Recomendações de segurança de contêiner

Este artigo lista todas as recomendações de segurança de contêiner que você pode ver no Microsoft Defender para Nuvem.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

Dica

Se uma descrição de recomendação disser Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.

Por exemplo, a recomendação As falhas de integridade da proteção de ponto de extremidade devem ser corrigidas depende da recomendação que verifica se uma solução de proteção de ponto de extremidade está instalada (a solução de proteção de ponto de extremidade deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas às recomendações fundamentais simplifica o gerenciamento de políticas.

Recomendações de contêiner do Azure

Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Descrição: a extensão do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada

Descrição: a extensão do Defender para Azure Arc fornece proteção contra ameaças para seus clusters do Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do painel de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender para Kubernetes na nuvem para análise posterior. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil do SecurityProfile.AzureDefender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado

Descrição: o complemento do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. O Defender para Nuvem exige o complemento para fazer auditoria e impor funcionalidades de segurança e conformidade nos clusters. Saiba mais. Requer o Kubernetes v1.14.0 ou posterior. (Política relacionada: O complemento do Azure Policy para o AKS (serviço Kubernetes) deve ser instalado e habilitado em seus clusters).

Gravidade: Alta

Tipo: Plano de controle

As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender)

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

As imagens de contêiner de registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Qualys)

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Chave de avaliação: dbd0cb49-b563-45e7-9724-889e799fa648

Tipo: Avaliação de Vulnerabilidade

As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender)

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

As imagens de contêiner em execução no Azure devem ter as vulnerabilidades resolvidas – (da plataforma Qualys)

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica as imagens de contêiner em execução nos clusters do Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas de cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. (Não há política relacionada)

Chave de avaliação: 41503391-efa5-47ee-9282-4eff6131462c

Tipo: Avaliação de Vulnerabilidade

Deverão ser aplicados limites de memória e CPU ao contêiner

Descrição: a imposição de limites de CPU e memória impede ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para os contêineres a fim de garantir que o runtime impeça o contêiner de usar mais do que o limite de recursos configurado.

(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis

Descrição: as imagens em execução no cluster do Kubernetes devem vir de registros de imagem de contêiner conhecidos e monitorados. Os registros confiáveis reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.

(Política relacionada: Certifique-se de que apenas imagens de contêiner permitidas no cluster do Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

[Versão Prévia] As imagens de contêiner no Registro do Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (da plataforma Microsoft Defender Gerenciamento de Vulnerabilidades) serão removidas quando a nova recomendação estiver disponível para o público geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

(Ativar se necessário) Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar em cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em Visão geral das chaves gerenciadas pelo cliente. (Política relacionada: Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente).

Gravidade: Baixa

Tipo: Plano de controle

Os registros de contêiner não devem permitir acesso irrestrito à rede

Descrição: por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de endereços ou intervalos de endereços IP públicos específicos. Se o Registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner em Configurar regras de rede IP pública e Restringir o acesso a um registro de contêiner usando um ponto de extremidade de serviço em uma rede virtual do Azure. (Política relacionada: Os registros de contêiner não devem permitir acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controle

Descrição: o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registros de contêiner devem usar link privado).

Gravidade: Média

Tipo: Plano de controle

[Versão Prévia] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo as imagens e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para c5045ea3-afc6-4006-ab8f-86c8574dbf3d. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de alterar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados

Descrição: para se proteger contra o escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster do Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar o ID do processo do host ou o namespace IPC do host).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Os contêineres só devem usar perfis AppArmor permitidos

Descrição: os contêineres em execução em clusters do Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. O AppArmor (Application Armor) é um módulo de segurança do Linux que protege um sistema operacional e os aplicativos contra ameaças à segurança. Para usá-lo, um administrador do sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes devem usar apenas perfis AppArmor permitidos).

Gravidade: Alta

Tipo: plano de dados do Kubernetes

Os contêineres com elevação de privilégio deverão ser evitados

Descrição: os contêineres não devem ser executados com escalonamento de privilégios para raiz no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que o processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Os logs de diagnóstico nos serviços Kubernetes devem ser habilitados

Descrição: habilite os logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança. (Não há política relacionada)

Gravidade: Baixa

Tipo: Plano de controle

Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres

Descrição: os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em runtime com a adição de binários mal-intencionados ao caminho. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).

