Поделиться через

Оценка уязвимостей узла Kubernetes

  • Статья

Defender для облака может сканировать Виртуальные машины, на которых размещаются узлы Kubernetes для оценки уязвимостей операционной системы и установленного программного обеспечения. Рекомендации по исправлению создаются для группы безопасности клиентов для проверки и исправления в рамках общей ответственности за обслуживание узлов Kubernetes кластера.

Предварительные требования

Оценка уязвимостей узлов должна быть включена, включив функцию проверки без агента для компьютеров в плане Defender для контейнеров, Cloud Security Posture Management или Defender для серверов P2.

Ознакомьтесь с рекомендациями по уязвимостям узла Kubernetes

Если уязвимости найдены для узла Kubernetes, создается рекомендация для проверки клиента. Чтобы просмотреть рекомендации по исправлению узлов Kubernetes в портал Azure:

  1. Выберите рекомендации в меню Defender для облака. Снимок экрана: выбор подменю рекомендаций в области Defender для облака.

  2. Выберите узлы AKS, которые должны иметь рекомендации по устранению уязвимостей. Снимок экрана: выбор строки рекомендаций узлов.

  3. Показаны полные сведения о рекомендации по узлу Kubernetes. Наряду с полным описанием уязвимости представлены другие сведения, такие как имя затронутого пула узлов Kubernetes и его кластера. Снимок экрана: сведения о рекомендации для узла Kubernetes.

  4. Перейдите на вкладку "Результаты", чтобы просмотреть список CVEs, относящихся к узлу Kubernetes. Снимок экрана: выбор вкладки результатов для просмотра списка CVEs, связанных с узлом Kubernetes.

  5. При выборе одной из строк CVE откроется панель, которая содержит полные сведения о CVE и всех ресурсах узла Kubernetes, которые также имеют эту уязвимость. Снимок экрана: панель со всеми сведениями о затронутых ресурсах узла CVE и Kubernetes.

В области сведений в разделе экземпляров пула узлов отображаются узлы, которые будут затронуты исправлением. Дополнительные затронутые ресурсы показывают другие узлы, имеющие тот же CVE и которые также должны быть исправлены.

Устранение уязвимостей узла Kubernetes

Уязвимости узлов Kubernetes устраняются путем обновления версии образа пула узлов. Клиент обновляет пул узлов в рамках общей ответственности между службой Kubernetes и клиентом. Клиент обновляет пул узлов одним из двух способов: обновите образ виртуальной машины пула узлов и (или) службу Kubernetes кластера до более новой версии. Сначала рекомендуется обновить образ виртуальной машины пула узлов. В некоторых случаях клиенту необходимо обновить версию службы Kubernetes кластера и версию образа виртуальной машины пула узлов, чтобы устранить уязвимость.

Внимание

Версия Kubernetes кластера и образ виртуальной машины пула узлов можно настроить для автоматического обновления. Эти версии следует регулярно обновлять , чтобы обеспечить максимальную безопасность для ресурсов AKS.

Обновление образа виртуальной машины пула узлов

  1. Нажмите кнопку Fix в области рекомендаций. Снимок экрана: сведения о рекомендации для узла Kubernetes и выделенной кнопки

  2. Чтобы обновить образ виртуальной машины пула узлов, нажмите кнопку "Обновить образ " или выберите "Обновить Kubernetes", чтобы обновить версию службы Kubernetes кластера. Снимок экрана: общие сведения о пуле узлов Kubernetes для обновления образа.

Следующие шаги

Узнайте, как использовать Cloud Security Explorer для изучения уязвимостей в узле кластера.