Recommandations relatives à la sécurité des conteneurs

Cet article répertorie toutes les recommandations de sécurité de conteneur que vous pouvez voir dans Microsoft Defender pour le cloud.

Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée.

Conseil

Si une description de recommandation indique Aucune stratégie associée, cela est généralement dû au fait que cette recommandation dépend d’une autre recommandation.

Par exemple, les échecs d’intégrité Endpoint Protection doivent être corrigés en fonction de la recommandation qui vérifie si une solution endpoint protection est installée (la solution Endpoint Protection doit être installée). La recommandation sous-jacente est associée à une stratégie. La limitation des stratégies aux recommandations fondamentales simplifie la gestion des stratégies.

Recommandations relatives aux conteneurs Azure

L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Description : l’extension Azure Policy pour Kubernetes étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des garanties sur vos clusters de manière centralisée et cohérente. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc

Description : l’extension de Defender pour Azure Arc offre une protection contre les menaces pour vos clusters Kubernetes avec Arc. L’extension collecte des données à partir de tous les nœuds de plan de contrôle (maître) du cluster et les envoie au back-end Microsoft Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

Le profil Defender doit être activé sur les clusters Azure Kubernetes Service

Description : Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Quand vous activez le profil SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les conteneurs. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service

Description : Le module complémentaire Azure Policy pour Kubernetes étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des garanties sur vos clusters de manière centralisée et cohérente. Defender pour le cloud nécessite le module complémentaire pour auditer et appliquer les capacités de sécurité et la conformité au sein de vos clusters. Plus d’informations Nécessite Kubernetes v1.14.0 ou ultérieur. (Stratégie associée : Le module complémentaire Azure Policy pour Kubernetes Service (AKS) doit être installé et activé sur vos clusters.

Gravité : élevée

Type : plan de contrôle

Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure (technologie Gestion des vulnérabilités Microsoft Defender)

Description : l’évaluation des vulnérabilités de l’image conteneur analyse votre registre pour détecter les vulnérabilités couramment connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. (Stratégie associée : Les vulnérabilités dans les images Azure Container Registry doivent être corrigées).

Gravité : élevée

Type : Évaluation des vulnérabilités

Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure (technologie Qualys)

Description : l’évaluation des vulnérabilités de l’image conteneur analyse votre registre pour détecter les vulnérabilités de sécurité et expose des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans les images Azure Container Registry doivent être corrigées).

Clé d’évaluation : dbd0cb49-b563-45e7-9724-889e799fa648

Type : Évaluation des vulnérabilités

Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender)

Description : l’évaluation des vulnérabilités de l’image conteneur analyse votre registre pour détecter les vulnérabilités couramment connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées.

Gravité : élevée

Type : Évaluation des vulnérabilités

Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure – (technologie Qualys)

Description : l’évaluation des vulnérabilités de l’image conteneur analyse les images conteneur s’exécutant sur vos clusters Kubernetes pour détecter les vulnérabilités de sécurité et expose des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. (Aucune stratégie associée)

Clé d’évaluation : 41503391-efa5-47ee-9282-4eff6131462c

Type : Évaluation des vulnérabilités

Les limites de mémoire et de processeur des conteneurs doivent être appliquées

Description : l’application des limites de processeur et de mémoire empêche les attaques d’épuisement des ressources (une forme d’attaque par déni de service).

Nous vous recommandons de définir des limites pour les conteneurs afin de garantir que le runtime empêche le conteneur d’utiliser plus que la limite de ressources configurée.

(Stratégie associée : Vérifiez que les limites de ressources processeur et mémoire du conteneur ne dépassent pas les limites spécifiées dans le cluster Kubernetes.

Gravité : moyenne

Type : plan de données Kubernetes

Les images conteneur doivent être déployées à partir de registres approuvés uniquement

Description : Les images exécutées sur votre cluster Kubernetes doivent provenir de registres d’images conteneur connus et surveillés. Les registres approuvés réduisent le risque d’exposition de votre cluster en limitant le risque d’introduction de vulnérabilités inconnues, de problèmes de sécurité et d’images malveillantes.

