Raccomandazioni sulla sicurezza dei contenitori
Questo articolo elenca tutte le raccomandazioni sulla sicurezza dei contenitori che potrebbero essere visualizzate in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Suggerimento
Se una descrizione della raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa.
Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. La limitazione dei criteri solo alle raccomandazioni fondamentali semplifica la gestione dei criteri.
Raccomandazioni per i contenitori di Azure
L'estensione Criteri di Azure deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc
Descrizione: Criteri di Azure'estensione per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. (Nessun criterio correlato)
Gravità: alta
Tipo: Piano di controllo
L'estensione di Defender deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc
Descrizione: l'estensione di Defender per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del piano di controllo (master) nel cluster e li invia al back-end di Microsoft Defender per Kubernetes nel cloud per ulteriori analisi. (Nessun criterio correlato)
Gravità: alta
Tipo: Piano di controllo
I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato
Descrizione: Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita il profilo SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito al cluster per raccogliere i dati degli eventi di sicurezza. Per altre informazioni, vedere Introduzione a Microsoft Defender per contenitori. (Nessun criterio correlato)
Gravità: alta
Tipo: Piano di controllo
servizio Azure Kubernetes cluster devono essere installati il componente aggiuntivo Criteri di Azure per Kubernetes
Descrizione: Criteri di Azure componente aggiuntivo per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. Defender per il cloud richiede il componente aggiuntivo per controllare e applicare funzionalità di sicurezza e conformità all'interno dei cluster. Altre informazioni. Richiede Kubernetes v 1.14.0 o versione successiva. (Criterio correlato: Criteri di Azure componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster.
Gravità: alta
Tipo: Piano di controllo
Le immagini del contenitore del registro in esecuzione in Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender)
Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle immagini Registro Azure Container).
Gravità: alta
Tipo: Valutazione della vulnerabilità
Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Qualys)
Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle immagini Registro Azure Container).
Chiave di valutazione: dbd0cb49-b563-45e7-9724-889e799fa648
Tipo: Valutazione della vulnerabilità
Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender)
Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori.
Gravità: alta
Tipo: Valutazione della vulnerabilità
Le immagini dei contenitori in esecuzione in Azure devono avere vulnerabilità risolte( basate su Qualys)
Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. (Nessun criterio correlato)
Chiave di valutazione: 41503391-efa5-47ee-9282-4eff6131462c
Tipo: Valutazione della vulnerabilità
È consigliabile applicare limiti per la CPU e la memoria dei contenitori
Descrizione: l'applicazione dei limiti di CPU e memoria impedisce attacchi di esaurimento delle risorse (una forma di attacco Denial of Service).
È consigliabile configurare limiti per i contenitori, in modo da assicurare che il runtime impedisca al contenitore di usare un numero di risorse superiore al limite configurato.
(Criterio correlato: Verificare che i limiti delle risorse di CPU e memoria del contenitore non superino i limiti specificati nel cluster Kubernetes.
Gravità: medio
Tipo: Piano dati Kubernetes
Le immagini del contenitore devono essere distribuite solo da registri attendibili
Descrizione: le immagini in esecuzione nel cluster Kubernetes devono provenire da registri di immagini contenitore noti e monitorati. I registri attendibili riducono il rischio di esposizione del cluster limitando il potenziale di introduzione di vulnerabilità sconosciute, problemi di sicurezza e immagini dannose.
(Criterio correlato: Assicurarsi che nel cluster Kubernetes siano consentite solo le immagini del contenitore consentite.
Gravità: alta
Tipo: Piano dati Kubernetes
[Anteprima] Le immagini del contenitore nel Registro Azure devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Gravità: alta
Tipo: Valutazione della vulnerabilità
(Abilita se necessario) I registri contenitori devono essere crittografati con una chiave gestita dal cliente
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sulla crittografia della chiave gestita dal cliente sono disponibili in Panoramica delle chiavi gestite dal cliente. (Criterio correlato: I registri contenitori devono essere crittografati con una chiave gestita dal cliente (CMK).
