Referens för nätverksåtkomst och behörigheter för Defender för containrar

I den här artikeln beskrivs kraven på nätverksanslutning och behörighet för Microsoft Defender för containrar.

Kraven i den här artikeln beror på de aktiverade funktionerna och miljön där containerarbetsbelastningarna körs.

Läs mer om anslutningsmönster och planera komponenter.

Microsoft Defender för molnet till containerregister

Microsoft Defender för molnet ansluter till containerregister för att söka igenom containeravbildningar efter säkerhetsrisker. I vissa fall publicerar Defender för containrar också resultat av sårbarhetsbedömning tillbaka till registret.

Azure Container Registry (ACR)

Network

  • För privata acr:er beviljas nätverksåtkomst automatiskt via Azure infrastruktur.

Behörigheter

  • Roll: Defender containerregister
  • Behörigheter:
    • Microsoft.ContainerRegistry/registries/pull/read
    • Microsoft.ContainerRegistry/registries/metadata/read
    • Microsoft.ContainerRegistry/registries/read
    • Microsoft.ContainerRegistry/registries/repositories/content/read
    • Microsoft.ContainerRegistry/registries/repositories/metadata/read
    • Microsoft.ContainerRegistry/registries/catalog/read

Amazon Elastic Container Registry (ECR)

Network

  • ECR-slutpunkter är alltid offentligt tillgängliga.

Behörigheter

  • Roll: CspmMonitorAws (en del av den befintliga CSPM-rollen)

    • ecr:GetRegistryPolicy
    • ecr:DescribeImages
    • ecr:DescribeRepositories
    • ecr:GetRepositoryPolicy

  • Roll: MDCContainersImageAssessmentRole

    • ecr:PutImage
    • ecr:BatchDeleteImage
    • ecr-public:PutImage
    • ecr-public:BatchDeleteImage

Note

Behörigheterna MDCContainersImageAssessmentRole används endast för att publicera resultat av sårbarhetsbedömning tillbaka till registret för gated distribution. Microsoft Defender för molnet ändrar inte kundcontaineravbildningar.

Google Artifact Registry (GAR)

Network

  • GAR-slutpunkter är alltid offentligt tillgängliga.

Behörigheter

  • Roll: MDCCspmCustomRole (en del av den befintliga CSPM-rollen)

    • artifactregistry.repositories.list
    • artifactregistry.repositories.getIamPolicy
    • artifactregistry.dockerimages.list

  • Roll: MDCWritingGarAssessmentsRole

    • artifactregistry.repositories.uploadArtifacts
    • artifactregistry.repositories.deleteArtifacts

Note

Behörigheterna MDCWritingGarAssessmentsRole används endast för att publicera resultat av sårbarhetsbedömning tillbaka till registret för gated distribution. Microsoft Defender för molnet ändrar inte kundcontaineravbildningar.

JFrog Artifactory (SaaS)

Network

  • JFrog Artifactory-instansen måste vara offentligt tillgänglig via Internet.

Behörigheter och konfiguration

  • En dedikerad grupp, till exempel mdc-group-{customerTenantId}
  • Ett behörighetsmål med läsbehörighet till alla lagringsplatser för MDC-gruppen
  • En OpenID Connect-provider (OIDC) integrerad med Microsoft Entra ID
  • OIDC-identitetsmappningar som tillåter autentisering med hjälp av Entra-utfärdade token

API-omfång som används

  • Gruppåtkomst: /access/api/v1/scim/v2/Groups
  • Behörighetsmål: /access/api/v2/permissions (LÄS PÅ ALLA LOKALA, FJÄRRANSLUTNA, DISTRIBUTION)
  • OIDC-provider- och identitetsmappningar:
    • /access/api/v1/oidc
    • /access/api/v1/oidc/{oidcName}/identity_mappings

Docker Hub (SaaS)

Network

  • Docker Hub måste vara offentligt tillgängliga via Internet.

Behörigheter

  • Kundtilldelad åtkomsttoken med läsåtkomst

Microsoft Defender för molnet till Kubernetes-kluster

Microsoft Defender för molnet ansluter till Kubernetes API-slutpunkter för att identifiera kluster och samla in konfigurationsdata för hållning och riskanalys.

Azure Kubernetes Service (AKS)

Network

  • Ingen ytterligare offentlig eller begränsad offentlig slutpunktskonfiguration krävs. Microsoft Defender för containrar får åtkomst till Kubernetes API via Azure betrodd åtkomst.

Behörigheter

  • Hanterad identitet som skapats i kundmiljön
  • Inbyggd roll: Kubernetes Agentless Operator
    • Microsoft.ContainerService/managedClusters/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

Note

För AKS använder Defender för molnet AKS-betrodd åtkomst. Defender för molnet skapar en hanterad identitet och en bindning av betrodd åtkomstroll. När klustret har identifierats skapar Defender för molnet en Kubernetes ClusterRoleBinding till det inbyggda AKS ClusterRole-aks:trustedaccessrole:defender-containers:microsoft-defender-operator, vilket ger läsbehörigheter i klustret.

