Recomendaciones de seguridad de contenedores

En este artículo se enumeran todas las recomendaciones de seguridad de contenedor que puede ver en Microsoft Defender for Cloud.

Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.

Sugerencia

Si una descripción de recomendación indica No hay ninguna directiva relacionada, normalmente es porque esa recomendación depende de otra recomendación.

Por ejemplo, se deben corregir los errores de estado de Endpoint Protection en función de la recomendación que comprueba si se instala una solución de Endpoint Protection (se debe instalar la solución Endpoint Protection). La recomendación subyacente tiene una directiva. La limitación de directivas solo a recomendaciones fundamentales simplifica la administración de directivas.

Recomendaciones de contenedor de Azure

Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy

Descripción: la extensión de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada.

Descripción: la extensión de Defender para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del plano de control (maestro) del clúster y los envía al back-end de Microsoft Defender para Kubernetes en la nube para su posterior análisis. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender.

Descripción: Microsoft Defender para contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como la protección del entorno, la protección de cargas de trabajo y la protección en tiempo de ejecución. Al habilitar el perfil SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información en Introducción a Microsoft Defender para contenedores (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Azure Kubernetes Service deben tener instalado el complemento de Azure Policy para Kubernetes

Descripción: el complemento de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. Defender for Cloud requiere que el complemento audite y aplique las funcionalidades de seguridad y el cumplimiento en los clústeres. Más información. Requiere Kubernetes v 1.14.0 o posterior. (Directiva relacionada: El complemento de Azure Policy para Kubernetes Service (AKS) debe estar instalado y habilitado en los clústeres.

Gravedad: alta

Tipo: Plano de control

Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con tecnología de Administración de vulnerabilidades de Microsoft Defender)

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe de vulnerabilidades detallado para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. (Directiva relacionada: Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry).

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Las imágenes de contenedor de registros de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys)

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry).

Clave de evaluación: dbd0cb49-b563-45e7-9724-889e799fa648

Tipo: Evaluación de vulnerabilidades

Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe de vulnerabilidades detallado para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Las imágenes de contenedor en ejecución de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys)

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina las imágenes de contenedor que se ejecutan en los clústeres de Kubernetes para detectar vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. (Ninguna directiva relacionada)

Clave de evaluación: 41503391-efa5-47ee-9282-4eff6131462c

Tipo: Evaluación de vulnerabilidades

Se deben aplicar los límites de CPU y memoria de los contenedores

Descripción: aplicar límites de CPU y memoria impide ataques de agotamiento de recursos (una forma de ataque por denegación de servicio).

Se recomienda establecer los límites de los contenedores para asegurarse de que el tiempo de ejecución impide que el contenedor use más del límite de recursos configurado.

(Directiva relacionada: Asegúrese de que los límites de recursos de memoria y CPU de contenedor no superan los límites especificados en el clúster de Kubernetes).

Gravedad: media

Tipo: Plano de datos de Kubernetes

Las imágenes de contenedor solo deben implementarse desde registros de confianza

Descripción: las imágenes que se ejecutan en el clúster de Kubernetes deben provenir de registros de imágenes de contenedor conocidas y supervisadas. Los registros de confianza reducen el riesgo de exposición del clúster limitando la posibilidad de la introducción de vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas.

(Directiva relacionada: Asegúrese de que solo se permiten imágenes de contenedor en el clúster de Kubernetes).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

[Vista previa] Las imágenes de contenedor en el registro de Azure deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. El examen y la corrección de las vulnerabilidades de las imágenes de contenedores del registro ayudan a mantener una cadena de suministro de software segura y de confianza, reducen el riesgo de incidentes de seguridad y garantizan el cumplimiento de los estándares del sector.

