Configurare le regole di distribuzione controllata per le immagini del contenitore Kubernetes

Questo articolo illustra come configurare le regole di distribuzione controllata in Microsoft Defender per contenitori.

La distribuzione controllata usa un controller di ammissione per valutare le immagini del contenitore prima di essere ammesse in un cluster Kubernetes. Usa i risultati dell'analisi delle vulnerabilità dai registri contenitori supportati per controllare o negare le distribuzioni quando le immagini non soddisfano i criteri di vulnerabilità dell'organizzazione.

Prerequisiti

Prima di iniziare, verificare che:

  • Si dispone di una sottoscrizione Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.

  • Defender per il cloud è abilitato nella sottoscrizione Azure.

  • Defender per i contenitori è abilitato per l'ambiente che contiene il cluster Kubernetes e il registro contenitori, con i componenti seguenti abilitati:

    • sensore Defender con filtro di sicurezza
    • Accesso al registro con rilevamenti di sicurezza

    Note

    Se il cluster Kubernetes e il registro contenitori si trovano in ambienti diversi, abilitare Defender per contenitori e i componenti necessari per entrambi gli ambienti.

  • Cluster AKS: Il cluster ha un emittente OpenID Connect (OIDC) abilitato.

  • L'ambiente Kubernetes e il registro contenitori sono supportati per la distribuzione controllata. Vedere la matrice di supporto di Defender per i contenitori.

  • I risultati dell'analisi della vulnerabilità sono disponibili per le immagini del contenitore da valutare. La distribuzione controllata usa i risultati della valutazione delle vulnerabilità dai registri supportati.

  • Sono disponibili le autorizzazioni necessarie:

    • Per creare o modificare regole di distribuzione gestite, sono necessarie autorizzazioni di amministratore della sicurezza o superiore.
    • Per visualizzare le regole di distribuzione con controlli, è necessario disporre delle autorizzazioni Security Reader o superiori.

Configurare una regola di distribuzione controllata

  1. Accedi al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.

  3. Selezionare Regole di sicurezza.

    Schermata del riquadro «Regole di sicurezza» in Microsoft Defender per il cloud.

  4. Selezionare Distribuzione controllata>Valutazione della vulnerabilità.

    Screenshot della scheda Valutazione della vulnerabilità in Regole di sicurezza.

    Note

    Per impostazione predefinita, dopo aver soddisfatto i prerequisiti necessari, Defender per contenitori crea una regola di controllo che contrassegna le distribuzioni di immagini con vulnerabilità elevate o critiche.

  5. Seleziona Aggiungi regola.

  6. Immetti un nome della regola.

  7. Selezionare un'azione:

    • Controllo: consente la distribuzione e crea un evento di ammissione per la revisione.
    • Nega: blocca le distribuzioni che soddisfano le condizioni della regola.

    Tip

    Iniziare con Audit per comprendere l'effetto della regola prima di usare la modalità Nega per bloccare le distribuzioni.

    Note

    La modalità Nega può introdurre un ritardo di uno o due secondi durante la distribuzione perché l'immagine viene valutata prima che il carico di lavoro venga ammesso nel cluster.

  8. Se necessario, immettere una descrizione della regola.

  9. Immettere il nome dell'ambito.

  10. Selezionare l'ambito Cloud.

  11. In Ambito risorsa mantenere l'ambito predefinito o selezionare Aggiungi condizione per restringere l'ambito della regola.

    Tip

    Inizia con un ambito ristretto, ad esempio un namespace o un deployment, prima di estendere l'applicazione dei criteri.

    Schermata della creazione guidata delle regole in Microsoft Defender per il cloud.

  12. Seleziona Avanti.

  13. Attiva Blocca tutte le distribuzioni con artefatti mancanti se desideri bloccare le distribuzioni quando gli artefatti dei rilevamenti delle vulnerabilità non sono disponibili.

  14. Selezionare Aggiungi condizione e definire almeno una condizione per la regola.

    Screenshot del riquadro di configurazione delle regole di valutazione della vulnerabilità.

  15. Seleziona Avanti.

  16. Per esentare vulnerabilità specifiche, selezionare Aggiungi vulnerabilità consentite e quindi immettere gli ID CVE da escludere.

  17. Per rendere temporanea l'esenzione della vulnerabilità, attiva Limite di tempo, quindi seleziona una data per Valido fino al.

  18. Per esentare risorse specifiche, selezionare Aggiungi esenzione e quindi definire l'esenzione basata sulle risorse.

    Schermata del riquadro di configurazione dell'esenzione con l'opzione con limite di tempo.

  19. Seleziona Aggiungi regola.

Monitorare gli eventi di distribuzione controllata

È possibile monitorare gli eventi di distribuzione controllata per esaminare le valutazioni delle regole, le azioni attivate e le risorse interessate. Usare questi eventi per perfezionare l'ambito, le condizioni e le esenzioni delle regole.

Per analizzare un evento di ammissione specifico:

  1. Accedi al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.

  3. Selezionare Regole di sicurezza.

  4. Selezionare Distribuzione controllata>Monitoraggio dell'ammissione.

    Schermata della vista Monitoraggio ammissione che mostra le valutazioni delle regole e le relative azioni.

  5. Seleziona un evento dall'elenco.

    Il riquadro dei dettagli mostra:

    • Data e ora dell'evento e azione di accesso.
    • Digest dell'immagine del contenitore, violazioni rilevate e regola attivata.
    • La politica e i criteri di valutazione delle vulnerabilità utilizzati per la valutazione.
    • Condizioni e esenzioni delle regole applicate.

    Screenshot del riquadro dei dettagli dell'evento di ammissione.

Disabilitare o eliminare una regola di distribuzione controllata

Per disabilitare o eliminare una regola di distribuzione controllata:

  1. Accedi al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Impostazioni dell'ambiente.

  3. Selezionare Regole di sicurezza.

  4. Selezionare la scheda Valutazione della vulnerabilità .

  5. Selezionare la regola.

  6. Selezionare Disabilita o Elimina regola.