Domande comuni sulla protezione dei contenitori

È possibile usare Criteri di Azure Configure Microsoft Defender for Containers to be enabled per abilitare Defender per contenitori su larga scala. È anche possibile visualizzare tutte le opzioni disponibili per abilitare Microsoft Defender per contenitori.

Sì.

No Sono supportati solo i cluster di Servizio Azure Kubernetes (AKS) che usano set di macchine virtuali con scalabilità automatica per i nodi.

No, AKS è un servizio gestito e la manipolazione delle risorse IaaS non è supportata. L'estensione della macchina virtuale di Log Analytics non è necessaria e potrebbe comportare dei costi aggiuntivi.

Non è consigliabile eliminare l'area di lavoro predefinita. Defender per contenitori usa le aree di lavoro predefinite per raccogliere dati di sicurezza dai cluster. Defender per contenitori non è in grado di raccogliere dati e alcuni consigli e avvisi di sicurezza non saranno disponibili se si elimina l'area di lavoro predefinita.

Per ripristinare l'area di lavoro predefinita, è necessario rimuovere il sensore Defender e reinstallare il sensore. La reinstallazione del sensore Defender crea una nuova area di lavoro predefinita.

A seconda dell'area geografica, l'area di lavoro Log Analytics predefinita potrebbe trovarsi in diverse posizioni. Per controllare l'area, vedere Dove viene creata l'area di lavoro log Analytics predefinita?

Il sensore Defender usa l'area di lavoro Log Analytics per inviare dati dai cluster Kubernetes a Defender per il Cloud. Defender per il cloud aggiunge l'area di lavoro Log analytics e il gruppo di risorse come parametro da usare per il sensore.

Tuttavia, se l'organizzazione dispone di criteri che richiedono un tag specifico per le risorse, l'installazione del sensore potrebbe non riuscire durante il gruppo di risorse o la fase di creazione dell'area di lavoro predefinita. In caso di errore, è possibile:

• Assegnare un'area di lavoro personalizzata e aggiungere qualsiasi tag richiesto dall'organizzazione.

  o

• Se l'azienda richiede di contrassegnare la risorsa, è necessario passare a tale criterio ed escludere le risorse seguenti:

  1. Gruppo di risorse DefaultResourceGroup-<RegionShortCode>
  2. L'area di lavoro DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode è una stringa di 2-4 lettere.

Defender per contenitori scarica l'immagine dal registro e la esegue in una sandbox isolata con Gestione delle vulnerabilità di Microsoft Defender per ambienti multicloud. Lo scanner estrae un elenco di vulnerabilità note.

Microsoft Defender per il cloud filtra e classifica i risultati dello scanner. Quando un'immagine è sana, Defender per il Cloud la contrassegna come tale. Defender per il cloud genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere. Inviando notifiche solo in caso di problemi individuati, Defender per il cloud riduce il rischio di avvisi informativi indesiderati.

Per identificare gli eventi pull eseguiti dallo scanner, seguire questa procedura:

1. Ricerca di eventi pull con lo UserAgent di MDCContainersSecurity/1.0.
2. Estrarre l'identità associata a questo evento.
3. Usare l'identità estratta per identificare gli eventi di prelievo dallo scanner.

• Risorse non disponibili sono risorse per le quali la raccomandazione non può fornire una risposta definitiva. La scheda non applicabile include i motivi per ogni risorsa che non è stato possibile valutare.
• Le risorse non verificate sono risorse pianificate per la valutazione, ma non ancora valutate.

Alcune immagini potrebbero riutilizzare i tag di un'immagine già analizzata. È ad esempio possibile riassegnare il tag "Il più recente" ogni volta che si aggiunge un'immagine a un digest. In questi casi, l'ultima immagine precedente esiste ancora nel registro e il rispettivo digest potrebbe eseguirne il pull. Se l'immagine presenta risultati di sicurezza ed è stato eseguito il pull, può esporre vulnerabilità di sicurezza.

Attualmente, Defender per contenitori può analizzare le immagini in Registro Azure Container (ACR), AWS Elastic Container Registry (ECR), Google Container Registry (GCR), Google Archive Registry (GAR) e solo registri esterni supportati. Il Microsoft Artifact Registry, il Microsoft Container Registry e il registro delle immagini dei contenitori integrato di Microsoft Azure Red Hat OpenShift (ARO) non sono supportati.

Defender per il cloud esegue l'analisi senza agente delle macchine virtuali. Gli snapshot dei dischi delle macchine virtuali vengono acquisiti ogni 24 ore per eseguire analisi fuori banda, senza influire sulle prestazioni.

I contenitori del piano dati che risiedono negli snapshot del disco della macchina virtuale, indipendentemente dal registro delle immagini da cui sono stati recuperati, vengono valutati per individuare le vulnerabilità utilizzando Gestione delle vulnerabilità di Microsoft Defender (MDVM). MDVM genera raccomandazioni sulla sicurezza per qualsiasi immagine del contenitore vulnerabile.

Sì. I risultati si trovano nell'API REST Sub-Assessments. Si può anche usare Azure Resource Graph, l'API simile a Kusto, per tutte le risorse: una query è in grado di recuperare una scansione specifica.

