Kubernetes 節點弱點評估
適用於雲端的 Defender 可以掃描裝載 Kubernetes 節點以評估操作系統和已安裝軟體弱點的 VM。 客戶安全性小組會產生補救建議,以檢閱和補救,作為維護叢集 Kubernetes 節點共同責任的一部分。
必要條件
必須 啟用節點的弱點評估,方法是開啟 適用於容器的Defender、Defender雲端安全性狀態管理或適用於伺服器的Defender P2方案中的無代理程式掃描 選項。
檢閱 Kubernetes 節點弱點建議
如果找到 Kubernetes 節點的弱點,就會產生建議供客戶檢閱。 若要檢閱 Kubernetes 節點建議,以在 Azure 入口網站 中補救:
從 [適用於雲端的 Defender] 功能選取 [建議]。
![選取 [適用於雲端的 Defender] 窗格的建議子功能表的螢幕快照。](media/kubernetes-nodes-va/recommendations-list.png)
選取 AKS 節點應該有弱點結果已解決的建議。
會顯示 Kubernetes 節點建議的完整詳細數據。 除了弱點的完整描述之外,會顯示其他詳細數據,例如受影響 Kubernetes 節點集區的名稱及其叢集。
選取 [ 尋找] 索引標籤,以檢視與 Kubernetes 節點相關的 CVE 清單。
![選取 [結果] 索引標籤以檢視與 Kubernetes 節點相關的 CVE 清單的螢幕快照。](media/kubernetes-nodes-va/recommendation-node-details-findings.png)
選取其中一個 CVE 行會開啟一個窗格,其中提供 CVE 和所有也具有此弱點的 Kubernetes 節點資源的完整詳細數據。
![選取 [適用於雲端的 Defender] 窗格的建議子功能表的螢幕快照。](media/kubernetes-nodes-va/recommendations-list.png#lightbox)
![選取 [結果] 索引標籤以檢視與 Kubernetes 節點相關的 CVE 清單的螢幕快照。](media/kubernetes-nodes-va/recommendation-node-details-findings.png#lightbox)
在詳細數據窗格中,[ 節點集區實例 ] 區段會顯示要受補救影響的節點。 受影響的資源會顯示其他具有相同 CVE 且也應該補救的節點。
補救 Kubernetes 節點弱點
更新節點集區 VM 映射版本,以補救 Kubernetes 節點弱點。 客戶會升級節點集區,作為 Kubernetes 服務與客戶之間共同責任的一部分。 客戶會以下列兩種方式之一升級節點集區:將節點集區 VM 映射和/或叢集的 Kubernetes 服務升級至較新版本。 建議您先升級節點集區 VM 映像。 在某些情況下,客戶必須升級叢集的 Kubernetes 服務版本和節點集區 VM 映像版本,以補救弱點。
升級節點集區 VM 映像
Fix選取建議窗格中的按鈕。![此螢幕快照顯示 Kubernetes 節點建議的詳細數據,以及醒目提示的 [修正] 按鈕。](media/kubernetes-nodes-va/recommendation-node-details-select-fix.png)
若要升級節點集區 VM 映射,請選取 [ 更新映射 ] 按鈕,或選取 [ 升級 Kubernetes ] 以升級叢集 Kubernetes 服務版本。
![此螢幕快照顯示 Kubernetes 節點建議的詳細數據,以及醒目提示的 [修正] 按鈕。](media/kubernetes-nodes-va/recommendation-node-details-select-fix.png#lightbox)
下一步
瞭解如何使用 Cloud Security Explorer 來調查叢集節點中的弱點。