La recomendación de las imágenes de contenedor de Azure Registry debe tener vulnerabilidades resueltas (con tecnología de Administración de vulnerabilidades de Microsoft Defender) cuando la nueva recomendación esté disponible con carácter general.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

(Habilitar si es necesario) Los registros de contenedor deben cifrarse con una clave administrada por el cliente (CMK)

Descripción: las recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre el cifrado de CMK en Introducción a las claves administradas por el cliente. (Directiva relacionada: Los registros de contenedor deben cifrarse con una clave administrada por el cliente (CMK)).

Gravedad: baja

Tipo: Plano de control

Las instancias de Container Registry no deben permitir el acceso de red sin restricciones

Descripción: los registros de contenedor de Azure aceptan de forma predeterminada conexiones a través de Internet desde hosts de cualquier red. Para protegerlas frente a posibles amenazas, permita el acceso solo desde direcciones IP públicas específicas o intervalos de direcciones. Si el registro no tiene una regla de IP/firewall o una red virtual configurada, aparece en los recursos incorrectos. Obtenga más información sobre las reglas de red de Container Registry en Configuración de reglas de red IP públicas y Restricción del acceso a un registro de contenedor mediante un punto de conexión de servicio en una red virtual de Azure. (Directiva relacionada: Los registros de contenedor no deben permitir el acceso a la red sin restricciones).

Gravedad: media

Tipo: Plano de control

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. (Directiva relacionada: Los registros de contenedor deben usar private link).

Gravedad: media

Tipo: Plano de control

[Vista previa] Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo haciendo coincidir las imágenes y los informes de vulnerabilidad creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Nota:

A partir del 6 de octubre de 2024, esta recomendación se actualizó para notificar solo un contenedor para cada controlador raíz. Por ejemplo, si un cronjob crea varios trabajos, donde cada trabajo crea un pod con un contenedor vulnerable, la recomendación solo notificará una sola instancia de los contenedores vulnerables dentro de ese trabajo. Este cambio ayudará a quitar informes duplicados para contenedores idénticos que requieren una única acción para la corrección. Si usó esta recomendación antes del cambio, debe esperar una reducción en el número de instancias de esta recomendación.
Para admitir esta mejora, la clave de evaluación de esta recomendación se ha actualizado a c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Si actualmente está recuperando informes de vulnerabilidades de esta recomendación a través de la API, asegúrese de cambiar la llamada API para usar la nueva clave de evaluación.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Deben evitarse los contenedores que comparten espacios de nombres de host confidenciales

Descripción: para protegerse frente a la elevación de privilegios fuera del contenedor, evite el acceso de pod a espacios de nombres de host confidenciales (id. de proceso de host e IPC de host) en un clúster de Kubernetes. (Directiva relacionada: Los contenedores de clústeres de Kubernetes no deben compartir el identificador de proceso de host ni el espacio de nombres IPC del host).

Gravedad: media

Tipo: plano de datos de Kubernetes

Los contenedores solo deben usar perfiles de AppArmor permitidos.

Descripción: los contenedores que se ejecutan en clústeres de Kubernetes solo deben limitarse a los perfiles de AppArmor permitidos. AppArmor (Application Armor) es un módulo de seguridad de Linux que protege un sistema operativo y sus aplicaciones frente a amenazas de seguridad. Para usarlo, el administrador del sistema asocia un perfil de seguridad de AppArmor a cada programa. (Directiva relacionada: Los contenedores de clústeres de Kubernetes solo deben usar perfiles de AppArmor permitidos).

Gravedad: alta

Tipo: plano de datos de Kubernetes

Se deben evitar los contenedores con elevación de privilegios

Descripción: los contenedores no deben ejecutarse con la extensión de privilegios a la raíz en el clúster de Kubernetes. El atributo AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que el proceso primario. (Directiva relacionada: Los clústeres de Kubernetes no deben permitir la elevación de privilegios de contenedor).

Gravedad: media

Tipo: plano de datos de Kubernetes

- Los registros de diagnóstico de los servicios de Kubernetes deben estar habilitados.

