Naslaginformatie over netwerktoegang en machtigingen voor Defender voor containers

In dit artikel worden de netwerkconnectiviteits- en machtigingsvereisten voor Microsoft Defender voor containers beschreven.

De vereisten in dit artikel zijn afhankelijk van de ingeschakelde functies en de omgeving waarin uw containerworkloads worden uitgevoerd.

Meer informatie over connectiviteitspatronen en onderdelen plannen.

Microsoft Defender voor Cloud naar containerregisters

Microsoft Defender voor Cloud maakt verbinding met containerregisters om containerinstallatiekopieën te scannen op beveiligingsproblemen. In sommige gevallen publiceert Defender voor Containers ook resultaten van evaluatie van beveiligingsproblemen terug naar het register.

Azure Container Registry (ACR)

Network

  • Voor privé-ACL's wordt automatisch netwerktoegang verleend via Azure infrastructuur.

toestemmingen

  • Rol: Defender containerregisters
  • Machtigingen:
    • Microsoft.ContainerRegistry/registries/pull/read
    • Microsoft.ContainerRegistry/registries/metadata/read
    • Microsoft.ContainerRegistry/registries/read
    • Microsoft.ContainerRegistry/registries/repositories/content/read
    • Microsoft.ContainerRegistry/registries/repositories/metadata/read
    • Microsoft.ContainerRegistry/registries/catalog/read

Amazon Elastic Container Registry (ECR)

Network

  • ECR-eindpunten zijn altijd openbaar toegankelijk.

toestemmingen

  • Rol: CspmMonitorAws (onderdeel van de bestaande CSPM-rol)

    • ecr:GetRegistryPolicy
    • ecr:DescribeImages
    • ecr:DescribeRepositories
    • ecr:GetRepositoryPolicy

  • Rol: MDCContainersImageAssessmentRole

    • ecr:PutImage
    • ecr:BatchDeleteImage
    • ecr-public:PutImage
    • ecr-public:BatchDeleteImage

Opmerking

De MDCContainersImageAssessmentRole machtigingen worden alleen gebruikt om resultaten van evaluatie van beveiligingsproblemen terug te publiceren naar het register voor gated deployment. Microsoft Defender voor Cloud geen containerinstallatiekopieën van klanten wijzigt.

Google Artifact Registry (GAR)

Network

  • GAR-eindpunten zijn altijd openbaar toegankelijk.

toestemmingen

  • Rol: MDCCspmCustomRole (onderdeel van de bestaande CSPM-rol)

    • artifactregistry.repositories.list
    • artifactregistry.repositories.getIamPolicy
    • artifactregistry.dockerimages.list

  • Rol: MDCWritingGarAssessmentsRole

    • artifactregistry.repositories.uploadArtifacts
    • artifactregistry.repositories.deleteArtifacts

Opmerking

De MDCWritingGarAssessmentsRole machtigingen worden alleen gebruikt om resultaten van evaluatie van beveiligingsproblemen terug te publiceren naar het register voor gated deployment. Microsoft Defender voor Cloud geen containerinstallatiekopieën van klanten wijzigt.

JFrog Artifactory (SaaS)

Network

  • Het JFrog Artifactory-exemplaar moet openbaar toegankelijk zijn via internet.

Machtigingen en configuratie

  • Een toegewezen groep, zoals mdc-group-{customerTenantId}
  • Een machtigingsdoel met leestoegang tot alle opslagplaatsen voor de MDC-groep
  • Een OIDC-provider (OpenID Connect) geïntegreerd met Microsoft Entra ID
  • OIDC-identiteitstoewijzingen die verificatie toestaan met behulp van door Entra uitgegeven tokens

API-bereiken die worden gebruikt

  • Groepstoegang: /access/api/v1/scim/v2/Groups
  • Machtigingsdoelen: /access/api/v2/permissions (LEZEN op ELKE LOKALE, EXTERNE, DISTRIBUTIE)
  • OIDC-provider en identiteitstoewijzingen:
    • /access/api/v1/oidc
    • /access/api/v1/oidc/{oidcName}/identity_mappings

Docker Hub (SaaS)

Network

  • Docker Hub moet openbaar toegankelijk zijn via internet.

toestemmingen

  • Door de klant verstrekt toegangstoken met leestoegang

Microsoft Defender voor Cloud naar Kubernetes-clusters

Microsoft Defender voor Cloud maakt verbinding met Kubernetes-API-eindpunten om clusters te detecteren en configuratiegegevens te verzamelen voor houding en risicoanalyse.

Azure Kubernetes Service (AKS)

Network

  • Er is geen aanvullende configuratie van openbare of beperkte openbare eindpunten vereist. Microsoft Defender voor containers heeft toegang tot de Kubernetes-API via Azure vertrouwde toegang.

toestemmingen

  • Beheerde identiteit gemaakt in de klantomgeving
  • Ingebouwde rol: Kubernetes Agentless Operator
    • Microsoft.ContainerService/managedClusters/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

Opmerking

Voor AKS maakt Defender voor Cloud gebruik van vertrouwde AKS-toegang. Defender voor Cloud maakt een beheerde identiteit en een binding voor vertrouwde toegangsrollen. Nadat het cluster is gedetecteerd, maakt Defender voor Cloud een Kubernetes-ClusterRoleBinding aan de ingebouwde AKS-clusterrole aks:trustedaccessrole:defender-containers:microsoft-defender-operator, waarmee leesmachtigingen binnen het cluster worden verleend.

Amazon Elastic Kubernetes Service (EKS)

Network

  • De Kubernetes-API-server moet toegang toestaan vanuit:
    • 172.212.245.192/28
    • 48.209.1.192/28
  • Voor privé-API-eindpunten moet een beperkt openbaar eindpunt zijn ingeschakeld met de bovenstaande IP-bereiken.

