Veelgestelde vragen over het beveiligen van containers

U kunt Azure Policy Configure Microsoft Defender for Containers to be enabledgebruiken om Defender for Containers op schaal in te schakelen. U kunt ook alle opties zien die beschikbaar zijn om Microsoft Defender for Containers in te schakelen.

Ja.

Nee Alleen Azure Kubernetes Service (AKS)-clusters die gebruikmaken van Virtual Machine Scale Sets voor de knooppunten, worden ondersteund.

Nee, AKS is een beheerde service en het bewerken van de IaaS-resources wordt niet ondersteund. De Log Analytics VM-extensie is niet nodig en kan leiden tot extra kosten.

U kunt uw bestaande Log Analytics-werkruimte gebruiken door de stappen in de sectie Een aangepaste werkruimte toewijzen van dit artikel te volgen.

Het is niet raadzaam om de standaardwerkruimte te verwijderen. Defender for Containers gebruikt de standaardwerkruimten om beveiligingsgegevens van uw clusters te verzamelen. Defender for Containers kan geen gegevens verzamelen en sommige beveiligingsaanbeveling en -waarschuwingen zijn niet beschikbaar als u de standaardwerkruimte verwijdert.

Als u uw standaardwerkruimte wilt herstellen, moet u de Defender-sensor verwijderen en de sensor opnieuw installeren. Als u de Defender-sensor opnieuw installeert, wordt er een nieuwe standaardwerkruimte gemaakt.

Afhankelijk van uw regio kan de standaard Log Analytics-werkruimte zich op verschillende locaties bevinden. Zie Waar is de standaard Log Analytics-werkruimte gemaakt om uw regio te controleren?

De Defender-sensor gebruikt de Log Analytics-werkruimte om gegevens van uw Kubernetes-clusters te verzenden naar Defender voor Cloud. De Defender voor Cloud voegt de loganalysewerkruimte en de resourcegroep toe als parameter voor de sensor die moet worden gebruikt.

Als uw organisatie echter een beleid heeft waarvoor een specifieke tag voor uw resources is vereist, kan dit ertoe leiden dat de sensorinstallatie mislukt tijdens de resourcegroep of de standaardfase voor het maken van werkruimten. Als dit mislukt, kunt u het volgende doen:

• Wijs een aangepaste werkruimte toe en voeg een tag toe die uw organisatie nodig heeft.

  or

• Als uw bedrijf vereist dat u uw resource tagt, moet u naar dat beleid navigeren en de volgende resources uitsluiten:

  1. De resourcegroep DefaultResourceGroup-<RegionShortCode>
  2. De werkruimte DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode is een tekenreeks van 2-4 letters.

Defender for Containers haalt de installatiekopie op uit het register en voert deze uit in een geïsoleerde sandbox met Microsoft Defender Vulnerability Management voor omgevingen met meerdere clouds. De scanner extraheert een lijst met bekende beveiligingsproblemen.

Defender voor Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen aanbevelingen voor de beveiliging ten aanzien van installatiekopieën waarvoor problemen moeten worden opgelost. Door alleen u een melding te geven als er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Ga als volgt te werk om pull-gebeurtenissen te identificeren die door de scanner worden uitgevoerd:

1. Zoek naar pull-gebeurtenissen met de UserAgent van AzureContainerImageScanner.
2. Pak de identiteit uit die aan deze gebeurtenis is gekoppeld.
3. Gebruik de geëxtraheerde identiteit om pull-gebeurtenissen van de scanner te identificeren.

• Niet-toepasselijke resources zijn resources waarvoor de aanbeveling geen definitief antwoord kan geven. Het niet van toepassing zijnde tabblad bevat redenen voor elke resource die niet kan worden beoordeeld.
• Niet-geverifieerde resources zijn resources die moeten worden beoordeeld, maar nog niet geëvalueerd.

Sommige afbeeldingen kunnen tags hergebruiken van een installatiekopieën die al zijn gescand. U kunt bijvoorbeeld de tag 'Laatste' telkens opnieuw toewijzen wanneer u een afbeelding aan een samenvatting toevoegt. In dergelijke gevallen bestaat de 'oude' installatiekopie nog steeds in het register en kan deze nog steeds worden opgehaald door de digest. Als de installatiekopie beveiligingsresultaten heeft en wordt opgehaald, worden beveiligingsproblemen weergegeven.

Defender for Containers kan momenteel alleen installatiekopieën scannen in Azure Container Registry (ACR) en AWS Elastic Container Registry (ECR). Docker Registry, Microsoft-artefactregister/Microsoft Container Registry en het ingebouwde containerinstallatiekopieregister van Microsoft Azure Red Hat OpenShift (ARO) worden niet ondersteund. Installatiekopieën moeten eerst worden geïmporteerd in ACR. Meer informatie over het importeren van containerinstallatiekopieën in een Azure-containerregister.