Descripción: habilite los registros de diagnóstico en los servicios de Kubernetes y guárdelos hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad. (Ninguna directiva relacionada)

Gravedad: baja

Tipo: Plano de control

El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores

Descripción: los contenedores deben ejecutarse con un sistema de archivos raíz de solo lectura en el clúster de Kubernetes. El sistema de archivos inmutable protege los contenedores frente a cambios en el entorno de ejecución que implican la adición de archivos binarios malintencionados a PATH. (Directiva relacionada: Los contenedores de clústeres de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura).

Gravedad: media

Tipo: plano de datos de Kubernetes

El servidor de API de Kubernetes debe configurarse con acceso restringido

Descripción: para asegurarse de que solo las aplicaciones de redes, máquinas o subredes permitidas puedan acceder al clúster, restrinja el acceso al servidor de API de Kubernetes. Puede restringir el acceso definiendo intervalos IP autorizados o configurando los servidores de API como clústeres privados, como se explica en Creación de un clúster privado de Azure Kubernetes Service. (Directiva relacionada: Los intervalos IP autorizados deben definirse en Kubernetes Services).

Gravedad: alta

Tipo: Plano de control

Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS

Descripción: el uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de interceptación de capas de red. Esta funcionalidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, visite https://aka.ms/kubepolicydoc (Directiva relacionada: Aplicación de la entrada HTTPS en el clúster de Kubernetes).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático

Descripción: deshabilite las credenciales de API de montaje automático para evitar que un recurso pod potencialmente comprometido ejecute comandos de API en clústeres de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Directiva relacionada: Los clústeres de Kubernetes deben deshabilitar las credenciales de API de montaje automático).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN.

Descripción: para reducir la superficie expuesta a ataques de los contenedores, restrinja CAP_SYS_ADMIN funcionalidades de Linux. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: plano de datos de Kubernetes

Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado

Descripción: evite el uso del espacio de nombres predeterminado en clústeres de Kubernetes para protegerse contra el acceso no autorizado para los tipos de recursos ConfigMap, Pod, Secreto, Servicio y ServiceAccount. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Directiva relacionada: Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado).

Gravedad: baja

Tipo: plano de datos de Kubernetes

Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores

Descripción: para reducir la superficie expuesta a ataques del contenedor, restrinja las funcionalidades de Linux y conceda privilegios específicos a los contenedores sin conceder todos los privilegios del usuario raíz. Se recomienda quitar todas las funcionalidades y, a continuación, agregar las necesarias (directiva relacionada: los contenedores de clústeres de Kubernetes solo deben usar las funcionalidades permitidas).

Gravedad: media

Tipo: plano de datos de Kubernetes

Microsoft Defender para contenedores debería estar habilitado

Descripción: Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

la corrección de esta recomendación dará lugar a cargos por la protección de los clústeres de Kubernetes. Si no tiene ningún clúster de Kubernetes en esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de clústeres de Kubernetes en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información en Introducción a Microsoft Defender para contenedores (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Deben evitarse los contenedores con privilegios

Descripción: para evitar el acceso de host sin restricciones, evite los contenedores con privilegios siempre que sea posible.

Los contenedores con privilegios tienen todas las capacidades raíz de un equipo host. Se pueden usar como puntos de entrada para ataques y para propagar código malintencionado o malware a aplicaciones, hosts y redes en peligro. (Directiva relacionada: No permita contenedores con privilegios en el clúster de Kubernetes).

Gravedad: media

Tipo: plano de datos de Kubernetes

Se debe usar el control de acceso basado en rol en los servicios de Kubernetes

Descripción: para proporcionar filtrado pormenorizado sobre las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar permisos en clústeres de Kubernetes Service y configurar las directivas de autorización pertinentes. (Directiva relacionada: El control de acceso basado en rol (RBAC) debe usarse en Kubernetes Services).

