Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u alle aanbevelingen voor containerbeveiliging die u in Microsoft Defender voor Cloud kunt zien.
De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.
Aanbeveling
Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.
De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.
Microsoft Defender voor Cloud voert evaluatie van beveiligingsproblemen uit voor containerinstallatiekopieën en het uitvoeren van containers in ondersteunde omgevingen. Bevindingen worden weergegeven als afzonderlijke beveiligingsaanbevelingen in Defender voor Cloud, gegenereerd op basis van de cloudprovider, het resourcetype (containerregisters of actieve containers) en de ingeschakelde Defender-plannen. In plaats van te vertrouwen op een vaste set aanbevelingen, worden Defender voor Cloud containerworkloads en -installatiekopieën dynamisch geëvalueerd en worden de relevante aanbevelingen weergegeven in de ervaring Aanbevelingen, waar ze kunnen worden gefilterd en geprioriteerd op basis van risico en bereik. Deze aanpak zorgt ervoor dat de resultaten van de evaluatie van beveiligingsproblemen nauwkeurig en up-to-date blijven naarmate er nieuwe omgevingen, bedreigingen en mogelijkheden worden geïntroduceerd.
aanbevelingen voor Azure containers
Azure Arc kubernetes-clusters moeten de Azure Policy-extensie hebben geïnstalleerd
Description: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3 uit, een toegangscontrollerwebhook voor Open Policy Agent (OPA) om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Azure Arc kubernetes-clusters moeten de Defender-extensie hebben geïnstalleerd
Description: Defender's extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle besturingsvlakknooppunten (masterknooppunten) in het cluster en verzendt deze naar de Microsoft Defender for Containers backend in de cloud voor verdere analyse. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Azure Kubernetes Service clusters moeten Defender-profiel hebben ingeschakeld
Description: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u het Profiel SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie vindt u in Inleiding tot Microsoft Defender voor containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Azure Kubernetes Service clusters moeten de Azure Policy-invoegtoepassing voor Kubernetes hebben geïnstalleerd
Description: Azure Policy-invoegtoepassing voor Kubernetes breidt Gatekeeper v3 uit, een toegangscontrollerwebhook voor Open Policy Agent (OPA) om afdwinging en beveiliging op schaal toe te passen op uw clusters op een gecentraliseerde, consistente manier. Defender voor Cloud vereist dat de invoegtoepassing beveiligingsmogelijkheden en naleving binnen uw clusters controleert en afdwingt. Meer informatie. Vereist Kubernetes v1.14.0 of hoger. (Gerelateerd beleid: Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters).
Ernst: Hoog
Type: Besturingsvlak
Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. (Gerelateerd beleid: Vulnerabilities in Azure Container Registry afbeeldingen moeten worden hersteld).
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
De CPU- en geheugenlimieten van containers moeten worden afgedwongen
Beschrijving: Het afdwingen van CPU- en geheugenlimieten voorkomt aanvallen op resources (een vorm van Denial of Service-aanval).
We raden u aan limieten voor containers in te stellen om ervoor te zorgen dat de container niet meer dan de geconfigureerde resourcelimiet gebruikt.
(Gerelateerd beleid: zorg ervoor dat de limieten voor cpu- en geheugenresources van containers niet groter zijn dan de opgegeven limieten in het Kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
Beschrijving: Installatiekopieën die worden uitgevoerd op uw Kubernetes-cluster moeten afkomstig zijn van bekende en bewaakte containerinstallatiekopieën. Vertrouwde registers verminderen het blootstellingsrisico van uw cluster door het potentieel voor de introductie van onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën te beperken.
(Gerelateerd beleid: Zorg ervoor dat alleen toegestane containerinstallatiekopieën in kubernetes-cluster zijn toegestaan).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
(Inschakelen indien nodig) Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met CMK's kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over CMK-versleuteling vindt u in Overzicht van door de klant beheerde sleutels. (Gerelateerd beleid: Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)).
Ernst: Laag
Type: Besturingsvlak
Containerregisters mogen geen onbeperkte netwerktoegang toestaan
Description: Azure containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven. Meer informatie over Container Registry-netwerkregels vindt u in Configure public IP network rules and Restrict access to a container registry using a service endpoint in an Azure virtual network. (Gerelateerd beleid: Containerregisters mogen geen onbeperkte netwerktoegang toestaan).
Ernst: gemiddeld
Type: Besturingsvlak
Containerregisters moeten een privékoppeling gebruiken
Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Meer informatie vindt u op: https://aka.ms/acr/private-link. (Gerelateerd beleid: Containerregisters moeten private link gebruiken).
Ernst: gemiddeld
Type: Besturingsvlak
Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
Beschrijving: Voorkom podtoegang tot gevoelige hostnaamruimten (hostproces-id en host-IPC) in een Kubernetes-cluster om bescherming te bieden tegen escalatie van bevoegdheden buiten de container. (Gerelateerd beleid: Kubernetes-clustercontainers mogen geen hostproces-id of host-IPC-naamruimte delen).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containers mogen alleen toegestane AppArmor-profielen gebruiken
Beschrijving: Containers die worden uitgevoerd op Kubernetes-clusters moeten alleen worden beperkt tot toegestane AppArmor-profielen. AppArmor (Application Threat) is een Linux-beveiligingsmodule die een besturingssysteem en de bijbehorende toepassingen beschermt tegen beveiligingsrisico's. Een systeembeheerder koppelt een AppArmor-beveiligingsprofiel aan elk programma om het te gebruiken. (Gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane AppArmor-profielen gebruiken).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Container met escalatie van bevoegdheden moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd met escalatie van bevoegdheden naar root in uw Kubernetes-cluster. Met het kenmerk AllowPrivilegeEscalation wordt bepaald of een proces meer bevoegdheden kan krijgen dan het bovenliggende proces. (Gerelateerd beleid: Kubernetes-clusters mogen geen escalatie van containerbevoegdheden toestaan).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld
Beschrijving: Schakel diagnostische logboeken in uw Kubernetes-services in en bewaar ze maximaal een jaar. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt. (Geen gerelateerd beleid)
Ernst: Laag
Type: Besturingsvlak
Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
Beschrijving: Containers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem in uw Kubernetes-cluster. Het onveranderbare bestandssysteem beschermt containers tijdens het uitvoeren tegen wijzigingen met schadelijke binaire bestanden die worden toegevoegd aan het pad. (Gerelateerd beleid: Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Kubernetes-API-server moet worden geconfigureerd met beperkte toegang
Beschrijving: Als u ervoor wilt zorgen dat alleen toepassingen van toegestane netwerken, machines of subnetten toegang hebben tot uw cluster, beperkt u de toegang tot uw Kubernetes-API-server. U kunt de toegang beperken door geautoriseerde IP-bereiken te definiëren of door uw API-servers in te stellen als privéclusters, zoals wordt uitgelegd in Maak een privé-Azure Kubernetes Service-cluster. (Gerelateerd beleid: Geautoriseerde IP-bereiken moeten worden gedefinieerd in Kubernetes Services).
Ernst: Hoog
Type: Besturingsvlak
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor verificatie en beveiligt gegevens die onderweg zijn tegen afluisteraanvallen in de netwerklaag. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor AKS Engine en Azure Arc ingeschakelde Kubernetes. Ga voor meer informatie naar https://aka.ms/kubepolicydoc (Gerelateerd beleid: HTTPS-inkomend verkeer afdwingen in Kubernetes-cluster).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen
Beschrijving: Schakel automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters moeten api-referenties automatisch koppelen uitschakelen).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
Beschrijving: Als u het kwetsbaarheid voor aanvallen van uw containers wilt verminderen, beperkt u CAP_SYS_ADMIN Linux-mogelijkheden. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken
Beschrijving: Voorkom het gebruik van de standaardnaamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor resourcetypen ConfigMap, Pod, Secret, Service en ServiceAccount. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken).
Ernst: Laag
Type: Kubernetes-gegevensvlak
Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw container wilt verminderen, beperkt u de Linux-mogelijkheden en verleent u specifieke bevoegdheden aan containers zonder alle bevoegdheden van de hoofdgebruiker toe te kennen. We raden u aan alle mogelijkheden te verwijderen en vervolgens de mogelijkheden toe te voegen die vereist zijn (gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane mogelijkheden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Microsoft Defender voor containers moet zijn ingeschakeld
Description: Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multicloud-Kubernetes-omgevingen. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Als u deze aanbeveling volgt, worden kosten in rekening gebracht voor het beveiligen van uw Kubernetes-clusters. Als u geen Kubernetes-clusters voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst Kubernetes-clusters voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Inleiding tot Microsoft Defender voor containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Bevoegde containers moeten worden vermeden
Beschrijving: Om onbeperkte hosttoegang te voorkomen, vermijdt u waar mogelijk bevoegde containers.
Bevoegde containers hebben alle hoofdfuncties van een hostcomputer. Ze kunnen worden gebruikt als toegangspunten voor aanvallen en om schadelijke code of malware te verspreiden naar gecompromitteerde toepassingen, hosts en netwerken. (Gerelateerd beleid: geen bevoegde containers in Kubernetes-cluster toestaan).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Role-Based Access Control moet worden gebruikt in Kubernetes Services
Description: Gebruik Role-Based Access Control (RBAC) voor het beheren van machtigingen in Kubernetes Service Clusters en configureer relevante autorisatiebeleidsregels. (Gerelateerd beleid: Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services).
Ernst: Hoog
Type: Besturingsvlak
Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd als hoofdgebruikers in uw Kubernetes-cluster. Als een proces als hoofdgebruiker wordt uitgevoerd in een container, wordt het als hoofdgebruiker uitgevoerd op de host. Als er sprake is van een inbreuk, heeft een aanvaller root in de container en worden eventuele onjuiste configuraties gemakkelijker te misbruiken. (Gerelateerd beleid: Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en groeps-id's).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Services mogen alleen op toegestane poorten luisteren
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw Kubernetes-cluster wilt verminderen, beperkt u de toegang tot het cluster door de toegang tot services tot de geconfigureerde poorten te beperken. (Gerelateerd beleid: zorg ervoor dat services alleen luisteren op toegestane poorten in kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van hostnetwerken en -poorten moet worden beperkt
Beschrijving: Beperk podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Pods die zijn gemaakt met het hostNetwork-kenmerk ingeschakeld, delen de netwerkruimte van het knooppunt. Als u wilt voorkomen dat de gecompromitteerde container het netwerkverkeer overneemt, kunt u de pods beter niet in het hostnetwerk te plaatsen. Als u een containerpoort beschikbaar wilt maken in het netwerk van het knooppunt en een Kubernetes Service-knooppuntpoort niet aan uw behoeften voldoet, kunt u ook een hostPort opgeven voor de container in de podspecificatie. (Gerelateerd beleid: Kubernetes-clusterpods mogen alleen goedgekeurd hostnetwerk en poortbereik gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd
Beschrijving: Het is raadzaam om hostPath-podvolumekoppelingen in uw Kubernetes-cluster te beperken tot de geconfigureerde toegestane hostpaden. Als er sprake is van een inbreuk, moet de toegang tot het containerknooppunt van de containers worden beperkt. (Gerelateerd beleid: HostPath-volumes van Kubernetes-clusterpods mogen alleen toegestane hostpaden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Aanbevelingen voor AWS-containers
AwS-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost
Beschrijving: Scant uw AWS-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
AWS waarop containerinstallatiekopieën worden uitgevoerd, moeten de resultaten van beveiligingsproblemen zijn opgelost
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Elastic Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
EKS-clusters moeten de vereiste AWS-machtigingen verlenen aan Microsoft Defender voor Cloud
Description: Microsoft Defender voor containers biedt beveiligingen voor uw EKS-clusters. Om uw cluster te bewaken op beveiligingsproblemen en bedreigingen, heeft Defender for Containers machtigingen nodig voor uw AWS-account. Deze machtigingen worden gebruikt om logboekregistratie van het Kubernetes-besturingsvlak in uw cluster in te schakelen en een betrouwbare pijplijn tot stand te brengen tussen uw cluster en de back-end van Defender voor Cloud in de cloud. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
EKS-clusters moeten de extensie van Microsoft Defender hebben voor Azure Arc geïnstalleerd
Description: Microsoft Defender clusterextensie biedt beveiligingsmogelijkheden voor uw EKS-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Azure Arc kubernetes. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Microsoft Defender voor containers moet zijn ingeschakeld voor AWS-connectors
Description: Microsoft Defender for Containers biedt realtime bedreigingsbeveiliging voor gecontaineriseerde omgevingen en genereert waarschuwingen over verdachte activiteiten. Gebruik deze informatie om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen.
Wanneer u Microsoft Defender voor containers inschakelt en Azure Arc implementeert in uw EKS-clusters, worden de beveiligingen en kosten gestart. Als u Azure Arc op een cluster niet implementeert, worden deze niet beveiligd door Defender for Containers en worden er geen kosten in rekening gebracht voor dit Microsoft Defender plan voor dat cluster.
Ernst: Hoog
Aanbevelingen voor gegevensvlak
Alle Kubernetes-aanbevelingen voor gegevensvlakbeveiliging worden ondersteund voor AWS nadat u enable Azure Policy voor Kubernetes.
Aanbevelingen voor GCP-containers
Geavanceerde configuratie van Defender for Containers moet zijn ingeschakeld voor GCP-connectors
Description: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel alle geavanceerde configuratie-instellingen in om ervoor te zorgen dat de oplossing correct is ingericht en de volledige set mogelijkheden beschikbaar zijn.
Ernst: Hoog
GCP-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost
Beschrijving: Scant uw GCP-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
GCP waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare afbeeldingen die momenteel worden uitgevoerd in uw Google Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
GKE-clusters moeten de extensie van Microsoft Defender hebben voor Azure Arc geïnstalleerd
Description: Microsoft Defender's clusterextensie biedt beveiligingsmogelijkheden voor uw GKE-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Azure Arc kubernetes. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Voor GKE-clusters moet de Azure Policy-extensie zijn geïnstalleerd
Description: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3 uit, een toegangscontrollerwebhook voor Open Policy Agent (OPA) om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. De extensie werkt met Azure Arc kubernetes.
Ernst: Hoog
Microsoft Defender voor containers moet zijn ingeschakeld voor GCP-connectors
Description: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel containers in op uw GCP-connector om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen. Meer informatie over Microsoft Defender voor containers.
Ernst: Hoog
De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoRepair, value: true
Ernst: gemiddeld
De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar. key: autoUpgrade, value: true
Ernst: Hoog
Bewaking op GKE-clusters moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.
Ernst: gemiddeld
Logboekregistratie voor GKE-clusters moet zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.
Ernst: Hoog
GKE-webdashboard moet worden uitgeschakeld
Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.
Ernst: Hoog
Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters
Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.
Ernst: Hoog
Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters
Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.
Ernst: Hoog
Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld
Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.
Ernst: Laag
GKE-clusters moeten privéclusters hebben ingeschakeld
Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.
Ernst: Hoog
Netwerkbeleid moet zijn ingeschakeld op GKE-clusters
Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.
Ernst: gemiddeld
Aanbevelingen voor gegevensvlak
Alle Kubernetes-aanbevelingen voor gegevensvlakbeveiliging worden ondersteund voor GCP nadat u enable Azure Policy voor Kubernetes.
Aanbevelingen voor externe containerregisters
[Preview] Containerinstallatiekopieën in Docker Hub register moeten problemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën helpt bij het onderhouden van een veilige en betrouwbare software supply chain, vermindert het risico op beveiligingsincidenten en zorgt voor naleving van industriestandaarden."
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containerinstallatiekopieën in het Jfrog Artifactory-register moeten vinden dat beveiligingsproblemen zijn opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën helpt bij het onderhouden van een veilige en betrouwbare software-toeleveringsketen, vermindert het risico op beveiligingsincidenten en zorgt voor naleving van industriestandaarden.",
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
AWS Batch-taakdefinities mogen containers niet uitvoeren in de modus Met bevoegdheden
Beschrijving: Als u containers uitvoert in de modus Met bevoegdheden, verleent u ze verhoogde toegang tot het hostsysteem, waardoor containerisolatiebesturingselementen effectief worden overgeslagen. Dit verhoogt het risico op inbreuk op de host, onbevoegde toegang tot gevoelige resources en laterale verplaatsing binnen de omgeving. Als u de modus met bevoegdheden uitschakelt, wordt het principe van minimale bevoegdheden afgedwongen en wordt de impact van aangetaste of schadelijke containerworkloads verminderd.
Ernst: Hoog
AWS Batch-taakdefinities moeten gebruikmaken van een alleen-lezen hoofdbestandssysteem
Beschrijving: Containers toestaan om te worden uitgevoerd met een beschrijfbaar basisbestandssysteem verhoogt het risico op niet-geautoriseerde wijziging van binaire systeembestanden, configuratiebestanden en runtime-artefacten. Dit verzwakt de onveranderbaarheid van containers en maakt persistentie, malware-installatie en ontduikingstechnieken mogelijk in geval van een containercompromittatie. Het afdwingen van een alleen-lezen basisbestandssysteem versterkt de isolatie van werkbelastingen en beperkt de straal van beveiligingsincidenten.
Ernst: gemiddeld
Alleen-lezen hoofdbestandssysteem moet zijn ingeschakeld voor ECS-containers
Beschrijving: Defender voor Cloud geïdentificeerde ECS-taakdefinities met beschrijfbare hoofdbestandssystemen. Deze configuratie vormt een risico door runtimewijzigingen in kritieke systeempaden toe te staan, mogelijk manipulatie, persistentie van niet-geautoriseerde wijzigingen en exploitatie van veranderlijke mappen mogelijk te maken. Een alleen-lezen basisbestandssysteem beperkt deze risico's door wijzigingen tijdens het uitvoeren van containers te voorkomen, in overeenstemming met onveranderbare infrastructuur en best practices met minimale bevoegdheden.
Ernst: gemiddeld
Geheimen moeten worden geconfigureerd voor containers om te voorkomen dat gevoelige omgevingsvariabelen zonder opmaak worden gebruikt
Beschrijving: Defender voor Cloud geïdentificeerde omgevingsvariabelen voor tekst zonder opmaak in uw ECS-taakdefinities. Dit probleem doet zich voor wanneer gevoelige informatie, zoals referenties, tokens of sleutels, rechtstreeks in containerconfiguraties wordt opgeslagen in plaats van beveiligd met behulp van geheimen. Variabelen voor tekst zonder opmaak kunnen worden geopend door elk intern proces of per ongeluk worden geregistreerd, waardoor het risico op onbevoegde toegang en geheimlekken toeneemt.
Ernst: Hoog
Beveiligde netwerkmodi moeten zijn ingeschakeld voor ECS-taakdefinities
Beschrijving: Defender voor Cloud identificeerde onveilige netwerkconfiguraties in uw ECS-taakdefinities. In de evaluatie is vastgesteld dat Fargate-taken de awsvpc-modus moeten gebruiken om toegewezen elastische netwerkinterfaces en beveiligingsgroepgrenzen toe te wijzen en dat EC2-taken host- of geen-modi moeten vermijden die containerisolatie omzeilen. Zonder beveiligde modi hebben taken de blootstelling aan zijdelingse verplaatsingen en andere netwerkrisico's verhoogd, waardoor de isolatie van werkbelastingen mogelijk in gevaar komt.
Ernst: gemiddeld
Transitversleuteling moet zijn ingeschakeld voor ECS-taakdefinities met EFS
Beschrijving: Defender voor Cloud geïdentificeerde ECS-taakdefinities die amazon EFS-bestandssystemen koppelen zonder transitversleuteling ingeschakeld. Met transitversleuteling worden gegevens tussen uw ECS-taken en EFS-koppeldoelen beveiligd door tijdens de overdracht te versleutelen, waardoor het risico op netwerkonderschepping binnen uw VPC wordt geminimaliseerd. Zonder deze gegevens worden gevoelige gegevens blootgesteld aan mogelijke onbevoegde toegang. Het inschakelen van transitversleuteling helpt ervoor te zorgen dat gegevens in transit adequaat worden beveiligd.
Ernst: gemiddeld