Konfigurieren Sie Regeln für die kontrollierte Bereitstellung von Kubernetes-Containerimages

In diesem Artikel erfahren Sie, wie Sie Gated-Bereitstellungsregeln in Microsoft Defender für Container konfigurieren.

Die gesteuerte Bereitstellung verwendet einen Admission-Controller, um Container-Images zu überprüfen, bevor sie in einen Kubernetes-Cluster zugelassen werden. Es verwendet Sicherheitsrisikoüberprüfungsergebnisse aus unterstützten Containerregistrierungen, um Bereitstellungen zu überwachen oder zu verweigern, wenn Bilder die Sicherheitsrisikorichtlinie Ihrer Organisation nicht erfüllen.

Voraussetzungen

Stellen Sie Folgendes sicher, bevor Sie beginnen:

  • Sie haben ein Microsoft Azure-Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

  • Defender for Cloud ist für Ihr Azure-Abonnement aktiviert.

  • Defender für Container ist für die Umgebung aktiviert, die Ihre Kubernetes-Cluster- und Containerregistrierung enthält, wobei die folgenden Komponenten aktiviert sind:

    • Defender Sensor mit Sicherheits-Gating
    • Registrierungszugriff mit Sicherheitsergebnissen

    Note

    Wenn sich der Kubernetes-Cluster und die Containerregistrierung in verschiedenen Umgebungen befinden, aktivieren Sie Defender für Container und die erforderlichen Komponenten für beide Umgebungen.

  • AKS-Cluster: Die Cluster haben einen OpenID Connect (OIDC)-Aussteller aktiviert.

  • Ihre Kubernetes-Umgebung und Ihr Containerregistrierungsdienst werden für kontrollierte Bereitstellungen unterstützt. Siehe die Supportmatrix für Defender für Container.

  • Sicherheitsrisikoscanergebnisse sind für die Containerimages verfügbar, die Sie auswerten möchten. Die Gated-Bereitstellung verwendet Ergebnisse der Sicherheitsrisikobewertung aus unterstützten Registrierungen.

  • Sie verfügen über die erforderlichen Berechtigungen:

    • Um Gated-Bereitstellungsregeln zu erstellen oder zu ändern, benötigen Sie einen Sicherheitsadministrator oder höhere Berechtigungen.
    • Um Gated-Bereitstellungsregeln anzuzeigen, benötigen Sie einen Sicherheitsleser oder höhere Berechtigungen.

Konfigurieren einer Gated-Bereitstellungsregel

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Sicherheitsregeln aus.

    Screenshot der Kachel

  4. Wählen Sie Gated-Bereitstellung>Bewertung der Sicherheitsanfälligkeiten aus.

    Screenshot der Registerkarte

    Note

    Standardmäßig erstellt Defender für Container eine Überwachungsregel, die Imagebereitstellungen mit hohen oder kritischen Sicherheitsrisiken kennzeichnet, nachdem die erforderlichen Voraussetzungen erfüllt wurden.

  5. Wählen Sie "Regel hinzufügen" aus.

  6. Geben Sie einen Regelnamen ein.

  7. Wählen Sie eine Aktion aus:

    • Audit: Lässt die Bereitstellung zu und erstellt ein Admission-Ereignis zur Überprüfung.
    • Verweigern: Blockiert Bereitstellungen, die den Regelbedingungen entsprechen.

    Tipp

    Beginnen Sie mit "Überwachung" , um die Auswirkungen der Regel zu verstehen, bevor Sie den Verweigerungsmodus verwenden, um Bereitstellungen zu blockieren.

    Note

    Der Ablehnungsmodus kann während der Bereitstellung zu einer Verzögerung von ein bis zwei Sekunden führen, da das Image ausgewertet wird, bevor die Arbeitslast in den Cluster aufgenommen wird.

  8. Geben Sie bei Bedarf eine Regelbeschreibung ein.

  9. Geben Sie einen Bereichsnamen ein.

  10. Wählen Sie den Cloudumfang aus.

  11. Behalten Sie unter "Ressourcenbereich" den Standardbereich bei, oder wählen Sie "Bedingung hinzufügen " aus, um den Regelbereich einzugrenzen.

    Tipp

    Beginnen Sie mit einem eng begrenzten Geltungsbereich, z. B. einem Namespace oder Deployment, bevor Sie die Durchsetzung breiter ausweiten.

    Screenshot des Assistenten zum Erstellen von Regeln in Microsoft Defender for Cloud.

  12. Wählen Sie Weiteraus.

  13. Aktivieren Sie Alle Bereitstellungen mit fehlenden Artefakten blockieren, wenn Sie Bereitstellungen blockieren möchten, wenn Artefakte für Schwachstellenbefunde nicht verfügbar sind.

  14. Wählen Sie "Bedingung hinzufügen" aus, und definieren Sie mindestens eine Bedingung für die Regel.

    Screenshot des Konfigurationsbereichs für die Sicherheitsrisikobewertungsregel.

  15. Wählen Sie Weiteraus.

  16. Um bestimmte Sicherheitsrisiken auszunehmen, wählen Sie "Zulässige Sicherheitsrisiken hinzufügen" aus, und geben Sie dann die CVE-IDs ein, die Sie ausschließen möchten.

  17. Um die Ausnahme für Schwachstellen vorübergehend zu machen, aktivieren Sie Zeitlich begrenzt und wählen Sie dann ein Gültig bis-Datum aus.

  18. Wenn Sie bestimmte Ressourcen ausnehmen möchten, wählen Sie "Ausnahme hinzufügen" aus, und definieren Sie dann die ressourcenbasierte Ausnahme.

    Screenshot des Ausnahmekonfigurationsbereichs mit der zeitgebundenen Option.

  19. Wählen Sie Regel hinzufügen aus.

Gesteuerte Bereitstellungsereignisse überwachen

Sie können Ereignisse bei gesteuerten Bereitstellungen überwachen, um Regelbewertungen, ausgelöste Aktionen und betroffene Ressourcen nachzuverfolgen. Verwenden Sie diese Ereignisse, um Regelbereich, Bedingungen und Ausnahmen zu verfeinern.

So untersuchen Sie ein bestimmtes Zulassungsereignis:

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Sicherheitsregeln aus.

  4. Wählen Sie Gesteuerte Bereitstellung>Zulassungsüberwachung aus.

    Screenshot der Ansicht

  5. Wählen Sie in der Liste ein Ereignis aus.

    Der Detailbereich zeigt Folgendes:

    • Der Ereigniszeitstempel und die Einlassaktion.
    • Der Containerimagedigest, erkannte Verstöße und ausgelöste Regel.
    • Die für die Bewertung verwendete Richtlinie und die Kriterien für die Schwachstellenbewertung.
    • Die Regelbedingungen und Ausnahmen, die angewendet wurden.

    Screenshot des Bereichs

Deaktivieren oder löschen einer kontingentierten Bereitstellungsregel

So deaktivieren oder löschen Sie eine Regel für eine kontrollierte Bereitstellung:

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Sicherheitsregeln aus.

  4. Wählen Sie die Registerkarte "Sicherheitsrisikobewertung " aus.

  5. Wählen Sie die Regel aus.

  6. Wählen Sie "Regel deaktivieren " oder "Löschen" aus.