Per controllare un tipo di immagine, è necessario usare uno strumento in grado di controllare il manifesto dell'immagine non elaborata, ad esempio skopeo, ed esaminare il formato dell'immagine non elaborata.

• Per il formato Docker v2, il tipo di supporto manifesto sarà application/vnd.docker.distribution.manifest.v1+json o application/vnd.docker.distribution.manifest.v2+json, come documentato qui.
• Per il formato di immagine OCI, il tipo di media del manifesto sarà application/vnd.oci.image.manifest.v1+json e il tipo di media di configurazione sarà application/vnd.oci.image.config.v1+json, come documentato qui.

Esistono due estensioni che forniscono funzionalità CSPM senza agente:

• Valutazioni delle vulnerabilità del contenitore senza agente: fornisce valutazioni delle vulnerabilità dei contenitori senza agente. Altre informazioni sulla Valutazione della vulnerabilità del contenitore senza agente.
• Individuazione senza agente per Kubernetes: fornisce l'individuazione basata su API di informazioni sull'architettura del cluster Kubernetes, sugli oggetti del carico di lavoro e sulla configurazione.

Per eseguire l'onboarding di più sottoscrizioni contemporaneamente, è possibile usare questo script.

Se i risultati dei cluster non vengono visualizzati, controllare le domande seguenti:

• Hai interrotto i cluster?
• I gruppi di risorse, le sottoscrizioni o i cluster sono bloccati? Se la risposta a una di queste domande è sì, vedere le risposte nelle domande seguenti.

I cluster interrotti non sono supportati o fatturati. Per ottenere i vantaggi delle funzionalità senza agente in un cluster fermato, è possibile rieseguire il cluster.

È consigliabile sbloccare manualmente il gruppo di risorse/sottoscrizione/cluster bloccato, effettuare manualmente le richieste pertinenti e quindi ribloccare il gruppo di risorse/sottoscrizione/cluster eseguendo le operazioni seguenti:

1. Abilitare manualmente il flag di funzionalità tramite l'interfaccia della riga di comando usando Accesso attendibile.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Eseguire l'operazione di associazione nell'interfaccia della riga di comando:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Per i cluster bloccati, è anche possibile eseguire una delle operazioni seguenti:

• Rimuovere il blocco.
• Eseguire manualmente l'operazione di associazione effettuando una richiesta API. Altre informazioni sulle risorse bloccate.

Altre informazioni su versioni di Kubernetes supportate nel servizio Azure Kubernetes.

Possono essere necessarie fino a 24 ore per riflettere le modifiche nel grafico della sicurezza, nei percorsi di attacco e in Esplora sicurezza.

I passaggi seguenti rimuovono la singola raccomandazione del Registro di sistema basata su Trivy e aggiungono i nuovi consigli del Registro di sistema e del runtime basati su MDVM.

1. Aprire il connettore AWS pertinente.
2. Aprire la pagina di Impostazioni per Defender per contenitori.
3. Abilitare Valutazione della vulnerabilità del contenitore senza agente.
4. Completare i passaggi della procedura guidata del connettore, inclusa la distribuzione del nuovo script di integrazione in AWS.
5. Eliminare manualmente le risorse create nel corso dell'integrazione:
   • Bucket S3 con il prefisso defender-for-containers-va
   • Cluster ECS con il nome defender-for-containers-va
   • VPC:
     • Contrassegna name con il valore defender-for-containers-va
     • CIDR subnet IP 10.0.0.0/16
     • Associato al gruppo di sicurezza predefinito con il tag name e il valore defender-for-containers-va, che ha una sola regola per tutto il traffico in ingresso.
     • Subnet con il tag name e il valore defender-for-containers-va nel VPC defender-for-containers-va con la subnet IP CIDR 10.0.1.0/24 usata dal cluster ECS defender-for-containers-va
     • Gateway Internet con il tag name e il valore defender-for-containers-va
     • Tabella di rotta: tabella di rotta con il tag name e il valore defender-for-containers-va, e con queste rotte:
       • Destinazione: 0.0.0.0/0; Obiettivo: Gateway Internet con il tag name e il valore defender-for-containers-va
       • Destinazione: 10.0.0.0/16; Obiettivo: local

Per ottenere valutazioni delle vulnerabilità per le immagini in esecuzione, attivare la scoperta senza agente per Kubernetes oppure distribuire il sensore Defender nei cluster Kubernetes.

Microsoft Defender per Kubernetes è stato deprecato e sostituito con Microsoft Defender per contenitori. Le sottoscrizioni esistenti con Defender per Kubernetes abilitato possono continuare a usarlo, ma le nuove sottoscrizioni non possono abilitare questo piano deprecato.

Tutte le nuove funzionalità di sicurezza dei contenitori e i miglioramenti sono disponibili solo in Microsoft Defender per contenitori. È consigliabile eseguire l'aggiornamento a Microsoft Defender per contenitori per accedere alle funzionalità più recenti e alle funzionalità di protezione avanzata.

Contenuti correlati

Informazioni su Defender per contenitori