Säkerhetsrekommendationer för containrar

Artikel
08/15/2024

I den här artikeln visas alla rekommendationer för containersäkerhet som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Dricks

Om en rekommendationsbeskrivning säger Ingen relaterad princip beror det vanligtvis på att rekommendationen är beroende av en annan rekommendation.

Rekommendationen Slutpunktsskyddshälsofel bör till exempel åtgärdas förlitar sig på rekommendationen som kontrollerar om en slutpunktsskyddslösning är installerad (Slutpunktsskyddslösningen ska installeras). Den underliggande rekommendationen har en princip. Att begränsa principer till endast grundläggande rekommendationer förenklar principhanteringen.

Rekommendationer för Azure-container

Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Arc-aktiverade Kubernetes-kluster bör ha Defender-tillägget installerat

Beskrivning: Defender-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla kontrollplansnoder (huvudnoder) i klustret och skickar dem till Microsoft Defender för Kubernetes-serverdelen i molnet för ytterligare analys. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad

Beskrivning: Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender-profilen i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer i Introduktion till Microsoft Defender för containrar. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure Kubernetes Service-kluster bör ha Azure Policy-tillägget för Kubernetes installerat

Beskrivning: Azure Policy-tillägget för Kubernetes utökar Gatekeeper v3, en webhook för åtkomstkontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Defender för molnet kräver tillägget för att granska och framtvinga säkerhetsfunktioner och efterlevnad i dina kluster. Läs mer. Kräver Kubernetes v1.14.0 eller senare. (Relaterad princip: Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. (Relaterad princip: Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas).

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys)

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas).

Utvärderingsnyckel: dbd0cb49-b563-45e7-9724-889e799fa648

Typ: Sårbarhetsbedömning

Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)

Beskrivning: Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje bild. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys)

Beskrivning: Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. (Ingen relaterad princip)

Utvärderingsnyckel: 41503391-efa5-47ee-9282-4eff6131462c

Typ: Sårbarhetsbedömning

Cpu- och minnesgränser för containrar ska tillämpas

Beskrivning: Att framtvinga cpu- och minnesgränser förhindrar resursöverbelastningsattacker (en form av överbelastningsattack).

Vi rekommenderar att du anger gränser för containrar för att säkerställa att körningen förhindrar att containern använder mer än den konfigurerade resursgränsen.

(Relaterad princip: Se till att gränserna för processor- och minnesresurser för containrar inte överskrider de angivna gränserna i Kubernetes-klustret).

Allvarlighetsgrad: Medel

Typ: Kubernetes Data-plan

Containeravbildningar ska endast distribueras från betrodda register

Beskrivning: Bilder som körs i kubernetes-klustret ska komma från kända och övervakade containeravbildningsregister. Betrodda register minskar exponeringsrisken för klustret genom att begränsa risken för att okända säkerhetsrisker, säkerhetsproblem och skadliga bilder introduceras.

(Relaterad princip: Se till att endast tillåtna containeravbildningar i Kubernetes-kluster).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

[Förhandsversion] Containeravbildningar i Azure-registret bör ha sårbarhetsresultat lösta

Beskrivning: Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.

Rekommendationen azure registry container images should have vulnerabilities resolved (powered by Microsoft Defender – hantering av säkerhetsrisker) will be removed when the new recommendation is generally available.

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

(Aktivera om det behövs) Containerregister ska krypteras med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering i Översikt över kundhanterade nycklar. (Relaterad princip: Containerregister ska krypteras med en kundhanterad nyckel (CMK).)

Allvarlighetsgrad: Låg

Typ: Kontrollplan

Containerregister bör inte tillåta obegränsad nätverksåtkomst

Beskrivning: Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika offentliga IP-adresser eller adressintervall. Om registret inte har någon IP-/brandväggsregel eller ett konfigurerat virtuellt nätverk visas det i de resurser som inte är felfria. Läs mer om nätverksregler för Container Registry i Konfigurera regler för offentliga IP-nätverk och Begränsa åtkomsten till ett containerregister med hjälp av en tjänstslutpunkt i ett virtuellt Azure-nätverk. (Relaterad princip: Containerregister bör inte tillåta obegränsad nätverksåtkomst).

