Docker-hosts verharden

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Microsoft Defender for Cloud identificeert niet-mande containers die worden gehost op IaaS Linux-VM's of andere Linux-machines met Docker-containers. Defender for Cloud evalueert continu de configuraties van deze containers. Vervolgens worden ze vergeleken met de Docker-benchmark van het CIS (Center for Internet Security).

Defender for Cloud bevat de volledige regelset van de CIS Docker-benchmark en waarschuwt u als uw containers niet voldoen aan een van de besturingselementen. Wanneer er onjuiste configuraties worden gevonden, genereert Defender for Cloud beveiligingsaanbevelingen. Gebruik de pagina met aanbevelingen van Defender for Cloud om aanbevelingen weer te geven en problemen op te lossen.

Wanneer er beveiligingsproblemen worden gevonden, worden ze gegroepeerd binnen één aanbeveling.

Notitie

Deze CIS-benchmarkcontroles worden niet uitgevoerd op door AKS beheerde exemplaren of door Databricks beheerde VM's.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender voor servers
Vereiste rollen en machtigingen: Lezer van de werkruimte waarmee de host verbinding maakt
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Beveiligingsproblemen in uw Docker-configuratie identificeren en herstellen

  1. Open in het menu van Defender for Cloud de Aanbevelingen pagina.

  2. Filter op de aanbeveling Beveiligingsproblemen in containerbeveiligingsconfiguraties moeten worden verteerd en selecteer de aanbeveling.

    Op de aanbevelingspagina worden de betrokken resources (Docker-hosts) weergegeven.

    Aanbeveling voor het herstellen van beveiligingsproblemen in beveiligingsconfiguraties voor containers.

    Notitie

    Machines die docker niet uitvoeren, worden weergegeven op het tabblad Niet van toepassing zijnde resources. Ze worden weergegeven in Azure Policy als Compatibel.

  3. Als u de CIS-besturingselementen wilt weergeven en herstellen die zijn mislukt voor een specifieke host, selecteert u de host die u wilt onderzoeken.

    Tip

    Als u op de pagina assetinventarisatie bent begonnen en deze aanbeveling daar hebt bereikt, selecteert u de knop Actie ondernemen op de aanbevelingspagina.

    De knop Actie ondernemen om Log Analytics te starten.

    Log Analytics wordt geopend met een aangepaste bewerking die gereed is om te worden uitgevoerd. De standaard aangepaste query bevat een lijst met alle mislukte regels die zijn beoordeeld, samen met richtlijnen om u te helpen de problemen op te lossen.

    Log Analytics-pagina met de query met alle mislukte CIS-besturingselementen.

  4. Pas indien nodig de queryparameters aan.

  5. Wanneer u zeker weet dat de opdracht geschikt is en gereed is voor uw host, selecteert u Uitvoeren.

Volgende stappen

Docker-beveiliging is slechts één aspect van de containerbeveiligingsfuncties van Defender for Cloud.

Meer informatie over containerbeveiliging in Defender for Cloud.