Ознакомьтесь с рекомендациями по обеспечению защиты узла Docker

Microsoft Defender для облака выявляет неуправляемые контейнеры, размещенные на виртуальных машинах IaaS Linux или других компьютерах Linux с контейнерами Docker. Defender для облака постоянно оценивает конфигурации этих контейнеров. Затем он сравнивает их с эталонным контейнером Docker для Центра Интернет-безопасности (CIS).

Defender для облака применяет весь набор правил эталонного контейнера Docker для CIS и выдает предупреждения, если контейнеры не соответствуют любому из этих элементов управления. При обнаружении ошибок в конфигурации Defender для облака создает рекомендации по безопасности. На странице рекомендаций Defender для облака вы можете просмотреть эти рекомендации и устранить проблемы.

При обнаружении уязвимостей они группируются в рамках одной рекомендации.

Примечание.

Тесты производительности CIS не удастся выполнить на экземплярах виртуальных машин под управлением AKS или Databricks.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены. Требуется Microsoft Defender для серверов, план 2
Требуемые роли и разрешения Читатель в рабочей области, к которой подключается узел
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)
подключенные учетные записи AWS.

Выявление и устранение уязвимостей системы безопасности в конфигурации Docker

  1. В меню Defender для облака откройте страницу Рекомендации.

  2. Примените фильтр, чтобы отобразилась рекомендация Необходимо устранить уязвимости в конфигурациях безопасности контейнера, и выберите ее.

    На странице рекомендации отображаются затронутые ресурсы (узлы Docker).

    Рекомендация по устранению уязвимостей в конфигурациях безопасности контейнеров.

    Примечание.

    Компьютеры, на которых не выполняется Docker, будут отображаться на вкладке Неприменимые ресурсы. В политике Azure они будут отображаться как соответствующие требованиям.

  3. Чтобы просмотреть и исправить элементы управления CIS, не соответствующие рекомендациям, в определенном узле, выберите узел, который нужно изучить.

    Совет

    Если вы начали работу на странице инвентаризации ресурсов и перешли к этой рекомендации с нее, нажмите на странице рекомендации кнопку Выполнить действие.

    Кнопка

    Откроется Log Analytics с готовой к запуску пользовательской операцией. Пользовательский запрос по умолчанию содержит список всех выявленных случаев несоответствия правилам, а также рекомендации по устранению этих проблем.

    Страница Log Analytics с запросом, отображающим все элементы управления CIS, не соответствующие рекомендациям.

  4. Настройте параметры запроса при необходимости.

  5. Убедившись, что команда подходит и подготовлена для вашего узла, выберите элемент Выполнить.

Следующий шаг

Усиление защиты Docker — это лишь один аспект функций Центра безопасности контейнера Defender для облака.

Дополнительные сведения об обеспечении безопасности контейнеров в Defender для облака.