通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Kubernetes 节点漏洞评估

  • 项目

Defender for Cloud 可以扫描托管 Kubernetes 节点的 VM,以评估 OS 和已安装软件的漏洞。 作为维护群集 Kubernetes 节点的共担责任的一部分,为客户安全团队生成修正建议,以供其查看和修正。

先决条件

必须通过开启 Defender for Containers、Defender 云安全态势管理或 Defender for Servers P2 计划中的“对计算机进行无代理扫描选项来启用节点的漏洞评估。

查看 Kubernetes 节点漏洞建议

如果发现 Kubernetes 节点存在漏洞,则会生成建议以供客户查看。 若要在 Azure 门户中查看 Kubernetes 节点修正建议,请执行以下操作:

  1. 从“Defender for Cloud”菜单中,选择“建议”。 选择 Defender for Cloud 窗格的建议子菜单的屏幕截图。

  2. 选择“AKS 节点应已解决漏洞发现”建议。 显示节点建议行选择的屏幕截图。

  3. 将显示 Kubernetes 节点建议的完整详细信息。 除了对漏洞的完整说明外,还会显示其他详细信息,例如受影响的 Kubernetes 节点池的名称及其群集。 显示 Kubernetes 节点建议详细信息的屏幕截图。

  4. 选择“调查结果”选项卡以查看与 Kubernetes 节点相关的 CVE 列表。 屏幕截图显示选择“调查结果”选项卡以查看与 Kubernetes 节点相关的 CVE 列表。

  5. 选择其中一行 CVE 会打开一个窗格,其中提供了有关 CVE 和所有也具有此漏洞的 Kubernetes 节点资源的完整详细信息。 窗格的屏幕截图,其中显示了受影响的 CVE 和 Kubernetes 节点资源的所有详细信息。

在详细信息窗格中,“节点池实例”部分显示了受修正影响的节点。 “更多受影响的资源”显示了其他具有相同 CVE 且也应修正的节点。

修正 Kubernetes 节点漏洞

通过更新节点池 VM 映像版本来修正 Kubernetes 节点漏洞。 作为 Kubernetes 服务和客户之间共担责任的一部分,客户将负责升级节点池。 客户可通过以下两种方式之一升级节点池:将节点池 VM 映像和/或群集的 Kubernetes 服务升级到较新版本。 建议先升级节点池 VM 映像。 在某些情况下,客户需要通过升级群集的 Kubernetes 服务版本和节点池 VM 映像版本来修正漏洞。

重要

可将群集的 Kubernetes 版本和节点池 VM 映像设置为自动升级。 这些版本应定期升级,以实现 AKS 资源的最高安全性。

升级节点池 VM 映像

  1. 在建议窗格中选择 Fix 按钮。 屏幕截图显示了 Kubernetes 节点建议的详细信息,并突出显示了“修复”按钮。

  2. 若要升级节点池 VM 映像,请选择“更新映像”按钮,或选择“升级 Kubernetes”以升级群集 Kubernetes 服务版本。 屏幕截图显示了用于更新其映像的 Kubernetes 节点池的概述详细信息。

后续步骤

了解如何使用云安全资源管理器调查群集节点中的漏洞