Allvarlighetsgrad: Medel

Typ: Kontrollplan

Containerregister bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. (Relaterad princip: Containerregister bör använda privat länk).

Allvarlighetsgrad: Medel

Typ: Kontrollplan

[Förhandsversion] Containrar som körs i Azure bör lösa sårbarhetsresultat

Beskrivning: Defender för molnet skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha avbildningarna och sårbarhetsrapporterna som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Kommentar

Från och med den 6 oktober 2024 uppdaterades den här rekommendationen för att endast rapportera en enda container för varje rotkontrollant. Om ett cronjob till exempel skapar flera jobb, där varje jobb skapar en podd med en sårbar container, rapporterar rekommendationen endast en enda instans av de sårbara containrarna i jobbet. Den här ändringen hjälper dig att ta bort duplicerad rapportering för identiska containrar som kräver en enda åtgärd för reparation. Om du använde den här rekommendationen före ändringen bör du förvänta dig en minskning av antalet instanser av den här rekommendationen.
För att stödja den här förbättringen har utvärderingsnyckeln för den här rekommendationen uppdaterats till c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Om du för närvarande hämtar sårbarhetsrapporter från den här rekommendationen via API:et ska du ändra API-anropet så att den nya utvärderingsnyckeln används.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Beskrivning: Undvik poddåtkomst till känsliga värdnamnområden (värdprocess-ID och värd-IPC) i ett Kubernetes-kluster för att skydda mot privilegiereskalering utanför containern. (Relaterad princip: Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Containrar bör endast använda tillåtna AppArmor-profiler

Beskrivning: Containrar som körs i Kubernetes-kluster bör begränsas till endast tillåtna AppArmor-profiler. AppArmor (Application Armor) är en Linux-säkerhetsmodul som skyddar ett operativsystem och dess program mot säkerhetshot. För att använda den associerar en systemadministratör en AppArmor-säkerhetsprofil med varje program. (Relaterad princip: Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler).

Allvarlighetsgrad: Hög

Typ: Kubernetes-dataplan

Container med behörighetseskalering bör undvikas

Beskrivning: Containrar ska inte köras med behörighetseskalering till rot i Kubernetes-klustret. Attributet AllowPrivilegeEscalation styr om en process kan få fler privilegier än den överordnade processen. (Relaterad princip: Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade

Beskrivning: Aktivera diagnostikloggar i kubernetes-tjänsterna och behåll dem upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar. (Ingen relaterad princip)

Allvarlighetsgrad: Låg

Typ: Kontrollplan

Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar

Beskrivning: Containrar ska köras med ett skrivskyddat rotfilsystem i Kubernetes-klustret. Oföränderligt filsystem skyddar containrar från ändringar vid körning med skadliga binärfiler som läggs till i PATH. (Relaterad princip: Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Kubernetes API-server ska konfigureras med begränsad åtkomst

Beskrivning: Begränsa åtkomsten till kubernetes API-servern för att säkerställa att endast program från tillåtna nätverk, datorer eller undernät kan komma åt klustret. Du kan begränsa åtkomsten genom att definiera auktoriserade IP-intervall eller genom att konfigurera dina API-servrar som privata kluster enligt beskrivningen i Skapa ett privat Azure Kubernetes Service-kluster. (Relaterad princip: Auktoriserade IP-intervall bör definieras i Kubernetes Services).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Kubernetes-kluster bör endast vara tillgängliga via HTTPS

Beskrivning: Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information https://aka.ms/kubepolicydoc finns i (Relaterad princip: Framtvinga HTTPS-ingress i Kubernetes-kluster).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter

Beskrivning: Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. (Relaterad princip: Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner

Beskrivning: Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kubernetes-dataplan

Kubernetes-kluster bör inte använda standardnamnområdet

Beskrivning: Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. (Relaterad princip: Kubernetes-kluster bör inte använda standardnamnområdet).

