Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista todas as recomendações de segurança de contêineres sem servidor que você pode ver em Microsoft Defender para Nuvem.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Você pode ver as recomendações no portal que se aplicam aos seus recursos.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para Nuvem.
Essas recomendações abrangem cargas de trabalho fargate Aplicativos de Contêiner do Azure, Instâncias de Contêiner do Azure e AWS – Amazon Elastic Container Service (ECS). Eles também incluem diretrizes de permissões de Gerenciamento de Identidade e Acesso (IAM).
Dica
Se uma descrição de recomendação diz que não há política relacionada, geralmente depende de outra recomendação que tenha a política.
Defender para Nuvem mapeia links de política para recomendações fundamentais. Essa abordagem ajuda a manter o gerenciamento de políticas mais simples.
Recomendações de contêineres sem servidor
A autenticação deve ser habilitada no Aplicativos de Contêiner do Azure
Description: Defender para Nuvem identificado Aplicativos de Contêiner do Azure com entrada habilitada em que a autenticação gerenciada por plataforma não está configurada. Habilitar a autenticação garante que somente usuários e serviços autorizados possam acessar pontos de extremidade do aplicativo. (Não há política relacionada)
Gravidade: Alta
Aplicativos de Contêiner do Azure não devem ser expostos à Internet pública, a menos que seja necessário
Description: Defender para Nuvem identificado um ou mais Aplicativos de Contêiner do Azure configurados com entrada externa, o que torna o aplicativo publicamente acessível pela Internet. (Não há política relacionada)
Gravidade: Alta
As identidades gerenciadas atribuídas a Aplicativos de Contêiner do Azure devem seguir privilégios mínimos
Description: Defender para Nuvem identificado que a identidade gerenciada do Aplicativo de Contêiner Azure ou entidade de serviço tem políticas de acesso excessivamente permissivas (funções de administrador privilegiadas com escopo amplo) para outros recursos. (Não há política relacionada)
Gravidade: Alta
Instâncias de Contêiner do Azure não deve ser exposto publicamente
Description: Defender para Nuvem detectou uma Instância de Contêiner Azure configurada com um endereço IP público, o que torna o aplicativo publicamente acessível pela Internet nas portas configuradas. (Não há política relacionada)
Gravidade: Alta
As identidades gerenciadas atribuídas a Instâncias de Contêiner do Azure devem seguir privilégios mínimos
Description: Defender para Nuvem identificado que a identidade gerenciada da Instância de Contêiner Azure ou entidade de serviço tem políticas de acesso excessivamente permissivas (funções de administrador com privilégios com escopo amplo). (Não há política relacionada)
Gravidade: Alta
As funções de tarefa do IAM atribuídas às tarefas do ECS Fargate devem seguir privilégios mínimos
Description: Defender para Nuvem funções de tarefa IAM identificadas com permissões excessivas (por exemplo, AdministratorAccess, ações curinga ou políticas personalizadas permissivas). As funções de tarefa IAM com privilégios excessivos aumentam o impacto de um contêiner comprometido. (Não há política relacionada)
Gravidade: Alta
As tarefas do Fargate do ECS não devem executar contêineres com privilégios elevados
Description: Defender para Nuvem definições de tarefa ECS Fargate detectadas em que os contêineres são executados como o usuário raiz ou solicitam recursos adicionais do Linux. A execução de contêineres com privilégios elevados aumenta o risco de acesso a arquivos não autorizados e escalonamento de privilégios. (Não há política relacionada)
Gravidade: Alta
O sistema de arquivos raiz somente leitura deve ser habilitado para contêineres ECS
Descrição: definições de tarefa ECS identificadas pelo Defender para Nuvem com sistemas de arquivos raiz graváveis. Essa configuração representa um risco ao permitir modificações de runtime em caminhos críticos do sistema, potencialmente habilitando violação, persistência de alterações não autorizadas e exploração de diretórios mutáveis. (Não há política relacionada)
Gravidade: Média
As tarefas do Fargate do ECS não devem ser expostas publicamente
Description: Defender para Nuvem identificado uma ou mais tarefas do ECS Fargate que são publicamente acessíveis da Internet devido à configuração de rede. A exposição pública aumenta a probabilidade de acesso e exploração não autorizados de vulnerabilidades no nível do aplicativo. (Não há política relacionada)
Gravidade: Alta
O registro em log deve ser configurado para o ECS Exec em clusters ECS
Description: Defender para Nuvem identificado que um cluster ECS associado a serviços usando o ECS Exec não tem log de auditoria configurado corretamente. Sem registro em log explícito, a atividade de comando pode não ser registrada, representando um risco de acesso não detectado não detectado. (Não há política relacionada)
Gravidade: Média
O ECS Exec deve ser desabilitado nos serviços do Fargate ECS
Description: Defender para Nuvem identificado que o ECS Exec está habilitado em um serviço do Amazon ECS Fargate. O ECS Exec permite a execução de comandos dentro da execução de contêineres por meio do AWS Systems Manager, expondo um caminho de acesso interativo. A menos que seja explicitamente necessário para cenários de depuração aprovados, o ECS Exec deve permanecer desabilitado. (Não há política relacionada)
Gravidade: Média