconego widoku środowiska Kubernetes. Widok umożliwia wydajniejsze wykrywanie i korygowanie problemów z zabezpieczeniami, przy minimalnych zakłóceniach w przepływach pracy w celu zmniejszenia ryzyka pomijania problemów z zabezpieczeniami i ulepszania cykli korygowania.

Pulpit nawigacyjny zabezpieczeń usługi AKS umożliwia użytkownikowi:

  • Wyświetlanie stanu zabezpieczeń klastra.
  • Włącz plan usługi Defender for Containers i skonfiguruj ustawienia dla określonego zasobu klastra.
  • Przejrzyj zalecenia dotyczące oceny luk w zabezpieczeniach.
  • Przejrzyj konfiguracje klastra i uruchomione kontenery, które odbiegają od najlepszych rozwiązań w zakresie zabezpieczeń ("błędy konfiguracji"), wraz z przewodnikiem lub automatycznym korygowaniem.
  • Przypisz właściciela do rekomendacji lub błędnej konfiguracji odpowiedzialnej za korygowanie według określonej daty. (Dostępne z włączoną usługą Defender Cloud Security Posture Management (DCSPM) dla subskrypcji).

Wymagania wstępne

Pulpit nawigacyjny zabezpieczeń usługi AKS pokazuje luki w zabezpieczeniach i błędy konfiguracji klastra, jeśli włączono co najmniej jeden z następujących planów:

Korzystanie z pulpitu nawigacyjnego zabezpieczeń usługi AKS

Dostęp do pulpitu nawigacyjnego zabezpieczeń usługi AKS jest uzyskiwany z okienka zasobów klastra, wybierając pozycję Microsoft Defender dla Chmury na liście menu. Na pulpicie nawigacyjnym są wyświetlane następujące informacje:

  • Wyniki zabezpieczeń dla tego podsumowania klastra . Przedstawia on łączną liczbę luk w zabezpieczeniach i błędnych konfiguracji według poziomu ryzyka.
  • Karty Luki w zabezpieczeniach i Błędna konfiguracja. Każda z kart zawiera podsumowanie poziomu ryzyka i listę zaleceń.
  • Stan kontenerów usługi Microsoft Defender dla klastra i opcja konfigurowania jego pokrycia.

Korygowanie luk w zabezpieczeniach i błędnych konfiguracji

Na kartach Luki w zabezpieczeniach i Błędna konfiguracja wybierz jedną z rekomendacji zostanie otwarte okienko z pełnymi szczegółami zalecenia. W okienku szczegółów użytkownik może:

  • Zapoznaj się z pełnymi szczegółami rekomendacji i krokami korygowania.
  • Rozwiąż problem, wybierając opcję Szybka poprawka .
  • Przypisz właściciela odpowiedzialnego za korygowanie problemu. Wybranie pozycji Przypisz właściciela powoduje otwarcie okienka, w którym można ustawić nazwę właściciela, przedział czasu korygowania, okresowe przypomnienia e-mail.

Użytkownik może wybrać wiele zaleceń przy użyciu pola wyboru obok każdej rekomendacji, a następnie wybrać pozycję Przypisz właściciela w linijce pulpitu nawigacyjnego, aby przypisać jednego właściciela do wszystkich z nich.

Wybranie pozycji Pobierz raport CSV powoduje pobranie luk w zabezpieczeniach klastra i błędów konfiguracji jako pliku CSV. Luki w zabezpieczeniach klastra i błędy konfiguracji można również pobrać przy użyciu interfejsu API REST Defender dla Chmury.

Ustawianie planu usługi Defender for Containers

Wybranie pozycji Ustawienia stanu usługi Microsoft Defender dla kontenerów powoduje otwarcie okienka dla użytkownika w celu skonfigurowania planu usługi Defender for Containers dla określonego klastra. W przypadku włączenia usługi Defender for Containers na poziomie subskrypcji ustawienia planu można zmienić tylko na poziomie subskrypcji. Konfiguracje planu obejmują następujące ustawienia:

  • Dostęp do interfejsu API platformy Kubernetes — zarządzanie stanem zabezpieczeń kontenera bez agenta, ocena luk w zabezpieczeniach środowiska uruchomieniowego i akcje odpowiedzi.
  • Dostęp do rejestru — ocena luk w zabezpieczeniach bez agenta dla obrazów rejestru.
  • Azure Policy — wdrażanie agenta w klastrze w celu wygenerowania zaleceń dotyczących wzmacniania poziomu kontroli klastra i płaszczyzn danych.

Plan usługi Defender for Containers dla klastra można również ustawić przy użyciu poleceń interfejsu API REST.