Udostępnij za pośrednictwem


Ocena luk w zabezpieczeniach węzła kubernetes

Defender dla Chmury może skanować Maszyny wirtualne hostujące węzły Kubernetes w celu oceny luk w zabezpieczeniach systemu operacyjnego i zainstalowanego oprogramowania. Zalecenia dotyczące korygowania są generowane dla zespołu ds. zabezpieczeń klienta w celu przejrzenia i skorygowania w ramach wspólnej odpowiedzialności za utrzymanie węzłów Kubernetes klastra.

Warunek wstępny

Ocena luk w zabezpieczeniach węzłów musi być włączona przez włączenie opcji Skanowanie bez agenta dla maszyn w planie Defender for Containers, Defender Cloud Security Posture Management lub Defender for Servers P2.

Zapoznaj się z zaleceniami dotyczącymi luk w zabezpieczeniach węzła Kubernetes

Jeśli znaleziono luki w zabezpieczeniach dla węzła Kubernetes, dla klienta zostanie wygenerowane zalecenie do przejrzenia. Aby zapoznać się z zaleceniami dotyczącymi rozwiązywania problemów z węzłami platformy Kubernetes w witrynie Azure Portal:

  1. Wybierz pozycję Zalecenia z menu Defender dla Chmury. Zrzut ekranu przedstawiający wybieranie podmenu zaleceń w okienku Defender dla Chmury.

  2. Wybierz węzły usługi AKS powinny mieć zalecenia dotyczące luk w zabezpieczeniach, które zostały rozwiązane. Zrzut ekranu przedstawiający wybór wiersza rekomendacji węzłów.

  3. Zostaną wyświetlone pełne szczegóły zalecenia dotyczącego węzła Kubernetes. Wraz z pełnym opisem luki w zabezpieczeniach przedstawiono inne szczegóły, takie jak nazwa puli węzłów kubernetes, której dotyczy problem, i jego klaster. Zrzut ekranu przedstawiający szczegóły zalecenia dla węzła Kubernetes.

  4. Wybierz kartę Wyniki , aby wyświetlić listę CVEs odnoszących się do węzła Kubernetes. Zrzut ekranu przedstawiający wybieranie karty wyników, aby wyświetlić listę cvE powiązanych z węzłem Kubernetes.

  5. Wybranie jednego z wierszy CVE powoduje otwarcie okienka zawierającego pełne informacje o cve i wszystkich zasobach węzłów Kubernetes, które również mają tę lukę w zabezpieczeniach. Zrzut ekranu przedstawiający wszystkie szczegóły zasobów węzłów CVE i Kubernetes, których dotyczy problem.

W okienku szczegółów sekcja Wystąpienia puli węzłów zawiera węzły, których dotyczy korygowanie. Więcej zasobów , których dotyczy problem, pokazuje inne węzły, które mają tę samą lukę CVE i powinny również zostać skorygowane.

Korygowanie luk w zabezpieczeniach węzłów Kubernetes

Luki w zabezpieczeniach węzłów kubernetes są korygowane przez zaktualizowanie wersji obrazu maszyny wirtualnej puli węzłów. Klient uaktualnia pulę węzłów w ramach wspólnej odpowiedzialności między usługą Kubernetes a klientem. Klient uaktualnia pulę węzłów na jeden z dwóch sposobów — uaktualnij obraz maszyny wirtualnej puli węzłów i/lub usługę Kubernetes klastra do nowszej wersji. Zaleca się najpierw uaktualnienie obrazu maszyny wirtualnej puli węzłów. W niektórych przypadkach klient musi uaktualnić wersję usługi Kubernetes klastra i wersję obrazu maszyny wirtualnej puli węzłów, aby skorygować lukę w zabezpieczeniach.

Ważne

Wersja rozwiązania Kubernetes klastra i obraz maszyny wirtualnej puli węzłów można ustawić na automatyczne uaktualnianie. Te wersje powinny być regularnie uaktualniane , aby zapewnić maksymalne bezpieczeństwo zasobów usługi AKS.

Uaktualnianie obrazu maszyny wirtualnej puli węzłów

  1. Fix Wybierz przycisk w okienku rekomendacji. Zrzut ekranu przedstawiający szczegóły zalecenia dla węzła Kubernetes i wyróżniony przycisk Napraw.

  2. Aby uaktualnić obraz maszyny wirtualnej puli węzłów, wybierz przycisk Aktualizuj obraz lub wybierz pozycję Uaktualnij platformę Kubernetes , aby uaktualnić wersję usługi Kubernetes klastra. Zrzut ekranu przedstawiający szczegóły przeglądu puli węzłów Kubernetes służącej do aktualizowania obrazu.

Następne kroki

Dowiedz się, jak używać Eksploratora zabezpieczeń w chmurze do badania luk w zabezpieczeniach w węźle klastra.