Pertanyaan umum tentang melindungi kontainer

Anda dapat menggunakan Azure Policy Configure Microsoft Defender for Containers to be enabled, untuk mengaktifkan Defender untuk Kontainer dalam skala besar. Anda juga dapat melihat semua opsi yang tersedia untuk mengaktifkan Microsoft Defender untuk Kontainer.

Ya.

Tidak. Hanya kluster Azure Kubernetes Service (AKS) yang menggunakan Virtual Machine Scale Sets untuk node yang didukung.

Tidak, AKS adalah layanan terkelola, dan manipulasi sumber daya IaaS tidak didukung. Ekstensi VM Analitik Log tidak diperlukan dan dapat mengakibatkan biaya tambahan.

Anda dapat menggunakan ruang kerja Analitik Log yang sudah ada dengan mengikuti langkah-langkah di bagian ruang kerja Tetapkan ruang kerja kustom dari artikel ini.

Kami tidak menyarankan untuk menghapus ruang kerja default. Defender untuk Kontainer menggunakan ruang kerja default untuk mengumpulkan data keamanan dari kluster Anda. Defender untuk Kontainer tidak akan dapat mengumpulkan data, serta beberapa rekomendasi dan peringatan keamanan akan menjadi tidak tersedia jika Anda menghapus ruang kerja default.

Untuk memulihkan ruang kerja default, Anda perlu menghapus sensor Defender, dan menginstal ulang sensor. Menginstal ulang sensor Defender membuat ruang kerja default baru.

Bergantung pada wilayah Anda, ruang kerja Analitik Log default mungkin terletak di berbagai lokasi. Untuk memeriksa wilayah Anda, lihat Di mana ruang kerja Analitik Log default dibuat?

Sensor Defender menggunakan ruang kerja Analitik log untuk mengirim data dari kluster Kubernetes anda ke Defender untuk Cloud. Defender untuk Cloud menambahkan ruang kerja analitik log dan grup sumber daya sebagai parameter untuk digunakan sensor.

Namun, jika organisasi Anda memiliki kebijakan yang memerlukan tag tertentu pada sumber daya Anda, itu dapat menyebabkan penginstalan sensor gagal selama grup sumber daya atau tahap pembuatan ruang kerja default. Jika gagal, Anda dapat:

• Tetapkan ruang kerja kustom dan tambahkan tag apa pun yang diperlukan organisasi Anda.

  or

• Jika perusahaan mengharuskan Anda menandai sumber daya, Anda harus menavigasi ke kebijakan tersebut dan mengecualikan sumber daya berikut:

  1. Grup sumber daya DefaultResourceGroup-<RegionShortCode>
  2. Ruang kerja DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode adalah string 2-4 huruf.

Defender for Containers menarik gambar dari registri dan menjalankannya di kotak pasir terisolasi dengan Pengelolaan Kerentanan Microsoft Defender untuk lingkungan multicloud. Pemindai mengekstrak daftar kerentanan yang diketahui.

Defender for Cloud menyaring dan mengklasifikasikan temuan dari pemindai. Saat gambar sehat, Defender untuk Cloud menandainya seperti itu. Defender untuk Cloud menghasilkan rekomendasi keamanan hanya untuk gambar yang memerlukan penyelesaian masalah. Dengan hanya memberi tahu Anda jika ada masalah, Defender for Cloud mengurangi potensi peringatan informasi yang tidak diinginkan.

Untuk mengidentifikasi peristiwa penarikan yang dilakukan oleh pemindai, lakukan langkah-langkah berikut:

1. Cari peristiwa penarikan dengan UserAgent dari AzureContainerImageScanner.
2. Ekstrak identitas yang terkait dengan kejadian ini.
3. Gunakan identitas yang diekstrak untuk mengidentifikasi peristiwa penarikan dari pemindai.

• Sumber daya yang tidak berlaku adalah sumber daya yang rekomendasinya tidak dapat memberikan jawaban pasti. Tab yang tidak berlaku mencakup alasan untuk setiap sumber daya yang tidak dapat dinilai.
• Sumber daya yang belum diverifikasi adalah sumber daya yang dijadwalkan untuk dinilai, tetapi belum dinilai.

Beberapa gambar mungkin menggunakan kembali tag dari gambar yang sudah dipindai. Misalnya, Anda dapat menetapkan ulang tag "Terbaru" setiap kali Anda menambahkan gambar ke hash. Dalam kasus seperti itu, gambar 'lama' masih ada di registri dan mungkin masih ditarik oleh hashnya. Jika gambar memiliki temuan keamanan dan ditarik, gambar akan mengekspos kerentanan keamanan.

Saat ini, Defender untuk Kontainer hanya dapat memindai gambar di Azure Container Registry (ACR) dan AWS Elastic Container Registry (ECR). Registri Docker, Registri Artefak Microsoft/Microsoft Container Registry, dan registri gambar kontainer bawaan Microsoft Azure Red Hat OpenShift (ARO) tidak didukung. Gambar harus terlebih dahulu diimpor ke ACR. Pelajari selengkapnya tentang mengimpor gambar kontainer ke registri kontainer Azure.

