Partilhar via

Revise as recomendações de proteção de host do Docker

  • Artigo

O plano Defender for Servers no Microsoft Defender for Cloud identifica contêineres não gerenciados hospedados em IaaS, Linux VMs ou outras máquinas Linux que executam contêineres Docker. O Defender for Servers avalia continuamente a configuração desses hosts Docker e os compara com o Docker Benchmark do Center for Internet Security (CIS).

  • O Defender for Cloud inclui todo o conjunto de regras do CIS Docker Benchmark e alerta você se seus contêineres não satisfizerem nenhum dos controles.
  • Quando encontra configurações incorretas, o Defender for Servers gera recomendações de segurança para resolver descobertas.- Quando vulnerabilidades são encontradas, elas são agrupadas dentro de uma única recomendação.

Nota

A proteção do host do Docker usa o agente do Log Analytics (também conhecido como agente de monitoramento da Microsoft (MMA)) para coletar informações do host para avaliação. O MMA está se aposentando e o recurso de proteção de host do Docker será preterido em novembro de 2024.

Pré-requisitos

  • Você precisa do Defender for Servers Plan 2 para usar esse recurso.
  • Essas verificações de referência do CIS não serão executadas em instâncias gerenciadas pelo AKS ou VMs gerenciadas pelo Databricks.
  • Você precisa de permissões de Leitor no espaço de trabalho ao qual o host se conecta.

Identificar problemas de configuração do Docker

  1. No menu do Defender for Cloud, abra a página Recomendações .

  2. Filtrar para a recomendação As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas e selecionar a recomendação.

    A página de recomendação mostra os recursos afetados (hosts do Docker).

    Recomendação para corrigir vulnerabilidades em configurações de segurança de contêiner.

    Nota

    As máquinas que não estão executando o Docker serão mostradas na guia Recursos não aplicáveis . Eles aparecerão na Política do Azure como Conformes.

  3. Para exibir e corrigir os controles CIS que um host específico falhou, selecione o host que você deseja investigar.

    Gorjeta

    Se você começou na página de inventário de ativos e chegou a essa recomendação a partir daí, selecione o botão Agir na página de recomendação.

    Botão Agir para iniciar o Log Analytics.

    O Log Analytics é aberto com uma operação personalizada pronta para ser executada. A consulta personalizada padrão inclui uma lista de todas as regras com falha que foram avaliadas, juntamente com diretrizes para ajudá-lo a resolver os problemas.

    Página do Log Analytics com a consulta mostrando todos os controles CIS com falha.

  4. Ajuste os parâmetros de consulta, se necessário.

  5. Quando tiver certeza de que o comando é apropriado e está pronto para seu host, selecione Executar.

Próximos passos

Saiba mais sobre a segurança de contêineres no Defender for Cloud.