Ocena luk w zabezpieczeniach węzła kubernetes
Defender dla Chmury może skanować Maszyny wirtualne hostujące węzły Kubernetes w celu oceny luk w zabezpieczeniach systemu operacyjnego i zainstalowanego oprogramowania. Zalecenia dotyczące korygowania są generowane dla zespołu ds. zabezpieczeń klienta w celu przejrzenia i skorygowania w ramach wspólnej odpowiedzialności za utrzymanie węzłów Kubernetes klastra.
Warunek wstępny
Ocena luk w zabezpieczeniach węzłów musi być włączona przez włączenie opcji Skanowanie bez agenta dla maszyn w planie Defender for Containers, Defender Cloud Security Posture Management lub Defender for Servers P2.
Zapoznaj się z zaleceniami dotyczącymi luk w zabezpieczeniach węzła Kubernetes
Jeśli znaleziono luki w zabezpieczeniach dla węzła Kubernetes, dla klienta zostanie wygenerowane zalecenie do przejrzenia. Aby zapoznać się z zaleceniami dotyczącymi rozwiązywania problemów z węzłami platformy Kubernetes w witrynie Azure Portal:
Wybierz węzły usługi AKS powinny mieć zalecenia dotyczące luk w zabezpieczeniach, które zostały rozwiązane.
Zostaną wyświetlone pełne szczegóły zalecenia dotyczącego węzła Kubernetes. Wraz z pełnym opisem luki w zabezpieczeniach przedstawiono inne szczegóły, takie jak nazwa puli węzłów kubernetes, której dotyczy problem, i jego klaster.
Wybierz kartę Wyniki , aby wyświetlić listę CVEs odnoszących się do węzła Kubernetes.
Wybranie jednego z wierszy CVE powoduje otwarcie okienka zawierającego pełne informacje o cve i wszystkich zasobach węzłów Kubernetes, które również mają tę lukę w zabezpieczeniach.
W okienku szczegółów sekcja Wystąpienia puli węzłów zawiera węzły, których dotyczy korygowanie. Więcej zasobów , których dotyczy problem, pokazuje inne węzły, które mają tę samą lukę CVE i powinny również zostać skorygowane.
Korygowanie luk w zabezpieczeniach węzłów Kubernetes
Luki w zabezpieczeniach węzłów kubernetes są korygowane przez zaktualizowanie wersji obrazu maszyny wirtualnej puli węzłów. Klient uaktualnia pulę węzłów w ramach wspólnej odpowiedzialności między usługą Kubernetes a klientem. Klient uaktualnia pulę węzłów na jeden z dwóch sposobów — uaktualnij obraz maszyny wirtualnej puli węzłów i/lub usługę Kubernetes klastra do nowszej wersji. Zaleca się najpierw uaktualnienie obrazu maszyny wirtualnej puli węzłów. W niektórych przypadkach klient musi uaktualnić wersję usługi Kubernetes klastra i wersję obrazu maszyny wirtualnej puli węzłów, aby skorygować lukę w zabezpieczeniach.
Ważne
Wersja rozwiązania Kubernetes klastra i obraz maszyny wirtualnej puli węzłów można ustawić na automatyczne uaktualnianie. Te wersje powinny być regularnie uaktualniane , aby zapewnić maksymalne bezpieczeństwo zasobów usługi AKS.
Uaktualnianie obrazu maszyny wirtualnej puli węzłów
Aby uaktualnić obraz maszyny wirtualnej puli węzłów, wybierz przycisk Aktualizuj obraz lub wybierz pozycję Uaktualnij platformę Kubernetes , aby uaktualnić wersję usługi Kubernetes klastra.
Następne kroki
Dowiedz się, jak używać Eksploratora zabezpieczeń w chmurze do badania luk w zabezpieczeniach w węźle klastra.