Passer en revue les recommandations relatives au renforcement de l’hôte Docker

  • Article

Microsoft Defender pour le cloud identifie les conteneurs non managés qui sont hébergés sur des machines virtuelles IaaS Linux, ou d’autres machines Linux exécutant des conteneurs Docker. Defender pour le cloud évalue en continu les configurations de ces conteneurs. Il les compare ensuite au document de référence Center for Internet Security (CIS) Docker Benchmark.

Defender pour le cloud inclut la totalité des règles définies dans le CIS Docker Benchmark et vous envoie une alerte si vos conteneurs ne satisfont pas à tous les contrôles. Quand il détecte des configurations incorrectes, Defender pour le cloud génère des recommandations de sécurité. Accédez à la page des recommandations de Defender pour le cloud pour lire les suggestions et corriger les problèmes.

Lorsque des vulnérabilités sont détectées, elles sont regroupées dans une recommandation unique.

Notes

Ces vérifications des règles du CIS Benchmark ne sont pas effectuées sur les instances managées par AKS ni sur les machines virtuelles managées par Databricks.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Nécessite Defender pour les serveurs Plan 2
Rôles et autorisations obligatoires : Lecteur sur l’espace de travail auquel l’hôte se connecte
Clouds : Clouds commerciaux
Nationaux (Azure Government, Microsoft Azure géré par 21Vianet)
Comptes AWS connectés

Identifier et corriger les vulnérabilités de sécurité dans votre configuration Docker

  1. Dans le menu de Defender pour le cloud, ouvrez la page Recommandations.

  2. Filtrez la recommandation Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées et sélectionnez la recommandation.

    La page de la recommandation affiche les ressources affectées (hôtes Docker).

    Recommendation to remediate vulnerabilities in container security configurations.

    Remarque

    Les ordinateurs qui n’exécutent pas Docker s’affichent sous l’onglet Ressources non applicables. Ils apparaissent dans Azure Policy comme étant conformes.

  3. Pour afficher et corriger les contrôles CIS qui ont échoué sur un hôte spécifique, sélectionnez l’hôte que vous souhaitez examiner.

    Conseil

    Si vous avez atteint cette recommandation en partant de la page d’inventaire des ressources, sélectionnez le bouton Entreprendre une action sur la page de la recommandation.

    Take action button to launch Log Analytics.

    Log Analytics s’ouvre sur une opération personnalisée prête à être exécutée. La requête personnalisée par défaut comprend une liste de toutes les règles ayant échoué qui ont été évaluées, ainsi que des instructions pour vous aider à résoudre les problèmes.

    Log Analytics page with the query showing all failed CIS controls.

  4. Ajustez les paramètres de requête si nécessaire.

  5. Lorsque vous êtes sûr que la commande est appropriée et prête pour votre hôte, sélectionnez Exécuter.

Étape suivante

Le renforcement Docker n’est qu’un aspect des fonctionnalités de sécurité des conteneurs de Defender pour le cloud.

En savoir plus sur la Sécurité des conteneurs dans Defender pour le cloud.