Amazon Elastic Kubernetes Service (EKS)

Network

  • Kubernetes API-server måste tillåta åtkomst från:
    • 172.212.245.192/28
    • 48.209.1.192/28
  • För privata API-slutpunkter måste en begränsad offentlig slutpunkt aktiveras med IP-intervallen ovan.

För privata EKS-kluster måste Kubernetes API-servern exponera en begränsad offentlig slutpunkt som tillåter åtkomst från godkända ip-intervall för Microsoft Defender för containrar.

Behörigheter

  • Roll: MDCContainersAgentlessDiscoveryK8sRole
    • eks:UpdateClusterConfig
    • eks:DescribeCluster
    • eks:CreateAccessEntry
    • eks:ListAccessEntries
    • eks:AssociateAccessPolicy
    • eks:ListAssociatedAccessPolicies

Note

eks:UpdateClusterConfig används för att lägga till Microsoft Defender för containrars statiska IP CIDR-block i CIDR-listan med offentlig åtkomst i EKS-klustret (ResourcesVpcConfig.PublicAccessCidrs). Det används också för att uppdatera autentiseringsläget från CONFIG_MAP till API_AND_CONFIG_MAP, vilket krävs för att skapa åtkomstposter i äldre kluster. Om den här behörigheten inte beviljas misslyckas inventeringssamlingen för kluster med begränsad offentlig slutpunktsåtkomst eftersom Defender för containrar inte kan ansluta till Kubernetes API-servern. Inventeringsinsamlingen misslyckas också för kluster som använder CONFIG_MAP-only-autentisering eftersom Defender för containrar inte kan skapa de åtkomstposter som krävs. För kluster med en öppen offentlig slutpunkt krävs inte den här behörigheten för anslutning, men Defender för molnet försöker fortfarande utföra konfigurationsuppdateringen.

Google Kubernetes Engine (GKE)

Network

  • Kubernetes API-server måste tillåta åtkomst från:
    • 172.212.245.192/28
    • 48.209.1.192/28
  • För privata API-slutpunkter måste en begränsad offentlig slutpunkt aktiveras med IP-intervallen ovan.

För privata GKE-kluster måste Kubernetes API-servern exponera en begränsad offentlig slutpunkt som tillåter åtkomst från godkända ip-intervall för Microsoft Defender för containrar.

Behörigheter

  • Roll: MDCGkeClusterWriteRole

    • container.clusters.update
    • container.viewer

  • Roll: MDCGkeContainerResponseActionsRole

    • container.pods.update
    • container.pods.delete
    • container.networkPolicies.create
    • container.networkPolicies.update
    • container.networkPolicies.delete

  • Roll: MDCGkeContainerInventoryCollectionRole

    • container.nodes.proxy
    • container.secrets.list

Note

container.clusters.update används för att lägga till Microsoft Defender för containrar statiska IP CIDR-block i GKE-klustret Master Authorized Networks-konfigurationen. Om den här behörigheten inte beviljas misslyckas inventeringssamlingen för kluster som har huvudauktoriserade nätverk aktiverade eftersom Defender för containrar inte kan ansluta till Kubernetes API-servern. För kluster utan huvudauktoriserade nätverk aktiverade krävs inte den här behörigheten för anslutning.

Kubernetes-kluster att Microsoft Defender för molnet

Kubernetes-kluster skickar körningssäkerhetsdata till Microsoft Defender för molnet.

Krav för utgående nätverk

  • Protokoll: HTTPS
  • Port: 443
  • Domän: *.cloud.defender.microsoft.com

Kubernetes-behörigheter som skapats av Defender-sensorn

Defender-sensorn skapar Kubernetes-roller med följande behörigheter:

API-grupp Resurser Verb
core ("") poddar, noder, tjänster, händelser, konfigurationsmappar get, list, watch, patch
apps daemonsets, repliker, statefulsets, distributioner get, list, watch
omgång jobb, cronjobs get, list, watch
networking.k8s.io ingresser get, list, watch
apiextensions.k8s.io customresourcedefinitions get, list, watch, create, update, delete
defender.microsoft.com Alla resurser (*) get, list, watch, create, update, delete

Molninfrastruktur till Microsoft Defender för molnet (Kubernetes-granskningsloggar)

Defender för containrar kräver Kubernetes-granskningsloggar för hotidentifiering av kontrollplan.

Azure Kubernetes Service (AKS)

  • Granskningsloggar samlas in agentlöst via Azure infrastruktur.
  • Inga ytterligare nätverk eller behörighetskrav gäller, inklusive för privata AKS-kluster.

Amazon Elastic Kubernetes Service (EKS)

  • Granskningsloggar samlas in via AWS CloudWatch.
  • Defender för molnet skapar följande resurser i kundkontot:
    • Amazon SQS-kö
    • Amazon Kinesis Data Firehose-leveransström
    • Amazon S3 bucket

Nödvändiga roller

  • MDCContainersK8sCloudWatchToKinesisRole
  • MDCContainersK8sKinesisToS3Role

Google Kubernetes Engine (GKE)

  • Granskningsloggar samlas in på projektnivå via GCP Cloud Logging.
  • Defender för molnet skapar pub-/underresurser i kundprojektet för att vidarebefordra loggar.

Relaterat innehåll

  • Last updated on