(Stratégie associée : Assurez-vous que seules les images conteneur autorisées dans le cluster Kubernetes sont autorisées.

Gravité : élevée

Type : plan de données Kubernetes

[Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre Azure doivent être résolus

Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

Les images conteneur de Registre Azure de recommandation doivent avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) seront supprimées lorsque la nouvelle recommandation est généralement disponible.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Gravité : élevée

Type : Évaluation des vulnérabilités

(Activer si nécessaire) Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur le chiffrement CMK à l’adresse Vue d’ensemble des clés gérées par le client. (Stratégie associée : Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)).

Gravité : faible

Type : plan de contrôle

Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint

Description : les registres de conteneurs Azure acceptent par défaut les connexions via Internet à partir d’hôtes sur n’importe quel réseau. Pour protéger vos registres contre les menaces potentielles, autorisez l’accès uniquement à partir d’IP publiques ou de plages d’adresses spécifiques. Si votre registre n’a pas de règle IP/de pare-feu ou de réseau virtuel configuré, il apparaîtra dans les ressources non saines. En savoir plus sur les règles de réseau Container Registry dans Configurer les règles de réseau IP publique et restreindre l’accès à un registre de conteneurs à l’aide d’un point de terminaison de service dans un réseau virtuel Azure. (Stratégie associée : Les registres de conteneurs ne doivent pas autoriser l’accès réseau illimité).

Gravité : moyenne

Type : plan de contrôle

Description : Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à vos registres de conteneur plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. (Stratégie associée : Les registres de conteneurs doivent utiliser une liaison privée).

Gravité : moyenne

Type : plan de contrôle

[Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans Azure doivent être résolus

Description : Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes et fournit des rapports de vulnérabilité pour ces charges de travail en correspondant aux images et aux rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Remarque

À compter du 6 octobre 2024, cette recommandation a été mise à jour pour signaler un seul conteneur pour chaque contrôleur racine. Par exemple, si un cronjob crée plusieurs travaux, où chaque travail crée un pod avec un conteneur vulnérable, la recommandation signale uniquement une seule instance des conteneurs vulnérables au sein de ce travail. Cette modification permet de supprimer les rapports en double pour les conteneurs identiques qui nécessitent une seule action pour la correction. Si vous avez utilisé cette recommandation avant la modification, vous devez vous attendre à une réduction du nombre d’instances de cette recommandation.
Pour soutenir cette amélioration, la clé d’évaluation de cette recommandation a été mise à jour vers c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Si vous récupérez actuellement des rapports de vulnérabilité à partir de cette recommandation via l’API, veillez à modifier l’appel d’API pour utiliser la nouvelle clé d’évaluation.

Gravité : élevée

Type : Évaluation des vulnérabilités

Les conteneurs partageant des espaces de noms d’hôte sensibles doivent être évités

Description : Pour vous protéger contre l’escalade de privilèges en dehors du conteneur, évitez d’accéder aux espaces de noms d’hôtes sensibles (ID de processus hôte et IPC hôte) dans un cluster Kubernetes. (Stratégie associée : Les conteneurs de cluster Kubernetes ne doivent pas partager l’ID de processus hôte ou l’espace de noms IPC hôte).

Gravité : moyenne

Type : plan de données Kubernetes

Les conteneurs doivent uniquement utiliser des profils AppArmor autorisés

Description : Les conteneurs s’exécutant sur des clusters Kubernetes doivent être limités aux profils AppArmor autorisés uniquement. AppArmor (Application Armor) est un module de sécurité Linux qui protège un système d’exploitation et ses applications contre les menaces de sécurité. Pour l’utiliser, un administrateur système associe un profil de sécurité AppArmor à chaque programme. (Stratégie associée : Les conteneurs de cluster Kubernetes doivent utiliser uniquement les profils AppArmor autorisés.

Gravité : élevée

Type : plan de données Kubernetes

Tout conteneur avec réaffectation de privilèges doit être évité

Description : Les conteneurs ne doivent pas s’exécuter avec l’escalade de privilèges vers la racine dans votre cluster Kubernetes. L’attribut AllowPrivilegeEscalation détermine si un processus peut obtenir plus de privilèges que son processus parent. (Stratégie associée : Les clusters Kubernetes ne doivent pas autoriser l’escalade des privilèges de conteneur).

