Configurare il rafforzamento del piano dati di Kubernetes in Defender per il cloud

La protezione avanzata del piano dati Kubernetes consente di applicare configurazioni sicure per i carichi di lavoro in esecuzione nel cluster, ad esempio la limitazione dei contenitori con privilegi, l'applicazione dei limiti delle risorse e la limitazione dell'accesso alla rete.

In Microsoft Defender per il cloud la protezione avanzata del piano dati viene implementata usando Criteri di Azure per Kubernetes per valutare e applicare queste configurazioni. Criteri di Azure viene distribuito come parte di Defender per contenitori quando è abilitato il provisioning automatico.

Se Criteri di Azure for Kubernetes è disattivato nelle impostazioni del piano di Defender for Containers, è possibile distribuirlo correggendo la raccomandazione rilevante. È anche possibile distribuire manualmente Criteri di Azure usando interfaccia della riga di comando di Azure o Helm se è stato disabilitato il provisioning automatico durante l'abilitazione o l'esclusione di cluster specifici dal provisioning automatico.

Dopo aver distribuito Criteri di Azure per Kubernetes, Defender per il cloud genera raccomandazioni per la protezione avanzata del piano dati in base alla configurazione del cluster. Questa pagina illustra come esaminare questi consigli, configurare i parametri dei criteri e applicarli ai cluster.

Prerequisiti

Per iniziare, assicurarsi che:

Defender for Containers è abilitato sulla tua sottoscrizione.
Hai aggiunto le regole FQDN/application richieste per i criteri di Azure.
(Per i cluster non AKS) Il cluster Kubernetes è connesso a Azure Arc.

Abilitare Criteri di Azure per Kubernetes correggendo le raccomandazioni

Se Criteri di Azure per Kubernetes non viene distribuito o è stato disattivato nelle impostazioni del piano di Defender per contenitori, è possibile installarlo correggendo la raccomandazione pertinente in Defender per il cloud.

Accedere al portale Azure.
Passare a Microsoft Defender per il cloud>Recommendations.
Cercare la raccomandazione pertinente:
- Azure: servizio Azure Kubernetes i cluster devono avere installato il componente aggiuntivo Criteri di Azure per Kubernetes
- GCP: i cluster GKE devono avere l'estensione Criteri di Azure installata
- AWS/Arc-enabled Kubernetes: I cluster Kubernetes Arc abilitati di Azure devono avere l'estensione Criteri di Azure installata
Seleziona una raccomandazione.
Nella scheda Take action (Azioni ) selezionare Fix (Correggi).
Selezionare Correggi per correggere le risorse selezionate.
Ripetere per ogni raccomandazione.

Raccomandazioni per l'irrobustimento del piano dati

Dopo aver distribuito Criteri di Azure per Kubernetes, Defender per il cloud valuta la configurazione del cluster e genera raccomandazioni per la protezione avanzata del piano dati. Questo processo può richiedere fino a 30 minuti.

Note

I componenti di Microsoft, come il sensore Defender, vengono distribuiti nello spazio dei nomi kube-system per impostazione predefinita e non sono contrassegnati come non conformi. I componenti di terze parti installati in altri spazi dei nomi potrebbero essere contrassegnati. Per escludere specifici namespace, configurare le esclusioni dei criteri di Azure.

Nella tabella seguente sono elencate le raccomandazioni comuni per la protezione avanzata del piano dati:

Nome della raccomandazione	Controllo di sicurezza	Configurazione necessaria
È consigliabile applicare limiti per la CPU e la memoria dei contenitori	Proteggi le applicazioni da attacchi DDoS	Sì
Le immagini del contenitore devono essere distribuite solo da registri attendibili	Correggi le vulnerabilità	Sì
Per i contenitori devono essere imposte le funzionalità Linux con privilegi minimi	Gestire l'accesso e le autorizzazioni	Sì
I contenitori devono usare solo i profili AppArmor consentiti	Correggere le configurazioni di sicurezza	Sì
I servizi devono essere in ascolto solo sulle porte consentite	Limita l'accesso non autorizzato alla rete	Sì
L'utilizzo della rete host e delle porte deve essere limitato	Limita l'accesso non autorizzato alla rete	Sì
L'utilizzo dei montaggi dei volumi HostPath dei pod deve essere limitato a un elenco noto	Gestire l'accesso e le autorizzazioni	Sì
È consigliabile evitare i contenitori con escalation dei privilegi	Gestire l'accesso e le autorizzazioni	NO
I contenitori che condividono spazi dei nomi host sensibili devono essere evitati	Gestire l'accesso e le autorizzazioni	NO
Per i contenitori deve essere imposto il file system radice non modificabile (di sola lettura)	Gestire l'accesso e le autorizzazioni	NO
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	Crittografa i dati in transito	NO
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato	Gestire l'accesso e le autorizzazioni	NO
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito	Implementa le procedure consigliate per la sicurezza	NO
I cluster Kubernetes non devono concedere funzionalità di CAP_SYS_ADMIN	Gestire l'accesso e le autorizzazioni	NO
I contenitori con privilegi devono essere evitati	Gestire l'accesso e le autorizzazioni	NO
È consigliabile evitare l'esecuzione di contenitori come utente radice	Gestire l'accesso e le autorizzazioni	NO

