Поделиться через

Ознакомьтесь с рекомендациями по обеспечению защиты узла Docker

  • Статья

План Defender для серверов в Microsoft Defender для облака определяет неуправляемые контейнеры, размещенные на виртуальных машинах Linux IaaS или других компьютерах Linux под управлением контейнеров Docker. Defender для серверов постоянно оценивает конфигурацию этих узлов Docker и сравнивает их с Центром безопасности Интернета (CIS) Docker Benchmark.

  • Defender для облака применяет весь набор правил эталонного контейнера Docker для CIS и выдает предупреждения, если контейнеры не соответствуют любому из этих элементов управления.
  • При обнаружении неправильной конфигурации Defender для серверов создает рекомендации по безопасности для решения результатов. При обнаружении уязвимостей они группируются внутри одной рекомендации.

Примечание.

Защита узла Docker использует агент Log Analytics (также известный как агент Microsoft Monitoring Agent (MMA)) для сбора сведений о узле для оценки. MMA уходит в отставку, и функция защиты узла Docker будет устарела в ноябре 2024 года.

Необходимые компоненты

  • Для использования этой функции требуется Defender для серверов плана 2 .
  • Тесты производительности CIS не удастся выполнить на экземплярах виртуальных машин под управлением AKS или Databricks.
  • Необходимы разрешения читателя в рабочей области, к которой подключается узел.

Определение проблем с конфигурацией Docker

  1. В меню Defender для облака откройте страницу Рекомендации.

  2. Примените фильтр, чтобы отобразилась рекомендация Необходимо устранить уязвимости в конфигурациях безопасности контейнера, и выберите ее.

    На странице рекомендации отображаются затронутые ресурсы (узлы Docker).

    Рекомендация по устранению уязвимостей в конфигурациях безопасности контейнеров.

    Примечание.

    Компьютеры, на которых не выполняется Docker, будут отображаться на вкладке Неприменимые ресурсы. В политике Azure они будут отображаться как соответствующие требованиям.

  3. Чтобы просмотреть и исправить элементы управления CIS, не соответствующие рекомендациям, в определенном узле, выберите узел, который нужно изучить.

    Совет

    Если вы начали работу на странице инвентаризации ресурсов и перешли к этой рекомендации с нее, нажмите на странице рекомендации кнопку Выполнить действие.

    Кнопка

    Откроется Log Analytics с готовой к запуску пользовательской операцией. Пользовательский запрос по умолчанию содержит список всех выявленных случаев несоответствия правилам, а также рекомендации по устранению этих проблем.

    Страница Log Analytics с запросом, отображающим все элементы управления CIS, не соответствующие рекомендациям.

  4. Настройте параметры запроса при необходимости.

  5. Убедившись, что команда подходит и подготовлена для вашего узла, выберите элемент Выполнить.

Следующие шаги

Дополнительные сведения о безопасности контейнеров см. в Defender для облака.