Gravedad: alta

Tipo: Plano de control

Se debe evitar la ejecución de contenedores como usuario raíz

Descripción: los contenedores no se deben ejecutar como usuarios raíz en el clúster de Kubernetes. La ejecución de un proceso como el usuario raíz dentro de un contenedor lo ejecuta como raíz en el host. En caso de peligro, un atacante tiene la raíz en el contenedor, y cualquier error de configuración resulta más fácil de aprovechar. (Directiva relacionada: Los pods y contenedores del clúster de Kubernetes solo se deben ejecutar con identificadores de usuario y grupo aprobados.

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los servicios solo deben escuchar en los puertos permitidos

Descripción: para reducir la superficie expuesta a ataques del clúster de Kubernetes, restrinja el acceso al clúster limitando el acceso de los servicios a los puertos configurados. (Directiva relacionada: Asegúrese de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes).

Gravedad: media

Tipo: plano de datos de Kubernetes

El uso de puertos y redes de hosts debe estar restringido

Descripción: restrinja el acceso de pod a la red host y al intervalo de puertos de host permitido en un clúster de Kubernetes. Los pods creados con el atributo hostNetwork habilitado compartirán el espacio de red del nodo. Para evitar que el contenedor en peligro rastree el tráfico de red, se recomienda no colocar los pods en la red del host. Si necesita exponer un puerto de contenedor en la red del nodo y usar un puerto de nodo de Kubernetes Service no satisface sus necesidades, otra posibilidad es especificar un hostPort para el contenedor en la especificación de pod. (Directiva relacionada: los pods del clúster de Kubernetes solo deben usar la red de host aprobada y el intervalo de puertos).

Gravedad: media

Tipo: plano de datos de Kubernetes

El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de restringir el acceso a los nodos de los contenedores en peligro

Descripción: se recomienda limitar los montajes de volumen hostPath de pod en el clúster de Kubernetes a las rutas de acceso de host permitidas configuradas. En caso de peligro, se debe restringir el acceso al nodo contenedor desde los contenedores. (Directiva relacionada: Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de acceso de host permitidas.

Gravedad: media

Tipo: Plano de datos de Kubernetes

Recomendaciones de contenedores de AWS

[Vista previa] Las imágenes de contenedor en el registro de AWS deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. El examen y la corrección de las vulnerabilidades de las imágenes de contenedores del registro ayudan a mantener una cadena de suministro de software segura y de confianza, reducen el riesgo de incidentes de seguridad y garantizan el cumplimiento de los estándares del sector.

La recomendación aws registry container images should have vulnerability findings resolved (powered by Administración de vulnerabilidades de Microsoft Defender) will removed by the new recommendation is generally available.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

[Vista previa] Los contenedores que se ejecutan en AWS deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes y los informes de vulnerabilidad creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Nota:

A partir del 6 de octubre de 2024, esta recomendación se actualizó para notificar solo un contenedor para cada controlador raíz. Por ejemplo, si un cronjob crea varios trabajos, donde cada trabajo crea un pod con un contenedor vulnerable, la recomendación solo notificará una sola instancia de los contenedores vulnerables dentro de ese trabajo. Este cambio ayudará a quitar informes duplicados para contenedores idénticos que requieren una única acción para la corrección. Si usó esta recomendación antes del cambio, debe esperar una reducción en el número de instancias de esta recomendación.
Para admitir esta mejora, la clave de evaluación de esta recomendación se ha actualizado a 8749bb43-cd24-4cf9-848c-2a50f632043c. Si actualmente está recuperando informes de vulnerabilidades de esta recomendación a través de la API, asegúrese de actualizar la llamada API para usar la nueva clave de evaluación.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Los clústeres de EKS deben conceder los permisos de AWS necesarios a Microsoft Defender for Cloud.