Visualizzare le raccomandazioni per un cluster

Per visualizzare le raccomandazioni di protezione avanzata del piano dati per un cluster specifico:

Accedere al portale Azure.
Passare a Defender per il cloud>Inventory.
Impostare il filtro del tipo di risorsa sul servizio Kubernetes e selezionare Applica.
Selezionare il cluster pertinente.
Esaminare le raccomandazioni disponibili. Le raccomandazioni per la protezione avanzata del piano dati mostrano il numero di componenti Kubernetes interessati.
Selezionare una raccomandazione per visualizzare le risorse interessate.
Selezionare la scheda Esegui azione per esaminare le opzioni di correzione.

Configurare i parametri dei criteri

Alcuni consigli richiedono l'efficacia della configurazione dei parametri. Ad esempio, le immagini dei container devono essere distribuite solo da registri attendibili per definire un elenco di registri attendibili.

Se i parametri obbligatori non sono configurati, le risorse vengono visualizzate come non integre.

Per configurare i parametri dei criteri:

Accedere al portale Azure.
Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.
Selezionare la sottoscrizione pertinente.
Selezionare Criteri di sicurezza.
Nella scheda Standard selezionare lo standard di sicurezza pertinente.
Selezionare il menu a 3 puntini di assegnazione dei criteri pertinente e selezionare Gestisci effetto e parametri.
Aggiornare i valori dei parametri necessari.
Selezionare Salva.

Applicare i criteri di protezione avanzata del piano dati

Per impostazione predefinita, i criteri valutano le risorse in modalità di controllo. Per applicare un criterio, impostarne l'effetto su Nega.

Per applicare una raccomandazione:

Accedere al portale Azure.
Passare a Microsoft Defender per il cloud>Recommendations.
Cercare e selezionare la raccomandazione di rafforzamento del piano dati pertinente.
Nella scheda Take action (Azioni ) selezionare Deny (Nega).
Impostare l'ambito.
Selezionare Cambia per negare.

Testare l'applicazione dei criteri

È possibile convalidare i criteri di protezione avanzata del piano dati distribuendo carichi di lavoro di test.

Una distribuzione conforme che soddisfa i requisiti di protezione avanzata del piano dati
Una distribuzione non conforme che viola più criteri

Distribuire i file YAML di esempio seguenti per verificare che i carichi di lavoro conformi vengano distribuiti correttamente e che i carichi di lavoro non conformi siano contrassegnati o bloccati, a seconda delle impostazioni di imposizione dei criteri.

Esempio di distribuzione conforme

apiVersion: apps/v1
kind: Deployment
metadata:
  name: redis-healthy-deployment
  labels:
    app: redis
spec:
  replicas: 3
  selector:
    matchLabels:
      app: redis
  template:
    metadata:
      labels:
        app: redis
      annotations:
        container.apparmor.security.beta.kubernetes.io/redis: runtime/default
    spec:
      containers:
      - name: redis
        image: <customer-registry>.azurecr.io/redis:latest
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: 100m
            memory: 250Mi
        securityContext:
          privileged: false
          readOnlyRootFilesystem: true
          allowPrivilegeEscalation: false
          runAsNonRoot: true
          runAsUser: 1000
---
apiVersion: v1
kind: Service
metadata:
  name: redis-healthy-service
spec:
  type: LoadBalancer
  selector:
    app: redis
  ports:
  - port: 80
    targetPort: 80

Esempio di distribuzione non conforme

apiVersion: apps/v1
kind: Deployment
metadata:
  name: redis-unhealthy-deployment
  labels:
    app: redis
spec:
  replicas: 3
  selector:
    matchLabels:
      app: redis
  template:
    metadata:      
      labels:
        app: redis
    spec:
      hostNetwork: true
      hostPID: true 
      hostIPC: true
      containers:
      - name: redis
        image: redis:latest
        ports:
        - containerPort: 9001
          hostPort: 9001
        securityContext:
          privileged: true
          readOnlyRootFilesystem: false
          allowPrivilegeEscalation: true
          runAsUser: 0
          capabilities:
            add:
              - NET_ADMIN
        volumeMounts:
        - mountPath: /test-pd
          name: test-volume
          readOnly: true
      volumes:
      - name: test-volume
        hostPath:
          # directory location on host
          path: /tmp
---
apiVersion: v1
kind: Service
metadata:
  name: redis-unhealthy-service
spec:
  type: LoadBalancer
  selector:
    app: redis
  ports:
  - port: 6001
    targetPort: 9001

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-06