Ja. De resultaten bevinden zich onder de REST API voor subevaluaties. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.

Als u een afbeeldingstype wilt controleren, moet u een hulpprogramma gebruiken waarmee het onbewerkte afbeeldingsmanifest, zoals skopeo, kan worden gecontroleerd en de onbewerkte afbeeldingsindeling kan worden gecontroleerd.

• Voor de Docker v2-indeling is het mediatype manifest application/vnd.docker.distribution.manifest.v1+json of application/vnd.docker.distribution.manifest.v2+json, zoals hier wordt beschreven.
• Voor de indeling van de OCI-installatiekopie is het mediatype manifest application/vnd.oci.image.manifest.v1+json en config mediatype application/vnd.oci.image.config.v1+json, zoals hier wordt beschreven.

Er zijn twee extensies die cspm-functionaliteit zonder agent bieden:

• Evaluaties van beveiligingsproblemen in containers zonder agent: biedt evaluaties van beveiligingsproblemen zonder agent. Meer informatie over evaluatie van beveiligingsproblemen zonder agent.
• Detectie zonder agent voor Kubernetes: biedt op API gebaseerde detectie van informatie over Kubernetes-clusterarchitectuur, workloadobjecten en installatie.

Als u meerdere abonnementen tegelijk wilt onboarden, kunt u dit script gebruiken.

Als u geen resultaten van uw clusters ziet, controleert u de volgende vragen:

• Hebt u clusters gestopt?
• Zijn uw resourcegroepen, abonnementen of clusters vergrendeld? Als het antwoord op een van deze vragen ja is, raadpleegt u de antwoorden in de volgende vragen.

Gestopte clusters worden niet ondersteund of in rekening gebracht. Als je de waarde van mogelijkheden zonder agent wilt ophalen voor een gestopt cluster, kun je het cluster opnieuw uitvoeren.

U wordt aangeraden de vergrendelde resourcegroep/het abonnement/cluster te ontgrendelen, de relevante aanvragen handmatig uit te voeren en vervolgens de resourcegroep/het abonnement/cluster opnieuw te koppelen door het volgende te doen:

1. Schakel de functievlag handmatig in via CLI met vertrouwde toegang.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Voer de bindingsbewerking uit in de CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Voor vergrendelde clusters kunt u ook een van de volgende stappen uitvoeren:

• Verwijder de vergrendeling.
• Voer de bindingsbewerking handmatig uit door een API-aanvraag te maken. Meer informatie over vergrendelde resources.

Meer informatie over ondersteunde Kubernetes-versies in Azure Kubernetes Service (AKS).

Het kan tot 24 uur duren voordat wijzigingen worden weergegeven in de beveiligingsgrafiek, aanvalspaden en security Explorer.

Met de volgende stappen wordt de aanbeveling voor één register verwijderd die mogelijk wordt gemaakt door Trivy en voegt u de nieuwe aanbevelingen voor register en runtime toe die mogelijk worden gemaakt door MDVM.

1. Open de relevante AWS-connector.
2. Open de pagina Instellingen voor Defender for Containers.
3. Schakel evaluatie van beveiligingsproblemen zonder agent in.
4. Voltooi de stappen van de wizard Connector, inclusief de implementatie van het nieuwe onboardingscript in AWS.
5. Verwijder de resources die tijdens de onboarding zijn gemaakt handmatig:
   • S3-bucket met het voorvoegsel Defender-for-containers-va
   • ECS-cluster met de naam defender-for-containers-va
   • VPC:
     • Tag name met de waarde defender-for-containers-va
     • IP-subnet CIDR 10.0.0.0/16
     • Gekoppeld aan de standaardbeveiligingsgroep met de tag name en de waarde defender-for-containers-va met één regel van al het binnenkomende verkeer.
     • Subnet met de tag name en de waarde defender-for-containers-va in de defender-for-containers-va VPC met het CIDR 10.0.1.0/24 IP-subnet dat door het ECS-cluster wordt gebruikt defender-for-containers-va
     • InternetGateway met de tag name en de waarde defender-for-containers-va
     • Routetabel - Routetabel met de tag name en waarde defender-for-containers-va, en met deze routes:
       • Bestemming: 0.0.0.0/0; Doel: InternetGateway met de tag name en de waarde defender-for-containers-va
       • Bestemming: 10.0.0.0/16; Doel: local

Als u evaluaties van beveiligingsproblemen wilt ontvangen voor het uitvoeren van installatiekopieën, schakelt u detectie zonder agent in voor Kubernetes of implementeert u de Defender-sensor op uw Kubernetes-clusters.

Volgende stappen

Meer informatie over Defender for Containers