Gravité : moyenne

Type : plan de données Kubernetes

Les journaux de diagnostic des services Kubernetes doivent être activés

Description : activez les journaux de diagnostic dans vos services Kubernetes et conservez-les jusqu’à un an. Cela vous permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité. (Aucune stratégie associée)

Gravité : faible

Type : plan de contrôle

Le système de fichiers racine (en lecture seule) immuable doit être appliqué pour les conteneurs

Description : Les conteneurs doivent s’exécuter avec un système de fichiers racine en lecture seule dans votre cluster Kubernetes. Le système de fichiers immuable protège les conteneurs contre les changements au moment de l’exécution, avec des fichiers binaires malveillants ajoutés à PATH. (Stratégie associée : Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule.

Gravité : moyenne

Type : plan de données Kubernetes

Le serveur de l’API Kubernetes doit être configuré avec un accès restreint

Description : Pour vous assurer que seules les applications provenant de réseaux, de machines ou de sous-réseaux autorisés peuvent accéder à votre cluster, restreindre l’accès à votre serveur d’API Kubernetes. Vous pouvez restreindre l’accès en définissant des plages d’adresses IP autorisées ou en configurant vos serveurs d’API en tant que clusters privés, comme expliqué dans Créer un cluster Azure Kubernetes Service privé. (Stratégie associée : Les plages d’adresses IP autorisées doivent être définies sur Kubernetes Services.

Gravité : élevée

Type : plan de contrôle

Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS

Description : L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques d’écoute de couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour le moteur AKS et Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc (Stratégie associée : Appliquer l’entrée HTTPS dans le cluster Kubernetes).

Gravité : élevée

Type : plan de données Kubernetes

Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API

Description : Désactivez le montage automatique des informations d’identification de l’API pour empêcher une ressource pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. (Stratégie associée : Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification de l’API).

Gravité : élevée

Type : plan de données Kubernetes

Les clusters Kubernetes ne doivent pas octroyer de fonctionnalités de sécurité CAPSYSADMIN

Description : Pour réduire la surface d’attaque de vos conteneurs, limitez CAP_SYS_ADMIN fonctionnalités Linux. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. (Aucune stratégie associée)

Gravité : élevée

Type : plan de données Kubernetes

Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut

Description : Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour vous protéger contre l’accès non autorisé pour les types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. (Stratégie associée : Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut).

Gravité : faible

Type : plan de données Kubernetes

Les fonctionnalités Linux à privilèges minimum doivent être appliquées pour les conteneurs

Description : Pour réduire la surface d’attaque de votre conteneur, limitez les fonctionnalités Linux et accordez des privilèges spécifiques aux conteneurs sans accorder tous les privilèges de l’utilisateur racine. Nous vous recommandons de supprimer toutes les fonctionnalités, puis d’ajouter celles qui sont requises (stratégie associée : les conteneurs de cluster Kubernetes doivent uniquement utiliser les fonctionnalités autorisées).

Gravité : moyenne

Type : plan de données Kubernetes

Microsoft Defender pour les conteneurs doit être activé

Description : Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos conteneurs.

L’application de cette recommandation entraîne des frais liés à la protection de vos clusters Kubernetes. Si vous n’avez pas de clusters Kubernetes dans cet abonnement, cela n’entraînera aucuns frais. Si vous créez par la suite des clusters Kubernetes dans cet abonnement, ceux-ci seront protégés automatiquement, des frais commençant alors à être facturés. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les conteneurs. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

Les conteneurs disposant de privilèges doivent être évités

Description : Pour empêcher l’accès illimité à l’hôte, évitez les conteneurs privilégiés dans la mesure du possible.

Les conteneurs privilégiés disposent de toutes les fonctionnalités racine d’une machine hôte. Ils peuvent être utilisés comme points d’entrée pour les attaques et pour propager du code malveillant ou des programmes malveillants à des applications compromises, des hôtes et des réseaux. (Stratégie associée : N’autorisez pas les conteneurs privilégiés dans un cluster Kubernetes).