Ya. Hasilnya berada di Sub-Assesment Rest API. Selain itu, Anda dapat menggunakan Azure Resource Graph (ARG), API yang mirip Kusto untuk semua sumber daya Anda: kueri dapat mengambil pemindaian tertentu.

Untuk memeriksa jenis gambar, Anda perlu menggunakan alat yang dapat memeriksa manifes gambar mentah seperti skopeo, dan memeriksa format gambar mentah.

• Untuk format Docker v2, jenis media manifes akan menjadi application/vnd.docker.distribution.manifest.v1+json atau application/vnd.docker.distribution.manifest.v2+json, seperti yang didokumenkan di sini.
• Untuk format gambar OCI, jenis media manifes adalah application/vnd.oci.image.manifest.v1+json, dan config media type application/vnd.oci.image.config.v1+json, seperti yang didokumenkan di sini.

Ada dua ekstensi yang menyediakan fungsionalitas CSPM tanpa agen:

• Penilaian kerentanan Kontainer Tanpa Agen: Menyediakan penilaian kerentanan kontainer tanpa agen. Pelajari selengkapnya tentang penilaian kerentanan Kontainer Tanpa Agen.
• Penemuan tanpa agen untuk Kubernetes: Menyediakan penemuan informasi berbasis API tentang arsitektur kluster Kubernetes, objek beban kerja, dan penyiapan.

Untuk melakukan onboarding beberapa langganan sekaligus, Anda dapat menggunakan skrip ini.

Jika Anda tidak melihat hasil dari kluster Anda, periksa pertanyaan berikut:

• Apakah Anda telah menghentikan kluster?
• Apakah grup sumber daya, langganan, atau kluster Anda terkunci? Jika jawaban atas salah satu pertanyaan ini adalah ya, lihat jawaban dalam pertanyaan berikut.

Kami tidak mendukung atau membebankan biaya atas kluster yang dihentikan. Untuk mendapatkan manfaat kemampuan tanpa agen pada kluster yang dihentikan, Anda dapat menjalankan ulang kluster tersebut.

Kami menyarankan agar Anda membuka kunci grup sumber daya/langganan/kluster yang terkunci, membuat permintaan yang relevan secara manual, lalu mengunci ulang grup sumber daya/langganan/kluster dengan melakukan hal berikut:

1. Aktifkan bendera fitur secara manual melalui CLI dengan menggunakan Akses Tepercaya.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Lakukan operasi pengikatan di CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Untuk kluster terkunci, Anda juga dapat melakukan salah satu langkah berikut:

• Lepaskan kuncinya.
• Lakukan operasi pengikatan secara manual dengan membuat permintaan API. Pelajari selengkapnya tentang sumber daya terkunci.

Pelajari selengkapnya tentang versi Kubernetes yang didukung di Azure Kubernetes Service (AKS).

Diperlukan waktu hingga 24 jam agar perubahan tercermin dalam grafik keamanan, jalur serangan, dan penjelajah keamanan.

Langkah-langkah berikut akan menghapus rekomendasi registri tunggal yang didukung oleh Trivy dan menambahkan registri baru dan rekomendasi runtime yang didukung oleh MDVM.

1. Buka konektor AWS yang relevan.
2. Buka halaman Pengaturan untuk Defender untuk Kontainer.
3. Aktifkan Penilaian Kerentanan Kontainer Tanpa Agen.
4. Selesaikan langkah-langkah wizard konektor, termasuk penyebaran skrip onboarding baru di AWS.
5. Hapus sumber daya yang dibuat secara manual selama onboarding:
   • Wadah S3 dengan awalan defender-for-containers-va
   • Kluster ECS dengan nama defender-for-containers-va
   • VPC:
     • Tag name dengan nilai defender-for-containers-va
     • SUBNET IP CIDR 10.0.0.0/16
     • Terkait dengan grup keamanan default dengan tag name dan nilai defender-for-containers-va yang memiliki satu aturan dari semua lalu lintas masuk.
     • Subnet dengan tag name dan nilai defender-for-containers-va di defender-for-containers-va VPC dengan subnet IP CIDR 10.0.1.0/24 yang digunakan oleh kluster ECS defender-for-containers-va
     • Gateway Internet dengan tag name dan nilai defender-for-containers-va
     • Tabel rute - Tabel rute dengan tag name dan nilai defender-for-containers-va, dan dengan rute ini:
       • Tujuan: 0.0.0.0/0; Target: Internet Gateway dengan tag name dan nilai defender-for-containers-va
       • Tujuan: 10.0.0.0/16; Target: local

Untuk mendapatkan penilaian kerentanan untuk menjalankan gambar, aktifkan penemuan Tanpa Agen untuk Kubernetes atau sebarkan sensor Defender pada kluster Kubernetes Anda.

Langkah berikutnya

Pelajari tentang Defender untuk Kontainer