Udostępnij za pośrednictwem

Zapoznaj się z zaleceniami dotyczącymi wzmacniania zabezpieczeń hosta platformy Docker

  • Artykuł

Plan usługi Defender for Servers w Microsoft Defender dla Chmury identyfikuje niezarządzane kontenery hostowane na maszynach wirtualnych Z systemem Linux IaaS lub innych maszynach z systemem Linux z uruchomionymi kontenerami platformy Docker. Usługa Defender for Servers stale ocenia konfigurację tych hostów platformy Docker i porównuje je z testem porównawczym platformy Docker Center for Internet Security (CIS).

  • Defender dla Chmury zawiera cały zestaw reguł testu porównawczego platformy Docker ciS i ostrzega Użytkownika, jeśli kontenery nie spełniają żadnego z kontrolek.
  • W przypadku znalezienia błędów konfiguracji usługa Defender dla serwerów generuje zalecenia dotyczące zabezpieczeń w celu rozwiązania problemów. Gdy zostaną znalezione luki w zabezpieczeniach, zostaną one zgrupowane w ramach pojedynczego zalecenia.

Uwaga

Wzmocnienie zabezpieczeń hosta platformy Docker używa agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent ) w celu zbierania informacji o hoście na potrzeby oceny. MmA zostanie wycofana, a funkcja wzmacniania zabezpieczeń hosta platformy Docker zostanie wycofana w listopadzie 2024 r.

Wymagania wstępne

  • Do korzystania z tej funkcji potrzebna jest usługa Defender for Servers (plan 2 ).
  • Te testy porównawcze ciS nie będą uruchamiane na wystąpieniach zarządzanych przez usługę AKS ani na maszynach wirtualnych zarządzanych przez usługę Databricks.
  • Potrzebujesz uprawnień czytelnika w obszarze roboczym, z którym łączy się host.

Identyfikowanie problemów z konfiguracją platformy Docker

  1. W menu Defender dla Chmury otwórz stronę Zalecenia.

  2. Filtruj do rekomendacji Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane i wybierz zalecenie.

    Na stronie rekomendacji są wyświetlane zasoby, których dotyczy problem (hosty platformy Docker).

    Zalecenie dotyczące korygowania luk w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera.

    Uwaga

    Maszyny, które nie są uruchomione platformy Docker, zostaną wyświetlone na karcie Nie dotyczy zasobów . Zostaną one wyświetlone w usłudze Azure Policy jako zgodne.

  3. Aby wyświetlić i skorygować kontrolki CIS, których określony host zakończył się niepowodzeniem, wybierz hosta, który chcesz zbadać.

    Napiwek

    Jeśli rozpoczęto na stronie spisu zasobów i dotarł do tego zalecenia, wybierz przycisk Podejmij akcję na stronie rekomendacji.

    Przycisk Podejmij akcję, aby uruchomić usługę Log Analytics.

    Usługa Log Analytics zostanie otwarta z operacją niestandardową gotową do uruchomienia. Domyślne zapytanie niestandardowe zawiera listę wszystkich ocenionych reguł, które zakończyły się niepowodzeniem, wraz z wytycznymi, które ułatwiają rozwiązywanie problemów.

    Strona usługi Log Analytics z zapytaniem przedstawiającym wszystkie nieudane kontrolki CIS.

  4. Dostosuj parametry zapytania, jeśli to konieczne.

  5. Jeśli masz pewność, że polecenie jest odpowiednie i gotowe dla hosta, wybierz pozycję Uruchom.

Następne kroki

Dowiedz się więcej o zabezpieczeniach kontenerów w Defender dla Chmury.