Allvarlighetsgrad: Låg

Typ: Kubernetes-dataplan

Minst privilegierade Linux-funktioner ska tillämpas för containrar

Beskrivning: Om du vill minska angreppsytan för din container begränsar du Linux-funktionerna och beviljar specifika behörigheter till containrar utan att ge rotanvändarens alla behörigheter. Vi rekommenderar att du tar bort alla funktioner och sedan lägger till de som krävs (Relaterad princip: Kubernetes-klustercontainrar bör endast använda tillåtna funktioner).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Microsoft Defender för containrar ska vara aktiverat

Beskrivning: Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och multimolnsMiljöer för Kubernetes. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Om du åtgärdar den här rekommendationen debiteras du för att skydda dina Kubernetes-kluster. Om du inte har några Kubernetes-kluster i den här prenumerationen debiteras inga avgifter. Om du skapar kubernetes-kluster i den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer i Introduktion till Microsoft Defender för containrar. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Privilegierade containrar bör undvikas

Beskrivning: Undvik privilegierade containrar när det är möjligt för att förhindra obegränsad värdåtkomst.

Privilegierade containrar har alla rotfunktioner i en värddator. De kan användas som startpunkter för attacker och för att sprida skadlig kod eller skadlig kod till komprometterade program, värdar och nätverk. (Relaterad princip: Tillåt inte privilegierade containrar i Kubernetes-kluster).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Rollbaserad åtkomstkontroll ska användas på Kubernetes Services

Beskrivning: Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes-tjänstkluster och konfigurera relevanta auktoriseringsprinciper. (Relaterad princip: Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services).

Allvarlighetsgrad: Hög

Typ: Kontrollplan

Du bör undvika att köra containrar som rotanvändare

Beskrivning: Containrar ska inte köras som rotanvändare i kubernetes-klustret. När du kör en process som rotanvändare i en container körs den som rot på värden. Om det finns en kompromiss har en angripare rot i containern och eventuella felkonfigurationer blir lättare att utnyttja. (Relaterad princip: Kubernetes-klusterpoddar och containrar ska endast köras med godkända användar- och grupp-ID:er).

Allvarlighetsgrad: Hög

Typ: Kubernetes Data-plan

Tjänster bör endast lyssna på tillåtna portar

Beskrivning: Om du vill minska attackytan för ditt Kubernetes-kluster begränsar du åtkomsten till klustret genom att begränsa tjänsternas åtkomst till de konfigurerade portarna. (Relaterad princip: Se till att tjänsterna endast lyssnar på tillåtna portar i Kubernetes-klustret).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Användningen av värdnätverk och portar bör begränsas

Beskrivning: Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Poddar som skapats med hostNetwork-attributet aktiverat delar nodens nätverksutrymme. För att undvika komprometterad container från att sniffa nätverkstrafik rekommenderar vi att du inte placerar dina poddar i värdnätverket. Om du behöver exponera en containerport i nodens nätverk och en Kubernetes Service-nodport inte uppfyller dina behov, är en annan möjlighet att ange en hostPort för containern i poddspecifikationen. (Relaterad princip: Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall).

Allvarlighetsgrad: Medel

Typ: Kubernetes-dataplan

Användning av poddars HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomsten från komprometterade containrar

Beskrivning: Vi rekommenderar att du begränsar poddens HostPath-volymmonteringar i ditt Kubernetes-kluster till de konfigurerade tillåtna värdsökvägarna. Om det finns en kompromiss bör containernodåtkomsten från containrarna begränsas. (Relaterad princip: Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar).

Allvarlighetsgrad: Medel

Typ: Kubernetes Data-plan

AWS-containerrekommendationer

[Förhandsversion] Containeravbildningar i AWS-registret bör ha sårbarhetsresultat lösta

Rekommendation AWS-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) tas bort av den nya rekommendationen är allmänt tillgänglig.

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

[Förhandsversion] Containrar som körs i AWS bör ha sårbarhetsresultat lösta

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Kommentar

Från och med den 6 oktober 2024 uppdaterades den här rekommendationen för att endast rapportera en enda container för varje rotkontrollant. Om ett cronjob till exempel skapar flera jobb, där varje jobb skapar en podd med en sårbar container, rapporterar rekommendationen endast en enda instans av de sårbara containrarna i jobbet. Den här ändringen hjälper dig att ta bort duplicerad rapportering för identiska containrar som kräver en enda åtgärd för reparation. Om du använde den här rekommendationen före ändringen bör du förvänta dig en minskning av antalet instanser av den här rekommendationen.
För att stödja den här förbättringen har utvärderingsnyckeln för den här rekommendationen uppdaterats till 8749bb43-cd24-4cf9-848c-2a50f632043c. Om du för närvarande hämtar sårbarhetsrapporter från den här rekommendationen via API:et kontrollerar du att du uppdaterar API-anropet för att använda den nya utvärderingsnyckeln.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

