Dela via

Sårbarhetsbedömning för Kubernetes-nod

  • Artikel

Defender för molnet kan genomsöka Virtuella datorer som är värdar för Kubernetes-noder för att utvärdera sårbarheter i operativsystemet och installerad programvara. Rekommendationer för reparation genereras för kundsäkerhetsteamet att granska och åtgärda som en del av det delade ansvaret för att underhålla Kubernetes-noderna i ett kluster.

Förutsättningar

Sårbarhetsbedömning av noderna måste aktiveras genom att aktivera alternativet Agentlös genomsökning efter datorer i Defender för containrar, Defender Cloud Security Posture Management eller Defender for Servers P2-plan.

Granska sårbarhetsrekommendationerna för Kubernetes-noden

Om sårbarheter hittas för en Kubernetes-nod genereras en rekommendation som kunden kan granska. Så här granskar du Kubernetes-nodrekommendationerna för reparation i Azure Portal:

  1. Välj Rekommendationer på menyn Defender för molnet. Skärmbild av att välja undermenyn rekommendationer i fönstret Defender för molnet.

  2. Välj AKS-noderna ska ha en lösning på sårbarhetsresultat. Skärmbild som visar valet av nodrekommendationsraden.

  3. Fullständig information om Kubernetes-nodrekommendatorn visas. Tillsammans med en fullständig beskrivning av säkerhetsrisken visas annan information, till exempel namnet på den berörda Kubernetes-nodpoolen och dess kluster. Skärmbild som visar information om rekommendationen för Kubernetes-noden.

  4. Välj fliken Resultat för att visa en lista över CVE:er som är relaterade till Kubernetes-noden. Skärmbild av att välja resultatfliken för att visa en lista över CVE:er som är relaterade till Kubernetes-noden.

  5. Om du väljer en av CVE-raderna öppnas ett fönster med fullständig information om CVE och alla Kubernetes-nodresurser som också har den här säkerhetsrisken. Skärmbild av fönstret som visar all information om de CVE- och Kubernetes-nodresurser som påverkas.

I informationsfönstret visar avsnittet Nodpoolsinstanser de noder som ska påverkas av reparationen. Mer berörda resurser visar andra noder som har samma CVE och bör också åtgärdas.

Åtgärda sårbarheter för Kubernetes-noder

Sårbarheter för Kubernetes-noder åtgärdas genom uppdatering av vm-avbildningsversionen för nodpoolen. Kunden uppgraderar nodpoolen som en del av det delade ansvaret mellan Kubernetes-tjänsten och kunden. Kunden uppgraderar nodpoolen på något av två sätt – antingen uppgraderar du vm-avbildningen för nodpoolen och/eller klustrets Kubernetes-tjänst till en nyare version. Vi rekommenderar att du uppgraderar vm-avbildningen för nodpoolen först. I vissa fall måste kunden uppgradera klustrets Kubernetes-tjänstversion och vm-avbildningsversionen för nodpoolen för att åtgärda säkerhetsrisken.

Viktigt!

Klustrets Kubernetes-version och vm-avbildningen för nodpoolen kan ställas in på automatisk uppgradering. Dessa versioner bör uppgraderas regelbundet för att ge maximal säkerhet för dina AKS-resurser.

Uppgradera vm-avbildningen för nodpoolen

  1. Fix Välj knappen i fönstret rekommendationer. Skärmbild som visar information om rekommendationen för Kubernetes-noden och den markerade knappen Åtgärda.

  2. Om du vill uppgradera vm-avbildningen för nodpoolen väljer du knappen Uppdatera avbildning eller väljer Uppgradera Kubernetes för att uppgradera kubernetes-tjänstversionen för klustret. Skärmbild som visar översiktsinformationen för Kubernetes-nodpoolen för uppdatering av avbildningen.

Nästa steg

Lär dig hur du använder Cloud Security Explorer för att undersöka sårbarheter i en klusternod.