Descripción: Microsoft Defender para contenedores proporciona protecciones para los clústeres de EKS. Para supervisar las amenazas y vulnerabilidades de seguridad del clúster, Defender para contenedores necesita permisos para su cuenta de AWS. Estos permisos se usan para habilitar el registro del plano de control de Kubernetes en el clúster y establecer una canalización confiable entre el clúster y el back-end de Defender for Cloud en la nube. Obtenga más información sobre las características de seguridad de Microsoft Defender for Cloud para los entornos contenedorizados.

Gravedad: alta

Los clústeres de EKS deben tener instalada la extensión de Microsoft Defender para Azure Arc.

Descripción: la extensión de clúster de Microsoft Defender proporciona funcionalidades de seguridad para los clústeres de EKS. La extensión recopila datos de un clúster y sus nodos para identificar amenazas y vulnerabilidades de seguridad. La extensión funciona con Kubernetes habilitado para Azure Arc. Obtenga más información sobre las características de seguridad de Microsoft Defender for Cloud para los entornos contenedorizados.

Gravedad: alta

Microsoft Defender para contenedores debe estar habilitado en los conectores de AWS.

Descripción: Microsoft Defender para contenedores proporciona protección contra amenazas en tiempo real para entornos en contenedores y genera alertas sobre actividades sospechosas. Use esta información para mejorar la seguridad de los clústeres de Kubernetes y corregir los problemas de seguridad.

Al habilitar Microsoft Defender para contenedores e implementar Azure Arc en los clústeres de EKS, comenzarán las protecciones y los cargos. Si no implementa Azure Arc en un clúster, Defender for Containers no lo protegerá y no se incurrirá en cargos por este plan de Microsoft Defender para ese clúster.

Gravedad: alta

Recomendaciones del plano de datos

Todas las recomendaciones de seguridad del plano de datos de Kubernetes se admiten para AWS después de habilitar Azure Policy para Kubernetes.

Recomendaciones de contenedor de GCP

La configuración avanzada de Defender para contenedores debe estar habilitada en los conectores de GCP.

Descripción: Microsoft Defender para contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como la protección del entorno, la protección de cargas de trabajo y la protección en tiempo de ejecución. Para asegurarse de que la solución esté aprovisionada correctamente y que el conjunto completo de funcionalidades esté disponible, habilite todas las opciones de configuración avanzadas.

Gravedad: alta

[Versión preliminar] Las imágenes de contenedores del registro de GCP deben tener resueltos los hallazgos de vulnerabilidades

Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. El examen y la corrección de las vulnerabilidades de las imágenes de contenedores del registro ayudan a mantener una cadena de suministro de software segura y de confianza, reducen el riesgo de incidentes de seguridad y garantizan el cumplimiento de los estándares del sector.

La recomendación GCP registry container images should have vulnerability findings resolved (powered by Microsoft Defender vulnerability Management will be removed when the new recommendation is generally available.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

[Versión preliminar] Los contenedores que se ejecutan en GCP deben tener resueltos los hallazgos de vulnerabilidades

Descripción: Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes y los informes de vulnerabilidad creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector.

La nueva recomendación está en versión preliminar y no se usa para el cálculo de puntuación segura.

Nota:

A partir del 6 de octubre de 2024, esta recomendación se actualizó para notificar solo un contenedor para cada controlador raíz. Por ejemplo, si un cronjob crea varios trabajos, donde cada trabajo crea un pod con un contenedor vulnerable, la recomendación solo notificará una sola instancia de los contenedores vulnerables dentro de ese trabajo. Este cambio ayudará a quitar informes duplicados para contenedores idénticos que requieren una única acción para la corrección. Si usó esta recomendación antes del cambio, debe esperar una reducción en el número de instancias de esta recomendación.
Para admitir esta mejora, la clave de evaluación de esta recomendación se ha actualizado a 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Si actualmente está recuperando informes de vulnerabilidades de esta recomendación a través de la API, asegúrese de actualizar la llamada API para usar la nueva clave de evaluación.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Los clústeres de GKE deben tener instalada la extensión de Microsoft Defender para Azure Arc.