Voor privé-EKS-clusters moet de Kubernetes-API-server een beperkt openbaar eindpunt beschikbaar maken dat toegang toestaat vanuit de goedgekeurde Microsoft Defender voor IP-bereiken voor containers.

toestemmingen

  • Rol: MDCContainersAgentlessDiscoveryK8sRole
    • eks:UpdateClusterConfig
    • eks:DescribeCluster
    • eks:CreateAccessEntry
    • eks:ListAccessEntries
    • eks:AssociateAccessPolicy
    • eks:ListAssociatedAccessPolicies

Opmerking

eks:UpdateClusterConfig wordt gebruikt om de Microsoft Defender voor statische IP-CIDR-blokken voor containers toe te voegen aan de cidr-acceptatielijst voor openbare toegang van het EKS-cluster (ResourcesVpcConfig.PublicAccessCidrs). Het wordt ook gebruikt om de verificatiemodus bij te werken van CONFIG_MAP in API_AND_CONFIG_MAP, wat vereist is voor het maken van toegangsvermeldingen op oudere clusters. Als deze machtiging niet is verleend, mislukt de inventarisverzameling voor clusters met beperkte openbare eindpunttoegang, omdat Defender voor containers geen verbinding kan maken met de Kubernetes-API-server. Inventarisverzameling mislukt ook voor clusters die gebruikmaken van CONFIG_MAP-only-verificatie omdat Defender voor containers de vereiste toegangsvermeldingen niet kan maken. Voor clusters met een geopend openbaar eindpunt is deze machtiging niet vereist voor connectiviteit, maar Defender voor Cloud nog steeds de configuratie-update probeert uit te voeren.

Google Kubernetes Engine (GKE)

Network

  • De Kubernetes-API-server moet toegang toestaan vanuit:
    • 172.212.245.192/28
    • 48.209.1.192/28
  • Voor privé-API-eindpunten moet een beperkt openbaar eindpunt zijn ingeschakeld met de bovenstaande IP-bereiken.

Voor privé-GKE-clusters moet de Kubernetes-API-server een beperkt openbaar eindpunt beschikbaar maken dat toegang toestaat vanuit de goedgekeurde Microsoft Defender voor IP-bereiken voor containers.

toestemmingen

  • Rol: MDCGkeClusterWriteRole

    • container.clusters.update
    • container.viewer

  • Rol: MDCGkeContainerResponseActionsRole

    • container.pods.update
    • container.pods.delete
    • container.networkPolicies.create
    • container.networkPolicies.update
    • container.networkPolicies.delete

  • Rol: MDCGkeContainerInventoryCollectionRole

    • container.nodes.proxy
    • container.secrets.list

Opmerking

container.clusters.update wordt gebruikt om de Microsoft Defender voor containers statische IP CIDR-blokken toe te voegen aan de configuratie van de GKE-clustermaster geautoriseerde netwerken. Als deze machtiging niet is verleend, mislukt de inventarisverzameling voor clusters waarvoor master-geautoriseerde netwerken zijn ingeschakeld, omdat Defender voor containers geen verbinding kan maken met de Kubernetes-API-server. Voor clusters waarvoor master-geautoriseerde netwerken zijn ingeschakeld, is deze machtiging niet vereist voor connectiviteit.

Kubernetes-clusters voor Microsoft Defender voor Cloud

Kubernetes-clusters verzenden runtimebeveiligingsgegevens naar Microsoft Defender voor Cloud.

Vereisten voor uitgaand netwerk

  • Protocol: HTTPS
  • Poort: 443
  • Domein: *.cloud.defender.microsoft.com

Kubernetes-machtigingen die zijn gemaakt door de Defender sensor

De Defender sensor maakt Kubernetes-rollen met de volgende machtigingen:

API-groep Middelen Werkwoorden
kern ("") pods, knooppunten, services, gebeurtenissen, configmaps get, list, watch, patch
apps daemonsets, replicasets, statefulsets, implementaties get, list, watch
batch jobs, cronjobs get, list, watch
networking.k8s.io ingresses get, list, watch
apiextensions.k8s.io customresourcedefinitions ophalen, weergeven, bekijken, maken, bijwerken, verwijderen
defender.microsoft.com Alle resources (*) ophalen, weergeven, bekijken, maken, bijwerken, verwijderen

Cloudinfrastructuur voor Microsoft Defender voor Cloud (Kubernetes-auditlogboeken)

Defender voor containers vereist Kubernetes-auditlogboeken voor detectie van bedreigingen in het besturingsvlak.

Azure Kubernetes Service (AKS)

  • Auditlogboeken worden zonder agent verzameld via Azure infrastructuur.
  • Er zijn geen aanvullende netwerk- of machtigingsvereisten van toepassing, waaronder voor privé-AKS-clusters.

Amazon Elastic Kubernetes Service (EKS)

  • Auditlogboeken worden verzameld via AWS CloudWatch.
  • Defender voor Cloud maakt de volgende resources in het klantaccount:
    • Amazon SQS-wachtrij
    • Amazon Kinesis Data Firehose-leveringsstroom
    • Amazon S3 bucket

Vereiste rollen

  • MDCContainersK8sCloudWatchToKinesisRole
  • MDCContainersK8sKinesisToS3Role

Google Kubernetes Engine (GKE)

  • Auditlogboeken worden verzameld op projectniveau via GCP Cloud Logging.
  • Defender voor Cloud maakt Pub/Sub-resources in het klantproject om logboeken door te sturen.

Verwante inhoud

  • Last updated on