Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les exigences de connectivité et d’autorisation réseau pour Microsoft Defender pour les conteneurs.
Les exigences de cet article dépendent des fonctionnalités activées et de l’environnement dans lequel vos charges de travail de conteneur s’exécutent.
En savoir plus sur les modèles de connectivité et lescomposants de plan.
Microsoft Defender for Cloud aux registres de conteneurs
Microsoft Defender for Cloud se connecte aux registres de conteneurs pour analyser les images conteneur pour détecter les vulnérabilités. Dans certains cas, Defender pour conteneurs publie également les résultats de l’évaluation des vulnérabilités dans le Registre.
Azure Container Registry (ACR)
Network
- Pour les ACR privées, l’accès réseau est automatiquement accordé via l’infrastructure Azure.
Permissions
- Rôle : Defender registres de conteneurs
- Autorisations :
Microsoft.ContainerRegistry/registries/pull/readMicrosoft.ContainerRegistry/registries/metadata/readMicrosoft.ContainerRegistry/registries/readMicrosoft.ContainerRegistry/registries/repositories/content/readMicrosoft.ContainerRegistry/registries/repositories/metadata/readMicrosoft.ContainerRegistry/registries/catalog/read
Amazon Elastic Container Registry (ERC)
Network
- Les points de terminaison ERC sont toujours accessibles publiquement.
Permissions
Rôle : CspmMonitorAws (partie du rôle CSPM existant)
ecr:GetRegistryPolicyecr:DescribeImagesecr:DescribeRepositoriesecr:GetRepositoryPolicy
Rôle : MDCContainersImageAssessmentRole
ecr:PutImageecr:BatchDeleteImageecr-public:PutImageecr-public:BatchDeleteImage
Note
Les MDCContainersImageAssessmentRole autorisations sont utilisées uniquement pour publier les résultats de l’évaluation des vulnérabilités dans le Registre pour le déploiement contrôlé. Microsoft Defender for Cloud ne modifie pas les images conteneur client.
Google Artifact Registry (GAR)
Network
- Les points de terminaison GAR sont toujours accessibles publiquement.
Permissions
Rôle : MDCCspmCustomRole (partie du rôle CSPM existant)
artifactregistry.repositories.listartifactregistry.repositories.getIamPolicyartifactregistry.dockerimages.list
Rôle : MDCWritingGarAssessmentsRole
artifactregistry.repositories.uploadArtifactsartifactregistry.repositories.deleteArtifacts
Note
Les MDCWritingGarAssessmentsRole autorisations sont utilisées uniquement pour publier les résultats de l’évaluation des vulnérabilités dans le Registre pour le déploiement contrôlé. Microsoft Defender for Cloud ne modifie pas les images conteneur client.
JFrog Artifactory (SaaS)
Network
- L’instance JFrog Artifactory doit être accessible publiquement sur Internet.
Autorisations et configuration
- Un groupe dédié, tel que
mdc-group-{customerTenantId} - Cible d’autorisation avec accès en lecture à tous les référentiels du groupe MDC
- Un fournisseur OpenID Connect (OIDC) intégré à Microsoft Entra ID
- Mappages d’identité OIDC qui autorisent l’authentification à l’aide de jetons émis par Entra
Étendues d’API utilisées
- Accès au groupe :
/access/api/v1/scim/v2/Groups - Cibles d’autorisation :
/access/api/v2/permissions(READ on ANY LOCAL, REMOTE, DISTRIBUTION) - Mappages d’identité et de fournisseur OIDC :
/access/api/v1/oidc/access/api/v1/oidc/{oidcName}/identity_mappings
Docker Hub (SaaS)
Network
- Docker Hub doivent être accessibles publiquement sur Internet.
Permissions
- Jeton d’accès fourni par le client avec accès en lecture
Microsoft Defender for Cloud aux clusters Kubernetes
Microsoft Defender for Cloud se connecte aux points de terminaison de l’API Kubernetes pour découvrir des clusters et collecter des données de configuration pour l’analyse des postures et des risques.
Azure Kubernetes Service (AKS)
Network
- Aucune configuration de point de terminaison public ou restreint supplémentaire n’est requise. Microsoft Defender pour conteneurs accède à l’API Kubernetes via Azure accès approuvé.
Permissions
- Identité managée créée dans l’environnement client
- Rôle intégré : Opérateur sans agent Kubernetes
Microsoft.ContainerService/managedClusters/readMicrosoft.ContainerService/managedClusters/trustedAccessRoleBindings/writeMicrosoft.ContainerService/managedClusters/trustedAccessRoleBindings/readMicrosoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete
Note
Pour AKS, Defender for Cloud utilise l’accès approuvé AKS. Defender for Cloud crée une identité managée et une liaison de rôle d’accès approuvé. Une fois le cluster découvert, Defender for Cloud crée un ClusterRoleBinding Kubernetes à l’instance intégrée d’AKS ClusterRole aks:trustedaccessrole:defender-containers:microsoft-defender-operator, qui accorde des autorisations de lecture à l’intérieur du cluster.
Amazon Elastic Kubernetes Service (EKS)
Network
- Le serveur d’API Kubernetes doit autoriser l’accès à partir de :
172.212.245.192/2848.209.1.192/28
- Pour les points de terminaison d’API privés, un point de terminaison public restreint doit être activé avec les plages d’adresses IP ci-dessus.