Gravidade: Média

Tipo: plano de dados do Kubernetes

O servidor da API de Kubernetes deve ser configurado com acesso restrito

Descrição: Para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço de Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Kubernetes devem ser acessíveis somente via HTTPS

Descrição: o uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem na camada de rede. Essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: impor entrada HTTPS no cluster do Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática

Descrição: desative a montagem automática de credenciais de API para impedir que um recurso de pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes devem desabilitar as credenciais da API de montagem automática).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Descrição: para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Não há política relacionada)

Gravidade: Alta

Tipo: plano de dados do Kubernetes

Os clusters do Kubernetes não devem usar o namespace padrão

Descrição: impedir o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: plano de dados do Kubernetes

Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos

Descrição: para reduzir a superfície de ataque do contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos descartar todos os recursos e, em seguida, adicionar aqueles que são necessários (Política relacionada: os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos).

Gravidade: Média

Tipo: plano de dados do Kubernetes

O Microsoft Defender para Contêineres deve estar habilitado

Descrição: o Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes do Kubernetes do Azure, híbridos e multinuvem. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

a correção dessa recomendação resultará em custos para proteger os clusters do Kubernetes. Se você não tiver nenhum cluster do Kubernetes nessa assinatura, nenhum custo será gerado. Se você criar clusters do Kubernetes nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os contêineres com privilégios deverão ser evitados

Descrição: para impedir o acesso irrestrito do host, evite contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todas as funcionalidades raiz de um computador host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permitir contêineres privilegiados no cluster do Kubernetes).

Gravidade: Média

Tipo: plano de dados do Kubernetes

O Controle de Acesso Baseado em Função deve ser usado nos Serviços de Kubernetes

Descrição: para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Atribuição) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Executar contêineres como usuário raiz deverá ser evitado

Descrição: os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como a raiz no host. Se houver um comprometimento, um invasor terá a raiz no contêiner e qualquer configuração incorreta ficará mais fácil de ser explorada. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados.

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os serviços deverão escutar somente em portas permitidas

Descrição: para reduzir a superfície de ataque do cluster do Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços ouçam apenas nas portas permitidas no cluster do Kubernetes).

Gravidade: Média

Tipo: plano de dados do Kubernetes

Usar redes e portas do host deverá ser restrito

Descrição: Restrinja o acesso do pod à rede do host e ao intervalo de portas do host permitido em um cluster do Kubernetes. Os pods criados com o atributo hostNetwork habilitado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detecte o tráfego de rede, recomendamos não colocar os pods na rede do host. Se você precisar expor uma porta de contêiner na rede do nó e o uso de uma porta de nó do Kubernetes Service não atender às suas necessidades, outra possibilidade será especificar um hostPort para o contêiner na especificação do pod. (Política relacionada: os pods de cluster do Kubernetes devem usar apenas a rede de host e o intervalo de portas aprovados).

Gravidade: Média

Tipo: plano de dados do Kubernetes

O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos

Descrição: recomendamos limitar as montagens de volume HostPath do pod no cluster do Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó de contêiner dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes devem usar apenas caminhos de host permitidos).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Recomendações de contêiner da AWS

[Versão Prévia] As imagens de contêineres no Registro da AWS devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Microsoft Defender Vulnerability Management) serão removidas pela nova recomendação está disponível para o público em geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

[Versão Prévia] Os contêineres em execução na AWS devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo às imagens e aos relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para 8749bb43-cd24-4cf9-848c-2a50f632043c. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de atualizar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Os clusters do EKS devem conceder as permissões necessárias do AWS para o Microsoft Defender para Nuvem

Descrição: o Microsoft Defender para Contêineres fornece proteções para seus clusters do EKS. Para monitorar o cluster quanto a ameaças e vulnerabilidades de segurança, o Defender para Contêineres precisa de permissões para a conta AWS. Essas permissões são usadas para habilitar o log do painel de controle do Kubernetes em seu cluster e estabelecer um pipeline confiável entre o cluster e o back-end do Defender para Nuvem na nuvem. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Os clusters do EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada

Descrição: a extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters do EKS. A extensão coleta dados de um cluster e seus nós para identificar ameaças e vulnerabilidades de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

O Microsoft Defender para Contêineres deve estar habilitado nos conectores do AWS

Descrição: o Microsoft Defender para Contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres e gera alertas sobre atividades suspeitas. Use essas informações para proteger a segurança de clusters do Kubernetes e corrigir problemas de segurança.

Quando você habilitar o Microsoft Defender para Contêineres e implantar o Azure Arc em seus clusters do EKS, as proteções e os encargos começarão. Se você não implantar o Azure Arc em um cluster, o Defender para Contêineres não o protegerá e nenhum encargo será incorrido para esse plano do Microsoft Defender para esse cluster.