Gravité : moyenne

Type : plan de données Kubernetes

Le contrôle d’accès en fonction du rôle doit être utilisé sur Kubernetes Service

Description : Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. (Stratégie associée : Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur Kubernetes Services.

Gravité : élevée

Type : plan de contrôle

L’exécution de conteneurs en tant qu’utilisateur racine doit être évitée

Description : Les conteneurs ne doivent pas s’exécuter en tant qu’utilisateurs racines dans votre cluster Kubernetes. En effet, un processus exécuté en tant qu'utilisateur racine dans un conteneur s'exécute en tant qu'utilisateur racine sur l'hôte. En cas de compromission, un attaquant disposerait d'un accès racine au conteneur et pourrait facilement exploiter les mauvaises configurations. (Stratégie associée : Les pods et conteneurs de cluster Kubernetes ne doivent s’exécuter qu’avec des ID d’utilisateur et de groupe approuvés.

Gravité : élevée

Type : plan de données Kubernetes

Les services doivent écouter uniquement sur les ports autorisés

Description : Pour réduire la surface d’attaque de votre cluster Kubernetes, limitez l’accès au cluster en limitant l’accès aux services aux ports configurés. (Stratégie associée : Assurez-vous que les services écoutent uniquement sur les ports autorisés dans le cluster Kubernetes).

Gravité : moyenne

Type : plan de données Kubernetes

L’utilisation des ports et des réseaux hôtes doit être limitée

Description : Restreindre l’accès des pods au réseau hôte et à la plage de ports hôte autorisée dans un cluster Kubernetes. Les pods créés avec l’attribut hostNetwork activé partagent l’espace réseau du nœud. Pour éviter tout conteneur compromis d’espionner le trafic réseau, nous vous recommandons de ne pas placer vos pods sur le réseau hôte. Si vous devez exposer un port de conteneur sur le réseau du nœud et utiliser un port de nœud Kubernetes Service ne répond pas à vos besoins, une autre possibilité consiste à spécifier un hostPort pour le conteneur dans la spécification de pod. (Stratégie associée : les pods de cluster Kubernetes doivent uniquement utiliser le réseau hôte et la plage de ports approuvés).

Gravité : moyenne

Type : plan de données Kubernetes

L’utilisation de montages de volume HostPath de pod doit être limitée à une liste connue pour restreindre l’accès aux nœuds à partir de conteneurs compromis

Description : Nous vous recommandons de limiter les montages de volumes HostPath de pod dans votre cluster Kubernetes aux chemins d’accès d’hôte autorisés configurés. En cas de compromission, l’accès au nœud de conteneur à partir des conteneurs doit être restreint. (Stratégie associée : Les volumes hostPath de pod de cluster Kubernetes ne doivent utiliser que les chemins d’accès d’hôte autorisés).

Gravité : moyenne

Type : plan de données Kubernetes

Recommandations relatives aux conteneurs AWS

[Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre AWS doivent être résolus

Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

Les images conteneur AWS Registry doivent avoir des résultats de vulnérabilité résolus (alimentés par Gestion des vulnérabilités Microsoft Defender) seront supprimés par la nouvelle recommandation est généralement disponible.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Gravité : élevée

Type : Évaluation des vulnérabilités

[Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans AWS doivent être résolus

Description : Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes et fournit des rapports de vulnérabilité pour ces charges de travail en correspondant aux images et aux rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Remarque

À compter du 6 octobre 2024, cette recommandation a été mise à jour pour signaler un seul conteneur pour chaque contrôleur racine. Par exemple, si un cronjob crée plusieurs travaux, où chaque travail crée un pod avec un conteneur vulnérable, la recommandation signale uniquement une seule instance des conteneurs vulnérables au sein de ce travail. Cette modification permet de supprimer les rapports en double pour les conteneurs identiques qui nécessitent une seule action pour la correction. Si vous avez utilisé cette recommandation avant la modification, vous devez vous attendre à une réduction du nombre d’instances de cette recommandation.
Pour soutenir cette amélioration, la clé d’évaluation de cette recommandation a été mise à jour vers 8749bb43-cd24-4cf9-848c-2a50f632043c. Si vous récupérez actuellement des rapports de vulnérabilité à partir de cette recommandation via l’API, veillez à mettre à jour l’appel d’API pour utiliser la nouvelle clé d’évaluation.