Gravità: Bassa
Tipo: Piano di controllo
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni
Descrizione: i registri contenitori di Azure accettano per impostazione predefinita le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da indirizzi o intervalli di indirizzi IP pubblici specifici. Se nel registro non sono configurate regole del firewall o IP o una rete virtuale, il registro verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili in Configurare le regole di rete IP pubbliche e Limitare l'accesso a un registro contenitori usando un endpoint di servizio in una rete virtuale di Azure. (Criterio correlato: I registri contenitori non devono consentire l'accesso alla rete senza restrizioni.
Gravità: medio
Tipo: Piano di controllo
I registri contenitori devono usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. (Criterio correlato: I registri contenitori devono usare un collegamento privato.
Gravità: medio
Tipo: Piano di controllo
[Anteprima] I risultati delle vulnerabilità dei contenitori in esecuzione in Azure devono essere risolti
Descrizione: Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Nota
A partire dal 6 ottobre 2024, questa raccomandazione è stata aggiornata per segnalare solo un singolo contenitore per ogni controller radice. Ad esempio, se un processo cronjob crea più processi, in cui ogni processo crea un pod con un contenitore vulnerabile, la raccomandazione segnala solo una singola istanza dei contenitori vulnerabili all'interno di tale processo. Questa modifica consente di rimuovere la creazione di report duplicati per contenitori identici che richiedono una singola azione per la correzione. Se è stata usata questa raccomandazione prima della modifica, è consigliabile prevedere una riduzione del numero di istanze di questa raccomandazione.
Per supportare questo miglioramento, la chiave di valutazione per questa raccomandazione è stata aggiornata a c5045ea3-afc6-4006-ab8f-86c8574dbf3d
. Se si stanno recuperando report sulle vulnerabilità da questa raccomandazione tramite l'API, assicurarsi di modificare la chiamata API per usare la nuova chiave di valutazione.
Gravità: alta
Tipo: Valutazione della vulnerabilità
I contenitori che condividono spazi dei nomi host sensibili devono essere evitati
Descrizione: per evitare l'escalation dei privilegi all'esterno del contenitore, evitare l'accesso dei pod agli spazi dei nomi host sensibili (ID processo host e IPC host) in un cluster Kubernetes. (Criterio correlato: I contenitori del cluster Kubernetes non devono condividere l'ID processo host o lo spazio dei nomi IPC host.
Gravità: medio
Tipo: piano dati Kubernetes
I contenitori devono usare solo i profili AppArmor consentiti
Descrizione: i contenitori in esecuzione nei cluster Kubernetes devono essere limitati solo ai profili AppArmor consentiti. AppArmor (Application Armor) è un modulo di sicurezza di Linux che protegge un sistema operativo e le rispettive applicazioni dalle minacce alla sicurezza. Per usarlo, un amministratore di sistema associa un profilo di sicurezza di AppArmor a ogni programma. (Criterio correlato: I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti.
Gravità: alta
Tipo: piano dati Kubernetes
È consigliabile evitare i contenitori con escalation dei privilegi
Descrizione: i contenitori non devono essere eseguiti con l'escalation dei privilegi alla radice nel cluster Kubernetes. L'attributo AllowPrivilegeEscalation consente di determinare se un processo può ottenere più privilegi rispetto al processo padre. (Criterio correlato: I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori.
Gravità: medio
Tipo: piano dati Kubernetes
I log di diagnostica nei servizi Kubernetes devono essere abilitati
Descrizione: abilitare i log di diagnostica nei servizi Kubernetes e conservarli fino a un anno. In questo modo è possibile ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza. (Nessun criterio correlato)
Gravità: Bassa
Tipo: Piano di controllo
Per i contenitori deve essere imposto il file system radice non modificabile (di sola lettura)
Descrizione: i contenitori devono essere eseguiti con un file system radice di sola lettura nel cluster Kubernetes. Il file system non modificabile protegge i contenitori dalle modifiche in fase di esecuzione con aggiunta di file binari dannosi a PATH. (Criterio correlato: I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura.
Gravità: medio
Tipo: piano dati Kubernetes
Il server API Kubernetes deve essere configurato con accesso limitato
Descrizione: per garantire che solo le applicazioni di reti, computer o subnet consentite possano accedere al cluster, limitare l'accesso al server API Kubernetes. È possibile limitare l'accesso definendo gli intervalli IP autorizzati o configurando i server API come cluster privati, come illustrato in Creare un cluster servizio Azure Kubernetes privato. (Criterio correlato: Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes.
Gravità: alta
Tipo: Piano di controllo
I cluster Kubernetes devono essere accessibili solo tramite HTTPS
Descrizione: l'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e Kubernetes abilitato per Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc (Criterio correlato: Applicare l'ingresso HTTPS nel cluster Kubernetes).
Gravità: alta
Tipo: Piano dati Kubernetes
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato
Descrizione: disabilitare il montaggio automatico delle credenziali api per impedire a una risorsa pod potenzialmente compromessa di eseguire comandi API nei cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Criterio correlato: I cluster Kubernetes devono disabilitare il montaggio automatico delle credenziali api.
Gravità: alta
Tipo: Piano dati Kubernetes
I cluster Kubernetes non devono concedere funzionalità di sicurezza CAPSYSADMIN
Descrizione: per ridurre la superficie di attacco dei contenitori, limitare CAP_SYS_ADMIN funzionalità linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Nessun criterio correlato)
Gravità: alta
Tipo: piano dati Kubernetes
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito
Descrizione: impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere da accessi non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Criterio correlato: I cluster Kubernetes non devono usare lo spazio dei nomi predefinito.
Gravità: Bassa
Tipo: piano dati Kubernetes
Per i contenitori devono essere imposte le funzionalità Linux con privilegi minimi
Descrizione: per ridurre la superficie di attacco del contenitore, limitare le funzionalità di Linux e concedere privilegi specifici ai contenitori senza concedere tutti i privilegi dell'utente radice. È consigliabile eliminare tutte le funzionalità, quindi aggiungere quelle necessarie (criterio correlato: i contenitori del cluster Kubernetes devono usare solo le funzionalità consentite).
Gravità: medio
Tipo: piano dati Kubernetes
Microsoft Defender per contenitori deve essere abilitato
Descrizione: Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multicloud. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.
la correzione di questa raccomandazione comporterà addebiti per la protezione dei cluster Kubernetes. Se nella sottoscrizione non sono presenti cluster Kubernetes, non verranno applicati addebiti. Se si creano cluster Kubernetes in questa sottoscrizione in futuro, questi verranno protetti automaticamente e gli addebiti inizieranno in quel momento. Per altre informazioni, vedere Introduzione a Microsoft Defender per contenitori. (Nessun criterio correlato)
Gravità: alta
Tipo: Piano di controllo
I contenitori con privilegi devono essere evitati
Descrizione: per impedire l'accesso senza restrizioni agli host, evitare i contenitori con privilegi quando possibile.
I contenitori con privilegi hanno tutte le funzionalità radice di un computer host. Possono essere usati come punti di ingresso per gli attacchi e per diffondere codice dannoso o malware in applicazioni compromesse, host e reti. (Criterio correlato: Non consentire contenitori con privilegi nel cluster Kubernetes.
Gravità: medio
Tipo: piano dati Kubernetes
I Controllo di accesso basati sui ruoli devono essere usati nei servizi Kubernetes
Descrizione: per fornire filtri granulari sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. (Criterio correlato: I Controllo di accesso basati sui ruoli (RBAC) devono essere usati nei servizi Kubernetes.
Gravità: alta
Tipo: Piano di controllo
È consigliabile evitare l'esecuzione di contenitori come utente radice
Descrizione: i contenitori non devono essere eseguiti come utenti radice nel cluster Kubernetes. L'esecuzione di un processo come utente radice in un contenitore lo esegue come radice nell'host. In caso di compromissione, un utente malintenzionato ha la radice nel contenitore e eventuali configurazioni errate diventano più facili da sfruttare. (Criterio correlato: I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati.
