Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista todas as recomendações de segurança para containers serverless que pode encontrar no Microsoft Defender para a Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Pode ver as recomendações no portal que se aplicam aos seus recursos.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para a Cloud.
Estas recomendações abrangem cargas de trabalho Azure Container Apps, Azure Container Instances e AWS - Amazon Elastic Container Service (ECS) Fargate. Incluem também orientações para permissões de Gestão de Identidade e Acesso (IAM).
Sugestão
Se a descrição da recomendação disser que não há política relacionada, normalmente depende de outra recomendação que tenha essa política.
Defender para a Cloud maps: políticas ligadas a recomendações fundamentais. Esta abordagem ajuda a manter a gestão das políticas mais simples.
Recomendações de contentores serverless
A autenticação deve estar ativada no Azure Container Apps
Description: Defender para a Cloud identificou Azure Container Apps com entrada ativada quando a autenticação gerida pela plataforma não está configurada. Ativar a autenticação garante que apenas utilizadores e serviços autorizados possam aceder aos endpoints das aplicações. (Nenhuma política relacionada)
Gravidade: Alta
Azure Container Apps não deve estar exposta à internet pública a menos que seja necessário
Description: Defender para a Cloud identificado um ou mais Azure Container Apps configurados com entrada externa, o que torna a aplicação acessível publicamente a partir da internet. (Nenhuma política relacionada)
Gravidade: Alta
As identidades geridas atribuídas ao Azure Container Apps devem seguir o privilégio mínimo
Description: Defender para a Cloud identificou que a identidade gerida ou principal de serviço da Azure Container App tem políticas de acesso excessivamente permissivas (funções privilegiadas de administrador com amplo alcance) a outros recursos. (Nenhuma política relacionada)
Gravidade: Alta
As Azure Container Instances não devem ser expostas publicamente
Description: Defender para a Cloud detetou uma Azure Container Instance configurada com um endereço IP público, que torna a aplicação publicamente acessível a partir da internet nas portas configuradas. (Nenhuma política relacionada)
Gravidade: Alta
As identidades geridas atribuídas às Azure Container Instances devem seguir o privilégio mínimo
Description: Defender para a Cloud identificou que a identidade gerida ou principal de serviço Azure Instância de Contentor tem políticas de acesso excessivamente permissivas (funções de administrador privilegiado com amplo alcance). (Nenhuma política relacionada)
Gravidade: Alta
Os papéis de tarefas IAM atribuídos às tarefas ECS Fargate devem seguir o privilégio mínimo
Description: Defender para a Cloud identificou funções de tarefas IAM com permissões excessivas (por exemplo, AdministratorAccess, ações curinga ou políticas personalizadas permissivas). Papéis de tarefas IAM excessivamente privilegiados aumentam o impacto de um contentor comprometido. (Nenhuma política relacionada)
Gravidade: Alta
As tarefas ECS Fargate não devem executar contentores com privilégios elevados
Description: Defender para a Cloud detetou definições de tarefas ECS Fargate onde os contentores executam como utilizador root ou solicitam capacidades adicionais do Linux. Executar containers com privilégios elevados aumenta o risco de acesso não autorizado a ficheiros e escalonamento de privilégios. (Nenhuma política relacionada)
Gravidade: Alta
O sistema de ficheiros raiz de apenas leitura deve estar ativado para Contentores ECS
Descrição: O Defender para a Cloud identificou definições de tarefas ECS com sistemas de ficheiros raiz graváveis. Esta configuração representa um risco ao permitir modificações em tempo de execução em caminhos críticos do sistema, potencialmente possibilitando adulteração, persistência de alterações não autorizadas e exploração de diretórios mutáveis. (Nenhuma política relacionada)
Gravidade: Média
As tarefas do ECS Fargate não devem ser expostas publicamente
Description: Defender para a Cloud identificou uma ou mais tarefas ECS Fargate que são publicamente acessíveis a partir da internet devido à sua configuração de rede. A exposição pública aumenta a probabilidade de acesso não autorizado e exploração de vulnerabilidades ao nível da aplicação. (Nenhuma política relacionada)
Gravidade: Alta
O registo deve ser configurado para o ECS Exec em clusters ECS
Description: Defender para a Cloud identificou que um cluster ECS associado a serviços que utilizam o ECS Exec não tem registo de auditoria devidamente configurado. Sem registos explícitos, a atividade dos comandos pode ficar por registar, representando um risco de acesso não autorizado e não detetado. (Nenhuma política relacionada)
Gravidade: Média
O ECS Exec deve estar desativado nos serviços Fargate ECS
Description: Defender para a Cloud identificou que o ECS Exec está ativado num serviço Amazon ECS Fargate. O ECS Exec permite a execução de comandos dentro de contentores em execução via AWS Systems Manager, expondo um caminho de acesso interativo. A menos que seja explicitamente exigido para cenários de depuração aprovados, o ECS Exec deve permanecer desativado. (Nenhuma política relacionada)
Gravidade: Média