Pour les clusters EKS privés, le serveur d’API Kubernetes doit exposer un point de terminaison public restreint qui autorise l’accès à partir du Microsoft Defender approuvé pour les plages d’adresses IP de conteneurs.
Permissions
- Rôle : MDCContainersAgentlessDiscoveryK8sRole
eks:UpdateClusterConfigeks:DescribeClustereks:CreateAccessEntryeks:ListAccessEntrieseks:AssociateAccessPolicyeks:ListAssociatedAccessPolicies
Note
eks:UpdateClusterConfig est utilisé pour ajouter les Microsoft Defender pour les blocs CIDR IP statiques des conteneurs à la liste d’autorisation CIDR d’accès public du cluster EKS (ResourcesVpcConfig.PublicAccessCidrs). Il est également utilisé pour mettre à jour le mode d’authentification à partir de CONFIG_MAP , API_AND_CONFIG_MAPqui est requis pour la création d’une entrée d’accès sur des clusters plus anciens. Si cette autorisation n'est pas accordée, la collecte d'inventaire échoue pour les clusters disposant d'un accès restreint au point de terminaison public, car Defender pour conteneurs ne peuvent pas se connecter au serveur d'API Kubernetes. La collecte d'inventaire échoue également pour les clusters qui utilisent l'authentification CONFIG_MAP uniquement, car Defender pour les conteneurs ne peuvent pas créer les entrées d'accès requises. Pour les clusters avec un point de terminaison public ouvert, cette autorisation n'est pas requise pour la connectivité, mais Defender for Cloud tente toujours la mise à jour de configuration.
Google Kubernetes Engine (GKE)
Network
- Le serveur d’API Kubernetes doit autoriser l’accès à partir de :
172.212.245.192/2848.209.1.192/28
- Pour les points de terminaison d’API privés, un point de terminaison public restreint doit être activé avec les plages d’adresses IP ci-dessus.
Pour les clusters GKE privés, le serveur d’API Kubernetes doit exposer un point de terminaison public restreint qui autorise l’accès à partir du Microsoft Defender approuvé pour les plages d’adresses IP de conteneurs.
Permissions
Rôle : MDCGkeClusterWriteRole
container.clusters.updatecontainer.viewer
Rôle : MDCGkeContainerResponseActionsRole
container.pods.updatecontainer.pods.deletecontainer.networkPolicies.createcontainer.networkPolicies.updatecontainer.networkPolicies.delete
Rôle : MDCGkeContainerInventoryCollectionRole
container.nodes.proxycontainer.secrets.list
Note
container.clusters.update est utilisé pour ajouter les Microsoft Defender pour les blocs CIDR IP statiques des conteneurs à la configuration des réseaux autorisés master du cluster GKE. Si cette autorisation n'est pas accordée, la collecte d'inventaire échoue pour les clusters sur utilisant les réseaux master autorisés, car Defender pour conteneurs ne peut pas se connecter au serveur d'API Kubernetes. Pour les clusters sans réseaux master autorisés activés, cette autorisation n’est pas requise pour la connectivité.
Clusters Kubernetes à Microsoft Defender for Cloud
Les clusters Kubernetes envoient des données de sécurité d’exécution à Microsoft Defender for Cloud.
Configuration réseau sortante requise
- Protocole : HTTPS
- Port : 443
- Domaine:
*.cloud.defender.microsoft.com
Autorisations Kubernetes créées par le capteur Defender
Le capteur Defender crée des rôles Kubernetes avec les autorisations suivantes :
| Groupe d’API | Ressources | Verbes |
|---|---|---|
cœur ("") |
pods, nœuds, services, événements, configmaps | get, list, watch, patch |
| apps | daemonsets, replicasets, statefulsets, deployments | get, list, watch |
| lot | travaux, cronjobs | get, list, watch |
| networking.k8s.io | ingresses | get, list, watch |
| apiextensions.k8s.io | customresourcedefinitions | get, list, watch, create, update, delete |
| defender.microsoft.com | Toutes les ressources (*) |
get, list, watch, create, update, delete |
Infrastructure cloud pour Microsoft Defender for Cloud (journaux d’audit Kubernetes)
Defender pour conteneurs nécessite des journaux d’audit Kubernetes pour la détection des menaces du plan de contrôle.
Azure Kubernetes Service (AKS)
- Les journaux d’audit sont collectés sans agent via Azure infrastructure.
- Aucune configuration réseau ou d’autorisation supplémentaire ne s’applique, notamment pour les clusters AKS privés.
Amazon Elastic Kubernetes Service (EKS)
- Les journaux d’audit sont collectés via AWS CloudWatch.
- Defender for Cloud crée les ressources suivantes dans le compte client :
- File d’attente Amazon SQS
- Flux de livraison Firehose de données Amazon Amazon Data Firehose
- Compartiment Amazon S3
Rôles nécessaires
MDCContainersK8sCloudWatchToKinesisRoleMDCContainersK8sKinesisToS3Role
Google Kubernetes Engine (GKE)
- Les journaux d’audit sont collectés au niveau du projet via la journalisation cloud GCP.
- Defender for Cloud crée des ressources Pub/Sub dans le projet client pour transférer les journaux.
Contenu connexe
En savoir plus sur Microsoft Defender pour conteneurs
Passez en revue les Defender pour l’architecture conteneurs