Gravità: alta
Tipo: Piano dati Kubernetes
I servizi devono essere in ascolto solo sulle porte consentite
Descrizione: per ridurre la superficie di attacco del cluster Kubernetes, limitare l'accesso al cluster limitando l'accesso ai servizi alle porte configurate. (Criterio correlato: Assicurarsi che i servizi siano in ascolto solo sulle porte consentite nel cluster Kubernetes.
Gravità: medio
Tipo: piano dati Kubernetes
L'utilizzo della rete host e delle porte deve essere limitato
Descrizione: limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentite in un cluster Kubernetes. I pod creati con l'attributo hostNetwork abilitato condivideranno lo spazio di rete del nodo. Per evitare che un contenitore compromesso analizzi il traffico di rete, è consigliabile non inserire i pod nella rete host. Se è necessario esporre una porta contenitore nella rete del nodo e l'uso di una porta del nodo del servizio Kubernetes non soddisfa le proprie esigenze, un'altra possibilità consiste nel specificare un hostPort per il contenitore nella specifica del pod. (Criterio correlato: i pod del cluster Kubernetes devono usare solo la rete host approvata e l'intervallo di porte).
Gravità: medio
Tipo: piano dati Kubernetes
L'utilizzo dei montaggi di volumi HostPath dei pod deve essere limitato a un elenco noto per limitare l'accesso ai nodi da contenitori compromessi
Descrizione: è consigliabile limitare i montaggi di volumi HostPath dei pod nel cluster Kubernetes ai percorsi host consentiti configurati. In caso di compromissione, l'accesso al nodo del contenitore dai contenitori deve essere limitato. (Criterio correlato: I volumi hostPath del cluster Kubernetes devono usare solo i percorsi host consentiti.
Gravità: medio
Tipo: Piano dati Kubernetes
Raccomandazioni sui contenitori AWS
[Anteprima] Le immagini dei contenitori nel registro AWS devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore.
Le immagini dei contenitori del registro AWS devono avere i risultati della vulnerabilità risolti (con tecnologia Gestione delle vulnerabilità di Microsoft Defender) verranno rimosse dalla nuova raccomandazione è disponibile a livello generale.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Gravità: alta
Tipo: Valutazione della vulnerabilità
[Anteprima] I risultati delle vulnerabilità dei contenitori in esecuzione in AWS devono essere risolti
Descrizione: Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Nota
A partire dal 6 ottobre 2024, questa raccomandazione è stata aggiornata per segnalare solo un singolo contenitore per ogni controller radice. Ad esempio, se un processo cronjob crea più processi, in cui ogni processo crea un pod con un contenitore vulnerabile, la raccomandazione segnala solo una singola istanza dei contenitori vulnerabili all'interno di tale processo. Questa modifica consente di rimuovere la creazione di report duplicati per contenitori identici che richiedono una singola azione per la correzione. Se è stata usata questa raccomandazione prima della modifica, è consigliabile prevedere una riduzione del numero di istanze di questa raccomandazione.
Per supportare questo miglioramento, la chiave di valutazione per questa raccomandazione è stata aggiornata a 8749bb43-cd24-4cf9-848c-2a50f632043c
. Se si stanno recuperando report sulle vulnerabilità da questa raccomandazione tramite API, assicurarsi di aggiornare la chiamata API per usare la nuova chiave di valutazione.
Gravità: alta
Tipo: Valutazione della vulnerabilità
I cluster del servizio Azure Kubernetes devono concedere le autorizzazioni AWS necessarie per Microsoft Defender per il cloud
Descrizione: Microsoft Defender per contenitori fornisce protezioni per i cluster del servizio Azure Kubernetes. Per monitorare le vulnerabilità e le minacce per la sicurezza del cluster, Defender per contenitori necessita delle autorizzazioni per l'account AWS. Queste autorizzazioni vengono usate per abilitare la registrazione del piano di controllo Kubernetes nel cluster e stabilire una pipeline affidabile tra il cluster e il back-end di Defender per il cloud nel cloud. Altre informazioni sulle funzionalità di sicurezza di Microsoft Defender per il cloud per gli ambienti in contenitori.
