Megosztás a következőn keresztül:

A Kubernetes-csomópont sebezhetőségi felmérése

  • Cikk

Felhőhöz készült Defender a A Kubernetes-csomópontokat üzemeltető virtuális gépek az operációs rendszer és a telepített szoftverek biztonsági réseinek felméréséhez. A szervizelésre vonatkozó javaslatok arra szolgálnak, hogy az ügyfélbiztonsági csapat a fürt Kubernetes-csomópontjainak fenntartásával kapcsolatos közös felelősség részeként tekintse át és szervizelje azokat.

Előfeltétel

A csomópontok sebezhetőségi felmérését engedélyezni kell a Defender for Containers, a Defender Cloud Security Posture Management vagy a Defender for Servers P2 csomag ügynök nélküli vizsgálatának bekapcsolásával.

A Kubernetes-csomópont sebezhetőségi javaslatainak áttekintése

Ha biztonsági réseket talál egy Kubernetes-csomóponthoz, a rendszer javaslatot hoz létre az ügyfél számára a felülvizsgálathoz. A Kubernetes-csomópont szervizelési javaslatainak áttekintése az Azure Portalon:

  1. Válassza a Javaslatok lehetőséget a Felhőhöz készült Defender menüből. Képernyőkép a javaslatok almenüjének kiválasztásáról a Felhőhöz készült Defender panelen.

  2. Válassza ki az AKS-csomópontokat, ha a biztonságirés-megállapítások feloldották a javaslatot . Képernyőkép a csomópontok javaslati sorának kiválasztásáról.

  3. A Kubernetes-csomópont javaslatának teljes részletei láthatók. A biztonsági rés teljes leírása mellett egyéb részletek is megjelennek, például az érintett Kubernetes-csomópontkészlet és a fürt neve. Képernyőkép a Kubernetes-csomópontra vonatkozó javaslat részleteiről.

  4. Az Eredmények lapra kattintva megtekintheti a Kubernetes-csomóponthoz kapcsolódó CVE-k listáját. Képernyőkép az eredmények lap kiválasztásáról a Kubernetes-csomóponthoz kapcsolódó CVE-k listájának megtekintéséhez.

  5. Az egyik CVE-sor kiválasztásával megnyílik egy panel, amely részletesen ismerteti a CVE-t és az összes Kubernetes-csomópont erőforrást, amely szintén rendelkezik ezzel a biztonsági résrel. Képernyőkép a panelről, amelyen az érintett CVE- és Kubernetes-csomóponterőforrások adatai láthatók.

A részletek ablaktáblán a Csomópontkészlet-példányok szakasz a szervizelés által érintett csomópontokat jeleníti meg. A További érintett erőforrások más csomópontokat is mutatnak, amelyek ugyanazt a CVE-t rendelkeznek, és szervizelésre is szükség van.

A Kubernetes-csomópont biztonsági réseinek szervizelése

A Kubernetes-csomópont biztonsági réseit a rendszer a csomópontkészlet virtuálisgép-rendszerképének verziójának frissítésével orvosolja. Az ügyfél frissíti a csomópontkészletet a Kubernetes szolgáltatás és az ügyfél közötti megosztott felelősség részeként. Az ügyfél kétféleképpen frissíti a csomópontkészletet – vagy frissítse a csomópontkészlet virtuálisgép-rendszerképét és/vagy a fürt Kubernetes szolgáltatását egy újabb verzióra. Javasoljuk, hogy először frissítse a csomópontkészlet virtuálisgép-rendszerképét. Bizonyos esetekben az ügyfélnek frissítenie kell a fürt Kubernetes-szolgáltatásának verzióját és a csomópontkészlet virtuálisgép-rendszerképének verzióját a biztonsági rés elhárításához.

Fontos

A fürt Kubernetes-verziója és a csomópontkészlet virtuálisgép-lemezképe beállítható automatikus frissítésre. Ezeket a verziókat rendszeresen frissíteni kell az AKS-erőforrások maximális biztonsága érdekében.

A csomópontkészlet virtuálisgép-lemezképének frissítése

  1. Válassza ki a Fix gombot a Javaslatok panelen. Képernyőkép a Kubernetes-csomópontra vonatkozó javaslat részleteiről és a kiemelt Javítás gombról.

  2. A csomópontkészlet virtuálisgép-lemezképének frissítéséhez kattintson a Rendszerkép frissítése gombra, vagy válassza a Kubernetes frissítése lehetőséget a fürt Kubernetes-szolgáltatás verziójának frissítéséhez. Képernyőkép a Kubernetes-csomópontkészlet áttekintési részleteiről a rendszerkép frissítéséhez.

Következő lépések

Megtudhatja, hogyan vizsgálhatja meg a fürtcsomópontok biztonsági réseit a Cloud Security Explorer használatával.