Veelgestelde vragen over het beveiligen van containers

U kunt Azure Policy Configure Microsoft Defender for Containers to be enabledgebruiken om Defender for Containers op schaal in te schakelen. U kunt ook alle opties zien die beschikbaar zijn om Microsoft Defender for Containers in te schakelen.

Ja.

Nee Alleen Azure Kubernetes Service (AKS)-clusters die gebruikmaken van Virtual Machine Scale Sets voor de knooppunten, worden ondersteund.

Nee, AKS is een beheerde service en het bewerken van de IaaS-resources wordt niet ondersteund. De Log Analytics VM-extensie is niet nodig en kan leiden tot extra kosten.

Het is niet raadzaam om de standaardwerkruimte te verwijderen. Defender for Containers gebruikt de standaardwerkruimten om beveiligingsgegevens van uw clusters te verzamelen. Defender voor containers kan geen gegevens verzamelen en sommige beveiligingsaanbevelings- en waarschuwingen zijn niet beschikbaar als u de standaardwerkruimte verwijdert.

Als u uw standaardwerkruimte wilt herstellen, moet u de Defender-sensor verwijderen en de sensor opnieuw installeren. Als u de Defender-sensor opnieuw installeert, wordt er een nieuwe standaardwerkruimte gemaakt.

Afhankelijk van uw regio kan de standaard Log Analytics-werkruimte zich op verschillende locaties bevinden. Zie Waar is de standaard Log Analytics-werkruimte gemaakt om uw regio te controleren?

De Defender-sensor gebruikt de Log Analytics-werkruimte om gegevens van uw Kubernetes-clusters te verzenden naar Defender voor Cloud. De Defender voor Cloud voegt de loganalysewerkruimte en de resourcegroep toe als parameter voor de sensor die moet worden gebruikt.

Als uw organisatie echter een beleid heeft dat vereist dat uw resources een specifieke tag hebben, kan dit ertoe leiden dat de sensorinstallatie mislukt tijdens de creatie van de resourcegroep of de standaardcreatiefase van de werkruimte. Als dit mislukt, kunt u het volgende doen:

• Wijs een aangepaste werkruimte toe en voeg een tag toe die uw organisatie vereist.

  of

• Als uw bedrijf vereist dat u uw resource tagt, moet u naar dat beleid navigeren en de volgende resources uitsluiten:

  1. De resourcegroep DefaultResourceGroup-<RegionShortCode>
  2. De werkruimte DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode is een tekenreeks van 2-4 letters.

Defender for Containers haalt de installatiekopie op uit het register en voert deze uit in een geïsoleerde sandbox met Microsoft Defender Vulnerability Management voor omgevingen met meerdere clouds. De scanner extraheert een lijst met bekende beveiligingsproblemen.

Defender voor Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen beveiligingsaanbevelingen voor afbeeldingen met op te lossen problemen. Door alleen u een melding te geven als er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Ga als volgt te werk om pull-gebeurtenissen te identificeren die door de scanner worden uitgevoerd:

1. Zoek naar pull-gebeurtenissen met de UserAgent van MDCContainersSecurity/1.0.
2. Pak de identiteit uit die aan deze gebeurtenis is gekoppeld.
3. Gebruik de geëxtraheerde identiteit om pull-gebeurtenissen van de scanner te identificeren.

• Niet-toepasselijke resources zijn resources waarvoor de aanbeveling geen definitief antwoord kan geven. Het niet van toepassing zijnde tabblad bevat redenen voor elke resource die niet kan worden beoordeeld.
• Niet-gecontroleerde bronnen zijn bronnen die moeten worden beoordeeld, maar nog niet zijn beoordeeld.

Sommige afbeeldingen kunnen tags hergebruiken van afbeeldingen die al zijn gescand. U kunt bijvoorbeeld de tag 'Laatste' telkens opnieuw toewijzen wanneer u een afbeelding aan een samenvatting toevoegt. In dergelijke gevallen bestaat de 'oude' image nog steeds in de registry en kan deze nog steeds worden opgehaald door de digest. Als de installatiekopie beveiligingsresultaten heeft en wordt opgehaald, kan deze leiden tot blootstelling van beveiligingslekken.

Momenteel kan Defender voor Containers afbeeldingen scannen in Azure Container Registry (ACR), AWS Elastic Container Registry (ECR), Google Container Registry (GCR), Google Archive Registry (GAR) en ondersteunde externe registers. Het ingebouwde containerbeeldregister van Microsoft Artifact Registry/Microsoft Container Registry en Microsoft Azure Red Hat OpenShift (ARO) wordt niet ondersteund.

Defender voor Cloud voert zonder agent scannen van VM's uit. Momentopnamen van VM-schijven worden elke 24 uur genomen om out-of-band-analyses uit te voeren, zonder dat dit van invloed is op de prestaties.

Gegevensvlakcontainers die zich in momentopnamen van VM-schijven bevinden, worden, ongeacht het containerbeeldregister waaruit deze is gehaald, beoordeeld op kwetsbaarheden met behulp van Microsoft Defender Vulnerability Management (MDVM). MDVM genereert beveiligingsaanbevelingen voor kwetsbare containerafbeeldingen.