Gravità: alta
È consigliabile installare l'estensione di Microsoft Defender per Azure Arc nei cluster EKS
Descrizione: l'estensione del cluster di Microsoft Defender offre funzionalità di sicurezza per i cluster del servizio Azure Kubernetes . L'estensione raccoglie i dati da un cluster e dai relativi nodi per identificare le vulnerabilità e le minacce per la sicurezza. L'estensione funziona con Kubernetes abilitato per Azure Arc. Altre informazioni sulle funzionalità di sicurezza di Microsoft Defender per il cloud per gli ambienti in contenitori.
Gravità: alta
Microsoft Defender per contenitori deve essere abilitato nei connettori AWS
Descrizione: Microsoft Defender per contenitori fornisce protezione dalle minacce in tempo reale per gli ambienti in contenitori e genera avvisi sulle attività sospette. Usare queste informazioni per rafforzare la sicurezza dei cluster Kubernetes e correggere i problemi di sicurezza.
Quando si abilita Microsoft Defender per contenitori e si distribuisce Azure Arc nei cluster del servizio Azure Kubernetes, inizieranno le protezioni e gli addebiti. Se non si distribuisce Azure Arc in un cluster, Defender per contenitori non lo protegge e non vengono addebitati addebiti per questo piano di Microsoft Defender per il cluster.
Gravità: alta
Raccomandazioni sul piano dati
Tutte le raccomandazioni sulla sicurezza del piano dati Kubernetes sono supportate per AWS dopo aver abilitato Criteri di Azure per Kubernetes.
Raccomandazioni per i contenitori GCP
La configurazione avanzata di Defender per contenitori deve essere abilitata nei connettori GCP
Descrizione: Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Per assicurarsi che il provisioning della soluzione venga eseguito correttamente e che sia disponibile il set completo di funzionalità, abilitare tutte le impostazioni di configurazione avanzate.
Gravità: alta
[Anteprima] Le immagini del contenitore nel registro GCP devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore.
Le immagini del contenitore del registro GCP di raccomandazione devono avere i risultati della vulnerabilità risolti (con tecnologia Microsoft Defender vulnerability Management verrà rimossa quando la nuova raccomandazione è disponibile a livello generale.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Gravità: alta
Tipo: Valutazione della vulnerabilità
[Anteprima] I risultati delle vulnerabilità dei contenitori in esecuzione in GCP devono essere risolti
Descrizione: Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore.
La nuova raccomandazione è disponibile in anteprima e non viene usata per il calcolo del punteggio di sicurezza.
Nota
A partire dal 6 ottobre 2024, questa raccomandazione è stata aggiornata per segnalare solo un singolo contenitore per ogni controller radice. Ad esempio, se un processo cronjob crea più processi, in cui ogni processo crea un pod con un contenitore vulnerabile, la raccomandazione segnala solo una singola istanza dei contenitori vulnerabili all'interno di tale processo. Questa modifica consente di rimuovere la creazione di report duplicati per contenitori identici che richiedono una singola azione per la correzione. Se è stata usata questa raccomandazione prima della modifica, è consigliabile prevedere una riduzione del numero di istanze di questa raccomandazione.
Per supportare questo miglioramento, la chiave di valutazione per questa raccomandazione è stata aggiornata a 1b3abfa4-9e53-46f1-9627-51f2957f8bba
. Se si stanno recuperando report sulle vulnerabilità da questa raccomandazione tramite API, assicurarsi di aggiornare la chiamata API per usare la nuova chiave di valutazione.
Gravità: alta
Tipo: Valutazione della vulnerabilità
È consigliabile installare l'estensione di Microsoft Defender per Azure Arc nei cluster GKE
Descrizione: l'estensione del cluster di Microsoft Defender offre funzionalità di sicurezza per i cluster GKE. L'estensione raccoglie i dati da un cluster e dai relativi nodi per identificare le vulnerabilità e le minacce per la sicurezza. L'estensione funziona con Kubernetes abilitato per Azure Arc. Altre informazioni sulle funzionalità di sicurezza di Microsoft Defender per il cloud per gli ambienti in contenitori.
Gravità: alta
Nei cluster GKE deve essere installata l'estensione Criteri di Azure
Descrizione: Criteri di Azure'estensione per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. L'estensione funziona con Kubernetes abilitato per Azure Arc.
Gravità: alta
Microsoft Defender per contenitori deve essere abilitato nei connettori GCP
Descrizione: Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Abilitare il piano Contenitori nel connettore GCP per rafforzare la sicurezza dei cluster Kubernetes e correggere i problemi di sicurezza. Altre informazioni su Microsoft Defender per contenitori.
Gravità: alta
La funzionalità di ripristino automatico del cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta la proprietà di gestione di un pool di nodi per la coppia chiave-valore, key: autoRepair, value: true
.
Gravità: medio
La funzionalità di aggiornamento automatico del cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta la proprietà di gestione di un pool di nodi per la coppia chiave-valore, key: autoUpgrade, value: true
.
Gravità: alta
È necessario abilitare il monitoraggio dei cluster GKE
Descrizione: questa raccomandazione valuta se la proprietà monitoringService di un cluster contiene il percorso Da usare Monitoraggio cloud per scrivere le metriche.
Gravità: medio
La registrazione per i cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta se la proprietà loggingService di un cluster contiene il percorso Da usare Registrazione cloud per scrivere i log.
Gravità: alta
Il dashboard Web GKE deve essere disabilitato
Descrizione: questa raccomandazione valuta il campo kubernetesDashboard della proprietà addonsConfig per la coppia chiave-valore, 'disabled': false.
Gravità: alta
L'autorizzazione legacy deve essere disabilitata nei cluster GKE
Descrizione: questa raccomandazione valuta la proprietà legacyAbac di un cluster per la coppia chiave-valore, 'enabled': true.
Gravità: alta
Le reti autorizzate del piano di controllo devono essere abilitate nei cluster GKE
Descrizione: questa raccomandazione valuta la proprietà masterAuthorizedNetworksConfig di un cluster per la coppia chiave-valore, 'enabled': false.
Gravità: alta
I cluster GKE devono avere intervalli IP alias abilitati
Descrizione: questa raccomandazione valuta se il campo useIPAliases di ipAllocationPolicy in un cluster è impostato su false.
Gravità: Bassa
I cluster GKE devono avere cluster privati abilitati
Descrizione: questa raccomandazione valuta se il campo enablePrivateNodes della proprietà privateClusterConfig è impostato su false.
Gravità: alta
I criteri di rete devono essere abilitati nei cluster GKE
Descrizione: questa raccomandazione valuta il campo networkPolicy della proprietà addonsConfig per la coppia chiave-valore, 'disabled': true.
Gravità: medio
Raccomandazioni sul piano dati
Tutte le raccomandazioni sulla sicurezza del piano dati Kubernetes sono supportate per GCP dopo aver abilitato Criteri di Azure per Kubernetes.
Raccomandazioni sui registri contenitori esterni
[Anteprima] Le immagini del contenitore nel registro dell'hub Docker devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. La correzione delle vulnerabilità nelle immagini del contenitore consente di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di incidenti di sicurezza e garantisce la conformità agli standard di settore".
Gravità: alta
Tipo: Valutazione della vulnerabilità
[Anteprima] Le immagini del contenitore nel registro Jfrog Artifactory devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. La correzione delle vulnerabilità nelle immagini del contenitore consente di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di incidenti di sicurezza e garantisce la conformità agli standard di settore".
Gravità: alta
Tipo: Valutazione della vulnerabilità