Gravité : élevée

Type : Évaluation des vulnérabilités

Les clusters EKS doivent accorder les autorisations AWS requises à Microsoft Defender pour le cloud

Description : Microsoft Defender pour conteneurs fournit des protections pour vos clusters EKS. Pour surveiller votre cluster afin de détecter les menaces et les failles de sécurité, Defender pour les conteneurs a besoin d’autorisations pour votre compte AWS. Ces autorisations sont utilisées pour activer la journalisation du plan de contrôle Kubernetes sur votre cluster et établir un pipeline fiable entre votre cluster et le back-end de Defender pour le cloud dans le cloud. En savoir plus sur les fonctionnalités de sécurité de Microsoft Defender pour le cloud pour les environnements conteneurisés.

Gravité : élevée

L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS

Description : l’extension de cluster de Microsoft Defender fournit des fonctionnalités de sécurité pour vos clusters EKS. L’extension collecte les données d’un cluster et de ses nœuds afin d’identifier les menaces et les failles de sécurité. L’extension fonctionne avec Kubernetes avec Azure Arc. En savoir plus sur les fonctionnalités de sécurité de Microsoft Defender pour le cloud pour les environnements conteneurisés.

Gravité : élevée

Microsoft Defender pour les conteneurs doit être activé sur les connecteurs AWS

Description : Microsoft Defender pour conteneurs fournit une protection contre les menaces en temps réel pour les environnements conteneurisés et génère des alertes sur les activités suspectes. Utilisez ces informations pour renforcer la sécurité des clusters Kubernetes et corriger les problèmes de sécurité.

Lorsque vous activez Microsoft Defender pour conteneurs et déployez Azure Arc sur vos clusters EKS, les protections et les frais commenceront. Si vous ne déployez pas Azure Arc sur un cluster, Defender pour conteneurs ne le protège pas et aucun frais n’est facturé pour ce plan Microsoft Defender pour ce cluster.

Gravité : élevée

Recommandations relatives au plan de données

Toutes les recommandations de sécurité du plan de données Kubernetes sont prises en charge pour AWS après avoir activé Azure Policy pour Kubernetes.

Recommandations de conteneur GCP

La configuration avancée de Defender pour les conteneurs doit être activée sur les connecteurs GCP

Description : Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Pour vous assurer que la solution est correctement approvisionnée et que l’ensemble complet des fonctionnalités est disponible, activez tous les paramètres de configuration avancés.

Gravité : élevée

[Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre GCP doivent être résolus

Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

Les images conteneur de registre GCP de recommandation doivent avoir des résultats de vulnérabilité résolus (avec Microsoft Defender Vulnerability Management sera supprimé lorsque la nouvelle recommandation est généralement disponible.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Gravité : élevée

Type : Évaluation des vulnérabilités

[Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans GCP doivent être résolus

Description : Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes et fournit des rapports de vulnérabilité pour ces charges de travail en correspondant aux images et aux rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur.

La nouvelle recommandation est en préversion et n’est pas utilisée pour le calcul du score sécurisé.

Remarque

À compter du 6 octobre 2024, cette recommandation a été mise à jour pour signaler un seul conteneur pour chaque contrôleur racine. Par exemple, si un cronjob crée plusieurs travaux, où chaque travail crée un pod avec un conteneur vulnérable, la recommandation signale uniquement une seule instance des conteneurs vulnérables au sein de ce travail. Cette modification permet de supprimer les rapports en double pour les conteneurs identiques qui nécessitent une seule action pour la correction. Si vous avez utilisé cette recommandation avant la modification, vous devez vous attendre à une réduction du nombre d’instances de cette recommandation.
Pour soutenir cette amélioration, la clé d’évaluation de cette recommandation a été mise à jour vers 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Si vous récupérez actuellement des rapports de vulnérabilité à partir de cette recommandation via l’API, veillez à mettre à jour l’appel d’API pour utiliser la nouvelle clé d’évaluation.

