你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Kubernetes 服务 (AKS) 安全仪表板(预览版)
AKS 安全仪表板为安全问题提供了全面的可见性和自动化修正功能,使得平台工程团队能够轻松、更有效地保护 Kubernetes 环境的安全。
通过在 AKS 门户中直接合并安全和运营数据,工程师能够从统一的 Kubernetes 环境视图中受益。 该视图可以更高效地检测和修正安全问题,同时将对工作流的干扰降到最低,从而降低忽视安全问题的风险并缩短修正周期。
AKS 安全仪表板允许用户:
- 查看群集的安全状况。
- 启用 Defender for Containers 计划并为特定群集资源配置设置。
- 查看漏洞评估建议。
- 查看群集和正在运行的容器的配置,这些配置偏离了安全最佳做法(即“错误配置”),并提供引导式或自动化的修正。
- 为建议或错误配置分配所有者,负责在指定日期前进行修正。 (在为订阅启用 Defender 云安全态势管理 (DCSPM) 后可用。)
先决条件
如果至少启用了以下计划之一,AKS 安全仪表板就会显示群集的安全漏洞和配置错误:
使用 AKS 安全仪表板
在菜单列表中选择“Microsoft Defender for Cloud”,可从群集资源窗格访问 AKS 安全仪表板。 仪表板可显示:
- 此群集的安全发现摘要。 它显示了按风险级别划分的总漏洞和错误配置数。
- “漏洞”和“错误配置”选项卡。 每个选项卡都显示了风险级别摘要和建议列表。
- 群集的 Microsoft Defender for Containers 状态以及配置其覆盖范围的选项。
修正漏洞和错误配置
在“漏洞”和“错误配置”选项卡中,选择其中一项建议会打开一个窗格,其中显示了该建议的全部详细信息。 在详细信息窗格中,用户可以:
- 查看建议的全部详细信息和修正步骤。
- 选择“快速修复”选项来修正问题。
- 分配负责修正问题的所有者。 选择“分配所有者”会打开一个窗格,在该窗格中可以设置所有者名称、修正期限和定期电子邮件提醒。
用户可以使用每个建议旁边的复选框来选择多个建议,然后在仪表板标尺中选择“分配所有者”,为所有建议分配一个所有者。
选择“下载 CSV”报告,可将群集漏洞和错误配置下载为 CSV 文件。 还可以使用 Defender for Cloud REST API 来检索群集漏洞和错误配置。
设置 Defender for Containers 计划
选择“Microsoft Defender for Containers 状态”的“设置”会打开一个窗格,用户可在该窗格中配置特定群集的 Defender for Containers 计划。 如果在订阅级别启用了 Defender for Containers,则只能在订阅级别更改计划设置。 计划配置包括以下设置:
- Kubernetes API 访问 - 无代理容器安全状况管理、运行时漏洞评估和响应操作。
- 注册表访问 - 注册表映像的无代理漏洞评估。
- Azure Policy - 在群集上部署代理,以生成强化群集控制平面和数据平面的建议。
还可以使用 REST API 命令来设置群集的 Defender for Containers 计划。