Ознакомьтесь с рекомендациями по обеспечению защиты узла Docker

  • Статья

Microsoft Defender для облака выявляет неуправляемые контейнеры, размещенные на виртуальных машинах IaaS Linux или других компьютерах Linux с контейнерами Docker. Defender для облака постоянно оценивает конфигурации этих контейнеров. Затем он сравнивает их с эталонным контейнером Docker для Центра Интернет-безопасности (CIS).

Defender для облака применяет весь набор правил эталонного контейнера Docker для CIS и выдает предупреждения, если контейнеры не соответствуют любому из этих элементов управления. При обнаружении ошибок в конфигурации Defender для облака создает рекомендации по безопасности. На странице рекомендаций Defender для облака вы можете просмотреть эти рекомендации и устранить проблемы.

При обнаружении уязвимостей они группируются в рамках одной рекомендации.

Примечание.

Тесты производительности CIS не удастся выполнить на экземплярах виртуальных машин под управлением AKS или Databricks.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены. Требуется Microsoft Defender для серверов, план 2
Требуемые роли и разрешения Читатель в рабочей области, к которой подключается узел
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)
подключенные учетные записи AWS.

Выявление и устранение уязвимостей системы безопасности в конфигурации Docker

  1. В меню Defender для облака откройте страницу Рекомендации.

  2. Примените фильтр, чтобы отобразилась рекомендация Необходимо устранить уязвимости в конфигурациях безопасности контейнера, и выберите ее.

    На странице рекомендации отображаются затронутые ресурсы (узлы Docker).

    Recommendation to remediate vulnerabilities in container security configurations.

    Примечание.

    Компьютеры, на которых не выполняется Docker, будут отображаться на вкладке Неприменимые ресурсы. В политике Azure они будут отображаться как соответствующие требованиям.

  3. Чтобы просмотреть и исправить элементы управления CIS, не соответствующие рекомендациям, в определенном узле, выберите узел, который нужно изучить.

    Совет

    Если вы начали работу на странице инвентаризации ресурсов и перешли к этой рекомендации с нее, нажмите на странице рекомендации кнопку Выполнить действие.

    Take action button to launch Log Analytics.

    Откроется Log Analytics с готовой к запуску пользовательской операцией. Пользовательский запрос по умолчанию содержит список всех выявленных случаев несоответствия правилам, а также рекомендации по устранению этих проблем.

    Log Analytics page with the query showing all failed CIS controls.

  4. Настройте параметры запроса при необходимости.

  5. Убедившись, что команда подходит и подготовлена для вашего узла, выберите элемент Выполнить.

Следующий шаг

Усиление защиты Docker — это лишь один аспект функций Центра безопасности контейнера Defender для облака.

Дополнительные сведения об обеспечении безопасности контейнеров в Defender для облака.