Descripción: la extensión de clúster de Microsoft Defender proporciona funcionalidades de seguridad para los clústeres de GKE. La extensión recopila datos de un clúster y sus nodos para identificar amenazas y vulnerabilidades de seguridad. La extensión funciona con Kubernetes habilitado para Azure Arc. Obtenga más información sobre las características de seguridad de Microsoft Defender for Cloud para los entornos contenedorizados.

Gravedad: alta

Los clústeres de GKE deben tener instalada la extensión de Azure Policy.

Descripción: la extensión de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. La extensión funciona con Kubernetes habilitado para Azure Arc.

Gravedad: alta

Microsoft Defender para contenedores debe estar habilitado en los conectores de GCP.

Descripción: Microsoft Defender para contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como la protección del entorno, la protección de cargas de trabajo y la protección en tiempo de ejecución. Habilite el plan de contenedores en el conector de GCP para proteger la seguridad de los clústeres de Kubernetes y corregir los problemas de seguridad. Más información sobre Microsoft Defender for Containers

Gravedad: alta

La característica de reparación automática del clúster de GKE debe estar habilitada.

Descripción: esta recomendación evalúa la propiedad de administración de un grupo de nodos para el par clave-valor, key: autoRepair, value: true.

Gravedad: media

La característica de actualización automática del clúster de GKE debe estar habilitada.

Descripción: esta recomendación evalúa la propiedad de administración de un grupo de nodos para el par clave-valor, key: autoUpgrade, value: true.

Gravedad: alta

La supervisión en los clústeres de GKE debe estar habilitada.

Descripción: esta recomendación evalúa si la propiedad monitoringService de un clúster contiene la ubicación que la supervisión en la nube debe usar para escribir métricas.

Gravedad: media

El registro de clústeres de GKE debe estar habilitado.

Descripción: esta recomendación evalúa si la propiedad loggingService de un clúster contiene la ubicación que el registro en la nube debe usar para escribir registros.

Gravedad: alta

El panel web de GKE debe estar deshabilitado.

Descripción: esta recomendación evalúa el campo kubernetesDashboard de la propiedad addonsConfig para el par clave-valor, "disabled": false.

Gravedad: alta

La autorización heredada debe estar deshabilitada en los clústeres de GKE.

Descripción: esta recomendación evalúa la propiedad legacyAbac de un clúster para el par clave-valor, "enabled": true.

Gravedad: alta

Las redes autorizadas del plano de control deben estar habilitadas en los clústeres de GKE.

Descripción: esta recomendación evalúa la propiedad masterAuthorizedNetworksConfig de un clúster para el par clave-valor, "enabled": false.

Gravedad: alta

Los clústeres de GKE deben tener habilitados los intervalos IP de alias.

Descripción: esta recomendación evalúa si el campo useIPAliases de ipAllocationPolicy en un clúster está establecido en false.

Gravedad: baja

Los clústeres de GKE deben tener habilitados los clústeres privados.

Descripción: esta recomendación evalúa si el campo enablePrivateNodes de la propiedad privateClusterConfig está establecido en false.

Gravedad: alta

La directiva de red debe estar habilitada en los clústeres de GKE.

Descripción: esta recomendación evalúa el campo networkPolicy de la propiedad addonsConfig para el par clave-valor, "disabled": true.

Gravedad: media

Recomendaciones del plano de datos

Todas las recomendaciones de seguridad del plano de datos de Kubernetes se admiten para GCP después de habilitar Azure Policy para Kubernetes.

Recomendaciones de registros de contenedor externos

[Versión preliminar] Las imágenes de contenedor en el registro de Docker Hub deben tener resueltos los resultados de vulnerabilidades

Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. La corrección de vulnerabilidades en imágenes de contenedor ayuda a mantener una cadena de suministro de software segura y confiable, reduce el riesgo de incidentes de seguridad y garantiza el cumplimiento de los estándares del sector".

Gravedad: alta

Tipo: Evaluación de vulnerabilidades