EKS-kluster bör bevilja nödvändiga AWS-behörigheter för att Microsoft Defender för molnet

Beskrivning: Microsoft Defender för containrar ger skydd för dina EKS-kluster. För att övervaka klustret för säkerhetsrisker och hot behöver Defender for Containers behörigheter för ditt AWS-konto. Dessa behörigheter används för att aktivera Kubernetes-kontrollplansloggning på klustret och upprätta en tillförlitlig pipeline mellan klustret och Defender för molnet serverdel i molnet. Läs mer om Microsoft Defender för molnet säkerhetsfunktioner för containerbaserade miljöer.

Allvarlighetsgrad: Hög

EKS-kluster bör ha Microsoft Defender-tillägget för Azure Arc installerat

Beskrivning: Microsoft Defender-klustertillägget tillhandahåller säkerhetsfunktioner för dina EKS-kluster. Tillägget samlar in data från ett kluster och dess noder för att identifiera säkerhetsrisker och hot. Tillägget fungerar med Azure Arc-aktiverade Kubernetes. Läs mer om Microsoft Defender för molnet säkerhetsfunktioner för containerbaserade miljöer.

Allvarlighetsgrad: Hög

Microsoft Defender för containrar ska vara aktiverat på AWS-anslutningsappar

Beskrivning: Microsoft Defender för containrar ger skydd mot hot i realtid för containerbaserade miljöer och genererar aviseringar om misstänkta aktiviteter. Använd den här informationen för att förstärka säkerheten i Kubernetes-kluster och åtgärda säkerhetsproblem.

När du aktiverar Microsoft Defender för containrar och distribuerar Azure Arc till dina EKS-kluster börjar skyddet och avgifterna. Om du inte distribuerar Azure Arc i ett kluster kommer Defender for Containers inte att skydda det och inga avgifter tillkommer för den här Microsoft Defender-planen för klustret.

Allvarlighetsgrad: Hög

Rekommendationer för dataplan

Alla säkerhetsrekommendationer för Kubernetes-dataplanet stöds för AWS när du har aktiverat Azure Policy för Kubernetes.

GCP-containerrekommendationer

Avancerad konfiguration av Defender för containrar ska vara aktiverad på GCP-anslutningsappar

Beskrivning: Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. Aktivera alla avancerade konfigurationsinställningar för att säkerställa att lösningen är korrekt etablerad och att den fullständiga uppsättningen funktioner är tillgängliga.

Allvarlighetsgrad: Hög

[Förhandsversion] Containeravbildningar i GCP-registret bör ha sårbarhetsresultat lösta

Rekommendationen GCP-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender sårbarhetshantering tas bort när den nya rekommendationen är allmänt tillgänglig.

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

[Förhandsversion] Containrar som körs i GCP bör ha sårbarhetsresultat lösta

Den nya rekommendationen är i förhandsversion och används inte för beräkning av säker poäng.

Kommentar

Från och med den 6 oktober 2024 uppdaterades den här rekommendationen för att endast rapportera en enda container för varje rotkontrollant. Om ett cronjob till exempel skapar flera jobb, där varje jobb skapar en podd med en sårbar container, rapporterar rekommendationen endast en enda instans av de sårbara containrarna i jobbet. Den här ändringen hjälper dig att ta bort duplicerad rapportering för identiska containrar som kräver en enda åtgärd för reparation. Om du använde den här rekommendationen före ändringen bör du förvänta dig en minskning av antalet instanser av den här rekommendationen.
För att stödja den här förbättringen har utvärderingsnyckeln för den här rekommendationen uppdaterats till 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Om du för närvarande hämtar sårbarhetsrapporter från den här rekommendationen via API:et kontrollerar du att du uppdaterar API-anropet för att använda den nya utvärderingsnyckeln.

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

GKE-kluster bör ha Microsoft Defender-tillägget för Azure Arc installerat

Beskrivning: Microsoft Defender-klustertillägget tillhandahåller säkerhetsfunktioner för dina GKE-kluster. Tillägget samlar in data från ett kluster och dess noder för att identifiera säkerhetsrisker och hot. Tillägget fungerar med Azure Arc-aktiverade Kubernetes. Läs mer om Microsoft Defender för molnet säkerhetsfunktioner för containerbaserade miljöer.

Allvarlighetsgrad: Hög

GKE-kluster bör ha Azure Policy-tillägget installerat

Allvarlighetsgrad: Hög

Microsoft Defender för containrar ska vara aktiverat på GCP-anslutningsappar

Beskrivning: Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. Aktivera containerplan på GCP-anslutningsappen för att förstärka säkerheten i Kubernetes-kluster och åtgärda säkerhetsproblem. Läs mer om Microsoft Defender för containrar.

Allvarlighetsgrad: Hög

GKE-klustrets funktion för automatisk reparation ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar hanteringsegenskapen för en nodpool för nyckel/värde-paret, key: autoRepair, value: true.

Allvarlighetsgrad: Medel

GKE-klustrets funktion för automatisk uppgradering bör vara aktiverad

Beskrivning: Den här rekommendationen utvärderar hanteringsegenskapen för en nodpool för nyckel/värde-paret, key: autoUpgrade, value: true.

Allvarlighetsgrad: Hög

Övervakning av GKE-kluster ska vara aktiverat

Beskrivning: Den här rekommendationen utvärderar om egenskapen monitoringService för ett kluster innehåller den plats som molnövervakning ska använda för att skriva mått.

Allvarlighetsgrad: Medel

Loggning för GKE-kluster ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar om egenskapen loggingService för ett kluster innehåller den plats som Molnloggning ska använda för att skriva loggar.

Allvarlighetsgrad: Hög

GKE-webbinstrumentpanelen bör inaktiveras

Beskrivning: Den här rekommendationen utvärderar kubernetesDashboard-fältet för egenskapen addonsConfig för nyckel/värde-paret, "disabled": false.

Allvarlighetsgrad: Hög

Äldre auktorisering bör inaktiveras i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar egenskapen legacyAbac för ett kluster för nyckel/värde-paret, "enabled": true.

Allvarlighetsgrad: Hög

Auktoriserade nätverk för kontrollplan ska vara aktiverade i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar egenskapen masterAuthorizedNetworksConfig för ett kluster för nyckel/värde-paret, "enabled": false.

Allvarlighetsgrad: Hög

GKE-kluster bör ha alias-IP-intervall aktiverade

Beskrivning: Den här rekommendationen utvärderar om fältet useIPAliases i ipAllocationPolicy i ett kluster är inställt på false.

Allvarlighetsgrad: Låg

GKE-kluster bör ha privata kluster aktiverade

Beskrivning: Den här rekommendationen utvärderar om fältet enablePrivateNodes i egenskapen privateClusterConfig är inställt på false.

Allvarlighetsgrad: Hög

Nätverksprincipen ska vara aktiverad i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar fältet networkPolicy i egenskapen addonsConfig för nyckel/värde-paret, "disabled": true.

Allvarlighetsgrad: Medel

Rekommendationer för dataplan

Alla säkerhetsrekommendationer för Kubernetes-dataplanet stöds för GCP när du har aktiverat Azure Policy för Kubernetes.

Rekommendationer för externa containerregister

[Förhandsversion] Containeravbildningar i Docker Hub-registret bör ha sårbarhetsresultat lösta

Beskrivning: Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att åtgärda säkerhetsrisker i containeravbildningar kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder."

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

[Förhandsversion] Containeravbildningar i Jfrog Artifactory-registret bör ha sårbarhetsresultat lösta

Beskrivning: Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att åtgärda säkerhetsrisker i containeravbildningar kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder."

Allvarlighetsgrad: Hög

Typ: Sårbarhetsbedömning

Dela via

Säkerhetsrekommendationer för containrar

Rekommendationer för Azure-container

AWS-containerrekommendationer

Rekommendationer för dataplan

GCP-containerrekommendationer

Rekommendationer för dataplan

Rekommendationer för externa containerregister

Relaterat innehåll

Feedback

Ytterligare resurser