您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

强化 Docker 主机

Azure 安全中心会识别在 IaaS Linux VM 上或其他运行 Docker 容器的 Linux 计算机上承载的非托管容器。 安全中心会持续评估这些容器的配置。 然后,它会将其与 Internet 安全中心 (CIS) 的 Docker 基准进行比较。

安全中心包含 CIS 的 Docker 基准的完整规则集,并会在容器不符合控件标准的情况下发出警报。 在发现错误配置时,安全中心会生成安全建议。 使用安全中心的建议页面来查看建议和修正问题。

发现漏洞时,它们会被分组到一个建议中。

备注

这些 CIS 基准检查不会在 AKS 托管实例或 Databricks 托管 VM 上运行。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 需要用于服务器的 Azure Defender
所需角色和权限: 主机连接到的工作区上的读取器
云: 是 商业云
是 国家/主权(US Gov、中国 Gov、其他 Gov)

识别和修正 Docker 配置中的安全漏洞

  1. 在安全中心的菜单中,打开“建议”页。

  2. 筛选到建议 应修正容器安全配置中的漏洞并选择建议。

    建议页显示受影响的资源(Docker 主机)。

    修复容器安全配置中的漏洞的建议

  3. 若要查看和修正特定的故障主机的 CIS 控件,请选择要调查的主机。

    提示

    如果是从“资产清单”页开始并在那里获得此建议,请选择“建议”页上的“执行操作”按钮。

    用于启动 Log Analytics 的“执行操作”按钮

    Log Analytics 随即打开,其中包含可运行的自定义操作。 默认自定义查询包括评估的所有失败规则的列表,以及有助于你解决问题的指南。

    带有查询的 Log Analytics 页,其中显示所有故障的 CIS 控件

  4. 如有必要,请调整查询参数。

  5. 当确定命令适合主机使用时,请选择“运行”。

后续步骤

Docker 强化只是安全中心容器安全功能的一个方面。

了解安全中心的容器安全性的详细信息。