Ja. De resultaten bevinden zich onder de REST API voor subevaluaties. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.

Als u een afbeeldingstype wilt controleren, moet u een hulpmiddel gebruiken dat in staat is om het onbewerkte afbeeldingsmanifest te controleren, zoals skopeo, en de onbewerkte afbeeldingsindeling te inspecteren.

• Voor de Docker v2-indeling is het mediatype manifest application/vnd.docker.distribution.manifest.v1+json of application/vnd.docker.distribution.manifest.v2+json, zoals hier wordt beschreven.
• Voor het OCI-imageformaat is het mediatype manifest application/vnd.oci.image.manifest.v1+json en het mediatype config application/vnd.oci.image.config.v1+json, zoals hier beschreven.

Er zijn twee extensies die cspm-functionaliteit zonder agent bieden:

• Evaluaties van beveiligingsproblemen in containers zonder agent: biedt evaluaties van beveiligingsproblemen zonder agent. Meer informatie over agentloze containerbeveiligingsrisico-beoordeling.
• Detectie zonder agent voor Kubernetes: biedt op API gebaseerde detectie van informatie over Kubernetes-clusterarchitectuur, workloadobjecten en installatie.

Als u meerdere abonnementen tegelijk wilt onboarden, kunt u dit script gebruiken.

Als u geen resultaten van uw clusters ziet, controleert u de volgende vragen:

• Hebt u clusters gestopt?
• Zijn uw resourcegroepen, abonnementen of clusters vergrendeld? Als het antwoord op een van deze vragen ja is, raadpleegt u de antwoorden in de volgende vragen.

Gestopte clusters worden niet ondersteund en ook niet in rekening gebracht. Als je de waarde van mogelijkheden zonder agent wilt ophalen voor een gestopt cluster, kun je het cluster opnieuw uitvoeren.

U wordt aangeraden de vergrendelde resourcegroep/het abonnement/cluster te ontgrendelen, de relevante aanvragen handmatig uit te voeren en vervolgens de resourcegroep/het abonnement/cluster opnieuw te koppelen door het volgende te doen:

1. Schakel de functievlag handmatig in via CLI met vertrouwde toegang.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Voer de bindingsbewerking uit in de CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Voor vergrendelde clusters kunt u ook een van de volgende stappen uitvoeren:

• Verwijder de vergrendeling.
• Voer de bindingsbewerking handmatig uit door een API-aanvraag te maken. Meer informatie over vergrendelde resources.

Meer informatie over ondersteunde Kubernetes-versies in Azure Kubernetes Service (AKS).

Het kan tot 24 uur duren voordat wijzigingen worden weergegeven in de beveiligingsgrafiek, aanvalspaden en security Explorer.

Met de volgende stappen verwijdert u de aanbeveling voor één register, mogelijk gemaakt door Trivy, en voegt u de nieuwe aanbevelingen voor register en runtime toe die worden aangedreven door MDVM.

1. Open de relevante AWS-connector.
2. Open de pagina Instellingen voor Defender for Containers.
3. Schakel agentloze beoordeling van containerkwetsbaarheden in.
4. Voltooi de stappen van de connectorwizard, inclusief de uitrol van het nieuwe onboardingscript in AWS.
5. Verwijder de resources die tijdens de onboarding zijn gemaakt handmatig:
   • S3-bucket met het voorvoegsel defender-for-containers-va
   • ECS-cluster met de naam defender-for-containers-va
   • VPC:
     • Tag name met de waarde defender-for-containers-va
     • IP-subnet CIDR 10.0.0.0/16
     • Verbonden met de standaardbeveiligingsgroep met de tag name en de waarde defender-for-containers-va, die één regel van al het binnenkomende verkeer heeft.
     • Subnet met de tag name en de waarde defender-for-containers-va in de defender-for-containers-va VPC met het CIDR 10.0.1.0/24 IP-subnet dat door ECS-cluster defender-for-containers-va wordt gebruikt.
     • InternetGateway met de tag name en de waarde defender-for-containers-va
     • Routetabel - Routetabel met de tag name en waarde defender-for-containers-va, en met deze routes:
       • Bestemming: 0.0.0.0/0; Doel: InternetGateway met de tag name en de waarde defender-for-containers-va
       • Bestemming: 10.0.0.0/16; Doel: local

Als u kwetsbaarheidsbeoordelingen voor actieve images wilt ophalen, schakelt u agentloze detectie in voor Kubernetes of implementeert u de Defender-sensor op uw Kubernetes-clusters.

Microsoft Defender voor Kubernetes is afgeschaft en vervangen door Microsoft Defender for Containers. Bestaande abonnementen waarvoor Defender voor Kubernetes is ingeschakeld, kunnen deze blijven gebruiken, maar nieuwe abonnementen kunnen dit afgeschafte abonnement niet inschakelen.

Alle nieuwe beveiligingsmogelijkheden en verbeteringen voor containers zijn alleen beschikbaar in Microsoft Defender for Containers. U wordt aangeraden een upgrade uit te voeren naar Microsoft Defender for Containers voor toegang tot de nieuwste functies en verbeterde beveiligingsmogelijkheden.

Verwante inhoud

Meer informatie over Defender for Containers