Gravité : élevée

Type : Évaluation des vulnérabilités

L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters GKE

Description : l’extension de cluster de Microsoft Defender fournit des fonctionnalités de sécurité pour vos clusters GKE. L’extension collecte les données d’un cluster et de ses nœuds afin d’identifier les menaces et les failles de sécurité. L’extension fonctionne avec Kubernetes avec Azure Arc. En savoir plus sur les fonctionnalités de sécurité de Microsoft Defender pour le cloud pour les environnements conteneurisés.

Gravité : élevée

L’extension Azure Policy doit être installée sur les clusters GKE

Description : l’extension Azure Policy pour Kubernetes étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des garanties sur vos clusters de manière centralisée et cohérente. L’extension fonctionne avec Kubernetes avec Azure Arc.

Gravité : élevée

Microsoft Defender pour les conteneurs doit être activé sur les connecteurs GCP

Description : Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Activez le plan Conteneurs sur votre connecteur GCP pour renforcer la sécurité des clusters Kubernetes et corriger les problèmes de sécurité. En savoir sur Microsoft Defender pour les conteneurs.

Gravité : élevée

La fonctionnalité de réparation automatique du cluster GKE doit être activée

Description : cette recommandation évalue la propriété de gestion d’un pool de nœuds pour la paire clé-valeur. key: autoRepair, value: true

Gravité : moyenne

La fonctionnalité de mise à niveau automatique du cluster GKE doit être activée

Description : cette recommandation évalue la propriété de gestion d’un pool de nœuds pour la paire clé-valeur. key: autoUpgrade, value: true

Gravité : élevée

La surveillance sur les clusters GKE doit être activée

Description : cette recommandation évalue si la propriété monitoringService d’un cluster contient l’emplacement que cloud Monitoring doit utiliser pour écrire des métriques.

Gravité : moyenne

La journalisation pour les clusters GKE doit être activée

Description : cette recommandation évalue si la propriété loggingService d’un cluster contient l’emplacement que la journalisation cloud doit utiliser pour écrire des journaux.

Gravité : élevée

Le tableau de bord web GKE doit être désactivé

Description : cette recommandation évalue le champ kubernetesDashboard de la propriété addonsConfig pour la paire clé-valeur « disabled » : false.

Gravité : élevée

L’autorisation héritée doit être désactivée sur les clusters GKE

Description : cette recommandation évalue la propriété legacyAbac d’un cluster pour la paire clé-valeur « enabled » : true.

Gravité : élevée

Les réseaux autorisés du plan de contrôle doivent être activés sur les clusters GKE

Description : cette recommandation évalue la propriété masterAuthorizedNetworksConfig d’un cluster pour la paire clé-valeur « enabled » : false.

Gravité : élevée

Les plages d’adresses IP des alias doivent être activées pour les clusters GKE

Description : cette recommandation évalue si le champ useIPAliases de l’ipAllocationPolicy dans un cluster a la valeur false.

Gravité : faible

Les clusters GKE doivent avoir les clusters privés activés

Description : cette recommandation évalue si le champ enablePrivateNodes de la propriété privateClusterConfig a la valeur false.

Gravité : élevée

La stratégie réseau doit être activée sur les clusters GKE

Description : cette recommandation évalue le champ networkPolicy de la propriété addonsConfig pour la paire clé-valeur « disabled » : true.

Gravité : moyenne

Recommandations relatives au plan de données

Toutes les recommandations de sécurité du plan de données Kubernetes sont prises en charge pour GCP après avoir activé Azure Policy pour Kubernetes.

Recommandations relatives aux registres de conteneurs externes

[Préversion] Les images conteneur dans le Registre Docker Hub doivent avoir des résultats de vulnérabilité résolus

Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. La correction des vulnérabilités dans les images conteneur permet de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduit le risque d’incidents de sécurité et garantit la conformité aux normes du secteur.

Gravité : élevée

Type : Évaluation des vulnérabilités