Gravidade: Alta

Recomendações sobre o plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para AWS depois que você habilita o Azure Policy para Kubernetes.

Recomendações de contêiner do GCP

A configuração avançada do Defender para contêineres deve ser habilitada em conectores do GCP

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Para garantir que a solução seja provisionada corretamente e que o conjunto completo de recursos esteja disponível, habilite todas as definições de configuração avançadas.

Gravidade: Alta

[Versão Prévia] As imagens de contêiner no Registro do GCP devem ter suas descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Recomendação As imagens de contêiner do Registro do GCP devem ter as descobertas de vulnerabilidade resolvidas (da plataforma Microsoft Defender O Gerenciamento de Vulnerabilidades será removido quando a nova recomendação estiver disponível para o público geral.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

[Versão Prévia] Os contêineres em execução no GCP devem ter suas descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho correspondendo às imagens e aos relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

A nova recomendação está em versão prévia e não é usada para cálculo de pontuação segura.

Observação

A partir de 6 de outubro de 2024, essa recomendação foi atualizada para relatar apenas um único contêiner para cada controlador raiz. Por exemplo, se um cronjob criar vários trabalhos, em que cada trabalho está criando um pod com um contêiner vulnerável, a recomendação relatará apenas uma única instância dos contêineres vulneráveis dentro desse trabalho. Essa alteração ajudará na remoção de relatórios duplicados para contêineres idênticos que exigem uma única ação para correção. Se você usou essa recomendação antes da alteração, deve esperar uma redução no número de instâncias dessa recomendação.
Para apoiar esta melhoria, a chave de avaliação para esta recomendação foi atualizada para 1b3abfa4-9e53-46f1-9627-51f2957f8bba. Se você estiver recuperando relatórios de vulnerabilidade dessa recomendação por meio da API, certifique-se de atualizar a chamada à API para usar a nova chave de avaliação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade

Os clusters do GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada

Descrição: a extensão de cluster do Microsoft Defender fornece recursos de segurança para os clusters do GKE. A extensão coleta dados de um cluster e seus nós para identificar ameaças e vulnerabilidades de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Os clusters do GKE devem ter a extensão Azure Policy instalada

Descrição: a extensão do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent ), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. A extensão funciona com o Kubernetes habilitado para Azure Arc.

Gravidade: Alta

O Microsoft Defender para contêineres deve estar habilitado nos conectores do GCP

Descrição: o Microsoft Defender para Contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Habilite o plano contêineres no conector do GCP para proteger a segurança dos clusters do Kubernetes e corrigir problemas de segurança. Saiba mais sobre o Microsoft Defender para Contêineres.

Gravidade: Alta

A funcionalidade de reparo automático do cluster do GKE deve estar habilitado

Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoRepair, value: true.

Gravidade: Média

A funcionalidade de atualização automática do cluster do GKE deve estar habilitado

Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, key: autoUpgrade, value: true.

Gravidade: Alta

O monitoramento dos clusters do GKE deve estar habilitado

Descrição: essa recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring precisa usar para gravar métricas.

Gravidade: Média

O registro em log para clusters do GKE deve estar habilitado

Descrição: essa recomendação avalia se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar registros.

Gravidade: Alta

O painel de controle do GKE na web deve ser desabilitado

Descrição: essa recomendação avalia o campo kubernetesDashboard da propriedade addonsConfig para o par de valores-chave, 'disabled': false.

Gravidade: Alta

A Autorização Obsoleta deve ser desabilitada nos clusters do GKE

Descrição: essa recomendação avalia a propriedade legacyAbac de um cluster para o par chave-valor, 'enabled': true.

Gravidade: Alta

As Redes Autorizadas do Plano de Controle de Segurança devem estar habilitadas nos clusters do GKE

Descrição: essa recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.

Gravidade: Alta

Os clusters do GKE devem ter faixas de aliases de IPs habilitadas

Descrição: essa recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.

Gravidade: Baixa

Os clusters do GKE devem ter clusters privados habilitados

Descrição: essa recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

Gravidade: Alta

A política de rede deve estar habilitada nos clusters do GKE

Descrição: esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.

Gravidade: Média

Recomendações sobre o plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes têm suporte para o GCP depois que você habilita o Azure Policy para Kubernetes.

Recomendações de registros de contêiner externos

[Visualização] As imagens de contêiner no registro do Docker Hub devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem verificada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidade