Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come configurare le regole di distribuzione controllata in Microsoft Defender per contenitori.
La distribuzione controllata usa un controller di ammissione per valutare le immagini del contenitore prima di essere ammesse in un cluster Kubernetes. Usa i risultati dell'analisi delle vulnerabilità dai registri contenitori supportati per controllare o negare le distribuzioni quando le immagini non soddisfano i criteri di vulnerabilità dell'organizzazione.
Prerequisiti
Prima di iniziare, verificare che:
Si dispone di una sottoscrizione Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
Defender per il cloud è abilitato nella sottoscrizione Azure.
Defender per i contenitori è abilitato per l'ambiente che contiene il cluster Kubernetes e il registro contenitori, con i componenti seguenti abilitati:
- sensore Defender con filtro di sicurezza
- Accesso al registro con rilevamenti di sicurezza
Note
Se il cluster Kubernetes e il registro contenitori si trovano in ambienti diversi, abilitare Defender per contenitori e i componenti necessari per entrambi gli ambienti.
Cluster AKS: Il cluster ha un emittente OpenID Connect (OIDC) abilitato.
L'ambiente Kubernetes e il registro contenitori sono supportati per la distribuzione controllata. Vedere la matrice di supporto di Defender per i contenitori.
I risultati dell'analisi della vulnerabilità sono disponibili per le immagini del contenitore da valutare. La distribuzione controllata usa i risultati della valutazione delle vulnerabilità dai registri supportati.
Sono disponibili le autorizzazioni necessarie:
- Per creare o modificare regole di distribuzione gestite, sono necessarie autorizzazioni di amministratore della sicurezza o superiore.
- Per visualizzare le regole di distribuzione con controlli, è necessario disporre delle autorizzazioni Security Reader o superiori.
Configurare una regola di distribuzione controllata
Accedi al portale di Azure.
Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.
Selezionare Regole di sicurezza.
Selezionare Distribuzione controllata>Valutazione della vulnerabilità.
Note
Per impostazione predefinita, dopo aver soddisfatto i prerequisiti necessari, Defender per contenitori crea una regola di controllo che contrassegna le distribuzioni di immagini con vulnerabilità elevate o critiche.
Seleziona Aggiungi regola.
Immetti un nome della regola.
Selezionare un'azione:
- Controllo: consente la distribuzione e crea un evento di ammissione per la revisione.
- Nega: blocca le distribuzioni che soddisfano le condizioni della regola.
Tip
Iniziare con Audit per comprendere l'effetto della regola prima di usare la modalità Nega per bloccare le distribuzioni.
Note
La modalità Nega può introdurre un ritardo di uno o due secondi durante la distribuzione perché l'immagine viene valutata prima che il carico di lavoro venga ammesso nel cluster.
Se necessario, immettere una descrizione della regola.
Immettere il nome dell'ambito.
Selezionare l'ambito Cloud.
In Ambito risorsa mantenere l'ambito predefinito o selezionare Aggiungi condizione per restringere l'ambito della regola.
Tip
Inizia con un ambito ristretto, ad esempio un namespace o un deployment, prima di estendere l'applicazione dei criteri.
Seleziona Avanti.
Attiva Blocca tutte le distribuzioni con artefatti mancanti se desideri bloccare le distribuzioni quando gli artefatti dei rilevamenti delle vulnerabilità non sono disponibili.
Selezionare Aggiungi condizione e definire almeno una condizione per la regola.
Seleziona Avanti.
Per esentare vulnerabilità specifiche, selezionare Aggiungi vulnerabilità consentite e quindi immettere gli ID CVE da escludere.
Per rendere temporanea l'esenzione della vulnerabilità, attiva Limite di tempo, quindi seleziona una data per Valido fino al.
Per esentare risorse specifiche, selezionare Aggiungi esenzione e quindi definire l'esenzione basata sulle risorse.
Seleziona Aggiungi regola.
Monitorare gli eventi di distribuzione controllata
È possibile monitorare gli eventi di distribuzione controllata per esaminare le valutazioni delle regole, le azioni attivate e le risorse interessate. Usare questi eventi per perfezionare l'ambito, le condizioni e le esenzioni delle regole.
Per analizzare un evento di ammissione specifico:
Accedi al portale di Azure.
Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.
Selezionare Regole di sicurezza.
Selezionare Distribuzione controllata>Monitoraggio dell'ammissione.
Seleziona un evento dall'elenco.
Il riquadro dei dettagli mostra:
- Data e ora dell'evento e azione di accesso.
- Digest dell'immagine del contenitore, violazioni rilevate e regola attivata.
- La politica e i criteri di valutazione delle vulnerabilità utilizzati per la valutazione.
- Condizioni e esenzioni delle regole applicate.
Disabilitare o eliminare una regola di distribuzione controllata
Per disabilitare o eliminare una regola di distribuzione controllata:
Accedi al portale di Azure.
Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.
Selezionare Regole di sicurezza.
Selezionare la scheda Valutazione della vulnerabilità .
Selezionare la regola.
Selezionare Disabilita o Elimina regola.