Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La distribuzione controllata è una procedura importante per valutare l'idoneità dell'immagine del contenitore rispetto alle regole di sicurezza prima della distribuzione in un ambiente Kubernetes.
Una regola di sicurezza definisce un'azione da eseguire se determinate condizioni vengono soddisfatte all'interno di un ambito di risorsa definito. Il controller di ammissione di distribuzione controllata esamina un'immagine del contenitore e il relativo artefatto dei risultati della vulnerabilità rispetto alle regole di sicurezza rilevanti per l'ambito delle risorse. L'azione da eseguire dal controller di ammissione è definita dalla regola di sicurezza e può essere audit (distribuire e creare un avviso di sicurezza per la revisione) o negare (nessuna distribuzione e creare un avviso di sicurezza per la revisione).
Più regole di sicurezza possono influire sulla distribuzione di un'immagine del contenitore. Le condizioni di tutte le regole di sicurezza vengono valutate dalla vulnerabilità più grave alla meno grave. La valutazione si arresta alla prima condizione soddisfatta da una vulnerabilità e viene eseguita l'azione specificata da tale regola di sicurezza.
Prerequisiti
| Aspetto | Dettagli |
|---|---|
| Requisiti ambientali obbligatori | * Il piano Defender per contenitori deve essere abilitato. * Il sensore Defender in Azure deve essere attivato nel piano Defender per contenitori. * Questa funzionalità attualmente funziona solo su Azure AKS e Azure ACR. * Per usare questa funzionalità, il servizio Azure Kubernetes deve essere nella versione 1.31 o successiva. |
| Ruoli e autorizzazioni obbligatori | * Autorizzazioni di proprietario della sottoscrizione. * Autorizzazioni di proprietario del cluster |
| Cloud supportati | * Disponibile solo in Azure, cloud commerciale |
Limitazioni
- Se l'immagine viene distribuita prima dell'analisi MDVM per la valutazione della vulnerabilità, non viene applicata alcuna verifica e l'immagine viene distribuita
- Requisito di identità Kubelet: Non è possibile applicare l'installazione automatica ai cluster senza un'identità kubelet. I cluster che usano entità servizio anziché le identità non sono supportati a causa della mancanza di supporto delle identità dei pod.
- Supporto del Registro di sistema: Attualmente sono supportati solo i registri con l'autenticazione di Azure Active Directory (Azure AD). I clienti devono abilitare l'accesso segreto. È possibile usare la configurazione arm.
- OIDC e identità del carico di lavoro: Durante l'installazione, si abilita OpenID Connect (OIDC) e l'identità del carico di lavoro nel cluster e si aggiungono credenziali federate all'identità kubelet.
- Eliminazione dell'agente: L'eliminazione automatica degli agenti (Tivan e Gating) non è supportata. Tivan indica che non è possibile determinare se sono stati installati gli agenti o se sono stati installati tramite l'interfaccia della riga di comando/ARM, quindi non vengono eliminati
- Supporto per immagini multiarchitettura: Attualmente non esiste un supporto per le immagini con più architetture.
Passaggi successivi
- Informazioni su come abilitare la funzionalità di distribuzione controllata.
- Altre informazioni sui piani di Defender per Cloud Defender.
- Vedere le domande comuni su Defender per contenitori.